La insoportable inseguridad de nuestros datos

La insoportable inseguridad de nuestros datos

Nov 10, 2021 | Comunidad, Destacado 3

Días atrás, el RENAPER confirmó que un usuario filtró Documentos de Identidad de ciudadanos argentinos en un foro web, a partir de una descarga ilegítima de datos de la plataforma estatal. ¿Qué maniobras se hacen con la información personal y por qué es importante resguardarla?

A principios de octubre, un usuario anónimo de Twitter difundió fotos de cuarenta y cuatro personas, entre ellas políticos, deportistas y figuras conocidas a través de la red social. Las fotos tenían una particularidad: publicadas en alta resolución, coincidían con la imagen adjunta en el Documento Nacional de Identidad, lo que dejó entrever que el usuario tuvo acceso real a la base del Registro Nacional de las Personas (RENAPER) que almacena los DNI. Pero el problema no terminó ahí: a través de un foro web, nuevamente un usuario anónimo ofreció en venta, por unidad, alguno de los cuarenta y cinco millones de DNI argentinos. La prueba que usó para intentar demostrar la tenencia de los documentos era un archivo de descarga que contenía, nada más y nada menos, que sesenta mil indentificaciones con fotos en alta resolución. Finalmente, el RENAPER reconoció la filtración, señalando que la descarga de datos ilegítima posiblemente provenía del Ministerio de Salud, uno de los tantos entes estatales que utiliza los servicios de identidad que provee el RENAPER.

“Fue un ataque a la seguridad de parte del Ministerio de Salud. Con las credenciales otorgadas, los trabajadores podían ingresar a la API, una interfaz para realizar consultas al RENAPER. Yo no sé si concretamente se filtraron tantos datos personales como dijo la persona que los tiene en venta, porque esos datos incluyen fotos en muy alta resolución”, explica Juan Heguiabehere, doctor en Ciencias de la Computación y miembro de la Fundación Sadosky. “Con la pandemia se agravaron algunas cosas; como está todo el mundo trabajando desde la casa tenés que dar credenciales de acceso remoto a todos y ver qué haces con eso”. A la par de la cuestión de los accesos durante la cuarentena, se suma el hecho de que cada vez es más difícil conseguir profesionales en seguridad informática para trabajar en el Estado: los sueldos nacionales no pueden equiparar a las empresas extranjeras que vienen a reclutar trabajadores. 

Cada vez es más difícil conseguir profesionales en seguridad informática para trabajar en el Estado: los sueldos no pueden equiparar a las empresas extranjeras que vienen a reclutar trabajadores.

Andrés Vázquez es desarrollador de software y miembro de Open Data Córdoba, una organización que trabaja en pos de los datos abiertos. Sostiene que desde diversas áreas se accede a la base de datos del RENAPER y supone, al igual que Heguiabehere, que difícilmente se hayan filtrado los documentos de millones de argentinos debido a que se lleva a cabo cierto control sobre los usuarios que ingresan a la interfaz. Sin embargo, no descarta otro tipo de filtraciones: “Alguna persona con contactos en el RENAPER podría eventualmente sacar los datos directamente en la base, si alguien tiene los cuarenta y cinco millones de datos lo más probable que sea una persona cercana o con acceso a esa base de datos”.

La seguridad en jaque

¿Qué puede hacerse con los datos que se consiguen ilegalmente? El abanico de estafas es grande: transferencias bancarias, robos, fraudes y engaños, hasta adquirir líneas telefónicas en tiendas oficiales. Para Rodrigo Iglesias, abogado especializado en delitos informáticos, incluso se puede abrir una cuenta bancaria: “No hay que ser muy hábil para hacer imagen en 3D de las personas, tomar su rostro y sacar una cuenta bancaria, básicamente con lo que ello implica, contratar un servicio”. En el registro de sesenta mil personas difundido por el usuario, donde también figuran direcciones, es probable que haya datos de jubilados, blanco de estafas habituales, y menores de edad, violando la garantía de privacidad de los datos.

