Un fallo de la web dejó sin protección datos de 115 mil argentinos que pidieron permisos de circulación

Según informaron, los datos de los trabajadores de San Juan estuvieron expuestos durante al menos dos semanas, desde el 12 al 29 de julio, cuando la Dirección Nacional de Ciberseguridad de Argentina se anotició del incidente

WhatsApp

Una base de datos de más de 115.000 trabajadores esenciales de la provincia de San Juan que solicitaron permisos de circulación para poder transitar durante la cuarentena por coronavirus fue expuesta en la web sin una contraseña o cualquier otra autenticación para acceder a ella.

Los datos incluyeron nombres, números de DNI, números de identificación fiscal y otra información sobre los solicitantes. El agujero de seguridad fue detectado por la empresa Comparitech, que alertó al gobierno argentino.

La empresa de ciberseguridad descubrió la base de datos desprotegida el 25 de julio e inmediatamente alertó al gobierno. Según informaron, los datos estuvieron expuestos desde el 12 al 29 de julio, cuando la Dirección Nacional de Ciberseguridad de Argentina reconoció el incidente y avisó a las autoridades sanjuaninas.

Según la empresa, la base ya había sido infiltrada por un «bot», un robot automatizado responsable de destruir cientos de bases de datos expuestas en las últimas semanas. En este caso, sin embargo, el bot dejó los datos intactos. Allí había registros de 115,281 personas, cada uno de los cuales incluía parte o la totalidad de la siguiente información: nombre completo, número DNI, número CUIL, género, fecha de nacimiento, foto, número de teléfono y dirección de correo electrónico.

Del total, 33,790 de los registros contenían un número de teléfono. La empresa comprobó que pudo usar el DNI, el género y el número de teléfono para enviar por correo electrónico copias de los permisos de circulación de los solicitantes utilizando el verificador de estado de solicitud en línea del gobierno de San Juan. “Cualquier dirección de correo electrónico funciona; no tiene que coincidir con lo que hay en la base de datos”, explicaron los expertos.

Los permisos incluían además información del empleador, su ubicación, número de teléfono y el código de validación del documento. Determinaron que los datos pertenecían al Ministerio de Salud de San Juan en base a una cookie emitida en la misma dirección IP en la base de datos. La cookie tenía la etiqueta «certificados_covid_19_ministerio_de_salud_publica».

La información contenida en esta base parece adecuada para el “robo de identidad y el fraude fiscal. Los números CUIL y DNI en particular podrían ser valiosos para los cibercriminales”, dijeron.

Y lograron demostrar que el sistema de solicitud de permisos de circulación es vulnerable al abuso: “Los delincuentes pueden obtener permisos a nombre de otra persona y usarlos para eludir las restricciones de cuarentena”, dijeron.

“Los solicitantes también deben estar atentos a intentos de phishing y estafas”, dijeron desde la empresa y agregaron: “Los delincuentes podrían usar la información en la base de datos para elaborar mensajes convincentes que engañen a las víctimas para que hagan clic en enlaces de phishing y entreguen información personal o financiera aún más sensible”.

Fuentes de la provincia gobernada por Sergio Uñac dijeron a Clarín que “la Dirección de Ciberseguridad recibió el 29 de julio pasado y desde el organismo a nivel nacional que coordina la respuesta ante incidentes de ciberseguridad, una alerta acerca de una vulnerabilidad de una herramienta de búsqueda específica, ELK. Esta vulnerabilidad afectó unas 4.000 bases de datos en el mundo, entre ellas, una de la nuestras que utiliza este producto como motor de búsqueda”.

Las autoridades agregaron que “el mismo día de recepcionada la alerta, se identificó, aisló y corrigió el problema. Se continúa trabajando en la incorporación de medidas adicionales de seguridad para todos los sistemas, incluyendo el reportado de Permisos de Circulación”. Sein embargo, desde Comparitech dijeron que habían dados un primer alerta el 25 de julio al Ministerio de Salud y que no habían recibido respuesta.

 

Comentarios