(CNN) – Una enorme base de datos en línea que aparentemente contenía la información personal de hasta mil millones de ciudadanos chinos permaneció sin protección y accesible al público durante más de un año, hasta que un usuario anónimo en un foro de hackers ofreció vender los datos y atrajo la atención la semana pasada.
Según los expertos en ciberseguridad, la filtración podría ser una de las mayores registradas en la historia, y subraya los riesgos de recopilar y almacenar grandes cantidades de datos personales sensibles en línea, especialmente en un país en el que las autoridades tienen un acceso amplio y sin control a dichos datos.
El vasto tesoro de datos personales chinos había sido accesible públicamente a través de lo que parecía ser un enlace de puerta trasera no segura, esto es, una dirección web de acceso directo que ofrece acceso sin restricciones a cualquiera que lo conozca, desde al menos abril de 2021, según LeakIX, un sitio que detecta e indexa bases de datos expuestas en línea.
El acceso a la base de datos, que no requería contraseña, se cerró después de que un usuario anónimo anunciara los más de 23 terabytes de datos a la venta por 10 bitcoin, aproximadamente US$ 200.000, en una entrada en un foro de hackers el pasado jueves.
El usuario afirmaba que la base de datos había sido recopilada por la policía de Shanghái y contenía información sensible sobre mil millones de ciudadanos chinos, incluidos sus nombres, direcciones, números de teléfono celular, números de identificación nacional, edades y lugares de nacimiento, así como miles de millones de registros de llamadas telefónicas realizadas a la policía para informar sobre disputas civiles y delitos.
El vendedor incluyó una muestra de 750.000 entradas de datos de los tres índices principales de la base de datos en su publicación. CNN verificó la autenticidad de más de dos docenas de entradas de la muestra proporcionada por el vendedor, pero no pudo acceder a la base de datos original.
El gobierno y el departamento de policía de Shanghái no respondieron a las repetidas solicitudes de comentarios por escrito de CNN.
El vendedor también afirmó que la base de datos no segura había sido alojada por Alibaba Cloud, una filial del gigante chino del comercio electrónico Alibaba. En una declaración a CNN, Alibaba dijo que estaba al tanto del incidente y que lo estaba investigando.
Pero los expertos con los que habló CNN dijeron que era el propietario de los datos quien tenía la culpa, no la empresa que los alojaba.
“Creo que esta es la mayor filtración de información pública hasta la fecha, ciertamente en términos de la amplitud del impacto en China, estamos hablando de la mayor parte de la población”, dijo Troy Hunt, un director regional de Microsoft con sede en Australia.
En China viven 1.400 millones de personas, lo que significa que la filtración de datos podría afectar a más del 70% de la población.
“Es un caso en el que el genio no podrá volver a meterse en la botella. Una vez que los datos han salido a la luz en la forma en que parecen estarlo ahora, no hay vuelta atrás”, dijo Hunt.
No está claro cuántas personas han accedido a la base de datos o la han descargado durante los 14 meses, o más, que ha estado disponible públicamente en Internet. Dos expertos occidentales en ciberseguridad que hablaron con CNN conocían la existencia de la base de datos antes de que se hiciera pública la semana pasada, lo que sugiere que podría ser descubierta fácilmente por personas que supieran dónde buscar.
Vinny Troia, investigador de ciberseguridad y fundador de la empresa de inteligencia de la “dark web” Shadowbyte, dijo que descubrió por primera vez la base de datos “alrededor de enero” mientras buscaba bases de datos abiertas en línea.
“El sitio en el que lo encontré es público, cualquiera (podría) acceder a él, todo lo que tienes que hacer es registrarte para obtener una cuenta”, dijo Troia. “Como se abrió en abril de 2021, cualquier persona podría haber descargado los datos”, añadió.
Troia dijo que descargó uno de los principales índices de la base de datos, que parece contener información sobre casi 970 millones de ciudadanos chinos.
Troia dijo que era difícil juzgar con certeza si el acceso abierto era un descuido de los propietarios de la base de datos, o si era un atajo intencional destinado a ser compartido entre un pequeño número de personas.
