En octubre de 2019 una fuente, que prefirió no dar su nombre, me contó que la compañía Liberty Seguros Ecuador tenía sus datos personales — su cédula, el nombre de su esposa y hasta información de su trabajo — en su base de datos y que, por un hueco en su seguridad, era muy fácil acceder a ella. Con la ayuda de Chan, un experto informático y uno de los fundadores de Tinkin Tech Partner, pudimos comprobar que era verdad. Por una falla de seguridad, la base de datos de la compañía de seguros estaba expuesta para quien tuviese las herramientas correctas. Chan explica que es necesario tener cierto conocimiento técnico para obtenerla, pero que la seguridad era baja. Por eso, pudo acceder a la base de datos que maneja Liberty el 6 de noviembre de 2019 y obtener mi información personal. Entró a la sección de cotizaciones de nuevos clientes en la página web de Liberty, puso mi número de cédula en el formulario y su herramienta de programación pudo obtener mi dirección, mi número de teléfono personal y hasta el de la casa de mis papás de la base de datos de Liberty. Le tomó menos de dos minutos obtener información que yo —o la fuente que prefirió no dar su nombre— no le he entregado a la empresa de seguros. Yo no soy cliente de la empresa, y mi fuente, tampoco.
| Si quieres recibir los textos de GK en tu correo, regístrate aquí. |
Un mes antes de que mi fuente me contactara, en septiembre de 2019, se hicieron públicos dos casos que demostraban que no hay garantías para la seguridad de nuestros datos en el país. Novaestrat y Databook eran compañías que vendían bases de datos sin protección y con información personal de millones de ecuatorianos. Nadie sabe cuánto tiempo estuvo expuesta la información, ni quién la utilizó. El Ecuador se enteró porque un sitio internacional de noticias tecnológicas lo publicó y hubo un pequeño escándalo local.
Según Chan, Liberty obtuvo su base de datos de Novaestrat, porque tiene información —como números de cédula, direcciones de correo electrónico y cuentas bancarias— que concuerda con lo que supuestamente tenía Novaestrat. Si no la obtuvo de Novaestrat, Chan cree que la obtuvo de las mismas páginas de las que Novaestrat lo hacía.
Decir que lo que pasó con Novaestrat y Databook fue una filtración es incorrecto, según Lorena Naranjo, Directora Nacional de Registro de Datos Públicos. Una filtración es cuando hay un acceso indebido, una intrusión o un hackeo a una base de datos. Cuando es intencional. Sin embargo, Naranjo dice que lo que pasó es que se dejó la puerta abierta y no se puso seguro. “Es una exposición no controlada, sin las debidas seguridades”, dice Naranjo.
Eso es lo que pasaba con Liberty: no tenían las seguridades necesarias para proteger la información que tienen en sus bases de datos. Por eso era tan fácil para Chan acceder a la información de cualquier ecuatoriano que esté en esa base. Para él es bastante sencillo, “tengo un programita en el que inserto los números de cédula y me bota la data de las bases de datos”, dice Chan.
Novaestrat y Databook son dos de los pocos casos conocidos sobre difusión de datos personales. Probablemente “porque no tenían las seguridades necesarias y todo el mundo podía acceder” dice Alfredo Velazco, director de Usuarios Digitales, que trabaja en la protección de los derechos de los usuarios en plataformas digitales. No sabemos qué empresas en Ecuador sí tienen seguridades para proteger la información de sus usuarios, se sospecha que muy pocos.
§
Liberty no es la única empresa con fallas en la seguridad digital de sus bases de datos, pasa en instituciones privadas y públicas. Según Chan, estos errores probablemente no son deliberados, sino fallas de programación producto de la falta de preocupación por la seguridad. “Hay todavía empresas que no han aprendido la lección y siguen exponiendo información de forma pública y totalmente abierta”, dice Fernando Rivera, fundador de Buen Trip Hub, una incubadora de startups tecnológicas.
Para aumentar la gravedad de la situación, muchas de esas páginas manejan datos delicados. Algunas sí tienen medidas de seguridad, pero según Chan, estas son muy básicas. Por ejemplo, la de la Secretaría Nacional de Educación Superior, Ciencia y Tecnología (Senescyt) — de donde sacó mi información académica — usa un captcha, al que se le suele confirmar que no somos robots, “pero es muy sencillo leerlo y obtener la data automatizada” dice Chan. La mayoría de estas páginas usan otros sistemas que son sencillos para quienes conocen cómo burlaros, como Chan, pero no es necesario ser un experto para hacerlo.
