El Renaper niega el robo de 65 millones de registros de su base de datos
Según el organismo, no es cierto que se hayan vulnerado sus sistemas para obtener los datos de validación de identidad; ayer denunciaron el robo de los datos de 5,7 millones de licencias de conducir; hace unas semanas alguien puso en venta datos de 100.000 personas
- 6 minutos de lectura'
El Registro Nacional de las Personas (Renaper) difundió este miércoles por la noche un comunicado en el que desmiente la denuncia que circula hace horas en redes: que los datos de 65 millones de argentinos y argentinas fueron robados de los servidores de ese organismo, y que se ofrecen gratis online, en un paquete que incluye nombre, apellido, sexo, número de trámite de DNI, y fecha de nacimiento. Por la huella digital y la foto del rostro, los delincuentes piden un precio diferencial.
“A raíz de versiones periódicas que circularon en las últimas horas -dice el comunicado del Registro-, los equipos técnicos del Renaper y la empresa de ciberseguridad DANAIDE S.A confirmaron que no existió un hackeo a la base de datos del organismo ni una nueva filtración de información. Además de que no se detectó ningún hackeo, los expertos de seguridad del organismo remarcaron que la capacidad necesaria para obtener la información de 65 millones de personas requeriría de una infraestructura similar a la fábrica de DNIs del Renaper y una cantidad de hardware cercana a la adquirida por el Gobierno nacional, dando por descartado que la información sea real. Asimismo, implicaría una capacidad de almacenamiento de 500 teras de storage, fuera de la escala de un hackeo. Cualquier intento de obtener una cantidad tan grande de información hubiese sido detectada fácilmente por los servicios de ciberseguridad del Renaper, incluyendo la empresa Danaide SA, contratada en 2021 mediante licitación pública. Se trataría además de una operación de semanas o meses de duración, siendo imposible de ejecutar en un solo día.”
Cuál es la denuncia
Un delincuente asegura en un foro que está ofreciendo una serie de datos sensibles de los ciudadanos argentinos de forma gratuita. “CHUTRO es el principal sistema interno del RENAPER (entidad del gobierno argentino que emite cédulas y pasaportes). Obtuve acceso a la red interna y robé toda la base de datos de ciudadanos (65 millones de registros). Puede descargar todos los archivos .sql disponibles en los servicios ocultos a continuación de forma gratuita”, señala el posteo. Y agrega: “Los archivos y bases de datos contienen ID de producto, estado civil, direcciones, datos de extranjeros, nacionalidades, códigos fuente de servicios web, contraseñas internas, etc”. Las huellas digitales y las fotos de los DNI dice ofrecerlas aparte, por contacto privado y con una tarifa que se desconoce.
El Registro Nacional de las Personas realiza la identificación y la documentación de las personas, con la responsabilidad exclusiva de la emisión del Documento Nacional de Identidad (DNI) y el Pasaporte. Es un servicio que es utilizado por más de 150 instituciones públicas y privadas. Entre los clientes se encuentra Migraciones, AFIP, Anses, PAMI, el Ministerio de Seguridad, el Ministerio de Transporte, el Poder Judicial, Poderes Legislativos y billeteras digitales o bancos, entre otros: la base de datos del Renaper es la que valida la identidad de alguien cuando hace una gestión digital, como crear una cuenta en Mercado Pago, por ejemplo. O, en algunos casos, cuando quiere confirmar la identidad -con una foto- para hacer una transferencia por un monto determinado.
🚨🚨NO NO NO, @renaper_ar de nuevo NO!
— Cristian Borghello (@SeguInfo) April 17, 2024
Sí, de nuevo publican abiertamente 65 millones de registros de #RENAPER
No se puede creer lo que han publicado😭: BD, código fuente, API, contraseñas, TODO.
Fotos y huellas en venta.
