Hace unos días pusieron a la venta más de 100.000 datos de personas de nuestro país, obtenidos del Renaper; de dónde salieron y qué hay que hacer al respecto

Hace una semana, fueron publicadas en un foro de compra y venta de datos personales y en Telegram más de 114.000 fotos de ciudadanos argentinos extraídas del Renaper (Registro Nacional de las Personas). Cada archivo está acompañado del nombre completo de la persona y de su número de documento. Tiene el número de DNI o pasaporte de la persona, con numeraciones que comienzan en 10 millones hasta 57 millones (es decir, hay menores de edad) y está disponible en un archivo comprimido de 2,2 GB al mejor postor.

Esta no es la primera vez que se publica información de este tipo. En 2021, un usuario de Twitter con la cuenta @AnibalLeaks publicó fotos de los DNI de decenas de reconocidas personalidades. Aseguró que eso era solo una prueba de que podía tener acceso a información de todos los habitantes de la Argentina. Luego, filtró 60.000 datos más del Renaper.

Los datos fueron extraídos con claves del Ministerio de Salud hace 3 años. Hoy hay un proceso judicial en curso por este tema.

“En 2021, un usuario con claves habilitadas del Ministerio de Salud extrajo datos del Renaper mediante la generación de consultas, haciendo un uso indebido de la información obtenida. Los datos que circulan actualmente son producto de este incidente. Los especialistas en seguridad informática del organismo descartaron una filtración masiva de información o una vulneración de la base de datos”, le dijeron fuentes del Ministerio del Interior a LA NACION.

En este sentido, se trataría entonces de una nueva publicación de datos sensibles de ciudadanos argentinos, pero no de una nueva filtración. “Hasta este incidente, una consulta interna mediante una clave autorizada para organismos públicos permitía al usuario obtener todos los datos impresos en el DNI de una persona, incluyendo imagen y otros datos personales. A raíz del hecho, Renaper cambió la modalidad de los servicios para reforzar la seguridad de cada procedimiento y efectuó la denuncia penal correspondiente ante el Juzgado en lo Criminal y Correccional Federal N° 11 Secretaría N° 22″, señalan.

Luego de la filtración de datos, Renaper cambió la lógica de sus servicios de verificación de datos, es decir, modificó el sistema. “La verificación se genera puertas adentro del organismo y devolviendo al usuario solo mensajes del tipo verdadero/falso y vigente/no vigente, sin necesidad de transferir datos personales o imágenes ante cualquier consulta interna”, explican.

El organismo usa el sistema de identidad digital (SID) que es señalado por ellos como “inhackeable”. Lo que ocurrió en 2021 fue un uso indebido de la información, aseguran desde el Ministerio, y no un hackeo.

Hace dos años que el sistema aplica un mecanismo de consulta interna. Hay una doble verificación dentro de Renaper cada vez que un usuario de otro organismo del Estado le solicita información.

¿Podemos saber si fue filtrada información nuestra?

En principio, descargar este tipo de archivos que circulan en foros de compra y venta de datos personales o en Telegram es un delito. Y no existe un sitio donde consultar si nuestros datos de Renaper fueron filtrados. Cuando suceden estas filtraciones, el Estado debe notificarlo a la Agencia de Acceso a la Información Pública (AAIP) bajo orden judicial. Desde el Ministerio del Interior confirman que esto se ha hecho.

“Lamentablemente, a pesar de que hay una resolución (40/2018) de los modelos de protección de datos personales para organismos públicos, su efectiva implementación en la práctica por parte de los organismos públicos ha sido muy deficiente o nula. Muchas entidades públicas aún no han adoptado las pautas y garantías establecidas en esta resolución, lo que deja a los ciudadanos en una situación de vulnerabilidad respecto de la protección de sus datos personales”, señala Daniel Monastersky, Director del Centro de Estudios en Ciberseguridad y Protección de Datos de la Universidad del CEMA.

Esta resolución que cita no es una obligación legal (excepto que exista orden judicial) sino una recomendación. “Se trata de un compromiso ético y una responsabilidad fundamental del Estado que busca respetar los derechos y la privacidad de las personas”, agrega Monastersky.

¿Qué importa si tienen nuestros datos?

¿Para qué querrían nuestros datos los delincuentes? Para muchas cosas. Por ejemplo, para venderlos. En algunos casos, a otros delincuentes que cometen delitos tales como la suplantación de identidad.

En este sentido, las fotos y los datos podrían servir para abrir una cuenta en algunas billeteras virtuales o apps fintech. Este tipo de plataformas validan la identidad de forma 100% digital. También podrían servir para pedir préstamos o inclusive para crear deepfakes (aunque no solo con la foto del DNI) de una persona y engañar a algunos sistemas de biometría.

“Los bancos aprovechan estos momentos para reforzar sus comunicaciones. Todas las transacciones arriba de un mínimo o pedidos de crédito deberían tener doble sistema de autenticación. Con esta información filtrada hace unos años se podía dar de alta en una fintech medio pelo. Hoy ya no, requieren de mecanismos más sofisticados. En empresas argentinas y latinoamericanas ya hace tiempo que no se puede hacer eso”, advierte Ernesto Misle, Chief Data Scientist de 7Puentes.

Respecto del uso de las fotos de DNI, explica que no alcanzan para un deepfake (que permite simular el rostro de la víctima en cualquier expresión y posición para hacerla aparecer en un video o fotografía trucada): “Pero hay que pensar que son todos ingredientes para que un atacante tenga en su carpeta un montón de datos (a qué facultad vas, qué hacés en redes sociales, si usás anteojos y más) y con todo eso se compone alguna estrategia” que hará más veraz la estafa, agrega.

Una de las recomendaciones de algunos expertos en seguridad informática respecto de la publicación de datos de Renaper, es hacer de nuevo el DNI (que desde diciembre de 2023 tiene una nueva versión, más moderna, con un chip NFC integrado). Esto nos permitirá tener una nueva foto y número de trámite, por ejemplo. A propósito: el número de trámite no debe compartirse (salvo que lo pida un organismo oficial), y lo ideal es ocultarlo si nos piden una foto del DNI.

Y hay algo que deberíamos empezar a naturalizar (sin irnos a extremos fundamentalistas): hay que desconfiar de algunas llamadas o mails extraños o inusuales, aun si el remitente parece ser inocente; tanto si es un familiar o amigo que pide dinero por WhatsApp, alguien que nos llama en nombre de un organismo estatal por un trámite y nos pide datos extraños; siempre, ante la duda, hay que llamar o visitar una oficina de ese organismo para corroborar que el trámite que reclaman sea cierto, o que quien nos pide dinero efectivamente es nuestro conocido, y no alguien que se apoderó de su WhatsApp.