La app canadiense de transferencias Duc expuso miles de licencias de conducir y pasaportes en la red
Una grave brecha de seguridad ha afectado a Duc, una popular aplicación canadiense de transferencias de dinero, dejando expuestos miles de documentos de identidad, incluidos permisos de conducir y pasaportes, a través de un servidor de Amazon mal configurado. El incidente, identificado por expertos en ciberseguridad y confirmado por TechCrunch, pone de manifiesto los riesgos inherentes a la gestión inadecuada de datos personales en plataformas financieras.
Exposición masiva de documentos en la nube de Amazon Web Services
La filtración fue descubierta a raíz de un servidor Amazon Web Services (AWS) S3 configurado de manera pública, sin las medidas de seguridad básicas. Este repositorio almacenaba imágenes de documentos subidos por los usuarios de Duc como parte del proceso de verificación de identidad para cumplir con las regulaciones financieras canadienses. Sin embargo, en lugar de restringirse el acceso, las imágenes estuvieron disponibles durante un periodo indeterminado para cualquier usuario de internet con el enlace adecuado.
- Documentos afectados: Licencias de conducir canadienses, pasaportes nacionales e internacionales, tarjetas de identificación y otros formularios oficiales.
- Alcance: Miles de documentos personales estuvieron accesibles, si bien no se ha concretado el número total de usuarios afectados.
La práctica de almacenar archivos sensibles en servicios de almacenamiento en la nube sin la configuración adecuada se ha convertido en una de las principales causas de fugas de datos en los últimos años, afectando a empresas de todos los sectores.
Duc y la gestión responsable de datos personales
Desde Duc, la compañía afirma que, tras recibir el aviso de la brecha, se procedió rápidamente a securizar el servidor y a iniciar una investigación interna. En declaraciones recogidas por TechCrunch, Duc subraya que ya ha revisado y reforzado sus protocolos de protección de datos colaborando con expertos en ciberseguridad externos.
No obstante, este incidente vuelve a poner en el punto de mira la obligatoriedad de auditar y actualizar de forma regular las configuraciones de los proveedores de servicios cloud, especialmente en negocios fintech sometidos a fuertes regulaciones y escrutinio público.
Implicaciones para los usuarios y recomendaciones de seguridad
La exposición de documentos personales no solo aumenta el riesgo de fraude de identidad y de que la información caiga en manos de delincuentes, sino que puede acarrear consecuencias regulatorias y reputacionales para la empresa. Las autoridades canadienses, incluyendo organismos de protección de datos como la Oficina del Comisionado de Privacidad de Canadá, pueden abrir investigaciones de oficio y aplicar sanciones económicas.
- Recomendaciones para usuarios afectados: Estar atentos a comunicaciones oficiales de Duc, monitorizar movimientos anómalos en cuentas bancarias y considerar medidas de protección contra el robo de identidad.
- Para empresas fintech: Adoptar la encriptación por defecto, aplicar políticas de mínimo privilegio y realizar auditorías de seguridad periódicas en sus infraestructuras cloud.
Este incidente, similar a otros ocurridos en el sector financiero, pone de manifiesto la necesidad de que cualquier organización que gestione información sensible refuerce la seguridad y la vigilancia de su infraestructura tecnológica. Más detalles en la noticia original de TechCrunch.
