James Steidl - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Contratista republicano expone datos personales de casi 200 millones de votantes estadounidenses

Una base de datos mal configurada que contiene los datos personales sensibles de más de 198 millones de votantes estadounidenses quedó expuesta en internet por una empresa que trabajaba en nombre del Comité Nacional Republicano.

La compañía de resiliencia cibernética UpGuard ha descubierto datos de votantes estadounidenses sin protección en un servidor de nube accesible al público, alojado por Amazon Web Services y propiedad de la empresa de datos republicana Deep Root Analytics.

Los datos fueron descubiertos por Chris Vickery, analista de riesgos cibernéticos de UpGuard, el 12 de junio, mientras buscaba fuentes de datos mal configuradas.

Los datos incluyeron 1.1TB de información personal totalmente no asegurada, compilada por Deep Root Analytics y al menos otros dos contratistas republicanos, TargetPoint Consulting y Data Trust.

El repositorio de datos era accesible para cualquier persona con una conexión a internet simplemente navegando a un subdominio Amazon de seis caracteres, "dra-dw", que significa "Deep Root Analytics Data Warehouse".

El depósito fue protegido contra el acceso público el 14 de junio, después de que Vickery notificara a las autoridades federales. Deep Root dijo en una declaración que los datos fueron expuestos el 1 de junio cuando la empresa actualizó la configuración de seguridad. Si esto es cierto, los datos estuvieron expuestos durante dos semanas.

La información personal de potencialmente casi la totalidad de los 200 millones de votantes registrados en los EE.UU. fue expuesta por un período de tiempo desconocido. También se desconoce quién, además de Vickery, descubrió y accedió a los datos, que incluían nombres, fechas de nacimiento, direcciones de residencia, números de teléfono y detalles de registro de votantes.

Los datos también incluyeron análisis avanzados del sentimiento utilizados por los grupos políticos para predecir las preferencias de los votantes individuales en temas como la posesión de armas, la investigación con células madre y el derecho al aborto, así como la sospecha de afiliación religiosa y etnias.

Los datos expuestos sobrepasan por mucho las incumplimientos anteriores de datos electorales en México y Filipinas por más de 100 millones de personas más afectadas, exponiendo la información personal de más del 61% de la población estadounidense.

Según el equipo de riesgo informático de UpGuard, los datos expuestos proporcionan una idea del funcionamiento interno de la operación de 100 millones de dólares en datos del Comité Nacional Republicano (RNC) para las elecciones presidenciales de 2016.

Deep Root Analytics, TargetPoint y Data Trust se encontraban entre las empresas contratadas por RNC que trabajaban como núcleo del equipo de datos electorales de la Campaña Trump de 2016, en el cual el partido confiaba para influir en los votantes potenciales y predecir con precisión su comportamiento.

El repositorio de datos de RNC adquiriría en última instancia cerca de 9.5 mil millones de puntos de datos sobre tres de cada cinco ciudadanos de los EEUU, marcando a 198 millones de votantes potenciales de los EE.UU. sobre sus preferencias políticas probables, usando el modelado algorítmico avanzado a través de 48 categorías.

Además de los 1,1 TB de datos no garantizados, habían 24 TB de datos configurados para impedir el acceso público.

Según UpGuard, esta exposición plantea cuestiones importantes sobre la privacidad y la seguridad que los ciudadanos estadounidenses pueden esperar de su información más privilegiada.

También llega en un momento en que la integridad del proceso electoral estadounidense ha sido probada por una serie de ataques cibernéticos contra las bases de datos de votantes estatales, lo que despierta la preocupación de que el riesgo cibernético pueda representar cada vez más una amenaza para las instituciones democráticas y gubernamentales más importantes de Estados Unidos, asegura la firma.

UpGuard dijo que es "preocupante" que una enorme base de datos nacional pudiera ser creada y alojada en línea, faltando incluso la más simple de las protecciones contra los datos de acceso público. La capacidad de recolectar esa información y almacenarla de forma insegura pone en duda las responsabilidades que deben las corporaciones privadas y las campañas políticas a los ciudadanos, quienes son el objetivo de operaciones de análisis de datos, cada vez más poderosas”, asegura la compañía.

En una publicación de su blog, UpGuard expone que "lo que está fuera de debate en 2017 es la creciente incapacidad para confiar en la integridad de los sistemas de tecnología de la información, especialmente a escala. A medida que aumenta la dependencia de la tecnología, aumenta la superficie del riesgo cibernético; conforme más y más funciones de la vida migren hacia las plataformas digitales, más y más funciones de la vida invitan a los riesgos cibernéticos.”

Continúa: “Más allá de las casi ilimitadas aplicaciones criminales de los datos expuestos con fines de robo de identidad, fraude y reventa en el mercado negro, el robo de los datos y el poder analítico de la modelización podría aplicarse a esfuerzos aún más ambiciosos: marketing corporativo, objetivos políticos avanzados".

Acción preventiva

La compañía dijo que cualquiera de estos potenciales abusos de información privada puede ser prevenido, siempre y cuando las partes interesadas obedezcan unos simples preceptos en la recolección y almacenamiento de datos.

Brad Keller, director ejecutivo de la estrategia de terceros en la firma de gestión de riesgos Prevalent, dijo que aunque este incidente involucrara información de los votantes, podría haber sido la estrategia de lanzamiento de un producto nuevo, una propiedad intelectual, o una campaña de marketing vinculada a una fusión o adquisición sin previo aviso.

"El punto es que incluso la información que puede parecer benigna a primera vista puede ser extremadamente valiosa y crear pérdidas económicas directas, si no está debidamente protegida", dijo Keller.

El descubrimiento de la base de datos expuesta pone de relieve una vez más la importancia de garantizar la seguridad de los proveedores tercerizados.

El RNC dijo en una declaración que ha dejado de trabajar con Deep Root "en espera de la conclusión de su investigación sobre los procedimientos de seguridad", según CNN.

"Si bien Deep Root ha confirmado que la información a la que se accede no contiene ninguna información propietaria de RNC, el RNC toma muy en serio la seguridad de la información de los votantes y exigimos que los vendedores hagan lo mismo", especificó el RNC.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close