El RENAPER y el leak de los datos de los DNI

Yo sé que a ustedes les ha importado muy poco, por eso tampoco escribí antes, pero de pronto me dieron ganas de hablar del tema: tus datos más importantes no sólo no son privados, se venden baratos.

Te piden fotito con el DNI para todo, así la cargan más fácil y tienen tu número de trámite, ese falso password que supuestamente hace unívoco y "seguro" el papelucho que indica tu identidad pero que, en realidad, es su punto más vulnerable.

Estamos jodidos? Si! por supuesto!

Empezó con una cuenta trucha en Twitter usando el alias @AnibalLeaks filtrando fotos que aparecen en los DNI, no una foto del DNI, la foto personal del individuo. Publicando estos datos de personas públicas, periodistas, políticos, famosos y no tanto, como para validar públicamente que se hablaba en serio.

Luego en ciertos foros se publicó hasta la estructura del dataset y lo ofreció al mejor postor. Al hacerse ruido en Twitter algunos medios levantaron la noticia (sin mucho conocimiento del asunto pero, oiga! lo levantaron!) y el gobierno respondió rápidamente.

Según ellos (tomar con pinzas) apenas unos pocos datos habían sido consultados desde una cuenta del Ministerio de Salud usando una VPN para enmascarar IP, es decir, que no se había hackeado ni afectado nada sino que esos datos habían sido consultados debidamente con una API con credenciales.

Básicamente entraron al log se fijaron quién había consultado exactamente esos perfiles publicados y dieron con la cuenta. Hasta ahí sería un caso de mal uso de la herramienta y abuso de las credenciales ¿No?

No tan rápido cerebrín

¿El tema termina ahí? Obvio que no, el sólo hecho de que con autorización alguien pueda obtener todo esto y que sólo salga a la luz pública porque fue explícito es el problema.

Cualquier ministerio con acceso, empresa u organización puede consultar por DNI el dataset, recibir un json con respuesta y el número de trámite para contrastar, todos estos datos ahora generaron inquietud pero lo importante es qué sucede cuando NADIE está preocupado por ello.

Es decir, hasta ayer bastaba con pasar un número de DNI para averiguar TODO de una persona y recibirlo sin problemas. Si va todo enmascarado como una consulta válida ¿Quién valida que no fue algo turbio?

El otro día circuló por otro foro que el supuesto leaker había ofrecido por USD5 la info completa de quien quieras, un query y listo. Ahora bien, si este supuesto hacker usa otro acceso, no el que ya comprometió, sino uno que se había guardado ¿Alguien lo notará?

No hay forma, mientras la consulta y su resultado no sean públicos ¿Cómo diferencia el RENAPER una consulta legítima de una sucia? Son iguales! con credenciales válidas y haciendo lo que se supone que haga.

Esto quiere decir que muy posiblemente este kiosquito existe hace mucho tiempo y ahora tan sólo alguien, por operación política, maniobra interna o lo que fuere, lo está exponiendo para joder a un tercero, pero lo vienen usando.

El sistema está mal concebido desde el vamos, el número de trámite se utiliza como validador pero he aquí el problema: muchos copian ese número indiscriminadamente.

Por ejemplo, cualquier banco virtual o sistema de entrega de pedidos suele pedir una fotografía o te la toma para "facilitar" el trabajo ya que el número de trámite está bien difícil de ver (inclusive para el dueño) así ¡que venga esa fotografía! Es el número más violable de todos luego del mismo número de DNI y ¿Para qué mas se usa?

Para falsificar identidad obviamente! Con el DNI, datos completos, domicilio y el número de trámite podríamos obtener una cuenta bancaria, un crédito pre aprobado y tantas otras cosas que no requieren de mucha imaginación para terminar en estafas.

Los sistemas validan esto así que basta con tener los datasets completos de una cantidad limitada de argentinos como para tener todo un año de estafas asegurados. El proveedor? El estado.

