Resecurity, una empresa estadounidense de ciberseguridad, publicó a principios de octubre un blog en el que apuntaba a una tendencia general de venta de datos personales de indios en la red oscura.
La empresa descubrió que un agente de amenazas había anunciado la venta de cerca de 815 millones de registros Aadhaar por 80.000 dólares. El blog, que citaba otros casos en los que se había puesto a la venta información personal de ciudadanos indios, suscitó preocupación por la usurpación de identidad.
Un actor de amenazas con el alias «pwn0001» afirmó que podía vender registros de 815 millones de indios, incluidos nombres, edades, números de teléfono, números Aadhaar y direcciones. pwn0001 compartió una muestra, que tenía 1 lakh de números de teléfono y números Aadhaar. El conjunto de datos de la muestra incluye información personal de niños de tan solo 10 años. Aún no está claro de qué base de datos se han extraído los registros de 81,5 millones de indios, incluida la información personal identificable (IPI) de los niños.
Un informe de News18 afirma que se violó la base de datos del Consejo Indio de Investigación Médica (ICMR). El informe también afirma que el Equipo de Respuesta a Emergencias Informáticas de la India (CERT-In) ha informado al ICMR de la violación y tiene que verificarlo. De ser así, no está claro por qué el ICMR tendría datos de niños de 10 años.
El impulso para vincular las tarjetas Aadhaar a todo ha hecho proliferar los datos personales de los indios por el ciberespacio, entre diversas empresas públicas y privadas. Hay unas cuantas bases de datos con datos personales de indios a gran escala, pero no se sabe con certeza qué base de datos habría sido violada. Aunque el conjunto de datos de muestra puede ayudarnos a verificar la autenticidad de los datos que se han puesto a la venta, seguiría siendo difícil verificar la fuente.
Resecurity apunta a otro actor de amenazas con el alias de «Lucius», que ha puesto a la venta datos de las fuerzas de seguridad indias. Según Lucius, el 85% de los datos personales de los indios -incluidos números de teléfono, documentos de identidad y direcciones- están disponibles en este conjunto de datos a la venta. El conjunto de datos de muestra compartido por Lucius indica datos KYC de conexiones móviles con columnas para prepago y pospago disponibles en el conjunto de datos.
El análisis de Resecurity muestra que, a medida que se obligue a los indios a compartir datos, más actores de amenazas podrán acceder a datos PII a gran escala. No se trata de una tendencia nueva para muchos indios, acostumbrados a escuchar noticias sobre filtraciones de datos de Aadhaar. Lo que es evidente, sin embargo, es que la escala de la violación y el tamaño de los datos están creciendo. Esta tendencia también puede atribuirse a la proliferación de Aadhaar en la economía de datos de la India.
¿Ayudará la política industrial nacional india a la integración en la cadena de valor mundial?
A la empresa estadounidense de ciberseguridad le preocupa sobre todo el fraude de identidad asociado que seguirá a estas violaciones de datos a gran escala: fraude bancario en línea, fraude en la devolución de impuestos y otros delitos financieros.
Un informe de News18 afirma que se violó la base de datos del Consejo Indio de Investigación Médica (ICMR)
Los fraudes basados en Aadhaar se han vuelto bastante comunes en la India y, sin embargo, el regulador no aborda el problema en cuestión. La UIDAI ha ignorado prácticamente las filtraciones de datos de Aadhaar, al tiempo que nos prometía una solución de identificación virtual que desapareció tras concluir el litigio en torno a Aadhaar en el Tribunal Supremo.
Identificar la brecha y taponarla sería importante para abordar críticamente la cuestión de la ciberseguridad y la seguridad de los indios. CERT-In celebra octubre como el «Mes de la Concienciación sobre Ciberseguridad». Sin embargo, en realidad no recibimos mucha concienciación sobre ciberseguridad, aparte de consejos y trucos básicos. El panorama de la ciberseguridad está cambiando rápidamente con el aumento de las violaciones de datos y necesitamos que CERT-In proporcione soluciones reales en lugar de seguir un modelo de «seguridad a través de la opacidad».
No hay pánico ni histeria en torno a esta brecha. La inacción y el continuo forzamiento de Aadhaar en contra de las órdenes del Tribunal Supremo son preocupantes. Los indios merecen una ciberseguridad mejor que la actual. La aplicación de la Ley de Protección de Datos Personales Digitales de 2023 puede resolver algunos de estos problemas, pero mientras sigan existiendo exenciones gubernamentales, los datos de las redes gubernamentales seguirán siendo vulnerados.
Los fraudes basados en Aadhaar se han vuelto bastante comunes en la India y, sin embargo, el regulador no aborda el problema en cuestión
Para una verdadera seguridad, los indios necesitan que se les ofrezca privacidad. En cambio, sólo se nos ofrece seguridad en términos de protección de datos. Incluso esta promesa de protección de datos es defectuosa, ya que no se destinan recursos reales a las operaciones de ciberseguridad. El actual paradigma de seguridad de la India no aborda los nuevos retos a los que se enfrenta la población. El UIDAI, el RBI, el CERT-In y el Ministerio de Tecnologías de la Información deberían reconocer al menos lo que está en juego cuando impongan Aadhaar a los indios.
Artículo republicado de The Wire en el marco de un acuerdo entre ambas partes para compartir contenido. Link al artículo original:https://thewire.in/tech/indians-personal-data-breached-yet-again-but-no-sign-that-gaps-will-be-plugged
Es investigador sobre digitalización y hacktivista.
