41 M de cuentas de correo, al descubierto

'Hackean' la web de la escuela de negocios IESE y acceden a miles de datos personales

La Nueve, el grupo de 'hackers' vinculado a Anonymous, se ha colado en parte de los servidores web del IESE a través de una vulnerabilidad. Miles de datos personales han quedado al descubierto

Foto: Pantallazo de parte de los servicios web del IESE comprometidos. (Imagen: La9)
Pantallazo de parte de los servicios web del IESE comprometidos. (Imagen: La9)

La Nueve, el grupo de 'hackers' vinculado a Anonymous autor en el pasado de acciones contra Cedro (la SGAE de los libros), la Cámara de Comercio de Madrid, iDental o El Corte Inglés, se ha colado ahora en parte de los servidores web de la escuela de negocios IESE a través de una vulnerabilidad, explican, en una de sus bases de datos a la que se podía acceder en internet. El grupo ha compartido un enlace al descubierto que almacena cientos de documentos con miles de nombres, apellidos, correos electrónicos, usuarios y contraseñas de clientes de IESE, tanto empresas como particulares.

"Trabajar con servidores bajo Windows XP y ASPNET es una osadía, mucho más si se almacenan en ellos 41.782.180 correos, 301.148 datos personales...". Es uno de los mensajes que ha publicado hoy La Nueve en su cuenta de Twitter. Con el tuit, el grupo da una pista de parte de la vulnerabilidad: usar un sistema operativo al que Microsoft ya ha dejado de dar soporte y una versión antigua de ASPNET, un 'software' libre creado por Microsoft para la gestión de servidores web.

El enlace publicado por La Nueve daba acceso a a cualquiera a parte del contenido del servidor de IESE Publishing, distribuidor de material docente del IESE. Al entrar el sistema no pedía ni usuario ni contraseña, estaba totalmente desprotegido. Una hora después de su publicación, el enlace ha sido retirado de la red en abierto. El directorio al que se podía acceder era el mostrado en la imagen debajo:

Contactados por Teknautas, miembros de La9 aseguran que la vulnerabilidad es en realidad más grave de lo que se apuntaba inicialmente: aseguran que hay "28 bases de datos Oracle expuetas, 23 desde el servidor que acaban de tirar". Todo apunta a que técnicos del IESE están intentando encontrar la fuente del fallo, pero aún no habrían sido capaces de asegurar todos sus servidores web. Esta imagen muestra las 23 bases de datos expuestas que habrían sido comprometidas:

"De momento, a estas horas [11:10 de la mañana del lunes 17] los agujeros de seguridad no se han resuelto, todos siguen el camino que les hemos enseñado", explican a este diario por escrito miembros de La9. "Hemos dado un Index abierto y un pantallazo de una web de compras y todos han seguido esa linde, desde los más expertos hasta los más incipientes hackers", señalan.

A media mañana de hoy, IESE ha publicado un comunicado sobre lo ocurrido: "Los servidores web del IESE Business School está siendo víctima desde ayer por la noche de continuados ataques informáticos. Se ha producido un acceso no autorizado a datos de clientes. La página web IESE Publishing se ha visto afectada. El ataque ha alcanzado también al portal de conocimiento IESE Insight. Ambas páginas están ahora offline. Lamentamos profundamente este hecho, y estamos poniendo todos los medios para resolver el incidente en la mayor brevedad posible. En IESE somos conscientes de la importancia de salvaguardar los datos de nuestros clientes, alumnos, trabajadores y colaboradores externos y sentimos lo ocurrido. Estamos trabajando con expertos en ciber seguridad y estamos informando a todos nuestros antiguos alumnos y a los clientes de IESE Publishing".

El fallo es importante, ya que, además de dejar al aire miles de datos personales de clientes de la escuela de negocios, permite, entre otras cosas, usar cuentas ajenas para adquirir casos de negocio en la web del IESE, en una parte de la misma denominada IESE Publishing. Para demostrar el problema, La Nueve ha probado a comprar informes usando los datos de usuarios ajenos almacenados en los servidores web.

Contactados por Teknautas, miembros de La9 aseguran que "de momento, a estas horas [11:10 de la mañana del lunes 17] los agujeros de seguridad no se han resuelto y que todos siguen el camino que les hemos enseñado", explican por escrito. Todo apunta a que la información publicada por La9 sobre el origen de la vulnerabilidad puede no ser la verdadera puerta de entrada, y hayan encontrado otro fallo del que no han hablado en detalle. "Hemos dado un Index abierto y un pantallazo de una web de compras y todos han seguido esa linde, desde los más expertos hasta los más incipientes hackers", señalan. Contactado por este diario, un portavoz del IESE asegura que están trabajando para analizar lo sucedido y ofrecer pronto una explicación oficial.

Como ya apuntan algunos usuarios, el fallo podría suponer una investigación y sanción por parte de la Agencia Española de Protección de Datos (AEPD) si el IESE no logra justificar por qué gestionaba parte de sus servidores web con información delicada usando 'software' desfasado. Está por ver si la AEPD realizará una investigación de oficio o esperará a la presentación de una denuncia por alguno de los usuarios o empresas afectadas, si esta se produce.

Tras la entrada en vigor el pasado mayor del ya famoso Reglamento General de Protección de Datos (RGPD, o GDPR, en sus siglas en inglés), muchas compañías están obligadas a nombrar a un delegado de protección de datos (DPO) para controlar todo lo relativo al almacenamiento y gestión de información de carácter personal de sus clientes y usuarios. ¿Qué empresas lo deben contratar? Lo explica el artículo 37 de la nueva normativa: todos los organismos públicos, empresas que gestionen datos a "gran escala", y aquellas que traten datos personales que "revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas, el tratamiento de datos genéticos y biométricos, datos relativos a la salud y datos relativos a la vida sexual o la orientación sexuales de una persona física".

No parece que el IESE pueda caer en esta categoría, pero la AEPD podría actuar igualmente ante este tipo de fallos y vulnerabilidades. La escuela de negocios de momento no ha realizado ningún comunicado tras conocerse el fallo.

El abogado especializado en internet y privacidad Carlos Sánchez-Almeida señala que, en este caso, la normativa vigente a aplicar es el Real Decreto-ley 12/2018 de seguridad de las redes y sistemas de información. Según los artículos 36 y siguientes, el fallo cometido por el IESE puede suponer una falta grave o muy grave. "De momento lo que tiene que hacer la AEPD es iniciar la investigación de oficio. Si el IESE ha notificado el incidente, no tiene por qué haber sanción. Lo que está claro es que la normativa estaba ya en vigor en el momento del hackeo", explica

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
6 comentarios
Por FechaMejor Valorados
Mostrar más comentarios