Debido a una mala configuración en un software de Microsoft utilizado por varias empresas y organizaciones, quedaron expuestos 38 millones de datos sobre nombres, direcciones, números de identificación fiscal y otras informaciones confidenciales, incluidos datos de plataformas para rastrear casos de contactos estrechos de coronavirus. Sin embargo, no fueron vulnerados, aclararon desde la firma de seguridad informática UpGuard que publicó el resultado de una investigación sobre este hecho.
American Airlines, Ford, J.B. Hunt y grupos como la autoridad sanitaria de Maryland y el transporte público de la ciudad de Nueva York se encuentran entre los 47 grupos implicados. Todos utilizaron un software de Microsoft, el Power Apps, que permite crear fácilmente sitios web y aplicaciones móviles de interacción con el público. Por ejemplo, si una institución necesita disponer rápidamente de una web para reservar turnos para vacunas, este servicio de Microsoft proporciona tanto la fachada pública como la gestión de datos.
Pero hasta junio de 2021, la configuración de software predeterminada no protegía adecuadamente ciertos datos, explicaron los investigadores de UpGuard. «Gracias a nuestra investigación, Microsoft ha cambiado los portales de Power Apps», dicen.
Microsoft no tardó en reaccionar a la divulgación de estos hallazgos. «Nuestras herramientas ayudan a diseñar soluciones a escala que satisfacen una amplia variedad de necesidades. Nos tomamos muy en serio la seguridad y la privacidad, y alentamos a nuestros clientes a configurar los productos para satisfacer mejor sus necesidades de privacidad», afirmó un vocero de la empresa.
El grupo también indicó que informaba sistemáticamente a sus clientes cuando se identifican riesgos potenciales de fugas, para que pudieran remediarlos. Según UpGuard, es mejor cambiar el software en función de cómo lo utilicen los clientes en lugar de «ver la falta generalizada de privacidad de los datos como una mala configuración por parte del usuario, que perpetúa el problema y pone al público en riesgo». «El número de cuentas en las que información sensible estuvo vulnerable muestra que el riesgo asociado con esta función -la probabilidad y el impacto de una mala configuración- no había sido tomada en cuenta adecuadamente», añadieron.
