Un desarrollador de software estadounidense encontró fallas informáticas en sitios web postales, los denunció y el gobierno investiga el caso; el denunciante pidió US$ 50 mil a una de las empresas y fue acusado de extorsión.
Comprobantes que verifican haber recibido tarjetas de débito o crédito, contratos de telepeaje, remitos de cheques, documentos judiciales enviados por bancos a juzgados, listas que revelan miles de compras realizadas por usuarios y firmas de miles de ellos. Un programador estadounidense asegura haber encontrado casualmente vulnerabilidades informáticas en los sitios web de envíos de paquetes de dos empresas postales en donde estuvieron expuestos datos personales de al menos 500 mil uruguayos entre 2016 y 2019. El hombre, que presentó denuncia ante organismos estatales, le pidió US$ 50 mil a una de las compañías luego de ello y por eso fue acusado luego de extorsión, aunque la empresa involucrada finalmente no lo denunciará. Según él, el pedido de dinero fue a cambio de corregir las vulnerabilidades. Las dos compañías aseguran haber solucionado todos los problemas y hoy esos documentos con datos personales ya no están expuestos.
La Unidad Reguladora y de Control de Datos Personales (Urcdp), un organismo que opera en el ámbito de la Agencia del Gobierno Electrónico y Sociedad de la Informacion (Agesic), investiga el caso desde el 16 de julio del año pasado tras una denuncia de Jayson Minard, un desarrollador informático estadounidense.
Esta ha sido la filtración de datos personales más grande de los últimos tiempos en Uruguay. El último caso fue la filtración de casi todas las cédulas de los uruguayos. Fue hecha por Ezequiel Pereira, un joven de 20 años, que aprovechó una vulnerabilidad de sitios web del Estado para acceder a esa información. Luego, divulgó la lista y el gobierno lo intimó a darla de baja.
Las empresas acusadas son UES y DAC. El gobierno solo ha dictado una resolución en la que intima a DAC a corregir ese problema, según una resolución del 18 de febrero de este año, por “incumplimiento” de la ley de datos personales (18.331). Desde DAC aseguraron que ya no tienen problemas de esta índole.
En el caso de UES todavía no hay una resolución firme. De todas formas, el expediente avanza. La última actuación fue el pasado 23 de abril, según el documento al que tuvo acceso Cromo. La oficina de Derechos Ciudadanos de la Urcdp le informó al consejo ejecutivo del organismo que obtuvo información de las medidas que tomó la empresa para corregir la vulnerabilidad y que se está valorando si ahora es un sitio seguro.
Sin perjuicio de ello, el miembro de la oficina Fernando Sosa declaró que si bien no se tiene constancia de que estos datos hayan sido descargados por terceros "sí pudo existir la potencialidad de una comunicación masiva" lo que puede constituir una falta a la ley de datos personales (18.331).
Hasta el momento de la denuncia, agrega Sosa, UES tampoco había registrado sus bases de datos en este organismo, lo que constituye "un claro incumplimiento de la ley". El consejo ejecutivo tomará una decisión próximamente y evalúa posibles sanciones a la empresa.
El informático estadounidense informó a Cromo que en las próximas horas añadirá nueva información.
La compra de zapatos que terminó en una filtración masiva
Para entender el caso hay que saber que UES y DAC son dos empresas que envían a usuarios paquetes provenientes de comercios, bancos, mutualistas y hasta de organismos de gobierno. Es muy utilizado cuando un usuario compra en internet: las empresas los contratan para enviar paquetes a las casas de los usuarios.
En general, cuando se adquiere un producto de manera electrónica, le mandan al correo electrónico del comprador un número para rastrear (el número tracker) que muestra en qué lugar físico se encuentra el paquete. La persona ingresa al sitio web del distribuidor en cuestión, digita ese número y le aparece el lugar exacto de donde está: tal vez en el depósito o quizás en tránsito hacia su hogar. Acompañado de esa información, puede haber datos personales suyos: su nombre, su dirección y tal vez el lugar donde hizo esa compra.
