Noticias
RENAPER desmiente el hackeo a su base de datos
Según trascendió, la reciente filtración al RENAPER correspondía a información que fue extraída en 2021. Aseguraban que había sido subida a internet y puesta a la venta por ciberdelincuentes.
Una presunta nueva filtración de datos personales del Estado argentino había generado preocupación, ya que se comunicó que se pusieron a la venta en una web de hackers una base de datos completa del Registro Nacional de las Personas (Renaper), que supera los 65 millones de registros.
Según reveló Cristian Borghello, experto en Seguridad Informática, la filtración incluía el código fuente, API, contraseñas, fotos y huellas digitales. “Esta publicación es peor que las anteriores (si cabe) porque han publicado el código fuente, las APIs y los accesos a los web services”, señaló a través de su cuenta de X, en la que adjuntó capturas de pantallas de los datos que se ofrecen.
Hace unas semanas, se publicaron en un foro de compra y venta de datos personales y en Telegram más de 114.000 fotos de ciudadanos argentinos extraídas del Renaper. Cada archivo estaba acompañado del nombre completo y el número de documento de la persona.
Los archivos, que abarcaban números de DNI o pasaporte desde 10 millones hasta 57 millones (incluso de menores de edad), estaban disponibles en un archivo comprimido de 2,2 GB para el mejor postor.
Los ataques y filtraciones de datos no son algo nuevo. En 2021, un usuario de Twitter con la cuenta @AnibalLeaks publicó fotos de los DNI de varias personalidades destacadas como prueba de que tenía acceso a información de todos los habitantes de Argentina. Posteriormente, filtró 60.000 datos adicionales del Renaper.
Estos datos fueron obtenidos hace 3 años utilizando claves del Ministerio de Salud. Actualmente, hay un proceso judicial en curso por este incidente.
En relación con esto, fuentes del Ministerio del Interior informaron que “en 2021, un usuario con claves habilitadas del Ministerio de Salud extrajo datos del Renaper mediante la generación de consultas, haciendo un uso indebido de la información obtenida”.
“Los datos que circulan actualmente son producto de este incidente. Los especialistas en seguridad informática del organismo descartaron una filtración masiva de información o una vulneración de la base de datos”, evaluaron.
Recientemente, también circuló en Internet la posible filtración de la base de datos con más de cinco millones de licencias de conducir de Argentina, incluidas las del presidente Javier Milei y los ministros Patricia Bullrich y Luis Petri. Desde el Gobierno, por su parte, informaron que “no se encuentran comprometidas ni la base de datos, ni la información sensible”.
De acuerdo con el grupo de expertos en ciberseguridad birminghamcyberarms.co.uk, la base de datos de las licencias de conducir nacionales fue robada y puesta a la venta en la dark web por 3700 dólares. Se trata de la base de datos completa con casi seis millones de licencias registradas en la DNRPA (Dirección Nacional de Registro de Propiedad del Automotor).
A modo de prueba de la veracidad de la filtración, los hackers mostraron los datos del presidente Javier Milei y algunos de sus ministros. Además, sumaron capturas de las fichas de famosos como Marcelo Tinelli y Tini Stoessel.
Entre los datos que incluía la base, de 1,25 terabytes, está la credencial de ambos lados y toda la información que allí consta como: nombre completo, foto, QR, género, nacionalidad, fecha y lugar de nacimiento, dirección, tipo y grupo sanguíneo y nivel de licencia.
El comunicado del Renaper
A raíz de versiones periódicas que circularon en las últimas horas –dice el comunicado del Registro-, los equipos técnicos del Renaper y la empresa de ciberseguridad DANAIDE S.A confirmaron que no existió un hackeo a la base de datos del organismo ni una nueva filtración de información.
Además de que no se detectó ningún hackeo, los expertos de seguridad del organismo remarcaron que la capacidad necesaria para obtener la información de 65 millones de personas requeriría de una infraestructura similar a la fábrica de DNIs del Renaper y una cantidad de hardware cercana a la adquirida por el Gobierno nacional, dando por descartado que la información sea real. Asimismo, implicaría una capacidad de almacenamiento de 500 teras de storage, fuera de la escala de un hackeo.
Cualquier intento de obtener una cantidad tan grande de información hubiese sido detectada fácilmente por los servicios de ciberseguridad del Renaper, incluyendo la empresa Danaide SA, contratada en 2021 mediante licitación pública. Se trataría además de una operación de semanas o meses de duración, siendo imposible de ejecutar en un solo día.