Y a todo esto ¿Alguien chequeó que ninguno de los usuarios con credenciales haya coleccionado los más de 45 millones de registros de a pocos por día? Simulando consultas normales, usuales, diarias, se puede ir robando la info en el rango más útil (gente productiva, con una edad como para tener cuenta bancaria, etc.) ¿cómo cuernos podrían corroborarlo?

Y donde está la alarma?

La noticia pasó rápidamente por los medios y así como vino se fue. No es raro, es lo que usualmente vemos con toda noticia donde se requiera un par de dedos de frente para pensar en maniobras posibles y lo fácil que es.

Que alguien venda datos no nos sorprende, que alguien venda datos y el proveedor de estos sea quien debe resguardarlos ya es un tema, que encima el BCRA considere esos datos SUFICIENTES como para endeudarnos de por vida, terminar en el VERAZ y jamás recuperarnos... es una alta traición.

Hasta hace muy poco las estafas con créditos pre aprobados eran cosa de todos los días, especialmente a jubilados, gente mayor que se pierde con un celular. Hubo que visualizar el problema en todos los medios (es decir, cuando le tocaron el culo al padre de algún periodista, claro) para que el Banco Central emitiera una nueva regulación limitándolos.

Pero como para estafar hay que pensar un poquito la noticia "no vende", sólo vende si hay miles de estafados reclamando, no antes. Nadie se anticipa, se deja pasar, siga siga.

Así pues la identidad en Argentina es algo que vale muy poco, es fácil de obtener toda la info de una persona, es fácil usarla, es fácil explotarla.

Cuando los del RENAPER dicen que no fueron hackeados mienten: están completamente hackeados, pero por su inoperancia primero.

Y aclaro: no son los únicos, uno puede obtener toda la info que quiera de alguien de forma libre y gratuita con un poco de conocimiento. El mismo BCRA te expone abiertamente tan sólo con tu número de CUIT en este formulario.

Uno consulta el CUIT en sitios como CUIT Online y luego lo ingresa en ese formulario , verá los bancos con los que opera (por ende el objetivo a la hora de hacer un phishing), deudas que tiene (aunque no sean deudas en sí sino cuotas de una tarjeta o algo asíGuiño.

El ANSES te permite consultar los créditos que uno tenga, el Hipotecario si tenés uno crédito ProCreAr, EPYME si tenés Facturas de Crédito Electrónicas MiPyMEs, la AFIP de donde podemos obtener el domicilio fiscal, ARBA tiene su propia consulta y así cada agencia estatal que no proteje los datos individuales.

En síntesis: a nadie le importa pero, tarde o temprano, a muchos les va a importar cuando les toque directamente.

Si te gustó esta nota podés...
Invitame un café en cafecito.app


Otros posts que podrían llegar a gustarte...

Comentarios

  • Osvaldo     20/10/2021 - 11:04:56

    Entonces.........?
    Corremos, huimos despavoridos o preparamos la vaselina?
    O todo junto?

  • Angel Saracho     20/10/2021 - 19:03:57

    Y si te bajás la aplicación de una empresa de nombre Gnosis, luego de completar algunos datos, te "regalan" varias consultas (según las épocas).
    Podés consultar de quién se te ocurra, en las cuales podés averiguar casi todo lo que sale en el BCRA, en las páginas de Rentas, pero acá viene lo más jugoso, domicilios anteriores, con quién estás casado o estuvistes, si tenés hijos, en donde trabajastes en blanco (por supuesto), si integrastes alguna S.A. o S.R.L., cargos, periodos, etc.
    Y no recuerdo cuantas cosas más, ya que depende la la vida registrada del sujeto.
    Es lo que usan en muchos bancos para darte o negarte un crédito.

