Se podía acceder abiertamente en Internet a una base de datos que contenía información confidencial, a veces personal, del Fondo Fiduciario de las Naciones Unidas para poner fin a la violencia contra las mujeres, revelando más de 115.000 archivos relacionados con organizaciones que se asocian con ONU Mujeres o reciben financiación de ella. Los documentos van desde información sobre personal y contratos hasta cartas e incluso auditorías financieras detalladas sobre organizaciones que trabajan con comunidades vulnerables en todo el mundo, incluso bajo regímenes represivos.
El investigador de seguridad Jeremiah Fowler descubrió la base de datos, que no estaba protegida con contraseña ni tenía control de acceso, y reveló el hallazgo a la ONU, que protegió la base de datos. Estos incidentes no son infrecuentes y muchos investigadores encuentran y divulgan periódicamente ejemplos de exposiciones para ayudar a las organizaciones a corregir errores en la gestión de datos. Pero Fowler enfatiza que esta ubicuidad es exactamente la razón por la que es importante seguir creando conciencia sobre la amenaza de tales configuraciones erróneas. La base de datos de ONU Mujeres es un excelente ejemplo de un pequeño error que podría crear un riesgo adicional para las mujeres, los niños y las personas LGBTQ que viven en situaciones hostiles en todo el mundo.
“Están haciendo un gran trabajo y ayudando a personas reales sobre el terreno, pero el aspecto de la ciberseguridad sigue siendo fundamental”, le dice Fowler a WIRED. “He encontrado muchos datos antes, incluso de todo tipo de agencias gubernamentales, pero estas organizaciones están ayudando a las personas que están en riesgo simplemente por ser quienes son, donde están”.
Un portavoz de ONU Mujeres le dijo a WIRED en un comunicado que la organización aprecia la colaboración de los investigadores de ciberseguridad y combina cualquier hallazgo externo con su propia telemetría y monitoreo.
“Según nuestro procedimiento de respuesta a incidentes, se implementaron rápidamente medidas de contención y se están tomando acciones de investigación”, dijo el portavoz sobre la base de datos que descubrió Fowler. “Estamos en el proceso de evaluar cómo comunicarnos con las posibles personas afectadas para que estén conscientes y alertas, así como incorporar las lecciones aprendidas para prevenir incidentes similares en el futuro”.
Los datos podrían exponer a las personas de múltiples maneras. A nivel organizacional, algunas de las auditorías financieras incluyen información de cuentas bancarias, pero en términos más generales, las divulgaciones brindan detalles granulares sobre dónde obtiene cada organización su financiamiento y cómo presupuesta. La información también incluye desgloses de los costos operativos y detalles sobre los empleados que podrían usarse para mapear las interconexiones entre los grupos de la sociedad civil en un país o región. Dicha información también es propicia para el abuso en estafas, ya que la ONU es una organización muy confiable, y los datos expuestos proporcionarían detalles sobre las operaciones internas y potencialmente servirían como plantillas para que actores maliciosos creen comunicaciones aparentemente legítimas que pretenden provenir de la ONU.
/cdn.vox-cdn.com/uploads/chorus_asset/file/24785180/STK158_ATT_01.jpg "AT&T finalmente tiene un programa de prueba de red")
Leave a Reply