Nota: ningún “hackeo” se realizó para descubrir u obtener esta información, estos datos estaban públicamente visibles y los obtenía cualquier computadora de cualquier individuo sin la necesidad de penetrar el sistema y sin necesidad de usar formatos de ingreso. Los detalles completos fueron mandados a la prensa para su verificación y están disponibles en formato PDF (menos las muestras y/o evidencias de datos privados) en enlaces que podrán encontrar en este sitio.

Las Fugas

En Uruguay, existen pocas opciones de servicios de mensajería públicos o privados. Y en el caso del envío o recibo de mensajería estos servicios se resumen en dos, UES y DAC (Grupo Agencia). Correo Uruguay, el conocido servicio de mensajería público, emplea los servicios de UES con el mismo fin. La mayoría de los bancos e instituciones financieras hacen envíos de certificaciones, documentos y tarjetas de crédito a través de UES. Con lo expuesto con anterioridad, esto nos lleva a pensar, que en caso de haber enviado o recibido algo, es muy probable que se haya cruzado con cualquiera de estas dos compañías.

Los clientes de UES suelen ser compañías de comercio en línea que utilizan su servicio de envío de mensajería como Mercado Libre. Su servicio “en mano” (entregas personales) es muy utilizado en Uruguay por empresas, bancos y compañías financieras como lo son Banco Itaú, Banco Santander, Pronto!, Scotiabank, BBVA y muchos más. Todos estos clientes toman muy en serio la seguridad de los datos personales de sus empresas, pero fallaron en considerar la seguridad que UES estaba proveyéndoles. Los bancos posee un sistema de seguridad muy fuerte a nivel global, pero UES tenía un grupo de principiantes negligentes a cargo de la construcción de su página y del manejo de sus servicios en línea.

DAC en cambio tiene más clientes individuales y parece hacer un mejor trabajo con respecto a su seguridad, aunque también tiene un hueco en su sistema de protección de datos personales muy evidente al que se podía acceder a través de su página principal y su servicio de rastreo de paquetería.

Aquí resumimos la filtración de más de 2 millones de documentos que contenían la información privada y personal de ciudadanos uruguayos y extranjeros. La filtración incluye una mezcla de los siguientes datos personales: nombres, direcciones, nombres / aclaraciones en alta resolución, firmas en alta resolución, numeros de cédulas de identidad (tanto impresas como escritas) y en ocasiones números telefónicos. Algunos de los documentos incluían procesos legales detallados hacia personas y compañías en Uruguay. Esta filtración que expuso la información de los documentos mencionados data de inicios de 2017 y hasta mitad de 2019 cuando el documento fue descubierto y cerrado. Además de esto más de 800.000 rastreo de paquetes desde comprass de los comercios en línea junto con la información privada del comprador, a quien se le mandaba el paquete y quien lo recibía, se encontraba abiertamente disponible para su hurto en la página web.

Por favor noten, que para Agosto de 2019, UES había cancelado todos los sistemas afectados y habían tomado acciones inmediatas para reparar o reformular sus sistemas. El Banco Itaú ayudó asegurándose de que los sistemas de la UES estuviesen corregidos para que no afectaran a sus clientes. Por otro lado, DAC hasta la fecha no ha realizado ningún arreglo o correción a su sistema y ha ignorado cualquier intento de comunicación, siendo estos email, teléfono, formulario electrónico y LinkedIn. El gobierno Uruguayo también fue propiamente informado, incluyendo los poderes a cargo de la protección de datos personales como AGESIC, URCDP y CERTuy. Aunque el gobierno conocía sobre las acciones de DAC, no lograron hacer que resolviera el hueco y filtración en su sistema.

Desde que se les notificó, ninguna de las partes involucradas aparenta haber hecho esta información pública y parece poco probable, casi imposible, notificar a cada una de las partes afectadas de manera privada, esto debido a que muchos de los afectados en los documentos no están registrados en ninguna base de datos que permita conocer por completo su perfil. Por lo tanto, ya que esta filtración podría afectar a la mayor parte de la población de Uruguay, es correcto hacer una declaración pública considerando que la oportunidad expiró para las partes involucradas.

