Las fotografías fueron sustraídas en una filtración de datos ocurrida en 2021 en el Registro Nacional de las Personas, lo que destaca la persistencia en el tiempo de las vulnerabilidades de información. ¿Qué acciones deberían tomar tanto individuos como organizaciones?
Recientemente, más de 100 mil fotos de ciudadanos argentinos fueron publicadas en la plataforma de mensajería Telegram. Estas imágenes habían sido robadas en 2021 del Registro Nacional de las Personas (RENAPER), encargado de emitir documentos de identidad y pasaportes en Argentina.
De acuerdo con fuentes ministeriales citadas por el diario Clarín, no se produjo una nueva brecha, sino que se reiteró la difusión de las mismas fotos filtradas en la brecha anterior.
En aquella ocasión, el RENAPER sufrió una intrusión que resultó en el robo de información y la comercialización de 60 mil registros completos de documentos de identidad, con datos aún más sensibles que los de este último lote de información, como el número de teléfono del ministro de Seguridad nacional de ese momento.
A pesar de que los datos vendidos esta vez son menos detallados que los de 2021, se suman a la información expuesta en 2022 en la misma plataforma, resaltando la importancia y el daño potencial de las brechas de datos, cuyas repercusiones pueden prolongarse en el tiempo.
¿Cuáles son los riesgos?
Ante una filtración de información, los delincuentes cibernéticos pueden obtener uno de los activos más codiciados —hasta se dice que los datos personales son el petróleo de esta era—. Al publicar miles de fotos de documentos de identidad, los cibercriminales pueden acceder a datos precisos que utilizan para planificar sus estafas y engaños de manera más convincente.
Algunas maneras en las que los cibercriminales pueden aprovechar toda la información filtrada por descuido incluyen:
- Ataques de Phishing: Contar con información fidedigna y en cantidad les permite a los criminales diagramas estrategias para engañar a los usuarios con mails de phishing más personalizados en los que se puede morder el anzuelo más fácilmente.
- Ataques de ingeniería social: Estas técnicas también se valen de engañar a una persona y llevarla a dar datos personales y sensibles, que usan luego para cometer estafas o acceder a cuentas y sistemas del engañado.
- Robo y suplantación de identidad: Que los cibercriminales cuenten con esta información, que muchas veces es parte de las credenciales de accesos a muchos sistemas que utilizamos a diario, que requieren como validación tener el DNI a mano para ingresar datos que sin filtraciones serían solo conocidos por quien porta el plástico.
Muchos servicios del estado usan el DNI como mecanismo de autenticación, por lo que el riesgo de suplantación de identidad es mayor, como nos ha explicado el abogado especializado en ciberseguridad, Julian Reale.
¿Qué deben hacer las empresas?
Es esencial que todas las empresas y organizaciones implementen sistemas de gestión de seguridad informática para garantizar la integridad y protección de los datos de las personas que interactúan con ellas.
En nuestra región, es imperativo que los gobiernos mejoren las prácticas de ciberseguridad y refuercen el marco legal para combatir los ciberataques y enjuiciar a los responsables.
Aunque en el ámbito de la legislación de protección de datos en Latinoamérica todavía hay mucho por hacer, varios países están debatiendo e implementando nuevas leyes sobre protección de datos personales que se ajusten a las demandas impuestas por la digitalización.
Entre tanto, es importante insistir en aquellos aspectos de una política de seguridad (sea organización privada o estatal) que deben tenerse en cuenta al crearla e instaurarla:
- Las organizaciones deben invertir en medidas de seguridad para proteger sus infraestructuras críticas y datos confidenciales.
- Educación de las personas que integran la organización para que estén conscientes de los riesgos de las distintas amenazas informáticas, para que sepan responder ante correos electrónicos de phishing y otras técnicas utilizadas por los ciberdelincuentes.
- Implementación de políticas de seguridad sólidas que incluyan el uso de contraseñas seguras y la limitación del acceso a datos y sistemas críticos.
- Establecimientos de planes de respuesta a incidentes que incluya los pasos a seguir para minimizar los daños y recuperar los datos de forma segura y rápida, ante un ataque.
Consejos para usuarios
En situaciones en las que nuestras entidades descuiden la protección de nuestros datos personales, como ciudadanos, a menudo nos quedamos con pocas alternativas aparte de mantenernos alerta e informados sobre las políticas de seguridad informática en el ámbito público y nuestros derechos y responsabilidades en cuanto a la protección de datos personales.
Siempre es útil recordar en qué debemos enfocarnos para no facilitarles las cosas a los ciberdelincuentes que están al acecho, evitando así convertirnos en víctimas de estafas, engaños y otras amenazas cibernéticas:
- Pon mucha atención a cualquier contacto no solicitado de una entidad con la que haces negocios o de una entidad estatal.
- Nunca compartas tus datos como credenciales, PIN o contraseñas con terceros.
- Emplea contraseñas sólidas, únicas y cambíalas regularmente.
- Habilita la autenticación de doble factor (2FA) en todas tus cuentas.
- Asegúrate de mantener actualizados tus sistemas y dispositivos.
- Utiliza una solución de seguridad confiable en todos tus dispositivos.
Paulina Jara