Una filtración masiva de datos en una agencia de adopción de Texas expone 1,1 millones de registros

Mientras escaneaba la web en busca de bases de datos expuestas, el investigador de ciberseguridad Jeremiah Fowler descubrió un conjunto masivo de registros desprotegidos vinculados al Centro Gladney para la Adopción, que estaban en línea sin contraseña, sin cifrado y accesibles para cualquier persona.

La base de datos, con 2,49 gigabytes y más de 1,1 millones de registros, contenía información sumamente sensible sobre niños, padres adoptivos, familias biológicas y personal interno. Todo, desde nombres y datos de contacto hasta notas de casos y evaluaciones privadas, era accesible para cualquier persona con conexión a internet, especialmente para quienes saben cómo encontrar servidores en la nube expuestos, algo con lo que los ciberdelincuentes están muy familiarizados .

Fowler envió rápidamente una notificación de divulgación responsable a la organización presuntamente fuente. Los datos fueron protegidos al día siguiente, pero aún quedan dudas sobre cuánto tiempo estuvieron expuestos y si alguien más accedió a ellos antes de que fueran retirados del servicio.

Lo que hizo que esta filtración de datos fuera especialmente preocupante no fue solo el volumen de datos, sino también su naturaleza. Los registros parecían provenir de una plataforma CRM (Gestión de Relaciones con los Clientes) utilizada para gestionar el trabajo de casos y la comunicación en toda la organización.

En carpetas etiquetadas como "contactos", "solicitudes" y "padres biológicos", Fowler encontró registros detallados que describían la historia personal de los solicitantes, los motivos de las denegaciones de adopción, sus antecedentes familiares e incluso menciones de consumo de sustancias o asuntos legales. Si bien no había expedientes completos, cada entrada contenía la información suficiente para convertirlos en blanco de ingeniería social o fraude .

Según el informe de Fowler, compartido con Hackread.com, una de las áreas más sensibles incluía 284.000 registros de metadatos de correo electrónico. Si bien no se expusieron los cuerpos completos de los correos electrónicos, los asuntos a veces incluían nombres o referencias que podrían revelar el contexto. Algunos registros incluían contactos entre la agencia y proveedores de atención médica o servicios sociales, lo que aumentaba las posibles consecuencias para la privacidad si estos datos caían en manos indebidas.

Los registros abarcaban años de historial operativo, pero la evidencia sugería que la base de datos en sí se había creado o exportado recientemente. No está claro si el sistema estaba alojado internamente o por un proveedor externo. Fowler nunca recibió respuesta a su revelación, por lo que hay poca claridad sobre el alcance total de la exposición o si se realizó alguna revisión forense.

Desde una perspectiva técnica, los registros eran una combinación de texto plano y UUID (Identificadores Únicos Universales), que suelen utilizarse en sistemas CRM para vincular datos. Estos identificadores pueden parecer complejos, pero no están diseñados para proteger contenido confidencial. Sin cifrado, no ofrecen protección significativa si acceden a ellos usuarios no autorizados.

Fowler enfatizó que el cifrado de datos, especialmente cuando se trata de niños o contenido relacionado con la salud, debería ser un estándar básico. También sugirió que las organizaciones limiten el acceso interno a datos confidenciales, auditen periódicamente sus sistemas y capaciten al personal en prácticas básicas de ciberseguridad. Los datos antiguos que ya no se utilizan deberían archivarse o eliminarse para limitar las consecuencias en caso de fugas.

El informe de Fowler no acusó a Gladney ni a sus afiliados de irregularidades, ni afirmó que los datos se hubieran utilizado indebidamente. Sin embargo, señaló que los datos expuestos podrían, hipotéticamente, facilitar intentos de suplantación de identidad, estafas de phishing o incluso chantaje. Las familias que participan en procesos de adopción suelen atravesar experiencias estresantes y personales, y estas filtraciones las hacen más vulnerables.

En este caso, los datos no parecieron haber sido robados ni compartidos. Fowler solo tomó capturas de pantalla mínimas para verificación y no descargó ni conservó ningún contenido. Su informe se guió por la ética, la transparencia y el compromiso con una mayor seguridad de los datos en todos los sectores que manejan información personal.