Los datos de muchos argentinos estarían a la venta en el mercado negro de Internet, la conocida como darkweb, como consecuencia de una afectación de ciberseguridad a las bases de datos del Registro Nacional de las Personas (Renaper), órgano encargado de emitir los documentos de identidad (DNI) y los pasaportes, y de la Agencia Nacional de Seguridad Vial de Argentina, entidad que otorga los registros de conducir. Ambas noticias, corrieron como agua en los medios locales, al igual que las desmentidas, los cruces y las acusaciones. Si, a la par que la transformación digital avanza en el sector privado y en el público, la ciberseguridad termina por convertirse en el Talón de Aquiles de toda estrategia que se precie. Y el caso argentino impone muchas preguntas que bien vale responder de a una.
¿Qué dice la voz oficial?
“A raíz de versiones que circularon en las últimas horas, desde el equipo técnico del Renaper y la empresa de ciberseguridad Danaide SA queremos llevar tranquilidad confirmando que no existió un hackeo a la base de datos del organismo ni una nueva filtración de información”, dice en su página web la entidad y aclara que “además de que no se detectó ningún hackeo, la capacidad necesaria para obtener la información de 65 millones de personas requeriría de una infraestructura similar a la fábrica de DNI y una capacidad de almacenamiento de 500 TB, fuera de la escala de un hackeo. Cualquier intento por obtener semejante cantidad de información hubiese sido detectada fácilmente por los servicios de ciberseguridad del Renaper y la empresa Danaide SA, contratada en 2021 mediante licitación pública. Se trataría además de una operación de semanas o meses de duración, siendo imposible de ejecutar en un solo día”.
Por su parte, el portal de la Agencia Nacional de Seguridad Vial no hizo mención alguna.
Mientras, TeleSemana.com aguarda conocer la voz oficial del Equipo de Respuesta ante Emergencias Informáticas nacional (CERT.ar) que, en su propia definición, trabajan “en la gestión técnico-administrativa de los incidentes de seguridad informática en el Sector Público Nacional” y que, tras la reorganización del organigrama público, habría quedado bajo la órbita de Alejandro Cosentino, secretario de Innovación, Ciencia y Tecnología.
¿Cuál fue el trascendido?
Buena parte de la prensa local, como Ámbito, Página 12, DiarioAr y La Nación, por citar algunos de ellos, dieron cuenta de la filtración masiva de más de 65 millones de registros de datos de las personas y de unas cinco millones de licencias de conducir, incluido el código fuente, las APIs y los acceso a los web services. Fotos y huellas digitales que, en este momento, estarían en oferta en la darkweb.
¿Qué dicen los especialistas?
TeleSemana.com conversó con Cristian Borghello, una de las personas que alertó sobre esta situación a través de su cuenta personal en la red social X (exTwitter). En su acreditación profesional, Borghello acumula ciertas siglas que hablan de su expertise y aprobación de estándares como CISSP-CCSK-CSFPC; además, es consultor y el director de Segu-Info y de otras iniciativas vinculadas a la ciberseguridad como ODILA, Segu-Kids y Antiphishing.
“Hace mucho tiempo que la situación en ciberseguridad en Argentina es preocupante por la falta de políticas claras sobre la temática. Y esto no es algo actual, de este gobierno o del gobierno anterior; es una situación que data de hace aproximadamente 20 años, tiempo en el que no se tomó en consideración ninguna de las recomendaciones de los profesionales de seguridad, ni a las buenas prácticas internacionales, ni a las certificaciones internacionales vigentes o, inclusive, las expriencias de otros Estados que están trabajando en esta en esta temática”, contextualizó Borghello y trajo el tema al presente: “Lo que está pasando en los últimos meses es la conclusión de todo eso, es decir, que se sigue publicando un montón de información y de datos personales de todos los argentinos, que incluyen la información de nuestros documentos de identidad, del registro del automotor, nuestas huellas digitales y fotografías. Todo esto no hace más que empeorar la situación y, lo más importante de todo, es que cualquier delincuente con un poquito de conocimiento o un poquito de dinero (porque están a la venta) puede acceder a esos datos”.
La mirada de Borghello se da de bruces con la versión oficial y asegura que se trata de una fuga de información que data desde 2021, aún a pesar de la frecuente negación del Estado. Algo asi como una gota que horada la piedra.
