Alerta por el hackeo de las licencias de conducir y el Renaper: cómo afecta a tu seguridad digital
Unas 5,7 millones de imágenes de frente y dorso de licencias de conducir fueron sustraídas de los servidores de la Agencia Nacional de Seguridad Vial (ANSV), según se difundió el martes, en un hecho con escasos antecedentes en la Argentina. Y a los pocos días se conoció un episodio similar en el Registro Nacional de las personas (Renaper)
Basta mirar nuestro carnet de conductor para saber que han quedado expuestos datos personales como los siguientes:
- Nombres completos.
- Número de DNI.
- Domicilio.
- Imagen de la firma.
- Tipo de vehículos que podemos conducir.
- Si somos donantes de órganos.
- Grupo sanguíneo.
- CUIL.
- Restricciones y datos médicos sobre alergias, problemas de visión o cualquier otro que pueda disminuir las habilidades de conducción.
Las dimensiones del hackeo a las licencias de conducir
Nadie puede estar tranquilo al saber que semejante cantidad de información personal ha quedado expuesta. Ahora bien, ¿cuáles son las implicancias de este hecho? "Son tres las dimensiones que tenemos que mirar como preocupantes", afirmó ante iProfesional Andrés Piazza, abogado y director del Instituto de Desarrollo Digital de Latinoamérica y el Caribe (IDDLAC).
"La primera es el incumplimiento de la Ley de Protección de Datos Personales que ha sido vulnerada al quedar expuestas las imágenes de las licencias de conducir; la segunda es el peligro de sufrir acciones de sustitución de identidad al que quedan expuestos los ciudadanos teniendo en cuenta que están a la venta su foto, número de documento y su firma manuscrita; y la tercera es más colectiva, tiene que ver con la protección de los activos estratégicos del estado que no se están cuidando correctamente", advirtió Piazza.
Esta última referencia puede resultar especialmente peligrosa en tiempos en los cuales está bajo permanente cuestionamiento el rol del Estado y sus responsabilidades. "Frente a esto a alguien se le podría ocurrir reclamar que la conducción sea libre y sin intervención del Estado si éste no cumple con su función de proteger los datos que recaba", estimó el especialista. Piazza agregó que observa cierta liviandad en el manejo de los activos estratégicos, lo cual en algún momento puede generar consecuencias porque este tipo de eventos están naturalizados.
¿Cómo se hizo el hackeo de la base de datos de las licencias de conducir?
Desde Eset, empresa especializada en ciberseguridad, Fabiana Ramírez Cuenca, investigadora de seguridad informática, señaló ante iProfesional que este tipo de hackeos se observan con mucha frecuencia. En esta empresa catalogan su gravedad de acuerdo con el daño que ocasiona a la organización afectada. "Si bien no sabemos exactamente cómo sucedió el hackeo sí podemos catalogarlo como grave por la cantidad de información filtrada", señaló.
Para prevenir este tipo de incidentes desde el Equipo de Respuesta frente a Incidentes de Ciberseguridad (CERT) recomiendan tanto a organismos como a empresas seguir una serie de lineamientos para disminuir el riesgo de que este tipo de ataques resultes exitosos para el ciberdelincuente.
"Si siguieran estos lineamientos es probable que esto no hubiera ocurrido", sostuvo la investigadora de Eset. "A pesar de no saber cómo sucedió, tenemos información de que no fue un ataque de ransomware, o una infección con un malware conocido", dijo Ramírez Cuenca.
"Nos queda pensar que simplemente alguien pudo acceder al sistema y robar los datos por ejemplo utilizando el usuario y la contraseña de un empleado", estimó, lo que implicaría estar frente a una de las modalidades más básicas del ataque informático y que el organismo estatal no habría cumplido con las recomendaciones del CERT.
En el mundo del hacking se sabe que la primera etapa de un intento de ataque es la de reconocimiento en la cual el atacante comienza buscando entre otras cosas, usuarios con contraseñas débiles. Una técnica de las más simples.
Luego para tareas más complejas se utilizan diferentes softwares que buscan vulnerabilidades, brechas de seguridad en el sistema a atacar. "En esta ámbito sabemos que el eslabón más débil siempre es el usuario, podemos mantener actualizados constantemente los sistemas de protección de la información, pero sin educación al empleado, es inútil", afirmó Ramírez Cuenca.
La especialista señaló además que la Argentina se encuentra en la misma escala de ataques informáticos recibidos por el resto de los países de la región aunque por debajo de Brasil o México que sufren mayor cantidad de intentos de hackeos producto de su mayor grado de digitalización.
¿Qué pueden hacer los delincuentes con los datos de las licencias de conducir?
Desde la Fundación Sadosky, Marcela Pallero, responsable del Programa de Seguridad en TIC, confirmó ante iProfesional que "la Argentina es tan vulnerable como otros países, tal vez acá habría que ver si ponemos todos los recursos para prevenir y dar respuesta a este tipo de incidentes de ciberseguridad, el tratamiento desde el punto de vista institucional es incipiente en toda América latina".
Pallero coincidió en señalar como grave la filtración sufrida por la ANSV por el caudal de datos personales que han quedado expuestos. Sobre los posibles usos que pueden darle a esta información los ciberdelincuentes estimó que pueden ser destinados a suplantación de identidad y a engaños de la más variada especie.
"A estar atentos, que nada de lo que contenga una licencia de conducir sea citado en una comunicación como prueba de algo. Tal vez llamen diciendo que saben el grupo sanguíneo haciéndose pasar por una institución de salud, por ejemplo", dijo Pallero, quien remarcó la necesidad de estar más atentos que nunca frente al creciente riesgo de caer en intentos de estafas.
El autor del hackeo a la ANSV vende esa información que ocupa 1,25 TB a quien quiera descargarla, a cambio de unos 3 mil dólares, según informó el diario porteño Clarín. ¿Los damnificados por la filtración de sus datos personales podrían demandar el Estado?
Al respecto Piazza, señaló que "las demandas colectivas son propias del derecho anglosajón, en nuestro caso suelen estar a cargo de organizaciones de consumidores, para el caso de servicios públicos, por el contrato de interés legítimo, los afectados podrían organizarse en grupos para iniciar la gestión de una demanda colectiva".