La insoportable inseguridad de nuestros datos

La insoportable inseguridad de nuestros datos

Nov 10, 2021 | Comunidad, Destacado 3

Días atrás, el RENAPER confirmó que un usuario filtró Documentos de Identidad de ciudadanos argentinos en un foro web, a partir de una descarga ilegítima de datos de la plataforma estatal. ¿Qué maniobras se hacen con la información personal y por qué es importante resguardarla?

A principios de octubre, un usuario anónimo de Twitter difundió fotos de cuarenta y cuatro personas, entre ellas políticos, deportistas y figuras conocidas a través de la red social. Las fotos tenían una particularidad: publicadas en alta resolución, coincidían con la imagen adjunta en el Documento Nacional de Identidad, lo que dejó entrever que el usuario tuvo acceso real a la base del Registro Nacional de las Personas (RENAPER) que almacena los DNI. Pero el problema no terminó ahí: a través de un foro web, nuevamente un usuario anónimo ofreció en venta, por unidad, alguno de los cuarenta y cinco millones de DNI argentinos. La prueba que usó para intentar demostrar la tenencia de los documentos era un archivo de descarga que contenía, nada más y nada menos, que sesenta mil indentificaciones con fotos en alta resolución. Finalmente, el RENAPER reconoció la filtración, señalando que la descarga de datos ilegítima posiblemente provenía del Ministerio de Salud, uno de los tantos entes estatales que utiliza los servicios de identidad que provee el RENAPER.

“Fue un ataque a la seguridad de parte del Ministerio de Salud. Con las credenciales otorgadas, los trabajadores podían ingresar a la API, una interfaz para realizar consultas al RENAPER. Yo no sé si concretamente se filtraron tantos datos personales como dijo la persona que los tiene en venta, porque esos datos incluyen fotos en muy alta resolución”, explica Juan Heguiabehere, doctor en Ciencias de la Computación y miembro de la Fundación Sadosky. “Con la pandemia se agravaron algunas cosas; como está todo el mundo trabajando desde la casa tenés que dar credenciales de acceso remoto a todos y ver qué haces con eso”. A la par de la cuestión de los accesos durante la cuarentena, se suma el hecho de que cada vez es más difícil conseguir profesionales en seguridad informática para trabajar en el Estado: los sueldos nacionales no pueden equiparar a las empresas extranjeras que vienen a reclutar trabajadores. 

Cada vez es más difícil conseguir profesionales en seguridad informática para trabajar en el Estado: los sueldos no pueden equiparar a las empresas extranjeras que vienen a reclutar trabajadores.

Andrés Vázquez es desarrollador de software y miembro de Open Data Córdoba, una organización que trabaja en pos de los datos abiertos. Sostiene que desde diversas áreas se accede a la base de datos del RENAPER y supone, al igual que Heguiabehere, que difícilmente se hayan filtrado los documentos de millones de argentinos debido a que se lleva a cabo cierto control sobre los usuarios que ingresan a la interfaz. Sin embargo, no descarta otro tipo de filtraciones: “Alguna persona con contactos en el RENAPER podría eventualmente sacar los datos directamente en la base, si alguien tiene los cuarenta y cinco millones de datos lo más probable que sea una persona cercana o con acceso a esa base de datos”.

La seguridad en jaque

¿Qué puede hacerse con los datos que se consiguen ilegalmente? El abanico de estafas es grande: transferencias bancarias, robos, fraudes y engaños, hasta adquirir líneas telefónicas en tiendas oficiales. Para Rodrigo Iglesias, abogado especializado en delitos informáticos, incluso se puede abrir una cuenta bancaria: “No hay que ser muy hábil para hacer imagen en 3D de las personas, tomar su rostro y sacar una cuenta bancaria, básicamente con lo que ello implica, contratar un servicio”. En el registro de sesenta mil personas difundido por el usuario, donde también figuran direcciones, es probable que haya datos de jubilados, blanco de estafas habituales, y menores de edad, violando la garantía de privacidad de los datos.

