Grave brecha 'biométrica': los datos físicos y personales de 1M de usuarios, al descubierto

Los datos de más de un millón de personas de todo el mundo, incluido el personal de los bancos, la Polícia Metropolitana de Reino Unido y empleados de compañías que trabajan con Defensa, han quedado al descubierto. Así lo ha publicado este mismo miércoles el periódico The Guardian, a quienes los propios investigadores que han encontrado este "agujero" en el sistema utilizado por la plataforma especializada en seguridad de edificios Biostar 2, perteneciente a la compañía Suprema, trasladaron la información durante el pasado fin de semana y antes de que se publicase en el blog vpnmentor.com.

Los investigadores israelíes, especializados en privacidad en Internet, Noam Rotem y Ran Locar, quienes trabajan con la entidad que ha hecho pública en primera instancia la información y que se dedica a revisar servicios de redes virtuales privadas, hallaron durante la semana pasada lo que se conoce como "un agujero". Una brecha de seguridad que les permitió acceder a la base de datos de Biostar 2 que se encontraba en la red desprotegida y en su mayoría, sin cifrar.

A través de esta base de datos los investigadores pudieron acceder a más de 27,8 millones de registros y 23 GB de datos entre los que pudieron encontrar todo tipo de información personal y física. Paneles de administración, tableros, datos de huellas digitales, de reconocimiento facial, nombres de usuario, contraseñas sin cifrar, registros de acceso a distintas instalaciones, detalles personales e incluso fotografías faciales que se utilizaban para realizar el reconocimiento.

"Pudimos encontrar contraseñas de texto correspondientes a cuentas de administrador", ha indicado al medio británico Rotem. Este experto ha insistido en que "el acceso" a estos datos "permite ver que millones de usuarios están utilizando este sistema para acceder a diferentes ubicaciones y ver en tiempo real qué usuario accede a qué instalación o incluso, en qué habitación".

Además, Rotem ha indicado que en el momento en el que encontraron el acceso a la base de datos, pudieron editarlos y "agregar nuevos usuarios". Algo que se traduce en que existe la posibilidad de que alguien cambie los datos personales de un usuario de Biostar 2 por los suyos propios consiguiendo así acceder tanto a cualquier edificio al que este esté autorizado a entrar o de crearse un usuario propio.

Los investigadores han calificado este descubrimiento de "alarmante" pues, según indican, este servicio se encuentra en más de 1,5 millones de edificios en todo el mundo, y a diferencia de las contraseñas que se filtran, contra la revelación de los datos de una huella dactilar el usuario no puede hacer nada. Obviamente, cambiársela no es una opción.

La empresa ha "cerrado el agujero"

Tras su descubrimiento, los ingenieros intentaron contactar con Suprema, por parte de quien no habían conseguido recibir respuesta. Sin embargo, según han comunicado a The Guardian, durante la tarde del pasado martes el agujero quedó cerrado y la vulnerabilidad subsanada.

"Si ha habido una amenaza grave sobre nuestros productos y/o servicios, tomaremos las medidas necesarias y haremos los anuncios necesarios para proteger los negocios y activos de nuestros clientes", indicó al medio el jefe de marketing de Suprema, Andy Ann, quien también especificó que se estaba llevando a cabo una "evaluación en profundidad" de la información proporcionada por los ingenieros. En estos momentos aún no se sabe si la brecha puede haber afectado a empresas españolas que puedan tener estos sistemas instalados y que en nuestro país se distribuyen a través de la compañía Kimaldi.