Expuesto en tránsito: Casi 1 millón de registros comprometidos en la base de datos de objetos perdidos y encontrados del aeropuerto

El investigador de ciberseguridad, Jeremiah Fowler, descubrió recientemente una base de datos de acceso público con 820,750 registros pertenecientes a una empresa con sede en Alemania (Lost and Found Software), que ofrece servicios de seguimiento y devolución de artículos extraviados en aeropuertos de Estados Unidos, Canadá y Europa. 

Los datos expuestos se encontraban distribuidos en 10 bases de datos sin contraseña, con un total de 122 GB de información que incluía: 

Imágenes de alta resolución de documentos de identificación, como pasaportes y licencias de conducir. 

Confirmaciones de pago para la devolución de objetos perdidos, recibos originales y documentos adicionales con información personal. 

Capturas de pantalla de etiquetas de envío y correspondencia personal, todas almacenadas en carpetas llamadas “user image” y “item image.” 

“En una muestra limitada de los documentos expuestos, vi registros e imágenes que mostraban etiquetas de envío, capturas de pantalla, informes y artículos perdidos,” explicó Fowler. “Estos iban desde dispositivos médicos, computadoras, aparatos electrónicos personales, billeteras, bolsos, objetos antiguos y prácticamente cualquier otra cosa que puedas imaginar que los viajeros lleven consigo en un vuelo. Los archivos más preocupantes que encontré en la base de datos eran un gran número de imágenes de alta resolución de documentos de identificación, como pasaportes, licencias de conducir, documentos laborales y más.” 

No está claro si estos documentos eran los propios objetos perdidos o si el personal del aeropuerto los subió mientras verificaba las reclamaciones de los viajeros. En cualquier caso, se trataba de información sumamente sensible disponible a través de un acceso público. 

Fowler se puso en contacto con la empresa, y las bases de datos fueron rápidamente aseguradas. Se desconoce cuánto tiempo estuvieron expuestos los datos o si otras personas no autorizadas tuvieron acceso antes de que fueran protegidos. 

Riesgos potenciales y medidas de seguridad 

Aunque el investigador enfatizó que no hay evidencia que sugiera un uso indebido inmediato o real de los datos expuestos, los viajeros deberían tomar medidas de seguridad proactivas y familiarizarse con los posibles riesgos, entre los cuales se incluyen: 

Robo de identidad: 
Los delincuentes pueden usar pasaportes, licencias de conducir y otros documentos de identificación para abrir cuentas nuevas, crear documentación falsa o revender la información en la dark web. 

Estafas dirigidas: 
Con conocimiento detallado sobre objetos extraviados específicos, los estafadores pueden hacerse pasar por representantes legítimos del servicio de objetos perdidos y encontrados, engañando a los viajeros para que proporcionen más datos personales o financieros. Por ejemplo, si alguien perdió una computadora portátil de alto valor, un estafador podría afirmar haberla encontrado y solicitar un número de tarjeta de crédito para “devolverla”. 

Se recomienda que cualquier persona que crea que sus datos personales han sido comprometidos: 

Revise sus informes de crédito y estados de cuenta financieros para detectar actividad inusual o cuentas nuevas abiertas sin autorización. 

Verifique siempre las solicitudes de información. Si recibe correos electrónicos, llamadas o mensajes sospechosos de “aerolíneas” o “servicios de objetos perdidos,” confirme su legitimidad a través de canales oficiales antes de proporcionar datos personales o financieros. 

Utilice servicios de protección de identidad: 
Bitdefender Digital Identity Protection puede ayudarle a monitorear su huella digital, enviando alertas en tiempo real si su información personal aparece en la dark web o en bases de datos comprometidas. Este tipo de servicios ofrece supervisión proactiva, lo que permite detectar actividades sospechosas de forma temprana y reducir la probabilidad e impacto del robo de identidad.