Días atrás, el RENAPER confirmó que un usuario filtró Documentos de Identidad de ciudadanos argentinos en un foro web, a partir de una descarga ilegítima de datos de la plataforma estatal. ¿Qué maniobras se hacen con la información personal y por qué es importante resguardarla?
A principios de octubre, un usuario anónimo de Twitter difundió fotos de cuarenta y cuatro personas, entre ellas políticos, deportistas y figuras conocidas a través de la red social. Las fotos tenían una particularidad: publicadas en alta resolución, coincidían con la imagen adjunta en el Documento Nacional de Identidad, lo que dejó entrever que el usuario tuvo acceso real a la base del Registro Nacional de las Personas (RENAPER) que almacena los DNI. Pero el problema no terminó ahí: a través de un foro web, nuevamente un usuario anónimo ofreció en venta, por unidad, alguno de los cuarenta y cinco millones de DNI argentinos. La prueba que usó para intentar demostrar la tenencia de los documentos era un archivo de descarga que contenía, nada más y nada menos, que sesenta mil indentificaciones con fotos en alta resolución. Finalmente, el RENAPER reconoció la filtración, señalando que la descarga de datos ilegítima posiblemente provenía del Ministerio de Salud, uno de los tantos entes estatales que utiliza los servicios de identidad que provee el RENAPER.
“Fue un ataque a la seguridad de parte del Ministerio de Salud. Con las credenciales otorgadas, los trabajadores podían ingresar a la API, una interfaz para realizar consultas al RENAPER. Yo no sé si concretamente se filtraron tantos datos personales como dijo la persona que los tiene en venta, porque esos datos incluyen fotos en muy alta resolución”, explica Juan Heguiabehere, doctor en Ciencias de la Computación y miembro de la Fundación Sadosky. “Con la pandemia se agravaron algunas cosas; como está todo el mundo trabajando desde la casa tenés que dar credenciales de acceso remoto a todos y ver qué haces con eso”. A la par de la cuestión de los accesos durante la cuarentena, se suma el hecho de que cada vez es más difícil conseguir profesionales en seguridad informática para trabajar en el Estado: los sueldos nacionales no pueden equiparar a las empresas extranjeras que vienen a reclutar trabajadores.
Cada vez es más difícil conseguir profesionales en seguridad informática para trabajar en el Estado: los sueldos no pueden equiparar a las empresas extranjeras que vienen a reclutar trabajadores.
Andrés Vázquez es desarrollador de software y miembro de Open Data Córdoba, una organización que trabaja en pos de los datos abiertos. Sostiene que desde diversas áreas se accede a la base de datos del RENAPER y supone, al igual que Heguiabehere, que difícilmente se hayan filtrado los documentos de millones de argentinos debido a que se lleva a cabo cierto control sobre los usuarios que ingresan a la interfaz. Sin embargo, no descarta otro tipo de filtraciones: “Alguna persona con contactos en el RENAPER podría eventualmente sacar los datos directamente en la base, si alguien tiene los cuarenta y cinco millones de datos lo más probable que sea una persona cercana o con acceso a esa base de datos”.
La seguridad en jaque
¿Qué puede hacerse con los datos que se consiguen ilegalmente? El abanico de estafas es grande: transferencias bancarias, robos, fraudes y engaños, hasta adquirir líneas telefónicas en tiendas oficiales. Para Rodrigo Iglesias, abogado especializado en delitos informáticos, incluso se puede abrir una cuenta bancaria: “No hay que ser muy hábil para hacer imagen en 3D de las personas, tomar su rostro y sacar una cuenta bancaria, básicamente con lo que ello implica, contratar un servicio”. En el registro de sesenta mil personas difundido por el usuario, donde también figuran direcciones, es probable que haya datos de jubilados, blanco de estafas habituales, y menores de edad, violando la garantía de privacidad de los datos.
