“Funciona para personas políticas expuestas (los muy ricos) y también para niños”, dice en la descripción.
El subsecretario del Ministerio de Transporte, Daniel Pérez, dijo a El Observador que dieron de baja el trámite y lo reactivaron agregándole "más capas de seguridad". Además, están en contacto permanente con la Agencia del Gobierno Electrónico (Agesic) sobre este tema.
Cómo lo vende ExPresidents y qué es BreachForums
ExPresidents vende este sistema por créditos, una moneda interna de BreachForums. Se trata de un foro que fue cerrado en mayo por el FBI, pero que resurgió días más tarde en internet.
Allí suelen publicarse varias filtraciones de empresas e instituciones uruguayas. En general, estas filtraciones fueron realizadas por el grupo de cibercrimen conocido como ExPresidents y, más recientemente, por un grupo llamado GOHAND, que se ha especializado en un nuevo tipo de ciberataque conocido como "data extortion" (extorsión de datos).
Un sistema ya conocido
El acceso a las cédulas mediante esta función no es nuevo. Desde 2019 se comprobó que era posible (y todavía sigue siéndolo).
Ezequiel Pereira, un uruguayo que había hackeado Google y que hoy es ingeniero en seguridad para esta compañía, intentaba armar un árbol genealógico y, para ello, necesitaba los datos de sus ancestros.
Ezequiel descubrió que varios sitios web del Estado tenían esta función: al momento de ingresar la cédula para iniciar cualquier trámite, devolvían la fecha de nacimiento y el nombre completo de la persona.
Ezequiel aprovechó esta funcionalidad y creó un programa informático, conocido como script en el ámbito tecnológico, que permitía a una computadora realizar esos pasos en lugar de que lo hiciera una persona de forma manual. El programa probaba automáticamente cada número de cédula a lo largo de la historia y, uno por uno, devolvía los nombres y apellidos correspondientes. De esta manera, logró generar una enorme base de datos.
El Observador comprobó en ese momento que había trámites de varios organismos que permitían hacerlo. Y, según se pudo verificar este viernes, todavía hay trámites que lo siguen permitiendo en otros organismos del Estado.
Ezequiel encontró cédulas cuya numeración comenzaba en 10-7 y llegó hasta las que iniciaban con 6 millones. Recopiló más de 4 millones, según contó a El Observador en 2020.
¿Es una falla informática y qué se podría hacer con la cédula?
En su momento, Ezequiel reportó esta situación al Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy), pero no le dieron una respuesta indicando que repararían el error, por lo que no fue interpretado como una vulnerabilidad informática.
El propio Pereira informó en su momento que no tuvo que hackear nada, ya que esos datos se desprendían de fuentes públicas de organismos del Estado.
Mauro Eldritch, un experto en temas de seguridad informática, considera que este asunto es "grave" porque podría utilizarse para cometer fraudes.
Primero, entiende, porque permite armar una lista completa con esos datos. "En muchos lugares te piden como dato de validación tu fecha de nacimiento para verificar tu identidad. Ni hablar si con esa información pueden cruzar datos con alguna consulta de la DGI para obtener el domicilio o la categoría tributaria (para saber cuánto ganás). Es un comienzo que después puede escalar hasta donde sea posible", opinó Eldritch.
Y expresa una máxima que deberían conocer quienes trabajan en estos temas: "El dato que se filtra una vez no lo recuperás más; se filtra para siempre".
Claudio López, especialista en ciberdefensa, explicó que que “es riesgoso desde el punto de vista que con esos datos, más algún otro logrado en base a ellos (la dirección de calle me imagino por ejemplo) podés suplantar la identidad de cualquiera”.
Si bien dijo que no es un ataque “gravísimo”, como puede ser obtener credenciales bancarias o una tarjeta de crédito clonada que tiene impacto financiero directo, pueden ser usados para ataques de “impersonar” para su objetivo final de “hacerse de dinero”.
López aseguró que estas bases de datos pueden ayudar a fortalecer un ataque de "ingeniería social", como el "cuento del tío". "Al llamarte haciéndose pasar por un banco, el estafador ya no pregunta solo por 'Fulano', sino por 'Fulano, cédula 1.234.567-8", lo que lo vuelve mucho más peligroso.