A Borghello le sorprende la negación del Renaper: “En ningún momento afirmamos que el robo de datos haya sido ayer. El robo de datos, en realidad, pudo haber sido ayer, o el mes pasado, o el año pasado. De hecho hay información de 2022. Esto puede ser producto de un trabajito de hormiga, de robar un mega hoy y 10 megas mañana. Es decir que hubiera bastado con tener un sistema de detección ya que, dado el volumen de datos robado, podría haber sido fácilmente detectado: Esto lo vuelve completamente ridículo desde el punto de vista técnico, además de que negar el problema no haga más que empeorarlo”.
La denuncia de este especialista involucró un intento de judicialización en 2021 y un llamado de atención esta semana. “Lo que hice fue comprobar que los datos fueran reales, que efectivamente había ciudadanos argentinos afectados y empresas, pero no corresponde a nuestro trabajo llevar adelante una investigación judicial o hacer una denuncia. Generalmente tratamos de informar, lo más rápido posible, para que el sitio en el que se habían publicado los datos se baje rápidamente, que fue lo que sucedió hoy”, admitió Borghello.
“En una sociedad tan dependiente de las tecnologías de la información y la comunicación, como la de hoy, la ciberseguridad es de alta prioridad y, lamentablemente, los niveles de conducción (fundamentalmente de la política), no se han preparado, ni entienden, ni comprenden las tecnologías. No digo para ser especialistas, sino para poder liderar la incorporación de tecnología en sus respectivos ámbitos y grantizar que la tecnología se aplique bien. No tienen el conocimiento real de la importancia que tiene la ciberseguridad”, dijo en diálogo con TeleSemana.com Rodolfo Laffitte, consultor especialista en TICs y exsecretario de Modernización de la Gestion Pública en la provincia de Neuquén, territorio que impulsó el uso de X-Road en el país, aquel software de código abierto que enarbola el paradigma estonio y que funciona como una placa de integración para garantizar el intercambio seguro de información en Internet.
Su experiencia es valiosa. En 2008 desarrolló en la provincia de Neuquén un sistema de integralidad que tomó como referencia a los principios aplicados en Estonia, considerado el país más digital del mundo. Dos años más tarde, incorporaron la plataforma tecnológica de intercambio de datos X-Road. Y, con el tiempo, la experiencia se llevó a otras partes del país.
“El modelo aplicado en Estonia tiene una robustez muy grande con respecto a la ciberseguridad y, hoy, es una norma con alcance nacional porque la trabajamos con varias provincias y con Nación, durante la gestión anterior”, recordó. Resumió, en ese sentido, que esta experiencia apostó al intercambio seguro, controlado y auditable de los datos de la administración pública montado bajo la dinámica de un ecosistema digital.
“Lamentablemente, vemos que con el tiempo se ha ido deteriorando porque quienes conducen estos grandes organismos pasaron a ser abogados o contadores y no tecnólogos, y aquí vemos la consecuencia”, dijo Laffitte y apuntó a las capacidades y las habilidades específicas que deberían tener los recursos humanos que están al frente de la toma de decisión.
“El manejo de datos en Argentina es catastrófico. Ya sea de los datos personales en el sector público como en el sector privado. Pero, lo que hace al sector público es una situación particularmente peligrosa por las condiciones y las capacidades que tiene”, consideró Beatriz Busaniche, presidenta de Fundación Via Libre y una referente en la cuestión regulatoria vinculada a las estrategias de uso de datos en la Argentina.
En ese sentido, destacó la incapacidad que tiene el Estado local al momento de mantener activa una política pública a través de las diversas gestiones, y coincidión con Laffitte en la necesidad de que las conducciones sean realizadas por profesionales con el máximo nivel de idoneidad requerido. “Si bien hubo algunos intentos desde años anteriores de establecer protocolos y lineamientos básicos para la protección de datos en el poder del Estado, como sucedió desde la Dirección Nacional de Ciberseguridad, su estructura y la forma en la que se organizan los ministerios, o las posibilidades de tener una autoridad centralizada que baje una línea estricta en materia de protección de datos, es inexistente”.
¿Qué pasa en la región?
Chile, Brasil y Costa Rica avanzan en estrategias concretas en materia de ciberseguridad, con estrategias específicas, presupuestos y regulaciones urgentes. En el caso de Chile, por ejemplo, desde hace dos semanas rige la nueva Ley Marco de Ciberseguridad que, tras un largo debate, instrumentó la creación de organismos específicos, la promoción de un ecosistema afín y la declaración de las redes de telecomunicaciones como parte de la infraestructura crítica del país.
