Mientras los gobiernos se apresuraban a bloquear a sus poblaciones después de que se declarara la pandemia de COVID-19 en marzo pasado, algunos países tenían planes en marcha para reabrir. En junio, Jamaica se convirtió en uno de los primeros países en abrir sus fronteras.
El turismo representa aproximadamente una quinta parte de la economía de Jamaica. Solo en 2019, cuatro millones de viajeros visitaron Jamaica, generando miles de puestos de trabajo para sus tres millones de residentes. Pero a medida que COVID-19 se extendía hasta el verano, la economía de Jamaica estaba en caída libre y el turismo era su único camino de regreso, incluso si eso significaba a expensas de la salud pública.
El gobierno de Jamaica contrató a Amber Group, una empresa de tecnología con sede en Kingston, para construir un sistema de entrada fronteriza que permita a los residentes y viajeros regresar a la isla. El sistema se llamó JamCOVID y se implementó como una aplicación y un sitio web para permitir que los visitantes sean examinados antes de su llegada. Para cruzar la frontera, los viajeros tenían que cargar un resultado negativo de la prueba COVID-19 en JamCOVID antes de abordar su vuelo desde países de alto riesgo, incluido Estados Unidos.
El director ejecutivo de Amber Group, Dushyant Savadia, se jactó de que su empresa desarrolló JamCOVID en "tres días" y de que efectivamente donó el sistema al gobierno de Jamaica, que a su vez paga a Amber Group por funciones y personalizaciones adicionales. La implementación pareció ser un éxito, y Amber Group luego obtuvo contratos para implementar su sistema de entrada fronteriza en al menos otras cuatro islas del Caribe.
Pero el mes pasado TechCrunch reveló que JamCOVID expuso documentos de inmigración, números de pasaporte y resultados de pruebas de laboratorio de COVID-19 en cerca de medio millón de viajeros, incluidos muchos estadounidenses, que visitaron la isla durante el año pasado. Amber Group había configurado el acceso al servidor en la nube JamCOVID como público, lo que permite que cualquiera pueda acceder a sus datos desde su navegador web.
Ya sea que la exposición de los datos haya sido causada por un error humano o por negligencia, fue un error vergonzoso para una empresa de tecnología y, por extensión, el gobierno de Jamaica.
Y ese podría haber sido el final. En cambio, la respuesta del gobierno se convirtió en la historia.
Un trío de fallos de seguridad
Al final de la primera ola de coronavirus, las aplicaciones de rastreo de contactos todavía estaban en su infancia y pocos gobiernos tenían planes para monitorear a los viajeros cuando llegaban a sus fronteras. Fue una lucha para los gobiernos construir o adquirir tecnología para comprender la propagación del virus.
Jamaica fue uno de los pocos países que usaban datos de ubicación para monitorear a los viajeros, lo que llevó a los grupos de derechos humanos a plantear preocupaciones sobre la privacidad y la protección de datos.
Como parte de una investigación sobre una amplia gama de estas aplicaciones y servicios COVID-19, TechCrunch descubrió que JamCOVID almacenaba datos en un servidor expuesto sin contraseña.
Esta no fue la primera vez que TechCrunch encontró fallas de seguridad o expuso datos a través de nuestros informes. Tampoco fue el primer susto de seguridad relacionado con una pandemia. El fabricante israelí de software espía NSO Group dejó datos de ubicación reales en un servidor desprotegido que utilizó para demostrar su nuevo sistema de rastreo de contactos. Noruega fue uno de los primeros países con una aplicación de rastreo de contactos, pero la retiró después de que la autoridad de privacidad del país descubrió que el seguimiento continuo de la ubicación de los ciudadanos era un riesgo para la privacidad.
Al igual que con cualquier otra historia, nos contactamos con quien pensamos que era el propietario del servidor. Alertamos al Ministerio de Salud de Jamaica sobre la exposición de los datos el fin de semana del 13 de febrero. Pero después de proporcionar detalles específicos de la exposición al vocero del ministerio, Stephen Davidson, no recibimos respuesta. Dos días después, los datos aún estaban expuestos.
