Datos y negligencia estatal

El robo de datos sensibles de miles de argentinos revelado en octubre por un hacker, refleja la fragilidad de sistemas informáticos claves manejados por organismos oficiales y la necesidad urgente de invertir en la seguridad digital de un Estado que hoy mira impotente cómo esa información se ofrece al mejor postor.

La transformación digital y el uso masivo de redes sociales ha planteado la cuestión de la seguridad y el uso de la información que clientes y/o consumidores aportan a las empresas a la hora de realizar una compra, una gestión online o descargar una aplicación. Otro aspecto cada vez más debatido es la enorme cantidad de información que los organismos estatales acumulan sobre los ciudadanos en temas como su ubicación, identidad, salud, actividad educativa, laboral y comercial, entre otras. Su protección se hace más necesaria cuando en el objetivo por brindar un servicio más rápido y eficiente, o producto de situaciones excepcionales como la pandemia, los organismos públicos delegan en plataformas virtuales o en aplicaciones de terceros el acceso a la salud, la educación o la seguridad social.

El hacker no identificado publicó vía Twitter datos personales e imágenes de las identificaciones de 44 personajes, como el presidente Alberto Fernández, la opositora Elisa Carrió, el conductor Marcelo Tinelli o los futbolistas Lionel Messi y Sergio Agüero. El pirata informático aseguraba haber vulnerado la seguridad del Registro Nacional de las Personas (Renaper), encargado de confeccionar los DNI y los pasaportes y ofrecía “al mejor postor” una gigantesca base de datos a través de la denominada “dark web”, una porción de Internet intencionalmente oculta a los motores de búsqueda, con direcciones IP enmascaradas y accesibles sólo con un navegador web especial.

El organismo oficial salió de inmediato a negar que se hubiera vulnerado de la base datos, aunque sí admitió una brecha de seguridad en la vinculación del ministerio de Salud con el Renaper que había permitido el robo de cierta información, que ya había sido solucionada. Sin embargo, el pirata volvió a la carga y pocos días después publicó 2.7 gigabites de datos con información sensible de más de 60.000 ciudadanos del padrón de identidad del país.

Según el atacante, tiene en su poder las 45 millones de entradas del Registro (que incluyen: foto, nombres, apellidos, direcciones, sexo, si está viva o no, número de DNI y de trámite) de todos los habitantes. Pide 17 mil dólares a cambio de devolver la base.

---

Según el atacante, tiene en su poder las 45 millones de entradas del Registro (que incluyen: foto, nombres, apellidos, direcciones, sexo, si está viva o no, número de DNI y de trámite) de todos los habitantes. Pide 17 mil dólares a cambio de devolver la base.

---

Esta semana, el ministerio de Salud confirmó que mediante la técnica de “phishing” (un correo electrónico falso que logra que un usuario brinde usuario y contraseña de ingreso) se vulneró el sistema que accede al Renaper y que utilizan 40 hospitales nacionales y los ministerios de 24 provincias para dar turnos de vacunación, cargar datos al SISA e identificar a pacientes en las historias clínicas. La reacción fue cambiar claves, limitar el uso de información y prometer inversión en ciberseguridad.

No fue la primera negligencia detectada. Durante la pandemia, San Juan sufrió la filtración de 115 mil registros de personas que habían tramitado el permiso de circulación. En Salta una app para hacer trámites vinculados al covid-19 fue reportada con múltiples condiciones de inseguridad. Un ataque de ramnsoware a Migraciones hizo que una base de datos completa fuera publicada en Internet, entre ellos los datos de los repatriados al país.

En un mundo donde la información sobre las personas adquiere un valor económico y estratégico central y donde la pandemia ha llevado a niveles inéditos la intermediación informática, el Estado argentino ha mostrado negligencia al no desarrollar protocolos de seguridad apropiados y suficientes. Es un deber ineludible del Estado tener estándares mínimos para gestionar y proteger los datos sensibles de los ciudadanos, mediante una política de seguridad digital transparente, rigurosa y transversal, que incluya la participación de organizaciones civiles y especializadas.