'No queremos pasar de agache': Mensajeros Urbanos

En exclusiva con EL TIEMPO, directivos de la firma explican fallo que expuso millones de datos.

Oscar Durán, Vicepresidente de producto y tecnología y Juan Pablo Malaver, director legal y de asuntos corporativos de Mensajeros Urbanos Foto: El Tiempo

30.10.2019 18:04 Actualizado: 02.11.2019 08:52

Comentar

La aplicación colombiana Mensajeros Urbanos, creada en 2014, aseguró que la falla de configuración de seguridad con la que más de 2 millones de datos quedaron expuestos en internet fue completamente cerrada.

En entrevista exclusiva con EL TIEMPO, altos ejecutivos de la empresa dieron explicaciones sobre el error y buscaron dar un parte de tranquilidad a clientes y aliados del servicio.

El fallo, reportado por el portal brasilero The Hack y confirmado a EL TIEMPO por la firma de ciberseguridad Eset, dejó expuestos dos servidores con información de datos operativos, pero también -según la empresa, en menor proporción- fotografías de documentos de identidad colombianos con datos como nombres, números de cédula, correo electrónico y teléfonos.

Mensajeros Urbanos es una 'start-up' colombiana que ofrece servicios de domicilios y envíos tanto a particulares como a compañías con un promedio de 5.000 entregas mensuales.

Tiene presencia en 8 ciudades y recientemente abrió operaciones en Monterrey, México. Posee una red de cerca de 10.000 s activos mensuales aliados, que laboran como independientes y realizan las entregas.

(Le puede interesar: Jack Dorsey confirma la prohibición de anuncios políticos en Twitter)

Para nosotros es importante mencionar que no se trata de 2.4 millones de datos personales o cédulas, eso obviamente alerta un montón y no es cierto.

¿Cuándo y cómo se enteraron del fallo?

A inicios de octubre, nos llega una alerta y nosotros validamos los consumos que está teniendo la infraestructura. Ante esas dos alertas ejecutamos todo el plan de acción reactivo para poder cerrar el incidente y activamos un plan de acción con consultores y proveedores de seguridad.

Un medio brasilero especializado en seguridad tuvo a una base de datos que estaba en los servidores nuestros que no cumplía con nuestras políticas de seguridad entonces. Este grupo accedió a través de algunos métodos que podrían ser de 'hacking'.

Para nosotros es importante mencionar que no se trata de 2.4 millones de datos personales o cédulas, eso obviamente alerta un montón y no es cierto. La base de datos que citan contiene datos operativos internos, como por ejemplo números de seguimiento de servicios, los identificadores del recorrido de un servicio o comentarios sobre interacciones de equipos internos que monitorean la operación con el equipo de logística.

La mayor cantidad de esos datos son datos operativos que están totalmente desagregados y son inteligibles para alguien que no haga parte de nuestra organización. Esto no es que uno pueda descargar un Excel y luego convertirlo en un informe de tendencias de consumo de clientes.

¿Fue un error humano?

No lo hemos determinado, estamos en ese proceso. Sabemos que fue una característica de incompatibilidad entre la seguridad del servidor y nuestras políticas pero pues estamos en ese proceso.

Queremos enviar un mensaje de tranquilidad a nuestros s: Somos una empresa colombiana que ha venido creciendo sostenidamente con responsabilidad, con un proceso de 'funding' muy responsable, con lo que estamos trabajando en nuestros temas de plataforma y seguridad.

¿Pero el número de 2.4 millones de datos es correcto?

No tenemos el número exacto pero es alrededor de eso... Si tuviéramos un Excel y pusieramos los campos como si cada celda específica fuera un dato, pues entonces ahí si sería alrededor de ese número.

No son datos personales. En algunos medios salió que eran 2.4 millones de células y obviamente no tendríamos porque no tenemos ni 2.4 millones de aliados ni de clientes.

Esos pantallazos que fueron publicados de las cédulas sí salieron de la base de datos.

Pero, firmas de ciberseguridad sí han confirmado la presencia de fotografías de cédulas, que tienen información personal como tipo de sangre, fecha de nacimiento, fotografía...

Sí, es cierto que están estos datos. Esos pantallazos que fueron publicados de las cédulas sí salieron de la base de datos.

Lo que queremos decir es que no significa que la base de datos fuera pública, es decir, que si hacemos una búsqueda en Google como 'mensajeros urbanos base de datos' no van a llegar a las cédulas de nuestros aliados. Esto fue un procedimiento de 'hacking' que llevó a un servidor que no cumplía con unas características de seguridad de nuestra política interna.

Nuestro punto, algo que The Hack y otras fuentes lo ponen en sus artículos, es que no existe una fuga de información que haya sido estilizada para fines maliciosos y por terceros.

¿Qué tan sensible era la información que estaba allí? ¿Cuál es la postura de mensajeros Urbanos frente a esa información?

Para nosotros es indispensable poder garantizar la seguridad de la información de nuestra operación. Es un tema sensible y prioritario para nosotros. Apenas nos enteramos empezamos con investigaciones y medidas correctivas y preventivas.

Para nosotros esta información es importante, pero no es información que tenga valor comercial para un tercero. Criminales tendrían que hacer un esfuerzo gigantesco de 'data mining' para sacar provecho de una base de datos nuestra. Es información que comercialmente solo nos sirve a nosotros y no es un histórico de toda la operación de la compañía.

Es importante decir que nuestra base de datos principal y nuestra base de datos transaccional no fueron accedidas. Las bases comprometidas fueron una base de 'back-up', de respaldo y una base de consulta que se consulta desde ElasticSearch.

¿Qué medidas tomaron después de evidenciar la falla?

