Exclusivo Casi 2,7 TB de datos confidenciales (31,5 millones de facturas, contratos, formularios de consentimiento de pacientes de HIPPA y otros documentos comerciales relacionados con numerosas empresas de diferentes industrias) han estado expuestos a Internet en una base de datos sin contraseña durante un tiempo desconocido. «Una vez que comencé a ver las facturas, estaba bastante claro cuáles eran los riesgos, incluido el fraude de facturas», dijo el investigador de seguridad de la información Jeremiah Fowler, quien detectó los archivos expuestos y los analizó con The Register en una entrevista exclusiva. «El noventa y cinco por ciento de los delitos cibernéticos tienen una base financiera. Al final del día, los delincuentes quieren dinero. ¿Quién tiene dinero? Las empresas». Según Fowler, la base de datos resultó pertenecer a ServiceBridge, un proveedor de software como servicio que puede ser utilizado por empresas (piense en control de plagas, mantenimiento e instaladores) para gestionar órdenes de trabajo de clientes, administrar empleados en el campo, generar facturas, aceptar pagos y más. En un artículo compartido anteriormente con The Register -y que se publicará aquí hoy- Fowler dijo que algunos de los millones de documentos expuestos databan de 2012, e incluían contratos y propuestas comerciales, órdenes de trabajo, formularios de inspección, acuerdos y otros registros, incluidos los mencionados anteriormente. Los documentos estaban en formatos PDF y HTML, y organizados en carpetas por año y mes. Saben los nombres de los instaladores que utiliza. Realmente es el siguiente nivel de riesgo Según el informe de Fowler, los archivos pertenecían a lo que parecían ser clientes de ServiceBridge que iban desde «propietarios privados, escuelas e instituciones religiosas, hasta conocidas cadenas de restaurantes, casinos de Las Vegas, proveedores médicos y muchos otros». «En la muestra limitada de documentos que analicé, la mayoría parecía estar basada en EE. UU., pero también vi empresas y clientes de Canadá, el Reino Unido y numerosos países europeos», escribió. Los datos, nos dicen, son una enorme colección de información personal, que a veces incluye detalles de contacto de personas, números parciales de tarjetas de crédito, nombres de pacientes en acuerdos de equipos médicos e informes de auditoría del sitio con fotografías del interior y el exterior de las propiedades. Al notificar el percance a la empresa con sede en Chicago, que fue comprada por la empresa de gestión de flotas de Arizona GPS Insight en 2020, la base de datos se cerró al público, dice Fowler. Dijo que nunca recibió respuesta de ServiceBridge sobre la exposición. Hemos pedido a la empresa una respuesta. Cualquiera que haya descubierto el alijo de documentos podría haberlos utilizado potencialmente para phishing y fraude selectivos. Uno de los archivos contenía una orden de trabajo para un cliente que mostraba información de pago parcial con la mitad del saldo pendiente, junto con el nombre del cliente, la dirección física, los números de teléfono y la dirección de correo electrónico. «Decía que habían pagado el 50 por ciento y tenían un saldo pendiente de aproximadamente $1,000», dijo Fowler. «Entonces, hipotéticamente, todo lo que un delincuente tendría que hacer es comunicarse con el cliente, usando la misma factura como plantilla y decir: ‘oye, hemos actualizado nuestra información de facturación. Haz clic en este enlace para pagar el saldo'». Toda la información contenida en la orden de trabajo es información privilegiada, agregó Fowler. «Es solo información que el proveedor de servicios sabría». En teoría, un delincuente podría engañar al cliente para que pagara el saldo a la cuenta bancaria del estafador, utilizando los datos actualizados, «y entonces habría perdido 1.000 dólares», dijo. «Eso sería un ataque de intermediario». Otro archivo expuesto mostraba la inspección de un dispositivo de Internet de las cosas con una descripción detallada del número de modelo del sistema, la versión del firmware, el tipo de batería y otros detalles que podrían ayudar a los delincuentes a identificar vulnerabilidades de seguridad para explotar. Además, la gran cantidad de facturas contenidas en la base de datos haría que fuera muy fácil para los estafadores utilizar la ingeniería social y las técnicas de phishing. «Como la gente es tan crédula incluso con las estafas más obvias, imagínese si alguien tiene información privilegiada», dijo Fowler. «Tienen plantillas que ya ha visto», añadió refiriéndose a las pilas de facturas, cartas y formularios en la base de datos que los delincuentes podrían haber utilizado para realizar falsificaciones para el fraude. «Saben los nombres de los instaladores que utiliza. Realmente es el siguiente nivel de riesgo». Ese riesgo se aplica tanto a las empresas (que pueden sufrir graves daños a su reputación y multas regulatorias si se ven involucradas en una violación de seguridad que resulte en el robo de facturas y otros registros que contengan datos personales) como a los clientes, cuya privacidad ahora se ha visto comprometida. La moraleja para los clientes de ServiceBridge, al menos según Fowler, es «no confiar en nada en Internet. Verificar cualquier cosa que parezca sospechosa. Verificar, levantar el teléfono. Los correos electrónicos, Internet, todo eso es muy fácil de manipular». Las organizaciones también deben hacer un mejor trabajo para proteger a sus clientes, agregó. Incluso en un caso como este, donde un investigador, no un delincuente, encuentra una base de datos abierta, las empresas deben alertar a sus clientes. «Tienes que informar a tus clientes, y la razón de eso es para que estén informados y puedan estar atentos a un comportamiento sospechoso», dijo Fowler. «Si no están informados, son blancos fáciles y realmente ciegos ante el hecho de que alguien puede estar armado con información privilegiada de la que el cliente no tiene motivos para dudar». Fowler ha descubierto y marcado previamente bases de datos en línea desprotegidas, incluidas aquellas utilizadas por un fabricante de software de taxis, la Policía Nacional Irlandesa y una plataforma de recaudación de fondos para organizaciones sin fines de lucro. ®