Los Datos

La filtración de datos personales engloba lo siguiente:

  1. UES sistema “en mano”
    1. Una lista de archivos y documentos digitales: 2.088.253 archivos en formato de imagen. Los datos personales expuesto dependen enteramente del tipo de documento:
      1. Nombre
      2. Dirección
      3. Teléfono
      4. Nombre completo
      5. Firma
      6. Numero de Cédula - impresa y/o escrita a mano
      7. Acciones legales (juicios, documentos de la corte), montos de transacciones, envíos de tarjetas de crédito, trámites de servicios, recibos y más.
    2. Lista de datos sin protección con acceso a los metadatos relacionados a los archivos de imágenes públicamente visibles.
    3. El sistema de datos de clientes sin protección permitiendo la lectura de datos sin la necesidad de ingreso, acceso a el cambio de cuentas sin previo ingreso y habilitación de la creación de ingresos falsos que exponen todos los datos del sistema.
    4. Datos relacionados a los clientes de Banco Itaú, BBVA, Banco Santander, RedPagos, Cabal, Pronto, Scotiabank, Fedex, Sancor Seguros, Sodexo, DGI, HDI Seguros, Corporation Vial de Uruguay, CASMU y más.
  2. UES rastreo de paquetería de los comercios en línea
    1. Datos públicamente visibles correspondientes a 858.031 entregas de paquetes a todas las ciudades en Uruguay, los cuales incluyen los siguientes datos personales:
      1. Comercio en línea donde los objetos fueron comprados
      2. Nombre de destinatario
      3. Dirección del destinatario
    2. Las estadísticas del negocio provenientes de UES los cuales pueden ser obtenidos al interpretar el status y la línea de tiempo de cada paquete entregado por esta unidad de negocio.
    3. Datos relacionados a clientes de Claro, Mercado Libre, Chic Parisien, Mis Beneficios, Nuvo - Tupperware (GDS), Asociación Española, Botiga, Redpagos, Ministerio de Ganaderia, Yalocompro, Daniel Cassin, Nestle, BAS, Toto Calzados, Stadium, Sinervia, CAT, Legacy, Movistar, SODIMAC, RBNK, La opera, Vino a Casa, Merrell, Hush Puppies, Chaparei, Bike Uruguay, Meditian, Magma, Colombus, Asi, Fierros Gringos, Ultrawash, Equipamiento Laswer Srl, Pasqualini y el resto de los otros 300+ nombres de clientes del sistema de entregas de comercios en línea de UES.
  3. DAC página de rastreo de paquetería
    1. Datos disponibles en los navegadores (pero no visible sin ver los datos subyacentes de la sección entregada en el navegador), de 471.195 números de rastreo con la información completa de tanto el emisor como del receptor o destinatario de los paquetes enviados a través de DAC. Estos incluyen la siguiente información de datos personales:
      1. Nombres del emisor y del destinatario
      2. Dirección del emisor y del destinatario
      3. Firma digital del destinatario en baja resolución (presente en el 70% de las entregas)
    2. Las estadísticas del negocio provenientes de DAC los cuales pueden ser obtenidos al interpretar el status y la línea de tiempo de cada paquete entregado por esta unidad de negocio.

Algunos datos se duplican en cada sistema y se dificultad obtener el número exacto de las partes afectadas. Pero considerando que hay aproximadamente 460.000 nombres y direcciones únicas provenientes de la base de rastreo de paquetes de UES y aproximadamente 362.000 nombres y direcciones únicas y pares en el sistema de DAC, más todos los nombres que se encuentran en los 2 millones de documentos digitales, el total llega a ser una cantidad bastante elevada, esto deduciendolo de los tres grupos de datos personales filtrados.

