Luego de que un ciberdelincuente publicara este martes un expediente a la venta con imágenes del anverso y reverso de 5,7 millones de licencias de conducir argentinas, y que otro usuario subiera registros del Renaper, la pregunta sobre qué riesgos implica para los afectados es una de las más escuchadas: ¿Por qué es peligroso que se filtren datos personales como documento, dirección y nombre completo? ¿Qué se puede hacer con información específica de los registros, como firma, grupo sanguíneo y si el conductor es o no donante de órganos?
Las filtraciones, o “fugas”como se les conoce en el entorno de la ciberseguridad (así se dice en inglés), implican que se da a conocer información interna de un Estado, empresa o entidad, que no pretende ser pública. Hay diferentes tipos de fugasde menor importancia, a otros más peligrosos.
Ahora, durante las últimas tres semanas, Argentina fue protagonista de grandes filtraciones. El primero ocurrió a principios de mes, cuando un ciberdelincuente regaló en un foro clandestino y en Telegram fotografías de argentinos extraídas de un sistema relacionado con el Renaper. La segunda fue cuando el mismo usuario subió una base de datos de usuarios de Nosis, un sitio muy utilizado que ofrece “información ciudadana estratégica” e incluye direcciones, documentos, números de teléfono y otros datos como relaciones laborales y registros financieros. Y este miércoles apareció otro del Renaper.
Esta semana le tocó el turno a una base de datos de licencias de conducir, y el atacante lanzó una provocación al Presidente de la Nación. Javier Milei, y la ministra de Seguridad, Patricia Bullrichexponiendo sus licencias en el archivo de muestra que vende.
¿Qué se puede hacer con esta información? ¿Qué tipo de gravedad es?
¿Qué peligros existen con esta filtración de licencia?
Consultado sobre este caso específico, Alejandro Botter, Gerente de Ingeniería de Seguridad de la empresa de ciberseguridad Check Point, enumeró el tipo de problemas que se desatan con una filtración.
“En cuanto al impacto de las filtraciones de información, la primera y más común suele ser la financiera, donde sucede que el El ciberdelincuente se hace pasar por la persona. y contratar servicios o solicitar un préstamo a nombre de la persona. El segundo punto es el daño a la reputación de las empresas y entidades que tienen información sobre las personas afectadas, poniendo en duda cómo se está haciendo el manejo actual de esa información”, explicó.
“En referencia a estas recientes filtraciones de información, hay que mencionar que estamos entrando en una nueva era de robo de identidad o suplantación de identidad. El ciberatacante lo que hace es armar un rompecabezas con toda esta información disponible, por lo que estas filtraciones constituyen una gran fuente, logrando una mayor efectividad. En combinación con lo anterior, una de las tendencias para 2024 es el aumento de los ataques deepfake, donde el ciberdelincuente copia imagen y sonido, pudiendo generar incluso la voz y el rostro de la víctima”, agregó.
«El tercero, y no menos importante, es el impacto emocional en las personas, donde la pérdida financiera o la invasión de su privacidad al ver su información pública puede conllevar una carga emocional significativa», añadió.
También existe el riesgo de caer en el “SIM swapping”: “Un último caso que también me gustaría mencionar es el ataque conocido como ‘SIM Swapping’, en el que el ciberdelincuente se hace pasar por el teléfono de la víctima, que tiene contraseñas que «son enviados por SMS, acceso a redes sociales o herramientas de mensajería como WhatsApp.»
“En SIM Swapping el robo de identidad es clave para la empresa que brinda ese servicio telefónico y ahí tenemos una conexión con toda esta filtración de información: mientras más información tengas sobre esa persona, más fácil te resultará hacer” ese robo de identidad. ”, concluyó el analista.
En ello coincidió David Pérez, responsable de Servicios de Ciberseguridad de Security Advisor, y enumeró el tipo de riesgos que corren los ciudadanos con estas filtraciones.
- Violación de la privacidad: la filtración de datos puede provocar la exposición de información personal confidencial, como detalles financieros, registros médicos o comunicaciones personales, lo que lleva a violaciones de la privacidad de las personas.
- Robo de identidad: la información personal robada puede utilizarse para robo de identidad, fraude, acceso a cuentas financieras o realización de actividades ilegales.