Otras no tienen ninguna seguridad. Si se le envía datos —como el número de cédula— entregan la información consultada sin hacer ninguna otra pregunta. Alguna de esa información es sumamente delicada, como el código dactilar, una combinación única de números y letras compuesta por 10 figuras que el Registro Civil genera después de leer las huellas dactilares. Este código sirve para trámites en línea en instituciones del país, como el Registro Civil, y para identificar la identidad de una persona.
Chan dice que es posible obtener la mayoría de la información personal que está almacenada en páginas sin protección mediante puertas que comunican con otros sistemas. La interfaz de programación de aplicaciones (API por sus siglas en inglés), es el nombre en programación de estas puertas. Cuando ingresamos a una página, como Facebook, y le pedimos cierta información, como cuando buscamos un perfil y le damos un nombre. Ese buscador usa un API para encontrarlo y mostrárnoslo. Es la forma de programar más actual y recomendada, se usa todo el tiempo. Lo malo es no proteger esos puntos de acceso cuando no quieres que accedan a la información.
Las páginas que manejan información sensible deberían tener APIs con un nivel de seguridad más alto. “El hecho de que una persona sin necesidad de autentificarse, sin que sea un usuario registrado en tu plataforma para poder consumir esos datos, pueda simplemente hacer un llamado a un URL, pasarle un parámetro a la aplicación (como el número de cédula) y recibir una respuesta, quiere decir que nadie se ha preocupado por la seguridad de esa aplicación”, dice Fernando Rivera.
Eso es lo que pasa con las aplicaciones que exponen los datos de los ecuatorianos. Incluso en algunos se puso un buscador, en las bases de datos que vendía Novaestrat por ejemplo, para facilitar las cosas todavía más. Según Rivera, la interfaz gráfica le permitía buscar a cualquier persona, sin necesidad de ser programador o conocer sobre sistemas. Incluso, en algunos casos, dice Rivera, se podían bajar todos los registros porque estaban expuestos. “Liberty seguros está haciendo lo mismo sin darse cuenta”, dice Rivera “El API (de Liberty) está expuesto, está abierto, no está validando que sea una aplicación autenticada y devuelve la información. Solo necesitas un navegador web y la dirección y puedes hacerle una consulta”. En resumen, las puertas que protegen nuestra información están abiertas y muchos dueños de casa —como Liberty— no lo saben, o no lo sabían.
§
Durante más de un mes he estado esperando una respuesta de Liberty para una entrevista sobre su seguridad. El 11 de noviembre de 2019, una de las personas encargadas de atención al cliente me dijo que el encargado de sistemas, David Freire, era la persona autorizada para hablar de ese tema, pero que estaba de viaje. Regresaba el 19 de noviembre. Cuando regresó, hablé con él y acordamos una entrevista para el jueves 21 de noviembre por la tarde. Por un tema coyuntural tuve que pedirle que nos veamos el viernes, él aceptó, pero cuando le escribí para coordinar el horario no me contestó. Así que le escribí un correo, y me contestó que le “surgió un nuevo imprevisto” que le impedía atenderme, y que la semana siguiente se iba a de vacaciones, así que tampoco podríamos conversar.
El 22 de noviembre, llamé a David Freire, pero no me contestó. Una persona de su departamento me dijo que estaba en una reunión, así que le dejé un mensaje explicándole la situación —informándole que la puerta de su base de datos estaba abierta — y pidiéndole que me contacte con alguien más que pueda dar la entrevista en su ausencia. No obtuve respuesta después de esa llamada.
El 3 de diciembre, volví a contactar a David Freire para reforzar la necesidad de la entrevista. Me dijo que regresaba el 5 de diciembre de sus vacaciones, pero me dio el contacto de Lissette Pinzón, gerente de marketing en Liberty, desde Colombia. Me comuniqué con ella y le expliqué el tema y las preguntas que tenía. Pinzón me dijo que Esteban Sánchez me daría la entrevista y le pidió a Mario Zambrano, especialista de marketing en Ecuador, que la coordinara.
Mario Zambrano me envió un correo el 9 de diciembre pidiéndome que le confirme si podía asistir a la entrevista el 12 de diciembre a las doce del día en sus oficinas. Yo respondí a ese correo confirmando la entrevista y agradeciéndole por su ayuda. Menos de tres horas después Zambrano me envió un correo que decía: “de acuerdo a lineamientos de marca y bajo el proceso habitual de gestión de entrevistas y pautas digitales, por favor se debe enviar la información previa a nuestra agencia de relaciones públicas que son los encargados de coordinar este tipo de entrevistas”.
