Luego de que un ciberdelincuente publicara este martes un archivo a la venta con imágenes de frente y dorso de 5,7 millones de licencias de conducir de argentinos, y de que otro usuario subiera registros del Renaper, la pregunta sobre qué riesgos implica para los afectados es una de las más escuchadas: ¿por qué es peligroso que se filtren datos personales como documento, dirección y nombre completo? ¿Qué se puede hacer con la información específica de los registros, como la firma, el grupo sanguíneo y si el conductor es o no donante de órganos?
Las filtraciones, o “leaks” como se conocen en el ambiente de la ciberseguridad (así se dice en inglés), implican que información interna de un Estado, empresa o entidad, que no está pensada para ser pública, se da a conocer. Hay distintos tipos de leaks, de menor importancia, a otros más peligrosos.
Ahora bien, durante las últimas tres semanas, Argentina fue protagonista de filtraciones de envergadura. La primera ocurrió a principios de mes, cuando un ciberdelincuente regaló en un foro underground y Telegram fotos de argentinos extraídas de algún sistema relacionado al Renaper. La segunda fue cuando el mismo usuario subió una base de datos de usuarios de Nosis, un sitio muy usado que ofrece “información estratégica de ciudadanos” y que incluye direcciones, documentos, teléfonos y otros datos como relaciones laborales y registros financieros. Y este miércoles apareció otra del Renaper.
Esta semana le tocó a una base de datos de licencias de conducir, y el atacante lanzó una provocación al presidente de la Nación, Javier Milei, y la ministra de Seguridad, Patricia Bullrich, al exponer sus licencias en la muestra del archivo que vende.
¿Qué se puede hacer con esta información? ¿Qué tipo de gravedad reviste?
Qué peligros se corren con esta filtración de licencias
Consultado sobre este caso puntual, Alejandro Botter, Security Engineering Manager de la empresa de ciberseguridad Check Point, enumeró el tipo de problemas que se desatan con una filtración.
“En términos de impacto de las fugas de información, el primero y más común suele ser el financiero, donde ocurre que el ciberdelincuente suplanta a la persona y hace contrataciones de servicios o piden un préstamo en nombre de la persona. El segundo de los puntos es el daño en la reputación de las empresas y entidades que tienen información de las personas afectadas, poniendo en duda de cómo se está haciendo el manejo actual de esa información”, explicó.
“En referencia a estas fugas de información recientes, hay que mencionar que estamos entrando en una nueva era de la suplantación o robo de identidad. Lo que hace el ciberatacante es armar un rompecabezas con toda esta información disponible, por eso estas filtraciones constituyen gran fuente, logrando mayor efectividad. En combinación a lo anterior, una de las tendencias para este 2024, es el incremento de los ataques de deepfakes, donde el ciberdelincuente copia imagen y sonido, pudiendo generar hasta la misma voz y la cara de la víctima”, agregó.
“El tercero y no menor, es el impacto emocional en las personas, donde la pérdida financiera o la invasión de su privacidad viendo su información pública pueden acarrear una importante carga emocional”, sumó.
También se corre el riesgo de caer en el “SIM swapping”: “Un último caso que también quisiera hacer una mención es el ataque conocido como ‘SIM Swapping’, en el cual el ciberdelincuente suplanta el teléfono de la víctima, que tiene claves que se envían por SMS, acceso a redes sociales o herramientas de mensajería como WhatsApp”.
“En el SIM Swapping, la suplantación de la identidad es clave de cara a la compañía prestadora de ese servicio de telefonía y ahí tenemos una conexión con toda esta fuga de información: cuanta más cantidad de información tiene de esa persona más fácil le resulta hacer esa suplantación de identidad”, cerró el analista.
En esto coincidió David Perez, Service Manager de Ciberseguridad de Security Advisor, quien enumeró el tipo de riesgos que corre la ciudadanía con estas filtraciones.
- Violación de la privacidad: La fuga de datos puede dar lugar a la exposición de información personal sensible, como detalles financieros, historiales médicos o comunicaciones personales, dando lugar a violaciones de la privacidad de las personas.
- Robo de identidad: La información personal robada puede utilizarse para el robo de identidad, fraudes, acceder a cuentas financieras o desarrollar actividades ilegales.
