El Registro Nacional de las Personas (Renaper), organismo dependiente del Ministerio de Salud de Argentina, sufrió una brecha de seguridad. En varios medios se leerá que directamente se trata de un hackeo, aunque desde el propio Renaper indican que no es así.
La cuestión es que el sábado un usuario de Twitter identificado como @aniballeaks publicó imágenes de 44 personas, entre ellas figuraban funcionarios públicos y famosos del país, como Alberto Fernández (actual presindente de Argnetina), Marcelo Tinelli, Lionel Messi, Máximo y Florencia Kirchner, Elisa Carrió, Jorge Lanata, Nelson Castro y Alfredo Leuco; entre otros.
"RENAPER":
Porque reportan la supuesta venta de datos del Registro Nacional de las Personas pic.twitter.com/OdHMeQ2Qvx— ¿Por qué es tendencia? (@porquetendencia) October 13, 2021
El usuario @aniballeaks manifestaba lo siguiente en su anuncio: “Vendo toda la data que está en el documento nacional de identidad sobre cualquier persona en Argentina”. A lo que agrega: “Esto incluye foto, nombres, apellidos, dirección, número de trámite de DNI (esto es muy importante) (…) y todo lo necesario para crear una identidad falsa”.
¿Qué implicaría este hackeo en caso de ser cierto?
Si el hackeo fuera una realidad, entonces los datos de los 44 millones (algunos estiman 45 millones) de ciudadanos con DNI argentino corren riesgo de que se expongan datos personales y clave. Este hecho se bautizó en algunos medios como el caso DNI Gate.
Algunos de esos datos importantes que se habrían filtrado son nombres, apellidos, domicilio, fecha de nacimiento, número de teléfono celular (en algunos casos), número de DNI y el número de trámite. Precisamente este último es un ítem fundamental puesto que, en base al mismo, se posibilitan diversos trámites — de ahí su nombre — como negar la salida del país a una persona, o controlar gestiones o incluso poner que alguien sufre de COVID-19.
El número de trámite figura en la parte inferior del frente de la última versión del DNI argentino, es único e irrepetible para cada habitante. Cada numeración está asociada a una persona en particular.
Probabilidades y denuncias
Será verdad que hubo un data breach en el RENAPER y se estan vendiendo los datos de todos los ciudadanos? Hay un screenshot dando vueltas que incluye el numero de tramite, entre otros datos. Gravisimo. pic.twitter.com/touRGVAdWj
— Daniel Monastersky (@identidadrobada) October 13, 2021
Los abogados Daniel Monastersky y Facundo Malaureille denunciaron un “posible incumplimiento de las medidas de seguridad” por parte del Renaper. Monastersky señala sobre el tema: “En el 2018 hay una comunicación de la Dirección de Protección de Datos en la que sugiere que la notificación de este tipo de hechos para que se tomen cartas en el asunto, respecto a qué datos se comprometieron y detallar cómo se produce este tipo de filtraciones”.
Precisamente así es como lo dispone el reglamento europeo de la protección de datos. Monastersky agrega: “Si bien es una recomendación, no es exigible hay cuestiones más técnicas que tiene que ver sobre qué implicancias tuvo. Cualquiera de las personas implicadas puede realizar una denuncia y solicitar una investigación para ver si se contaba con las protecciones básicas a fin de evitar estas filtraciones”.
Ahora bien, algo me dice que nunca loguearon esas consultas y que ese era el nivel de seguridad con el que manejaron nuestros datos personales 🤷🏻♂️
— Fabio Baccaglioni (@fabiomb) October 13, 2021
Asimismo, en la denuncia de los dos abogados, se expresa que este escenario “amerita la intervención urgente de la Agencia de Acceso a la Información Pública y Unidad Fiscal Especializada en Ciberdelincuencia en caso de corresponder. Además es de destacar que se hace necesario en la República Argentina actualizar la normativa vigente (Ley 25326) (…) para que nuestros datos personales estén debidamente protegidos”.
Renaper niega el hackeo
COMUNICADO
El Renaper detectó el uso indebido de una clave otorgada a un organismo público y formalizó una denuncia penal.
Link al comunicado completo 👉https://t.co/skbmaSKYhb
— RENAPER (@renaper_ar) October 13, 2021
Ayer — miércoles 13/10/2021 — Renaper emitió un comunicado oficial en el cual informa lo siguiente:
El Registro Nacional de las Personas (Renaper) formalizó ayer una denuncia penal ante el Juzgado en lo Criminal y Correccional Federal N° 11 Secretaria N° 22 tras detectar que, mediante el uso de claves otorgadas a organismos públicos, en este caso el Ministerio de Salud, se filtraron imágenes como perteneciente a trámites personales realizados en el Renaper. Desde el organismo dependiente del Ministerio del Interior se confirmó que se trató de un uso indebido de usuario o robo de la clave del mismo, y que la base de datos no sufrió vulneración o filtración alguna de datos.
@aniballeaks, el infiltrado
Lo que sí se admite desde Renaper es un suceso indeseado por parte de un usuario de Twitter, @aniballeaks, cuya cuenta se creó el 25 de septiembre pasado. En su comunicado, Renaper añade:
El sábado 9 de octubre el Renaper tomó conocimiento de que un usuario de Twitter identificado con el nombre de @aniballeaks -cuenta que fue denunciada y que actualmente se encuentra suspendida- había publicado en dicha red social las imágenes de 44 individuos, entre los cuales se encontraban funcionarios y personajes públicos de conocimiento en general.
Confirmando lo sucedido, el equipo de seguridad informática del Renaper realizó una consulta sobre las 44 personas involucradas a fin de relevar los últimos consumos realizados mediante el uso del Sistema de Identidad Digital (SID) sobre dichos perfiles, detectando que 19 imágenes habían sido consultadas en el exacto momento en que eran publicadas en la red social Twitter desde una conexión autorizada de VPN (Virtual Private Network) entre el Renaper y el Ministerio de Salud de la Nación, y todas las imágenes habían sido consultadas recientemente desde esa misma conexión.
Dicha conexión habría realizado varias consultas individuales a las bases de datos del Renaper entre las 15:01 y las 15:55 mediante el servicio de validación de datos del SID el cual, una vez invocados el DNI y sexo de la persona, devuelve a la persona que consulta todos los datos impresos en el Documento Nacional de Identidad, incluyendo imagen y otros datos personales, los cuales luego fueron subidos inmediatamente a la red social Twitter, sin el consentimiento del titular de los mismos.
Luego de este análisis preliminar, confirmaron los especialistas, se descartó de plano un ingreso no autorizado a los sistemas o una filtración masiva de datos del organismo.
Una clave, ocho empleados
Según publica el medio Infobae, este uso indebido de una clave apunta como implicados a ocho empleados del organismo público. Es decir, aquellos ocho sujetos tienen nivel de “acceso a claves”, aunque desde el Ministerio del Interior aclararon: “Pudieron haber robado la clave y es por eso que se investiga el IP”.
Fuentes: Renaper – iProUP [1] – iProUP [2] – La Nación – iProfesional – Infobae – Página 12
viniendo de este gobierno, cada vez que niegan algo, siempre termina siendo verdad. así que no me extrañaría para nada el robo de datos.
encima esa boludes de usar el numero de trámite de dni para validar identidad, algo totalmente expuesto, es una locura. yo en mi dni lo tengo tapado con cinta junto con el código de barras, pero es cualquiera
[…] Argentina: Renaper habría sufrido un hackeo y venta de datos personales de los ciudadanos […]