    Hace mucho tiempo en ARBA con solo poner la patente o un nº de partida te daban muchos más datos que los que muestran ahora.
    Y respecto de CUITonline, también hace mucho, me bajaba cientos de páginas con registros para mostrarles a los parientes lo que "sabía hacer", y quedaban super asombrados. También alguna vez usé estos servicios para hacer que se encontraran algunos familiares que no tenían idea de donde estaban y en ese caso era de una gran ayuda.
    Respecto del DNI, la mayor parte de los datos están en todos lados.

    • Fabio Baccaglioni     20/10/2021 - 19:38:47

      DNI: no, el número de trámite no está en todos lados, la fecha de vencimiento tampoco y si cambiaste de domicilio tampoco figura en todos lados, este web service expone eso. Los otros sistemas "coleccionan" info pero no siempre es la última ni actualizada. Pero, además, la diferencia está en que es el estado el que por ley debe salvaguardar esa data, no una empresa privada.

  • Ariel     20/10/2021 - 21:38:49

    Hasta hace poco en rentas de Córdoba. Ponías una patente de auto o moto. Y te tiraba nombre. Dni y domicilio del titular. Hoy solamente te da un nombre

  • Angel Saracho     21/10/2021 - 16:35:41

    Cierto, me equivoqué al no mirar todos los detalles que me dieron en los informes, eran tantos que se me pasó que indicas.

  • Tomás     21/10/2021 - 17:33:54

    La página para sacar turnos del gobierno de mendoza, con la idea de "ahorrar tiempo" cuando vas a sacar un turno, ingresando el DNI te carga el formulario de turno con tu nombre, apellido, DNI, dirección y teléfono... Una joyita

    • Fabio Baccaglioni     21/10/2021 - 18:31:02

      por lo que veo sólo trae los datos de los que ya cargaron turno y/o son mendocinos, por lo tanto sirve hasta para validar domicilio :P si sos de otra localidad no los trae, claro

      • Tomás     21/10/2021 - 21:31:02

        Exactamente, había hecho la prueba con gente domiciliada en otra provincia y no trae nada, a la gente que ha hecho un trámite en Mendoza si, pero igualmente es una irresponsabilidad tremenda de su parte

  • Babblo     22/10/2021 - 12:01:58

    No conocía la consulta del Hipotecario / ProCreAr así que fui a ver que mostraba, pero me encontré con que está desactivada, o al menos eso pensaron desde el banco. Lo único que hicieron fue poner el input del CUIL como disabled, se pasan.
    Por cierto, si quieren consultar pongan la CUIL con los guiones que sino no lo toma.

  • matiaskeeper     22/10/2021 - 18:29:35

    Cuando comenzó la cuarentena el año pasado mi hermano estaba sin DNI porque había perdido la billetera hace un par de semanas y no podía tramitar los permisos de trabajo en la app Cuidar porque no tenía de dónde sacar el número de trámite. Recordé que en el sistema de legajo electrónico del portal GDE cuando creás una nueva solicitud, ingresando el CUIL te da todos los datos del DNI tarjeta, sin chequear siquiera que al menos tenga alguna contratación con el organismo. Bingo. Ahora acabo de ver que salió en el Boletín Oficial una actualización de los Términos de Uso del sistema y que al ingresar por primera vez a un agente sólo autocompleta el nombre y el apellido (aunque una vez creado el Legajo, todavía sin comprobar que efectivamente haya una designación, sigue tirando todos los datos).

  • Mario     23/10/2021 - 15:54:35

    En mi provincia existe "ciudadano digital" para habilitaciones, pagar impuestos, vacunarse. Hasta hace poco había que ir a sacarse una foto.

    Cuando anoté a mi familia para la vacunación ya tenían la foto del DNI de todos. Las provincias pueden acceder o tienen una copia de esa base de datos.

Deje su comentario:

Tranquilo, su email nunca será revelado.
La gente de bien tiene URL, no se olvide del http/https

Negrita Cursiva Imagen Enlace


Comentarios ofensivos o que no hagan al enriquecimiento del post serán borrados/editados por el administrador. Los comentarios son filtrados por ReCaptcha V3.