Después de hablar con dos viajeros estadounidenses cuyos datos se estaban derramando desde el servidor, redujimos el propietario del servidor a Amber Group. Nos contactamos con su director ejecutivo, Savadia, el 16 de febrero, quien reconoció el correo electrónico pero no hizo ningún comentario, y el servidor se aseguró aproximadamente una hora después.
Publicamos nuestra historia esa tarde. Después de que publicamos, el gobierno de Jamaica emitió una declaración en la que afirmaba que el error fue "descubierto el 16 de febrero" y fue "rectificado de inmediato", ninguno de los cuales era cierto.
Contáctenos
¿Tienes un consejo? Contáctenos de forma segura utilizando SecureDrop. Saber más aquí.
En cambio, el gobierno respondió iniciando una investigación criminal sobre si hubo algún acceso "no autorizado" a los datos desprotegidos que llevaron a nuestra primera historia, que percibimos como una amenaza apenas velada dirigida a esta publicación. El gobierno dijo que se había puesto en contacto con sus socios encargados de hacer cumplir la ley en el extranjero.
Cuando fue contactado, un portavoz del FBI se negó a decir si el gobierno de Jamaica se había puesto en contacto con la agencia.
Las cosas no mejoraron mucho para JamCOVID. En los días que siguieron a la primera historia, el gobierno contrató a un consultor en la nube, Escala 24 × 7, para evaluar la seguridad de JamCOVID. Los resultados no fueron revelados, pero la compañía dijo que confiaba en que "no había ninguna vulnerabilidad actual" en JamCOVID. Amber Group también dijo que el lapso fue un "hecho completamente aislado".
Pasó una semana y TechCrunch alertó a Amber Group sobre dos fallas de seguridad más. Después de la atención del primer informe, un investigador de seguridad que vio la noticia del primer lapso encontró claves privadas y contraseñas expuestas para los servidores y bases de datos de JamCOVID ocultas en su sitio web, y un tercer lapso que derramó órdenes de cuarentena para más de medio millón de viajeros. .
Amber Group y el gobierno afirmaron que se enfrentaba a "ciberataques, piratería y jugadores traviesos". En realidad, la aplicación no era tan segura.
Políticamente inconveniente
Los fallos de seguridad se producen en un momento políticamente inconveniente para el gobierno de Jamaica, ya que intenta lanzar un sistema de identificación nacional, o NIDS, por segunda vez. NIDS almacenará datos biográficos sobre ciudadanos jamaicanos, incluidos sus datos biométricos, como sus huellas dactilares.
El esfuerzo repetido se produce dos años después de que el Tribunal Superior de Jamaica anulara la primera ley del gobierno por inconstitucional.
Los críticos han citado los fallos de seguridad de JamCOVID como una razón para descartar la base de datos nacional propuesta. Una coalición de grupos de privacidad y derechos citó los problemas recientes con JamCOVID sobre por qué una base de datos nacional es "potencialmente peligrosa para la privacidad y seguridad de los jamaicanos". Un portavoz del partido de oposición de Jamaica dijo a los medios locales que "no había mucha confianza en el NIDS en primer lugar".
Ha pasado más de un mes desde que publicamos la primera historia y hay muchas preguntas sin respuesta, incluido cómo Amber Group aseguró el contrato para construir y ejecutar JamCOVID, cómo quedó expuesto el servidor en la nube y si se realizaron pruebas de seguridad antes de su lanzamiento.
TechCrunch envió un correo electrónico tanto a la oficina del primer ministro de Jamaica como a Matthew Samuda, un ministro del Ministerio de Seguridad Nacional de Jamaica, para preguntar cuánto donó o pagó el gobierno a Amber Group para ejecutar JamCOVID y qué requisitos de seguridad, en su caso, se acordaron. sobre para JamCOVID. No obtuvimos respuesta.
Amber Group tampoco ha dicho cuánto ha ganado con sus contratos gubernamentales. Savadia de Amber Group se negó a revelar el valor de los contratos a un periódico local. Savadia no respondió a nuestros correos electrónicos con preguntas sobre sus contratos.
