Sigue la preocupación por la difusión online de los datos de argentinos del Registro Nacional de las Personas
Ofrecen online una muestra de 60.000 datos; dicen que es una prueba para un acceso más grande; la semana pasada, el Renaper había confirmado un acceso indebido a su base de datos, pero con un alcance mínimo
- 4 minutos de lectura'
Tras conocerse la noticia, la semana pasada, de unos accesos indebidos al sistema del Registro Nacional de las Personas (Renaper), para la captura y supuesta venta de la base de datos de 45 millones de argentinos en la web, la historia sumó nuevos capítulos. El Renaper desmintió el robo masivo, aunque confirmó que hubo un acceso no autorizado. Ahora, desde el Ministerio de Salud (el lugar desde el cual consultaron al registro para extraer la documentación) señalaron que no fue uno, sino que existieron dos accesos que se usaron para consultar parte de los datos del Renaper, donde se encuentran las direcciones, teléfonos, fotos y número de trámite de DNI, entre otras cosas.
El Registro Nacional de las Personas es un servicio que es utilizado por más de 150 instituciones públicas y privadas. Entre los clientes se encuentra Migraciones, AFIP, ANSES, PAMI, el Ministerio de Seguridad, el Ministerio de Transporte, el Poder Judicial, Poderes Legislativos y billeteras digitales o bancos, entre otros. Es la base de datos del Renaper la que valida la identidad cuando alguien se hace una cuenta en Mercado Pago, por ejemplo.
El Renaper funciona como un repositorio, que es consultado por organismos estatales y empresas para validar la identidad de una persona; en ese sentido, la base de datos es abierta a quien tenga un permiso para acceder a ella. Según el Registro, alguien aprovechó que tenía acceso a unos de esos permisos para buscar información de algunas personas y publicarla en un foro anónimo, como prueba de que tenía en su poder los datos de 45 millones de personas (el Renaper sólo reconoció una cuarentena de datos); el dato más sensible es el número de trámite de DNI, que no debe ser público y que se usa para validar la identidad de una persona al hacer muchísimos trámites online.
Pero alguien publicó hoy un nuevo posteo en el que dice disponer de la base de datos completa, y ofrece los datos de 60.000 personas como prueba. En los últimos días ya había avisado, respondiendo a una consulta del sitio especializado The Record, que “quizás en unos días voy a publicar [los datos de] 1 millón o 2 millones de personas”. Ahora esa persona dice que planea vender el acceso a esos datos a “todos los compradores interesados”.
En la entrevista también menciona a “empleados descuidados” como la forma de explicar cómo logró el acceso al sistema. Aunque no da más detalles. La red del Ministerio de Salud (que a su vez se conecta para consultas al Renaper) incluye 50.000 accesos, brinda servicio a más de 40 hospitales públicos de todo el país y al Sistema Integrado de Información Argentino (SISA), desde el cual se vinculan centros de vacunación, farmacias y establecimientos de salud.
Internamente, algunas preguntas aún no están resueltas. El Renaper habilita el servicio para el Ministerio de Salud. Y Salud define a quién le da acceso. De fondo, igualmente, aún descreen de que el atacante pudiera tener los 45 millones de datos. “Hizo consultas, sí, pero individuales”, señalan. “Es imposible que haya tenido esa cantidad de datos”, aseguran, y aclaran: “no es la base de datos del Renaper la afectada, porque no tienen acceso a todo, como las huellas dactilares”, explican. El usuario apuntado con el que se presume que se hizo el total de las consultas es uno “genérico”, que no está asignado a una persona en particular, sino a “varias que la utilizan”, señalaron fuentes de la cartera.
Por lo pronto, las credenciales de acceso desde Salud permanecieron parcialmente deshabilitadas algunos días, y recién levantaron las restricciones ayer. El Ministerio hace 600.000 consultas diarias al sistema del Renaper. De enero a octubre, tuvieron 950 millones de interacciones, principalmente para validar identidades de testeos, vacunas o internados en camas.
El miércoles hubo una reunión entre todos los organismos involucrados: Salud, Interior y gente de ciberseguridad. “Es un tema que nos ocupa”, admiten. Mientras tanto, miran de reojo si es que los datos en juego son más de los 44 DNIs que aparecieron publicados en distintas redes sociales, al tiempo que avanzan distintas causas judiciales por accesos indebidos a sus sistemas.