¿Es posible hackear el DNI digital?

El investigador informático Dan Borgogno identificó dos vulnerabilidades en la app. En diálogo con Infobae ofreció detalles de su análisis que compartirá hoy en el marco del evento de ciberseguridad Ekoparty

Compartir
Compartir articulo
El investigador analizó la seguridad del DNI digital que se usa en la Argentina.
El investigador analizó la seguridad del DNI digital que se usa en la Argentina.

El investigador informático Dan Borgogno encontró dos fallas en el DNI digital que se utiliza en la Argentina. Las vulnerabilidades fueron reportadas al Gobierno a fines de abril y desde ese entonces a esta parte se reparó una de ellas pero hay otra que persiste, según advierte el especialista en diálogo con Infobae.

Borgogno ofrecerá una charla este jueves 24 de septiembre a las 19 horas en el marco de la feria de seguridad informática Ekoparty (que se realizará 100% online), donde dará detalles sobre la investigación que realizó y le permitió identificar estos agujeros de seguridad.

La app Mi Argentina permite tener una versión digital del DNI. Este nuevo formato, que se lanzó en noviembre de 2019, permite que todos los mayores de 14 años, nacionales o extranjeros con residencia definitiva o temporaria, puedan llevar la identidad en el teléfono móvil con la misma validez que el DNI tarjeta.

La primera falla que encontró el investigador ya fue solucionada y se trata de un error vinculado a cómo se expone cierta información. “Manipulando ciertos flujos de información se puede pedir accesos a datos como el DNI, y el número de trámite, una serie de números únicos, que están debajo del número de documento”, explicó Borgogno, en diálogo con Infobae.

Esta falla se conoce como IDOR que son las siglas en inglés de Referencia de Objeto Directo. Esta vulnerabilidad permite acceder a datos que deberían estar protegidos, lo cual representa de por sí una falla de seguridad porque exponía información de los usuarios.

Se puede acceder al  DNI digital a través de la app Mi Argentina siguiendo ciertos pasos para validar la identidad del usuario.
Se puede acceder al DNI digital a través de la app Mi Argentina siguiendo ciertos pasos para validar la identidad del usuario.

Borgogno explicó que encontró esta vulnerabilidad por medio de un pen testing o prueba de penetración que consiste en realizar maniobras para buscar fallas de seguridad en un sistema. Para esto se necesitó, rootear el celular, es decir llevar adelante un procedimiento por medio del cual se tiene acceso privilegiado al sistema operativo de Android, de este modo se pueden modificar ciertas funciones que vienen predeterminadas y que un usuario común que no rootea su teléfono no puede hacerlo.

“Necesitás un teléfono rooteado y eso te permite control total de la aplicación y así podes ver el tráfico que sale, que entra, sabes cómo guarda la información, etc”, explicó a Infobae el investigador, quien además de esto, requirió otras herramientas adicionales para hacer su evaluación de seguridad.

Una vez identificada esta vulnerabilidad alertó a diferentes dependencias de Gobierno y la falla se corrigió. Sin embargo, Borgogno subraya que para otorgar mayor seguridad al DNI digital habría que añadir una medida adicional para validarlo.

“Yo te muestro el DNI digital y tenés que aceptar que es la misma validez de un DNI tarjeta. Pero se puede replicar un DNI digital falso y la autoridad no lo reconocería, así que para solucionar este problema habría que generar un token que se pueda validar online”.

Lo ideal sería que ese token, o código de seguridad se genere de forma aleatoria cada determinados segundos y que de esa manera se pueda identificar que el DNI digital que se presenta es una auténtico y no sea una versión fraudulenta.

Dan Borgogno dará una charla sobre su investigación este 24 de septiembre a las 19 horas en el evento de seguridad informática Ekoparty (Shutterstock)
Dan Borgogno dará una charla sobre su investigación este 24 de septiembre a las 19 horas en el evento de seguridad informática Ekoparty (Shutterstock)

“El problema más grande es que se pueda ir al banco, tramitar una tarjeta, sacar un crédito, que se hagan trámites y se cambie la dirección donde se cobre un beneficio”, enumera Borgogno. Y añade: “en el DNI tarjeta hay un holograma, huella dactilar, un relieve, diferentes patrones para verificar su veracidad, en cambio el DNI digital carece de un método de validación efectivo, por lo cual puede ser fácil de falsificar”.