Una de las normas generales propuestas por Bruce Scheneier, experto en seguridad informática, dice que “cuanto más contenta esté la gente con una tecnología de seguridad, menos entienden esa tecnología y que su seguridad está en riesgo”. A mediados de 2014, el entonces Ministro del Interior, Florencio Randazzo, anunció acuerdos con España para la compra de su sistema de “DNI inteligente” que contaba con un chip y prometía evitar “papeles y múltiples identificaciones”, según el ex ministro. La promesa de resolver la vida práctica de los ciudadanos incluía vincular datos de la historia clínica con la Administración Nacional de la Seguridad Social (ANSES), el Programa de Atención Médica Integral (PAMI) y la tarjeta SUBE en un mismo número de documento. Contradictoriamente, en España este sistema ya había sido vulnerado, exponiendo las historias clínicas de muchos españoles. “El riesgo es muy superior a cualquier política positiva que puedas pensar”, señala Iglesias, y agrega: “Randazzo quería comprar la tecnología del DNI español. Le dijimos: ‘¿Cómo vas a solucionar el problema de seguridad informática que tuvieron hace un tiempo?’”. El proyecto no prosperó.
Actualmente, el RENAPER brinda un servicio llamado “Sistema de Identidad Digital” que permite verificar a distancia la identidad del usuario al escanear el DNI. Este sistema es ampliamente utilizado por bancos virtuales y empresas como MercadoPago. Para Iglesias, esto representa un problema que avasalla el consentimiento de los usuarios: “El RENAPER está lucrando con tu número de DNI, tu huella digital, tu dirección. Cualquier empresa utiliza el servicio para validar identidad, y nadie te avisó ni te pidieron que firmes conformidad para hacerlo. No debería ser la única forma. Llamado telefónico, código QR, hay varias maneras”.
¿Es posible resguardar nuestra información?
La pandemia y los trámites remotos obligaron a buscar alternativas para la validación de identidad. El número de trámite representó una salida rápida para la campaña de vacunación, pero de ninguna forma puede convertirse en una práctica normalizada, sobre todo en la utilización por parte de las empresas. Para Heguiabehere, este dato “se usó porque era necesario encontrar una cosa que no fuera el número de DNI y funcionara como prueba de que la persona tenía el documento a mano y era esa persona. Pero lo están usando otras empresas, por ejemplo Mercadolibre quería la foto de mi DNI. No le voy a dar eso a un privado”. Iglesias también sostiene que el número de trámite tampoco debe ser utilizado como identificador: “No sirve como identificador de absolutamente nada, se tomó como un tercer factor de validación de personas, que no lo es”
Una de las consecuencias directas de la circulación de DNI, números de trámites e información privada es la proliferación de bases de datos con información sensible de cada persona. Ya hay bases de datos de correos electrónicos, listas para utilizarse en la modalidad de estafa virtual phishing, ¿cuánto falta para que se pongan en jaque los datos personales de cada ciudadano? En contra de esto, Heguiabehere sostiene que “hay que dejar de usar el número como clave” y enumera opciones para evitar el uso fraudulento de los datos: poner una cinta encima de los datos sensibles del DNI, sobre todo los presentes en la parte inferior de la credencial (número de documento, número de trámite, código QR). También está en contra de la utilización de la fotocopia del documento y propone alternativas en caso de que haya que brindar ese dato, como escanear el documento y blurear o anular el número de trámite. “Es un trabajo difícil pero es una forma de hacer o de tratar de que esas copias no se reutilicen”, sostiene el doctor en computación.
“De todas formas, sería muy importante que el Estado regule cómo las empresas certifican que nosotros somos nosotros a la distancia. Hoy no hay un control de eso y sería bueno que lo haya”, sostiene Heguiabehere. De lo contrario, la falta de métodos seguros de autenticación y las fallas de seguridad como la de RENAPER exponen algunas de las fragilidades del sistema y pueden provocar verdaderos desastres, muchas veces incluso sin que el damnificado esté al tanto. Sobre esto, Iglesias es tajante: “El mejor ataque es que vos no te des cuenta de que estás siendo atacado”.