POR DiegoMasci

La ULP envuelta en un escandalo nacional por posible filtración de datos personales

Luego del escándalo de los expedientes digitales del gobierno

Un gravísimo error, en el que se habría incurrido al desarrollar la plataforma pase.sanluis.gov.ar, perteneciente al gobierno de la provincia de San Luis y que fuera realizada por la Universidad de La Punta que dirige Alicia Bañuelos, habría dejado en estado de absoluta indefensión a los datos particulares de los cuarenta y cinco millones de argentinos.

Según lo manifestado por especialistas en ciberseguridad, cualquiera que ingresaba un numero de documento al azar, podría haber obtenido los datos personales que figuran en el DNI y pasaporte, incluyendo la foto, de la persona a quien le correspondía ese número de DNI.

El sueño de los falsificadores de documentos y pasaportes y de las empresas que se dedican a comercializar bases de datos de los ciudadanos, de modo ilegal, pudieron acceder sin trabas a  información sensible de los ciudadanos argentinos. Gracias a la ineficiencia de la rectora y el data center local, habrían cumplido su sueño.

La página fue puesta en marcha desde la ULP para que los ciudadanos de San Luis, realicen su pedido de autorización para circular en el territorio provincial. En su desarrollo, no tuvieron en cuenta ninguna cuestión de ciberseguridad básica, quienes ingresaban colocando la url http://pase.sanluis.gov.ar/FotoDni.aspx?Dni=$i y a continuación un número de DNI (no importa que numero) podían acceder a la foto y datos que el RENAPER posee del titular de ese DNI.

Este medio tuvo acceso a material que da cuenta de como se accedía libremente a los datos de los ciudadanos, a modo de preservar esa información sensible de los actores involucrados y que ya no es de libre acceso, no han sido incorporados a esta nota.

A modo de ejemplo, quien ingresaba el DNI de la Jefa de Gabinete de Alberto Rodríguez Saá, Natalia Zabala Chacur, (su número figura en el decreto de designación en el cargo, un documento público) podía acceder a la foto que ella posee en su DNI o Pasaporte.

Quien dio cuenta del grave error el pasado martes, fue el especialista informático Javier Smaldone, en su cuenta de twitter @mis2centavos publicó un hilo de tweet dando cuenta de la vulnerabilidad del sistema. “Una provincia argentina armó un sitio web para solicitar permisos para entrar o salir (por la pandemia de #COVID19). Y dejó expuestos TODOS los datos del padrón (de ciudadanos de todo el país). Pero #ciberpatrullaje, cibersarasa y coso...”  escribió en el mediodía del 21 de abril para luego agregar “Y no, no hace falta hackear nada. Los brutos dejaron un endpoint de una API abierto, es cuestión de pegarle y te devuelve los datos. Este país es una joda...”

En la madrugada de hoy, Smaldone publicó que el sistema había sido arreglado “ADENDA: Parece que arreglaron la filtración de datos del DNI (aunque seguro ya se filtraron), pero también explusieron LAS FOTOGRAFÍAS de todos nosotros (que seguramente también están en manos de alguien, o de varios, o a la venta por ahí). Pero #ciberpatrullaje, saqueo y coso.”

Por lo que expresan algunos especialistas, solo se habría colocado una capa de seguridad, pero el sistema sigue siendo altamente vulnerable.

No obstante, sigue sin preservar datos de quienes estan autorizados para circular, - hasta ayer estaban lilberados todosl os numero de DNI - una prueba de ello es que cualquiera que accede a la pagina realizada por la provincia, y coloca el numero de DNI de los funcionarios, podrá acceder sin ninguna restricción a los datos que figura en el permiso que estos tienen para circular.

A todos luces y para que se comprenda la magnitud de la gravedad de la filtración de datos a la que pudo haber sido sometida la base de datos, el error que habría cometido la Universidad de la Punta es una filtración de datos que permite a cualquier banda u organización criminal que se dedica a realizar fraudes informáticos a poder acceder a una información sensible que el estado debería resguardar.

Lo que cabe preguntar si el famoso y muy llamativo corte de luz, del domingo pasado, que dejo sin sistema durante horas a la autopista de la información, no esta relacionado con algun ataque informatico sufrido por la base de datos. Recien en la madrugada del viernes 24, el sistema se tornó un poquito menos vulnerable