Tecnología > HACKEO A DNIC
Hackeo a Identificación Civil: el antecedente de quien obtuvo las cédulas de casi todos los uruguayos
El hackeo a la Dirección Nacional de Identificación Civil (DNIC) es un caso más a la debilidad que ha mostrado el Estado uruguayo a la hora de proteger datos personales de los uruguayos.
El más resonante fue el de Ezequiel Pereira, un estudiante de la Facultad de Ingeniería de la Universidad de la República, que a sus 20 años accedió a la lista con los números y nombres completos de casi todas las personas que sacaron la cédula en Uruguay a lo largo de la historia.
Pereira, quien contó el caso a Cromo en febrero de 2020, se hizo conocido por hackear un sistema de Google y recibir US$ 36 mil como recompensa. Luego de ello, fue convocado para trabajar como analista de seguridad informática en Facebook y hoy trabaja para Google.
La historia de Ezequiel y las cédulas
El entonces estudiante de la Facultad de Ingeniería quería acceder a todas las cédulas como insumo para armar su árbol genealógico. Luego, para ayudar a otros, colgó la lista en internet para que cualquiera pudiera acceder, ya fuera para conocer su historia o con algún otro fin, como por ejemplo para sacar la ciudadanía de otro país.
Encontró cédulas cuya numeración comenzaba en 10-7 y llegó hasta las que iniciaban con 6 millones. Recopiló más de 4 millones. “Había algunas que no existían”, comentó. Por ejemplo, entre la cédula 2 millones y 2,5 millones no aparecían sus dueños. El estudiante de ingeniería cree que esas 500 mil cédulas no quedaron registradas por un problema en la transición del antiguo al nuevo sistema de la DNIC.
"A mí me fue bastante útil –contó–. Buscaba los nombres de mis ancestros, veía el número de cédula, después iba a la DNIC y les demostraba que estaba relacionado con la persona que estaba buscando. La DNIC buscaba en sus archivos y me daba el número de partida de nacimiento. Con eso podía ir al Registro Civil y obtener información de mi ancestro. Por eso era bastante útil la cédula”, contó a Cromo en ese momento.
¿Cómo accedió a esa base de datos?
La información fue recolectada en sitios web gubernamentales. En algunos trámites de estas páginas exigen que se escriba un correo electrónico, luego un número de cédula de identidad, sin puntos ni guion. Tras digitar el número, el sistema devolvía automáticamente el nombre y apellidos y, en casos específicos, fecha de nacimiento. El sistema arroja esta información para agilizar el trámite que el usuario realiza “ahorrándole” escribir su identidad completa.
Ezequiel aprovechó esta función y montó un programa informático (en la jerga informática le llaman script) en el que todos esos pasos, en vez de realizarlos una persona, los hiciese una computadora. Y así el programa probaba por sí solo todas las cédulas de la historia. Número por número. Automáticamente, le arrojaba el nombre y apellido. Así generó la gigantesca base de datos.
Esto sucede con algunos formularios web del Ministerio de Educación y Cultura, de Turismo, de Economía y Finanzas, de la Dirección Nacional de Loterías y Quinielas, del Banco Central del Uruguay, Unidad Reguladora de Servicios de Comunicaciones (Ursec) y de la Unidad Reguladora y de Control de Datos Personales (Urcdp), según contó.
¿Una falla del Estado?
Para Ezequiel la posibilidad de que cualquiera escribiera una cédula y automáticamente arrojara un nombre era una posible vulnerabilidad informática del Estado. Por eso, reportó esta situación en marzo del año pasado al Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CertUy).
En la respuesta que le devolvieron, según un correo electrónico al que accedió Cromo, no le dieron a entender que esto lo fuesen a cambiar. De hecho, Cromo pudo comprobar que en un sitio del Ministerio de Turismo todavía sigue apareciendo esta función.
Luego, decidió publicar la lista que había tenido. “Salía de fuentes públicas. No tuve que hackear ningún sistema del Estado”, comentó Pereira. El joven insistió en explicar cuál fue su objetivo en todo esto: guiar a la gente que estuviese buscando información genealógica en Uruguay.
Una vez que estuvo online, la Unidad Reguladora y de Control de Datos Personales (Urcdp) recibió algunas denuncias cuestionando la existencia de esa lista en internet y se puso a trabajar. Rápidamente se inició un expediente y le exigieron a Ezequiel que la bajara. “Me hicieron una observación, me pidieron que la sacara y, luego que fue bajada, verificaron que no estuviese más”, agregó el estudiante de ingeniería.
¿Es ilegal que alguien publique la lista con todas las cédulas?
La Urcdp analizó el caso concreto en un expediente al que accedió a Cromo. Cita el artículo 17 de la ley de datos personales (18.331) que señala que los datos solo podrán ser comunicados "con el interés legítimo del emisor y del destinatario y con el previo consentimiento del titular de los datos". A él se le debe informar sobre la finalidad de la comunicación.
Sin embargo, establece una serie de excepciones para las que no es necesario el consentimiento. Por ejemplo, cuando los datos provengan de fuentes públicas de información, publicaciones en medios masivos, entre otros motivos.
Si bien Pereira los recopiló de fuentes públicas, la Urcdp se basa en el artículo 8 de la ley, para oponerse a la divulgación: "Los datos objeto de tratamiento no podrán ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención".
En el expediente también se agrega que el tratamiento de los datos que posee la DNIC está reglamentado en varias normas. Y que en este caso no hay una "finalidad compatible o similar" con lo que dice esa ley.
La Urcdp concluye que la divulgación de esta nueva base generada por Ezequiel Pereira cuenta con una "notoria ilicitud" y por eso se lo intimó a dar de baja toda la información, según una resolución firmada el pasado 9 de setiembre por Gonzalo Sosa, miembro del organismo.
