RENAPER solo expone la deficiencias del Estado Argentino en Ciberseguridad
Al Estado argentino nunca le importó la ciberseguridad. En los últimos 20 años las palabras "seguridad", "ciberseguridad", "seguridad informática", "seguridad de la información", "datos personales", llámalo como quieras, simplemente fue una mentira en los políticos y dirigentes de turno.
Nota para monos entrenados: este NO es un problema de Milei, Cristina, Macri, etc. Este NO es un problema de UN gobierno, es un problema del Estado Argentino y la desidia respecto al tema.
Este es un capítulo más, para terminar de poner el último clavo al cajón de los datos personales de TODOS los argentinos y al REgistro NAcional de las PERsonas (ReNaPer).
Durante 2021, hubo diferentes filtraciones que involucraron a dicho Organismo, a los DNI y pasaportes de los ciudadanos argentinos. Luego de nuestra publicación en octubre de 2021 y durante los últimos años ReNaPer se ha encargado de DESMENTIR en diferentes oportunidades y en cuanto foro público tuviera la oportunidad, que "dicha filtración de datos era falsa", incluso con la evidencia tangible de los archivos y las fotos de los DNIs de todos nosotros publicados en Internet. Esta negación se acaba de repetir hace 5 minutos.
Este comportamiento se repitió sistemáticamente durante 2022, 2023 y 2024 para sistemas de ReNaPer, SISA (salud), DNRPA, y tantos otros y, hoy apareció la frutilla del postre porque, en el Estado argentino, siempre puede ser peor. Para muestra vale un botón: ReNaPer solo es uno de los Organismos que expone la deficiencias del Estado Argentino en Ciberseguridad.
Se acaba de publicar (en un dominio ONION en la Deep Web) una base de datos de 65 millones de registros de los DNI. Podríamos decir "noticia vieja" porque, ¿quién no ha hecho backup de una de las base de datos más importantes del país y la ha puesto a disposición de cualquier delincuente?
NOTA: lo único que (aún) no se ha publicado de forma completa son las fotos, huella dactilar y firma de las personas, las cuales fueron puestos a la venta por el delincuente. De todos modos, parte de estos datos ya habían sido publicados a principio de año por otro delincuente (¿o el mismo?).
La noticia "nueva" es que, a este conjuntos de datos, se ha sumado el código fuente PHP de aplicaciones internas del Organismo, los Web Services y APIs que son utilizados por otras organizaciones, empresas, bancos, fintech, supermercados, obras sociales, etc. para verificar la identidad de una persona. Sí, cada vez que alguien te pide tu foto o tu DNI, esos datos son contrastados contra ReNaPer, a través de un servicio por el cual el Organismo cobra (sí, cobra por ese servicio).
Dentro del código fuente mencionado también se encuentran las direcciones IPs de los servidores internos, así como el nombre de usuario y contraseña que permite acceder a todas las bases de datos del Organismo.
Sería el equivalente a decir que todas las aplicaciones sensibles de la entidad ahora son Open Source. Dejando las "bromas" de lado, también expone las vulnerabilidades que tiene el código fuente (por ejemplo, SQLi y XSS) así como los detalles internos de su funcionamiento.
También es importante remarcar que, si bien los datos se publicaron hoy, eso no implica que se hayan extraído hoy. Tampoco implica que el delincuente haya sido bloqueado, detectado, encontrado o que incluso siga dentro de los sistemas de la Organización o haya logrado persistencia en los mismos. Pensar de forma tan lineal es ridículo; un trabajo de este tipo y por el volumen de datos, puede llevar bastante tiempo (y a veces paciencia) de acuerdo a las técnicas utilizadas por el delincuente (por ejemplo, se puede observar una webshell en una las imágenes).
En una observación rápida de lo expuesto, hay archivos de código fuente de JULIO/2022 (día del amigo) y PARECE que los SQL robados fueron grabados a disco el 9 de marzo de 2024.
En conclusión, ahora los datos de todos los ciudadanos argentinos están publicados en Internet junto a diferentes APIs y formas de conexión con otros organismos y empresas y los clientes de los mismos.
- La recomendación para las empresas es cambiar los accesos a dichas APIs.
- La recomendación para los ciudadanos... no hay; los datos ya son públicos. Cambiar el DNI tampoco es una solución, porque esto puede volver a suceder y, en última instancia, la mayoría de nuestros datos personales no cambian (el número de trámite es la excepción).
Las implicancias de esta fuga están por verse pero mientras, ¿qué espera el Estado argentino para tomar acciones, investigar, encontrar a los delincuentes (internos y externos) y a partir de ahora, comenzar a pensar en la Ciberseguridad como Política de Estado?
MENSAJE PARA ReNaPer: no nieguen el problema, informen, digan la verdad y veamos como seguir para adelante desde aquí. El Estado es responsable.
Lic. Cristian Borghello, Director de Segu-Info
Soy pesimista, si alguna vez parecía que se quería hacer algo serio, duró muy poco y se embarró todo con la suciedad de la política, los cargos y las peleitas por el poder del momento.
