Las filtraciones masivas ya no son solo una constante en España, sino que afectan a una buena parte del mundo cada muy poco tiempo. En enero tuvo lugar una de las mayores de la historia, un evento que filtró 26.000 millones de datos. Ahora, ha tenido lugar otra filtración de datos masiva, en este caso una que afecta directamente a Reino Unido, Estados Unidos y Canadá que ha filtrado 2.700 millones de registros que contenían información personal.

Así lo expone Bleeping Computer, detallando esta filtración proveniente de National Public Data, una firma que se encarga de recopilar datos personales y vender el acceso a los mismos para su uso diferentes procesos relacionados con la investigación, que van desde la verificación de antecedentes hasta investigaciones privadas. El atacante los ha filtrado de forma gratuita en la Dark Web.

Estos registros integran numerosos datos personales de usuarios de Estados Unidos, Reino Unido y Canadá. National Public Data conseguía esta información directamente de fuentes públicas, con el objetivo de crear perfiles de usuarios individuales y así aprovechar dichos perfiles en los ya mencionados procedimientos de investigación.

Una filtración masiva de datos

Todo comienza, aunque parezca raro, en abril. Un atacante que se hacía llamar USDoD publicó un conjunto de posts en foros de la Dark Web en los que aseguraba estar vendiendo 2.900 millones de registros que efectivamente, fueron robados de National Public Data. USDoD intentó vender estos datos afirmando que estos registros contenían datos de todos los ciudadanos de estos tres países, relató en su día Have I Been Pwned. 

Este anuncio dio lugar a que otros atacantes y ciberdelincuentes, según Bleeping Computer publicaran sus propias copias de estos conjuntos de datos, aunque con diferentes cantidades de registros. Incluso almacenaban datos diferentes, que diferían de lo visto en el conjunto de datos de USDoD. El pasado 6 de agosto fue cuando un hacker llamado Fenice filtró la versión más completa de estos datos.

Lo hizo en el foro dedicado a hackers Breached, y en él Fenice explicó que esta filtración no la realizó él, sino otro hacker: SXUL. En total, Fenice publicó dos archivos de texto inmensos, que en conjunto pesaban 277 GB de datos. La cifra de este conjunto respecto a la de USDoD es ligeramente menor; pasa de 2.900 millones de registros a 2.700.

La información que incluyen estos registros es bastante abultada. Estos revelan el nombre del ciudadano, su dirección postal y el número de la seguridad social. También se incluyen datos adicionales de otras personas relacionadas, aumentando todavía más el daño potencial de esta filtración. Lo más problemático de esto es que los datos están accesibles; no están encriptados de ninguna forma.

Hay ciertos aspectos de esta filtración bastante llamativos. No se ha podido constatar del todo la veracidad total de los datos, y tampoco se ha confirmado si efectivamente estos registros abarcan toda la ciudadanía de tres países enteros. Por otro lado, Bleeping Computer asegura que algunos de estos registros no solo incluyen datos de personas fallecidas, si no detalles que no coinciden con los nombres asociados.

Por ejemplo, hay usuarios que aseguran que los números de la seguridad social asociados con sus nombres no les pertenecen, lo que indica que no es un conjunto de datos infalible. Por su fuera poco, algunas de las direcciones que aparecen están desactualizadas, y ya no pertenecen a algunos usuarios. 

Todos estos detalles hacen pensar que el conjunto de datos proviene de una copia de seguridad antigua relacionada directamente con el conjunto publicado originalmente por USDoD. Sin embargo, esto no resta gravedad al asunto ya que pese a que algunos datos están desactualizados o mal asociados, muchos otros no lo están. Existe el riesgo potencial de que millones de usuarios estén expuestos a esta filtración.

Con estos datos, cualquier atacante podría perpetrar numerosos ataques que van desde el phishing hasta las estafas bancarias. Un atacante experimentado podría acceder a la información financiera de alguna de las víctimas afectadas por la filtración y llegar a cometer delitos graves como estafas y similares.