Certificado de Circulación expone el DNI y Número de Trámite (AR)
Hilo desarrollado por Silvio Messina (@smessina) en Twitter.
Silvio es Programador que se volvió Abogado.
Silvio es Programador que se volvió Abogado.
El sistema web del Certificado único de Circulación es tan inseguro como innecesario. Lo desarrollado no solo tiene graves fallas en la seguridad de los datos personales, sino que la solución está mal pensada ¿inocentemente?
1) Si estás encuadrado en las excepciones al aislamiento Social Preventivo y Obligatorio debes tramitar Certificado Único de Circulación desde y llenar un amplio formulario. Este formulario tiene datos que te identifican (en particular Nº de DNI + de Tramite) y que justifican tu excepción.
2) Aproximadamente en 24hs tendrás aprobado el permiso para lo cual se debe ingresar nuevamente y cargar otra vez el Nº de DNI + de Tramite, descargar en PDF el respectivo Certificado Único de Circulación y luego imprimirlo o llevarlo en tu celular al circular.
3) Acá es donde empieza la curiosidad. El PDF detalla las formalidades que autorizan la circulación y exceptúan del aislamiento. Incluye un cód. QR que será escaneado por las FF. de Seguridad para confirmar dicha autorización cuando se está en circulación.
¿A dónde lleva el QR?
4) Usando un lector QR vemos que el incluido en el PDF apunta a la web form-ddjj.argentina.gob.ar/validacion/?ha…, donde ese XXXXXXXXX es un hash único de autenticación; supuestamente para corroborar la autenticidad del certificado y de la persona referida.
5) Efectivamente al acceder a form-ddjj.argentina.gob.ar/validacion/?ha… vía QR se corrobora que quién se menciona en el Certificado Único de Circulación está habilitado para circular, indicando incluso el motivo (originalmente cargado el en formulario inicial).
¿Cómo se asocia el QR al autorizado en el Certificado? Desmenuzando el hash parametrizado en la dirección web apuntada se descubre que:
- Está expresado en Base64 (no cifrado)
- El contenido real es un conjunto de datos en formato JSON
- Dicho JSON contiene el Nº DNI + de Tramite
7) Alerta #1:
El QR expone 2 datos muy sensibles y utilizados/requeridos por gran nro de trámites online ante Organismos Estatales.
Si el PDF circulará (por ejemplo) con dichos datos y un poco de ingeniería social podría resetar la Clave de Seguridad Social (ANSES) de cualquier ciudadano.
8) ¿Puede hacerse más seguro? Si, de mínima que cada permiso de circulación tenga un ID propio, desasociado públicamente al Nº DNI + de Tramite y que el QR sea su representación.
Aunque también podemos cuestionar la efectividad de todo el sistema ¿Por qué? Sigamos analizando...
9) Podríamos decir que el mencionado QR es en realidad una versión "reducida" del DNI pues cumple el rol de asociar la identidad de la persona mencionada en el Certificado Único de Circulación con la efectiva autorización expresa del Gobierno vía la dirección web apuntada.
10) A la vez, para circular el ciudadano debe llevar encima su DNI y el respectivo Certificado Único de Circulación para que eventualmente las Fuerzas de Seguridad:
- Identifique a la persona presente con su DNI
- Solicite el certificado respectivo
- Corrobore la autenticidad del mismo mediante el QR
- Acredite que la identidad arrojada por el QR es la de la persona identificada con su DNI
Ocurren dos autenticaciones "redundantes" en dicho proceso:
- Persona == Nº DNI + de Tramite
- Certificado == Nº DNI + de Tramite
12) Acreditar la autorización tramitada vía DNI resulta factible haciendo lectura del código PDF417 impreso en el mismo (no QR, es otro tipo de formato).
Dicho código PDF417 contiene la misma información que el QR impregnado en el Certificado Único de Circulación.
13) Desde ya se requiere un lector especial para los código PDF417. No hay problema, pues hay variedad de librerías Open Source para integrar tal funcionalidad, como por ejemplo este. Y, afortunadamente ofrece soporte para desarrollar cualquier sistema mobile.
14) Con dicho recurso se podría elaborar una aplicación exclusiva para las Fuerzas de Seguridad que funcione como lector de DNI para cotejar si el ciudadano identificado por el mismo está efectivamente exceptuado del aislamiento y habilitado para circular.
15) Solo habría que hacer el trámite de autorización sin tener que descargar ningún PDF ni imprimirlo/llevarlo consigo. El DNI sería suficiente.
Nada de QR/URL con DNI + Tramite expuestos públicamente (cosa que ya ocurrió).
16) Pero no, al parecer es más eficiente crear un sistema que masivamente tengan que utilizar TODOS los ciudadanos en vez de uno que SOLO usarían las FF. Seguridad, más escalable y expandible.
