El investigador informático Dan Borgogno encontró dos fallas en el DNI digital que se utiliza en la Argentina. Las vulnerabilidades fueron reportadas al Gobierno a fines de abril y desde ese entonces a esta parte se reparó una de ellas pero hay otra que persiste, según advierte el especialista en diálogo con Infobae.
Borgogno ofrecerá una charla este jueves 24 de septiembre a las 19 horas en el marco de la feria de seguridad informática Ekoparty (que se realizará 100% online), donde dará detalles sobre la investigación que realizó y le permitió identificar estos agujeros de seguridad.
La app Mi Argentina permite tener una versión digital del DNI. Este nuevo formato, que se lanzó en noviembre de 2019, permite que todos los mayores de 14 años, nacionales o extranjeros con residencia definitiva o temporaria, puedan llevar la identidad en el teléfono móvil con la misma validez que el DNI tarjeta.
La primera falla que encontró el investigador ya fue solucionada y se trata de un error vinculado a cómo se expone cierta información. “Manipulando ciertos flujos de información se puede pedir accesos a datos como el DNI, y el número de trámite, una serie de números únicos, que están debajo del número de documento”, explicó Borgogno, en diálogo con Infobae.
Esta falla se conoce como IDOR que son las siglas en inglés de Referencia de Objeto Directo. Esta vulnerabilidad permite acceder a datos que deberían estar protegidos, lo cual representa de por sí una falla de seguridad porque exponía información de los usuarios.
Borgogno explicó que encontró esta vulnerabilidad por medio de un pen testing o prueba de penetración que consiste en realizar maniobras para buscar fallas de seguridad en un sistema. Para esto se necesitó, rootear el celular, es decir llevar adelante un procedimiento por medio del cual se tiene acceso privilegiado al sistema operativo de Android, de este modo se pueden modificar ciertas funciones que vienen predeterminadas y que un usuario común que no rootea su teléfono no puede hacerlo.
“Necesitás un teléfono rooteado y eso te permite control total de la aplicación y así podes ver el tráfico que sale, que entra, sabes cómo guarda la información, etc”, explicó a Infobae el investigador, quien además de esto, requirió otras herramientas adicionales para hacer su evaluación de seguridad.
Una vez identificada esta vulnerabilidad alertó a diferentes dependencias de Gobierno y la falla se corrigió. Sin embargo, Borgogno subraya que para otorgar mayor seguridad al DNI digital habría que añadir una medida adicional para validarlo.
“Yo te muestro el DNI digital y tenés que aceptar que es la misma validez de un DNI tarjeta. Pero se puede replicar un DNI digital falso y la autoridad no lo reconocería, así que para solucionar este problema habría que generar un token que se pueda validar online”.
Lo ideal sería que ese token, o código de seguridad se genere de forma aleatoria cada determinados segundos y que de esa manera se pueda identificar que el DNI digital que se presenta es una auténtico y no sea una versión fraudulenta
Dan Borgogno dará una charla sobre su investigación este 24 de septiembre a las 19 horas en el evento de seguridad informática Ekoparty (Shutterstock)
“El problema más grande es que se pueda ir al banco, tramitar una tarjeta, sacar un crédito, que se hagan trámites y se cambie la dirección donde se cobre un beneficio”, enumera Borgogno. Y añade: “en el DNI tarjeta hay un holograma, huella dactilar, un relieve, diferentes patrones para verificar su veracidad, en cambio el DNI digital carece de un método de validación efectivo, por lo cual puede ser fácil de falsificar”.
Por lo pronto no ha habido reportes que indiquen que se haya falsificado un DNI digital, pero la investigación apunta justamente a puntualizar las mejoras que deberían implementarse, que en este caso puntual sería el de un token de validación, para evitar o minimizar chances de que ocurra una estafa de este tipo.
En junio, cuando se dio a conocer por la investigación de Borgogno, desde la Subsecretaría de Gobierno Abierto y País Digital publicaron un comunicado donde mencionaron que “RENAPER, organismo a cargo de los datos que recaba la plataforma, cuenta con altísimas medidas de seguridad, lo que garantiza una doble protección contra cualquier intento de obtener información de manera indebida. Asimismo, la credencial virtual del DNI digital para dispositivos móviles cuenta con un certificado encriptado y firmado digitalmente”.
Desde esa cartera mencionaron a Infobae que hay varias medidas de seguridad que impiden que se use la app, para ingresar los datos de otra persona y hacerse pasar por alguien más. Dicen que, además, están continuamente añadiendo mejoras de seguridad, para fortalizar el sistema. Y señalan que en la investigación mencionada se generó una copia apócrifa de la aplicación pero no se vulneró la app original.
En relación a esto, Borgogno plantea que si bien el empleó una versión apócrifa en el marco de la investigación advierte que en caso de que un atacante obtuviera control total de la app podría modificarla, de ahí que sea importante instrumentar una capa extra de seguridad.
“Cualquier atacante puede editar una aplicación de android. Todas las aplicaciones Android se pueden editar. En el caso de iOS, el sistema para editar o vulnerar una app es mucho más complejo pero también se puede hacer. Entonces cuando trabajamos con entidades digitales donde un atacante puede tener acceso o control total no podés confiar en lo que estás viendo, de ahí que sea importante generar una herramienta extra de validación, como el token”, subraya el especialista.
Cabe recordar que cualquier ataque a sistemas informáticos estatales, la violación de datos personales y/o la reproducción de documentos tendientes a acreditar la identidad, constituyen conductas tipificadas y penadas por los Artículos 153 bis, 157 bis, 183, 184 y 292 del Código Penal de la Nación.
Además, según se menciona en los términos y condiciones de Mi Argentina, se encuentra prohibido: infringir los derechos a la intimidad de otros usuarios; solicitar información personal identificable de otros usuarios con el propósito de hostigar, atacar, explotar, violar la intimidad de los mismos; Intentar usurpar la identidad de otro usuario, representando de manera falsa su afiliación con cualquier individuo o entidad, o utilizar el nombre de otro Usuario con el propósito de engañar; vulnerar los derechos establecidos en la Ley N° 25.326 de Protección de Datos Personales.
