El escándalo del UK Visa Portal: 100.000 pasaportes al descubierto y amenazas legales al periodista que lo destapó

TechCrunch pudo verificar la autenticidad de la filtración contactando a varias personas cuyos datos personales fueron hallados entre los registros expuestos, confirmando que los documentos coincidían con aplicaciones reales . La escala del incidente fue inmensa: se estima que al menos 100.000 documentos sensibles quedaron vulnerables .

¿Quién estaba detrás de UK Visa Portal?

El sitio web operaba como un servicio comercial completamente independiente, sin ninguna afiliación al Ministerio del Interior británico (Home Office) ni a GOV.UK . Era operado, según las investigaciones, por Active Leadgen LLC, una empresa registrada en los Emiratos Árabes Unidos . La plataforma cobraba tarifas por ayudar a los usuarios con las Autorizaciones Electrónicas de Viaje (ETA, por sus siglas en inglés) del Reino Unido y otros trámites migratorios —procesos que, en muchos casos, los usuarios pueden completar directamente en GOV.UK de forma gratuita o por un costo mucho menor .

El sitio también carecía de un elemento esencial para cualquier plataforma que maneje información tan sensible: un punto de contacto adecuado o un mecanismo para reportar problemas de seguridad . Esta ausencia probablemente prolongó el tiempo que los datos permanecieron expuestos, ya que no había una vía sencilla para que investigadores o usuarios alertaran del problema.

La respuesta de la empresa: amenazas legales en lugar de remediación

El aspecto más controvertido del incidente fue la manera en que la empresa decidió actuar —o mejor dicho, no actuar— una vez descubierto el problema. Cuando TechCrunch contactó a la empresa para alertarla y se preparó para publicar sus hallazgos, el reportaje indicó que UK Visa Portal no había corregido la falla de seguridad al momento de la publicación .

En lugar de asegurar de inmediato los servidores expuestos y emitir un comunicado público o notificar a los usuarios, el operador tomó otro camino. Los reportes confirmaron que Active Leadgen LLC envió representantes legales en un aparente intento de amenazar a TechCrunch por la publicación de la historia . El repositorio de Amazon S3 fue asegurado recién a altas horas de la noche, horas después de que la noticia de TechCrunch se hiciera pública —no antes de la publicación, ni en respuesta a una divulgación ética del problema .

Implicaciones y riesgos para las víctimas

El conjunto de datos expuestos creaba un grave riesgo de robo de identidad y fraude. Al combinar escaneos de pasaporte en alta resolución con selfies de verificación y, potencialmente, metadatos GPS, actores maliciosos podrían usar la información para realizar fraudes financieros, abrir cuentas o ejecutar ataques de ingeniería social . Dado que muchas víctimas no tenían motivos para sospechar que estaban usando un servicio ajeno al gobierno, la exposición fue un balde de agua fría. El canal oficial del gobierno británico para solicitudes de visa sigue siendo GOV.UK, y este incidente sirve como un duro recordatorio de la importancia de verificar minuciosamente los servicios de terceros que solicitan documentos de identidad extremadamente sensibles.