Por lo pronto no ha habido reportes que indiquen que se haya falsificado un DNI digital, pero la investigación apunta justamente a puntualizar las mejoras que deberían implementarse, que en este caso puntual sería el de un token de validación, para evitar o minimizar chances de que ocurra una estafa de este tipo.

En junio, cuando se dio a conocer por la investigación de Borgogno, desde la Subsecretaría de Gobierno Abierto y País Digital publicaron un comunicado donde mencionaron que “RENAPER, organismo a cargo de los datos que recaba la plataforma, cuenta con altísimas medidas de seguridad, lo que garantiza una doble protección contra cualquier intento de obtener información de manera indebida. Asimismo, la credencial virtual del DNI digital para dispositivos móviles cuenta con un certificado encriptado y firmado digitalmente”.

Desde esa cartera mencionaron a Infobae que hay varias medidas de seguridad que impiden que se use la app, para ingresar los datos de otra persona y hacerse pasar por alguien más. Dicen que, además, están continuamente añadiendo mejoras de seguridad, para fortalizar el sistema. Y señalan que en la investigación mencionada se generó una copia apócrifa de la aplicación pero no se vulneró la app original.

En relación a esto, Borgogno plantea que si bien el empleó una versión apócrifa en el marco de la investigación advierte que en caso de que un atacante obtuviera control total de la app podría modificarla, de ahí que sea importante instrumentar una capa extra de seguridad.

“Cualquier atacante puede editar una aplicación de android. Todas las aplicaciones Android se pueden editar. En el caso de iOS, el sistema para editar o vulnerar una app es mucho más complejo pero también se puede hacer. Entonces cuando trabajamos con entidades digitales donde un atacante puede tener acceso o control total no podés confiar en lo que estás viendo, de ahí que sea importante generar una herramienta extra de validación, como el token”, subraya el especialista.

Cabe recordar que cualquier ataque a sistemas informáticos estatales, la violación de datos personales y/o la reproducción de documentos tendientes a acreditar la identidad, constituyen conductas tipificadas y penadas por los Artículos 153 bis, 157 bis, 183, 184 y 292 del Código Penal de la Nación.

Además, según se menciona en los términos y condiciones de Mi Argentina, se encuentra prohibido: infringir los derechos a la intimidad de otros usuarios; solicitar información personal identificable de otros usuarios con el propósito de hostigar, atacar, explotar, violar la intimidad de los mismos; Intentar usurpar la identidad de otro usuario, representando de manera falsa su afiliación con cualquier individuo o entidad, o utilizar el nombre de otro Usuario con el propósito de engañar; vulnerar los derechos establecidos en la Ley N° 25.326 de Protección de Datos Personales.

MÁS SOBRE ESTE TEMA:

Últimas Noticias

Antony Blinken habló sobre la situación en Gaza: “El 100% de la población se encuentra en niveles graves de inseguridad alimentaria”

Mientras prepara su sexto viaje a Medio Oriente tras los ataques de Hamas a Israel, el secretario de Estado norteamericano dijo que la prioridad actual en la Franja es “proteger a los civiles y proveer de asistencia humanitaria a aquellos que la necesitan desesperadamente”
Antony Blinken habló sobre la situación en Gaza: “El 100% de la población se encuentra en niveles graves de inseguridad alimentaria”

Mauricio Macri asume hoy como nuevo presidente del PRO

El expresidente se quedará hoy con la conducción institucional de la fuerza que creó en 2005. La ministra de Seguridad, Patricia Bullrich, disputa espacios de poder clave en el armado
Mauricio Macri asume hoy como nuevo presidente del PRO

Se publicó el texto del acuerdo para implementar FACTA: es corta la bocha

El día que comience el intercambio de información por parte de Estados Unidos, Argentina sólo recibirá información desde 2023 en adelante
Se publicó el texto del acuerdo para implementar FACTA: es corta la bocha

Desafiante realidad para el sector fintech

Desde una perspectiva regulatoria, el sector fintech deberá afrontar un futuro muy desafiante. Será una responsabilidad conjunta, sector público y privado, que estas nuevas reglas de juego permitan seguir desarrollando nuevas formas de oferta de servicios financieros tan provechosas para nuestra economía y para la inclusión financiera
Desafiante realidad para el sector fintech

Cómo ha cambiado el valor de la criptomoneda ethereum en el último día

Ethereum fue lanzada en 2015 por el programador Vitalik Buterin, con la intención de impulsar una herramienta para aplicaciones descentralizadas y colaborativas
Cómo ha cambiado el valor de la criptomoneda ethereum en el último día
MÁS NOTICIAS