Nada de eso se decía en el correo anterior en el que me pedía que confirme la entrevista. Mario Zambrano me decía que me comunique con Melissa Aguirre — la encargada de “esos temas”— y que “mientras tanto quedaría cancelada la entrevista del día jueves (12 de diciembre)”. Le copié todos los correos anteriores a Melissa Aguirre y le pedí que me explique cuál era el proceso adecuado para confirmar la entrevista, ya que Zambrano no me había informado de ese proceso antes de darme una fecha y una hora para la tan anhelada entrevista. Hasta la publicación de este artículo, ni Aguirre ni Zambrano me han contestado.
Pero algo bueno salió de todo esto: Liberty arregló su hueco de seguridad. El 12 de diciembre Chan intentó acceder a su base de datos de la misma forma que lo había hecho el 6 de noviembre y ya no encontró el formulario que le entregaba la información antes. Ese hueco existió, en mi conocimiento, desde inicio de octubre de 2019 hasta inicio de diciembre de 2019. No es posible saber cuánto tiempo estuvo desprotegida, cómo accedió esa base datos la compañía de seguros, ni si siempre supo que la información flotaba, insegura, en Internet.
Esa buena noticia, es la punta de otro ovillo preocupante: no sabemos qué otras empresas tienen nuestra información, cómo la consiguieron, qué hacen con ella y si tienen la seguridad suficiente para protegerla de cualquier persona con una computadora, el programa correcto y algo de curiosidad. “Todos tenemos derechos sobre la información que manejan las empresas y organizaciones sobre nosotros”, dice Lorena Naranjo. La Constitución dice que solo se puede difundir esa información “con autorización de su titular o de la ley”. En el caso de datos sensibles, dice la norma legal máxima ecuatoriana, “se exigirá la adopción de las medidas de seguridad necesarias. Si no se atendiera su solicitud, ésta podrá acudir a la jueza o juez. La persona afectada podrá demandar por los perjuicios ocasionados”.
Tengo —tenemos— derecho a saber qué información tiene Liberty sobre mí. Gracias a Chan sé que tiene mucha. También tengo derecho a que se rectifique o elimine la información que tiene esa empresa, y a que esa eliminación sea gratuita y expedita. Qué hará Liberty con una base de datos que contiene información de personas que no son sus clientes, está por verse. Qué hará el Ecuador por resolver el grave problema de seguridad en el manejo de los datos personales de millones de ecuatorianos, es una respuesta que el Estado aún nos debe. “Lamentablemente, rara vez esos derechos se cumplen porque todavía no hay una autoridad de control ni una ley integral que se encargue de exigir esos derechos para los ciudadanos”, dice Lorena Naranjo.
Hay nueve cuerpos legales, además de la Constitución, que incluyen artículos que protegen ciertos derechos de los datos y la información de los ecuatorianos. Pero hasta el momento no hay una ley integral sobre la protección de datos en el país.
Después de la noticia de Novaestrat, el ministro de Telecomunicaciones, Andrés Michelena, envió el proyecto de Ley Orgánica de Protección de Datos Personales que actualmente se trata en la Comisión Especializada de Soberanía, Integración, Relaciones Internacionales y Seguridad Integral de la Asamblea Nacional. Aunque se han sugerido cambios al proyecto de ley — como que la autoridad de control sea totalmente independiente del Ejecutivo — para muchos, el proyecto sería el inicio de una solución para el grave problema de seguridad que tenemos.
Esa ley evitaría que la información personal esté en venta y obligará a quienes levanten información a cuidar y proteger esos datos y proteger la privacidad de sus clientes. Ana María Quirós, directora ejecutiva de la Cámara de Innovación y tecnología ecuatoriana (CITEC), aclara que la ley afectará a todas las empresas del sector público y privado que manejen datos personales, no solo al sector de tecnología. Además, servirá para crear procesos y estándares nacionales para el manejo de la información. Si se la ejecuta correctamente, evitará que las puertas se queden abiertas. De aprobarse, dice Naranjo, “tomaría mínimo dos años en implementarse”.
|Al periodismo independiente lo financian sus lectores. Aporta a GK, aquí.|
Hasta entonces, estamos a merced de la buena voluntad de las empresas que quieran tener buenas prácticas de manejo de datos. Si nos guiamos por las brechas de seguridad digital mencionadas por Chan en los sistemas empresas públicas y privadas, esto algo poco frecuente en el país.
