Expuestos más de 100.000 registros de personal de la ONU

Creada en 1945, cuando los disparos de la Segunda Guerra Mundial todavía resonaban, la ONU ha procurado ser, desde entonces, un punto de encuentro de países con posiciones dispares en cualquier materia, y que no han sido capaces de resolverlos de manera bilateral. Tras dos guerras mundiales en un lapso de menos de 40 años, y con la sombra de un gran conflicto con armas nucleares, era perentorio crear un organismo global, con la voz de todos, en el que la diplomacia primara sobre el belicismo, tan presente en aquellos tiempos.

A lo largo de las décadas, la ONU ha ido creciendo en funciones e infraestructura. Por ejemplo, dos años dos de su creación, llegado 1947, se constituyó el El Fondo de las Naciones Unidas para la Infancia (UNICEF), y un año después puso en funcionamiento la Organización Mundial de la Salud (OMS). El Alto Comisionado de las Naciones Unidas para los Refugiados (ACNUR) llegaría en 1950, y así una lista creciente de fondos, programas, agencias especializadas, etcétera.

Menos conocido que los mencionados anteriormente, el Programa de Naciones Unidas para el Medio Ambiente, PNUMA, lleva en funcionamiento desde 1970 y, como su propio nombre indica, concentra sus esfuerzos en apoyar a los países a la puesta en marcha de políticas y prácticas que integren el ecologismo y el cuidado del planeta. Tiene su sede en Nairobi, Kenia, y actualmente es dirigido por la economista y ecologista danesa  Inger Andersen.

Aunque la popularidad de PNUMA sea inferior a la de otros nombres citados anteriormente, eso no debe hacernos pensar que hablamos de una entidad de pequeño tamaño. Como todo en la ONU su alcance es global, de modo que también lo es su infraestructura. Un infraestructura que, en lo referido a IT y según informa Bleeping Computer, se ha visto recientemente comprometida. Y es que investigadores del grupo Sakura Samurai habrían encontrado una vulnerabilidad que, explotada, daba acceso a más de 100,000 registros de empleados privados de este programa de la ONU.

El problema tenía su origen en un repositorio GIT no protegido y que, una vez clonado y explorado, ofreció a los investigadores acceso a archivos de credenciales y de configuración, que pudieron emplear para acceder a otros elementos de la infraestructura, como instalaciones de WordPress, con permisos de administración. Gracias al material obtenido en dicho repositorio, en menos de 24 horas desde que empezaron a analizar la seguridad de la ONU ya se habían hecho con más de 100.000 registros con información personal de empleados y colaboradores de Naciones Unidas. Desde nombres y datos de contacto hasta registros de viajes de trabajo.

Adicionalmente, algunos archivos PHP obtenidos por Sakura Samurai durante esta investigación contenían credenciales de bases de datos en texto plano asociadas con otros sistemas en línea no solo del del PNUMA, sino también de otras organizaciones como la OIT. No sabemos, a día de hoy, cuantas entidades y programas de la ONU se han visto afectados por este problema de seguridad.

La buena noticia es que el grupo informó de inmediato a los responsables de la infraestructura de la ONU para que pudieran solventar el problema, y no han informado públicamente sobre el mismo hasta no tener constancia de que había sido resuelto. Además, y según los mismos, la respuesta de la ONU ha sido destacablemente rápida, hasta el punto de felicitar a Saiful Ridwan, Jefe de Soluciones Empresariales del PNUMA, por su rápida respuesta. Ridwan, por su parte, también se mostró muy agradecido a Sakura Samurai por el análisis y el informe de las vulnerabilidades.

La mala noticia es que, en opinión de los expertos de seguridad, la vulnerabilidad era fácilmente explotable, por lo que resulta probable que el de Sakura Samurai no haya sido el único acceso no autorizado a los datos que han quedado accesibles por la misma. Así pues, en este punto la ONU tendría no solo que someter todos sus sistemas a una estricta auditoría de seguridad, sino también revisar que datos se han podido ver comprometidos, informar a las personas afectadas y, en la medida de lo posible, mitigar los efectos que podría tener que toda esa información acabe en malas manos.

La entrada Expuestos más de 100.000 registros de personal de la ONU es original de MuySeguridad. Seguridad informática.