Documentos de Ejemplo

Este resumen, incluye el impacto de dicha filtración y las muestras de los documentos en cuestión, los cuales fueron modificados para mantener la privacidad de los expuestos, lo cual se logró al cambiar los nombres, direcciones y números de cédula de identidad sin cambiar el formato original del documento. Ninguna de estas muestras contiene información coherente sobre la identidad de ningún individuo. Es importante destacar el nivel de importancia y los tipos de documentos que fueron expuestos en esta filtración sin dejar de proteger la identidad de sus portadores.

10% de muestras de los documentos originales y 100% del reporte de rastreo de la paquetería de ambas compañías se dispusieron para la revisión del gobierno. No está claro si el gobierno realizó intentos de preservar con su totalidad la evidencia sin perder el rastro de aquellos afectados por la filtración. Algunos documentos también se hicieron disponibles para la verificación por parte de la prensa.

Juzgado

Banco Itaú

Corporation Vial del Uruguay

Todos los documentos de muestra han sido redactados o se han cambiado los nombres y la información mientras se conserva el texto y el estilo de escritura del original. Muestran la calidad de los documentos al tiempo que protegen las identidades originales.

UES Entrega

Pronto

Juzgado

Todos los documentos de muestra han sido redactados o se han cambiado los nombres y la información mientras se conserva el texto y el estilo de escritura del original. Muestran la calidad de los documentos al tiempo que protegen las identidades originales.

Banco Santander

Scotiabank

Banco Itaú

Todos los documentos de muestra han sido redactados o se han cambiado los nombres y la información mientras se conserva el texto y el estilo de escritura del original. Muestran la calidad de los documentos al tiempo que protegen las identidades originales.

Juzgado

Banco Itaú

Presidencia de la Republica

Todos los documentos de muestra han sido redactados o se han cambiado los nombres y la información mientras se conserva el texto y el estilo de escritura del original. Muestran la calidad de los documentos al tiempo que protegen las identidades originales.

Banco Santander

Scotiabank

BBVA

Todos los documentos de muestra han sido redactados o se han cambiado los nombres y la información mientras se conserva el texto y el estilo de escritura del original. Muestran la calidad de los documentos al tiempo que protegen las identidades originales.

Conclusión

Aunque Uruguay tiene como requerimiento el que todas las compañías registren sus datos en nombre y a favor de todos los Uruguayos, ninguna de estas bases de datos fueron registradas bajo los nombres de las compañías de UES o DAC. Es posible que más de una ley de protección de datos personales de más de un país fuese violentada por esta filtración, incluyendo la Ley de Protección de Datos Personales Nº18.331 de Uruguay. Ninguno de estos datos o páginas tenía una protección alrededor de la base de datos personales, llegando al punto de negligencia y/o incompetencia. Algunas inclusive no poseían protección en absoluto.

Por cada mes transcurrido estos datos estaban en línea, a través de los años, había una considerable oportunidad que más de una parte ya sea individual o grupal, se aprovechara, descargara la información y la utilizara con mala intención para sus propios beneficios. La posibilidad del uso de información privada relacionada a estos datos personales es infinita para la imaginación de aquellos que la buscan con otros propósitos.

Partes Informadas:

  • Gobierno
    • URCDP - 15 julio 2019
    • CERTuy - 23 julio 2019
    • AGESIC - 15 julio 2019
  • Fuente de fuga
    • UES, Sebastian Salveraglio, CEO y Daniel Fernandez, IT Director- 12 julio 2019
    • DAC, varias representantes en LinkedIn y correos electrónicos públicos - 13 julio 2019 y otra vez septiembre 2019
    • Grupo Agencia, varias representantes en LinkedIn y correos electrónicos públicos- julio 2019 y otra vez septiembre 2019
  • Prensa / Medios
    • María de los Ángeles Orfila, El Pais - 26 agosto 2019 (entrevistada)
    • Daniel Castro, Periodista - 17 abril 2020 (interés, pero sin seguimiento)
    • Guillermo Draper, Busqueda - 18 abril 2020 (entrevista preliminar)
    • Juan Pablo De Marco, El Observador - 22 mayo 2020 (entrevista preliminar) - publicada 31 mayo 2020 y aclaraciones
    • Danilo Espino, La Diaria - 28 mayo 2020 (verificando datos) - publicada 30 mayo 2020
  • Publico
    • via www.fuga.uy - 21 mayo 2020

Los Informes Originales

Los informes originales (redactado) están disponibles en inglés y exponen detalles técnicos.