Una de las normas generales propuestas por Bruce Scheneier, experto en seguridad informática, dice que “cuanto más contenta esté la gente con una tecnología de seguridad, menos entienden esa tecnología y que su seguridad está en riesgo”. A mediados de 2014, el entonces Ministro del Interior, Florencio Randazzo, anunció acuerdos con España para la compra de su sistema de “DNI inteligente” que contaba con un chip y prometía evitar “papeles y múltiples identificaciones”, según el ex ministro. La promesa de resolver la vida práctica de los ciudadanos incluía vincular datos de la historia clínica con la Administración Nacional de la Seguridad Social (ANSES), el Programa de Atención Médica Integral (PAMI) y la tarjeta SUBE en un mismo número de documento. Contradictoriamente, en España este sistema ya había sido vulnerado, exponiendo las historias clínicas de muchos españoles. “El riesgo es muy superior a cualquier política positiva que puedas pensar”, señala Iglesias, y agrega: “Randazzo quería comprar la tecnología del DNI español. Le dijimos: ‘¿Cómo vas a solucionar el problema de seguridad informática que tuvieron hace un tiempo?’”. El proyecto no prosperó.

Actualmente, el RENAPER brinda un servicio llamado “Sistema de Identidad Digital” que permite verificar a distancia la identidad del usuario al escanear el DNI. Este sistema es ampliamente utilizado por bancos virtuales y empresas como MercadoPago. Para Iglesias, esto representa un problema que avasalla el consentimiento de los usuarios: “El RENAPER está lucrando con tu número de DNI, tu huella digital, tu dirección. Cualquier empresa utiliza el servicio para validar identidad, y nadie te avisó ni te pidieron que firmes conformidad para hacerlo. No debería ser la única forma. Llamado telefónico, código QR, hay varias maneras”.

 

¿Es posible resguardar nuestra información?

 La pandemia y los trámites remotos obligaron a buscar alternativas para la validación de identidad. El número de trámite representó una salida rápida para la campaña de vacunación, pero de ninguna forma puede convertirse en una práctica normalizada, sobre todo en la utilización por parte de las empresas. Para Heguiabehere, este dato “se usó porque era necesario encontrar una cosa que no fuera el número de DNI y funcionara como prueba de que la persona tenía el documento a mano y era esa persona. Pero lo están usando otras empresas, por ejemplo Mercadolibre quería la foto de mi DNI. No le voy a dar eso a un privado”. Iglesias también sostiene que el número de trámite tampoco debe ser utilizado como identificador: “No sirve como identificador de absolutamente nada, se tomó como un tercer factor de validación de personas, que no lo es”

Una de las consecuencias directas de la circulación de DNI, números de trámites e información privada es la proliferación de bases de datos con información sensible de cada persona. Ya hay bases de datos de correos electrónicos, listas para utilizarse en la modalidad de estafa virtual phishing, ¿cuánto falta para que se pongan en jaque los datos personales de cada ciudadano? En contra de esto, Heguiabehere sostiene que “hay que dejar de usar el número como clave” y enumera opciones para evitar el uso fraudulento de los datos: poner una cinta encima de los datos sensibles del DNI, sobre todo los presentes en la parte inferior de la credencial (número de documento, número de trámite, código QR). También está en contra de la utilización de la fotocopia del documento y propone alternativas en caso de que haya que brindar ese dato, como escanear el documento y blurear o anular el número de trámite. “Es un trabajo difícil pero es una forma de hacer o de tratar de que esas copias no se reutilicen”, sostiene el doctor en computación.

“De todas formas, sería muy importante que el Estado regule cómo las empresas certifican que nosotros somos nosotros a la distancia. Hoy no hay un control de eso y sería bueno que lo haya”, sostiene Heguiabehere. De lo contrario, la falta de métodos seguros de autenticación y las fallas de seguridad como la de RENAPER exponen algunas de las fragilidades del sistema y pueden provocar verdaderos desastres, muchas veces incluso sin que el damnificado esté al tanto. Sobre esto, Iglesias es tajante: “El mejor ataque es que vos no te des cuenta de que estás siendo atacado”.

13N: una pelea contra el grooming

13N: una pelea contra el grooming

Nov 12, 2018 | Comunidad, Novedades

Menor de edad mirando un celularMañana se celebrará por primera vez el Día Nacional de la Lucha contra el Grooming, sancionado por el Senado de la Nación el 10 octubre de este año. Las ONG Grooming Argentina y Mamá en línea realizarán encuentros y congresos en todo el país para concientizar a la población.

Ambas organizaciones trabajan por un objetivo común: combatir el grooming entendido como el ciberacoso infantil y educar a padres y niños sobre este delito que crece, como consecuencia del avance de las redes sociales en nuestra sociedad.

El ciberacoso infantil es definido según Grooming Argentina como “el acoso sexual virtual a niños y adolescentes que consiste en acciones deliberadas por parte de un adulto para establecer lazos de amistad con un niño con fines sexuales”. En este sentido, desde ambas asociaciones aseguran que las charlas educativas, las aplicaciones para denunciar el grooming y el apoyo de los padres son importantes para prevenir este delito.

