(https://i.postimg.cc/XYWtW9KF/Movistar-Costa-Rica.png) (https://postimg.cc/9rxLtRnF)
Movistar Costa Rica, una importante empresa de telecomunicaciones, filtró cientos de miles de documentos de identidad, lo que creó una potencial mina de oro para los ciberdelincuentes. Sin embargo, la empresa afirma que no hay evidencia de que se hayan descargado datos.
Una investigación de Cybernews reveló una importante filtración de documentos de identidad, permisos de trabajo y selfies utilizados para la identificación de clientes (KYC).
Los archivos se almacenaron en un depósito de Google Cloud Storage sin protección que se descubrió a principios de diciembre de 2024. La instancia abierta se atribuyó a Movistar, un importante operador de telecomunicaciones en Costa Rica. La empresa es el segundo operador móvil más grande del país y brinda servicios móviles y de televisión.
El almacenamiento expuesto carecía de una contraseña, lo que dejó casi 650.000 archivos con datos extremadamente sensibles a disposición de cualquier persona en Internet.
(https://media.cybernews.com/2025/02/movistar-data-leak.png)
¿Qué datos de Movistar se filtraron?
Pasaportes
Licencias de conducir
Documentos de identidad de electores
Documento nacional de identidad
Permisos de trabajo
Selfies utilizados en KYC
Clientes en riesgo de pérdidas financieras
El error de seguridad que expuso documentos KYC, como documentos nacionales de identidad y selfies KYC, plantea importantes amenazas de seguridad para los clientes de Movistar en Costa Rica.
Aunque no existe evidencia de que actores maliciosos hayan accedido a la instancia expuesta, los actores de amenazas escanean continuamente la web en busca de servidores desprotegidos. Si los investigadores de seguridad pudieron encontrar los datos filtrados, los cibercriminales probablemente podrían haber hecho lo mismo.
Los documentos de identidad emitidos por el gobierno son una presa valiosa para los atacantes, ya que los documentos filtrados pueden ayudar a robar la identidad de las víctimas. Además de proporcionar datos personales, los escaneos de pasaportes son un elemento muy buscado en la dark web, especialmente si van acompañados de un documento de identificación de respaldo, como una selfie.
Las selfies se utilizan cada vez más en la verificación KYC para confirmar que la persona que presenta los documentos es su legítimo propietario. El proceso estándar requiere que los usuarios se tomen una selfie mientras sostienen su documento de identificación junto a su cara.
Algunas instituciones financieras o plataformas fintech solo requieren dos documentos de identificación para abrir una cuenta nueva. Utilizando un documento escaneado de un pasaporte robado junto con una selfie que incluya un documento, los estafadores podrían configurar cuentas fraudulentas.
Tener una cuenta falsa configurada a tu nombre puede causar una multitud de problemas. Por ejemplo, la cuenta fraudulenta podría usarse como una cuenta mula para lavar dinero de otras transacciones ilegales.
Los cibercriminales también pueden usar identidades robadas para presentar solicitudes fraudulentas de préstamos y tarjetas de crédito y obtener acceso no autorizado a servicios gubernamentales como declaraciones de impuestos o beneficios de la seguridad social.
"Los atacantes podrían usar los datos expuestos para eludir las medidas de seguridad y obtener acceso no autorizado a cuentas financieras u otros servicios personales vinculados a clientes de Movistar y robar fondos", dijo nuestro equipo de investigación.
Aunque los datos quedaron abiertos a cualquier persona en Internet, esto plantea la cuestión de la capacidad de Movistar para cumplir con las normas locales de protección de datos. Cybernews se puso en contacto con la empresa y se ha asegurado el acceso a los datos.
La empresa confirmó que uno de los repositorios de terceros permitía un acceso limitado a determinados registros de la empresa. En una declaración enviada por correo electrónico, un portavoz afirmó que el equipo de seguridad protegió la base de datos del acceso no autorizado e implementó medidas de seguridad adicionales.
La empresa ha afirmado que no hay pruebas de que se haya capturado, descargado o utilizado indebidamente la información.
"Seguiremos investigando este asunto mientras evaluamos y monitoreamos la situación para garantizar el cumplimiento de las regulaciones locales", dijo el portavoz de la empresa.
Fuente:
CyberNews
https://cybernews.com/security/movistar-data-leak/