En los últimos días, se publicaron en la plataforma de mensajería Telegram más de 100 mil fotografías de ciudadanos argentinos, que habían sido robadas en 2021 al organismo estatal encargado de la emisión de documentos de identidad y pasaportes en la Argentina, el Registro Nacional de las Personas, o RENAPER.
Según fuentes del ministerio citadas por el diario Clarín, no hubo una nueva vulneración, sino que se volvieron a difundir las mismas imágenes que habían sido filtradas en aquel ingreso no autorizado.
En aquel entonces, el RENAPER había sufrido un acceso indebido que derivó en el robo de la información y la puesta a la venta de 60 mil registros completos de documentos de identidad, con datos aún más sensibles que los de este nuevo lote de información —como el número de teléfono del ministro de Seguridad nacional de aquel entonces.
Aunque la información vendida ahora es menos completa que la de 2021, se suma a datos que fueron expuestos en 2022 en la misma plataforma, lo que pone en relieve lo importante y dañino que pueden ser las brechas de datos; sus consecuencias pueden extenderse en el tiempo.
¿Cuáles son los riesgos?
El manejo de la información sensible y personal es un tema que siempre abordamos en nuestro blog.
Ante una filtración de información, los cibercriminales pueden obtener uno de los activos más buscados —a tal punto que se dice que los datos personales son el petróleo de esta era—. Con la publicación de miles de fotos de documentos de identidad, los cibercriminales pueden acceder a datos precisos que utilizan para diagramar sus estafas y engaños de maneras más convincentes.
Algunas formas en las que los cibercriminales pueden aprovechar toda la información filtrada por descuido son, por ejemplo:
- Ataques de Phishing: Contar con información fidedigna y en cantidad les permite a los criminales diagramas estrategias para engañar a los usuarios con mails de phishing más personalizados en los que se puede morder el anzuelo más fácilmente.
- Ataques de ingeniería social: Estas técnicas también se valen de engañar a una persona y llevarla a dar datos personales y sensibles, que usan luego para cometer estafas o acceder a cuentas y sistemas del engañado.
- Robo y suplantación de identidad: Que los cibercriminales cuenten con esta información, que muchas veces es parte de las credenciales de accesos a muchos sistemas que utilizamos a diario, que requieren como validación tener el DNI a mano para ingresar datos que sin filtraciones serían solo conocidos por quien porta el plástico.
Muchos servicios del estado usan el DNI como mecanismo de autenticación, por lo que el riesgo de suplantación de identidad es mayor, como nos ha explicado el abogado especializado en ciberseguridad, Julián Reale.
¿Qué deben hacer las empresas y organismos?
Es fundamental que cada empresa y organismo implemente los sistemas de gestión de la seguridad informática que aseguren la integridad y protección de los datos de las personas que interactúan con ellas.
En nuestra región se hace necesario que los gobiernos mejoren las prácticas en materia de ciberseguridad, y fortalezcan el marco legal para combatir los ciberataques y perseguir a los responsables.
Aunque en el panorama de legislación de protección de datos en Latinoamérica, queda mucho camino por recorrer, varios países se encuentra discutiendo, e implementando, legislación nueva sobre la protección de datos personales que se adapten a las exigencias que impone la digitalización.
Entre tanto, es importante insistir en aquellos aspectos de una política de seguridad (sea organización privada o estatal) que deben tenerse en cuenta al crearla e instaurarla:
- Inversión en ciberseguridad: Las organizaciones deben invertir en medidas de seguridad para proteger sus infraestructuras críticas y datos confidenciales.
- Educación de las personas que integran la organización para que estén conscientes de los riesgos de las distintas amenazas informáticas, para que sepan responder ante correos electrónicos de phishing y otras técnicas utilizadas por los ciberdelincuentes.
- Implementación de políticas de seguridad sólidas que incluyan el uso de contraseñas seguras y la limitación del acceso a datos y sistemas críticos.
- Establecimientos de planes de respuesta a incidentes que incluya los pasos a seguir para minimizar los daños y recuperar los datos de forma segura y rápida, ante un ataque.
Consejos para usuarios
En el caso de un mal manejo de nuestros datos personales por parte de las entidades a las que recurrimos como parte de nuestros deberes de ciudadano, nos quedan tal vez pocas opciones más que estar alerta e informarse sobre las políticas de seguridad informática en el ámbito público y sobre nuestros derechos y deberes en cuanto a la protección de datos personales.
De todas formas, siempre vendrá bien recordar a qué debemos prestar atención para no darles ventaja a los cibercriminales que están al acecho, y evitar ser víctimas de estafas y engaños y otras amenazas cibernéticas:
- Presta mucha atención a cualquier contacto no solicitado de una entidad con la que operas, o un organismo oficial del estado.
- Nunca des tus datos como credenciales, PIN, contraseñas a un tercero.
- Utiliza contraseñas fuertes, únicas, y cámbialas con frecuencia.
- Activa en todas tus cuentas la identificación de doble factor (2FA)
- Mantén tus sistemas y dispositivos actualizados.
- Utiliza una solución de seguridad confiable en todos tus dispositivos.