La información personal de miles de oficiales y aspirantes a agentes de las fuerzas de seguridad de la India se filtró en internet: huellas dactilares, imágenes de escáneres faciales, firmas y detalles de tatuajes y cicatrices en el cuerpo. Por si esto no fuera lo suficientemente alarmante, más o menos al mismo tiempo, los ciberdelincuentes empezaron a anunciar la venta de datos biométricos de la policía en la app de mensajería Telegram.
El mes pasado, el investigador especializado en seguridad Jeremiah Fowler descubrió los archivos confidenciales en un servidor web expuesto vinculado a ThoughtGreen Technologies, una firma de subcontratación y desarrollo informático con oficinas en India, Australia y Estados Unidos. Dentro de un total de casi 500 gigabytes de archivos que abarcaban 1.6 millones de documentos, fechados desde 2021 hasta el momento en que Fowler los encontró a principios de abril, había una mina de información personal confidencial sobre profesores, trabajadores ferroviarios y oficiales y agentes del orden. Se incluían actas de nacimiento, diplomas, certificados de estudios y solicitudes de empleo.
Fowler, quien compartió sus hallazgos en exclusiva con WIRED, señala que entre los montones de información, los más preocupantes eran los que parecían ser documentos de verificación relacionados con las fuerzas de seguridad o el personal militar de la India. Aunque el servidor mal configurado ya se cerró, el incidente resalta los riesgos de que las compañías recopilen y almacenen datos biométricos, como huellas dactilares e imágenes faciales, y el uso indebido que podría hacerse de ellos si se filtran accidentalmente.
La vulnerabilidad en la recopilación de datos biométricos
“Puedes cambiar tu nombre, tu información bancaria, pero no tu biometría real”, comenta Fowler. El investigador, que también publicó los resultados en nombre de Website Planet, indica que este tipo de datos podrían ser utilizados por ciberdelincuentes o estafadores para dañar y atacar a personas en el futuro, un riesgo que aumenta en el caso de los cargos más delicados de las fuerzas de seguridad.
Dentro de la base de datos que examinó Fowler había varias aplicaciones móviles y archivos de instalación. Uno se titulaba “instalación de software facial”, y otra carpeta contenía 8 GB de información de este tipo. Las fotografías de las caras de las personas incluían rectángulos generados por computadora que suelen emplearse para medir la distancia entre los puntos de la cara en los sistemas de reconocimiento facial.
Había 284,535 documentos etiquetados como Exámenes de Eficiencia Física relacionados con el personal policial, cuenta Fowler. Otros archivos incluían formularios de solicitud de empleo para agentes de las fuerzas de seguridad, fotos de perfil y documentos de identificación con detalles como “lunar en la nariz” y “corte en la barbilla”. Al menos una imagen muestra a una persona sosteniendo un documento con su correspondiente imagen incluida en él. “Lo primero que observé fueron miles y miles de huellas dactilares”, resalta Fowler.
Prateek Waghre, director ejecutivo de la organización india de derechos digitales Internet Freedom Foundation, sostiene que la recopilación de datos biométricos es “inmensa” en toda India, pero que existen riesgos de seguridad añadidos para las personas implicadas en el cumplimiento de la ley. “Muchas veces, la verificación [de identidad] que utilizan los empleados o funcionarios del gobierno también se basa en sistemas biométricos”, explica Waghre. “Si eso se ve potencialmente comprometido, alguien puede hacer un uso incorrecto y acceder a información que no debería”.
Al parecer, parte de la información biométrica sobre los agentes del orden ya puede compartirse en internet. Fowler relata que, tras el cierre de la base de datos expuesta, también descubrió un canal de Telegram, con unos cientos de miembros, que aseguraba vender datos policiales indios, incluso de personas concretas. “La estructura, las capturas de pantalla y un par de los nombres de las carpetas coincidían con lo que yo había visto”, afirma Fowler, quien por razones éticas no compró los datos que ofrecían los delincuentes, por lo que no pudo verificar por completo que fueran exactamente los mismos.
“Nos tomamos la seguridad de la información con mucha seriedad, y hemos adoptado medidas inmediatas para asegurar los datos expuestos”, escribió un miembro de ThoughtGreen Technologies en un email a WIRED. “Debido a la sensibilidad de los datos, no podemos hacer comentarios específicos en un correo electrónico. Sin embargo, te garantizamos que estamos investigando a fondo este asunto para evitar que vuelva a producirse un incidente de este tipo”.
En mensajes de seguimiento, el miembro del personal manifestó que la empresa había “planteado una queja” a las fuerzas de seguridad de India sobre el incidente, pero no especificó con qué organización se habían puesto en contacto. Cuando le mostramos una captura de pantalla de la publicación de Telegram en la que se afirmaba que se vendían información biométrica de la policía india, el integrante del personal de ThoughtGreen Technologies respondió que “no son nuestros datos”. Telegram no contestó a nuestra solicitud de comentarios.
Shivangi Narayan, investigadora independiente en India, opina que la ley de protección de la información del país debe ser más sólida, y que las empresas y organizaciones tienen que prestar más atención a la forma en que manejan los datos de las personas. “En India se recopilan muchos, pero nadie se preocupa de verdad por la forma de almacenarlos adecuadamente”, destaca Narayan. Las filtraciones se producen con tanta regularidad que la gente “ha perdido el factor sorpresa”, añade. A principios de mayo, una compañía de ciberseguridad declaró que había visto una filtración de datos de reconocimiento facial relacionada con un cuerpo de seguridad indio, que incluía información policial y de sospechosos.
Sin embargo, los problemas son más extensos. A medida que los gobiernos, las compañías y otras organizaciones de todo el mundo confían cada vez más en la recopilación de datos biométricos para comprobar la identidad o como parte de las tecnologías de vigilancia, aumenta el riesgo de que la información se difunda en internet y se abuse de ella. En Australia, por ejemplo, una reciente filtración de datos de reconocimiento facial que afectó a más de un millón de individuos condujo a que una persona fuera acusada de chantaje.
“Muchos otros países están considerando la verificación biométrica de las identidades, y toda esa información tiene que almacenarse en algún sitio”, indica Fowler. “Si la cedes a una empresa externa, o a una compañía privada, pierdes el control de esos datos. Cuando se produce una filtración, te metes en un gran problema”.
Artículo publicado originalmente en WIRED. Adaptado por Andrei Osornio.