Quién es Jayson Minard
Minard es un desarrollador de software y experto en seguridad informática. Según su relato, vivió entre 2010 y 2012 en Uruguay, luego se fue y regresó en 2014. En ese tiempo trabajó en proyectos humanitarios "que estaban mal vistos por el gobierno de Estados Unidos". Por ejemplo, dijo que ayudó a cubanos que eran informáticos a trabajar de forma remota y también a obtener contratos en el extranjero. Aseguró que sufrió este conflicto ya que hubo muchos cambios en las leyes bancarias de EEUU. "Fue difícil trabajar sin problema". Entonces, en 2014 decidió volver a Uruguay y desde aquí renunció a su nacionalidad. Desde entonces ha intentado obtener la protección internacional de “apátrida”, pero no ha tenido suerte. En Uruguay llegó a dar conferencias en el Encuentro Genexus, uno de los eventos de tecnología más grandes del país, y en la Universidad ORT.
En junio del año pasado Minard se interesó en un par de zapatos que vio en internet, de los que había descuentos interesantes. Decidió comprarlos y le anunciaron que se lo enviarían a través del servicio postal UES. Cuando quiso saber en dónde estaba su producto, digitó el número rastreador, pero le saltó un error. "Ese código es inválido", le decía. Jayson comenzó a probar números parecidos de manera aleatoria para ver si podía encontrar su paquete. Creía que de esa manera le aparecería. Así descubrió algo inusual: cuando digitó uno de los números, le aparecieron los paquetes de otras personas con su respectiva información personal, relató.
Los zapatos que adquirió Minard y dieron origen a la filtración de datos
Según su relato, sospechó que el sitio “olía mal” y tenía problemas de seguridad. En otras palabras, muchas puertas traseras con cerraduras rotas. Y encontró fallas informáticas que dieron origen a una filtración de datos masiva. “Esto se hizo sin ningún hackeo. Solo viendo los problemas que tenía de seguridad informática a través de los navegadores web (Google Chrome)”, aclaró.
La visión de las compañías sobre el episodio fue diferente. Algunos miembros de UES refieren a él en conversaciones de WhatsApp como un "hacker". Además aseguran que Minard encontró estas vulnerabilidades "sin que UES se lo hubiese solicitado".
La historia del descubrimiento según la versión del programador
Cuando ya había detectado la anomalía, Minard utilizó un programa informático para probar cientos de miles de códigos de manera automática . El estadounidense mostró a Cromo en una videoconferencia vía Zoom cómo es ese procedimiento. Generalmente, sitios de este tipo utilizan un sistema de protección para no permitir que se pruebe tanta cantidad de números. No fue el caso.
“Puede que no sea obvio para ti ni para un amigo. Pero para un gran grupo, vemos esto todos los días y sabemos cómo se ve y huele. Lo detectamos mucho”, dijo Minard, que trabajó en Abebooks, una empresa que luego fue comprada por Amazon, y también en una decena de compañías de software desde fines de los 80 hasta la actualidad.
Según Minard, nadie había tenido precaución en este caso. Los probó sin problemas, arrojándole información de los paquetes que compraron “decenas de miles de clientes”.
Así , según su relato, logró acceder a datos de personas de 858.031 paquetes desde abril de 2016 a julio de 2019 solo en el sitio de rastreo del sistema.
Detectó que fueron envíos de 368 empresas (tiendas de ropa, tecnología, calzado, bicicletas, entre otras).
Flickr
En esta plataforma encontró el nombre de quien envió el paquete: en general una empresa que vende el producto (pudo haber sido tienda de ropa o de tecnología), aunque a veces podía ser una mutualista o una agencia de gobierno. También aparecía información de quien lo recibía: su nombre y apellido, ciudad y país; además de los movimientos de ese paquete.
Creyó que otros sitios de envío postal podían registrar el mismo inconveniente. Y averiguó en DAC. Allí empezó a probar números rastreadores de paquetes: encontró fácilmente 471.195 números de rastreo con la información completa tanto del emisor como del receptor.
A simple vista, solo le aparecía el lugar desde donde se había mandado y a la ciudad donde llegaría. También un historial de envío que reportaba donde estaba el paquete.