- Pérdidas financieras: la fuga de datos puede provocar pérdidas financieras para las personas si su información financiera se ve comprometida y se utiliza para realizar transacciones no autorizadas.
- Daño a la reputación: un país que sufre violaciones generalizadas de datos puede dañar su reputación como lugar seguro para vivir y hacer negocios.
- Riesgos de seguridad nacional: cuando corresponda, las fugas de datos también pueden plantear riesgos de seguridad nacional si información confidencial relacionada con actividades gubernamentales se expone a partes no autorizadas.
- Consecuencias legales: la fuga de datos puede dar lugar a acciones legales contra el país o las entidades responsables de la violación.
Finalmente, hay dos datos cuya publicidad presenta una situación más preocupante. “La filtración de la firma es lo realmente grave de este caso. Junto con la información sobre si el conductor es donante de órganos o no, son dos datos realmente preocupantes”, afirmó una fuente especializada en análisis de amenazas.
Datos personales y datos sensibles: la diferencia
Una distinción que se debe hacer es Qué son los datos personales y qué son los datos sensibles. No todos los datos personales son sensibles, pero, en lo que respecta a los ciudadanos, los datos sensibles son un tipo específico de dato personal.
“Datos sensibles son datos que se refieren a la esfera íntima de una persona y cuya utilización, sin el consentimiento de su titular, puede dar lugar a discriminación o vulnerar aspectos de su privacidad. El artículo 2 de la Ley 25326 define dato sensible como aquel que denota origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información sobre la salud o la vida sexual del titular de los datos”, explicó a Clarín María Luján Gallego, abogada del despacho Brons & Salas, especializada en Protección de Datos.
“Dato personal es cualquier dato a través del cual se pueda identificar a una persona, como, por ejemplo: nombre, apellido, dirección, número de teléfono, correo electrónico, entre otros”, agregó. Las licencias tienen nombre completo, dirección, fecha de nacimiento, firma, grupo sanguíneo y si el conductor es donante de órganos.
En el caso de esta filtración, “la licencia contiene ciertos datos personales, que podrían considerarse sensibles, al tratarse de datos médicos, ¿Cuál es el grupo sanguíneo y el factor?”, aseguró.
La responsabilidad del Estado ante las filtraciones
“Es muy importante que se salvaguarden los datos personales de los ciudadanos. Cada filtración no sólo compromete la privacidad individual, sino que también puede socavar la confianza en las instituciones. La protección de datos, además de un deber ético, Hoy en día es una necesidad evitar riesgos como el robo de identidad, la manipulación de información sensible y el potencial daño a la seguridad nacional. Garantizar la seguridad de los datos significa proteger la integridad de la sociedad en su conjunto”, añadió Pérez de Security Advisor.
Sobre qué responsabilidad recae en el Estado, Gallego explicó: “El Estado resulta responsable de no tener medidas robustas de seguridad informática, a los efectos de prevenir este tipo de delitos. Es evidente que el Estado debe tomar en serio la ciberseguridadimplementar medidas de seguridad con el fin de prevenir y mitigar riesgos, en pos de la seguridad de los ciudadanos”.
Curiosamente, el atacante que filtró los datos del permiso de conducir está de acuerdo con esto. Consultado sobre por qué filtró los datos, aseguró: “Es para que Argentina cambie de rumbo y se tome en serio la ciberseguridad”.
Esta última filtración de licencias, junto con la nueva del Renaper, conforman un caso más de olvido de datos en Argentina. Aunque este problema no es sólo local, ya que gobiernos como el de Estados Unidos han tenido acceso no autorizado a sus bases de datos, nuestro país ha sumado así un nuevo incidente.
Solo para recordarles, en marzo de 2022, un conocido grupo de ransomware, Vice Society, publicó 30 mil archivos con información interna del Senado de la Nación. Ese mismo año, en septiembre, la Legislatura porteña fue atacada por otro conocido grupo clandestino (Play).
A diferencia de estos casos, tanto el de las 115 mil fotos del Renaper como Nosis y ahora estas licencias de conducir fueron filtradas por un solo usuario y no por un grupo organizado.
Las penas por estos delitos que Argentina establece para estos casos van de un mes a dos años, según el artículo 32 de la ley 25.326.