Ante la denuncia de una usuaria, la empresa explicó que avisó por SMS y por su web amparándose en el Decreto 64/020
Información de Agustina Pérez Comenale fue víctima de una filtración de datos personales tras el ataque a la plataforma TuID de Antel.
Antel admitió ante la Unidad Reguladora y de Control de Datos Personales (URCDP) que la filtración de TuID, la plataforma de identidad digital de Antel, dejó expuestos nombres, cédulas, teléfonos, correos, fechas de nacimiento y domicilios de sus usuarios, pero negó que las imágenes difundidas por el grupo Pampa Leaks salgan de sus sistemas.
La información llegó después de que una usuaria afectada denunciara ante la URCDP la vulneración de sus datos personales y que ese organismo le pidiera explicaciones a Antel sobre cómo protege y maneja la información de los usuarios.
En el escrito, la empresa confirmó que "la plataforma TuID, propiedad de ANTEL y administrada por INTERFASE S.A, sufrió una vulneración de ciberseguridad", ocurrida el 14 de abril.
¿Cómo entraron? Según Antel, "los atacantes realizaron consultas de cédulas válidas (utilizando el algoritmo de cédulas existentes) en forma automatizada a la API". Una API es la ventanilla por la que dos programas se piden datos entre sí: una app le pregunta algo a un sistema y este le responde. En vez de una persona consultando de a una, los atacantes usaron un programa que disparó miles de consultas seguidas, sin parar.
El otro detalle es el "algoritmo de cédulas". Los números de cédula uruguayos no son al azar: siguen un patrón matemático, así que es posible generar números de documento válidos sin conocerlos de antemano. Eso hicieron los atacantes: probaron cédula tras cédula. Y, según el escrito, cuando una de esas cédulas "se correspondía con un usuario registrado en TuID, devolvía los datos personales" de esa persona.
¿Qué quedó expuesto? Antel aclaró que para los usuarios de Nivel 3 –usuarios que realizaron el registro de forma presencial en un local habilitado de TuID, donde se valida la huella dactilar con los datos de la Dirección Nacional de Identificación Civil (DNIC) como la denunciante– los datos accedidos fueron "nombres, apellidos, número de cédula de identidad uruguaya, teléfono móvil, correo electrónico, fecha de nacimiento, país, domicilio, localidad y departamento".
Sobre las fotos que circularon, Antel fue tajante: "En ningún caso se extrajeron imágenes, porque ni la base de datos ni la API contiene dicha información". Y agregó que las imágenes publicadas por "Pampa Leaks" –el grupo que se adjudicó el ataque– "no se corresponde con información extraída de Antel".
La empresa también buscó llevar tranquilidad sobre lo más delicado de una identidad digital: la firma electrónica, que es el equivalente a firmar de puño y letra pero en trámites en línea. Según el escrito, en el ataque "no se expusieron contraseñas, PINes de firma, ni claves privadas" ni los "componentes criptográficos centrales" —las llaves secretas que hacen que una firma digital sea válida—, por lo que se mantiene "la confiabilidad del sistema de firma electrónica".
La ley que busca proteger los datos personales de las personas establece en el Artículo 38: “Cuando el responsable o encargado de una base de datos o de tratamiento, tome conocimiento de la ocurrencia de la vulneración de seguridad, deberá informar inmediata y pormenorizadamente de ello y de las medidas que adopte, a los titulares de los datos y a la Unidad Reguladora y de Control de Datos Personales “.
Ese reporte debe indicarse en un plazo máximo de 72 horas tras tener conocimiento de la vulneración, detallando los datos afectados y las medidas mitigantes aplicadas.
Antel sostuvo que dio aviso a los organismos del Estado que correspondían. Realizó "las comunicaciones correspondientes al CERT.uy, a la URCDP y a la Dirección General de Cibercrimen del Ministerio del Interior", el primero el equipo estatal que atiende incidentes informáticos y el último la policía especializada en delitos informáticos.
El punto más sensible es si avisó bien a las personas. La empresa se apoyó en el artículo 4 del Decreto 64/020, que según su lectura obliga a comunicar la filtración solo a los titulares "cuyos derechos hayan sufrido una afectación significativa". Y argumentó que en este caso "no se vieron afectadas credenciales o información que permita el acceso a cuentas bancarias", ni datos que puedan causar "un impacto económico material o consecuencias jurídicas".
Con ese criterio, Antel describió dos avisos. El 18 de abril mandó un SMS "de carácter genérico" que, según el escrito, "remitía a las acciones a tomar por los usuarios para prevenir el phishing" —los correos o mensajes que se hacen pasar por una empresa para robar datos—. Y el 7 de mayo publicó un comunicado en su web "informando el alcance del incidente general que afectó gran parte de la base de datos de TuID".
La empresa admitió que no avisó persona por persona y lo justificó así: "la norma no establece expresamente el medio a utilizar" y, "tratándose de un incidente masivo, se entendió pertinente la comunicación a través de la web de Antel para lograr un mayor alcance".
Por último, Antel detalló que "se actuó en tres niveles: contención, análisis y fortalecimiento" y que adoptó las acciones técnicas necesarias para "contener el incidente, mitigar su impacto y erradicar la amenaza (cierre de vulnerabilidades)". Con el descargo presentado, el 3 de junio la URCDP dio vista a la denunciante para que "realice las consideraciones que estime pertinentes".
"El SMS fue genérico. No decía que había una filtración, ni qué datos míos estaban expuestos, ni las consecuencias, ni a dónde pedir ayuda", cuestionó la abogada especialista en protección de datos Agustina Pérez Comenale.
"La regulación exige una comunicación a las víctimas si puede haber un impacto significativo y que el mensaje sea con lenguaje claro. Esto es para todos los datos personales, no solo los especialmente protegidos o las credenciales", sostuvo.
También afirmó que "el relato fue cambiando" y señaló que "primero fue el SMS, después un comunicado web, después una conferencia donde lo minimizaron a 'un conjunto acotado'... para terminar en un número mayor, aparentemente la mayoría empleados".
Además, recordó un antecedente de la empresa: "No es la primera vez: en 2023 la URCDP ya había apercibido a Antel por otra vulneración".
Finalmente, concluyó: "Mínimo, merecemos saber qué pasó con nuestros datos de manera clara y adecuada. Es hora de empezar a comunicar de manera correcta y transparente".