Decidió inspeccionar el código. Esa es una actividad que suelen hacer los desarrolladores de software, utilizando cualquier navegador web, para conocer la seguridad de un sitio y cómo está hecho. Allí se puede acceder a conocer el problema “real”. En el caso de DAC, pudo ver: datos completos con la información personal del remitente y el destinatario, en algunos casos ubicaciones de GPS y nombres de empleados y agencias de la compañía.
Al mismo tiempo, estaba la firma digital del destinatario en baja resolución en el 70% de los paquetes. En esta compañía logró filtrar información desde diciembre de 2017 a mayo de 2020, cuando aplicaron mejoras en su seguridad.
La filtración también le permitió saber a este desarrollador de software estadísticas de la compañía.
El hallazgo de más de 2 millones de imágenes
El programador siguió hurgando. Sospechó que más partes de ambos sitios web podrían tener vulnerabilidades y que más datos podrían estar expuestos. Por eso, indagó sobre el sistema de entrega "en mano" de UES. Es una parte del negocio que es utilizado principalmente por bancos para entrega de productos más importantes. Este sistema tiene una página con un inicio de sesión, utilizado por empresas que quieran gestionar la cantidad de envíos a sus clientes. Allí volvió a inspeccionar el código.
Dependiendo de la seguridad que aplique la empresa que hizo el sitio, algunos contenidos se pueden ver y otros no. Si no hay demasiada seguridad, un usuario con conocimientos básicos de programación podría acceder a imágenes y otros contenidos que están dentro del sistema, pero no se ven a simple vista.
Es lo que se conoce como “metadatos”. Son archivos en formatos de imagen donde aparecía más información. Entre las imágenes que se filtraron aparecieron comprobantes que certifican entregas de tarjetas de crédito y de débito de instituciones financieras (de la mayoría de los que operan en el país), comprobantes de compra que indican el nombre, apellido, dirección y el tipo de producto que adquirió (de seguros, tiendas de ropa, de transporte, entre otras), remitos que certifican que clientes de un banco recibieron un cheque (allí se ve el monto de dinero de lo que recibió, la cédula y la firma de quien acusó recibo).
También aparecen contratos de telepeaje (donde dice el nombre de la persona dueña del vehículo, su firma y la matrícula del coche).
Hay también documentación judicial. Por ejemplo, bancos que reportan sobre la situación bancaria de sus clientes a diferentes juzgados y recibos donde se indica con nombre y apellido quién lo recibió.
En total, fueron 2.088.253 archivos en formato de imagen filtrada entre 2018 y julio de 2019.
Los afectados no solo son clientes de esas empresas. Muchos de los que acusan recibo de ese paquete firman un papel, que luego es escaneado por UES para certificar que la entrega se realizó.
Y en muchos casos no son los dueños de esos productos, pero como firmaron aparecen nombres, cédulas de identidad y firmas de quienes recibieron ese producto.
¿Cuántos usuarios se vieron afectados?
Minard logró descargar durante más de tres semanas todos los registros. "No se dieron cuenta de esto", indicó.
Como los datos de algunos clientes se duplican en los dos sistemas, a Minard le cuesta establecer una cifra final.
De todas formas, en UES hubo 460 mil usuarios afectados y en DAC 362 mil. Minard estima que la cifra global superó a 500 mil uruguayos.
Entre la información que logró descargar, comprobó que fueron más de 54 GB de datos.
La denuncia ante los organismos estatales y el reporte a las empresas
Minard reportó este incidente a las empresas el año pasado. También lo hizo al Centro Nacional de Respuesta a Incidentes de Seguridad Informática (más conocido como Certuy) y a la Unidad Reguladora y de Control de Datos Personales (Urcdp). Allí se formalizó la denuncia con fecha el 16 de julio.
De hecho, ambas entidades lo convocaron a reuniones presenciales ese mes para que explicara su hallazgo, según consta en conversaciones vía WhatsApp a las que accedió Cromo. En esos encuentros, este desarrollador le entregó -según su versión- el 10% de las imágenes que logró descargar y el 100% del listado de personas que recibieron productos.
