Filtración de datos personales en el Renaper: ¿qué es y qué consecuencias puede tener?

El 17 de abril último se publicó información personal de ciudadanos y ciudadanas argentinas, almacenada en el Registro Nacional de las Personas (Renaper), en un foro de compra y venta de datos personales. La información contenía documentos de identidad, fotos y huellas dactilares.

Algunos usuarios en redes sociales aseguraron que se trataba de un nuevo hackeo. Ante la noticia, el Renaper, que depende del Ministerio del Interior de la Nación, publicó un comunicado que niega que se trate de un hackeo: “A raíz de versiones que circularon en las últimas horas, desde el equipo técnico del Renaper y la empresa de ciberseguridad Danaide SA queremos llevar tranquilidad confirmando que no existió un hackeo a la base de datos del organismo ni una nueva filtración de información”.

¿Qué se sabe sobre este tema? ¿Y por qué debería importarnos que nuestros datos hayan sido filtrados? ¿Qué son la deep web y la dark web y para qué podrían usar nuestros datos quienes los compran ahí? Te lo explicamos en esta nota. 

¿Qué pasó con los datos del Renaper?

Según publicó en su página el especialista Juan Brodersen, el miércoles 17 de abril comenzó a circular un enlace con un posteo en el que un usuario decía tener datos de 65 millones de registros del Renaper. “Estaba alojado en Breach Forums, histórico sitio donde se comercializan y ofrecen datos personales (…). Nos llegó a periodistas y gente del ambiente”, señaló.

De acuerdo a lo explicado por Brodersen, los datos filtrados podrían incluir: huellas digitales, imágenes de documentos de identidad, información de COVID-19 de pasajeros y domicilios de extranjeros que viven en el país.

Luego de que se conociera la noticia sobre el supuesto nuevo hackeo, el Renaper explicó que en realidad no era una nueva filtración sino datos de otra que había ocurrido en 2021. 

“Un usuario del Ministerio de Salud que tenía clave en 2021 vendió esa información en Internet. No se trata de un hackeo, porque era un usuario con clave habilitada. Fue un uso indebido de la información”, señalaron a Chequeado desde el área de Comunicación del Ministerio del Interior. Y en uno de los nuevos comunicados agregaron: “Los especialistas en seguridad informática del organismo descartaron una filtración masiva de información o una vulneración de la base de datos”.

El 13 de octubre de 2021 el Renaper explicó en un comunicado que el día anterior el organismo había realizado una denuncia penal en la Justicia Federal “tras detectar que, mediante el uso de claves otorgadas a organismos públicos, en este caso el Ministerio de Salud, se filtraron imágenes como perteneciente a trámites personales realizados en el Renaper”. 

A raíz de ese hecho, Renaper cambió la modalidad de los servicios para reforzar la seguridad de cada procedimiento, según explicaron a este medio.

¿Qué contienen y dónde se encuentran los datos filtrados?

Chequeado consultó a Emiliano Piscitelli, especialista en seguridad informática y director del grupo de investigación en Ingeniería Social de la Universidad Tecnológica Nacional (UTN) de La Plata, quien explicó: “Los datos son de 2021, algunos de 2022, como mucho. Eso se pudo ver. Son datos que están disponibles en sitios en dark y deep web, pero obviamente es ilegal acceder a esos datos”.

Por su parte, ante la consulta de este medio, Cristian Borghello, licenciado en Sistemas por la UTN y especialista en ciberseguridad, indicó que el conjunto de datos filtrados se divide en 2 partes. En primer lugar, datos de ciudadanos correspondientes al DNI con fechas de nacimiento hasta julio de 2022.

Por otro lado, “código fuente PHP de las aplicaciones internas de Renaper y datos de API y webservices que utilizan otras empresas y organizaciones para consumir servicios del organismo. La fecha de modificación de estos archivos también se corresponde con lo anterior”. 

Un código fuente es una estructura de datos y comandos que le indican al navegador lo que debe mostrar en el sitio web, y PHP es un tipo de lenguaje de programación de código abierto. API es una pieza de código que permite a diferentes aplicaciones comunicarse entre sí y compartir información, mientras que los webservices son tecnología que utiliza un conjunto de protocolos y estándares que sirven para intercambiar datos entre aplicaciones.

