18
Mié, Sep

Falla expone millones de huellas y datos de reconocimiento facial
Noticias Tecnológicas

¿Quién iba a pensar que dejar su huella cada vez que entra a un edificio iba a causar problemas? Se estima que más de 5.000 organizaciones de casi un centenar de países, incluyendo a Colombia, usan la plataforma Biostar 2.

Las huellas dactilares de “millones de personas”, así como copiosa información de reconocimiento facial, fueron descubiertas en una base de datos accesible al público por autoridades del Reino Unido. 

Según se reveló a los medios, la cantidad de datos hallada representa casi 23 gigabytes y se compone de 28 millones de registros.

Además los datos biométricos, las autoridades se sorprendieron al descubrir nombres de usuario y hasta contraseñas –en muchos casos, sin cifrar- e información personal de los empleados de conocidos bancos, de una cadena de gimnasios en India, de un servicio de parqueaderos en Finlandia, de contratistas de defensa en Inglaterra y hasta de la Policía Metropolitana de Londres.

La base afectada pertenece a Suprema, una firma de seguridad responsable del sistema de bloqueo biométrico Biostar 2 (basado en web) que es ampliamente usado para autorizar el ingreso a oficinas, almacenes y bodegas en instalaciones seguras. Su sitio web la describe como "un actor global en el campo de la biométrica, la seguridad y la gestión de identidad”.Se estima que más de 5.000 organizaciones de casi un centenar de países usan la plataforma Biostar 2. El extenso portafolio de productos de control biométrico de Suprema se vende en Colombia y, de hecho, es usado para controlar acceso a sus instalaciones por la Policía Nacional. 

No queda claro si en la base de datos vulnerada había datos de usuarios de nuestro país.

El hallazgo

Los investigadores Noam Rotem y Ran Locar de Vpnmentor se dieron a la tarea de verificar el manejo de la información almacenada en los servidores de Suprema. Con sorpresa hallaron que en gran medida esta se encontraba desprotegida y sin cifrado alguno. Para acceder a los datos bastaron instrucciones muy simples en el servidor de búsqueda Elasticsearch.

Pero lo más aterrador de esta historia es un dato que está al final del informe de Rotem y Locar: Los datos no solo eran accesibles, sino manipulables. 

Esto quiere decir que, en teoría, un intruso podría editar el registro para, por ejemplo, agregar una huella nueva y asociarla al nombre de algún usuario. Bajo las condiciones adecuadas, si la base adulterada era empleada por los servicios de la empresa cliente, un tercero podría entrar a una instalación segura asumiendo la identidad de alguien en el listado.

En declaraciones a The Guardian, los investigadores señalaron que se trata de una gravísima falla de seguridad, no sólo por el alcance geográfico de las empresas afectadas, sino porque compromete información biométrica como huellas y registros faciales, que a diferencia de una contraseña vulnerada no se puede cambiar jamás.

Fuente: El Tiempo – Agosto 15 de 2019

Recomendados