Millones de personas pronto enfrentarán sofisticados ataques dirigidos al robo de identidad.
En India se ha producido una gran filtración de datos que ha expuesto los datos biométricos de millones de ciudadanos. Una base de datos sin protección que contenía huellas dactilares y escaneos faciales de policías, militares y civiles fue descubierta durante las elecciones generales, lo que generó serias preocupaciones sobre el robo de identidad y la seguridad electoral.
Según una investigación del experto en ciberseguridad Jeremiah Fowler, la base de datos sin protección, que contenía más de 1,6 millones de documentos (con un total de 496,4 GB), fue descubierta por la empresa Website Planet. Los archivos filtrados contenían fotografías, huellas dactilares, firmas y etiquetas de identificación de policías, militares, profesores y trabajadores ferroviarios.
Además de los datos biométricos, la filtración incluía documentos importantes como certificados de nacimiento, correos electrónicos, solicitudes de empleo, títulos y otros archivos confidenciales.
Destacan especialmente 284.535 documentos relacionados con las pruebas de aptitud física (PET) para agentes de policía y fuerzas del orden. Estos archivos contenían imágenes de firmas de agentes, documentos PDF y aplicaciones móviles especiales, algunas de las cuales estaban empaquetadas en archivos ZIP.
En una carpeta llamada «Instalación de software facial» se encontraron imágenes y documentos transmitidos a través de las aplicaciones mencionadas. La filtración también contenía nombres de bases de datos internas, inicios de sesión y contraseñas en texto plano.
La mayoría de los datos filtrados pertenecían a dos empresas indias: ThoughtGreen Technologies y Timing Technologies. Ambas compañías ofrecen servicios de desarrollo de aplicaciones, tecnologías RFID y verificación biométrica. Sin embargo, aún no está claro a cuál de estas compañías pertenecía el servidor vulnerable.
Según los expertos, estos datos ya podrían estar siendo comercializados entre ciberdelincuentes, poniendo en riesgo a millones de personas de ataques cibernéticos dirigidos.
Los datos biométricos como las huellas dactilares son identificadores únicos vinculados a la identidad de una persona y prácticamente inmodificables. Estos datos pueden ser utilizados para múltiples fines dañinos, incluyendo suplantación de identidad y robo de datos personales.
En 2022, India aprobó una ley que amplía los poderes de la policía para recopilar datos biométricos de personas condenadas, detenidas o bajo custodia. Pero difícilmente alguien podría haber previsto que estos datos se filtrarían, y que además afectaría a los datos biométricos de los propios policías y militares.
Este incidente pone de relieve los desafíos éticos y regulatorios asociados con la recopilación, uso y almacenamiento de datos biométricos, y es una clara demostración para gobiernos y empresas privadas de lo que puede suceder si se comete incluso un pequeño error al almacenar tales datos.