CoWIN es un portal web propiedad del gobierno creado en 2021 para administrar y gestionar el lanzamiento de la vacuna COVID-19 de la India. Archivo | Crédito de la foto: El hindú
La historia hasta ahora: El 12 de junio, surgieron informes de que un bot en la plataforma de mensajería Telegram supuestamente devolvía datos personales de ciudadanos indios que se registraron en el portal de la red de inteligencia de vacunas COVID-19 (CoWIN) con fines de vacunación. El bot arrojó detalles personales como el nombre, Aadhaar y números de pasaporte al ingresar los números de teléfono. El mismo día, el Ministerio de Salud negó informes de una violación de datos, y dijo que las acusaciones eran de “naturaleza traviesa”. Agregó que el El equipo indio de respuesta a emergencias informáticas (CERT-In) estaba revisando la infraestructura de seguridad existente del portal Por separado, el Ministro de Estado de Electrónica y TI, Rajeev Chandrasekhar, dijo que la agencia de seguridad cibernética nodal había revisado la supuesta violación y descubrió que la plataforma CoWIN no fue “directamente violada”.
¿Qué rastrea el portal CoWIN?
CoWIN es un portal web propiedad del gobierno creado en 2021 para administrar y gestionar el lanzamiento de la vacuna COVID-19 de la India. La plataforma estilo registro de salud aprovecha la infraestructura digital pública existente, como la Red Electrónica de Inteligencia de Vacunas (eVIN), una aplicación que proporciona datos sobre las cadenas de frío de vacunas en el país; Infraestructura digital para acreditación abierta verificable (DIVOC), un emisor de certificados de vacunas; y Vigilancia y acción para eventos posteriores a la vacunación (SAFE-VAC), un rastreador de eventos adversos de vacunas.
La plataforma, en tiempo real, rastrea vacunas y beneficiarios a nivel nacional, estatal y distrital. Supervisa la utilización y el desperdicio de vacunas y mantiene un inventario de los viales. Para los ciudadanos, CoWIN verifica la identidad, ayuda a programar citas de vacunación y emite un certificado de vacunación. La base de datos captura información que fluye de cuatro flujos de entrada separados: registro de ciudadanos; centros de salud; inventario de vacunas; y certificados de vacunas. Cada flujo funciona de forma independiente y, al mismo tiempo, intercambia datos para minimizar las redundancias. La plataforma es una arquitectura nativa de la nube basada en microservicios desarrollada desde cero en Amazon Web Services (AWS). Una arquitectura de microservicio es un patrón que organiza una aplicación como una colección de servicios detallados y poco vinculados. Estos servicios interactúan entre sí a través de ciertos protocolos establecidos.
¿Cuáles son los antecedentes de la violación de datos?
Esta no es la primera vez que surgen informes sobre fugas de datos. En enero de 2022, se informó que los datos personales de miles de personas en India se filtraron de un servidor del gobierno. La información incluía resultados de pruebas de COVID-19, números de teléfono, nombres y direcciones de ciudadanos. Se puede acceder a los datos a través de una búsqueda en línea. En diciembre, en una violación de seguridad separada, un pirata informático iraní afirmó estar en posesión de datos de la base de datos CoWIN.
Ambos informes de la fuga de datos fueron descartados por el Ministerio de Electrónica y Tecnología de la Información (MeitY). No hay registro de ninguna investigación realizada por CERT-In en relación con estas filtraciones de datos. Incluso las notas de vulnerabilidad que la agencia de seguridad cibernética nodal compartía regularmente no hacían referencia a estas infracciones.
Sobre la reciente fuga de datos, aunque el Ministro de TI dijo que CERT-In completó la revisión y no encontró ninguna infracción en el sistema CoWIN, la agencia de seguridad cibernética no ha publicado directamente ninguna actualización que esté investigando o haya presentado una revisión de la infracción. . Sin embargo, un informe en El expreso indio dijo que la agencia está en conversaciones con al menos 11 gobiernos estatales que han desarrollado sus propias bases de datos.
¿Cómo obtuvo acceso el bot de Telegram a los datos relacionados con CoWIN?
Hay pocas formas de analizar esta violación de datos para saber dónde podrían haber salido mal las cosas. Los proveedores de la nube como AWS, Azure de Microsoft y Google Cloud generalmente brindan seguridad solo para la infraestructura subyacente y no para proteger las aplicaciones y las bases de datos. Los clientes que alojan sus datos son responsables de lo que construyen en un entorno de nube. La ausencia de AWS en las notas de vulnerabilidad de CERT-In el año pasado podría significar que no hubo fallas de seguridad al final de la infraestructura de la nube.
Lea también | El Movimiento de Software Libre de la India exige que se investigue la violación de datos de CoWIN
Si bien la nube ofrece una seguridad superior en comparación con los centros de datos tradicionales, los sistemas heredados implementados en servidores virtuales son los eslabones débiles de la cadena. Dichos enlaces son una ruta perfecta para que los piratas informáticos obtengan acceso a una base de datos. Esto cambia el enfoque a CoWIN, que se creó aprovechando las herramientas de software heredadas. Entonces, un punto de entrada para aquellos detrás del bot puede haber sido un sistema antiguo que estaba conectado al portal.
En violaciones de datos anteriores, los expertos en seguridad cibernética han atribuido las filtraciones de datos a errores humanos o negligencia al configurar bases de datos en la nube. La configuración incorrecta de un sistema o la participación de aplicaciones de terceros con funciones de privacidad limitadas también podrían haber expuesto los datos del usuario a personas no autorizadas.
¿Cuál es la imagen más grande?
Cualquiera que sea el resultado de la investigación CERT-In, el hecho es que los datos personales confidenciales de millones de ciudadanos indios que se inscribieron para la vacunación contra el COVID-19 están en manos de ciberdelincuentes. No está claro cómo planean usar esta información. Pero tales filtraciones revelan el negocio inconcluso de protección de datos de la India. Una ley de protección de datos podría ser una herramienta útil para fijar la responsabilidad y crear salvaguardas en torno al uso y procesamiento de datos personales.
Lea también | Fuga de datos de CoWIN de una base de datos no gubernamental operada por un actor de amenazas, dice el ministro de la Unión
En 2017, la Corte Suprema de India reconoció la privacidad como un derecho fundamental y destacó la necesidad de proteger la información personal. Pero el país todavía está luchando por enmarcar una política de protección de datos personales.
2023-06-18 01:20:00
#Explicado #Qué #revela #supuesta #fuga #datos #CoWIN,