IMPACTO INFINITO EN TODOS LOS SERVICIOS DE ARGENTINA. pic.twitter.com/Y7HXAAEVf8
Qué dice el Renaper
Desde el Renaper señalaron que “no detectaron un hackeo en el último tiempo”. Y que, según analizan, “es imposible hacer un robo de estas características con huella y fotos, no hay dónde guardarlo. Necesitarías una infraestructura muy grande. Y además, para ir sacando todo eso no podés hacerlo en poco tiempo, tiene que ser algo descomunal”, agregaron.
Sobre lo que se ve en la filtración en la dark web, el licenciado en sistemas y especialista en ciberseguridad, Cristian Borghello, quien comprobó la información, explicó que “la publicación consiste en la base de datos completa del Renaper. Todos los datos de todos los ciudadanos argentinos”, explica. La base de datos de usuarios y contraseñas que permiten la conexión entre los distintos servicios y el organismo también fue filtrada, señala Borghello. Por eso aconsejó “a todos los organismos públicos, empresas, bancos, fintech, obra sociales, que usan la API -la interfaz de conexión entre serviciso digitales- cambiar sus credenciales de acceso a la brevedad”.
“Esta filtración es peor que las anteriores, porque publicaron también el código fuente de las aplicaciones internas del Renaper, así como las aplicaciones que logran conectividad con servicios de otras entidades, como puede ser bancos, entidades financieras, de salud, obras sociales, etc. En la filtración figuran archivos de texto plano donde hay usuarios y contraseñas, con nombre y apellido de los usuarios internos de esas organizaciones, y aparte expone usuarios y contraseñas de otros servicios internos como pueden ser conectividad de las bases de datos”, detalla.
Los antecedentes más recientes
Además de la filtración de los registros de conducir de 5,7 millones de personas ayer, hace una semana habían sido publicadas en un foro de compra y venta de datos personales y en Telegram más de 114.000 fotos de ciudadanos argentinos extraídas también del Renaper. Cada archivo estaba acompañado del nombre completo de la persona y de su número de documento. Tiene el número de DNI o pasaporte de la persona, con numeraciones que comienzan en 10 millones hasta 57 millones.
Ya en 2021 habían aparecido las primeras filtraciones, cuando en otro foro un participante señalaba que tenía los datos de todos los argentinos. “Esto incluye foto, nombres, apellidos, dirección, número de trámite de DNI (esto es muy importante) (...) y todo lo necesario para crear una identidad falsa”, señalaba el usuario. Finalmente, en aquel momento se filtraron 60.000 registros de aquella base.
“En 2021, un usuario con claves habilitadas del Ministerio de Salud extrajo datos del Renaper mediante la generación de consultas, haciendo un uso indebido de la información obtenida. Los datos que circulan actualmente son producto de este incidente. Los especialistas en seguridad informática del organismo descartaron una filtración masiva de información o una vulneración de la base de datos. Hasta este incidente, una consulta interna mediante una clave autorizada para organismos públicos permitía al usuario obtener todos los datos impresos en el DNI de una persona, incluyendo imagen y otros datos personales. A raíz del hecho, Renaper cambió la modalidad de los servicios para reforzar la seguridad de cada procedimiento La verificación se genera puertas adentro del organismo y devolviendo al usuario solo mensajes del tipo verdadero/falso y vigente/no vigente, sin necesidad de transferir datos personales o imágenes ante cualquier consulta interna”, le dijeron fuentes del Ministerio del Interior a LA NACION en referencia a los registros que comenzaron a circular la semana pasada.
Desde entonces, el organismo usa un sistema de identidad digital (SID) que es señalado por ellos como “inhackeable”. Lo que ocurrió en 2021 fue un uso indebido de la información, que permitía obtener más datos de los necesarios, aseguraban desde el Ministerio hace unas semanas, y no un hackeo; ahora se suma esta nueva desmentida.
Otras noticias de Seguridad informática
Más leídas de Tecnología
Una por una. Qué tipo de proteínas ayudan a aumentar la masa muscular, según la inteligencia artificial
Inminente. Todos los celulares que se quedan sin WhatsApp a partir de diciembre 2024
Prototipo. Compró un iPhone usado en China y resultó ser un modelo único de Apple
A considerar. Las tres carreras amenazadas por la IA