En la mañana del 28 de mayo de 2019, apareció información sobre una fuga de datos en el portal de la revista de negocios británica Investment Week (investmentweek.co.uk), que expuso los registros y datos de 330 000 usuarios. Los investigadores anónimos que notaron la filtración dieron a conocer más detalles en un hilo de conversación en Reddit.

La vulnerabilidad fue descubierta el 4 de abril de 2019, y algunos pueden preguntarse por qué nos estamos enterando de este hecho tan tarde. De hecho, la compañía que está detrás de Investment Week –Incisive Media– emitió un comunicado el 29 de abril, pero la manera silenciosa en que se hizo no logró captar la atención de nadie.

Nos pusimos en contacto con los investigadores para brindarte un informe exclusivo de los detalles.

Fuga de datos de Investment Week: ¿qué, cuándo, cómo?

El 4 de abril de 2019, los investigadores descubrieron por primera vez un nodo Elasticsearch sin protección, en el servidor de Investment Week. Dos semanas después, el 18 de abril de 2019, investigaron manualmente y encontraron una base de datos que contenía aproximadamente 330 000 registros no protegidos de información personal de usuarios:

  • Nombres completos
  • Direcciones de correo electrónico
  • Información de suscripción
  • Ciudad
  • Número de teléfono
  • Compañía
  • País

La base de datos también contenía contraseñas md5 de función ‘sal’ y ‘hash’ (tipos de algoritmos criptográficos). Esto está considerado como una mala práctica en los círculos de la seguridad cibernética, ya que las contraseñas que aparecen de esta manera son susceptibles de ataques de fuerza bruta.

Después de ingresar con éxito a la base de datos, los investigadores abordaron a Investment Week el mismo día, pero sólo recibieron una respuesta el 25 de abril de 2019. Esto significa que la vulnerabilidad existió durante al menos 21 días, suponiendo que el problema se solucionó el 25 (día en que recibieron una respuesta). También existe la posibilidad (aunque imposible de confirmar) de que la base de datos haya estado expuesta antes de que los investigadores detectaran el problema por primera vez, el 4 de abril.

Respuesta de Incisive Media

Aunque el anuncio en el sitio web de Incisive Media indica que la situación se ha solucionado (la información se eliminó del servidor, se realizó una auditoría, se restablecieron las contraseñas), la respuesta es problemática de varias maneras.

En primer lugar, la brecha de tiempo entre el momento en que se informó a la compañía de la violación (18 de abril), y cuando informaron a la Oficina del Comisionado de Información, o ICO, en inglés (26 de abril), excede el requisito del GDPR de reportarse en 72 horas.

Además del tema legal, hay varios aspectos éticos a considerar:

  • El anuncio afirma incorrectamente que “no se han visto involucrados ninguna otra información o datos” en la filtración, excepto los nombres, las direcciones de correo electrónico y las contraseñas de los usuarios.
  • Ignora el inadecuado método de cifrado.
  • No menciona expresamente el sitio web afectado (investmentweek.co.uk), ni presenta la información donde es más probable que los usuarios la vean (en su lugar, optan por el sitio web de la empresa matriz).

Los riesgos

Es sabido que los talentosos estafadores de identidad causan estragos en el uso de una pequeña cantidad de información personal. Juzgado en ese contexto, la fuga de datos de Investment Week contiene una gran cantidad de municiones para varios ataques de ingeniería social, como phishing, baiting o pretexting. Todos estos se refieren a la práctica de manipular a las personas utilizando datos personales para obtener más datos u obtener acceso a diversos servicios.

Un factor importante a considerar es la base de usuarios de la revista Investment Week. Esta es una publicación especializada, dirigida a profesionales de negocios y finanzas, personas con mucho que perder en términos de dinero, información valiosa y más. Esa es otra razón más por la que creemos que el manejo de la situación por parte de Incisive Media es negligente.

Los ‘hackers’ éticos que notaron la fuga de datos de Investment Week afirman tener información sobre más vulnerabilidades en curso.