“O se olvidaron de ella, o la dejaron abierta intencionadamente porque les resulta más fácil acceder a ella”, dijo, refiriéndose a las autoridades responsables de la base de datos. “No sé por qué lo harían. Parece muy descuidado”.
Los datos personales inseguros, expuestos a través de filtraciones, brechas o alguna forma de incompetencia, son un problema cada vez más común al que se enfrentan empresas y gobiernos de todo el mundo, y los expertos en ciberseguridad dicen que no es inusual encontrar bases de datos que se dejan abiertas al acceso público.
En 2018, Trioa descubrió que una empresa de marketing con sede en Florida expuso cerca de 2 TB de datos que parecían incluir información personal de cientos de millones de adultos estadounidenses en un servidor de acceso público, según Wired.
En 2019, Victor Gevers, un investigador de ciberseguridad neerlandés, encontró una base de datos en línea que contenía nombres, números de identificación nacional, fechas de nacimiento y datos de ubicación de más de 2,5 millones de personas en la región del extremo occidental de China, Xinjiang, que se dejó sin protección durante meses por la empresa china SenseNets Technology, según Reuters.
Pero la más reciente filtración de datos es especialmente preocupante, según los investigadores de ciberseguridad, no solo por su volumen potencialmente sin precedentes, sino también por la naturaleza sensible de la información contenida.
Un análisis de CNN de la muestra de la base de datos encontró registros policiales de casos que abarcan casi dos décadas, desde 2001 hasta 2019. Aunque la mayoría de las entradas son disputas civiles, también hay registros de casos criminales que van desde el fraude hasta la violación.
En un caso, un residente de Shanghái fue citado por la policía en 2018 por usar una red privada virtual (VPN) para evadir el cortafuegos de China y acceder a Twitter, supuestamente retuiteando “comentarios reaccionarios que involucran al Partido (Comunista), la política y los líderes”.
En otro registro, una madre llamó a la policía en 2010, acusando a su suegro de violar a su hija de 3 años.
“Podría haber violencia doméstica, abuso infantil, todo tipo de cosas ahí, eso para mí es mucho más preocupante”, dijo Hunt, el director regional de Microsoft.
“¿Podría esto llevar a la extorsión? A menudo vemos extorsiones a individuos tras las filtraciones de datos, ejemplos en los que los hackers pueden incluso intentar pedir un rescate a los individuos”.
El gobierno de China ha intensificado recientemente sus esfuerzos para mejorar la protección de la privacidad de los datos de los usuarios en línea. El año pasado, el país aprobó su primera Ley de Protección de la Información Personal, que establece las normas básicas sobre cómo deben recogerse, utilizarse y almacenarse los datos personales. Pero los expertos han expresado su preocupación por el hecho de que, si bien la ley puede regular a las empresas tecnológicas, su aplicación al Estado podría resultar difícil.
Bob Diachenko, un investigador de seguridad con sede en Ucrania, dio con la base de datos por primera vez en abril. A mediados de junio, su empresa detectó que la base de datos había sido atacada por un actor malicioso desconocido, que destruyó y copió los datos y dejó una nota de rescate en la que pedía 10 bitcoins por su recuperación, según Diachenko.
No está claro si fue obra de la misma persona que anunció la venta de la información de la base de datos la semana pasada.
El 1 de julio, la nota de rescate había desaparecido, según Diachenko, pero solo quedaban 7 gigabytes (GB) de datos disponibles, en lugar de los 23 TB anunciados inicialmente.
Diachenko dijo que esto sugería que el rescate se había resuelto, pero los propietarios de la base de datos habían seguido utilizando la base de datos expuesta para almacenar, hasta que se cerró el fin de semana.
“Tal vez hubo algún desarrollador junior que se dio cuenta y trató de eliminar las notas antes de que la alta dirección se diera cuenta”, dijo.
La policía de Shanghái no respondió a la solicitud de comentarios de CNN sobre la nota de rescate.