22 mar 2021

¿Es posible falsear el registro para vacunarse en Argentina con el número de trámite?

Este es un relato en primera persona sobre la deficiencias del DNI Argentino y como se puede manipular el sistema de vacunación actual, falseando datos, usando para ello el número de DNI, el número de trámite o el código de barra PDF147.

1. Lo primero que me llamó la atención es que hace más de un año varios comentaban por Twitter que el número de trámite (o el código PDF417) se usaba en ANSES como clave de ingreso y empecé a negarme a que me fotocopiaran el DNI en los envíos de ML. Al principio alguien se quejaba, pero después aceptaron que tape ese número.

2. Yo vivo en Provincia de Buenos Aires, así que, para registrarme para el plan de vacunación, lo hice a través de este formulario: https://vacunate.ms.gba.gov.ar/#request. Al finalizar, no me enviaron ningún correo de confirmación así que me bajé la app "vacunatepba" y ahí apareció por primera vez el pedido de número de trámite.

3. Aquí, como se puede verse, no se solicita el correo electrónico con el que me registré la primera vez.

4. Como en la app tampoco me figuraba que estaba registrado (luego comenzó a aparecer) me pasaron este sitio web para realizar el registro: https://sso.gba.gob.ar/web/login/SALUD. Como se puede ver, esto parece simular algún tipo de SSO (con DNI y trámite) y en RENAPER aparecen los mismos campos de entrada de la app:

5. Este es un problema: cualquier persona con una copia de tu DNI podría ver tus datos, el DNI, el número de trámite y el código PDF417. Además, los datos se pueden editar e inclusive se puede modificar el correo electrónico.

6. Peor aún que el correo, también se puede editar el "Grupo poblacional" que es lo que determina la prioridad en los turnos para la vacunación, además de la edad de la persona.

7. Uno podría pensar que la suplantación de identidad no tiene mucho sentido, más que perjudicar bajando la prioridad del turno, pero hoy en día con los problemas de la vacunación VIP se podría incriminar a personas conocidas de alterar el grupo para recibir preferencias.

Se sabe que el Estado utiliza el número de trámite para otras actividades y registros electrónicos (como ANSES, AFIP, RENAPER, TAD, VACUNAR, etc.) pero me llamo poderosamente la atención que ninguno de mis conocidos nunca se había planteado tapar esos datos (el trámite y PDF417).

Este es un llamado a la solidaridad y a los responsables que corresponda: el número de trámite debe dejar de ser un dato sensible, debe desaparecer del DNI y no debe utilizarse en sistemas gubernamentales para realizar la autenticación del usuario.

Las soluciones a este diseño incorrecto del flujo de programa puede ser un segundo factor de autenticación a través del teléfono o del correo electrónico o directamente a través del reconocimiento facial.

Mientras, la recomendación es la misma: NUNCA brindes (o compartas una foto) tu número de trámite ni el código PDF417 a un tercero. Si alguien tiene una copia del DNI, y del número de trámite en particular, puede hacerse pasar por otra persona.

Entonces, ¿es posible falsear el registro para vacunarse en Argentina con el DNI y número de trámite? No solo es posible, esto ya sucede en Argentina desde hace tiempo; la suplantación de identidad existe y es real; los delincuentes lo saben y, el Plan de Vacunación no es más que otro aspecto que seguramente utilizarán a su favor y en nuestra contra. El Estado debe responder.

Marcos F. para Segu-Info

Suscríbete a nuestro Boletín

4 comentarios:

  1. "Las soluciones a este diseño incorrecto del flujo de programa puede ser un segundo factor de autenticación a través del teléfono o del correo electrónico o directamente a través del reconocimiento facial."

    No esta bueno recomendar el reconocimiento facial !



    ResponderBorrar
    Respuestas
    1. Si, coincido pero en las condiciones actuales seria 1000 veces mejor que lo que hay.

      Borrar
  2. Es curioso... tengo una consulta: hay grupos en argentina donde son estos los temas de conversación? estoy abriendo los ojos

    ResponderBorrar
  3. Marcos F., excelente post.
    Me ocurre algo similar hace un par de días; debo sacar un turno en un sitio de gobierno local y para ello antes me solicitan cargar esta información con la supuesta finalidad de "autenticarme", para lo cual me piden un upload con foto del frente y dorso del DNI. En ambos casos las fotos están "sujetas a verificación". Como el proceso de verificación lleva 24 horas, es altamente probable que sea realizado por un analista humano ...
    Al momento de subir la foto del frente tapé adrede el nro. de trámite y el código PDF417, tras lo cual me indicaron que no pueden autenticarme debido a que la foto está "cortada". No estoy dispuesto a brindar tales datos.
    Situación: No tengo derecho a un turno porque no han podido "validar mi identidad".
    Detalle: Debido a la pandemia, la única forma de obtener el turno que necesito es a través del sitio web y el portal en cuestión.
    Adhiero al llamado a la solidaridad. Agrego al pedido el urgente tratamiento en el Congreso del proyecto para una "nueva" Ley de Habeas Data que actualice la vetusta 25.326 (https://www.hcdn.gob.ar/proyectos/textoCompleto.jsp?exp=0070-D-2020&tipo=LEY). Los datos sensibles merecen definición y tratamiento acordes; en este caso el "número de trámite" del DNI no debe considerarse dato sensible ni asociarse a procesos de autenticación.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!