RENAPER: “Es de las filtraciones de datos personales más grande a nivel mundial”
Millones de datos del Registro Nacional de las Personas fueron robados por un hacker que dice haber vendido el archivo completo en seis oportunidades. Se trata del mismo autor de “La Gorra Leaks” -la filtración de 700 GB de información sensible de la PFA- quien ahora habría accedido a todos los DNI. Desde la Fundación Vía Libre destacaron la vulnerabilidad de nuestros datos en manos del Estado.
“Es gravísimo, me animo a decir que es de las filtraciones de datos personales más grande en volumen e importancia de datos que ha habido a nivel mundial. Si es que es cierto que los 45 millones de registros de las personas están efectivamente vulneradas, porque hay alguna información discrepante entre lo que aparece en las publicaciones de la internet profunda y la versión oficial”, dijo a FM De la Calle Beatriz Busaniche, integrante de la Fundación Vía Libre.
Agregó que “tiendo a pensar que sí se filtró la base completa porque los niveles de acceso que tuvo la persona que está exponiendo datos, está mostrando datos que sería raro que los tuviera si no tuviera todo”.
El periodista de Rosario3, Fernando Bruzonni entrevistó vía chat a [S], el supuesto hacker. Para Busaniche “es verosímil lo que plantea, lo que no es verosímil es que sea el hacker más buscado por la justicia argentina porque la justicia argentina no está haciendo absolutamente nada para resolver este caso. La justicia argentina es un papelón, la investigación judicial alrededor de La Gorra Leaks es un papelón”.
“Lamentamos que, además, la denuncia que hizo el Ministerio de Salud sobre la filtración de 960 y pico de millones de datos de la base, el sorteo le tocó al juez Rodríguez que es el mismo que está haciendo la supuesta investigación sobre La Gorra Leaks. La expectativa de que la justicia resuelva este tema es nula, lo que rogamos es que no hagan desastres”, comentó.
Busaniche señaló que “no hace falta ser una súper estrella del hacking para acceder a los sistemas del Estado. La seguridad de la información en poder del Estado es un problema estructural de larga data. Los últimos sistemas instalados en la gestión anterior por parte del Ministerio de Modernización tienen como característica una pobreza estructural en materia de seguridad informática. Por lo que sabemos y por la información que ha circulado, quien accedió a esta base de datos lo hizo a partir de comprometer las credenciales de uno de los miles de usuarios con un simple phishing -un método para engañar y hacer que usuarios compartan información confidencial haciéndose pasar por una institución de confianza en un mensaje de correo electrónico o llamada telefónica-“.
“No hay que ser un super experto en seguridad informática, eso es ingeniería social. La principal grieta de un sistema es el humano que lo opera, tenés un sistema que tiene información muy valiosa y sensible y las credenciales de uso -que son usuario y contraseña- las tiene cualquiera”, enfatizó.
“Que el dato para validar la identidad de una persona sea el número de trámite que está en tu DNI, que está en la portada, que eso sirva de clave de acceso es irrisorio y ridículo. No tengo palabras para describirlo, si le hubieran puesto 123456 hubiera sido más o menos lo mismo”, dijo.
Para la especialista, es muy probable que esta filtración no sea la única: “debe haber pasado antes”. Aclaró que “en la nota del cronista dice que 50 mil personas tenían acceso a esa base de datos de información sensible. Hay problemas serios de, por ejemplo, no tener control de tráfico sobre la base de datos, te la están bajando completa y no tenés un reporte que te advierta, mínimamente cualquier empresa privada lo tiene en sus servidores. Lo que dice este testimonio -que tomo con pinzas- es que la infraestructura del Estado está diseñada y operada de una forma que es absolutamente negligente”.
“Hay datos que se convierten en sensibles. Que el dato para validar la identidad sea el número de trámite que está en tu DNI, que está en la portada del DNI, que sirva de calve de acceso, es irrisorio y ridículo. No tengo palabras para describirlo, si le hubiera puesto 123456 hubiera sido más o menos lo mismo. Es un dato que se hace público muy fácilmente, te piden una foto de DNI, cualquiera que haya tenido acceso a tu DNI y lo pudo copiar, tiene tu clave”.
El uso masivo del número de trámite se realizó a partir del aislamiento por la pandemia a través de la aplicación Cuidar: “La excusa que se dio fue ‘estamos haciendo todo a la rápida y como podemos’. Ni bien tenés tiempo de buscar un mecanismo de seguridad, impleméntalo. No tenés chance de cambiar esa clave. La relación con el Estado parte de una situación de muy poca seguridad de la información”.
