DiarioTi.com - el diario del profesional TI

Lunes 16 Dic 2019 | Año 19 | Edición 4946
Menu
letter


Suprema resta importancia a la gravedad de la brecha biométrica, pero no convence

La compañía responsable de una base de datos desprotegida, utilizada por bancos, organismos policiales y contratistas de defensa, ha minimizado la gravedad de la infracción, pero los investigadores de seguridad que descubrieron la vulnerabilidad se han mantenido fieles a su investigación.

Diario TI 21/08/19 13:58:54

Una semana después de que los investigadores de seguridad Noam Rotem y Ran Locar dijeran que pudieron acceder a los datos biométricos de una base de datos de la empresa Suprema, con sede en Corea del Sur, la empresa ha asegurado que “no hay indicaciones de que los datos se hayan descargado durante el incidente”. Por “incidente”, Suprema se refiere al hecho de que los investigadores pudieron acceder a su base de datos Biostar, que incluso tenía porciones de datos no cifradas. Para la empresa, la situación no es, en realidad, tan grave, porque “el alcance de los usuarios potencialmente afectados es significativamente menor que la reciente especulación pública”. Sin embargo, la empresa no aporta información concreta que pueda eliminar la especulación, sino todo lo contrario, al escribir: “Actualmente estamos en proceso de identificar a las partes potencialmente afectadas”. En otras palabras, Suprema no sabe cuántos clientes se han visto afectados.

Suprema administra Biostar, que esencialmente permite el control centralizado del acceso a instalaciones seguras como almacenes o edificios de oficinas. Utiliza datos biométricos como las huellas dactilares y el reconocimiento facial para identificar a las personas que intentan acceder a los edificios.

Los investigadores Noam Rotem y Ran Locar dijeron que Biostar se había incorporado a otro sistema de control de acceso llamado AEOS. Según se indica, AEOS es utilizado por 5.700 organizaciones en 83 países, entre las que se incluyen gobiernos, bancos y la policía metropolitana del Reino Unido.

Rotem y Locar trabajaron con vpnmentor, un servicio que revisa los servicios de redes privadas virtuales. Según se informa, realizaban un proyecto paralelo para escanear puertos en busca de bloques IP conocidos, y luego utilizaban estos bloques para encontrar agujeros en los sistemas de las empresas que podrían conducir potencialmente a filtraciones de datos. Para su sorpresa, descubrieron que la base de datos de Biostar 2 estaba desprotegida y en su mayoría sin cifrar. Esto les permitió buscar en la base de datos manipulando los criterios de búsqueda de URL en Elasticsearch para obtener acceso a los datos.

Los investigadores tuvieron acceso a más de 27,8 millones de registros y 23 gigabytes de datos, incluyendo paneles de administración, tableros de control, datos de huellas dactilares, datos de reconocimiento facial, fotos de los usuarios, nombres de usuario y contraseñas no codificados, registros de acceso a las instalaciones, niveles de seguridad y autorización, y datos personales del personal.

Después de que Suprema publicara su carta, firmada por su presidente, Young S. Moon, Noam Rotem dijo a BBC News que las pruebas que había obtenido indicaban que, de hecho, grandes cantidades de datos biométricos estaban disponibles online.

El argumento en el que parece escudarse Suprema, en el sentido que no todos los datos fueron descargados, podría explicarse por el hecho de que los investigadores no intentaron, por razones éticas, descargar todos los archivos de huellas dactilares. Más bien, tomaron cientos de muestras de datos, según Rotem explicó a la BBC. Estos datos incluían patrones de huellas dactilares de una selección aleatoria de cuentas del conjunto de datos de Biostar 2.

Los investigadores utilizaron el software de la propia Suprema para convertir alrededor de media docena de ejemplos en patrones visibles de huellas dactilares. A partir de esto, estimaron que el conjunto de datos contenía “al menos más de un millón” de patrones de huellas dactilares en total. “Tenemos pruebas de la brecha de datos biométricos”, dijo Rotem a la BBC News. “Simplemente no los descargamos todos, porque no sería ético”. En este contexto, cabe señalar que ambos investigadores contactaron a Suprema antes de dirigirse a los medios de comunicación, pero la empresa sudcoreana simplemente los ignoró.

  • Seleccione su país -+

    Diario TI utiliza una plataforma GeoIP que automáticamente intenta detectar el país desde donde usted se conecta, para así presentarle contenidos regionales. Sin embargo, si la detección automática no es posible, usted puede seleccionar manualmente su país.



  • El camino a la Inteligencia Artificial está empedrado de bombo