Contactos

En caso de tener más preguntas, por favor contactar info@fuga.uy.

Esta investigación fue realizada por Jayson Minard, profesional de IT quien cuenta con más de 30 años de experiencia en todos los niveles de la industria y mercado de Software. Ha vivido en Uruguay para 6 años.

Actualizaciones:

  1. 27 mayo 2020 - Otra fuga de UES se encontró en línea desde otro sitio antiguo que no fue reparado. Cerraron la fuga en un día parcialmente, pero aún exponen las firmas de las personas.
  2. 27 mayo 2020 - Se ha encontrado que el Archivo Web (arvcive.org) archiva la fuga UES de datos más confidenciales (algunas páginas) que muestra cómo ocurrió la fuga.
  3. 30 mayo 2020 - Resolución encontrada de URCDP con respecto a fugas de DAC.
  4. 30 mayo 2020 - Copia de opinión de expediente denunciando las filtraciones de UES recibidas ("una comunciación masiva"). Esto aún no tiene en cuenta la fuga recién encontrada o el archivo web del original.
  5. 30 mayo 2020 - la diaria - "Denuncian exposición masiva de datos de usuarios de correos"
  6. 31 mayo 2020 - El Observador - "La compra de zapatos que terminó en la filtración de datos personales de miles de uruguayos"
    Correcciones y aclaraciones para este artículo:
    • No soy "estadounidense", soy apátrida (corregida)
    • No "pedí U$S 50,000", me pidieron una propuesta para solucionar el problema (para el análisis de problemas actuales, que gestionaría el reemplazo de todo el sitio, y analizaría todos los demás sistemas en busca de otras problemas) y eso es lo que la propuesta indicaba. Sí, normalmente me pagan para hacer ese trabajo.
    • Todos los datos descargados se registraron como evidencia y se informaron al gobierno (catálogo de datos UES). Esto fue para ayudar a informar a las partes afectadas y clasificar el tamaño de la fuga al gobierno en el caso de que la compañía que es la fuente de la fuga no coopere.
    • Todos los datos descargados se proporcionaron al gobierno. Estos fueron todos los datos de rastreo paquettes y todos los documentos digitales (solo 10% de los 2 millones se descargaron como una muestra aleatoria).
    • UES no guarda suficiente información para saber quién ha accedido a los datos durante los años que estuvieron públicamente en línea.
  7. 31 mayo 2020 - DAC ha cambiado sus números de rastreos para agregar dígitos aleatorios. Esto podría romper el rastreo de paquetes. Esta no era la mejor solución para sus clientes, ya que hay muchas otras opciones que no rompen los números anteriores. Primero, podrían dejar de rastrear paquetes entre años 2016 a 2019, ya no es necesario ver esos datos. En segundo lugar, para los números más viejos de 2020 podrían dejarlos como están con la protección de CAPTCHA y no mostrar datos personales. Luego, para los nuevos números, aplique bits aleatorios en todo el número, no solo agregando dos últimos dígitos aleatorios adivinables. DAC debe notificar a los clientes cómo rastrear los paquetes porque están rotos. Vi un correo electrónico de un amigo que tenía un número en la correo, y otra numero en el recibo por el mismo paquette con la nuevo formato, y un enlace a la versión rota del sitio con Google CAPTCHA roto, y luego el sitio principal realmente funcionaba. Es confudido. El servicio al cliente debe ser parte del plan!