Minerva Studio - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Fuga de base de datos de votantes expone las deficientes prácticas de seguridad en la nube

Una enorme filtración de base de datos de votantes, por parte del partido Republicano de EE.UU., hace hincapié en las pobres prácticas de seguridad en la nube en vigor en el gobierno de los Estados Unidos y muchas empresas.

Ha habido una erupción de malas prácticas de seguridad cibernética descubiertas en el gobierno de los Estados Unidos en los últimos dos años, pero la más reciente es una fuga de información de la base de datos de votantes del comité Republicano que los expertos dicen que podría haberse evitado.

Un investigador del equipo de UpGuard Cyber ​​Risk encontró una fuga del Comité Nacional Republicano (RNC), con información de la base de datos de votantes que quedó expuesta y sin protecciones por parte de la firma republicana Deep Root Analytics, en un servidor de Amazon Web Services que cualquiera podría descubrir.

El analista de riesgos cibernéticos de UpGuard, Chris Vickery, encontró 198 millones de registros de la base de datos de votantes sin protecciones en un servidor AWS conectado al RNC. Y además, Vickery dijo aseguró que no era "muy difícil" encontrar los datos.

"El espectro de servidores de almacenamiento mal configurados en la nube que derraman datos en la internet abierta continúa siendo un fenómeno demasiado común, como lo demuestra el descubrimiento de una base de datos de acceso público, de una empresa de datos del RNC, la cual expone los datos personales de 198 millones de votantes potenciales", expresó el equipo de UpGuard a nuestra publicación hermana SearchSecurity. "Aunque la escala puede ser sin precedentes, las cuestiones centrales que impulsan la exposición son generalizadas a través de internet. Había un subdominio de caracteres de seis letras entre 198 millones de personas y la exposición. Esta base de datos fue expuesta al público por un período de tiempo desconocido y si alguien entró en ese subdominio de seis letras, podrían haber accedido a ella."

Para empeorar las cosas, la información de la base de datos de votantes en la fuga del RNC fue "muy detallada", de acuerdo con UpGuard, incluyendo datos sobre los potenciales votantes de Obama y Romney en 2012, los potenciales votantes de Trump y Clinton en 2016, así como individuos que votarían tomando en cuenta cuestiones como el medio ambiente o la educación en ciencias, tecnología, ingeniería y matemáticas. La base de datos también incluyó datos sobre personas que votaron sobre temas específicos como el ObamaCare, el uso de combustibles fósiles, la inversión en infraestructura y si se debería detener o no la inmigración ilegal, o si el votante se sentía positivamente o negativamente hacia la situación financiera de los EE.UU.

Según Adam Conway, vicepresidente de gestión de productos de Bracket Computing, una compañía de seguridad de cómputo en la nube con sede en Mountain View, California, esta filtración del RNC es probablemente "un indicador de lo fácil que es cometer errores al configurar recursos de almacenamiento en la nube –errores que pueden poner en riesgo los activos sensibles críticos".

El descubrimiento se produce menos de un mes después de que Vickery descubriera un repositorio de archivos en AWS, también sin protecciones, que parecía estar registrado por Booz Allen Hamilton (BAH), la compañía de servicios gubernamentales con sede en McLean, Virginia.

"[La] nube pública es de autoservicio y cualquier persona con acceso a la cuenta de administrador puede cambiar la configuración de privacidad en un servidor como los de los ejemplos de BAH y Deep Root. Los desarrolladores o contratistas pueden establecer que los servidores sean públicos de forma accidental, pensando en facilitar la configuración de las aplicaciones que acceden a los datos, o bien hacerlo maliciosamente", dijo Conway a SearchSecurity. "Todas las organizaciones –las agencias gubernamentales y las empresas por igual– son vulnerables a este escenario porque es tan difícil de prevenir en un mundo de autoservicio".

Itsik Mantin, director de investigación de seguridad de Imperva, dijo que cuando se trata de la nube, "controlar datos sensibles en la era moderna de inundaciones de datos es un desafío para la mayoría de las industrias".

"Para probar si un cubo es público, lo único que se necesita saber es el nombre del cubo", dijo Mantin a SearchSecurity. "Un actor malintencionado que está interesado en una organización específica puede probar varias conjeturas para los nombres relacionados con el objetivo, y si el cubo está mal configurado, como era en este caso, la conjetura correcta dará lugar a la exposición de los datos.”

