Masiva filtración del Renaper. Denuncian que hackearon la base de datos con más de 65 millones de registros del país
Desde el Ministerio del Interior, de quien depende el Renaper, negaron la filtración y aseguraron que no hubo ni hackeo, ni filtración
- 9 minutos de lectura'
Una nueva filtración de datos personales que tiene el Estado de la población argentina se puso a la venta en una web de hackers y generó preocupación porque el volumen y la magnitud de los registros. En concreto, lo que se ofrece es la base de datos completa del Registro Nacional de las Personas (Renaper) que supera los 65 millones de registros. Desde el Ministerio del Interior, de quien depende el Renaper, negaron denuncia y aseguraron que no hubo ni hackeo, ni filtración.
Según indicó el experto en Seguridad Informática, Cristian Borghello, la filtración incluye: código fuente, API, contraseñas. Fotos y huellas. “Esta publicación es peor que las anteriores (si cabe) porque han publicado el código fuente, las APIs y los accesos a los web services”, detalló a través de su cuenta de X, en la que adjuntó capturas de pantallas de los datos que se ofrecen.
🚨🚨NO NO NO, @renaper_ar de nuevo NO!
— Cristian Borghello (@SeguInfo) April 17, 2024
Sí, de nuevo publican abiertamente 65 millones de registros de #RENAPER
No se puede creer lo que han publicado😭: BD, código fuente, API, contraseñas, TODO.
Fotos y huellas en venta.
IMPACTO INFINITO EN TODOS LOS SERVICIOS DE ARGENTINA. pic.twitter.com/Y7HXAAEVf8
Pasada las 21.30, el Ministerio del Interior, emitió un comunicado en el que indicó: “A raíz de versiones periódicas que circularon en las últimas horas, los equipos técnicos del Renaper y la empresa de ciberseguridad Danaide S.A confirmaron que no existió un hackeo a la base de datos del organismo ni una nueva filtración de información”.
“Además de que no se detectó ningún hackeo, los expertos de seguridad del organismo remarcaron que la capacidad necesaria para obtener la información de 65 millones de personas requeriría de una infraestructura similar a la fábrica de DNIs del Renaper y una cantidad de hardware cercana a la adquirida por el Gobierno nacional, dando por descartado que la información sea real. Asimismo, implicaría una capacidad de almacenamiento de 500 teras de storage, fuera de la escala de un hackeo”, detallaron en el texto.
El comunicado cierra: “Cualquier intento de obtener una cantidad tan grande de información hubiese sido detectada fácilmente por los servicios de ciberseguridad del Renaper, incluyendo la empresa Danaide SA, contratada en 2021 mediante licitación pública. Se trataría además de una operación de semanas o meses de duración, siendo imposible de ejecutar en un solo día”.
La denuncia de hace dos semanas
Un par de semanas atrás, se habían publicado en un foro de compra y venta de datos personales y en Telegram más de 114.000 fotos de ciudadanos argentinos extraídas del Renaper. Cada archivo, decía la publicación, estaba acompañado del nombre completo de la persona y de su número de documento. Tenía el número de DNI o pasaporte de la persona, con numeraciones que comienzan en 10 millones hasta 57 millones (es decir, había menores de edad) y estaba disponible en un archivo comprimido de 2,2 GB al mejor postor.
Los ataques y filtraciones, no son algo nuevo, en 2021, un usuario de Twitter con la cuenta @AnibalLeaks publicó fotos de los DNI de decenas de reconocidas personalidades. Aseguró que eso era solo una prueba de que podía tener acceso a información de todos los habitantes de la Argentina. Luego, filtró 60.000 datos más del Renaper.
Los datos fueron extraídos con claves del Ministerio de Salud hace 3 años. Hoy hay un proceso judicial en curso por este tema.
“En 2021, un usuario con claves habilitadas del Ministerio de Salud extrajo datos del Renaper mediante la generación de consultas, haciendo un uso indebido de la información obtenida. Los datos que circulan actualmente son producto de este incidente. Los especialistas en seguridad informática del organismo descartaron una filtración masiva de información o una vulneración de la base de datos”, le dijeron fuentes del Ministerio del Interior a LA NACION.
Ayer vendían las licencias de conducir a 3700 dólares
Ayer también circuló por Internet la posible filtración de la base de datos con más de cinco millones de las licencias de conducir de la Argentina, entre las que se incluyen las del presidente Javier Milei, y los ministros Patricia Bullrich y Luis Petri. Desde el Gobierno dijeron que “no se encuentran comprometidas ni la base de datos, ni la información sensible”.
Según reportó el grupo de expertos en ciberseguridad, birminghamcyberarms.co.uk, la base de datos de las licencias de conducir nacionales fue robada y puesta a la venta. En concreto, lo que se ofrece a 3700 dólares en la dark web, es la base de datos completa con casi seis millones de licencias registradas en la DNRPA (Dirección Nacional de Registro de Propiedad del Automotor).
A modo de prueba de la veracidad de la filtración, los hackers mostraron los datos del presidente Javier Milei y algunos de sus ministros. Además, sumaron capturas de las fichas de famosos como Marcelo Tinelli y Tini Stoessel.
Entre los datos que incluía la base, de 1,25 terabytes, está la credencial de ambos lados y toda la información que allí consta como: nombre completo, foto, QR, género, nacionalidad, fecha y lugar de nacimiento, dirección, tipo y grupo sanguíneo y nivel de licencia.
