Hechos clave:
-
La base de datos estuvo expuesta dos semanas antes de hallar la vulnerabilidad.
-
La información corresponde a ciudadanos que residen en la provincia de San Juan.
Una falla de seguridad expuso durante dos semanas los datos personales de más de 115.000 usuarios de la provincia de San Juan en Argentina. La información pertenece, en su mayoría, a trabajadores del sector salud quienes habían solicitado permisos para circular durante la cuarentena por el coronavirus y la enfermedad COVID-19.
La vulnerabilidad fue detectada por la firma de ciberseguridad Comparitech, que alertó al Ministerio de Salud y a la Dirección Nacional de Ciberseguridad. La base de datos fue eliminada en una primera ocasión, sin embargo, los datos volvieron a estar disponibles en línea sin que se explicara el motivo. A finales de julio la información fue borrada por segunda vez.
En el reporte, Comparitech afirmó que los datos comprometidos incluyeron: número de DNI (identificación nacional), número CUIL (identificación fiscal), género, fecha de nacimiento, fotos, número de teléfono y dirección de correo electrónico. Al tratarse de información para solicitar permisos de circulación también se expusieron datos de empleadores, ubicación de empresas y hasta tipos de negocios. La compañía de monitoreo informático alertó sobre lo ocurrido:
El sistema de solicitud de permisos de circulación es vulnerable al abuso. Los delincuentes podrían obtener permisos en nombre de otra persona y utilizarlos para eludir las restricciones de la cuarentena. Los solicitantes también deben estar atentos a los intentos de phishing y estafas dirigidas.
Comparitech.
Los investigadores encontraron un mayor riesgo ya que al momento de ser detectada la vulnerabilidad, el sistema había sido infiltrado por un «bot» o robot automatizado que destruye bases de datos expuestas. No obstante, en el caso argentino el «bot» dejó intacta la información sin que se explicaran los motivos.
Del lado gubernamental, Raúl Rodríguez, subsecretario de Infraestructura Tecnológica de San Juan, indicó a medios locales que se estaban realizando auditorías a la base de datos y «sobre cualquier otro sistema que pueda ser target (objetivo) de la información que fue vulnerada».
Seguridad, datos y coronavirus
La exposición de los datos personales en Argentina abrió de nuevo el debate sobre el manejo de información sensible en tiempos de coronavirus y COVID-19. Al ser los organismos del Estado los que están en primera línea de lucha contra la enfermedad, también debería garantizarse la privacidad y seguridad de los datos que se manejan.
Para Comparitech «el Ministerio de Salud de Argentina se queda corto en cuanto a privacidad», algo que podría ocurrir en otras dependencias oficiales. También hay que mencionar que la recopilación de datos no solo se realiza para conceder permisos de circulación, sino que existe otra aplicación a través de la cual el ministerio capta datos para comprobar si una persona está infectada de COVID-19.
El manejo de información por parte de las autoridades para rastrear el avance del coronavirus está incidiendo en los niveles de privacidad de los usuarios. Un caso relacionado ocurrió en abril en España, cuando el consorcio blockchain Alastria presentó una propuesta a la Agencia Española de Protección de Datos (AEPD) para modificar el Real decreto de alarma por coronavirus.
CriptoNoticias informó hace cuatro meses que la organización buscaba respaldar la iniciativa del gobierno de rastrear a los ciudadanos a través de la geolocalización de sus dispositivos móviles. La medida se utilizaría, en teoría, de forma temporal para obtener datos de sus ciudadanos y hacer un mapa general de sus movilizaciones.
