1.500 millones de archivos con información confidencial sobre empresas y sus clientes: 64 petabytes historiales médicos, información bancaria (sobre todo relacionada con transacciones en TPV) y fiscal (declaraciones de impuestos), nóminas, contenidos con propiedad intelectual (como borradores de patentes y código fuente de aplicaciones propietarias), etc.

Toda esa información (4000 veces la cantidad de información filtrada con el PanamaLeaks) es lo que han descubierto en lo que llevamos de año los investigadores de ciberseguridad de la compañía Digital Shadows, repartida entre numerosos repositorios abiertos localizados en sitios web mal configurados, en redes SMB, en Amazon S3, servidores de FTP, unidades NAS, etc.

Y si bien las instancias mal configuradas de Amazon S3 se han visto implicadas en algunas filtraciones de datos en los últimos tiempos, el informe hecho público por Digital Shadows desvela que sólo proceden de este servicio en la nube un 7% de los datos expuestos, siendo otras tecnologías más antiguas pero aún ampliamente populares las que en mayor medida han contribuido a la filtración de datos: redes SMB (33 %), rsync (28 %) y FTP (26 %).

En lo que respecta a la fuente de las filtraciones de datos privados, Digital Shadows identificó como principales fuentes de las mismas a “terceros y contratistas”, así como a dispositivos de backups cuyos usuarios configuraron incorrectamente (o que venían incorrectamente configurados por defecto), de tal modo que los datos de respaldo terminaron online y en abierto. A destacar que entre los datos filtrados hay también evaluaciones de seguridad y pruebas de penetración (no parece que resultaran muy útiles al final).

Estamos, en definitiva, ante la enésima (aunque cuantitativamente destacable) demostración de que la seguridad de la información sigue siendo una asignatura pendiente para el grueso de los usuarios de sistemas tecnológicos. Y todo esto, a tan sólo un mes de que entre en vigor el nuevo Reglamento General de Protección Datos (GDPR) europeo.