Michael Patterson, CEO de Plixer, la compañía de análisis de tráfico de red con sede en Kennebunk, Maine, dijo a SearchSecurity que "cualquier organización que alberga información confidencial sobre sistemas conectados a internet está en riesgo".

"La mayoría de los gobiernos son un objetivo y deben asumir que ya están infectados con malware que pretende herir sus datos. Las malas prácticas de protección de datos son parte del problema", dijo Patterson. "Tener buenos sistemas de monitoreo que proporcionan inteligencia de tráfico de la red es otro problema. Cuando se producen compromisos –cosa que sucederá– ¿cómo investigará la organización qué ocurrió?"

Ben Johnson, CTO de Obsidian Security, una empresa de seguridad cibernética basada en Newport Beach, California, dijo que "las bases de datos desprotegidas se encuentran a través de la participación activa – esencialmente la caza y el husmear– o a través de medios automatizados.

"En el frente automatizado, a veces es tan fácil como averiguar la consulta adecuada de Google para encontrar datos expuestos, mientras que otras veces los atacantes escriben sistemas automatizados para recorrer internet (o a los proveedores de la nube) en busca de ciertos elementos accesibles que conducen a la veta del tesoro de datos", dijo Johnson a SearchSecurity. “Una vez que estas filtraciones se hacen públicas, más actores entrarán al juego para tratar de explotar y monetizar los datos.”

Posibles problemas generalizados por la fuga del RNC

Dado el escaso esfuerzo de seguridad demostrado en esta fuga de la base de datos de votantes del RNC, los expertos dijeron que era probable que hubiera una cuestión más generalizada.

"Si usted ve un problema, es probable que tenga un problema generalizado. Incluso las agencias gubernamentales que tienen muy fuertes prácticas de protección de datos es probable que estén trabajando con terceros contratistas que no lo hacen. BAH y Deep Root definitivamente no son las únicas agencias o contratistas que han dejado los datos desprotegidos en la nube pública", dijo Rich Campagna, vicepresidente sénior de productos y marketing de Bitglass, la compañía de seguridad móvil y en la nube. "Para encontrar estos almacenes de datos no protegidos, es necesario buscarlos, pero cualquiera que sepa ejecutar una exploración simple puede acceder a estos datos directamente, sin quebrar contraseñas, cifrado, etc."

Patterson dijo que "cualquier información que esté conectada a internet es vulnerable".

"El robo de información personalmente identificable (PII) es rampante. Cada vez que un tercero de forma irresponsable publica los datos o se sufre una brecha, la vida de las personas se ve afectada. Los actores malos son capaces de correlacionar los datos robados de múltiples fuentes para reunir la información que necesitan para hacer ganancias monetarias. Todos los datos que están conectados a internet son vulnerables", dijo Patterson. "Es la responsabilidad de cualquier organización que recopile y almacene PII el adoptar enfoques de mejores prácticas para monitorear la integridad de esos datos y proporcionar notificación oportuna sobre si esos datos están comprometidos".

Ken Spinner, vicepresidente de ingeniería de campo de Varonis, la compañía de software de seguridad con sede en Nueva York, dijo que en el caso de los datos de los votantes del RNC, "parece que la información sensible expuesta va más allá de los datos personales (nombres, direcciones y números de teléfono) e incluye un análisis sobre temas potencialmente polémicos y asuntos políticos –todo ello ubicado en un servidor de Amazon accesible al público."

"Exponer este tipo de datos, y en tal cantidad, es una enorme bandera roja, no sólo los datos críticos y la investigación pueden verse comprometidos, sino que los datos personales pueden aprovecharse para romper sistemas más seguros", dijo Spinner a SearchSecurity. "Las organizaciones –incluyendo los contratistas– necesitan asegurarse de que sus datos tienen controles básicos. Los datos no pueden estar abiertos a todos, los usuarios no deben acceder a lo que se supone que no pueden acceder, y todo acceso debe ser vigilado y registrado. No se puede observar lo que no se puede ver, y demasiadas organizaciones están ciegas".

Fuga del RNC con respecto a la seguridad en la nube

Según John Bambenek, gerente de inteligencia de amenazas de Fidelis Cybersecurity, "si los datos son sensibles a la divulgación, es necesario pensar, en primer lugar, si se deben poner estos datos confidenciales en los servicios en la nube".

