Empresa de llamadas automáticas deja los datos de los votantes de Virginia en línea

La información puede ser sustraída de Amazon S3 Bucket

Especialistas en seguridad informática y cursos de protección de datos personalesadvierten que la firma RoboCent, especializada en hacer llamadas automáticas a los votantes, dejó en línea por error casi 3 mil archivos que contenían datos detallados sobre votantes en Virginia. Los datos se almacenaron en un contenedor de Amazon S3 que no requería autenticación.

Los datos fueron descubiertos utilizando una herramienta de búsqueda en línea desarrollada por un sitio llamado Grayhatwarfare y que está diseñado para indexar los segmentos abiertos de S3. Expertos en cursos de protección de datos personales notificaron a RoboCent, que desde entonces se encargó de asegurar los datos.

RoboCent ofrece una variedad de servicios de robocalling (llamada automática) para campañas electorales. La empresa tiene un menú detallado de sus niveles de precios basado, por ejemplo, en el número de llamadas que se requieren por campaña, si están haciendo sondeos o encuestas o si quieren dejar un mensaje de voz.

A pesar de que no ha sido emitido un pronunciamiento oficial, expertos en cursos de protección de datos personales reportan haber establecido contacto con un desarrollador de RoboCent, quien menciona que, al ser una empresa pequeña, es complicado llevar un seguimiento de toda la información que la empresa maneja.

Expertos en seguridad informática, así como Amazon, enfatizan sobre el peligro de no asegurar adecuadamente los espacios de almacenamiento Amazon S3 Bucket. Con el paso de los años, los investigadores han encontrado cantidades asombrosas de datos personales almacenados inadecuadamente en dichos repositorios.

Aún así, a los proveedores de almacenamiento en la nube sólo les queda difundir mejores prácticas, pues especialistas en cursos de protección de datos personales afirman que si la información hubiese estado encriptada, ésta no habría sido encontrada; siendo el usuario final el responsable de proteger sus datos, no el prestador de servicios.

Filtraciones de bajo riesgo

Muchos datos sobre los votantes de EU han sido expuestos en otras filtraciones, es cuestionable si la política de manejo de datos de RoboCent aumentó de manera significativa la propensión a que estos fueran filtrados.

El año pasado, investigadores en seguridad informática encontraron en línea un lote de 198 millones de registros de registro de votantes, que incluían nombres, fechas de nacimiento, domicilios y números de teléfono. Los datos, que provenían de la empresa Deep Root Analytics, estuvieron expuestos durante aproximadamente dos semanas después de que la compañía cometió un error al cambiar la configuración de control de acceso.

Los datos de RoboCent incluyen parte de la información habitual que los estados registran como parte de un registro de votante: nombre completo, dirección, edad y año de nacimiento.

Los datos de RoboCent también contenían direcciones de correo electrónico y números de teléfono. Además, contenía inferencias sobre la afiliación política basada en las tendencias de votación y el historial de elecciones. También contenía datos demográficos basados en etnicidad, idioma, y educación.

Muchos de los datos de los votantes son públicos

Las leyes en los 50 estados de EU varían en cuanto al acceso y uso de los datos de registro de votantes. A excepción de 11 estados todos permiten algún acceso público a los registros electorales. Sin embargo, todos los estados permiten que los partidos políticos y los candidatos tengan acceso a los registros de votantes.

Acorde a expertos en cursos de protección de datos personales, empresas como NationBuilder recopilan esta información para todo Estados Unidos. En el caso del estado de Virginia, aparentemente este tipo de datos son recopilados por diferentes empresas de marketing.

Al igual que otros estados, Virginia ofrece una herramienta en línea que permite a las personas verificar si están registradas como votantes. El proceso de autenticación, sin embargo, es endeble en cuanto a seguridad. Los interesados en verificar su registro necesitan proporcionar su nombre completo, fecha de nacimiento, precinto y los últimos cuatro dígitos de sus números de seguridad social.

Los expertos en seguridad informática consideran que los números de seguridad social son insuficientes para la autenticación, ya que son algunos de los datos más fáciles de comprar en foros clandestinos de datos personales.