Fuentes que trabajaron en UES en esa época dijeron que el problema fue arreglado “desde el momento cero” gracias a la ayuda de CertUY y la Urcdp. La empresa cambió de dueños en marzo de este año. Las nuevas autoridades de la compañía, que asumieron luego que fuera comprada por el directorio de UPostal, dijeron que el sistema ya no presenta vulnerabilidades. Cuando los nuevos dueños adquirieron la compañía, preguntaron por este episodio y les confirmaron que había sucedido. “El problema fue real”, dijo una fuente del directorio. Luego, le aclararon que incorporaron nuevos protocolos y que el sistema “está bien”.
Minard aseguró que el sistema actual de UES es más seguro, aunque hay viejas versiones que todavía presentan vulnerabilidades, según comprobó y mostró en portales que cuentan con sitios web de archivo. De hecho, esas nuevas vulnerabilidades que halló en la última semana las añadirá al expediente, contó.
Desde DAC aseguraron que el problema ya fue solucionado. Alejandro Méndez, gerente general de la compañía, indicó que hoy el sistema ya no indica datos personales. “No se informa ni el remitente ni el destinatario del envío. Se mejoró la seguridad”, indicó.
Hay expedientes que están en curso sobre el tema, por lo que el caso todavía no está cerrado. Por ese motivo, la Urcdp no puede hacer declaraciones públicas, dijeron a este medio desde ese organismo.
Hasta ahora, los organismos estatales solo dictaron una resolución contra DAC, realizada el 18 de febrero de este año, en el que lo intiman a corregir el problema que indica datos personales de los clientes cuando se ingresa el número de rastreo de un paquete. La Urcdp señala que se vulneran dos artículos de la ley de datos personales. La resolución cuestiona que al digitar el número de rastreo aparece nombre y apellido, domicilio y considera que "los responsables deben adoptar medidas necesarias para garantizar la seguridad y confidencialidad de los datos personales".
Minard asegura que eliminó toda la información de su computadora. De hecho, cuando entregó la evidencia al gobierno, las autoridades le hicieron firmar un acta en el que se comprometía a borrar toda la información que descargó “de forma inmediata”, según el documento al que tuvo acceso este diario.
Este sábado La Diaria consignó la información sobre filtración.
El pedido de dinero de UES y acusaciones de extorsión
Según la versión de Minard, UES (bajo la administración anterior) al principio pidió su ayuda para arreglar su sistema. Él dijo que les cobraba US$ 50 mil para investigar el episodio y arreglar el sistema, que significaba montar un nuevo sitio web de punta a punta.
El programador aseguró que desde UES le pidieron firmar dos documentos: uno de un acuerdo de confidencialidad en el que asegura que no revelaría a ningún tercero (a excepción de Agesic) los datos que logró filtrar o le cobrarían una multa de US$ 12.500. En ese acuerdo, Minard se comprometería a enviar una lista de todo la información que logró recolectar y a eliminar toda la información que descargó, según el documento al que Cromo tuvo acceso.
En el segundo documento, le indicaban que le darían US$ 12.500 por compartir todo con ellos y no hablar con nadie más.
Los abogados de UES hicieron estas propuestas bajo la idea de que la filtración de Minard es un delito y que a su juicio él había infringido la ley uruguaya. “No tiene derecho a realizar un trabajo que no le pedimos, a pedir un precio exorbitante, condicionando la contratación de servicios futuros y mucho menos contactarse con nuestros clientes. Su actuar puede ser tipificado como un delito de extorsión, entre otros delitos, y UES puede hacer la denuncia penal correspondiente”, le dijo un gerente de la empresa, según uno de los correos electrónicos de julio de 2019 que facilitó Minard a este medio.
"Me negué a firmar. No acepté esos US$ 12.500", dijo. Desde UES indicaron que no existió ni hay intención de entablar algún tipo de acción judicial contra este hombre.
Finalmente, decidió publicar todo el caso en un sitio web en donde relata cómo filtró toda esta información, que se transformó en una de las más grandes de los últimos tiempos y comenzó por no poder localizar dónde estaban unos zapatos.