Una de las normas generales propuestas por Bruce Scheneier, experto en seguridad informática, dice que “cuanto más contenta esté la gente con una tecnología de seguridad, menos entienden esa tecnología y que su seguridad está en riesgo”. A mediados de 2014, el entonces Ministro del Interior, Florencio Randazzo, anunció acuerdos con España para la compra de su sistema de “DNI inteligente” que contaba con un chip y prometía evitar “papeles y múltiples identificaciones”, según el ex ministro. La promesa de resolver la vida práctica de los ciudadanos incluía vincular datos de la historia clínica con la Administración Nacional de la Seguridad Social (ANSES), el Programa de Atención Médica Integral (PAMI) y la tarjeta SUBE en un mismo número de documento. Contradictoriamente, en España este sistema ya había sido vulnerado, exponiendo las historias clínicas de muchos españoles. “El riesgo es muy superior a cualquier política positiva que puedas pensar”, señala Iglesias, y agrega: “Randazzo quería comprar la tecnología del DNI español. Le dijimos: ‘¿Cómo vas a solucionar el problema de seguridad informática que tuvieron hace un tiempo?’”. El proyecto no prosperó.

Actualmente, el RENAPER brinda un servicio llamado “Sistema de Identidad Digital” que permite verificar a distancia la identidad del usuario al escanear el DNI. Este sistema es ampliamente utilizado por bancos virtuales y empresas como MercadoPago. Para Iglesias, esto representa un problema que avasalla el consentimiento de los usuarios: “El RENAPER está lucrando con tu número de DNI, tu huella digital, tu dirección. Cualquier empresa utiliza el servicio para validar identidad, y nadie te avisó ni te pidieron que firmes conformidad para hacerlo. No debería ser la única forma. Llamado telefónico, código QR, hay varias maneras”.

 

¿Es posible resguardar nuestra información?

 La pandemia y los trámites remotos obligaron a buscar alternativas para la validación de identidad. El número de trámite representó una salida rápida para la campaña de vacunación, pero de ninguna forma puede convertirse en una práctica normalizada, sobre todo en la utilización por parte de las empresas. Para Heguiabehere, este dato “se usó porque era necesario encontrar una cosa que no fuera el número de DNI y funcionara como prueba de que la persona tenía el documento a mano y era esa persona. Pero lo están usando otras empresas, por ejemplo Mercadolibre quería la foto de mi DNI. No le voy a dar eso a un privado”. Iglesias también sostiene que el número de trámite tampoco debe ser utilizado como identificador: “No sirve como identificador de absolutamente nada, se tomó como un tercer factor de validación de personas, que no lo es”

Una de las consecuencias directas de la circulación de DNI, números de trámites e información privada es la proliferación de bases de datos con información sensible de cada persona. Ya hay bases de datos de correos electrónicos, listas para utilizarse en la modalidad de estafa virtual phishing, ¿cuánto falta para que se pongan en jaque los datos personales de cada ciudadano? En contra de esto, Heguiabehere sostiene que “hay que dejar de usar el número como clave” y enumera opciones para evitar el uso fraudulento de los datos: poner una cinta encima de los datos sensibles del DNI, sobre todo los presentes en la parte inferior de la credencial (número de documento, número de trámite, código QR). También está en contra de la utilización de la fotocopia del documento y propone alternativas en caso de que haya que brindar ese dato, como escanear el documento y blurear o anular el número de trámite. “Es un trabajo difícil pero es una forma de hacer o de tratar de que esas copias no se reutilicen”, sostiene el doctor en computación.

“De todas formas, sería muy importante que el Estado regule cómo las empresas certifican que nosotros somos nosotros a la distancia. Hoy no hay un control de eso y sería bueno que lo haya”, sostiene Heguiabehere. De lo contrario, la falta de métodos seguros de autenticación y las fallas de seguridad como la de RENAPER exponen algunas de las fragilidades del sistema y pueden provocar verdaderos desastres, muchas veces incluso sin que el damnificado esté al tanto. Sobre esto, Iglesias es tajante: “El mejor ataque es que vos no te des cuenta de que estás siendo atacado”.

CFK vs. Google: ¿Qué se discute?