"Si una organización opta por hacer eso, entonces necesitan asegurarse de que hay controles de seguridad efectivos para controlar el acceso. Esto significa un mínimo de claves de acceso (o nombre de usuario/contraseña), pero también se debe examinar el cifrado”, dijo Bambenek a SearchSecurity. "Las llaves de acceso pueden ser robadas y una vez que eso sucede, muy rara vez se cambian esas claves".

Tim Prendergast, CEO de Evident.io, una compañía de seguridad en la nube con sede en Pleasanton, California, dijo que la fuga del RNC podría deberse a que el equipo del RNC tiene "las intenciones correctas, pero la intención de asegurar no es suficiente".

"Las organizaciones gubernamentales y los que trabajan con el gobierno tienen la más alta responsabilidad de hacer cumplir la vigilancia continua de seguridad y cumplimiento, ya que tienen la obligación de proteger los datos de sus ciudadanos", dijo Prendergast. "Los hackers están siempre buscando el camino de menor resistencia, por lo que cuando hay una forma fácil de acceder a los datos, una vez descubierto será explotado de inmediato. También es importante tener en cuenta que cuando los datos están disponibles, son vulnerables incluso a intenciones no maliciosas. Un actor no autorizado, pero bien intencionado, podría borrar, cambiar o incluso duplicar archivos y compartirlos fuera del grupo de usuarios."

Evitar las fugas de datos en la nube

Mantervo de Imperva dijo que "las empresas deben tomar el control de sus datos críticos de negocio, independientemente de si se almacenan dentro del perímetro de la organización en puntos finales, bases de datos y archivos compartidos, o a través de servicios en la nube".

"Esto incluye el monitoreo y auditoría de acceso a datos, y el uso de herramientas analíticas para identificar ataques y comportamiento anómalo", dijo Mantin. "Por ejemplo, recuperar una gran cantidad de datos sensibles que genere una alerta a un oficial de seguridad puede llevar no sólo a examinar si se hizo por razones legítimas, sino también a revisar las prácticas adoptadas por el usuario para mantener estos datos seguros".

Mike Shultz, director ejecutivo de Cybernance, una compañía de ciberseguridad con sede en Bee Cave, Texas, dijo que el primer paso para prevenir una exposición como la de la fuga del RNC es "entender la postura actual de su organización en materia de seguridad cibernética".

"Requerir de sus socios tercerizados el mismo nivel de madurez de seguridad cibernética que usted mismo maneja es vital para proteger la información que su organización trabaja tan duro para asegurar", explicó Shultz. "Los programas regulares de formación de los empleados para todos los departamentos, incluido el personal a tiempo completo y parcial, deben ser respetados, ya que el 80% de los incumplimientos se deben a fracasos de las personas internas y no a fallas de la tecnología. Asignar responsabilidades es la última pieza de este rompecabezas, y debe caer en los hombros del liderazgo. Si los ejecutivos no implementan y ordenan la sensibilización y la formación de toda la empresa, la responsabilidad recae sobre ellos en caso de una violación inevitable".

Prendergast dijo que crear una "cultura de seguridad dentro de una empresa es un primer paso".

"Cosas como la autenticación de múltiples factores y exigentes contraseñas complejas son un buen comienzo", dijo Prendergast. "Más allá de eso, los equipos de TI y DevOps deben monitorear y auditar constantemente las diferentes partes de sus operaciones internas para determinar dónde tienden a ocurrir las vulnerabilidades y emplear políticas de remediación estrictas y rápidas para solucionar problemas y asegurar que no sucedan en el futuro."

Scott Petry, CEO de Authentic8, la compañía de navegación en la nube de Mountain View, California, dijo que "las organizaciones necesitan tratar todos los datos como sensibles y protegerlos de esa forma".

"Una pérdida de datos puede presentar un riesgo existencial para una organización, y su perspectiva de seguridad de la información necesita cambiar", dijo Petry a SearchSecurity. "Cuando las empresas subcontratan el trabajo a los contratistas, deben ser tan vigilantes, si no es que más, como con el producto de trabajo de un empleado. Un número de brechas de alto perfil en el último año señalan a los contratistas o consultores.

Este artículo se actualizó por última vez en junio 2017

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close