¿Quiénes están en ella? Encuentran la lista de “Exclusión aérea” de Estados Unidos en la Internet abierta

El pasado 23 de enero, la investigadora de seguridad y hacker suiza, Maia Arson Crimew, halló un servidor no seguro administrado por la aerolínea CommuteAir con sede en Ohio. Así, obtuvo una serie de archivos y entre ellos, encontró uno con la etiqueta “NoFly.csv”, que resultó ser la lista de “Exclusión aérea” de Estados Unidos. Este elemento expuesto de 80 MB, se considera un subconjunto más pequeño de la base de datos de detección de terroristas del gobierno de USA, mantenido por el Departamento de Justicia, el FBI y el Centro de Detección De Terroristas (TSC).

Concretamente, el hecho se efectuó mientras Crimew buscaba servidores Jenkins en Shodan, un motor de búsqueda especializado que es usado por investigadores de seguridad cibernética para ubicar servidores expuestos y/o bases de datos mal configuradas en Internet. En el archivo hallado, la hacker suiza encontró una lista con nombres, apellidos y fechas de nacimiento de individuos con vínculos con organizaciones terroristas. Los cual, es bastante sorprendente.

Encuentran la lista de “exclusión aérea” de Estados Unidos en la Internet abierta

En agosto de 2021, se produjo una importante filtración de la lista de exclusión aérea, específicamente, la lista secreta de vigilancia terrorista del gobierno de USA fue expuesta de forma online, con dos millones de registros. Sin embargo, en ese entonces, el listado de seguimiento se publicó a través de un servidor mal configurado alojado en una dirección IP de Bahrein, en lugar de una de Estados Unidos.

Tanto Estados Unidos como China encabezaron la lista de países que expusieron las bases de datos en línea más mal configuradas, en 2021.

Aunque parecía que todo quedó allí, esto cambió recientemente. El pasado lunes 23 de enero, se hizo eco de un hallazgo realizado por Maia Arson Crimew, reconocida investigadora de ciberseguridad y pirata informática suiza. En medio de una búsqueda de servidores Jenkins en Shodan, un motor de búsqueda especializado para localizar servidores expuestos y bases de datos mal configuradas en la Internet abierta, Crimew descubrió un servidor no seguro administrado por CommuteAir, aerolínea de United Express con sede en Ohio.

“Probablemente hice clic en unos 20 aburridos servidores expuestos con muy poco interés, cuando de repente empiezo a ver muchas menciones de ‘tripulación’ y demás; resulto ser un servidor Jenkins expuesto que pertenece a CommuteAir”.

Maia Arson Crimew, investigadora de ciberseguridad y pirata informática suiza.

Tras detectar esto, la investigadora de ciberseguridad suiza no dudó en examinar cada uno de los archivos. Así, encontró un elemento con la etiqueta “NoFly.csv” que le llamó la atención. Por lo tanto, no dudó en acceder y se encontró, nada más y nada menos que, con una lista de vigilancia terrorista legítima de Estados Unidos que no permite volar en 2019.

Específicamente, se trata de un archivo expuesto de 80 MB que consiste en un subconjunto de la base de datos de detección de terroristas del gobierno estadounidense, el cual es usado por el Departamento de Justicia, el FBI y el Centro de Detección de Terroristas (TSC).

Este subconjunto de la base de datos de detección de terroristas del gobierno de Estados Unidos, contiene más de 1.5 millones de entradas. Entre todas estas, especifican los nombres, apellidos y fechas de nacimiento de personas con presuntos vínculos o conexiones confirmadas con organizaciones terroristas. De manera que, las identificaciones de estas personas quedaron completamente expuestas con el hallazgo de Crimew.

“El CSV de NoFly tiene un tamaño de casi 80 MB y contiene más de 1.56 millones de filas de datos. Si bien, la naturaleza de esta información es delicada, creo que es de interés público que esta lista esté disponible para periodistas y organizaciones de derechos humanos”.

Maia Arson Crimew, investigadora de ciberseguridad y pirata informática suiza.

