Datos privados de todos los habitantes del país son filtrados en foros de seguridad informática.

La base de datos del Registro Nacional de las Personas (ReNaPer) de la República Argentina acaba de verse vulnerada. Un presunto robo de datos de mayor magnitud que el protagonizado el año pasado por la Dirección Nacional de Migraciones, afectando a todos los ciudadanos argentinos. El denominado “DNI Gate” afectaría a los 45 millones de habitantes del territorio que tengan documento nacional de identidad.

Se han filtrado:

  • Números de documento
  • Domicilios
  • Número de trámite
  • Fechas de nacimiento
  • Número móvil en algunos casos

Mas allá del atentado contra la privacidad de los ciudadanos, este ciberataque supone la posibilidad de un robo de identidad y secuestros virtuales. El número de trámite sería el dato más sensible, ya que se trata de una numeración única e irrepetible asociada de manera personal a cada ciudadano. Se encuentra en las últimas versiones del DNI y, como su propio nombre indica, sirve para realizar diversos trámites como negar la salida del país a una persona, controlar gestiones o incluso poner que alguien sufre de COVID-19.

DAMNIFICADOS

El experto en seguridad informática, Javier Smaldone, compartió por redes la frustración causada por algo que, según él, “lamentablemente ya es reiterado”. Muestra pruebas del hackeo al compartir tweets de una cuenta (@aniballeaks) que se dedicó a la difusión de fotos del DNI de 44 individuos, entre los cuales se encontraban funcionarios y personajes públicos, cómo Lionel Messi, Sergio Agüero y Nelson Castro, entre otros. La cuenta, actualmente suspendida, también llegó a filtrar la fotografía del propio Javier. Se comenta también que ha llegado a difundirse el teléfono personal del ministro de Seguridad, Aníbal Fernández.

La gravedad del asunto se encuentra en que el usuario identificado como @aniballeaks no se limitó a filtrar dichas imágenes, sino que presentó el siguiente anuncio:

“Vendo toda la data que está en el documento nacional de identidad sobre cualquier persona en Argentina”. A lo que agrega: “Esto incluye foto, nombres, apellidos, dirección, número de trámite de DNI (esto es muy importante) (…) y todo lo necesario para crear una identidad falsa”.

RENAPER NIEGA EL HACKEO

El pasado 13 de octubre, ReNaPer emitió un comunicado oficial a través del cual informa que formalizó una denuncia penal ante el Juzgado en lo Criminal y Correccional Federal Nº11. Según indica la dependencia estatal, el incidente se trató de un uso indebido de usuario o robo de la clave del mismo. Por ello, el organismo dependiente del Ministerio Interior afirma que la base de datos no sufrió vulneración o filtración alguna.

El equipo de seguridad informática de ReNaPer realizó una consulta sobre las 44 personas involucradas a fin de revelar los últimos consumos realizados mediante el uso del Sistema de Identidad Digital (SID). Se detectó 19 imágenes habían sido consultadas en el exacto momento que eran publicadas en la red social Twitter desde una conexión autorizada de VPN (Virtual Private Network) entre el ReNaPer y el Ministerio de Salud de la Nación, y todas las imágenes habían sido consultadas recientemente desde esa misma conexión.

DENUNCIAS

Los abogados Daniel Monastersky y Facundo Malaureille denunciaron un “posible incumplimiento de las medidas de seguridad” por parte del ReNaPer. Monastersky señala sobre el tema: “En el 2018 hay una comunicación de la Dirección de Protección de Datos en la que sugiere que la notificación de este tipo de hechos para que se tomen cartas en el asunto, respecto a qué datos se comprometieron y detallar cómo se produce este tipo de filtraciones”.

Hay que tener en cuenta que la normativa argentina en relación con la protección de datos tiene muchos años, y que, a diferencia del RGPD Europeo, hay recomendaciones de informar este tipo de data breaches pero no existe obligatoriedad.

Monastersky agrega: “Cualquiera de las personas implicadas puede realizar una denuncia y solicitar una investigación para ver si se contaba con las protecciones básicas a fin de evitar estas filtraciones”.

OCHO POSIBLES IMPLICADOS

Según publica el medio Infobae, este uso indebido de una clave apunta como implicados a ocho empleados del organismo público. Es decir, aquellos ocho sujetos tienen nivel de “acceso a claves”, aunque desde el Ministerio del Interior aclararon: “Pudieron haber robado la clave y es por eso que se investiga el IP”.

Más allá de la justificación del ReNaPer y de los rumores divulgados en redes, las investigaciones intentarán determinar si fue un ataque de ransomware (secuestro de datos a cambio de un rescate), una pequeña brecha de seguridad sin acceso a la base o si directamente los criminales aprovecharon una falla para robar y vender los datos en la dark web.