ResponderBorrarEsto viene de antes. Nunca hicieron nada como dice mi querido Cristian.:)
BorrarHola! Conviene renovar el dni? O es algo continuo?
ResponderBorrarNo tiene sentido hacerlo. Aún si lo renovás, las brechas no se van a solucionar y es cuestión de tiempo.
BorrarVienen regalando toda la informacion hace años sin importar nada.
ResponderBorrarY en que puede afectar a los ciudadanos en que tengan toda esta informacion?
ResponderBorrarun ejemplo rápido: Suplantacion de identidad
BorrarEstafa dirigida, robo de dinero, de números de cel, de cuentas e-mail, Facebook, monotributo... Transacciones en sus bancos, uso de tarjeta créditos, de débito, préstamos...
BorrarFavorecer encuestas políticas con datos falsos...
Creo que sería más fácil decir en qué no te afecta, si es que no lo hace en algún área
Disponer de todos los datos de otra persona permite, entre muchisimas cosas, hacerse pasar por ella, para por ejemplo sacar créditos y hacer otras operaciones financieras generándole deudas a la persona legítima, acceder a otra información más reservada manejada por otros servicios públicos y privados. En definitiva, se le puede llegar a hacer la vida a cuadritos a otra persona, si se dispone de toda su información identificatoria. Además, esperá un poco y tras esto empieza seguramente una ola de DNIs falsificados, con los datos de cualquiera, llevando el problema a otro nivel.
BorrarSi eso lo multiplicás por los 65 millones de personas afectadas, se está ante un problema de dimensiones mayúsculas.
Claramente esa información es personal de los ciudadanos argentinos. Algo que es privado usualmente se debe mantener privado
BorrarEl servicio TAD (Tramites a distancia) usa como datos de log in DNI y N° de tramite por ejemplo
BorrarAl menos la base de datos no es open source. Es un sql server superior o igual a 2016, dado que ahi se agrego el "IF EXISTS".
ResponderBorrarNo estes tan seguro, tanto mysql 5.7.x como postgresql desde al menos 9.0 tambien soportan DROP IF EXISTS
BorrarNo. Eso es MySQL
BorrarNo es una base de datos SQL Server, es MySQL, donde "IF EXISTS" está disponible desde hace rato.
BorrarDisculpen, tienen razon. Parece ser MySQL fue mala mía. Leí a las apuradas. Hermosa la conexion en texto plano y sin encriptar en el ws.
Borrarya la base de datos de los ARG esta regala... ya no vale la pena pagar por algo
ResponderBorrarEs cierto que la problemática no es de hoy, pero se sentaron bases en el gobierno anterior, insuficiente o deficientemente seguramente, pero hoy directamente se paralizó cualquier acción.
ResponderBorrarHay muchos organizaciones del pais, que utilizan esas APIs como bien describis Cristian, para constatar identidad contra Renaper. Cual es el estado de Ciber de esas organizaciones? Es responsable el Renaper o la Organizaciones? Creo que tenemos que debatir esto
ResponderBorrarEstimado Leo que es Lic.especialista en ciberseguridad , usted es por casualidad una persona que por alguna razón quiere poner a todo una sociedad en un total calvario dado los distintos tipos de mala política y extrema que se está viviendo. O es alguien a quien se le negó alguna licitación, dado de que si esto es así , es gravisimo tenemos fuerzas federales especialistas en ciberseguridad y tenemos jueces pocos pero muy competentes no jueguen a alterar a toda una sociedad que ya suficiente tiene y si sabe tanto como dice presentece a la justicia federal y haga lo que tenga que hacer veo que por las páginas muchos son francotiradores prácticamente y luego resulta que el rifle era una escoba saludos !!!!!
ResponderBorrarLa ignorancia de su comentario queda subrayada en sus errores ortográficos y falta de signos de puntuación.
BorrarSi te hubiera entendido, te diría "OK, tienes razón"
BorrarSu posición conformista es preocupante, y probablemente muchos de los funcionarios públicos de turno estén en la misma, haciendo como el avestruz. Es una manera de comprender el estado de desidia en que nos encontramos respecto al cuidado de datos sensibles almacenados por organismos estatales.
BorrarDespués vienen las desgracias y la búsqueda implacable de culpables.
Una maravilla,como te mienten en la cara! Dejar expuestos a toda la ciudadanía a diferentes estafas! Demanda colectiva al estado nacional
ResponderBorrarCuando haces el tramite del DNI usan desde el registro de las personas (cualquiera sea la delegacion) una vpn y sobre esa vpn todo el trafico es http. Vi esta situacion hace poco y me dejo pensando que haria alguien con usuario y clave de la vpn haciendo un ataque de man in the middle. yyyy, lo que paso es la respuesta.
ResponderBorrarY saben cuál sería el mayor provecho de todo esto? Las elecciones. Duplicar datos de personas disponibles en condición de votante, incluso suplantar y crear nuevos "entes"
ResponderBorrarLa seguridad del estado sobre los datos es patética, y lo peor es que no les importa. El único objetivo de la política, funcionarios, etc es robar, salvarse.
ResponderBorrar