Las raíces profundas del problema de ciberseguridad de Nigeria

El 3 de abril, Website Planet estaba ejecutando un proyecto de mapeo web cuando descubrió cubos de datos AWS S3 no seguros pertenecientes a una agencia de salud estatal en Nigeria. Estos cubos contenían unas 75 000 entradas de unas 37 000 personas, aproximadamente 45 GB en total, incluidos los documentos de identificación y las fotos de las personas registradas en la agencia. Los cubos datan de enero de 2021 y estaban activos y actualizados en el momento del descubrimiento, según Website Planet.

La agencia, conocida como Plateau State Contributory Healthcare Management Agency (PLASCHEMA), fue lanzada en septiembre de 2020 por el gobernador del estado, Simon Bako Lalong, y estaba orientada a brindar atención médica económica y accesible a los residentes del estado de Plateau en Nigeria.

El 5 de abril, Website Planet se puso en contacto con las autoridades nigerianas y les informó sobre los depósitos de datos expuestos. Pero Website Planet dice que los cubos de datos permanecieron activos y sin seguridad hasta finales de julio. Se desconoce si los actores malintencionados encontraron los datos antes de que estuvieran protegidos, dice un portavoz de Website Planet, pero “cuanto más tiempo se deja abierto, más probable es que pueda ser capturado por partes maliciosas”. La información personal como la que se encuentra en los cubos podría explotarse para el robo de identidad, que podría usarse para abrir redes sociales y cuentas bancarias o de crédito virtuales.

El 23 de julio, días después de que se bloquearan los cubos no seguros, Fabong Yildam, director general de PLASCHEMA, negó cualquier violación o exposición de datos en una conferencia de prensa.

Lamentablemente, el incidente es típico de los problemas generalizados de seguridad cibernética en Nigeria, donde las regulaciones son ineficaces, las malas prácticas proliferan y las divulgaciones públicas de las infracciones de seguridad suelen ser lentas e insuficientes.

“Muchas organizaciones en países desarrollados se comunican cuando tienen casos de ataques cibernéticos, lo que fomenta la resiliencia cibernética y la respuesta generalizada a incidentes”, dice Confidence Staveley, analista de seguridad nigeriano y director ejecutivo de Cybersafe Foundation, un grupo de defensa y consultoría de seguridad. “Volver aquí, sin embargo, vemos que, en general, muchas organizaciones niegan absolutamente la ocurrencia de incidentes de filtración de datos y ataques cibernéticos, incluso en presencia de evidencia innegable, o minimizan drásticamente el incidente”.

En agosto de 2020, se informó que dos importantes bancos nigerianos sufrieron violaciones de datos, exponiendo los detalles financieros de sus clientes. Ninguno de los bancos respondió hasta días después, y luego sus comunicados de prensa fueron vagos, sin negar ni admitir la ocurrencia de ninguna violación de datos.

A principios de este año, en julio, David Hundeyin, periodista nigeriano independiente, también informó un posible compromiso de los correos electrónicos pertenecientes al gobierno del estado de Lagos y la venta de estos correos electrónicos en el mercado oscuro. El gobierno del estado de Lagos y las agencias de seguridad cibernética de Nigeria permanecieron en silencio sobre las afirmaciones de Hundeyin, sin responder ni negar la supuesta violación.

Al no comunicarse, estas agencias no logran equipar a sus clientes y otras partes interesadas con la información que necesitan para protegerse y brindar asesoramiento procesable a cualquier persona expuesta a una posible infracción. La falta de comunicación, dice Staveley, junto con muchas malas prácticas de ciberseguridad, socava la ciberseguridad y la protección de datos en Nigeria, y crea una grave falta de confianza y capacidad.