Denuncian que se filtraron datos personales de Sanjuaninos que sacaron permisos

argentina covid-19 circulation permit

Según publicó el sitio especializado en seguridad https://www.comparitech.com/ los sanjuaninos estamos expuesto a graves peligros.

Este es el informe:

En Argentina, Sanidad ha hecho pública en su página web la base de datos que contiene información personal de quienes solicitaron permisos de circulación durante la COVID-19 para estar exentos de las restricciones de la cuarentena.

La base de datos, con información de más de 115 000 argentinos que solicitaron permisos de circulación, se subió a la red sin contraseña ni ningún otro tipo de autenticación de acceso. La información que se ha filtrado incluye, entre otras cosas, los números del DNI y los números fiscales de los solicitantes.

En Argentina, quienes trabajan en servicios esenciales pueden solicitar este permiso para quedar exentos de algunas restricciones durante la cuarentena de la COVID-19. Según las pruebas que tenemos, creemos que la información pertenece al gobierno de la provincia de San Juan, en Argentina, y al Ministerio de Sanidad Pública.

Bob Diachenko, investigador de seguridad de Comparitech, encontró la base de datos sin ningún tipo de protección el 25 de julio y alertó al ministerio de inmediato.

Por ahora no hemos recibido respuesta por parte del gobierno, pero actualizaremos el artículo si contestan.

Cronología de los hechos

La base de datos estuvo expuesta durante, al menos, dos semanas. Esto es lo que sabemos:

  • 12 de julio de 2020: la base de datos apareció en una búsqueda de BinaryEdge.
  • 25 de julio de 2020: Diachenko encontró la base de datos y alertó al Ministerio de Sanidad.
  • 28 de julio de 2020: eliminaron la base de datos, pero volvió a aparecer en línea sin explicación alguna. Esta vez, Diachenko alertó a la Dirección Nacional de Ciberseguridad, quienes se dieron por informados y pasaron la información que habíamos recopilado a los responsables del incidente.
  • 29 de julio de 2020: la base de datos quedó eliminada.

No sabemos si alguien sin autorización tuvo acceso a la base de datos, pero según nuestras investigaciones, las bases de datos sin seguridad empiezan a recibir ataques tan solo unas horas después de hacerse públicas, por lo que es muy probable que sí.

Cuando Diachenko la encontró, vio que un meow bot ya había accedido a la base de datos. Este es un bot automático que, en las últimas semanas, se ha dedicado a destruir cientos de bases de datos sin protección. Sin embargo, en este caso, la base de datos quedó intacta.

¿Qué información quedó expuesta?

san juan data

La búsqueda de Elasticsearch contenía información de 115 281 personas, incluyendo todos o algunos de los datos que vemos a continuación:

  • Nombre completo
  • Número del DNI
  • Número CUIL (número fiscal argentino)
  • Género
  • Fecha de nacimiento
  • Foto
  • Número de teléfono
  • Correo electrónico

De todos los historiales, 33 790 incluían un número de teléfono. En la página del gobierno de San Juan ofrecen una aplicación para comprobar el estado de las solicitudes. Introdujimos el DNI, el género y el número de teléfono de los solicitantes y obtuvimos sus permisos de circulación. Se puede usar cualquier correo electrónico, no tiene que coincidir con el que está en la base de datos.

argentina covid-19 circulation permit

Los permisos incluyen aún más información personal:

  • Empresa para la que trabaja
  • Lugar donde trabaja
  • Número de teléfono de la empresa
  • Los lugares a los que le permiten ir durante la cuarentena
  • Las horas del toque de queda
  • Si esa persona es o no un profesional de la salud
  • Código de validación del documento

Determinamos que la información pertenecía al Ministerio de Sanidad de San Juan por una cookie creada desde la misma dirección IP. El nombre de la cookie es: “certificados_covid_19_ministerio_de_salud_publica”. La dirección IP también incluía una página muy parecida a otras páginas oficiales del gobierno de San Juan.

ministry of publc health covid 19 argentina cookie

Los peligros de exponer información

No somos expertos en las leyes argentinas, pero la información que se ha expuesto en este caso parece perfecta para cometer un delito de robo de identidad y fraude fiscal. Los número del CUIL y del DNI podrían ser muy valiosos para los cibercriminales.

Como hemos demostrado, el sistema empleado para la solicitud de los permisos de circulación es muy vulnerable. Los delincuentes podrían obtener los permisos a nombre de otras personas y usarlos para saltarse las restricciones de la cuarentena.

Quienes hayan solicitado el permiso deberían estar pendientes, ya que podrían ser víctimas de un ataque de phishing o de timos. Los delincuentes podrían usar la información de la base de datos para crear mensajes convincentes y engañar a las víctimas para que hagan clic en enlaces de phishing. Incluso podrían acosarlos con información personal o financiera más delicada.

El Ministerio de Sanidad argentino debe mejorar su privacidad

El Ministerio de Sanidad argentino es quien controla la respuesta del país frente a la pandemia de la COVID-19. Además de los permisos de circulación, el ministerio ha creado una aplicación para que los ciudadanos comprueben sus síntomas. En esta aplicación, los ciudadanos deben introducir su información personal y sus síntomas para determinar si están contagiados.

A pesar de que es simplemente una aplicación para comprobar los síntomas, es necesario introducir información personal muy parecida a la que hemos encontrado en la base de datos: DNI, número de pasaporte, síntomas, edad, correo electrónico, número de teléfono y ubicación. Solo en Google Play, la aplicación tiene más de 5 millones de descargas.

Las aplicaciones para el coronavirus y los métodos para hacer seguimientos han supuesto una preocupación para quienes abogan por la privacidad, y este incidente les ha dado toda la razón.

¿Cómo y por qué nos dimos cuenta del incidente?

Los investigadores de Comparitech hacen revisiones rutinarias por Internet en búsqueda de bases de datos sin protección. Cuando descubrimos una, inmediatamente abrimos una investigación para determinar de quién es, a quién afecta y cuáles son las posibles consecuencias si un cibercriminal se hace con la información.

Una vez determinamos a quién pertenece la información, le enviamos una alerta para que la proteja. Después, publicamos un informe como este para que la gente esté informada y reducir el impacto a los afectados.

Artículo Anterior Artículo Siguiente