Una inmensa base de datos con la información personal y, en algunos casos, financiera era utilizada por una empresa ecuatoriana para ofrecer servicios de ‘Big Data’, segmentación de datos e, incluso, bases de datos financieras.
La construcción de la extensa base de datos de Novaestrat ha sido la base de una gran polémica que puso en evidencia la inexistencia de una ley de protección de datos, así como la fragilidad de las plataformas públicas en las que la información de los ecuatorianos está almacenada.
El portal ZDNet relata que Noam Rotem y Ran Locar, dos investigadores de la empresa VPNMentor, investigaron y encontraron que un servidor de Novaestrat -donde estaba guardada esa base de datos- tenía vulnerabilidades que podían permitir el acceso fraudulento a la información.
Los datos de esta base habrían sido obtenidos de dos grandes fuentes: bases de datos gubernamentales y bases privadas. La empresa tomó información de instituciones como el Registro Civil, el BIESS y otras, y las consolidó utilizando tecnología de código abierto de la empresa Elastic.
Elastic Search, por ejemplo, es un motor de búsqueda que permite almacenar y analizar información textual, numérica e incluso datos georeferenciados (con información de ubicación espacial).
Este es el núcleo de Elastic Stack, que es un conjunto de herramientas utilizado para el almacenamiento, visualización y análisis de información.
Según la información compartida por Rotem y Locar con ZDNet, la base de Novaestrat guardaba unos 20,8 millones de registros.
El Instituto Ecuatoriano de Estadísticas y Censos indica en su web que la población de Ecuador es de 17,3 millones de habitantes, por lo que Novaestrat podría haber configurado su base incluso con datos de personas fallecidas o con registros duplicados de algunas de las bases de origen.
Los intentos de los investigadores de VPNMentor de contactar a Novaestrat para advertirles de las vulnerabilidades en su servidor fueron infructuosas; su sitio web no contaba con un número de contacto a una dirección de correo a la cual se pudiera escribir.
La página web de la empresa Novaestrat describía las actividades a las que se dedicaba la empresa.
De hecho, poco después de conocerse de la base de datos usada por Novaestrat, su página web fue despublicada.
Fue entonces que VPNMentor contactó con el Centro de Respuesta e Incidentes Informáticos (EcuCERT) de la Agencia de Regulación y Control de las Telecomunicaciones (Arcotel).
Un reporte de la empresa de seguridad informática ESET explica que la vulnerabilidad finalmente fue corregida el 11 de septiembre de 2019, y solo después de la intervención del EcuCERT, ya que Novaestrat no tomó ninguna acción previa para corregir sus vulnerabilidades.
La base de Novaestrat, que almacenaba principalmente datos en texto, tenía un peso total de 18 Gb. Para tener una perspectiva del tamaño de esta base, un archivo de audio de un minuto, en formato MP3, pesa 1 Mb.
En el caso de Novaestrat, en 18 Gb almacenó, como registros de texto visualizables y listos para su búsqueda, los datos de prácticamente todos los ecuatorianos.
Ante la ausencia de un marco legal con respecto a la protección de datos, no habría forma de castigar esta filtración de información sin consentimiento para usos comerciales.
Sin embargo, en el Código Orgánico Integral Penal la interceptación y revelación ilegal de datos se sanciona con la privación de libertad de tres a cinco años.
Agustín Martínez y William Garcés, presidente y gerente de Novaestrat respectivamente, rindieron este martes 17 de septiembre de 2019 su versión ante la Fiscalía por esta masiva filtración de datos.
Lo último