Hace poco más de un mes se produjo un fallo de seguridad en los edificios BioStar 2 que dejó al descubierto los datos biométricos de más de un millón de personas en todo el mundo. En estos datos quedan incluidos aquellos del personal de los bancos, la policía metropolitana del Reino Unido y otros empleados de compañías que trabajan con defensa.
Se trata de un fallo desvelado por el periódico The Guardian, cuyos investigadores descubrieron que este fallo pertenecía a la compañía Suprema, que trasladaba la información antes de que fuera publicada en el blog vpnmentor.com.
Un fallo con los datos biométricos
Noam Roaten y Ran Locar, investigadores de Israel que están especializados en la privacidad en Internet han confirmado que esta información es real en una primera instancia, pero expresando también que ya están manos a la obra para revisar los servicios de redes virtuales privadas.
Dichos investigadores revelaron un agujero, también conocido como brecha de seguridad, lo que ha permitido el acceso a la base de datos de BioStar 2, el cual se encontraba en la red desprotegida y, en su mayoría sin un cifrado. Los investigadores han podido acceder a más de 27,8 millones de registros y 23 GB de datos gracias a esta base de datos, donde pudieron encontrar todo tipo de información, tanto personal como física.
Es decir, la gravedad de la situación no es que los datos tengan un libre acceso como tal, sino el uso malicioso que puedan hacer determinadas personas con ellos, desde fraudes bancarios hasta delitos cibernéticos. Es decir, hay paneles de administración, tableros, datos de huellas digitales, de reconocimiento facial, nombres de personas, contraseñas sin cifrado, registros de acceso a diferentes instalaciones, detalles personales y hasta fotografías faciales que eran usadas para llevar a cabo el reconocimiento, sirviendo también como contraseña personal.
Rotem indicó que pudieron encontrar contraseñas de texto que correspondían a cuentas de administrador, continuado en que el acceso a estos datos permite que millones de usuarios de todo el mundo puedan usar el sistema para acceder a diferentes puntos de localización y ver en tiempo real qué usuario accede a qué instalación o incluso en qué habitación.
Además, el propio investigador indicó que además del acceso a estos datos, podían modificarse y añadir nuevos usuarios. Entonces, Rotem expresó que cuando encontraron que el acceso a la base de datos era libre, se podían editar e incluir nuevos usuarios, lo que se traduce en que una posibilidad de que alguien pueda cambiar estos datos personales de los usuarios de la plataforma por los suyos propios. Es decir, podría conseguir una vía para acceder a cualquier edificio al que estuviera autorizado el usuario del que hubiera cogido los datos, o bien crear un usuario propio.
Por otro lado, estos investigadores han calificado este descubrimiento como alarmante, ya que dicho servicio está en más de 1,5 millones de edificios en todo el mundo. Además, a diferencia de las contraseñas que se filtran, los usuarios no pueden hacer nada contra una revelación de los datos de una huella dactilar, y lógicamente no hay posibilidad al cambio de huella.
¿Qué ha hecho la empresa?
Todos se preguntan qué ha hecho la empresa ante esta acción, y no es otra cosa que cerrar el agujero que habían descubierto. De hecho, una vez que el mismo quedó descubierto se trató de contactar con Suprema, aunque en un principio no se consiguió una respuesta. No obstante, The Guardian comunicó que el agujero quedó cerrado poco tiempo después, dejando en evidencia que la vulnerabilidad había sido subsanada.
El jefe de marketing de Suprema, Andy Ann, declaró que tomarían las medidas necesarias en caso de haber existido una amenaza grave sobre sus productos o servicios, haciendo los anuncios que fueron necesarios para que los negocios y activos de sus clientes estuvieran bien protegidos.
Además, también concretó que se estaba llevando a cabo una evaluación profunda de la información que habían proporcionado los ingenieros, sin saber todavía si la brecha producida había afectado a empresas españolas que tuvieran colaboración con la compañía, cuyos sistemas instalados se distribuyen en nuestro país con la compañía Kimaldi.
No obstante, esto revela la importancia que tienen los datos en la actualidad, más si cabe en un mundo tan abstracto como Internet, cuyos movimientos son tan rápidos que, en muchas ocasiones, son indetectables en primera instancia, y cuando se sabe algo ya es demasiado tarde o la ruta de rastreo necesita de más tiempo para poder dar con el problema y tratar una posible solución.
En definitiva, este fallo que puso al descubierto los datos biométricos no hace más que poner en alerta a las personas sobre la necesidad de cubrir sus datos, bien en empresas especializadas en la salvaguardia de datos biométricos o de cualquier otro tipo de datos que tengan que ver con Internet.