- Pérdidas financieras: La fuga de datos puede dar lugar a pérdidas financieras para las personas si su información financiera se ve comprometida y se utiliza para realizar transacciones no autorizadas.
- Daños a la reputación: Un país que sufre filtraciones de datos generalizadas puede dañar su reputación como lugar seguro para vivir y hacer negocios.
- Riesgos para la seguridad nacional: Llegado el caso, la fuga de datos también puede plantear riesgos para la seguridad nacional si la información sensible relacionada con actividades gubernamentales se expone a partes no autorizadas.
- Consecuencias jurídicas: La fuga de datos puede dar lugar a acciones legales contra el país o las entidades responsables de la violación.
Por último, hay dos datos cuya publicidad reviste una situación más preocupante. “La filtración de la firma es lo realmente grave de este caso. Junto con el dato sobre si el conductor es donante de órganos o no, son dos datos realmente preocupantes”, aseguró una fuente especializada en análisis de amenazas.
Datos personales y datos sensibles: la diferencia
Una distinción que hay que hacer es qué es un dato personal y qué es un dato sensible. No todo dato personal es sensible, pero, en lo que refiere a los ciudadanos, el dato sensible es un tipo específico de dato personal.
“Dato sensible es el que refiere a una esfera íntima de una persona y cuya utilización, sin el consentimiento de su titular, puede dar origen a discriminación o ventile aspectos de su privacidad. El artículo 2 de la ley 25326 define al dato sensible como el que denota origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual del titular del dato”, explicó a Clarín María Luján Gallego, abogada del estudio Brons & Salas, especializada en Protección de Datos.
“Dato personal es todo dato mediante el cual se puede individualizar a una persona, como, por ejemplo: nombre, apellido, domicilio, teléfono, mail, entre otros”, agregó. Las licencias tienen nombre completo, dirección, fecha de nacimiento, firma, grupo sanguíneo y si el conductor es donante de órganos.
En el caso de esta filtración, “consta en la licencia cierto dato personal, que podría llegar a ser considerado como sensible, por ser un dato médico, como es el grupo de sangre y factor”, aseguró.
La responsabilidad del Estado ante las filtraciones
“Es importantísimo que se salvaguarden los datos personales de los ciudadanos. Cada filtración no solo compromete la privacidad individual, sino que también puede socavar la confianza en las instituciones. Proteger los datos, además de un deber ético, es hoy una necesidad para evitar riesgos como el robo de identidad, la manipulación de información sensible y el potencial daño a la seguridad nacional. Garantizar la seguridad de los datos es proteger la integridad de la sociedad en su conjunto”, complementó Perez de Security Advisor.
En cuanto a qué responsabilidad le cabe al Estado, explicó Gallego: “El Estado resulta ser responsable por no contar con robustas medidas de seguridad informática, a los efectos de prevenir este tipo de delitos. Es evidente que el Estado debe tomar con seriedad a la ciberseguridad, implementando medidas de seguridad a fin de prevenir y mitigar riegos, ello en pos de la seguridad de los ciudadanos”.
En esto coincide, curiosamente, el atacante que filtró los datos de las licencias de conducir. Consultado sobre por qué filtró los datos, aseguró: “Es para que Argentina cambie su rumbo y se tome en serio la ciberseguridad”.
Esta última filtración de licencias, junto con la nueva del Renaper, conforman un caso más del descuido de datos en Argentina. Si bien este problema no es sólo local, en tanto gobiernos como el de Estados Unidos han tenido accesos no autorizados a sus bases de datos, nuestro país suma así un nuevo incidente.
Sólo por recordar algunos, en marzo de 2022, un conocido grupo de ransomware, Vice Society, publicó 30 mil archivos con información interna del Senado de la Nación. Ese mismo año, en septiembre, la Legislatura porteña fue atacada por otro conocido grupo en el underground (Play).
A diferencia de estos casos, tanto el de las 115 mil fotos del Renaper como Nosis y ahora estas licencias de conducir, fueron filtradas por un único usuario y no un grupo organizado.
Las penas por estos delitos que establece Argentina para estos casos van de un mes a dos años, según el artículo 32 de la ley 25.326.