El 10 de noviembre del 2020 el Laboratorio de privacidad y seguridad digital de Karisma K+LAB, detectó una vulnerabilidad en el sitio web de Migración Colombia que exponía más de 800.000 registros de personas con datos personales y más de 4000 documentos concernientes a diligencias hechas en esta institución. Los datos personales del formulario de citas de Migración Colombia incluían nombre, apellido, tipo y número de documento, año de nacimiento, sexo, teléfono y correo electrónico.
En la siguiente semana Karisma reportó la vulnerabilidad a Migración Colombia. En pocos días se hizo una reunión con los responsables donde informamos los hallazgos y se comprometieron a trabajar en ellos.
El 19 de noviembre, tras una revisión de rutina para conocer el estado de la vulnerabilidad reportada, se estableció que había sido solucionada y por tanto ya se podía informar de lo sucedido. Usualmente aún así esperamos unas semanas para publicar el informe correspondiente, en este caso las vacaciones de fin de año lo demoraron.
Es importante resaltar que al publicar estos informes siempre nos aseguramos de no exponer información específica sobre la(s) vulnerabilidad(es). El propósito de compartir esta información es permitir a otras organizaciones aprender del caso y mitigar riesgos semejantes, además de explicar con el ejemplo cómo se pueden hacer reportes de vulnerabilidades en forma responsable, pues hay un interés público también en que este tipo de problemas se conozca, la gente tiene derecho a saberlo.
Dado que en este caso no se hizo una auditoría a todo el sistema, el informe es breve, solo explica las generalidades sobre la vulnerabilidad reportada y los alcances de la misma.
Te invitamos a navegar por este reporte
Los hallazgos
La vulnerabilidad consistió en que la API usada en la página web de Migración Colombia para reservar citas y manejar documentos ligados a éstas, no tenía ningún método de autenticación.
Sin autenticación todas las funciones que escriben y leen datos de la base de datos quedan expuestas y sin restricciones, esto permitía navegar por las cuentas de las personas usuarias y por el sistema de gestión de subida de documentos al servidor. Los datos personales consignados en estás cuentas incluían nombre, apellido, tipo y número de documento, año de nacimiento, sexo, teléfono y correo electrónico de personas que debían adelantar trámites ante migración y documentos como imágenes de pasaportes, respuestas a peticiones, solicitudes, entre otros.
Al identificar esta brecha de seguridad y establecer la naturaleza de la información expuesta, se intentó establecer si esta vulnerabilidad había sido explotada. En una búsqueda para tratar de determinar si la base de datos estaba siendo comercializada o usada ilegalmente no se encontraron indicios que permitieran llegar a esta conclusión.
Algunas lecciones
Las APIs inseguras son un riesgo creciente para las organizaciones que deben poner más atención a estos componentes que conectan internet con los sistemas internos y que deben ser parte fundamental de los modelos de amenazas. Se tiene la noción de que los sistemas periféricos de seguridad, como los firewalls, son suficientes para contener los ataques externos, pero esto no es así.
Cuando las aplicaciones se desarrollan al interior de las organizaciones (in house) pueden tener vulnerabilidades dado que en las instituciones no siempre se cuenta con un equipo que pueda profundizar en temas de seguridad. En otros casos, cuando las instituciones tercerizan el desarrollo, también pasa que si no cuentan con la capacidad interna que les permita conocer la forma como está hecha la aplicación, tampoco pueden evaluar posibles vulnerabilidades, así que es usual que estas no sean detectadas oportunamente. En otros casos las aplicaciones no son actualizadas con frecuencia y esto las hace vulnerables.
En cualquier caso, de cara a prevenir este y otros tipos de problemas de seguridad, toda aplicación que maneje datos sensibles debería contar con una auditoría interna periódica y tener seguimientos y actualizaciones constantes. Estas prácticas deben estar incorporadas en las políticas de seguridad institucionales.
El manejo responsable de la información concerniente a esta vulnerabilidad consistió en hacer un reporte rápido a los responsables, y con ello se logró una solución en un tiempo razonable que contribuye a que la información de cientos de miles de personas se proteja de una manera más adecuada para evitar fraudes, chantajes y otros incidentes derivados de la naturaleza de la información que estuvo expuesta.
Sobre el trabajo de K+LAB
El K+Lab de Fundación Karisma realiza auditorías ciudadanas a páginas y aplicaciones del Estado que gestionen intensivamente datos personales. Este reporte se suma a otros hechos por el K+Lab sobre análisis realizados a CoronApp Colombia, Medellín me cuida y CaliValleCorona, a la DIAN y la Unidad de víctimas, entre otros. Este proyecto además busca evidenciar los beneficios y la necesidad de que el Estado cree rutas de divulgación de vulnerabilidades de seguridad digital. Las metodologías que se usan para detectar vulnerabilidades no incluyen métodos intrusivos.
1 comentario
Cordial saludo. Quisiera establecer si la solución a la vulneración del dato permaneció en el tiempo.