Ocurrió en San Juan. Una empresa de seguridad alertó sobre la falla en la aplicación del Gobierno. Datos sensibles quedaron expuestos dos semanas en Internet hasta que ese listado fue retirado.
Una base de datos con más de 115.000 trabajadores esenciales de la Provincia de San Juan que solicitaron sus permisos para circular en cuarentena, quedó peligrosamente expuesta en la web sin una contraseña o cualquier otra autenticación para acceder a ella. En el listado incluyeron nombres, números de DNI, números de identificación fiscal y otra información sobre los perjudicados
La falla fue detectada por la empresa de ciberseguridad Comparitech el 25 de julio pasado e inmediatamente alertó al gobierno. Según informaron, el contenido estuvo expuesto durante al menos dos semanas desde el 12 al 29 de julio, cuando la base fue retirada de la Web luego de que la Dirección Nacional de Ciberseguridad de Argentina reconociera el incidente y avisara a las autoridades sanjuaninas.
De acuerdo a la compañía que investiga este tipo de incidentes, la base ya había sido infiltrada por un “bot”, un robot automatizado responsable de destruir cientos de bases de datos expuestas en las últimas semanas. En este caso, sin embargo, al parecer el bot dejó los datos intactos. Allí había registros de 115,281 personas, cada uno de los cuales incluía parte o la totalidad de la siguiente información: nombre, número DNI, número CUIL, género, fecha de nacimiento, foto, número de teléfono y dirección de correo electrónico.
Del total, 33,790 de los registros contenían un número de teléfono. La empresa, según explicó, comprobó que pudo usar el DNI, el género y el número de teléfono para enviar por correo electrónico copias de los permisos de circulación de los solicitantes utilizando el verificador de estado de solicitud en línea del gobierno de San Juan. “Cualquier dirección de correo electrónico funciona; no tiene que coincidir con lo que hay en la base de datos”, dijeron los expertos.
Además, los permisos incluían además información del empleador, su ubicación, número de teléfono y el código de validación del documento. Determinaron que los datos pertenecían al Ministerio de Salud de San Juan en base a una cookie emitida en la misma dirección IP en la base de datos. La cookie tenía la etiqueta “certificados_covid_19_ministerio_de_salud_publica”.
Advirtieron que durante ese lapso, los datos podrían haberse usado para el “robo de identidad y el fraude fiscal. Los números CUIL y DNI en particular podrían ser valiosos para los cibercriminales”, dijeron. Y agregaron que lograron demostrar que el sistema de solicitud de permisos de circulación es vulnerable al abuso. “Los delincuentes pueden obtener permisos a nombre de otra persona y usarlos para eludir las restricciones de cuarentena”, dijeron.
“Los solicitantes también deben estar atentos a intentos de phishing y estafas”, dijeron desde la empresa. Y consideraron que “los delincuentes podrían usar la información en la base de datos para elaborar mensajes convincentes que engañen a las víctimas para que hagan clic en enlaces de phishing y entreguen información personal o financiera aún más sensible”.
Vale recordar que la provincia de San Juan es la menos afectada hasta ahora por la pandemia. Se detectaron apenas 22 casos positivos de coronavirus y el próximo lunes será la primera en reanudar las clases presenciales.
