BANGKOK – La preparación de Tailandia en materia de ciberseguridad ha sido cuestionada, luego de informes de que los datos personales de los turistas fueron expuestos recientemente en línea, lo que podría dañar una recuperación muy necesaria del sector clave.
La información de alrededor de 106 millones de visitantes a Tailandia era accesible para todos en Internet, según la firma de investigación de ciberseguridad Comparitech a principios de esta semana. La base de datos fue descubierta por Bob Diachenko, uno de los investigadores de la compañía el 22 de agosto. Las autoridades tailandesas eliminaron los datos al día siguiente, luego de ser alertados por Diachenko.
La base de datos de 200 gigabytes contenía el nombre completo, sexo, número de pasaporte, estado de residencia, tipo de visa, número de tarjeta de llegada tailandesa y fecha de llegada a Tailandia de cada visitante. Las fechas de los registros van desde 2011 hasta este año.
«No sabemos cuánto tiempo estuvieron expuestos los datos antes de ser indexados», dijo Comparitech. La Agencia Nacional de Ciberseguridad de Tailandia confirmó la violación, pero dijo que no había encontrado ningún intento de vender los datos en Internet.
La infracción se produce en un momento particularmente incómodo para Tailandia cuando apunta a reabrirse gradualmente a los visitantes que están vacunados contra COVID-19. Phuket, una isla en el sur, es el llamado experimento de la caja de arena, que ha recibido a 35.068 turistas desde que abrió por completo sus puertas a los visitantes vacunados en julio.
Phuket, una isla en el sur de Tailandia, ha estado abierta a turistas extranjeros vacunados desde julio, pero ahora se teme que la mala ciberseguridad pueda obstaculizar la recuperación del sector. © Reuters
El gobierno ahora quiere abrir cinco provincias más, incluida Bangkok, a partir de octubre a los turistas vacunados. Pero ese plan pende de un hilo, ya que el programa de vacunación en Bangkok y esas provincias no se está expandiendo al ritmo que el gobierno esperaba que hiciera viable cualquier reapertura.
Revivir el turismo es vital para la recuperación de la segunda economía más grande del sudeste asiático, ya que el sector y las empresas relacionadas representaban el 20% del producto interno bruto de Tailandia antes de la pandemia. Los turistas ahora podrían sentirse desanimados por la mala ciberseguridad de Tailandia.
En gran parte, la violación de datos puede atribuirse al retraso en la implementación de la ley de protección de datos personales. Esa ley fue aprobada por el gobierno de la antigua junta en febrero de 2019 y estaba programada para entrar en vigor en mayo de 2020, pero se pospuso dos veces para dar a las organizaciones tiempo y espacio financiero para intensificar sus esfuerzos. Ahora se espera que se promulgue el 1 de junio de 2022.
Si la ley se hubiera implementado como se planeó inicialmente, tanto el sector público como el privado habrían mejorado su juego en ciberseguridad. Según la ley, las infracciones deben informarse de inmediato a la Agencia Nacional de Ciberseguridad, o las partes enfrentan multas de 200,000 baht ($ 5,960). Las organizaciones que han sido pirateadas deben mostrar pruebas de las defensas adecuadas contra los ciberataques o enfrentar sanciones según la ley.
La urgencia de la implementación ha pasado a primer plano por los recientes ciberataques a las empresas. CP Freshmart, una rama comercial minorista de Charoen Pokphand Foods, dijo el 7 de septiembre que el sistema que contiene la información del usuario fue pirateado. Alrededor de 594.585 artículos, incluidas contraseñas, nombres completos, números de teléfonos móviles, correos electrónicos y direcciones, se pusieron a la venta en un mercado negro de datos.
La empresa insistió en que no se robó ninguna tarjeta de crédito ni información financiera. Charoen Pokphand Group es el conglomerado más grande de Tailandia.
La aerolínea regional Bangkok Airways fue otra víctima reciente. Envió un correo electrónico a algunos clientes el 28 de agosto, informándoles que se habían robado los nombres de los pasajeros, nacionalidades, números de teléfono, correos electrónicos, direcciones, detalles del pasaporte, viajes históricos y cierta información de tarjetas de crédito.
La aerolínea regional Bangkok Airways dijo recientemente que se había robado información de los clientes. © Reuters
Indonesia también ha sufrido recientemente situaciones embarazosas similares. A principios de septiembre, el certificado de vacuna COVID-19 del presidente indonesio Joko Widodo se filtró en línea, incluido su número de identidad nacional, el tipo de vacuna que recibió y la hora en que la recibió. Se pudo acceder a los datos en la aplicación Pedulilindungi, la aplicación oficial de control de vacunas del gobierno.
El gobierno trató de minimizar las preocupaciones sobre la protección de datos en esa aplicación diciendo que el número de identidad nacional del presidente estaba disponible en el sitio web de la comisión electoral general de todos modos, mientras que su fecha de vacunación ya se informó ampliamente.
«El gobierno insta al público a mantener la calma y no ser provocado por información inapropiada relacionada con el sistema PeduliLindungi», dijo.
La filtración se produjo pocos días después de que el proveedor de cifrado vpnMentor dijera que descubrió una brecha en la aplicación de prueba y rastreo del gobierno de Indonesia para las personas que ingresan a Indonesia. «Los desarrolladores de aplicaciones no implementaron protocolos de privacidad de datos adecuados y dejaron los datos de más de 1 millón de personas expuestos en un servidor abierto», dijo la compañía. Los datos filtrados incluyeron la identificación del pasajero y los resultados de la prueba COVID-19.
«Nuestro equipo descubrió [the app’s] récords con cero obstáculos «, dijo.
Información adicional de Shotaro Tani en Yakarta
