La empresa colombiana Coninsa registró una fuga de datos de 1TB de información, unos 5.5 millones de registros con la información de más de 100 mil clientes.
El problema se generó por una mala configuración de un medio de almacenamiento AWS S3, lo que permitió a los atacantes acceder sin necesidad de claves o credenciales de acceso para ver la información sin cifrar y contenia fotos, direcciones y números teléfonicos entre otros.
El equipo de ciberseguridad de WizCase que detectó el incidente lo reportó a Coninsa, pero no hubo respuesta
WizCase’s security team recently found a major breach affecting the online database of Colombian real estate development firm… We reached out to the company, but did not receive a reply so far
¿Qué información fue expuesta?
El reporte de WizCase es bastante interesente, del que presento los puntos más relevantes
- Información de la compañia
- Información de identificación personal (PII): nombres, teléfonos, dirección, pagos y valores de activos (propiedades)
- Información de empresas clientes
- La mayoría son documentos: facturas, notas de crédito, cotizaciones, estados de cuenta y notas de crédito
- Los documentos son de años entre 2014 y 2021
- También se encontró una base de datos de respaldo con mayores de talles: fotografía de perfil, usuario de acceso y claves en hash
- En términos monetarios, la información expuesta revela transacciones de entre 140 y 200 billones de dolares
El medio de almacenamiento también contenia otra información de servicios internos de la empresa. También se encontro código Backdoor en el sitio web oficial, que permite a cualquir grupo criminal poder modificar el contenido y crear páginas fraudulentas para fines de Phishing.
WizCase proporcionó parte del código malicioso encontrado
En el sitio web de la empresa Coninsa existe el apartado de Política para tratamiento de datos personales. En el capítulo IV, sección 2 indica
2. DEBERES DE CONINSA RAMÓN H. S.A.
De conformidad con lo establecido en el artículo 17 de la Ley 1581 de 2012, la Compañía se compromete a cumplir en forma permanente con los siguientes deberes en lo relacionado con el tratamiento de datos personales:
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
Más allá de lo indicado ¿Será que se lo toman en serio?
¿Qué legislación existe en Colombia sobre violación de datos?
En Colombia existen dos leyes enfocadas en la protección de datos personales
- Ley Estatuaria 1266 de 2008
- Ley Estatuaria 1581 de 2012
En el año 2020 la Superintendencia de Industria y Comercio (SIC) impuso multas por 7,580 millones de pesos colombianos, consecuencia de 16 mil quejas recibidas. El 89% de las sanciones fue por infracciones a la ley 1266 y el 11% restante por infracciones a la ley 1581.
En julio de 2021 la SIC presentó una guía sobre protección de datos personales con el fín de apoyar a las empresas a evitar ser sancionadas.
¿Qué lección deja lo sucedido?
Ingenuamente muchos piensan que únicamente bancos o instituciones gubernamentales son víctimas de la ciberdelincuencia, sin embargo, esto no es cierto. Los departamentos de IT de empresas pequeñas y grandes suelen implementar tecnología de hardware y software sin considerar aspectos de Cibserseguridad, lo que facilita incidentes como el de la empresa Coninsa. La información personal es un recurso valioso en el mundo digital, ya que su comercialización y posterior uso para cometer fraude genera reditos millonarios, que hoy forman parte de un mercado creciente y de gran dinamismo.