Según los especialistas, la filtración es preocupante por tratarse de datos sensibles que permiten acceder a los códigos del organismo. 

¿Qué son la deep web y la dark web? ¿Para qué se venderían estos datos?

“La deep web es simplemente contenido no indexado en los buscadores, mientras que la dark web es una pequeña porción de la deep web diseñada para el anonimato y, por lo tanto, también utilizada para actividades ilegales”, explicó Daniel Monastersky, abogado especializado en ciberseguridad y protección de datos, a este medio.

Y agregó: “Es importante tener en cuenta que la gran mayoría del contenido en la deep web es perfectamente legal y necesario para el funcionamiento de Internet”. 

Borghello explicó a este medio que los datos filtrados están disponibles en un foro público de Internet y en la dark web en un dominio “.ONION”: “Originalmente eran 2 dominios, pero luego se dio de baja uno de ellos. Este dominio aún permanece activo y los datos aún pueden descargarse de forma parcial, ya que algunos de ellos han sido eliminados por el delincuente”.

“A pesar que los delincuentes quieren poner un manto ‘romántico’ sobre este robo de datos y dicen que ‘es para que el Estado piense en ciberseguridad’, la realidad es que estos datos son comercializados de forma ilícita con un único fin posible: hacer dinero”, agregó el especialista.

Piscitelli sumó que esos datos se suelen vender en “grupos de amenaza”, que son foros de hacking, en grupos de Telegram y en sitios en dark y deep web. “En este caso, hasta hace poco tiempo estaban disponibles. Lo que hacen es ofrecer una muestra de esto y te piden contactarse por algún medio específico (anónimo) para poder continuar con la gestión de la compra de los datos que no publicaron”, advirtió. 

¿Qué podemos hacer ante el robo de nuestros datos?

De acuerdo con Piscitelli, es importante estar atentos a la suplantación de identidad, a posibles estafas con esos datos y cada tanto tiempo chequear en bases de datos de deudores, para ver si alguien está usando nuestra identidad para sacar préstamos.

“Por otro lado, estar atentos por si hay una llamada con todos estos datos. Muchas veces te llaman de tal agencia, dicen que se infiltraron tantos documentos, te marean y te termina llevando a que hagas lo que ellos quieren”, advirtió. 

La especialista Beatriz Busaniche, directora de Fundación Vía Libre, explicó a Chequeado: si el robo de datos incluye toda la información más el número de trámite del DNI lo que uno puede hacer como medida defensiva es renovar el DNI, “para tener un número de trámite nuevo. Así, las credenciales para entrar al ANSES o a otro organismo del Estado van a tener otro enlace de ingreso. Pero más allá de eso no hay mucho que podamos hacer”. 

“El robo de identidad de una persona es grave porque te pueden meter en un delito, hacer gastos contra tu cuenta bancaria, o sacarte una cuenta bancaria y generar estafas”, advirtió Busaniche. 

Por su parte, Borghello, director de Segu-info -sitio especializado en seguridad de la información-, consideró que “los ciudadanos de a pie no podemos hacer nada ante el robo masivo de datos personales, a menos que todos decidamos cambiar nuestro DNI, lo cual tampoco asegura nada ante un eventual nuevo incidente”.

¿Qué debería hacer el Estado según los especialistas?

Respecto de lo que debería hacer el Estado, Monastersky, que además es director del Centro de Estudios en Ciberseguridad y Protección de Datos de la Universidad del CEMA, indicó que “es fundamental que se designe a un Delegado de Protección de Datos Personales (DPO) en cada entidad, tal como lo establece la Resolución 40/2018 de la Agencia de Acceso a la Información Pública (AAIP)”. 

Además, apuntó a que se debería invertir en infraestructura de ciberseguridad, implementar protocolos estrictos y actualizados de manejo de información sensible, capacitar exhaustivamente al personal en mejores prácticas de seguridad digital y establecer mecanismos de auditoría y monitoreo continuo para detectar y mitigar amenazas.

Por su parte, Borghello advirtió: “El Estado es el responsable y debe velar por dicha información, de acuerdo a leyes nacionales y estándares internacionales que dicen cumplir, pero que nunca han demostrado en la realidad. Por su parte, las empresas y organizaciones afectadas pueden y deben cambiar los datos de acceso a los recursos utilizados por Renaper”.