Agradecemos la alerta que nos expusieron. Cuando nosotros recibimos eso se cierran totalmente los dos servidores, con lo que hoy no hay riesgo de fuga de información. Nuestro plan primero fue iniciar una investigación interna para ver si estaba todo bien y verificar el alcance de los datos.

Primero ha sido toda la investigación para garantizar que no vuelva ocurrir nada por el estilo pero también estamos montando un plan de comunicación. Queremos ser transparentes con nuestros clientes y por eso estamos acá.

No hay ninguna evidencia de que hayan descargado masivamente esos datos, pues cuando eso ocurre quedaría un registro de pico de actividad en el servidor. Si, por ejemplo, hubieran descargado 2.4 millones de imágenes de cédulas había quedado un pico evidenciable en la actividad del servidor. Al momento no hay ninguna evidencia de que se haya filtrado información. No hay ninguna página donde puedan meterse los s a mirar las cédulas de nuestros aliados, nunca hubo una descarga.

Pero puede que la información no esté en una página web de público, sino en otros canales. Entonces, ¿están haciendo un rastreo en la 'darkweb'?

Estamos en el proceso... Estamos trabajando con firma especializada en este tipo de cosas y hemos iniciado acercamientos con entidades gubernamentales que nos permitan justamente profundizar sobre el análisis de los temas en 'darkweb' y demás.

Queremos acercarnos a la división de ciberseguridad de la policía para entender, pues ellos son más expertos en este tipo de información, para que ellos nos apoyen en esa búsqueda y para dar una garantía completa de que no hay información de nuestros clientes allí.

Es importante que la gente sepa que la nuestra operación no se ha detenido en ningún momento. No tenemos afectación en nuestra operación a causa de la investigación del medio brasilero, no tenemos fuga de información, no hay evidencia de que la información a la cual tuvo el medio brasilero y las firmas especializadas al final esté siendo usada para fines maliciosos.

Para dar otro parte de tranquilidad a nuestros clientes, no hay ninguna data transaccional financiera que haya sido accedida ni que se haya fugado masivamente de la plataforma. Fundamentalmente, porque nosotros no almacenamos ninguna data financiera de las personas.

Pero, algunos registros tenían la palabra 'Daviplata'.

Es el teléfono celular de las personas. Las cuentas Daviplata tienen la opción de usar el mismo número de teléfono del cliente... Lo que estaba disponible en los servidores era el número de teléfono del aliado (mensajero), pero no hay ninguna información de contraseñas, ni de nuestra plataforma ni de plataformas terceras asociadas a nuestra operación.

Toda la operación de pagos 'online' que tenemos en la plataforma está completamente segura con un tercero en una pasarela de pagos que cumple con todas las certificaciones tanto nacionales como internacionales respecto a la seguridad y el manejo de transacciones financieras.

¿Ya identificaron de quiénes eran esas cédulas? Y si ya lo hicieron... ¿ya se pusieron en o con esas personas?

Esta semana estamos en ese proceso. Ya hemos tenido algunos os de clientes.

Estos documentos ¿es probable que sean de terceros, clientes grandes o de personas individuales que eran s de la plataforma?

De todo el universo de datos que estaban en esos servidores, hay un porcentaje pequeño que son de datos personales como cédulas.

De esa porción, la mayor parte no son datos de nuestros clientes sino de nuestros mensajeros aliados. Sabemos que eso nos va a exigir 'volver a enamorar' a la red, porque puede generar un desinterés de trabajar con nosotros. Pero creemos que la percepción de nuestros aliados siempre ha sido muy positiva. Vamos a tomar todas la medidas para asegurarnos de que sigan queriendo trabajando con nosotros.

Además, esos documentos de los aliados se recopilan con autorización durante su proceso de aceptación en la plataforma. Para recibir nuevos aliados hacemos una validación con herramientas tecnológicas y terceros. Entonces estamos autorizados para recopilarlos. Creemos que nuestros aliados pueden estar tranquilos que toda su información con nosotros está segura y que pueden seguir prestando servicios en nuestra red sin ningún inconveniente.

¿Qué decirle a quienes creen que tardaron demasiado en decir lo que había pasado?

Estábamos haciendo la investigación del tema. Es un tema muy complejo especializado y no podíamos salir desde el primer minuto a decir paso esto, tuvimos un incidente de seguridad. Sería muy irresponsable de nosotros tratar de salir a advertir y terminar generar un pánico innecesario.

Hemos estado construyendo toda la información, mientras la investigación está en curso. Cuando finalicemos vamos a hacer el reporte pertinente. También hemos tenido acercamientos personalizados con nuestros clientes y con nuestros aliados para darles toda la tranquilidad. Pero tenemos que tomar las precauciones para no desinformar.

En la SIC, una violación al principio de seguridad de datos puede llevar a sanciones (de hasta 2.000 smlv) ¿Han hablado con el regulador?

Estamos en este momento con nuestros asesores legales preparando el reporte para dar cumplimiento totalmente a la ley de protección de datos. Nuestra política es transparencia total y por eso queremos trabajar con la SIC y con las autoridades competentes para adelantar todos los trámites. No queremos 'pasar de agache'. Vamos a hacer un reporte formal ante la SIC.

¿Voluntariamente se van a acercar a la SIC o ellos los notificaron?

No hemos recibido ninguna comunicación de ninguna autoridad, sin embargo, desde el lunes estamos trabajando personalmente en una comunicación para radicar ante la SIC, pero no queremos hacerlo rápido y mal. Queremos darle toda la prioridad y estaremos radicando entre hoy y mañana. Voluntariamente nosotros vamos a hacer el reporte del incidente.

LINDA PATIÑO CÁRDENAS

REDACCIÓN TECNÓSFERA

@LinndaPC

Sigue toda la información de Tecnología en Facebook y X, o en nuestra newsletter semanal.