La ONG Mamá en Línea está compuesta por mamás y víctimas del ciberacoso infantil y tiene como objetivo alertar sobre los riesgos que pueden enfrentar los menores de edad en las redes sociales. Su directora Roxana Domínguez, en conversación con ANCCOM afirma que “ante el rol que cumplen hoy las redes sociales en donde la interacción de los niños es con muchísima gente, los padres tienen el derecho y la obligación de conocer este sistema de navegación para entender cómo cuidar a sus hijos. No prohibimos el uso de la tecnología, pero sí exigimos su uso responsable”.

Domínguez relata cómo el día después en que se aprobó el Día Nacional de la Lucha Contra el Grooming, decidieron escribir a todos los municipios de Argentina invitándolos a adherirse y a replicar, de alguna manera, la prevención. En este sentido, junto con la concejal Jimena de Lara de la Municipalidad de Malvinas Argentinas presentaron el proyecto por el cual se declara al grooming de interés municipal. También dieron charlas educativas en distintas escuelas de la zona para niños y padres.

“La devolución de los chicos es excelente. Ellos no saben lo que significa grooming, pero cuando la charla avanza saben de lo que estamos hablando”, dice Domínguez. “Contar en primera persona lo que vivimos hace que  muchos se animen a hablar de situaciones que han vivido. Incluso pasa que los mismos chicos piden a los adultos que nos llamen para saber qué hacer, cómo denunciar, dónde hacerlo.”

Por otro lado, Grooming Argentina también fomenta la promoción, prevención y erradicación de este tema. Su presidente, Hernán Navarro, en el 1° Congreso Nacional de Grooming y Ciberbullyng, desarrollado hace una semana en la Universidad Nacional de Santiago del Estero, planteó que siete de cada diez personas desconocen de qué se trata el grooming y que muchos adultos se encuentran ante una situación totalmente desconocida, que no saben cómo manejar o ante la que creen tener una falsa percepción de control.

A pesar del aumento de episodios de ciberacoso infantil, la mayoría de las denuncias se reciben por reportes de la organización Centro Nacional para Niños Desaparecidos y Explotados (NCMEC) -programa de Estados Unidos que tiene un convenio de coparticipación en las causas- mientras que son muy pocas las que llegan directamente de los padres de los chicos.

La Fiscalía de la Ciudad especializada en Delitos Informáticos  es la encargada de recibir las denuncias de esta clase de crímenes y en su último informe, del año 2017, registró un fuerte aumento con respecto al año anterior. El registro de denuncias del NCMEC durante el año pasado en la Argentina es de un total de 19.214, que se convirtieron en casos de pornografía infantil y grooming. En comparación con las 8821 denuncias registradas en  2016.

Ante este escenario y a pesar de que el grooming es considerado en Argentina un delito penal desde 2013, gracias a la ley 26.904 que establece penas desde 6 meses a 4 años de prisión, Mamá en Línea insiste en la necesidad de educar en la temática para evitar que los niños, niñas y adolescentes sufran este tipo de situaciones.

En este sentido el senador nacional Dalmacio Mera y la diputada nacional Gabriela Burgos, con el apoyo del Programa de Modernización Parlamentaria de la Honorable Cámara de Diputados de la Nación y la ONG Mamá en Línea, preparan una jornada de concientización para el martes 13 noviembre bajo el lema de “Hablemos de grooming”. El evento tendrá lugar en el Anexo “A” de la Cámara de Diputados de la Nación ubicado en Avda. Rivadavia al 1841 a partir de las 9:30 hasta las 12.

“Esperamos que en todo nuestro país no queden escuelas sin que toquen el tema, estoy totalmente agradecida a todos aquellos que nos apoyaron”, dice Domínguez. Por otro lado, sumándose a ésta causa Sebastián Bortnik, presidente de Argentina Cibersegura, una organización sin fines de lucro que trabaja para crear un espacio digital protegido, a través de actividades de concientización y educación, informa que los lugares para denunciar los delitos de ciberacoso son la División Delitos Tecnológicos de la Policía Federal Argentina (4800 – 1120/4370 – 5899) o a la Unidad Fiscal Especializada en Ciberdelincuencia (11 5071 – 0040). También puede acudir al Área de Cibercrimen de la Policía Metropolitana (4309 – 9700) o a la Fiscalía de la Ciudad de Buenos Aires (0800 – 33 – 347225).