Grave vulnerabilidad del sistema “El DNI en tu celular”

A partir de una filtración de datos personales, un experto en seguridad informática logró duplicar y falsificar un DNI digital, con las mismas características que el original.

Se trata de una grave vulnerabilidad del sistema, ya que con este documento se pueden hacer compras, trámites en oficinas públicas y hasta obtener una cuenta bancaria.

“El DNI en tu celular”, como se lo denomina, tiene la misma validez que el DNI tarjeta. Lo único que no se puede hacer con él es votar o viajar al extranjero.

El proceso fue validado, además, por otros cinco expertos.

El problema fue comunicado a la Nación, que negó este tipo de vulnerabilidades, aunque aseguran que se investiga la denuncia.

La Nación fue advertida, pero niega el problema. Tiene la misma validez que la tarjeta.

Un experto en seguridad informática detectó graves vulnerabilidades en el sistema de seguridad del documento para el celular y en el sitio web de MiArgentina.

A partir de una filtración de datos personales, pudo duplicar, obtener y falsificar un DNI digital con todos los datos necesarios y las mismas medidas de seguridad que el original. Con estas vulnerabilidades, podría existir una fábrica de DNI digitales.

Con el DNI digital se pueden hacer compras, trámites en las oficinas públicas y hasta obtener una cuenta bancaria, según lo dispuso el Banco Central de la República Argentina (BCRA).

“El DNI en tu celular” –tal es su denominación– tiene la misma validez que el DNI tarjeta, según se informa en el sitio oficial del Estado argentino, Argentina.gob.ar. Lo único que no está permitido con el formato digital es votar y viajar al extranjero.

Con algunas sencillas herramientas de programación y de edición, que tiene a su alcance cualquier informático o diseñador gráfico, el ingeniero en software Dan Borgogno comprobó que es posible eludir los sistemas de seguridad de la aplicación estatal: obtener datos sensibles, generar una copia del documento (que la aplicación cuidadosamente protege) y producir un DNI nuevo. El proceso fue validado por otros cinco expertos.

Este profesional pudo recabar, a partir de filtraciones en el sitio web del Gobierno logueado con su usuario, datos esenciales de otras personas. Elaboró un DNI digital para este cronista, que jamás descargó la aplicación. Y el miércoles 20 de mayo, a las 10.19 de la mañana, se realizó una compra por 203,20 pesos. Sólo se exhibió la pantalla del celular. No se pidió ningún tipo de validación, como puede ser un token, que se utiliza en las transferencias bancarias o en algunos modelos de firmas digitales.

En el marco de una investigación periodística para establecer la seguridad de los métodos y aplicaciones digitales que utiliza el Gobierno nacional, se consiguió duplicar un DNI digital y realizar otro sin siquiera realizar el trámite de validación ante el Renaper. Este organismo se encarga de verificar la identidad de quien quiere utilizar este mecanismo en lugar de la tarjeta.

Por la cuarentena, el Renaper habilitó un sistema excepcional para tramitar el documento digital de manera rápida y no presencial, que tiene una vigencia de 30 días después del fin de la cuarentena. Le incorporó otros mecanismos de validación, como sacarse una fotografía o enviar una fotografía del frente y el dorso de la tarjeta. Ninguno de esos pasos hizo falta para sacar el DNI digital de esta investigación.

En el país, son 397.516 las personas que tienen esta modalidad del DNI, que se habilitó el 29 de septiembre del año pasado durante la gestión de Mauricio Macri.

Esta cifra creció durante la cuarentena un 42 por ciento. Desde el 1º de marzo hasta el 21 de mayo de este año, lo tramitaron 168.948 personas. Sin embargo, la posibilidad de acceder a esta documentación la tienen todos los argentinos.

El Renaper brinda un servicio para la validación de identidad a entidades públicas, tanto para DNI tarjeta como para DNI digital. Pero en ninguno de los casos es exigible su utilización. Tampoco es de acceso gratuito.

Dan Borgogno se comunicó con autoridades nacionales para alertar sobre la vulnerabilidad que detectó, que en rigor puede ser considerada como la potencial filtración de datos más grande de la Argentina.

Desde el Gobierno nacional, negaron este tipo de vulnerabilidades y filtración de datos personales. No obstante, la Agencia de Acceso a la Información Pública (Aaip), que se encarga del resguardo de los datos personales, aseguró que se investiga la denuncia.

Existe un riesgo adicional. Si alguien puede sacar su propio DNI sin ningún tipo de control estatal, ¿puede obtener también el de cualquier otra persona? La respuesta es sí. Alguien puede obtener y falsificar un documento con datos de otro ciudadano, que sea igualmente válido ante los controles, inclusive el código QR.

La cifra clave

Hay tres datos clave que sólo están incluidos en la tarjeta del DNI y que son únicos e irrepetibles. Son la llave para comprobar la identidad y que ese documento se corresponde con nosotros. El tipo de serie del ejemplar, la fecha de vencimiento de DNI (la fecha de emisión se calcula a partir de la caducidad, 15 años para atrás) y el número de trámite. Esta última cifra es esencial para entender la filtración. Son datos que debe custodiar el Estado.

