Provinciales > Resolución
Nación sancionó al gobierno de San Juan por la filtración de datos de más de 115.000 personas
El incidente ocurrió en julio del 2020. La sanción fue de dos apercibimientos.
A fines de julio del año pasado, en plena cuarentena por la pandemia, San Juan se encontraba con una movilidad administrada, donde los trabajadores esenciales debían tramitar un permiso en la página oficial del Gobierno de San Juan para circular. Según trascendió en ese momento, por una falla en la protección de los datos, los mismos quedaron expuestos y se filtraron los datos personales de 115.281 sanjuaninos, algo que fue publicado por DIARIO HUARPE. Ahora, Nación sancionó al gobierno provincial por lo ocurrido.
A 10 meses de aquel hecho y tras una investigación de oficio por parte de la Dirección Nacional de Protección de Datos Personales de la Agencia de Acceso a la Información Pública (enterados de la filtración gracias a la cobertura periodística de DIARIO HUARPE), se encontró que el Ministerio de Salud Pública y el Gobierno de San Juan fueron responsables de no garantizar la protección de los datos personales y por consiguiente se los sancionó.
Según trascendió a través de la página oficial del Gobierno nacional, las sanciones son “por haber incurrido en dos infracciones graves, a causa de mantener bases de datos locales, programas o equipos que contenían datos de carácter personal sin las debidas condiciones de seguridad, y por incumplir con el deber de confidencialidad exigido por el artículo 10 de la Ley 25.326 de Protección de Datos Personales”.
Entre los datos personales que se pedían para tramitar los permisos figuraban: Nombre completo, DNI, domicilio, género, fecha de nacimiento, teléfono y correo electrónico. Y a partir de la filtración, cualquier persona en el mundo podría haber accedido a estos datos, incluyendo información sensible de los ciudadanos que figuraran en el registro único sobre historial médico del sistema sanitario público de San Juan, “Andes Salud”.
En la exposición que se hizo desde el email de la ministra de Salud Pública, Alejandra Venerando, según consta en la resolución oficial de Nación, se explicó lo que este medio dio a conocer en su momento. “La referida base de datos se encontraba en ambiente de desarrollo y era la única con elasticsearch (ELK) v6.4.2. Además, (...) explicó que la misma prestaba un servicio de indexación para la gestión agilizada de la base de desarrollo Andes Salud”.
Se explicó también que una vez detectado el error, “se apagó y retiró físicamente el único servidor con el servicio ELK y se hizo una solicitud de pentesting a la Dirección Nacional de Ciberseguridad de todas las URLs productivas de Andes”.
Desde dirección nacional establecieron que Gobierno cometió dos infracciones graves que según las disposiciones vigentes “en el caso de las infracciones graves, la sanción a aplicar será de hasta cuatro (4) apercibimientos, suspensión de uno a días y/o multa de $25.001 $80.000,00”. Pero, teniendo en cuenta el contexto de pandemia y la necesidad de destinar recursos al ámbito de Salud, el ente nacional entendió que no habrá sanción pecuniaria, pero si los apercibimientos.
La explicación de Venerando y el porqué de la filtración
Tras la primera investigación hecha por parte de Nación y tras labrarse un acta, la ministra de Salud, Alejandra Venerando, realizó un descargo el 23 de septiembre del 2020 donde dio más detalles de lo sucedido.
En su escrito, explicó que la vulnerabilidad detectada fue causada “por el accionar incorrecto de un dependiente, que, sin autorización de su superior, en el marco de la pandemia y por el afán de proveer una solución de acceso remoto para teletrabajo, expuso el contenido”.
Ante ello contó que se inició un sumario administrativo para determinar la responsabilidad del agente en cuestión.
Al tiempo, destacó que desde el ministerio se encontraban en proceso de contratación de una consultoría de diseño e implementación de un Plan Director de Ciberseguridad y por otra parte, a la creación de un Equipo de Respuesta ante Incidentes de Seguridad.
2020: el resumen de lo que pasó
La filtración y exposición de los datos personales de los sanjuaninos se conoció entre el 25 y el 28 de julio. Aunque la base de datos apareció en una búsqueda de BinaryEdge, el 12 de julio. El hecho se conoció públicamente, a través de DIARIO HUARPE, el pasado 7 de agosto del 2020.
La falla fue detectada por la compañía Comparitech, de Reino Unido, especializada en seguridad informática y en hallar este tipo de problemas en internet. Al no estar cifrados correctamente los datos, la información se encontraba accesible.
Bob Diachenko, investigador de esta empresa, detectó el problema el pasado 25 de julio y dio aviso al “Ministerio de Sanidad” (según dijeron). Tres días después, 28 de julio, la base de datos fue eliminada. Sin embargo, volvió a figurar online al poco tiempo. Al día siguiente, el 29 de julio, la base de datos quedó eliminada por completo y el problema quedó solucionado.
En aquel entonces, DIARIO HUARPE dialogó con Raúl Rodríguez, subsecretario de Infraestructura Tecnológico, quien explicó que “esta vulnerabilidad es de un componente de búsqueda específica, llamado ELK, que es una sigla, pero en términos prácticos un componente de software que cumple la función de búsqueda e indexación”, lo mismo que luego explicaran oficialmente desde San Juan a Nación.
La importancia del resguardo de datos
Jorge Luis Litvin, abogado penalista especialista en delitos cibernéticos, explicó a DIARIO HUARPE los alcances y la potencial gravedad de lo que ocurrió.
“Con esa cantidad de datos, un criminal puede hacer lo que sea en nombre de otra persona. Desde solicitar un crédito, pedir una tarjeta, abrir una cuenta hasta cometer un delito haciéndose pasar por otra persona. La persona fue el escudo del criminal para cometer el hecho desde el anonimato”, aseveró.
En aquella entrevista, Litvin explicó que "por el aislamiento se crearon y se empezaron a utilizar estas plataformas y aplicaciones al principio de la cuarentena. Los expertos alertaron en su momento sobre los riesgos que existen por esto y se advirtió", y agregó que esto lo dijeron en mayo y finalmente en agosto terminó sucediendo. "La gente tiene que saber cuáles son los riesgos. Hay que saber por qué es importante el resguardo de los datos".
La resolución oficial
Resolución sanción por filtración de datos by Diario Huarpe on Scribd