Una empresa de seguridad aseguró que una gran cantidad de información de todo tipo fue filtrado a la web antes de que el problema fuera resuelto.

Unos 38 millones de datos e informaciones personales, algunos de los cuales provienen de plataformas para rastrear casos de contacto de coronavirus, quedaron expuestos a principios de este año debido a una mala configuración en un software de Microsoft usado por varias empresas y organizaciones.

La firma de seguridad informática UpGuard publicó hoy el resultado de una investigación que muestra que millones de nombres, direcciones, números de identificación fiscal y otras informaciones confidenciales quedaron expuestos antes de que el problema fuera resuelto, informó la agencia de noticias AFP.

No se sabe si alguno de los datos se vio comprometido”, agrega el informe. American Airlines, Ford, J.B. Hunt y grupos como la autoridad sanitaria de Maryland y el transporte público de la ciudad de Nueva York se encuentran entre los 47 grupos afectados.

Estas empresas y organizaciones tienen en común que utilizaron un software de Microsoft, el Power Apps, que permite crear fácilmente sitios web y aplicaciones móviles de interacción con el público.

Empero, hasta junio de 2021, la configuración de software predeterminada no protegía adecuadamente ciertos datos, según los investigadores de UpGuard. “Gracias a nuestra investigación, Microsoft ha cambiado los portales de Power Apps”, sostienen.

En este contexto, un vocero de Microsoft dijo: “Nuestras herramientas ayudan a diseñar soluciones a escala que satisfacen una amplia variedad de necesidades. Nos tomamos muy en serio la seguridad y la privacidad, y alentamos a nuestros clientes a configurar los productos para satisfacer mejor sus necesidades de privacidad”.

El grupo también indicó que informaba sistemáticamente a sus clientes cuando se identificaban riesgos potenciales de fugas, para que pudieran remediarlos.

Sin embargo, según UpGuard, es mejor cambiar el software en función de cómo lo utilicen los clientes en lugar de “ver la falta generalizada de privacidad de los datos como una mala configuración por parte del usuario, que perpetúa el problema y pone al público en riesgo”.

“El número de cuentas en las que información sensible estuvo vulnerable muestra que el riesgo asociado con esta función -la probabilidad y el impacto de una mala configuración- no había sido tomada en cuenta adecuadamente“, añadió la firma de seguridad informática.