Publican una base de datos con información del Renaper y el Gobierno niega un hackeo
Un usuario subió a un foro especializado de compra-venta de datos personales una base de datos (en un dominio ONION en la Deep Web) que, asegura, se corresponde con 65 millones de registros extraídos del Renaper. A principios de mes, otro atacante filtró un archivo con 116.459 fotografías de ciudadanos argentinos de la misma entidad. El Gobierno negó que se trate de un hackeo al sistema: “Los equipos técnicos del Renaper y la empresa de ciberseguridad DANAIDE S.A confirmaron que no existió un hackeo a la base de datos del organismo ni una nueva filtración de información”.
La filtración abarca una diversidad de datos, que van desde información personal, documentos y registros de SMS asociados al coronavirus. Además, en relación a filtraciones anteriores de la semana pasada, se incluyen direcciones, documentos, números de teléfono, así como detalles sobre relaciones laborales y registros financieros. Asimismo, en cuanto a la filtración de licencias de conducir, se encontró información sobre donantes de órganos. También se encontró un archivo llamado “armada.sql” que contiene información sobre rangos militares.
Los registros revelan accesos a cuentas internas hasta junio de 2022, con una preocupante cantidad de usuarios que utilizaban “1234” como contraseña. Además, lo distintivo de esta filtración es la inclusión del código fuente PHP de aplicaciones internas del organismo, así como de los Web Services y APIs utilizados por diversas organizaciones para verificar la identidad de las personas, lo que incluye direcciones IP de servidores internos y credenciales de acceso a todas las bases de datos del organismo. Los riesgos abarcan desde suplantación de identidad que puede usarse para conseguir accesos no autorizados o realizar ingeniería social, las fotos son codiciadas para algunas aplicaciones fintech que validan identidad de manera 100% digital y se espera un crecimiento exponencial en ataques deepfake.
Frente a esta negación por parte del estado, expertos en ciberseguridad como el licenciado Cristian Borghello, Director de Segu-Info remarco su descontento y preocupación en una publicación de segu-info expresando, entre otras cosas, lo siguiente “¿qué espera el Estado argentino para tomar acciones, investigar, encontrar a los delincuentes (internos y externos) y a partir de ahora, comenzar a pensar en la Ciberseguridad como Política de Estado?”
Esta serie de eventos evidencia una aparente negligencia por parte del Estado en la protección de los datos personales de los ciudadanos. La falta de reconocimiento y la ausencia de un plan de acción para remediar estas filtraciones plantean serias dudas sobre la capacidad del gobierno para cumplir con su deber de proteger la información confidencial de los ciudadanos, lo que contradice la Expectativa Razonable de Privacidad, según la cual se espera que las agencias gubernamentales protejan con el mayor cuidado la información proporcionada por los ciudadanos, velando por sus derechos y seguridad.