“Es un problema de responsabilidad política de larga data, no hay política pública de seguridad de información”, contó.
“Las pocas medidas que se están empezando a tomar, son diseñar protocolos de seguridad, tareas de hormigas en relación a la Dirección de Ciberseguridad. Un equipo pequeño, como esta dirección, no puede cambiar una situación de seguridad, hace falta tener una agencia especializada, que se ocupe específicamente de la seguridad de la información del Estado. Ahí tenés que tener cuerpos profesionales bien pagos porque en la informática se paga muy bien, entonces -salvo alguien que tiene la convicción brutal con la cosa pública- nadie sacrifica sus ingresos para trabajar en el Estado, donde es muy complejo, donde todo requiere protocolos y procesos. La burocracia del Estado es distinta y tiene otra dinámica porque tenés requerimientos vinculados a la transparencia, no es una crítica, está bien que así sea”, explicó Busaniche.
Reflexionó que “sin una política de Estado, sin un compromiso de todos funcionarios que ejercen tareas de responsabilidad nunca vamos a solucionar este problema. Es multidimensional, requiere presupuesto, convicción política y mucho tiempo de trabajo. El presupuesto tiene que ser sólido, tenés que tener capacidad de coerción sobre las medidas. Si establecés una medida de seguridad el que tiene que hacer uso de las credenciales tiene que cumplir con esa pauta, no puede ser que le des una clave de acceso a la base datos y esa clave la tengan 15 personas del mismo ministerio. Ahí tenés una grieta de seguridad, un agujero. Tenés que poder hacer trazabilidad y saber quién accedió al dato, por qué esa persona accedió al dato, una justificación. Es tanto lo que hay que hacer que no se sabe por dónde empezar”.
“En Vía Libre opinamos que tanto Acceso a la Información Pública como Protección de Datos debían depender de la Defensoría del Pueblo, son los órganos garantes de los derechos”, apuntó.
Por otro lado, manifestó que la seguridad informática “suele ser un tema que maneja un grupo pequeño y que lo dejan a un costado. Tenemos que tomar conciencia de que tiene que haber una política pública de gestión de la información y una institución dedicada a esto con peso político. La ley de Protección de Datos Personales está vigente desde el 2001, es un derecho constitucional, hoy la autoridad de aplicación está acéfala. No hay director de la Agencia de Acceso a la Información Pública, está vacante ese puesto desde el 1 de enero. Son lugares claves que tienen que velar por los derechos de la ciudadanía, la Defensoría del Pueblo y el área de Protección de Datos están acéfalas. No hay ni siquiera una demanda, ni siquiera es un cargo que el oficialismo negocie con alguien, no hay nadie queriendo ocupar ese lugar, no se está dando la entidad política”.
La experta destacó que los datos “son el petróleo del siglo XXI, tiene valor económico. Con el DNI y el número de trámite podés ingresar al perfil de Anses de una persona, saber toda su trayectoria laboral, cuánto gana, quiénes son los familiares a cargo, dónde vive, puede ser información para cometer algún ilícito, hacer documentación apócrifa y obtener créditos, sacar tarjetas, hay cantidades de cosas que se pueden hacer con la información”.
Busaniche insistió en que “el problema central es que la única reacción del Estada es hacer la denuncia penal. El fuero penal no soluciona esto. Requiere una estrategia distinta porque acá hay responsabilidad de funcionarios, del Estado, si es tal cual lo que leímos en esta nota. No justifico que lo que hizo esta persona pero es una práctica muy habitual cuando se reportan vulnerabilidades graves y quien tiene que solucionarlo no hace lo que corresponde que es proteger la información. Esta política de exhibir las vulnerabilidades es casi un acto que algunos ven como legítimo, no es mi caso. Muchas veces exponer una vulnerabilidad de esta manera es la única forma de que alguien tome cartas en el asunto y solucione los problemas”.
“El Estado argentino no solo no atiende como corresponde los problemas estructurales de acceso a la información sino que además no parece que vaya a cambiar nada a partir de lo que pasó. Al menos en una primera impresión, parece que todo se soluciona con la denuncia penal y que la justicia investigue pero no se cargan las tintas en que para que esto pase tiene que haber habido alguno o algunos empleados infieles, que hace falta una cuestión interna, protocolos, que no son cambiar las claves a la gente”, concluyó.