-
La base de datos estuvo expuesta dos semanas antes de hallar la vulnerabilidad.
-
La informaciรณn corresponde a ciudadanos que residen en la provincia de San Juan.
Una falla de seguridad expuso durante dos semanas los datos personales de mรกs de 115.000 usuarios de la provincia de San Juan en Argentina. La informaciรณn pertenece, en su mayorรญa, a trabajadores del sector salud quienes habรญan solicitado permisos para circular durante la cuarentena por el coronavirus y la enfermedad COVID-19.
La vulnerabilidad fue detectada por la firma de ciberseguridad Comparitech, que alertรณ al Ministerio de Salud y a la Direcciรณn Nacional de Ciberseguridad. La base de datos fue eliminada en una primera ocasiรณn, sin embargo, los datos volvieron a estar disponibles en lรญnea sin que se explicara el motivo. A finales de julio la informaciรณn fue borrada por segunda vez.
En el reporte, Comparitech afirmรณ que los datos comprometidos incluyeron: nรบmero de DNI (identificaciรณn nacional), nรบmero CUIL (identificaciรณn fiscal), gรฉnero, fecha de nacimiento, fotos, nรบmero de telรฉfono y direcciรณn de correo electrรณnico. Al tratarse de informaciรณn para solicitar permisos de circulaciรณn tambiรฉn se expusieron datos de empleadores, ubicaciรณn de empresas y hasta tipos de negocios. La compaรฑรญa de monitoreo informรกtico alertรณ sobre lo ocurrido:
El sistema de solicitud de permisos de circulaciรณn es vulnerable al abuso. Los delincuentes podrรญan obtener permisos en nombre de otra persona y utilizarlos para eludir las restricciones de la cuarentena. Los solicitantes tambiรฉn deben estar atentos a los intentos de phishing y estafas dirigidas.
Comparitech.
Los investigadores encontraron un mayor riesgo ya que al momento de ser detectada la vulnerabilidad, el sistema habรญa sido infiltrado por un ยซbotยป o robot automatizado que destruye bases de datos expuestas. No obstante, en el caso argentino el ยซbotยป dejรณ intacta la informaciรณn sin que se explicaran los motivos.
Del lado gubernamental, Raรบl Rodrรญguez, subsecretario de Infraestructura Tecnolรณgica de San Juan, indicรณ a medios locales que se estaban realizando auditorรญas a la base de datos y ยซsobre cualquier otro sistema que pueda ser target (objetivo) de la informaciรณn que fue vulneradaยป.
Seguridad, datos y coronavirus
La exposiciรณn de los datos personales en Argentina abriรณ de nuevo el debate sobre el manejo de informaciรณn sensible en tiempos de coronavirus y COVID-19. Al ser los organismos del Estado los que estรกn en primera lรญnea de lucha contra la enfermedad, tambiรฉn deberรญa garantizarse la privacidad y seguridad de los datos que se manejan.
Para Comparitech ยซel Ministerio de Salud de Argentina se queda corto en cuanto a privacidadยป, algo que podrรญa ocurrir en otras dependencias oficiales. Tambiรฉn hay que mencionar que la recopilaciรณn de datos no solo se realiza para conceder permisos de circulaciรณn, sino que existe otra aplicaciรณn a travรฉs de la cual el ministerio capta datos para comprobar si una persona estรก infectada de COVID-19.
El manejo de informaciรณn por parte de las autoridades para rastrear el avance del coronavirus estรก incidiendo en los niveles de privacidad de los usuarios. Un caso relacionado ocurriรณ en abril en Espaรฑa, cuando el consorcio blockchain Alastria presentรณ una propuesta a la Agencia Espaรฑola de Protecciรณn de Datos (AEPD) para modificar el Real decreto de alarma por coronavirus.
CriptoNoticias informรณ hace cuatro meses que la organizaciรณn buscaba respaldar la iniciativa del gobierno de rastrear a los ciudadanos a travรฉs de la geolocalizaciรณn de sus dispositivos mรณviles. La medida se utilizarรญa, en teorรญa, de forma temporal para obtener datos de sus ciudadanos y hacer un mapa general de sus movilizaciones.