CFK vs. Google: ¿Qué se discute?

Ago 12, 2020 | Novedades, Vidas políticas

Durante las primeras horas del domingo 17 de mayo, al ingresar en Google las palabras “Cristina Fernández de Kirchner”, el panel de conocimiento del buscador –un resumen de personalidades destacadas generado automáticamente– exhibía la leyenda “Ladrona de la Nación Argentina”. El encabezado se mantuvo durante suficiente tiempo como para que el agravio se viralizara y luego fuera difundido por los medios.

Por este motivo, la actual vicepresidenta presentó una demanda contra el gigante informático ante el Fuero Federal Civil y Comercial, en la que solicita una pericia que determine el origen de la publicación, cuánto estuvo activa, cantidad de visualizaciones y qué medidas se tomaron. El objetivo es demostrar cuál fue el alcance real del daño, en tanto esa información se replicó desde diversas plataformas en poco tiempo.

El abogado especializado en derecho informático Rodrigo Iglesias afirma que el curso de la denuncia podría verse obstruido de continuar por la vía civil: “La justicia ya zanjó la discusión entre responsabilidad objetiva y subjetiva con el caso de Belén Rodríguez, hace seis años”. Se trata de la modelo que en 2014 demandó a Google y Yahoo! por el uso no autorizado de su imagen al vincularla con páginas pornográficas. Según la resolución de la Suprema Corte, a la damnificada no le correspondía indemnización alguna, ya que los motores de búsqueda obraron de simples intermediarios y procedieron a bloquear el contenido en cuanto fueron notificados, como establece la doctrina de la responsabilidad subjetiva. Si se hubiese optado por considerar a estas empresas como pasibles de responsabilidad objetiva, habría alcanzado con demostrar el daño que generaba la reproducción de estas imágenes por parte de Google y Yahoo!, que el fallo desestimó al señalar que “equivaldría a sancionar a una biblioteca que ha permitido la localización de un libro de contenido dañino”.

Sin embargo, Iglesias subraya las diferencias entre la situación actual y la de entonces: “Si esta causa llegara a la Corte Suprema, hay que recordar que su conformación no es la misma que la de hace seis años. Quienes eran minoría en el fallo contra Belén Rodríguez, hoy son mayoría. También Google cambió, así como sus políticas y su influencia respecto de aquel momento”. Según el letrado, la vía penal podría ser más viable, ya que “el artículo 109 del Código Penal permitiría presentar una demanda por calumnias e injurias”.

«Para elaborar el panel de conocimiento, Google se nutrió de la información de Wikipedia, y se sabe que no es una fuente cien por ciento confiable. Entonces es posible atribuirles alguna responsabilidad, sostiene Iglesias”.

Iglesias señala ciertas particularidades del caso que habilitarían a identificar al buscador como responsable de la recopilación y jerarquización de estos contenidos. “Para elaborar ese panel de conocimiento, Google se nutrió de la información de Wikipedia, y se sabe que no es una fuente cien por ciento confiable. Si a esto le sumamos que la misma Wikipedia declaró que su base de datos fue vandalizada para modificar el perfil de Cristina Fernández, entonces es posible atribuirles alguna responsabilidad”. Y admite que “no sabemos cómo funciona el algoritmo que utiliza Google”, por lo que la relevancia de este actor aún debería establecerse.

 

La demanda de la expresidenta contra Google abre un amplio debate. Más allá de lo que se resuelva en su caso puntual, pone en agenda la cuestión de la opacidad de los algoritmos y la responsabilidad editorial de los motores de búsqueda y las redes sociales. Un debate que se está dando en la mayoría de los países y para la cual se están ensayando distintas propuestas. “Nos debemos una discusión sobre regulaciones en Argentina. El proyecto de ley sobre responsabilidad de intermediarios que se trató en 2018 era el paso a seguir tras el fallo de Belén Rodríguez. Tenía elementos positivos para comenzar a debatir el rol de estas empresas, pero no prosperó. Hoy lo que tenemos es el Código Civil y fallos como el señalado que sirven de jurisprudencia”, concluye Iglesias.