Ayer nos hacíamos eco de la filtración de datos publicada por el grupo de seguridad Digital Research Team, una información que montó un grave revuelo en internet pero que en realidad se trataba de una falsa condecoración hacker. Los datos no habían sido extraídos con malicia de los servidores oficiales, sino que en realidad, campean a sus anchas por internet para que cualquiera pueda obtenerlos con una simple búsqueda en Google.
No son hackers, más bien trolls
Podríamos decir que su amenaza de revelar más detalles era más bien un trolleo masivo a organizaciones oficiales y Universidades públicas. El grupo ha eliminado todos los mensajes de su cuenta de Twitter, y tal y como han informado hoy en El Confidencial tras contactar con la empresa QuantiKa14, todos los datos expuestos en su timeline eran simplemente registros públicos que se pueden encontrar a día de hoy en internet.
[RelatedNotice blank title=»Hackers exponen datos del Ministerio de Justicia y otros organismos como medida ética»]https://eloutput.com/noticias/otros/hackers-ministerio-justicia-universidades-datos-robado/[/RelatedNotice]
Eso revela sin embargo otro problema bastante serio, y es la visibilidad de documentos que podrían mostrar información delicada de personas, ya que como demuestran en el blog de la empresa QuantiKa14, una simple búsqueda en Google sirve para obtener datos similares a los que la organización “hacker” aseguraba poseer. Si especificamos a Google que busque documentos PDF almacenados en el servidor de la Junta de Andalucía y que contengan la palabra DNI, podremos obtener una gran lista de resultados con detalles que podrían usarse con malas intenciones.
¿Están las administraciones y entidades públicas protegiendo correctamente nuestros datos? https://t.co/tZoW1BoygN vía @QuantiKa14
— FCD-intelligence (@IntelligenceFCD) 14 de febrero de 2019
La importancia de proteger los datos
Más allá de los ataques directos, la seguridad en los sistemas también debe de contemplar qué información es accesible con total libertad, algo que parece que no han tenido en cuenta en los servidores citados ayer. Al final, el supuesto hackeo ha servido también para demostrar las debilidades de los organismos, y es que este tipo de información no debería de aparecer en Google bajo ningún concepto.
Digital Research Team lanza un comunicado oficial
El grupo de seguridad ha querido salir al paso garantizando que sus publicaciones no buscaban ningún tipo de recompensa ni intercambio de datos con ninguna otra organización. Según ellos, sólo buscaban hacer pública la vulnerabilidad que existe en los sistemas de los diferentes organismos, sin embargo, no hablan de los métodos utilizados. Mientras ayer parecían demostrar que eran capaces de entrar en los servidores, hoy se ha demostrado que más bien lo que hicieron fue encontrar resultados a través de Google, algo que sin duda servirá para mejorar la seguridad de los datos, pero que poco tiene que ver con un ataque que ponga en compromiso a los servidores.
#Comunicado Fecha: 14/02/19 pic.twitter.com/NazqSmivrv
— DigitalResearchTeam (@digitalrteam) 14 de febrero de 2019