Chiletrabajos.cl filtra datos de usuarios registrados

Fugas de información y ataques de ingeniería social

El año 2013 (o 2012, si mal no recuerdo), mientras buscaba trabajo postulando en varios portales web, me di cuenta que uno de ellos estaba filtrando los datos personales de cientos y miles de personas que confiaban en ellos. Desconcertado, eché mano a footprinting y fingerprinting con el objetivo de hallar direcciones de correo electrónico que me permitieran un contacto medianamente directo con los dueños o administradores de la plataforma. Reporté la fuga de información y, al igual que casi todas las compañías mediocres en Chile, hicieron vista gorda, rehuyeron mi ayuda y, ahora, casi dos años después, veo que la fuga de información pasó de 500.000 datos a casi 230.000, es decir, no han corregido la falla:

Fuga de Información
Fuga de Información

Vale, pero, ¿cuál es la gravedad del asunto? Chiletrabajos.cl asegura, en su ítem Privacidad On-line de la sección Términos y condiciones, que “se hace responsable por la privacidad de la información veraz entregada por el Usuario, no revelará, ni compartirá esta información sin el consentimiento del usuario, excepto cuando lo requiera la ley o a solicitud del gobierno…“. Y como si fuera poco, en la sección de Privacidad, afirman que “CHILETRABAJOS ha adoptado los niveles de seguridad de protección de los Datos Personales legalmente requeridos. Aunque CHILETRABAJOS no garantiza la seguridad de los Datos Personales en circunstancias fuera de nuestro control, CHILETRABAJOS ha instalado los medios y medidas técnicas para tratar de evitar la pérdida, mal uso, alteración, acceso no autorizado y robo de los Datos Personales facilitados a CHILETRABAJOS…“. Presten atención, pues dejo subrayada la frase tratar de evitar, ya que podría ser un subterfugio por medio del cual estos señores dirían: “tratamos de evitarlo, no aseguramos 100% la confidencialidad de los datos“; lo cual sería doblemente fatal.

¡Fuga y descarga de los datos de manera legal!

En la captura siguiente podemos ver cómo cualquier persona con los conocimientos suficientes, sin infringir ningún tipo de ley, podrá descargar un archivo excel de los resultados de búsqueda (libres y públicos) en Google con las URLs en cuestión:

Filtración de Datos Chiletrabajos.cl
Filtración de Datos Chiletrabajos.cl

Este archivo excel luego se puede procesar con el simple pero potente comando wget en la terminal de Linux, y violà!, a la velocidad de la luz, ya tenemos nuestra propia base de datos con nombre, apellido, RUT, dirección, teléfono, email, estado civil, e historial laboral de miles de chilenos, y sin realizar ningún tipo de ataque o intrusión:

Base de Datos Chiletrabajos.cl
Base de Datos Chiletrabajos.cl

Ataques de Ingeniería Social, Malware & Spam

¿Postulaste a un empleo a través de Chiletrabajos.cl y después de eso comenzaste a recibir una alta carga de correo basura? Pues bien, este flaco favor se lo debes a los despreocupados señores de Chiletrabajos.

Pero, peligrosamente más allá: ¿qué podemos hacer con esta valiosa información, además de venderla como base de datos para email marketing? ¿Te has preguntado alguna vez cómo se idean, planifican y ejecutan los ataques de ingeniería social y la propagación de malware?

Para demostrar la gravedad del asunto, diseñé un hoax modelo que podría ser utilizado en un eventual ataque:

Ejemplo de Hoax para Ataque de Ingenieria Social
Ejemplo de Hoax para Ataque de Ingenieria Social

En teoría, habríamos logrado infectar miles de computadoras con spyware para armar una linda botnet que utilizaríamos para robar, editar y descargar información en los equipos controlados, así como extraer información del browser (usuarios, contraseñas, etc), potenciar la botnet instalando software adicional, inyectando ilegalmente clicks no válidos en campañas de publicidad por click o para ataques DDoS.

¿Cómo prevenir fugas de información?

A nivel empresarial, asegúrate siempre de que la información sensible no se almacene en un servidor público, como política interna. Además, técnicamente hablando, el departamento de desarrollo y producción, o tu webmaster, debe siempre usar métodos y herramientas que permitan bloquear toda clase de archivos y URLs de cara a los motores de búsqueda, como también utilizar pequeñas pero potentes líneas de control que a nivel de servidor bloqueen el listado de directorios y la ejecución de archivos en el navegador. ¿Cuánto demora la aplicación de esto? ¡No más de 10 minutos!

¿Cómo protegerse de ataques de Ingeniería Social?

Vaya pregunta. Difícil. Pero recomiendo tener en cuenta lo siguiente:

  • No hagas caso a sugerencias de antivirus, el spyware está diseñado para atravesar muros de fuego.
  • Además de antivirus, instala y usa regularmente aplicaciones anti-spyware como Malwarebytes.
  • Aunque sea molesto y tedioso, organízate y programa las actualizaciones de tu sistema operativo.
  • Analiza situaciones con la mente fría: ante la duda, abstente, no descargues archivos adjuntos y contacta directamente con el remitente del email.
  • No abras enlaces o links.
  • Si crees que has sido infectado y eres víctima de un ataque de ingeniería social, notifícalo en la policía, en tu centros de estudios, trabajo, u hogar, para alertar a otras posibles víctimas (el malware, una vez que infecta una computadora, es capaz de infectar una red completa) y desconecta la computadora de Internet hasta cuando estés 100% seguro de que la amenaza fue eliminada.
  • Busca ayuda de un experto, ya que se ha descubierto que hay virus capaces de alojarse en la BIOS.

La pregunta del millón: ¿cuántos spammers y crackers, antes que yo, ya han descargado esta base de datos pública para enviar publicidad spam y ataques con malware? Es altamente probable que en este mismo instante, tus datos estén en manos de cibercriminales. 

La ocasión hace al ladrón, que no se les olvide nunca.