Sitio Web de AIS Remesas Cuba



Este es un nuevo capítulo de mis divulgaciones responsables a entidades que accidentalmente han dejado datos desprotegidos expuestos en la nube por “error”.


A principios de octubre encontre un servidor sin seguridad que exponia datos de esta plataforma AIS Remesas Cuba, esto era un servicio para enviar transferencias en dinero a familias en Cuba a traves de la  financiera Cubana FinCimex. esta plataforma AIS fue suspendida el 2021 por la financiera estatal reemplazandola por Tocopay.


Comunicado de Fincimex S.A 2021
Comunicado de Fincimex S.A 2021



¿Qué exponia el servidor sin seguridad?


Registro del servidor expuesto 145GB de AIS Remesas
Registro del servidor expuesto 145GB de AIS Remesas


El servidor exponía un total de 145 GB. Tras verificar el ejemplo que indicaba que se trataba de un archivo PDF, se activaron las alarmas por el contenido expuesto .





Contenido:

El contenido expuesto en este servidor de clientes de AIS Remesas
El contenido expuesto en este servidor de clientes de AIS Remesas


Cada carpeta contenía el nombre del cliente o su correo electrónico. Al revisar cada carpeta, se podían encontrar pasaportes del cliente que enviaba la remesa a Cuba, una declaración jurada y hasta tarjetas de débito. Todo este contenido estaba expuesto en un servidor sin seguridad.















Cantidad de clientes expuestos en este servidor: 63,564 


Aquí puede ver cómo una cliente llamada Zenaida tenía una declaración jurada de AIS Remesas Cuba. Esta declaración contenía información del cliente, como: nombre, móvil, teléfono, correo, dirección, país, provincia, ciudad, localidad, código postal, fecha de nacimiento, país de nacimiento, número de pasaporte, país de emisión y fecha de expiración. A continuación, puede ver la declaración jurada.


Una declaración jurada de un cliente de AIS remesas expuesta en el servidor
Una declaración jurada de un cliente de AIS remesas expuesta en el servidor


También puede observar que había un apartado llamado "Beneficiarios", el cual exponía el nombre del beneficiario, su número de identidad y el motivo del envío, que en todos los casos era "ayuda familiar".



Otros documentos, como tarjetas de identidad, pasaportes y tarjetas de débito, también estaban expuestos en este servidor. Puede verificar aquí abajo.



Residente de cuba con carne de identidad de España

Carne de Identidad de Cuba

Tras descubrir esto, me puse en contacto con la empresa para proteger los datos de estas personas.



Notificación:


El primer correo que envié fue el 7 de octubre al correo de aisremesascuba.com; sin embargo, el correo no estaba disponible, ya que rebotó varias veces. En él, les describía esta situación, alertándolos sobre la exposición de datos. Tras ello, el 12 de octubre, me puse en contacto con CIMEX S.A. a través de su atención al cliente por correo para que pudieran contactar al administrador de la página y bloquear el acceso.



Notificando a CIMEX S.A
Notificando a CIMEX S.A

Al pasar 10 días, el acceso dejó de estar disponible. No puedo afirmar que mi notificación fue la que bloqueó el acceso, ya que nadie respondió a mi correo. No tuve la necesidad de enviar un correo al Centro de Respuesta a Incidentes (CUCERT). Me informé de que este pertenece a la Oficina de Seguridad para las Redes Informáticas (OSRI), adscrita al Ministerio de Comunicación de Cuba.




Finalmente:


Puedo asegurar que los 63,564 clientes afectados de AIS Remesas pueden estar tranquilos, ya que sus datos han sido protegidos. Sin embargo, es posible que terceros hayan descargado estos archivos, por lo que se recomienda que estén atentos a posibles estafas. Lo digo porque el servidor expuesto estuvo activo desde marzo de 2025.