Argentina expone datos personales de pacientes de COVID-19

    Argentina expone datos personales de pacientes de COVID-19

    El gobierno argentino se enfrenta a un serio incidente de ciberseguridad. Acorde a especialistas en la eliminación de datos de una base de datos con más de 100 mil registros de habitantes de Argentina, la cual fue publicada en línea, sin contraseñas o cualquier otra medida de seguridad. Esta base de datos almacena la información de los solicitantes de “permisos de circulación”, por el que los ciudadanos pueden salir a las calles a pesar de las restricciones impuestas para el combate a la pandemia.

    Dicha exención aplica para los trabajadores considerados esenciales en el país sudamericano, que pueden solicitar un permiso para salir a trabajar sin importar las restricciones de movilidad impuestas por el gobierno. La base de datos expuesta fue detectada por Bob Diachenko, investigador principal de la firma Comparitech, el pasado 25 de julio, alertando de inmediato a las autoridades correspondientes; hasta el momento el gobierno argentino no se ha pronunciado al respecto.

    El experto en borrado seguro de disco duro menciona que, al momento de encontrar la base de datos, ésta ya había sido afectada por “Meow“, un bot automatizado capaz de eliminar cualquier registro expuesto en Internet. Sin embargo, por alguna razón el bot dejó los datos intactos. 

    Entre los datos expuestos (115 mil registros en total) se encuentran detalles como nombres completos, números de identidad nacional, claves de identificación fiscal, entre otros datos de los solicitantes. Además, al menos 33 mil de los registros incluyen el número telefónico del solicitante.

    FUENTE: Comparitech

    A partir de una cookie emitida en la misma dirección IP en la base de datos (etiquetada como “certificados_covid_19_ministerio_de_salud_publica”), los expertos en borrado seguro de disco duro concluyeron que la información pertenecía al Ministerio de Salud de San Juan.

    FUENTE: Comparitech

    Dada la naturaleza de la información comprometida, los trabajadores afectados podrían verse expuestos a campañas de phishing, fraude de identidad e incluso operaciones fiscales fraudulentas. Por seguridad, se recomienda a los ciudadanos argentinos que han solicitado esta exención hacer caso omiso de cualquier correo electrónico de apariencia sospechosa, llamadas telefónicas exigiendo pagos por servicios o cualquier otra excusa para que revele sus datos personales.

    Las autoridades de Salud no cuidaron la privacidad de los datos.

    El Ministerio de Salud de Argentina gestiona la respuesta del país a la pandemia de COVID-19. Además de los permisos de circulación, el Ministerio también publicó una aplicación de verificación de síntomas donde los usuarios pueden ingresar su información personal y estado de salud para determinar si podrían estar infectados.

    A pesar de ser solo un verificador de síntomas, la aplicación recopila mucha información privada de los usuarios, gran parte de la cual refleja lo que encontramos en la base de datos expuesta: DNI o números de pasaporte, síntomas, edad, dirección de correo electrónico, número de teléfono y ubicación. La aplicación tiene más de 5 millones de descargas solo en Google Play.

    Algunas de las principales cuestiones que entran en juego en materia de privacidad y protección de datos en el marco de la pandemia son las siguientes:

    -Las limitaciones para el tratamiento de datos relativos a la salud (catalogados - en general - como datos sensibles en los sistemas jurídicos).

    -Las facultades especiales que ciertas legislaciones - como la de Argentina - otorgan los Estados para tratar los datos de sus ciudadanos sin consentimiento en el marco del cumplimiento de funciones públicas.

    -Las disposiciones que eventualmente pueden contener las legislaciones sobre excepciones en materia de tratamiento de datos ante situaciones extraordinarias, como lo es la pandemia (en la ley de datos personales de Argentina también se contempla este tipo de supuestos).

    -La polémica en torno a ciertos desarrollos tecnológicos implementados en algunos países para ayudar a frenar la crisis sanitaria, los cuales pueden aportar importantes beneficios, aunque al mismo tiempo, pueden representar riesgos para la privacidad de las personas. Un breve panorama de las medidas sobre protección de datos tomadas en algunos de los países afectados por la pandemia. A nivel internacional, las autoridades vinculadas a la protección de datos ya se han expedido sobre la problemática que representa la pandemia, y han emitido distintos comunicados.

    Resulta muy importante extremar precauciones, debido a que nosotros podemos ser muy cuidadosos con nuestros datos personales, pero no así quien los trata y debería de guardarlos. Cómo éste caso en donde la autoridad no destruyó los datos, o bien en otros en dónde las empresas por problemas de ciberseguridad exponen los datos de sus usuarios. 

    En Alapsi.org, les recomendamos revisar de manera regular ';--have i been pwned? ya que en éste sitio basta con poner tu correo electrónico y te informa si éste ya ha sido vulnerado a uno o varios de los diferentes proveedores de servicios que por fallas de seguridad han visto comprometidos sus datos. 

    También en Alapsi.org te recomendamos cambiar de manera regular tus contraseñas, si utilizas algún gestor de contraseñas no olvides programar su cambio o actualización, ya que de ésta manera si se han robado los datos al menos no será el mismo. Además no omitimos recordarte que no se debe de utilizar la misma contraseña en los servicios de Internet que utilices.

     


    Diplomado de Seguridad Informática

    0 generaciones
    17 años en conjunto ALAPSI - ITESM
    © 2020 Asociación Latinoamericana de Profesionales en Seguridad Informática. A.C. All Rights Reserved.