A mediados de octubre se conoció que una base de datos del Registro Nacional de las Personas (Renaper) se filtró y apareció a la venta en la Web. La persona que accedió a esta información sensible publicó 60.000 entradas en un archivo de 2,7 GB.
En el foro online en el que está ofrecido este archivo están pidiendo alrededor de 17 mil dólares por la información, que tendría la base de datos completa, con los documentos de los 45 millones de argentinos. La información incluiría direcciones, teléfonos, fotos y número de trámite de DNI y código de barras, entre otras cosas. Desde el gobierno, y ante a la consulta de TN Tecno, afirman que frente a la evidencia que hay actualmente es poco probable que efectivamente tengan la información de los 45 millones.
“El ofrecimiento de 0,29 bitcoins -alrededor de 17 mil dólares, según el cambio-, es el valor de la base. No es que vos lo pagás y la retiran de la venta. Esa base, in eternum, va a permanecer en la clandestinidad. Está en Cloudfare, es anónimo, no se sabe quién está detrás de ese servidor”, explicó Gabriel Zurdo, CEO de BTR Consulting y consultor en ciberseguridad.
Ante una consulta del sitio especializado The Record los usuarios que ofrecen el archivo dijeron que en unos días iban a publicar los datos de “1 o 2 millones de personas”. Además aclararon que los van a vender a “todos los compradores interesados”, como afirmó Zurdo. Ahí también hablaron de “empleados descuidados”, como el método utilizado para acceder al sistema.
El Renaper, que depende del Ministerio del Interior, había informado mediante un comunicado que “se trató de un uso indebido de usuario o robo de la clave del mismo”, y subrayó que “la base de datos no sufrió vulneración o filtración alguna de datos”. El organismo, frente a esta filtración, le cortó el servicio al Ministerio de Salud y recién se lo habilitó, de forma restringida, cuando confirmaron haber descubierto desde dónde se produjo el acceso indebido.
Cuáles son los riesgos que se corren por la filtración de los DNI
La preocupación, para muchos, es qué pueden hacer otras personas con los datos de su nombre completo, su dirección, su DNI y, detalle clave en tiempos modernos, el número de trámite.
“El hecho de que exista información tan sensible expuesta públicamente abre la posibilidad para que actores cibercriminales puedan realizar campañas de ingeniería social muchísimo más certeras y que pueden ser más difíciles de detectar. Desde campañas de correo electrónico, hasta contactos directos a través de llamadas telefónicas o mensajes en redes sociales suplantando entidades reconocidas, pueden ser las formas en que se utilicen de forma mal intencionada este tipo de datos”, le explicó a TN Tecno Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
“El número de trámite juega un rol clave porque como segundo factor de autenticación, es decir que es un filtro extra de seguridad que determinados organismos utilizan para corroborar que quien dice ser titular de un DNI realmente lo es. Ese número sirve para realizar trámites en organismos públicos (como ANSES, AFIP, RENAPER, Trámites a Distancia, VACUNAR, entre otros), para obtener préstamos personales de organismos estatales, autorizar compras y hasta abrir una cuenta bancaria”, detalló Jorge Litvin, abogado especializado en cibercrimen. Para él también el problema es que puede ser mucho más fácil suplantar la identidad de los ciudadanos al conocer este segundo dato del DNI.
En off, desde el gobierno, le destacaron a TN que la única forma de validar la identidad es la biometría: el número de trámite es un extra para que no se pueda acceder a algunas cosas simplemente con el DNI.
Frente a este y otros casos similares, los expertos piden más seguridad, especialmente situaciones en las que no se trata de un hackeo sino de una filtración de una de las entidades con acceso a los datos de todos los argentinos.
¿Es lo mismo hackeo y filtración?
“Hay una diferencia sustancial entre un hackeo y una filtración. La segunda se puede producir consecuencia de un hackeo. Pero muchas veces tienen que ver con negligencia, impericia. En el 95% de los casos que analizamos nosotros son por errores humanos”, sentencia Zurdo, que pide más seguridad y gente idónea en estas áreas para evitar nuevos inconvenientes.
“Hay cada vez más interacción entre las plataformas. Hoy te podés autenticar con reconocimiento facial en AFIP, el pasaporte, al cruzar la frontera. Y muchas organizaciones usan la misma base de datos. Y todos acceden de diferente manera, son diferentes equipos de trabajo. Es como que vos le quieras poner candado y llave a tu casa cuando te vas de vacaciones. No es lo mismo tener una casa, con una puerta y tres ventanas. O un shopping con 40 accesos diferentes. Las medidas de seguridad no pueden ser las mismas”, agregó el experto en ciberseguridad.
El temor más grande es que los piratas informáticos aprovechen estos datos para más fraudes, estafas y cibercrímenes. “No se puede perder de vista que en el último tiempo se han filtrado también millones de datos de redes sociales y otras plataformas, todo esto sumado a información personal que solamente está en el DNI de una persona abre posibilidades para campañas de engaños y estafas limitadas por la creatividad de los atacantes. Además de campañas de ingeniería social, también queda latente la posibilidad de fraudes y estafas aprovechando la información que ha quedado expuesta, ya que son datos utilizados para identificar de manera unívoca a una persona”, agregó Gutiérrez Amaya.
“Con esta información se pueden modificar los datos para el proceso de vacunación mediante la app de GBA por ejemplo. Dentro de lo que se puede modificar se incluye el grupo poblacional del ciudadano, con lo cual se pueden cambiar las prioridades para futuras dosis de vacunas. Sabiendo los antecedentes de vacunación VIP, se podrían utilizar esos datos para incriminar a alguien de haberse adelantado en el orden previsto de aplicación de dosis (sin que haya intervenido realmente el ciudadano). Lógicamente es una hipótesis, pero es posible”, sostuvo Litvin.
Filtración de datos en Twitter
El sábado 9 de octubre el Renaper tomó conocimiento de que un usuario de Twitter identificado con el nombre de @anibalLeaks, cuenta que fue denunciada y que actualmente se encuentra suspendida, había publicado las imágenes de 44 individuos, entre los cuales se encontraban funcionarios y personajes públicos. El programador Javier Smaldone compartió varios de los tuits de este perfil en su propia cuenta. Su propio DNI también fue viralizado.
En esta oportunidad, el propio Renaper ya avanzó con una denuncia penal y envió información a los medios sobre el caso. El organismo tiene convenios de interoperabilidad con diferentes organismos públicos, y uno de ellos es justamente el Ministerio de Salud, la fuente más clara para descubrir el origen de esta filtración.
Esta semana la cartera de Salud también hizo una denuncia penal, porque realizó una investigación para descubrir quién fue el usuario institucional que hizo este pedido de información. Además, según fuentes gubernamentales, le cortaron el servicio a ese organismo.
El Senador Nacional de Juntos por el Cambio, Pablo Daniel Blanco, presentó un proyecto para solicitar al Poder Ejecutivo que brinde información, a través del Ministerio del Interior y el Ministerio de Seguridad de la Nación, sobre las fallas en la ciberseguridad del Renaper. Blanco, senador por Tierra del Fuego, requiere saber si efectivamente el hecho fue perpetrado por alguien con una clave del Ministerio de Salud y cuáles son las medidas adoptadas en relación a la pérdida de información.
