Novedades

La ADC detectó que el portal de vacunación catamarqueño vulnera datos personales

La Asociación por los Derechos Civiles (ADC) encontró una filtración de información en el portal de vacunación de Catamarca, presente en los formularios de inscripción a la vacuna COVID-19 y de solicitud de ingreso a la provincia, que vulnera y pone en peligro los datos personales de la ciudadanía. A raíz de este hallazgo, la organización solicitó al Ministerio de Salud y a la Secretaría de Modernización catamarqueños que tomen las medidas pertinentes para solucionar estas fallas y proteger la información sensible de sus usuarios.

Según advirtió la ADC, a partir de una investigación realizada sobre ciberseguridad y datos personales en las páginas oficiales de cada provincia argentina, el sitio web tendría acceso a información del Registro Nacional de Personas (RENAPER), lo cual viola la Ley de Protección de Datos Personales.

“El Estado catamarqueño no ha adoptado las medidas de seguridad adecuadas para asegurar la confidencialidad de los datos personales. De este modo, existe el riesgo de que se lleven a cabo consultas no autorizadas o desviaciones ilegítimas de la información almacenada. Por lo tanto, es necesario que de manera urgente se cumpla con la ley y se protejan los datos recolectados”, indicó Eduardo Ferreyra, investigador y especialista de la ADC.

Si bien el Estado puede recabar datos personales cuando ejerce funciones propias de su poder, no existe ninguna razón por la cual el portal de Catamarca exponga datos personales de todas las personas del país y dicha información pueda ser accedida de manera irrestricta por cualquier usuario de la página web.

La vulneración de los datos fue detectada al acceder a la “herramienta del desarrollador” del navegador web. Al ingresar cualquier combinación válida de DNI y sexo, se puede acceder al nombre, apellido, fecha de nacimiento y domicilio de esa persona.

La analista técnica de la ADC, Celeste Gauna, señaló: “Lejos de las buenas prácticas de desarrollo, el sistema parece no proveer una forma de limitar cuáles campos son devueltos desde el backend; aunque de por sí, ya resulta muy cuestionable que el sistema realice un autocompletado con datos personales sobre el formulario en cada solicitud de turno, valiéndose sólo de dos parámetros, como son el número de DNI y el sexo, ambos fácilmente determinables con cualquier técnica de fuerza bruta”. Y agregó: “No es necesario realizar ninguna técnica intrusiva para visualizar esta información, cualquier persona lo puede hacer tan sólo ingresando al monitor de tráfico de red que viene por defecto en la mayoría de los navegadores”.

compartir