Imagina que te vas de fiesta y pierdes un pendrive USB. Algo que aparentemente no parece nada fuera de lo común; peores cosas hemos visto en el terreno de la tecnología en España. Pero ahora imagina que ese USB contiene los datos privados de casi medio millón de ciudadanos. Es decir, datos fiscales, confidenciales y sensibles. Puede parecer una broma pero tal y como recoge The Guardian, esto ha pasado de verdad.
[Escándalo con los discos duros: fabricantes admiten que vendieron modelos lentos sin avisar]
Todo comienza con un contratista, de nombre desconocido, que trabaja en Japón. Más concretamente, este empleado estaba trabajando en Amagasaki, al oeste del país y era de carácter privado. La idea era que este contratista se encargara de supervisar los pagos de ayudas por COVID-19 a los hogares locales. Todos los datos necesarios estaban almacenados en un USB.
El contratista se había llevado la memoria USB de sus oficinas para transferir los datos a un centro de llamadas en las cercanías de Osaka. Lo que muchos no contaban es que el hombre se fue de fiesta... con el pendrive encima. Tras una noche de alcohol, el funcionario perdió un USB con información muy importante de casi 500.000 personas de la zona.
El contratista borracho
Según recogieron tanto Nikkei Asia como el medio japonés NHK, el contratista se había ido un martes por la noche a beber a un restaurante. En la memoria había datos de 465.177 contribuyentes de Amagasaki. El hombre bebió tanto que despertó, horas después, en la calle. Por supuesto, sin su bolsa y por ende sin el USB.
Los datos en concreto incluían detalles como direcciones físicas, nombres, cumpleaños e información fiscal de hasta 360.000 ciudadanos de la zona. No solo eso; se incluía información sobre qué hogares consiguieron beneficios fiscales referentes a las ayudas para la COVID-19 e información de beneficios de ayudas públicas y cuestiones similares, como la manutención de los hijos de al menos 86.000 hogares aproximadamente.
Hay que aclarar que toda la información no estaba guardada en el USB al tun tun. Todo lo contrario; todo estaba protegido por contraseña y absolutamente toda la información estaba encriptada. Es decir, que cualquier hacker de baja estofa no podrá acceder a estos datos tan sensibles, al menos de forma sencilla. No se han dado reportes sobre filtraciones de datos severas relacionadas con el incidente.
El contratista estaba autorizado a realizar el procesamiento de datos fuera de las oficinas en las que trabajaba, incluyendo los ayuntamientos y sus oficinas. Los funcionarios de Amagasaki no controlaron qué hacía este contratista en su tiempo libre ni si estaba siguiendo las pautas de seguridad necesarias.
Esto, como era de esperar, provocó que las autoridades se vieran forzadas a emitir avisos con advertencias sobre posibles estafas y extorsiones. Además, tal y como señala Gizmodo, se reportaron de forma local más de 30.000 llamadas de ciudadanos quejándose y detallando sus preocupaciones.
Afortunadamente, se pudieron localizar tanto la bolsa como el USB, y no existen evidencias de que se intentara acceder al mismo. La empresa y el alcalde se han disculpado públicamente ante los ciudadanos preocupados por sus datos.
No es ni mucho menos la primera vez que ocurre algo así. La misma The Guardian recoge cómo el mes pasado un ciudadano de la ciudad de Abu, en Yamaguchi (Japón) recibió por error 46,3 millones de yenes en fondos de ayuda para COVID-19 que estaban destinados a 463 hogares con bajos ingresos. Consiguieron recuperar todo el dinero, pero el incidente quedó registrado.