El Registro Nacional de las Personas (Renaper) formalizó ayer una denuncia penal ante el Juzgado en lo Criminal y Correccional Federal N° 11 Secretaria N° 22 tras detectar que, mediante el uso de claves otorgadas a organismos públicos, en este caso el Ministerio de Salud, se filtraron imágenes como pertenecientes a trámites personales realizados en esa entidad.
No obstante, desde el organismo dependiente del Ministerio del Interior confirmaron que se trató de un uso indebido de usuario o robo de la clave del mismo y que la base de datos no sufrió vulneración o filtración alguna.
El sábado 9 de octubre el Renaper tomó conocimiento de que un usuario de Twitter identificado con el nombre de @aniballeaks -cuenta que fue denunciada y que actualmente se encuentra suspendida- había publicado en dicha red social las imágenes de 44 individuos, entre los cuales se encontraban funcionarios y personajes públicos de conocimiento en general.
Confirmando lo sucedido, el equipo de seguridad informática del Renaper realizó una consulta sobre las 44 personas involucradas a fin de relevar los últimos consumos realizados mediante el uso del Sistema de Identidad Digital (SID) sobre dichos perfiles, detectando que 19 imágenes habían sido consultadas en el exacto momento que eran publicadas en la red social Twitter desde una conexión autorizada de VPN (Virtual Private Network) entre el ReNaPer y el Ministerio de Salud de la Nación, y todas las imágenes habían sido consultadas recientemente desde esa misma conexión.
Dicha conexión habría realizado varias consultas individuales a las bases de datos del Renaper entre las 15:01 y las 15:55 mediante el servicio de validación de datos del SID el cual, una vez invocados el DNI y Sexo de la persona, devuelve a la persona que consulta todos los datos impresos en el Documento Nacional de Identidad, incluyendo imagen y otros datos personales, los cuales luego fueron subidos inmediatamente a la red social Twitter, sin el consentimiento del Titular de los mismos.
Luego de este análisis preliminar, confirmaron los especialistas, se descartó de plano un ingreso no autorizado a los sistemas o una filtración masiva de datos del organismo.
Asimismo, se detectó que un usuario autorizado individual habría utilizado de forma indebida para fines personales el servicio de validación de identidad a través de un certificado habilitado del Ministerio de Salud de la Nación, conectándose a través de la correspondiente VPN, con usuario y contraseña.
Daniel Monastersky, especialista en delitos informáticos, y Facundo Malaureille, General Partner de datagovernancelatam, le explicaron a iProUP que existen varios grupos de damnificados que están denunciado la venta de la base de datos personales.
"En el 2018 hay una comunicación de la Dirección de Protección de Datos en la que sugiere que la notificación de este tipo de hechos para que se tomen cartas en el asunto, respecto a qué datos se comprometieron y detallar cómo se produce este tipo de filtraciones", remarca Monastersky.
Así lo dispone, el reglamento Europeo de la protección de datos. "Si bien es una recomendación, no es exigible hay cuestiones más técnicas que tiene que ver sobre qué implicancias tuvo. Cualquiera de las personas implicadas puede realizar una denuncia y solicitar una investigación para ver si se contaba con las protecciones básicas a fin de evitar estas filtraciones", resalta el letrado.
Malaureille advierte que el Renaper tiene datos vinculados a nombres, apellidos, domicilios de las personas que pueden llegar a ser sensibles.
"Una persona que quiera hacer un secuestro extorsivo puede acceder al domicilio, con los datos del DNI o el nombre puede saber los contactos actualizados. Hay que recordar que las últimas versiones del DNI tienen número de trámite y con eso se pueden hacer una gran variedad de trámites. Por ejemplo, podes poner que una persona tiene COVID y negarle la salida del país o controlar todas las gestiones que requieren estos datos", precisa.
Además, los expertos puntualizan que en Europa los organismos que tienen base de datos publica requieren que se contrate un DPO, un data privacy officer, que es un profesional con los conocimientos necesarios para poder delimitar y asesorar los organismos respecto al uso de eso datos dentro de la organización.
"Esto en la Argentina no está contemplado y se vienen postergando las reformas desde hace varios años. Hubo varios proyectos pero ninguno avanzó y terminó perdiendo estado parlamentario", dice Monastersky.
Más allá de la justificación del Renaper, las investigaciones intentarán determinar si fue un ataque de ransomware (secuestro de datos a cambio de un rescate), si fue sólo una pequeña brecha de seguridad sin acceso a la base o si directamente los criminales aprovecharon una falla para robar y vender los datos en la dark web.