Una base de datos que contenía información sensible del Fondo Fiduciario de las Naciones Unidas para poner fin a la violencia contra las mujeres fue expuesta en internet, revelando más de 115,000 archivos relacionados con organizaciones vinculadas o que reciben financiamiento de ONU Mujeres. Los documentos abarcan desde información sobre personal y contratos hasta cartas e incluso auditorías financieras detalladas sobre asociaciones que trabajan con comunidades vulnerables de todo el mundo, incluso bajo regímenes represivos.
Con el fin de garantizar el buen funcionamiento de su acuerdo con Albania, Italia ha reavivado el debate sobre la lista de 22 ‘países seguros’. Nuevas polémicas surgen alrededor de Estados que no cumplen al pie de la letra con la normativa.
Un trabajo de ‘ciberayuda’
El investigador de seguridad Jeremiah Fowler descubrió que la base de datos no estaba protegida con contraseña ni asegurada por otro mecanismo; lo reportó a la ONU para asegurar cuanto antes la información. Este tipo de incidentes no son anormales, muchos investigadores descubren y divulgan con regularidad ejemplos de exposiciones para ayudar a las organizaciones a corregir lagunas en ciberseguridad. Pero Fowler subraya que esta generalización es precisamente la razón por la que es importante reflexionar sobre la amenaza de tales errores de configuración. Los archivos expuestos de ONU Mujeres son un buen ejemplo de un pequeño error que podría crear un riesgo adicional para las mujeres, los niños y las personas LGBTQI+ que viven en situaciones hostiles en todo el mundo.
“Están haciendo un gran trabajo y ayudando a personas reales sobre el terreno, pero el aspecto de la ciberseguridad sigue siendo crítico. Hemos encontrado muchos datos de todo tipo de agencias gubernamentales, la diferencia es que estas organizaciones están ayudando a personas que están en riesgo solo por ser quienes son o por donde están”, declaró Fowler a WIRED. Por medio de un comunicado, un portavoz de ONU Mujeres comentó a WIRED que la organización aprecia la colaboración de especialistas en seguridad y que combina cualquier hallazgo externo con su propia telemetría y monitoreo.
Además, el portavoz indicó que se están poniendo en marcha medidas de contención e investigaciones de acuerdo con su procedimiento de respuesta a incidentes: “Estamos evaluando cómo comunicarnos con las personas potencialmente afectadas para que estén conscientes y alertas, así como incorporar las lecciones aprendidas para prevenir incidentes similares en el futuro”.
La regla de modificar la contraseña cada cierto tiempo puede incentivar a las personas a usar palabras y combinaciones todavía más fáciles.
Datos potencialmente vulnerables
Los información expuesta compromete a personas de múltiples maneras. A nivel de organización, algunas de las auditorías financieras incluyen información sobre cuentas bancarias, pero en términos más generales, las revelaciones proporcionan detalles sobre dónde obtiene cada organización su financiamiento y cómo presupuesta. También incluye desgloses de los gastos de funcionamiento y datos sobre los empleados que podrían utilizarse para determinar las interconexiones entre los grupos de la sociedad civil de un país o región. Igualmente, los archivos proveen detalles sobre las operaciones internas que podrían servir como plantillas para que los autores maliciosos creen comunicaciones de apariencia legítima que supuestamente proceden de la ONU.
“Cualquiera podría ver la lista de organización, detalles del personal y sus actividades; algunos de los proyectos que vi tenían presupuestos de millones de dólares. Si estos datos cayeran en las manos equivocadas o llegaran a la dark web, los estafadores o un gobierno autoritario podrían ver qué organizaciones están trabajando, dónde, y con quién colaboran para atacarlas, e incluso averiguar los nombres de las personas a las que han ayudando”, explica Fowler.
Esto nos lleva al otro elemento crucial del hallazgo: Además de alimentar las estafas y exponer a las organizaciones locales, los datos podrían explotarse para dirigirse a las personas en situación de riesgo con intentos de extorsión o incluso con la acción de las fuerzas de seguridad locales. “Vi cartas de personas que habían sido víctimas de secuestros, violaciones o abusos, gente que contaba su historia creyendo que permanecería en el anonimato. Había una carta de alguien que contrajo VIH y recibía ayuda de una fundación, contaba cómo su familia y sus amigos se habían vuelto en su contra”, describe Fowler.
Si el hallazgo estimula la revisión de la infraestructura y otras detecciones, podría contribuir en gran medida a ayudar a ONU Mujeres, y al extenso ecosistema de organizaciones de la ONU en general, a detectar otros errores fáciles de corregir y prevenir posibles violaciones de datos.
Artículo originalmente publicado en WIRED. Adaptado por Alondra Flores.