Domingo 11 de mayo de 2008
Un "hacker" publicó archivos con información sustraída de los servidores de instituciones públicas y privadas. Entre ella, datos del Servel, Mineduc y compañías telefónicas.
Datos personales de seis millones de chilenos quedaron públicamente disponibles en internet durante la madrugada y mañana de ayer, luego que fueran sustraídos desde los servidores de diferentes entidades públicas y privadas para ser publicitados por la red.
Se trata de registros de nombres de personas, números de RUT, direcciones, teléfonos comerciales y particulares, correos electrónicos e información académica y social obtenida desde la Dirección General de Movilización Nacional (DGMN), el Servicio Electoral (Servel), el Ministerio de Educación (Mineduc), el sitio PSU 2005 y registros telefónicos.
La alerta la dio el sitio FayerWayer, un visitado blog chileno dedicado a temas tecnológicos, que recibió los datos en uno de sus foros la madrugada del sábado (ver nota relacionada).
De inmediato los administradores del sitio dieron cuenta a la Brigada del Cibercrimen de la Policía de Investigaciones, que realizó las primeras diligencias durante el día de ayer.
"De ser cierto, se trataría de un hecho grave. Por ello, se investiga la veracidad de la información", explicó ayer el comisario Jaime Jara, quien aseguró que se enviará un oficio a la Fiscalía Metropolitana Centro Norte.
La información también fue publicada por la página elantro.cl, donde un usuario dejó disponibles los links de la página donde están almacenados los archivos. Se trata de un servidor internacional de alojamiento de datos. Luego de dos horas, el administrador de la página también borró los links, pero los datos siguen en internet.
"El Mercurio" accedió a la documentación, entre la que se pudo constatar un instructivo para que los usuarios hagan uso de la información.
En el archivo "readme.txt", el autor de la filtración explica que la idea es "mostrar lo mal protegidos que están los datos en Chile". A renglón seguido, dice que "ya que nadie se esmera en proteger esta información, hacerla pública para todo el mundo".
Luego, hace una descripción de los datos y la cantidad de registros de cada institución.
En el caso del Mineduc hay registros de los pases escolares e información de inscripción de la prueba PSU 2005. También hay un listado de números telefónicos equivalente a una guía comercial y residencial de toda la Región Metropolitana (2 millones de personas).
Incluso, el autor del texto dice que con los datos se puede generar un mapa virtual con Google Earth o Google Maps, donde se pueda ver gráficamente un mapa de dónde vive cada persona. Añade que con los folios del pase escolar y según los datos de la tarjeta Bip se podrían mostrar los recorridos de esa persona.
El "hacker" recomienda descubrir datos "freak": "La hija de Bachelet tiene pase escolar, aun cuando a mucha gente no se lo dan porque sus padres ganan más de una cierta cantidad".
Administrador de sitio web relata cómo descubrió la información
José Ignacio Stark, uno de los administradores del blog www.fayerwayer.com relató a "El Mercurio" cómo apareció la información en uno de los foros de su sitio y las medidas que adoptó al descubrir la magnitud de los datos que se estaban divulgando.
"La información apareció a eso de las 1:30 de la madrugada del sábado en un comentario y dos topics de los foros de FayerWayer. Es decir, el autor de esto creó dos temas en el foro de nuestra página", explicó.
El informático explica que cuando vieron los links, descargaron la información y se dieron cuenta de qué se trataba.
"Inmediatamente, el comentario fue borrado y a la hora siguiente los temas fueron borrados. Sin embargo, aprovechándose de que Google indexó la página (la almacenó y la dejó disponible), hubo gente que tuvo acceso a los archivos de todas maneras", dice Stark.
Los administradores dieron cuenta inmediata a la Brigada del Cibercrimen de la Policía de Investigaciones a través de un correo electrónico. Le enviaron copias originales de los mensajes agregados a la página.
Pero no contaban con que, durante la mañana de ayer, otra persona, que se deberá determinar si es la misma, creó una cuenta y se registró en la comunidad elantro.cl bajo un nickname. Ya como usuario de dicha página, subió los links que llevaban directo a los archivos con las bases de datos. Esto ocurrió a las 11:20 de la mañana. Dos horas más tarde, el administrador del sitio mantuvo el mensaje pero suprimió los links.
Ambos sitios fueron contactados durante el día de ayer por efectivos del Cibercrimen, quienes se encuentran analizando los antecedentes sobre los mensajes y ubicación de los archivos. Stark espera que esto se resuelva a la brevedad. "Aquí se tienen que hacer las revisiones internas en las entidades públicas. Es un asunto muy grave", concluyó.
Fuente: antro.cl, http://www.fayerwayer.com, emol.cl
Terrible!
Que susto!!!!
Tan mal protegidos estamos?
Maria Jose