La información personal de miles de oficiales y aspirantes a agentes de las fuerzas de seguridad de la India se filtró en internet: huellas dactilares, imágenes de escáneres faciales, firmas y detalles de tatuajes y cicatrices en el cuerpo. Por si esto no fuera lo suficientemente alarmante, más o menos al mismo tiempo, los ciberdelincuentes empezaron a anunciar la venta de datos biométricos de la policía en la app de mensajería Telegram.
El mes pasado, el investigador especializado en seguridad Jeremiah Fowler descubrió los archivos confidenciales en un servidor web expuesto vinculado a ThoughtGreen Technologies, una firma de subcontratación y desarrollo informático con oficinas en India, Australia y Estados Unidos. Dentro de un total de casi 500 gigabytes de archivos que abarcaban 1.6 millones de documentos, fechados desde 2021 hasta el momento en que Fowler los encontró a principios de abril, había una mina de información personal confidencial sobre profesores, trabajadores ferroviarios y oficiales y agentes del orden. Se incluían actas de nacimiento, diplomas, certificados de estudios y solicitudes de empleo.
Fowler, quien compartió sus hallazgos en exclusiva con WIRED, señala que entre los montones de información, los más preocupantes eran los que parecían ser documentos de verificación relacionados con las fuerzas de seguridad o el personal militar de la India. Aunque el servidor mal configurado ya se cerró, el incidente resalta los riesgos de que las compañías recopilen y almacenen datos biométricos, como huellas dactilares e imágenes faciales, y el uso indebido que podría hacerse de ellos si se filtran accidentalmente.
La vulnerabilidad en la recopilación de datos biométricos
“Puedes cambiar tu nombre, tu información bancaria, pero no tu biometría real”, comenta Fowler. El investigador, que también publicó los resultados en nombre de Website Planet, indica que este tipo de datos podrían ser utilizados por ciberdelincuentes o estafadores para dañar y atacar a personas en el futuro, un riesgo que aumenta en el caso de los cargos más delicados de las fuerzas de seguridad.
Dentro de la base de datos que examinó Fowler había varias aplicaciones móviles y archivos de instalación. Uno se titulaba “instalación de software facial”, y otra carpeta contenía 8 GB de información de este tipo. Las fotografías de las caras de las personas incluían rectángulos generados por computadora que suelen emplearse para medir la distancia entre los puntos de la cara en los sistemas de reconocimiento facial.
Había 284,535 documentos etiquetados como Exámenes de Eficiencia Física relacionados con el personal policial, cuenta Fowler. Otros archivos incluían formularios de solicitud de empleo para agentes de las fuerzas de seguridad, fotos de perfil y documentos de identificación con detalles como “lunar en la nariz” y “corte en la barbilla”. Al menos una imagen muestra a una persona sosteniendo un documento con su correspondiente imagen incluida en él. “Lo primero que observé fueron miles y miles de huellas dactilares”, resalta Fowler.
Prateek Waghre, director ejecutivo de la organización india de derechos digitales Internet Freedom Foundation, sostiene que la recopilación de datos biométricos es “inmensa” en toda India, pero que existen riesgos de seguridad añadidos para las personas implicadas en el cumplimiento de la ley. “Muchas veces, la verificación [de identidad] que utilizan los empleados o funcionarios del gobierno también se basa en sistemas biométricos”, explica Waghre. “Si eso se ve potencialmente comprometido, alguien puede hacer un uso incorrecto y acceder a información que no debería”.