Afines de octubre se conoció que los datos personales de 54 mil usuarios del sistema de pago electrónico de Caminos de Sierras –empresa estatal que gestiona la Red de Accesos a Córdoba (RAC)– estuvieron expuestos. El especialista en informática Adrián Ruiz encontró esa vulnerabilidad en el sistema y la reportó.

Luego de no obtener respuesta de la empresa, acudió a la prensa. Tras publicarse el hecho, se puso a disposición de la firma para colaborar con el problema que había detectado y se reunió con los técnicos para mostrarles cuál fue el inconveniente. El viernes, su domicilio fue allanado por la Justicia provincial.

A las 7 de la mañana, dos oficiales llegaron hasta la casa familiar de Ruiz y mostraron una orden de allanamiento. Buscaban las bases de datos que habían quedado expuestas en la web de Caminos de la Sierras con información sensible de clientes que pagan el peaje con medios digitales. Dos peritos informáticos acompañaron la tarea. Revisaron su computadora personal y su teléfono, y se retiraron pasadas las 15. Ocho horas duró el procedimiento.

Una semana después de que se publicara la filtración, la firma encargada de la administración de la RAC, patrocinada por el asesor letrado de la empresa, el abogado penalista Benjamín Sonzini Astudillo, presentó una denuncia ante la Justicia.

“Nos ponemos a disposición de la Fiscalía para que investigue esta situación y por eso presentamos la denuncia. Sin sindicar a nadie sino en resguardo la gente que tiene confiados sus datos a la empresa. Y demostrar que no ha ocurrido esa exposición”, dijo a este diario, Sonzini Astudillo.

Tras conocerse que se había producido una exposición de datos personales de 54 mil usuarios, la firma reconoció en su momento el episodio, y Jorge Alves, presidente de Caminos de las Sierras, dijo que podría haber ocurrido durante el cambio de un servidor para mejorar las condiciones de seguridad.

Andrés Piazza, abogado especialista en tecnologías de la información y la comunicación (TIC), explicó: “El acceso indebido a los sistemas de información es considerado un delito. Esta figura se utiliza sistemáticamente para disuadir (chilling effect, en inglés) a las personas que se dedican a mostrar vulnerabilidades de sistemas informáticos críticos sin quebrantarlos, y no necesariamente porque hayan producido esos delitos que están tipificados. Pero hay un patrón de falta de garantías para quienes informan, que se pueden convertir en perseguidos penalmente, y esto hace que se disuada este tipo de prácticas que demuestran la exposición de datos de personas, tanto en ámbitos privados como del Estado”.

El hecho guarda una gran similitud con la exposición de datos de Movypark que La Voz reveló un año atrás y finalmente acabó con la rescisión del contrato de la empresa para administrar el servicio de estacionamiento medido de la ciudad por parte de la Municipalidad de Córdoba.

En la nota publicada por este medio a principios de noviembre, Alves prefirió no referirse al episodio como un ataque. Pero acto seguido aclaró que el problema había sido subsanado y que todos los datos estaban resguardados. Este medio intentó ayer por la tarde contactarse con él, sin éxito.

La investigación está a cargo de la Fiscalía en Cibercrimen a cargo de Franco Pilnik. Tampoco se pudo lograr una declaración del fiscal.

Antecedente

“Hay algo muy simple: si se persigue a quien pone de manifiesto la existencia de un problema, eso no contribuye a la solución. Está claro que el delincuente que encuentra eso no lo va a denunciar. Pero el ciudadano debe tener una forma de avisar, ya que afecta a toda la comunidad. Está bien que acuda a los medios”, señaló el consultor informático Javier Smaldone, quien denunció ante la Justicia la filtración de los datos del Ministerio de Seguridad de la Nación y de la Policía Federal.

Luego de ese hecho, la Justicia allanó en 2019 el domicilio de Smaldone, en calidad de sospechoso por sus comentarios públicos sobre dicho problema.

Qué datos estuvieron expuestos en internet

Un especialista reveló la vulnerabilidad del sistema.

Expuestos. Ruiz describió que ingresó al sitio web de Caminos de las Sierras desde su cuenta, modificó la información de la URL que está en el navegador –lo que puede hacer cualquier usuario– y accedió a una carpeta general de archivos con información sensible de las personas que usan el sistema de pago digital de la empresa. El especialista alertó a la empresa de esta vulnerabilidad.

Clientes. En dicho archivo, estaban expuestos los datos de 54.214 clientes: nombre, apellido, número de DNI, tarjeta de crédito y de débito (aunque no los códigos de seguridad), patentes de los autos, horario de tránsito y sentido de paso por el peaje, correo electrónico, teléfono y dirección. Había también 3.118 facturas de infracciones, 751 recibos de pago y 109 archivos de clientes morosos. También el detalle de 9.495.944 pasos por peajes, desde febrero de este año hasta el 30 de septiembre pasado. Ninguno de esos archivos estaba encriptado.

Resguardados. Ante una consulta periodística, la empresa aseguró que los datos estaban “resguardados”.

FUENTE: LAVOZ