Peor aún la propuesta de unificar el Certificado Único de Circulación en la App CuidaAR.
17) NO, FALSO! La app NO es la mejor herramienta para llevarlo. No ofrece nada que el propio DNI del ciudadano que ya lleva consigo por default no ofrezca para acreditar el permiso de circulación. Cargarle a la gente responsabilidad técnica no es modernización.
18) Respecto a dicha app y más allá de la cuestión sobre la protección de datos personales, geolocalización/rastreo de los ciudadanos, cesión de los datos recolectados, validez empírica de lo que tal app ofrece, etc. vale cuestionarse la eficiencia desde lo técnico y lo práctico.
19) El sistema de generación y control del Certificado Único de Circulación está mal encarado. Le traslada al ciudadano la carga probatoria de punta a punta, genera procesos redundantes e ineficientes y en medio de ellos huecos de seguridad.
20) Esto de la "uberización", el solucionismo tecnológico, la falsa automatización y que todo se resuelve inventando una app hace que en realidad no se encuentren soluciones, sino que al final se agreguen complejidades.
21) Ni mencionar que encima se escondan intereses oscuros con resultados nefastos.
La realidad siempre expone que los gurúes tech son más huecos de lo imaginado.
Pero si es el Estado el que termina comprando ese solucionismo mágico, a la larga los que perdemos somos todos.
Fuente: Silvio Messina
Lamentablemente el estado, tanto en asuntos tecnológicos como en cualquier otro área, recurre al nepotismo y no al mérito para elegir a quienes toman las decisiones que nos afectan a todos diariamente. El resultado es visible en cada faceta del fallido proyecto argentino.
ResponderBorrarTe felicito por el análisis y espero sea oído.
En los supermercados la anónima una empleada te escanea los dni para dejarte ingresar...eso es correcto!!!
ResponderBorrarMe parese muy bien lo q hacen pero yo estoy viviendo en la zona rural de tordilla y me tube q quedar aca por la cuarentena pero ya quiero regresar ..
ResponderBorrarCertificado de regreso a casa .
BorrarPodes pedir un auto particular que te taiga
como es para saver si cobro los 10.000 peso
ResponderBorrarcomo es para saver si cobro los 10.000 peso
ResponderBorrarEl dni lo perdí y como sacó si el nu.ero de tramite
ResponderBorrarExcelente análisis. Gracias por compartir.
ResponderBorrarEs todo una mentira
ResponderBorrarComo sacar el permiso de circulación
ResponderBorrarEl 18/5/20 tengo turno con el médico en recoleta Barrio Norte y quiero hacer el certificado de 24 hs , todo bien pero cuando quiero poner poner el barrio y el partido no aparecen dentro de las opciones. Igualmente tengo el certificado único por mi trabajo que puedo circular. Yo solo espero no tener problema. Igualmente llevo el comprobante del turno.
ResponderBorrarMi hija dió los datos para regreso a Casa y al descargar el PDF te dice que no se ha registrado ningún permiso con ese DNI ni con ese número de trámite, que pasa entonces??
ResponderBorrarQue espere un poco más. Es lo que te dice el sistema hasta que te lo aprueban
BorrarHola tiene que volver a hacerlo a mi me paso lo mismo y lo ingrese de nuevo y salio.
BorrarTarda bastante a mi marido se lo solicite y le demoró casi 3 días
BorrarDejen de mentirles a la gente la gente no come clavos
ResponderBorrarSeñores estoy encuadrado dentro de las excepciones y el sistema no reconoce mis datos por un error Renaper. He recibido sin solución 10 respuestas robóticas inútiles y continuó privado de mi derecho. Ese derecho es el de trabajar. Inútil clamar por el derecho al trabajo en una cultura autodestructiva y parasitaria como resultan algunos organismos
ResponderBorrarEse certificado me parece una pérdida de tiempo, porque cualquier persona con datos de una empresa que esté autorizada a trabajar en la cuarentena puede tramitar el certificado con solo poner el cuil del supuesto empleador ya podría salir a donde sea o a donde quiera supongamos yo pongo que trabajo para prosegur y lleno con mis datos y listo y ya saqué el certificado es una estupidez y perdida de tiempo
ResponderBorrarSep, pero al menos con esto perdemos TOD☀S, porque es un gobierno para TOD☀S :)
ResponderBorrarMi pregunta es, que datos aparecen cuando me escanean el código qr? En el celular del policía que datos mios le figuran?? Gracias
ResponderBorrarJusto eso queria saber quienes iban a tener acceso a nuestros datos, si vos te fijas por ejemplo aca (https://unostramites.com/guia-para-sacar-el-permiso-de-24-horas-en-argentina/) te dice que tenes que tenes que identificar de es aforma que decis, no entiendo porque no por el documento
ResponderBorrar