Desde la Secretaría de Transporte de la Nación, ante la consulta de LA NACION, hicieron llegaron un comunicado de tres párrafos en el que detallaron: “La Agencia Nacional de Seguridad Vial (ANSV) comunica que un grupo de hackers profesionales accedió a un caudal acotado de información que se utiliza para la confección de las licencias digitales. Afortunadamente, este hecho fue alertado en el momento por el equipo de seguridad informática y eso posibilitó que se tomen los recaudos necesarios para frenar el acceso a esa información y bloquear futuros hackeos”.
“Los datos alcanzados son aquellos compartidos por la ANSV con unos pocos organismos que precisan información de la Licencia Nacional de Conducir para conformar la licencia digital”, agrega el comunicado.
Y concluye: “Ante este escenario, la ANSV aclara que no se encuentran comprometidas ni las bases de datos ni la información sensible de los ciudadanos, y que los equipos de seguridad informática y legales están trabajando en el asunto en conjunto con la Dirección Nacional de Ciberseguridad y con el Centro de Atención de Respuestas a Incidentes (Cert. Ar) tomando las acciones pertinentes”.
Para tratar de llevar mayor tranquilidad, desde el Gobierno remarcaron: “Los hackers no accedieron a una base de datos, sino que a datos aislados. No se expuso nunca una base de datos. No se perdió información en ningún momento. Hicieron una copia de información que no sigue expuesta, ya que sistemas recibió el alerta en el momento, cortó el acceso a los hackers y activó protocolos para evitar posibles nuevos accesos”.
¿Podemos saber si fue filtrada información nuestra?
En principio, descargar este tipo de archivos que circulan en foros de compra y venta de datos personales o en Telegram es un delito. Y no existe un sitio donde consultar si nuestros datos de Renaper fueron filtrados. Cuando suceden estas filtraciones, el Estado debe notificarlo a la Agencia de Acceso a la Información Pública (AAIP) bajo orden judicial. Desde el Ministerio del Interior confirman que esto se ha hecho.
“Lamentablemente, a pesar de que hay una resolución (40/2018) de los modelos de protección de datos personales para organismos públicos, su efectiva implementación en la práctica por parte de los organismos públicos ha sido muy deficiente o nula. Muchas entidades públicas aún no han adoptado las pautas y garantías establecidas en esta resolución, lo que deja a los ciudadanos en una situación de vulnerabilidad respecto de la protección de sus datos personales”, señala Daniel Monastersky, Director del Centro de Estudios en Ciberseguridad y Protección de Datos de la Universidad del CEMA.
Esta resolución que cita no es una obligación legal (excepto que exista orden judicial) sino una recomendación. “Se trata de un compromiso ético y una responsabilidad fundamental del Estado que busca respetar los derechos y la privacidad de las personas”, agrega Monastersky.
¿Qué importa si tienen nuestros datos?
¿Para qué querrían nuestros datos los delincuentes? Para muchas cosas. Por ejemplo, para venderlos. En algunos casos, a otros delincuentes que cometen delitos tales como la suplantación de identidad.
En este sentido, las fotos y los datos podrían servir para abrir una cuenta en algunas billeteras virtuales o apps fintech. Este tipo de plataformas validan la identidad de forma 100% digital. También podrían servir para pedir préstamos o inclusive para crear deepfakes (aunque no solo con la foto del DNI) de una persona y engañar a algunos sistemas de biometría.
“Los bancos aprovechan estos momentos para reforzar sus comunicaciones. Todas las transacciones arriba de un mínimo o pedidos de crédito deberían tener doble sistema de autenticación. Con esta información filtrada hace unos años se podía dar de alta en una fintech medio pelo. Hoy ya no, requieren de mecanismos más sofisticados. En empresas argentinas y latinoamericanas ya hace tiempo que no se puede hacer eso”, advierte Ernesto Mislej, Chief Data Scientist de 7Puentes.
Respecto del uso de las fotos de DNI, explica que no alcanzan para un deepfake (que permite simular el rostro de la víctima en cualquier expresión y posición para hacerla aparecer en un video o fotografía trucada): “Pero hay que pensar que son todos ingredientes para que un atacante tenga en su carpeta un montón de datos (a qué facultad vas, qué hacés en redes sociales, si usás anteojos y más) y con todo eso se compone alguna estrategia” que hará más veraz la estafa, agrega.
Una de las recomendaciones de algunos expertos en seguridad informática respecto de la publicación de datos de Renaper, es hacer de nuevo el DNI (que desde diciembre de 2023 tiene una nueva versión, más moderna, con un chip NFC integrado). Esto nos permitirá tener una nueva foto y número de trámite, por ejemplo. A propósito: el número de trámite no debe compartirse (salvo que lo pida un organismo oficial), y lo ideal es ocultarlo si nos piden una foto del DNI.
Y hay algo que deberíamos empezar a naturalizar (sin irnos a extremos fundamentalistas): hay que desconfiar de algunas llamadas o mails extraños o inusuales, aun si el remitente parece ser inocente; tanto si es un familiar o amigo que pide dinero por WhatsApp, alguien que nos llama en nombre de un organismo estatal por un trámite y nos pide datos extraños; siempre, ante la duda, hay que llamar o visitar una oficina de ese organismo para corroborar que el trámite que reclaman sea cierto, o que quien nos pide dinero efectivamente es nuestro conocido, y no alguien que se apoderó de su WhatsApp.
Otras noticias de Ciberataque
- 1
Patricia Bullrich inauguró en Coronda un complejo penitenciario que albergará a 464 presos
- 2
Jonatan Leiva: El policía que evitó que una mujer se arrojara al vacío desde el puente de una autopista
- 3
Rosario: quiso frenar una pelea en un partido de fútbol y disparó a los jugadores
- 4
La desesperada reacción de un hombre al que le querían robar el auto con su hija en el interior