A finales de la semana pasada empezó a circular en Twitter información sensible de distintos personajes públicos de Argentina. Los tweets de la filtración de datos incluían fotos carnet, números de trámite, fecha de nacimiento y otra información adjunta en el DNI. Más tarde, un usuario en un foro de Internet ofrecía la venta de "toda la información" que está en el documento argentino. Este miércoles el RENAPER, el organismo encargado de realizar la identificación de todas las personas del país, dijo que no fue víctima de un hackeo. Sin embargo, señaló que detectó un "uso indebido de usuario o robo de la clave del mismo".
El comunicado del organismo detalla que el sábado 9 de octubre se enteraron que la cuenta de Twitter "aniballeaks", que se encuentra suspendida por una denuncia, publicó imágenes de 44 personas. Alertados por esta situación, el equipo de seguridad procedió a realizar una consulta sobre los involucrados en el Sistema de Identidad Digital (SDI). La misma reveló que 19 de las imágenes habían sido consultadas en el sistema en el mismo momento en que fueron publicadas en la red social. La conexión, según el la versión oficial, fue por VPN (Red Privada Virtual) entre el RENAPER y el Ministerio de Salud de la Nación.
Precisamente, el mencionado sistema permite validar la identidad a distancia y en tiempo real con el RENAPER. Este arroja datos contenidos en el Documento Nacional de Identidad de cualquier argentino con solo introducir su DNI y sexo. Luego del análisis, la oficina dependiente del Ministerio del Interior aseguró que todas las imágenes publicadas en Twitter habían sido consultadas desde la misma conexión VPN. Por lo tanto, llegaron a la conclusión que no ocurrió un "acceso no autorizado a sus sistemas o una filtración masiva de datos".
Repercusiones de la filtración de datos del RENAPER
Consultado por Hipertextual sobre si los ciudadanos deberían preocuparse a futuro por este antecedente, el abogado Daniel Monastersky, quien junto a Facundo Malaureille solicitó que se investigue un posible delito, dijo que "es apresurado poder evaluar lo que puede llegar a suceder porque no hay información fehaciente aún".
El letrado, quien también se desempeña como director del Centro de Estudios en Ciberseguridad del CEMA, pidió que se notifique a los damnificados. En ese sentido, señaló que "la normativa argentina en relación a la protección de datos tiene muchos años" y que, a diferencia del RGPD europeo, hay recomendaciones de informar este tipo de data breaches, pero no es obligatorio.
Lo cierto es que el problema no solo radica en la circulación indebida de datos para suplantar la identidad de los damnificados. También está incluido el número de trámite del DNI. Se trata de un elemento fundamental para realizar trámites a distancia en la Administración Nacional de la Seguridad Social (ANSES). Este también es requerido por la App CuiAR con la que se puede hacer un autodiagnóstico de síntomas de COVID-19.