Muchos trámites y entregas de productos en Argentina solicitan una foto del documento nacional de identidad (DNI) del titular. Sin embargo, como advierten especialistas en privacidad y protección de datos personales, esto es una pésima práctica: esos datos se pueden aprovechar para distintos tipos de ciberdelitos, desde suplantar identidad para sacar un préstamo personal hasta hacerse pasar por nosotros para engañar a nuestros contactos de WhatsApp en lo que se conoce como ingeniería social.
Aunque para muchos parezca algo sin mucha importancia, no es menor recordar que el DNI no solo acredita una identidad, sino que también contiene datos personales clave como nombre completo, número de documento, fecha de nacimiento y domicilio.
En el negocio de la compraventa de datos personales, que son buscados por atacantes por múltiples motivos (ver), las fotos de documentos son valiosas porque permiten construir perfiles completos para fraudes o “estafas guiadas”, aquellas donde se engaña a la víctima para que haga transferencias a estafadores o que entregue datos personales. De hecho, el año pasado, un atacante logró robar 6 millones de imágenes de licencias de conducir.
A esto se suma un segundo problema, no menor, y es que muchas compañías no cuentan con medidas de seguridad adecuadas o, incluso si las tienen, están expuestas al robo de información y potenciales brechas de datos, que pueden afectar a los usuarios. Y, a diferencia de las contraseñas, con las filtraciones de este tipo de datos es más difícil dar marcha atrás: un password se puede cambiar; el domicilio es bastante más complicado.
Por este motivo, “Datos argentinos” es un sitio que, a partir de una herramienta llamada Safe ID, permite ocultar datos de un DNI antes de compartir la imagen requerida por una empresa o entidad. Lo creó Martín Aberastegue, programador argentino y especialista en marketing, que explica por qué conviene tapar datos sensibles antes de compartir documentos, además de enseñar cómo hacerlo.
Por qué ofuscar datos
“La ofuscación es fundamental porque el DNI argentino contiene información extremadamente sensible que puede utilizarse para suplantación de identidad, fraudes financieros y acceso no autorizado a servicios. El documento incluye datos críticos como el número de trámite, el código PDF417 que contiene toda la información personal en formato digital, y datos biométricos. En manos equivocadas, esta información permite realizar gestiones fraudulentas y suplantar completamente la identidad de la víctima”, explica a Clarín el especialista, que ha reportado vulnerabilidades a entidades como AFIP (ARCA), empresas telefónicas y de seguros.
Por esto, Aberastegue creó una aplicación de código abierto (open source) que permite ofuscar los datos antes de enviarlos.
“Datos Argentinos es una plataforma enfocada en la protección de datos personales del DNI, y totalmente sin fines de lucro”, dice. “Su herramienta principal, Safe ID, permite compartir el documento de identidad de forma segura procesando toda la información localmente en el navegador del usuario, sin enviar datos a servidores externos. Funciona completamente offline e incluso puede instalarse como app en el teléfono. La plataforma ofrece funcionalidades como marcas de agua personalizadas y ofuscación de datos sensibles de manera completamente gratuita”, agrega.
Hay, del lado de las empresas, algunos problemas con este sistema: muchas se quejan cuando los datos están ofuscados.
“Hay empresas que directamente rechazan documentos con datos censurados, aunque legalmente no están autorizadas a exigirlos completos, y eso termina complicando la vida al usuario. Por ejemplo, con empresas de telefonía móvil, algunas aceptaban el DNI con marca de agua y datos ofuscados sin problema, y otras lo rechazaban diciendo que la marca de agua era muy fuerte. Ajusté la intensidad y después empezaron a aceptarlos, pero la realidad es que depende mucho de la empresa y de la persona que te atienda”, explica.
Esto es, a fin de cuentas, una cultura que tiene que empezar a modificarse.
Cómo usar la app y por qué el “número de trámite” es crítico
Además de la dirección y nombre completo, un dato importante del DNI es el del “número de trámite”.
“El número de trámite es una clave fundamental para gestiones online y validación de identidad. Con este dato, los delincuentes pueden realizar trámites gubernamentales online suplantando identidad, validar identidad en plataformas digitales, acceder a servicios bancarios básicos y confirmar datos personales en sistemas que solo requieren DNI más número de trámite. Es particularmente peligroso porque funciona como identificador único complementario al DNI y muchos sistemas online lo utilizan como factor de autenticación, mientras que el público general desconoce su sensibilidad y no lo protege adecuadamente”, explica el especialista.
Cuando hay filtración de datos con documentos, el ciudadano promedio no tiende a tramitar un nuevo DNI, en parte porque es un proceso engorroso y porque no hay conciencia sobre el alcance del problema.
“Ante una filtración de estos datos, muy pocas personas renuevan su DNI para invalidar el número de trámite expuesto, por lo que el riesgo persiste en el tiempo. Safe ID ayuda a minimizar ese riesgo al proteger los datos cuando no es realmente necesario compartirlos”, explica Aberastegue.
Por último, un dato no menor es si, al subir el DNI, la imagen queda guardada en un servidor de un tercero (lo cual podría ser potencialmente peligroso). ¿Cómo procesa el sistema los datos?
Esto explican desde el sitio: ”Safe ID utiliza una arquitectura completamente client-side que hace técnicamente imposible el almacenamiento de tus datos. Aunque la aplicación web se descarga desde nuestro servidor, todo el procesamiento de tus imágenes ocurre directamente en tu navegador usando las APIs nativas FileReader y Canvas, sin enviar nunca tus documentos a servidores externos”. Las APIs son funciones ya incluidas en el navegador que permiten manejar archivos e imágenes sin necesitar programas externos ni enviar datos a internet.
“Cuando cargás una imagen, el navegador la lee directamente desde tu dispositivo y la convierte en una representación digital que permanece únicamente en la memoria RAM. Las transformaciones como recorte, ofuscación y marca de agua se realizan mediante operaciones matemáticas locales en un elemento Canvas HTML5. El resultado final se genera directamente en tu dispositivo sin que ningún dato salga de él”, agregan. Para especialistas, el código fuente de Safe ID se puede revisar en GitHub.
“Además, el proyecto busca generar conciencia y educar sobre la importancia de proteger los datos personales. Incluye secciones de contenidos con preguntas frecuentes, una guía de protección para el DNI argentino y una sección con el gráfico de filtraciones históricas recopiladas por Marcela Pallero”, agrega, en relación a la especialista en protección de datos personales que registra en una línea de tiempo los incidentes que sufrieron entidades argentinas, públicas y privadas (ver).
Para usarla, se puede hacer clic en este enlace. Cuantos más usuarios ofusquen sus datos, más van a tener que aceptar las empresas y entidades este tipo de práctica que, a fin de cuentas, no sólo protege la privacidad del la ciudadanía sino que evita que la entidad se meta en problemas si sufre una filtración de datos.
SL