Algunos trámites del Estado devuelven el nombre completo y la fecha de nacimiento al digitar la cédula de identidad; hay diferentes opiniones sobre si eso es una falla de seguridad
Tu número de cédula de identidad es el que te identifica. Hagas el trámite que hagas, y hasta para viajar al exterior a algunos países, es indispensable.
En los últimos años ha aumentado la cantidad de hackeos que comprometen la seguridad informática de algunas cédulas.
Hace un par de semanas, las fotos de las cédulas de más de 100 personas empezaron a circular por internet. Pero, ¿qué tan riesgoso es que aparezca en internet?
En 2019, Ezequiel Pereira, un joven experto en seguridad informática que había hackeado a Google y obtenido miles de dólares de recompensa, quería armar el árbol genealógico de su familia. Para ello, necesitaba información.
Una de las formas de acceder fue recolectar aprovechando para algunos un error o vulnerabilidad, y para otros una mera función para agilizar la tarea de los usuarios.
En algunos sitios web gubernamentales los usuarios podían digitar su número de cédula y el sistema devuelve automáticamente el nombre y apellidos y fecha de nacimiento. El sistema arroja esta información para agilizar el trámite que el usuario realiza “ahorrándole” escribir su identidad completa.
Ezequiel Pereira creó un programa informático que logra registrar todos y cada uno de las cédulas a lo largo de la historia.
En su momento las subió a internet, y la Unidad Reguladora y de Control de Datos Personales (URCDP) lo intimó a darla de baja.
El Observador comprobó que esa función aún se sigue permitiendo en algunos sitios web del Estado y, como tiene una conexión directa con la Dirección Nacional de Identificación Civil, todas las cédulas que se hayan anotado recientemente también aparecen.
Los expertos en seguridad informática tienen opiniones disímiles sobre qué tan riesgoso es que los organismos sigan permitiendo esto, y que la lista completa de cédulas (con nombres y fechas de nacimiento) dé vueltas en la red.
El más crítico fue Mauro Eldritch, hacker analista en ciberseguridad. “No veo necesidad de que un sitio web oficial revele la fecha de nacimiento ni el nombre completo. Menos a un anónimo, porque después arman una lista (…) Es un comienzo que después puede ir escalando hasta donde dé”, comentó.
Según dijo, “podés automatizar” y buscar las cédulas de forma "incremental”. “El dato que se filtra una vez no lo volvés a recuperar, se filtra para siempre. Ese es el tema”, puntualizó.
En un nivel más intermedio está El Cuervo, hacker que se vulneró la tarjeta STM para reportar fallas a la Intendencia de Montevideo. Considera “hay datos que no están custodiados apropiadamente” y que el asunto es debatible.
Pablo Giordano, CTO de Hacknoid, empresa que brinda servicios de seguridad informática, considera que si bien “no son datos críticos para los criterios de ciberseguridad utilizados hoy en día”, cree que una lista de estas características en manos de los atacantes causaría problemas.
“Podrían facilitar ataques de phishing, permitirles adivinar contraseñas, contactar personas, y luego con esa información sí acceder a datos mas importantes”, indicó.
Ezequiel Pereira, el analista en ciberseguridad que hoy trabaja para Google, dio una opinión “personal, no profesional”. “No es una vulnerabilidad, el número de CI es algo que se usa tanto que en general se puede encontrar en pila de lugares. Mi número de CI está a la vista de todos en un número de resoluciones de la Intendencia de Montevideo, por ejemplo. Y creo que hoy en día hasta las partidas de nacimiento (que son públicas) lo incluyen”, dijo.
De todas formas, dijo que hay que tener en cuenta que “quizás” algunos organismos/empresas “no verifiquen correctamente quién está haciendo un trámite (por ejemplo, por teléfono)”. Eso “podría facilitar algunas situaciones de fraude / robo de identidad”, dijo.
La Unidad Reguladora y de Control de Datos Personales (Urcdp) evaluó el caso específico de Ezequiel Pereira, luego de que trascendiera la lista completa de cédulas. En este, se refirió al artículo 17 de la Ley de Protección de Datos Personales (18.331), que establece que los datos solo pueden ser divulgados con el consentimiento previo del titular y cuando exista un interés legítimo tanto del emisor como del receptor. Además, se debe informar al titular sobre el propósito de la divulgación.
No obstante, la ley también presenta varias excepciones en las que no se requiere dicho consentimiento. Por ejemplo, cuando los datos provienen de fuentes de información públicas o se publican en medios de comunicación masivos, entre otros casos. Por ejemplo, cuando uno pide información pública a un organismo, la cédula aparece en un documento público que cualquiera puede acceder por ley.
Aunque Pereira obtuvo los datos de fuentes públicas, la Urcdp se apoya en el artículo 8 de la misma ley para oponerse a su divulgación, indicando que los datos no deben utilizarse para propósitos diferentes o incompatibles con los que motivaron su recolección inicial.
El expediente agrega que el tratamiento de los datos en poder de la Dirección Nacional de Identificación Civil está regulado por diversas normativas y que, en este caso, no existe una finalidad compatible o similar con lo estipulado por la ley.
Finalmente, la Urcdp concluye que la divulgación de esta nueva base de datos creada por Ezequiel Pereira representa una clara ilegalidad, razón por la cual se le ha requerido la eliminación de toda la información, según una resolución firmada el 9 de septiembre de 2019 por Gonzalo Sosa, miembro del organismo.
En definitiva, el número de cédula puede ser público si proviene de un lugar público, pero no puede subirse una lista completa a internet de todas juntas.