Aparte de obtener este listado, Crimew también afirma haber encontrado el premio mayor: Casi toda la PII imaginable para cada uno de los miembros de la tripulación (nombres completos, números de teléfono, direcciones, números de pasaporte, números de licencia de piloto, fecha de vencimiento de su próxima verificación en línea y más).

En total, consiguió información de identificación personal (PII) extensa sobre 900 de los compañeros de tripulación. Por esto, las credenciales de usuario de más de 40 cubos y servidores de Amazon S3 administrados por CommuteAir también quedaron expuestas.

“Tenía hojas de viaje para cada vuelo, la posibilidad de acceder a todos los planes de vuelo, un montón de archivos adjuntos de imágenes para reservas de vuelos de reembolso que contenían otra vez más PII, datos de mantenimiento de aviones, etc.”.

Maia Arson Crimew, investigadora de ciberseguridad y pirata informática suiza.

Con respecto a esta revelación, CommuteAir se tuvo que pronunciar y confirmó la legitimidad de los datos hallados en la Internet abierta. Según señalan, esta era una versión de la lista federal de exclusión aérea de hace cuatro años, aproximadamente.

En un comunicado dirigido a Daily Dot, los directivos de CommuteAir declararon que el servidor no seguro simplemente se había utilizado con fines de prueba. En efecto, procedieron a desconectarlo antes de que la información saliera a la luz pública, como para no levantar más sospechas.

The server, discovered by hacker @_nyancrimew, was secured prior to publication.

CommuteAir says the list was a version from 2019.

The Daily Dot was able to find numerous high-profile figures including the recently-freed Russian arms dealer Viktor Bout & at least 16 aliases.

— Mikael Thalen (@MikaelThalen) January 19, 2023

¿Qué es la lista de exclusión aérea de USA y quienes la conforman?

El 11 de septiembre de 2001, el grupo terrorista AI Qaeda utilizó aviones para llevar a cabo actos de terrorismo en Estados Unidos, en específico, los comúnmente conocidos como “11S” o “9/11” que fueron una serie de cuatro ataques terroristas. Después de dichos eventos, las autoridades estadounidenses optaron por desarrollar una lista de exclusión aérea, la cual apoyaría la Ley de Reforma de Inteligencia y Prevención del Terrorismo de 2004.

En ese sentido, el principal propósito de la “lista de exclusión aérea de USA”, también llamada “la lista de ‘No-Fly’”, se basa en ayudar a combatir la amenaza del terrorismo manteniendo a las personas peligrosas fuera de los aviones. Así, se trata de una medida de seguridad para conservar la constitucionalidad y la efectividad de la ley, en territorio estadounidense. Según la Administración de Seguridad del Transporte (TSA), esta lista es un elemento esencial de la seguridad de la aviación para actuar frente a los terroristas conocidos.

La Unión Estadounidense de Libertades Civiles (ACLU) critica la existencia de esta lista, ya que asegura que es inexacta porque es prácticamente imposible saber si una persona es terrorista de antemano. Según este ente, no existen estadísticas creíbles para determinar qué tan efectiva es realmente la lista.

Con las recientes revelaciones hechas por la investigadora de seguridad y hacker suiza, Maia Arson Crimew, se conoció de primera mano que uno de los que confirman la lista de exclusión aérea de USA es Viktor Bout, el “Mercader de la Muerte” o un traficante de armas ruso que encabeza el listado con más de 16 alias potenciales usados por él. Recordemos que, este fue liberado a cambio de la estrella de la WNBA Brittney Griner, recientemente.

Entre los cientos de miles de nombres de la lista, algo que captó la atención de Crimew es que también se encuentran los mismos hijos de presuntos terroristas, pues consiguió un niño cuya fecha de nacimiento indica que solo tendría 8 años de edad actualmente. Así, se dice que la mayor fracción de los nombres que hacen parte del listado parecen ser descendientes de árabes o del Medio Oriente, junto con algunas identificaciones de hispanos.

Ciertos nombres en la lista también pertenecen a presuntos miembros del IRA (Ejército Republicano Irlandés), quienes abogan por un Estado soberano e independiente del Reino Unido.