Los datos de 45 millones de personas está en riesgo. En caso de confirmarse la filtración de la base de datos del Registro Nacional de las Personas (Renaper), podría convertise en el mayor ataque recibido por un organismo público a nivel global.
La noticia explotó este miércoles y dejó al descubierto una falla de seguridad de la información aún mayor a la registrada por Migraciones en agosto de 2020, no sólo por la cantidad de potenciales víctimas, sino también por la calidad de los datos recopilados.
El propio Renaper formalizó el martes una denuncia penal ante el Juzgado en lo Criminal y Correccional Federal N° 11 tras detectar que, mediante el uso de claves otorgadas a organismos públicos, en este caso el Ministerio de Salud, se filtraron imágenes que daban cuenta del acceso indebido a la base de datos.
Entre ese material, se encontraba la foto del DNI de los periodistas Luis Majul y Eduardo Feinmann, los futbolistas Lionel Messi y Sergio Agüero; y la dirigente opositora y ex Ministra de Seguridad Patricia Bullrich.
"Desde el organismo dependiente del Ministerio del Interior se confirmó que se trató de un uso indebido de usuario o robo de la clave del mismo, y que la base de datos no sufrió vulneración o filtración alguna de datos", informó el Renaper.
Sin embargo, esta escueta comunicación está lejos de tranquilizar a los expertos. El miércoles, varias personas reportaron en Twitter que su información personal estaría en manos de ciberdelicuentes. Entre ellos, la usuaria @mariegok, una de las primeras en advertir el escándalo.
El evento de seguridad es algo más que la filtración de fotos de famosos, sino que podría afectar a todos los residentes en el país que tengan DNI, ya que el organismo es el encargado de la identificación y registro de las personas físicas que se domicilien en Argentina.
Filtraciones del datos, la gravedad de una fuga en organismo públicoEl experto informático Javier Smaldone, quien publicó en su Twitter (@mis2centavos) que hasta estaban disponibles sus datos personales, asegura aiProUP que desde hace años el Renaper tiene su base de datos en línea y provee de servicios a terceros, como otras dependencias publicas y empresas (por ejemplo, las fintech que hacen onboarding digital), pero con una política de seguridad endeble.
"El problema es que no hay un control respecto a qué datos pueden acceder o a qué cantidad. En este caso, aparentemente ha sido una credencial del Ministerio de Salud y eso hace que todos los datos queden expuestos", comenta Smaldone, quien rememora que en 2019, el sitio de ProcreAR usaba los servicios del Renaper y registraba una falla que permitía que cualquier usuario pueda hacer consultas como si fuera Google. Todo sin necesidad de hackeos ni grandes conocimientos informáticos.
"Esto pasa ahora porque alguien publicó estos datos. La pregunta es cuantas veces más pasó o cuanto más va a seguir pasando porque estos datos los están vendiendo. No creo que esto se solucione en el corto o mediano plazo, ya que implicaría que dejen de operar 44 servicios. La solución va a llevar mucho tiempo, mientras que tenemos los datos personales de nosotros y nuestros hijos expuestos", lamenta el experto.
Según el Smaldone, esto es una cuestión de fondo: "En ningún lugar del mundo existe un Renaper, en cualquier otra nación es considerado fascista. No hay país en el que exista un documento con todos sus habitantes y acá lo tenemos naturalizado y con la huella digital, que se le toma a los delincuentes, no a los ciudadanos. Creo que está garantizado que esto va a volver a pasar. Se filtraron 44 fotos de todos los ámbitos políticos".
El abogado Víctor Castillejos advierte a iProUP lo peor: "Se estaría vendiendo la base de datos completa del Renaper con foto, DNI direcciones, fechas de nacimiento/naturalización, número de trámite, etc".
"Si esto se confirmara a mi criterio sería la filtración de datos más grave que haya sufrido un Estado soberano en el mundo. Las consecuencias para la privacidad de todos los argentinos alrededor del planeta serían verdaderamente dramáticas y la exposición podría llevar a cientos de reclamos judiciales", completa.
Por su parte, Daniel Monastersky y Facundo Malaureille, general partners de datagovernancelatam.com y directores de la Diplomatura en Data Governance de la Universidad del CEMA:"En el 2018 hubo una comunicación de la Dirección de Protección de Datos donde recomendaron la notificación de este tipo de hechos para que se tomen cartas en el asunto, respecto a qué datos se comprometieron y detallar cómo se produce este tipo de filtraciones".
Así lo dispone el reglamento Europeo de la protección de datos, explican. "Si bien es una recomendación y no es exigible, hay cuestiones más técnicas relacionadas con qué implicancias tuvo. Cualquiera de las víctimas puede realizar una denuncia y solicitar una investigación a ver si se contaba con las protecciones básicas para evitar estas filtraciones", se explaya Monastersky.
Si bien todo explotó en las últimas horas, el Renaper tomó conocimiento el sábado de que un usuario de Twitter identificado con el nombre de @aniballeaks -cuenta que fue denunciada y que actualmente se encuentra suspendida- había publicado en esa red social las imágenes de 44 individuos, entre los cuales se encontraban funcionarios y personajes públicos.
"Para saber si se filtraron tus datos se puede ejercer el derecho de acceso a la información pública ante el Renaper para que confirme si ha habido algún acceso no autorizado a tus datos personales", afirma Castillejos, quien agrega que este trámite se puede realizar en el portal www.argentina.gob.ar/aaip.
Además, agrega que en el caso que la información hayan sido filtrada se debe efectuar la denuncia ante la autoridad correspondiente (policía o fiscalía) para averiguar si ha ocurrido algún delito.
"De esta manera, podés acreditar posteriormente que fuiste diligente e hiciste la denuncia. Y te podés proteger, por ejemplo, si sacan un préstamo a tu nombre con esos datos. Se puedehacer directamente ante la Policía o la Fiscalía, y se manifiestan expresamente los hechos", indica el abogado.
Los riesgos en lo inmediato son variados y, en todos los casos, graves. Por ejemplo, que los damnificados sean víctimas de acoso por terceros o secuestros virtuales; o saquen préstamos e inscriban cuentas a su nombre en bancos digitales u otras fintech, entre otros.
Además, quienes crean que sus datos hayan sido usados para acceder "adivinando contraseñas" a partir de fechas u otros datos personales en cuentas de correo, redes sociales y otros servicios web pueden es ingresar a haveibeenpwned.com. En caso de que la página indique que esas cuentas estuvieron comprometidas, se debe crear una contraseña robusta para volver a tener control.
¿Qué pasa con los datos privados?Emiliano Piscitelli, CEO de BeyGoo, comenta a iProUP que existe un foro de hacking en el que estos datos se comercializan. "Todo el tiempo se compra y vende información personal. Hay que saber con qué datos se cuentan. Es como que te roban el dato del DNI y con esto pueden sacar un préstamo online".
Por su parte, el abogado Luciano Monchiero, especialista en Cibercrimen y CEO de For7ress Digital Security revela a iProUP que las penalidades para este tipo de delitos pueden ser variadas.
"El punto está en verificar si revelan toda la información que es restringida, sin autorización extraída del RENAPER, o si hay una alteración de los datos. Dependerá de cómo se dé la situación", señala el letrado, quien enumera las sanciones:
Te puede interesarSegún conoció iProUP, la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), cuyo titular es Horacio Azzolin, ya tomó cartas en el asunto. Dependerá del resultado de la investigación ver los alcances de lo que podría ser la mayor filtración de datos perpetrado contra un Estado: la información de 45 millones de argentinos está en riesgo.
relacionadosdnijuzgadocorreccional federalcriminalministerio