“Ese número de trámite en el DNI es un número identificatorio, que pedía la Administración Nacional de la Seguridad Social (Anses) a la hora de pedir un crédito. Se trata de un código o serie de número de 11 dígitos que les brinda a los beneficiarios y titulares de planes sociales una mayor protección de seguridad de datos”, se explica en el blog para evacuar dudas de Anses, miansestramites.com.

También es un dato clave para tramitar el certificado de circulación durante la cuarentena y se lo utiliza en la aplicación Cuidar.

Borgogno accedió al sitio MiArgentina desde su usuario y consiguió descifrar cómo se guarda esa información personalísima. En ese portal del Gobierno nacional, también se puede gestionar la constancia del Cuil, la licencia de conducir digital, lugar y fechas de pago de Anses, y otros datos sanitarios como el certificado único de discapacidad y los turnos programados con médicos. ¿Esos datos también están expuestos? Las autoridades consultadas tampoco pudieron precisar esto.

La siguiente pregunta fue: ¿será posible obtener esa misma información vital de otra persona sólo cambiando el DNI?

Este periodista, que jamás tramitó el DNI digital, le dio su número de documento al informático. Al ingresarlo en esa fisura del sistema, obtuvo los tres datos clave que este necesitaba para comenzar el proceso de hacer un documento que nunca existió: número de trámite, fecha de emisión y tipo de ejemplar. Es como si alguien hubiera entrado desde su cuenta de Facebook o Twitter a la cuenta de otro usuario.

Lo que se necesita es el número de trámite, que es un valor único que sólo está en el DNI. Es una pieza esencial del documento. Desde el Renaper, explicaron que se trata del número que directamente valida ese DNI.

Pero esos datos no alcanzan para tener el documento digital, sino que hace falta una información adicional.

El modelo

Lo primero que hay que tener en cuenta es que el DNI digital se puede utilizar exclusivamente en un solo teléfono, ya que se utiliza la verificación del equipo desde donde se accede para acreditar la identidad.

Para obtenerlo, se debe ir a un sitio del Renaper y gestionar este trámite. Allí se otorga al solicitante un código único que se envía a un email; con ese simple chequeo presencial se puede activar la billetera

del DNI digital en la aplicación Mi-Argentina, previamente descargada.

Para evitar copias y duplicados, la aplicación impide que se tomen capturas de pantalla sobre el DNI digital. Hasta aquí, las medidas de seguridad.

Pero esto no es un límite complejo de sortear para los informáticos.

En este caso, el ingeniero cordobés pudo hacer lo que el sistema no permitía: copiar su DNI en una aplicación y utilizarlo para realizar compras sin ningún tipo de problema. De la herramienta que utilizó para duplicar su DNI, generó un modelo con los datos en blanco, para ingresar cualquier información.

La primera conclusión: hay una filtración masiva de datos esenciales de todos los argentinos. Todos los especialistas consultados al respecto coinciden en esto. Más claro: se puede conseguir esta información de cualquier persona. Y la falla no está solucionada aún. Es más, mientras sigue expuesta, las autoridades nacionales niegan que exista el problema, que sigue ahí.

Segunda conclusión: se puede tener el documento en dos o más dispositivos, algo que multiplica los riesgos de sustitución de identidad o de estafas.

Los datos

Ya tenemos la posibilidad de acceder a datos críticos (número de trámite, tipo de ejemplar y fecha de vencimiento) y contamos con un modelo de DNI digital listo para completar. ¿De dónde se obtiene la información que falta?

Solicitando en cualquier sitio web especializado, como Dateas.com.ar, y pagando 300 pesos, se puede acceder a los datos esenciales de los más de 40 millones de argentinos: nombre y apellido completos, sexo, dirección, fecha de nacimiento y, por supuesto, número de DNI.

Precisamente con esa información se completan los datos que tiene el DNI digital, que no tiene otros datos biométricos de cotejo, como la huella digital.

Para hacer la investigación de chequeo, este cronista le dio sus propios datos al programador. Con todos esos elementos y en cuestión de minutos, se montó un DNI digital nuevo sin haber pasado por ninguna oficina estatal, con la misma validez y sin siquiera tener bajada la aplicación Mi Argentina en el celular. Se generó también un código QR original.

Tercera conclusión: se puede obtener un DNI digital sin haber pasado por una oficina del Renaper.

Es con todos

Hasta aquí, se trata de tres saltos a los controles estatales que no tienen consecuencias sobre terceros. Se comprobaron vulneraciones al sistema.

Pero se puede ir más allá. Borgogno tomó la foto de este cronista y completó el modelo del DNI con los datos disponibles del actual presidente, Alberto Ángel Fernández, y del anterior, Mauricio Macri, y se le agregó la firma original de ambos que está disponible en internet.

Conclusión: se puede duplicar el DNI de cualquier persona.

Fuente: LaVoz