Luego del segundo lapso de seguridad, el partido de oposición de Jamaica exigió que el primer ministro liberara los contratos que rigen el acuerdo entre el gobierno y Amber Group. El primer ministro Andrew Holness dijo en una conferencia de prensa que el público "debería saber" sobre los contratos gubernamentales, pero advirtió que los "obstáculos legales" pueden impedir la divulgación, por ejemplo, por razones de seguridad nacional o cuando se pueda divulgar "información comercial y comercial confidencial".
Eso se produjo días después de que el periódico local The Jamaica Gleaner recibiera una solicitud para obtener contratos que revelaran los salarios a los funcionarios estatales denegados por el gobierno en virtud de una cláusula legal que impide la divulgación de los asuntos privados de un individuo. Los críticos argumentan que los contribuyentes tienen derecho a saber cuánto se les paga a los funcionarios gubernamentales con fondos públicos.
El partido de oposición de Jamaica también preguntó qué se hacía para notificar a las víctimas.
El ministro de gobierno Samuda inicialmente restó importancia al error de seguridad, afirmando que solo 700 personas se vieron afectadas. Buscamos pruebas en las redes sociales, pero no encontramos nada. Hasta la fecha, no hemos encontrado evidencia de que el gobierno jamaiquino haya informado a los viajeros sobre el incidente de seguridad, ya sea a los cientos de miles de viajeros afectados cuya información fue expuesta, o a las 700 personas que el gobierno afirmó haber notificado pero que no ha divulgado públicamente.
TechCrunch envió un correo electrónico al ministro para solicitar una copia del aviso que el gobierno supuestamente envió a las víctimas, pero no recibimos respuesta. También pedimos comentarios al Grupo Amber y a la oficina del primer ministro de Jamaica. No recibimos respuesta.
Muchas de las víctimas del fallo de seguridad son de Estados Unidos. Ninguno de los dos estadounidenses con los que hablamos en nuestro primer informe fue notificado de la infracción.
Portavoces de los fiscales generales de Nueva York y Florida, cuya información de los residentes fue expuesta, dijeron a TechCrunch que no habían tenido noticias ni del gobierno de Jamaica ni del contratista, a pesar de que las leyes estatales exigen que se divulguen las violaciones de datos.
La reapertura de las fronteras de Jamaica tuvo un costo. La isla vio más de cien nuevos casos de COVID-19 en el mes siguiente, la mayoría provenientes de Estados Unidos. De junio a agosto, el número de nuevos casos de coronavirus pasó de decenas a decenas a cientos por día.
Hasta la fecha, Jamaica ha reportado más de 39,500 casos y 600 muertes causadas por la pandemia.
El primer ministro Holness reflexionó sobre la decisión de reabrir sus fronteras el mes pasado en el parlamento para anunciar el presupuesto anual del país. Dijo que el último declive económico del país fue "impulsado por una contracción masiva del 70% en nuestra industria turística". Más de 525.000 viajeros, tanto residentes como turistas, han llegado a Jamaica desde que se abrieron las fronteras, dijo Holness, una cifra ligeramente mayor que la cantidad de registros de viajeros encontrados en el servidor JamCOVID expuesto en febrero.
Holness defendió la reapertura de las fronteras del país.
“Si no hubiéramos hecho esto, la caída en los ingresos por turismo habría sido del 100% en lugar del 75%, no habría recuperación en el empleo, nuestro déficit de la balanza de pagos habría empeorado, los ingresos generales del gobierno se habrían visto amenazados y habría No se puede argumentar sobre gastar más ”, dijo.
Tanto el gobierno de Jamaica como el Grupo Amber se beneficiaron de la apertura de las fronteras del país. El gobierno quería reactivar su economía en decadencia y Amber Group enriqueció su negocio con nuevos contratos gubernamentales. Pero ninguno prestó suficiente atención a la ciberseguridad, y las víctimas de su negligencia merecen saber por qué.
Envíe sugerencias de forma segura a través de Signal y WhatsApp al + 1646-755-8849. También puede enviar archivos o documentos utilizando nuestro SecureDrop. Aprende más.
