Análisis de la nueva filtración de datos que involucró al Servel

Hace un par de días, se dio a conocer una supuesta nueva filtración de datos que afectaría a 14 millones de chilenos mayores de 17 años. En un principio se vinculó al Servel, sin embargo, correspondía a información que ya había sido publicada.

La noticia fue publicada y difundida mediante Twitter por Catalin Cimpanu (@campuscodi), quien daba los siguientes detalles:

Haciendo referencia a un artículo en zdnet.com. Inmediatamente esto se relacionó con el Servel y muchas personas pensaron que había sido una filtración de datos.

El equipo de investigación de NIVEL4 logró encontrar el repositorio de datos al que se hacía referencia. Este repositorio correspondía a un motor de indexación Elastic el cual, efectivamente, contenía los datos de los chilenos, datos obtenidos desde el padrón electoral. La información se relacionaba inmediatamente con el Servel ya que el nombre del repositorio se llamaba «dbservel».

Como se puede ver en la imagen, corresponde a un servidor alojado en Softlayer, el servicio de Elastic expuesto mediante el puerto 9200 y el total de los datos almacenados es de 3GB.

El servidor se encontraba sin ningun tipo de autenticación y permitía consultar los datos directamente enviandole la petición a la API de Elastic. Por este motivo, el equipo de investigación realizó la búsqueda de algunos datos, permitiendo concluir que estos correspondían a años atrás, y son los que el Servel publicó debido a una ley que lo obliga.

De los RUTs y personas consultadas, se logró obtener los siguientes resultados:

  • Las direcciones no estaban actualizadas. Para personas que habían cambiado su dirección de votación, se continuaban mostrando las antiguas.
  • Las edades de las personas no eran edades exactas. Personas que hoy tienen 33 años, en el registro aparecen con 31 años, otros que tienen por ejemplo 35 años, en el registro aparecen con 32, detectando una diferencia de 2 o 3 años.
  • La diferencia de edad coincide con lo indicado por el Servel: Que la información es del año 2017.
  • El RUT, sexo, nombre y dirección de los ciudadanos debe ser publica por Ley.

En relación a las distintas publicaciones donde se decía que también se publicaba el número de serie del documento de identidad o hacían referencia a un supuesto «ID», se debe aclarar que Elasctic genera identificadores para sus indicadores y datos, con el fin de mejorar las búsquedas y el rendimiento del motor de indexación.

Como conclusión, podemos determinar que no se trata de un hackeo ni de una nueva filtración de datos, lo único nuevo es que se encontró un repositorio abierto donde se podían consultar los datos.

Esta misma información se puede consultar de forma pública y abierta mediante los famosos portales Rutificador o NombreRutyFirma.