Casi un millón de pasaportes y documentos de identidad con foto quedaron sin protección en internet: dónde se rompió la cadena
Las filtraciones de datos suelen narrarse alrededor de la figura del atacante. El caso del que informa The Verge traza otra línea: no hay atacante, solo un depósito en la nube dejado abierto.
Según el medio, alrededor de 950.000 pasaportes, permisos de conducir y documentos de identidad con foto recopilados por las plataformas de verificación de usuarios Nefos y PuffPal se encontraron en un bucket de Amazon S3 accesible en internet sin contraseña.
Las dos empresas conservan documentos de clientes para sectores regulados — una para la verificación de edad en clubes de cannabis, la otra para ventas en línea de tabaco — bajo reglas nacionales distintas pero usando la misma infraestructura externa de almacenamiento.
El investigador de seguridad Jeremiah Fowler descubrió el bucket durante un escaneo y lo notificó a The Verge. Fowler dijo que el bucket estaba configurado con permiso public-read, lo que significa que cualquiera con conexión podía listar y descargar los documentos.
Los archivos más sensibles son escaneos de pasaporte a resolución completa. Esas imágenes valen mucho más, en el mercado del robo de identidad, que una sola tarjeta de pago. En el marco de la verificación de edad para adultos, algunos usuarios habían combinado además selfie y documento; ambos eran legibles juntos en internet abierto.
Contactadas por The Verge, las dos empresas cerraron el bucket tras la publicación. El tiempo durante el cual estuvo abierto y el número de descargas todavía no se conoce. Ambas reconocieron el error en sus comentarios al medio.
Las consecuencias legales pueden ser graves. El RGPD europeo permite multas de hasta el 4 % de la facturación para este tipo de fugas, con independencia de la intención. A nivel estatal en EE. UU., la CCPA de California fija un suelo de 100 dólares de daños y perjuicios estatutarios por usuario.
Los incidentes de este tipo no son aislados. Empresas de seguridad indican que el número de fugas de documentos de identidad debidas a errores de configuración en S3 crece un 18 % anual desde hace tres años. La ambigüedad de los ajustes por defecto del almacenamiento en la nube es el factor causal más frecuente.
El caso pone también en evidencia el problema de cadena de auditoría de los pequeños servicios de verificación de terceros. Cuando un bar o un dispensario en línea pide un documento, la empresa que termina almacenándolo puede cambiar sin que el usuario lo sepa; el marco regulatorio aún no cubre esa arquitectura.
Vesper cubre noticias de tecnología y seguridad con fines informativos. Si cree haber sido afectado por una filtración de datos personales, contacte con la autoridad nacional de protección de datos competente.
Para seguir leyendo
Cómo el reparto con drones de Wing pasó de novedad a servicio rutinario
La unidad de reparto con drones de Alphabet, Wing, ha pasado en un año de noticia televisiva a entrada en las listas de seguimiento logístico. Las cifras operativas recogidas por TechCrunch muestran que el reparto con drones ha dejado de ser una novedad y se ha convertido en un flujo asentado.
Buscar en internet no exige IA: un tribunal falla contra Google
Un tribunal federal de Estados Unidos ha establecido un hallazgo destacado en el caso antimonopolio de varias ramas contra Google: la IA no es una característica inevitable de un servicio de búsqueda. El fallo, resumido por Ars Technica, debilita directamente la defensa de Google sobre los AI Overviews.
Los norcoreanos están detrás de casi la mitad de los hackeos en la tecnológica estadounidense, según un informe de CrowdStrike
Un nuevo informe de CrowdStrike indica que el 46 % de los ciberataques dirigidos contra la tecnológica estadounidense durante el último año procedieron de actores vinculados a Corea del Norte. Según TechCrunch, las operaciones no se limitan al robo de datos, sino que buscan también la infiltración mediante falsas candidaturas laborales.
¿Qué es DiffusionGemma? El modelo abierto de Google DeepMind que ejecuta IA local 4 veces más rápido
Google DeepMind ha publicado DiffusionGemma, que lleva la arquitectura de difusión a su serie abierta Gemma. Según Ars Technica, el modelo funciona unas cuatro veces más rápido en un dispositivo local que un transformer convencional de tamaño comparable, lo que reabre la pregunta del rendimiento en portátiles y teléfonos.
La NASA designa la tripulación de Artemis III y fija un calendario de vuelo ambicioso
Según Ars Technica, la NASA designó oficialmente a la tripulación de Artemis III, la primera misión tripulada a la superficie lunar desde Apolo, y fijó un calendario de lanzamiento ambicioso. Varios componentes críticos de la arquitectura de la misión siguen en fase de pruebas.
