|
Una filtración oficial en India expone
el peligro detrás de la recopilación de datos biométricos
La información personal de miles de oficiales y aspirantes a agentes
de las fuerzas de seguridad de la India se filtró en internet:
huellas dactilares, imágenes de escáneres faciales, firmas y
detalles de tatuajes y cicatrices en el cuerpo. Por si esto no fuera
lo suficientemente alarmante, más o menos al mismo tiempo, los
ciberdelincuentes empezaron a anunciar la venta de datos biométricos
de la policía en la app de mensajería Telegram.
El mes pasado, el investigador especializado en seguridad Jeremiah
Fowler descubrió los archivos confidenciales en un servidor web
expuesto vinculado a ThoughtGreen Technologies, una firma de
subcontratación y desarrollo informático con oficinas en India,
Australia y Estados Unidos. Dentro de un total de casi 500 gigabytes
de archivos que abarcaban 1.6 millones de documentos, fechados desde
2021 hasta el momento en que Fowler los encontró a principios de
abril, había una mina de información personal confidencial sobre
profesores, trabajadores ferroviarios y oficiales y agentes del
orden. Se incluían actas de nacimiento, diplomas, certificados de
estudios y solicitudes de empleo.
Fowler, quien compartió sus hallazgos, señala que entre los montones
de información, los más preocupantes eran los que parecían ser
documentos de verificación relacionados con las fuerzas de seguridad
o el personal militar
de la India. Aunque el
servidor mal configurado ya se cerró, el incidente resalta los
riesgos de que las compañías recopilen y almacenen datos
biométricos, como huellas dactilares e imágenes faciales, y el uso
indebido que podría hacerse de ellos si se filtran accidentalmente.
La vulnerabilidad en la
recopilación de datos biométricos
“Puedes cambiar tu nombre, tu información bancaria, pero no tu
biometría real”, comenta Fowler. El investigador, que también
publicó los resultados en nombre de Website Planet, indica que este
tipo de datos podrían ser utilizados por ciberdelincuentes o
estafadores para dañar y atacar a personas en el futuro, un riesgo
que aumenta en el caso de los cargos más delicados
|
|
de las fuerzas de seguridad.
Dentro de la base de datos que examinó Fowler había varias aplicaciones móviles
y archivos de instalación. Uno se titulaba “instalación de software facial”, y
otra carpeta contenía 8 GB de información de este tipo. Las fotografías de las
caras de las personas incluían rectángulos generados por computadora que suelen
emplearse para medir la distancia entre los puntos de la cara en los sistemas de
reconocimiento facial.
Había 284,535 documentos etiquetados como Exámenes de Eficiencia Física
relacionados con el personal policial, cuenta Fowler. Otros archivos incluían
formularios de solicitud de empleo para agentes de las fuerzas de seguridad,
fotos de perfil y documentos de
identificación con detalles como “lunar en la nariz” y “corte en la barbilla”.
Al menos una imagen muestra a una persona sosteniendo un documento con su
correspondiente imagen incluida en él. “Lo primero que observé fueron miles y
miles de huellas dactilares”, resalta Fowler.
Prateek Waghre, director ejecutivo de la organización india de derechos
digitales Internet Freedom Foundation, sostiene que la recopilación de datos
biométricos es “inmensa” en toda India, pero que existen riesgos de seguridad
añadidos para las personas implicadas en el cumplimiento de la ley. “Muchas
veces, la verificación [de identidad] que utilizan los empleados o funcionarios
del gobierno también se basa en sistemas biométricos”, explica Waghre. “Si eso
se ve potencialmente comprometido, alguien puede hacer un uso incorrecto y
acceder a información que no debería”.
Al parecer,
parte de la información biométrica sobre los agentes del orden ya puede
compartirse en internet. Fowler relata que, tras el cierre de la base de datos
expuesta, también descubrió un canal de Telegram, con unos cientos de miembros,
que aseguraba vender datos policiales indios, incluso de personas concretas. “La
estructura, las capturas de pantalla y un par de los nombres de las carpetas
coincidían con lo que yo había visto”, afirma Fowler, quien por razones éticas
no compró los datos que ofrecían los delincuentes, por lo que no pudo verificar
por completo que fueran exactamente los mismos.
“Nos tomamos la seguridad de la información
|
|
con mucha
seriedad, y hemos adoptado medidas inmediatas para asegurar los datos
expuestos”, escribió un miembro de ThoughtGreen Technologie. “Debido a la
sensibilidad de los datos, no podemos hacer comentarios específicos.
Sin embargo, garantizamos que estamos investigando a fondo este asunto
para evitar que vuelva a producirse un incidente de este tipo”.
En diferentes medios, el miembro del personal manifestó que la empresa había
“planteado una queja” a las fuerzas de seguridad de India sobre el incidente,
pero no especificó con qué organización se habían puesto en contacto.
Shivangi Narayan, investigadora independiente en India, opina que la ley de
protección de la información del país debe ser más sólida, y que las empresas y
organizaciones tienen que prestar más atención a la forma en que manejan los
datos de las personas. “En India se recopilan muchos, pero nadie se preocupa de
verdad por la forma de almacenarlos adecuadamente”, destaca Narayan. Las
filtraciones se producen con tanta regularidad que la gente “ha perdido el
factor sorpresa”, añade. A principios de mayo, una compañía de ciberseguridad
declaró que había visto una filtración de datos de reconocimiento facial
relacionada con un cuerpo de seguridad indio, que incluía información policial y
de sospechosos.
Sin embargo, los problemas son más extensos. A medida que los gobiernos, las
compañías y otras organizaciones de todo el mundo confían cada vez más en la
recopilación de datos biométricos para comprobar la identidad o como parte de
las tecnologías de vigilancia, aumenta el riesgo de que la información se
difunda en internet y se abuse de ella. En Australia, por ejemplo, una reciente
filtración de datos de reconocimiento facial que afectó a más de un millón de
individuos condujo a que una persona fuera acusada de chantaje.
“Muchos otros países están considerando la verificación biométrica de las
identidades, y toda esa información tiene que almacenarse en algún sitio”,
indica Fowler. “Si la cedes a una empresa externa, o a una compañía privada,
pierdes el control de esos datos. Cuando se produce una filtración, te metes en
un gran problema”.
|