Martín Pesce, abogado de Ferrere especializado en temas de datos personales, explicó que si a algún organismo le roban datos de cédulas de identidad de su base, se enfrenta a un "incidente de seguridad" que debería notificar al regulador.
El problema de la difusión de cédulas de identidad
En 2022 se conoció un hackeo que afectó a la Dirección Nacional de Identificación Civil (DNIC) en 2020, comprometiendo los datos personales de 84.001 personas. Los datos comprometidos incluían nombres, apellidos, fecha de emisión y vigencia, foto y firma holográfica, junto a la rúbrica del funcionario que autorizó el documento.
Un informe del CERTuy sostuvo que se trató de una intrusión de "severidad muy alta" y que "no fue posible" identificar el vector del ataque inicial.
A fines de 2022, un grupo de cibercriminales puso a la venta un lote de información sobre "todos los ciudadanos de Uruguay" en BreachForums. Eran 6 millones de registros, que incluían cédula y nombre completo. Aseguraron que podría haber sido extraído de una universidad nacional, algo que luego la Universidad de la República negó en un comunicado.
En abril, ExPresidents publicó en este foro cibercriminal más de 100 cédulas de identidad, con fotos del frente y dorso. Desde la DNIC negaron que este robo de información se haya debido a una vulnerabilidad en su sistema.
El tema de esta gigantesca base de datos de cédulas siguió dando vueltas. El pasado 1.º de agosto, un usuario uruguayo de la plataforma social Reddit dijo haber desarrollado un sistema que permitía encontrar personas en Uruguay a través de la cédula, nombre y apellido. En los comentarios, varios usuarios le advirtieron que era ilegal hacer algo así, y los moderadores del grupo procedieron a bloquear el posteo.
Expertos en seguridad informática aseguraron que la base de datos “es fácilmente” conseguible.
¿La cédula de identidad es un dato sensible?
Cuando Ezequiel Pereira publicó la lista completa de cédulas en un sitio web hace cinco años, su existencia llegó a oídos de la Unidad Reguladora y de Control de Datos Personales (URCDP), que se puso a investigar el asunto.
Rápidamente se inició un expediente y le exigieron a Ezequiel que retirara la lista. “Me hicieron una observación, me pidieron que la sacara y, luego de que fue bajada, verificaron que no estuviese más”, relató Pereira, entonces estudiante de ingeniería, a El Observador.
A pesar de que Ezequiel Pereira obtuvo los datos de fuentes públicas, la URCDP se apoyó en el artículo 8 de la ley 18.331, que prohíbe el uso de datos para fines distintos a los que motivaron su recolección.
En el expediente se destacó que la Dirección Nacional de Identificación Civil (DNIC) regula el uso de sus datos bajo diversas normativas y, en este caso, determinó que no existía una finalidad compatible. Por ello, la URCDP determinó que la base de datos generada por Pereira era ilegal y le ordenó eliminarla, según una resolución firmada el 9 de setiembre de 2019 por Gonzalo Sosa.
Agustina Pérez Comenale, también abogada especializada en asuntos tecnológicos y de datos personales, explicó que el gobierno promociona una API (Interfaz de Programación de Aplicaciones) que permite que diferentes programas se comuniquen entre sí. En este caso, las empresas pueden usarla para verificar si los datos de los usuarios son auténticos, utilizando la información de la DNIC, que es una base de datos gubernamental con información personal. “Es algo habitual en empresas fintech”, indicó.
El problema no es el uso de esta base de datos, aseguró, sino cómo algunas personas acceden a estas bases, ya que allí podría haber un ilícito.
Patricia Díaz, integrante de la organización civil Datysoc, que vela por los derechos digitales de las personas en Uruguay, consideró que esta forma fraudulenta podría estar infringiendo la nueva ley de ciberdelitos, aprobada el mes pasado en el Parlamento.
Desde su perspectiva, podría haber un acceso ilícito a datos informáticos, lo que podría ser castigado con hasta cuatro años de cárcel.