(CNN Business) – Decenas de grandes empresas, agencias estatales y federales y otras organizaciones que configuraron mal un ajuste en su software de Microsoft expusieron inadvertidamente la información personal de millones de personas a la Internet pública durante meses, según investigadores de seguridad.
La filtración de datos, que afectó a American Airlines, al Departamento de Salud de Maryland y a la Autoridad de Transporte Metropolitano de Nueva York (MTA, por sus siglas en inglés), entre otros, provocó la exposición de al menos 38 millones de registros, entre los que se incluía información de los empleados, así como datos relacionados con las vacunas contra el covid-19, la localización de contactos y las citas para pruebas, según UpGuard, la empresa de ciberseguridad que descubrió el problema.
Después de que UpGuard notificara de forma privada a Microsoft y a las organizaciones afectadas, se taparon las filtraciones y se eliminó la posibilidad de acceder a la información. Pero mientras la información no estaba protegida, los nombres, los números de la Seguridad Social, los números de teléfono, las fechas de nacimiento, la información demográfica, las direcciones e incluso las fechas de las pruebas de detección de drogas de los empleadores y los datos de afiliación a los sindicatos estaban a disposición de cualquiera que tuviera los conocimientos y la voluntad de buscar, dijo UpGuard.
En el caso de Ford Motor Co., UpGuard dijo que también se habían expuesto listas de vehículos de préstamo distribuidos a los concesionarios.
“Cuando nos enteramos del problema, actuamos rápidamente para evaluar el riesgo [bajo] y cerrar la brecha”, dijo el portavoz de Ford, T.R. Reid, a CNN Business. “No hubo violación de información personal sensible”, aseguró.
Al menos 47 organizaciones expusieron datos
No está claro qué agencias federales pueden haberse visto afectadas por el problema.
Varias de las organizaciones afectadas contactadas por CNN Business, incluyendo American Airlines, la Agencia de Salud de Maryland, la MTA y el Departamento de Educación de Nueva York, confirmaron que aseguraron sus sistemas y que no hay indicios de que sus datos se hayan filtrado indebidamente.
Microsoft dijo a CNN que solo un pequeño número de sus clientes había configurado sus sistemas de forma que permitiera el acceso a los datos a personas no autorizadas.
“Nos tomamos muy en serio la seguridad y la privacidad, y animamos a nuestros clientes a utilizar las mejores prácticas a la hora de configurar los productos de la forma que mejor se adapte a sus necesidades de privacidad”, dijo un portavoz de Microsoft en un comunicado. Desde entonces, la empresa ha modificado la configuración de seguridad del software para que sea más restrictiva por defecto para algunos usuarios.
Al menos 47 organizaciones habían estado exponiendo su información sin saberlo debido a la mala configuración, dijo UpGuard en un informe, publicado este lunes, que resume su trabajo.
La empresa declaró a CNN que es muy posible que haya más organizaciones de las que no se haya enterado. Debido a que el problema no había sido identificado previamente, no era algo que la mayoría de las organizaciones supieran buscar en sus auditorías de seguridad existentes, dijo Kelly Rethmeyer, portavoz de UpGuard.
“Eso es lo que hizo que muchas organizaciones fueran vulnerables a este problema potencial”, dijo Rethmeyer, añadiendo que “en su mayor parte, nuestra experiencia fue que la gente estaba muy dispuesta a querer ponerse al tanto de esto rápidamente y corregirlo, y nadie era consciente de que esto era un problema de seguridad potencial”.
Más empresas en problemas
Otras organizaciones citadas en el informe de UpGuard son el gigante del transporte de mercancías J.B. Hunt, el Gobierno del estado de Indiana y la propia Microsoft. J.B. Hunt no respondió inmediatamente a una solicitud de comentarios. Un portavoz del estado de Indiana declinó hacer comentarios más allá de un comunicado de prensa, emitido por las autoridades sanitarias del estado, en el que se revelaba la filtración.
En un comunicado, American Airlines dijo que su versión de la desconfiguración afectó a “la información de contacto empresarial perteneciente a los gestores de viajes corporativos.”
“Los datos de los pasajeros no se vieron afectados”, dijo la portavoz de la compañía, Andrea Koos. “Apreciamos el trabajo que empresas de seguridad como UpGuard realizan para mantener nuestro negocio y nuestros clientes a salvo”, agregó.
Charles Gischlar, un portavoz del Departamento de Salud de Maryland, dijo que la agencia investigó el informe de UpGuard y encontró que “no había nada que sugiriera ningún tipo de divulgación de información personal identificable o información personal de salud en ningún momento”.
Un portavoz de las escuelas de la ciudad de Nueva York dijo que el Departamento se compromete a proteger la privacidad de sus comunidades escolares, y que se tomaron inmediatamente medidas para asegurar los datos y evitar otra filtración. Un funcionario de la MTA dijo a la CNN que no se habían robado datos y que el problema se había solucionado.
Un problema de configuración
El problema se remonta a una configuración de privacidad de Microsoft Power Apps, un producto ampliamente utilizado por entidades públicas y privadas para compartir datos. Algunas organizaciones, como los organismos de salud pública, han utilizado Power Apps para permitir que los miembros del público accedan a los detalles de sus propios resultados de las pruebas de detección de covid-19 o a los registros de vacunación. Otras organizaciones han utilizado el programa para el mantenimiento de registros internos.
Según el informe de UpGuard, una configuración de acceso, diseñada para limitar los datos que puede ver un usuario y que podría haber evitado las filtraciones, estaba desactivada. UpGuard dijo que descubrió por primera vez el problema en una organización el 24 de mayo. Tras buscar en la red bases de datos igualmente inseguras y encontrar otros muchos ejemplos, UpGuard comunicó el problema a Microsoft el 24 de junio como una posible vulnerabilidad del software.
Según el informe, Microsoft respondió diciendo que las configuraciones funcionaban tal como estaban diseñadas; Microsoft no refutó esa versión a CNN.
UpGuard dijo que comenzó a notificar a las organizaciones afectadas a principios de julio, y muchas de ellas solucionaron la fuga en cuestión de días. A finales de julio, los datos alojados en un dominio, que parecía soportar el uso de Power Apps por parte de las agencias gubernamentales estadounidenses, ya no eran públicos, según UpGuard.
Cambios de Microsoft por la filtración de datos
Microsoft dijo a CNN, este lunes, que ha cambiado la configuración por defecto para que las organizaciones que utilizan las plantillas básicas y las herramientas de diseño de Power Apps tengan la configuración de privacidad activada automáticamente. La empresa aseguró además que otras organizaciones que realicen desarrollos más complejos o personalizados en Power Apps tendrán que habilitar la configuración por sí mismas.
Microsoft también ha lanzado una herramienta para ayudar a las organizaciones a verificar su configuración, dijo UpGuard.
La compañía no quiso responder a las preguntas de CNN sobre si había una razón específica para la configuración inicial por defecto. Sin embargo, la empresa dijo que ha proporcionado orientación a los desarrolladores y ha puesto a su disposición documentación que aconseja a las organizaciones sobre cómo configurar adecuadamente el software de acuerdo con sus necesidades.