En el caso de Costa Rica, un hackeo en las bases de datos de la administración pública dejó al país casi dos meses en vilo en 2022 por no poder funcionar con normalidad. El caso fue considerado “de prioridad nacional” , se tradujo en la proclama de una estrategia nacional hasta 2027. Dicho Plan involucró sancionar el Reglamento Sobre Medidas de Ciberseguridad Aplicables a los Servicios de Telecomunicaciones Basados en la Tecnología de Quinta Generación Móvil (5G) y Superiores, que impuso condiciones en la subasta de espectro para la quinta generación móvil, que limitó el tipo de infraestructura que podía instalarse en el país y que fue largamente discutido, al punto que la concreción de la subasta fuera paralizada vía judicial.
A la par, Brasil, también estrenó una legislación afin y la presentó como la Política Nacional de Ciberseguridad, a través de la que creó un comité afin y convocó a la sociedad a debatir sobre las urgencias y los pasos a seguir, al tiempo que promovió la cooperación internacional.
“La región está trabajando muchísimo en este sentido” valoró Borghello y destacó que Brasil avance en la legislación de datos personales. “De hecho, con multas muy severas a las empresas que no las cumplan, cosa que hoy debería pasar con organismos argentinos también pero que, lamentablemente, no pasa”.
“La situación internacional ha mejorado mucho en los últimos 10 años y en la región empezó a mejorar en los últimos dos o tres años, justamente, por eventos que ocurrieron en la zona, como los incidentes graves que tuvo Brasil, Colombia y Chile”, agregó Borghello.
¿Qué hacer?
A la hora de pensar en soluciones, Borghello se refirió a la necesidad de definir una política pública al respecto, algo que, a su entender, involucra inversiones, capacitación y la convicción de trabajar para alinearse con las buenas prácticas y las recomendaciones internacionales, entre las que destacó el reglamento europeo, las recomendaciones de la OCDE. “Creo que no podemos aspirar a ser un país seguro cuando, ni siquiera podemos reconocer los problemas que tenemos”, sinceró.
Para Busaniche, “sería deseable que en Argentina primero, exista una política de datos apropiada, que incluya el principio de minimización del dato, es decir, que el Estado deje de capturar datos de los ciudadanos sin justificación” y aclaró que “no estoy diciendo que el Estado no tiene que tener información, por supuesto que tiene que tener cierta información, pero debe ser la mínima indispensable para un fin objetivamente definido y no más”.
“Además, hay una responsabilidad que tiene el Estado, que es la de informar debidamente a las personas afectadas de los distintos tipos de filtraciones de datos y, en ese sentido, el Estado no hace nada, no se ha comunicado con las personas cuyos perfiles se han filtrado en la base de la base de datos Renaper o de las licencias de conducir… y uno tiene derecho a saber si sus datos han sido o no vulnerados para poder tomar las medidas preventivas apropiadas”.
En términos regulatorios, a fines de 2023 la Argentina trabajaba en la actualización de la Ley de Protección de Datos Personales, con una perspectiva innovadora, centrada en las personas. Del vamos, la ley que aún esta vigente fue considerada pionera en la región por haberle reconocido un marco constitucional. Sin embargo, aquella legislación sufrió cambios y amputaciones, y requería de una nueva letra.
En ese sentido, Busaniche subrayó que “hay un cambio de filosofía que es necesario hacer, que de hecho el proyecto de ley que está en la Cámara de Diputados, que no se ha tratado todavía y no creo que se vaya a tratar en este tiempo, cambia el objeto de la protección de los datos al derecho de los sujetos”. Y aunque parezca una cuestión técnica, es central porque son las personas el sujeto de protección, donde cuidar sus datos forma parte del cuidado de la persona. “Es decir, ya no hay una protección del dato como objeto, sino de los derechos del sujeto sobre los datos, y esto va en la misma línea de la autodeterminación informativa y otros avances que se han hecho en términos jurídicos y teóricos sobre la materia”.
Inclusive, esa iniciativa busca resolver un vacío legal vinculado a la autoridad de aplicación. “El vacío que hay en materia de observancia en protección de datos en Argentina es lamentable, la ley es muy laxa en relación a las condiciones de utilización de datos por parte del Estado porque, prácticamente, tiene carta franca para hacer y deshacer con nuestros datos; salvo algunos casos que se han judicializado”.
Un especialista planteó que se trata de la gota que horada la piedra. ¿Será también la que colme el vaso? Con todo, el tema preocupa a propios y ajenos.
