Transformando los datos públicos en datos sensibles

¿Cuales son los datos públicos?

Los datos públicos son los que están al alcance de todos, cualquier persona o entidad puede acceder y hacer uso de ellos sin ningún permiso especial, por ejemplo un dato publico puede ser el nombre completo del presidente de un país, el numero que aparece en las casas, el nombre de una calle, la circunscripción a la que representa un Diputado, Tu RUT y Nombre completo, ¡si!, tal como lo lees, TU RUT y nombre completo es un dato publico, es por esto que antes de cada elección el Servicio electoral de Chile publica por un tiempo limitado un listado en PDF con todos los electores, su RUT , Nombre, Dirección, y comuna electoral. Y este es el listado que alimenta paginas como NombreRutyFirma.com, así obtienen sus datos y no tienen consecuencias legales porque están facilitando datos públicos.

¿Cuales son los datos sensibles?

Por otro lado los datos sensibles según la ley 19.628 articulo 2°a, sobre la protección de la vida privada en Chile, “Son Datos sensibles aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas,las creencias o convicciones religiosas, los estados de salud fiscos o psíquicos y la vida sexual” .

Bueno todo bien, con mi RUT no pueden saber mi intimidad o vida privada, mi estado de salud o creencias religiosas ¿Y que pasa cuando un dato público se vuelve un dato sensible? A lo que me refiero es, ¿que pasa si con un dato publico puedo inferir un dato sensible?

En la misma Ley 19.628 Articulo 11 indica “El responsable de los registros o bases donde se almacenen datos personales con posterioridad a su recolección deberá cuidar de ellos con la debida diligencia, haciéndose responsable de los daños”, clarísimo, el que tiene los datos los cuida.

En general las empresas, por ejemplo centros médicos no exponen explícitamente las fichas de sus pacientes, entonces se quedan tranquilos porque están cuidando los datos. Pero como dice un amigo “que pasa si…” por ejemplo alguna fundación de ayuda a pacientes de VIH tiene una pagina de login para acceder a contenido restringido solo a los pacientes(resultado de exámenes) y al ingresar un RUT de alguien que no es paciente y una contraseña cualquiera devuelve un mensaje de error como “RUT no Existe” y cuando tratas de ingresar con un RUT de paciente y contraseña cualquiera devuelve un mensaje parecido a “Contraseña incorrecta”, esto es casi igual a decir “Este RUT es paciente nuestro y tiene VIH” y es en este preciso instante cuando nuestros datos públicos se transforman en datos sensibles debido a las malas practicas de las empresas sin un mínimo conocimiento en Ciberseguridad, claramente el mensaje de error debiera ser el mismo para ambos casos, algo así como “RUT o contraseña incorrecta” con tal de no poder inferir si el RUT pertenece o no.

Probablemente ya te llego algún correo de phishing de un banco del cual no eres cliente, en el que se refieren a ti como Estimado: Cliente(a) pidiendo tomar conocimiento o acciones de alguna información, cobro incorrecto, pago retenido, actualización de clave, activar o sincronizar la tarjeta de coordenadas y/o digipass o algo similar, pero como no eres cliente de ese banco no caes en el engaño y no te afecta, esto es porque generalmente estas campañas de phishing son campañas masivas en las que con un listado grande de correos electrónicos sin filtrar se envía el mismo mensaje a todos y esperan pacientemente que alguno caiga en el engaño, seria mucho mas probable que cayeras en el engaño si fueras cliente del banco en cuestión. Entonces que pasaría si aplicáramos la técnica del párrafo anterior para filtrar a los clientes del banco destinatario del phishing, probablemente la tasa de éxito subiría bastante, prueben con paginas de banco para detectar si un rut es cliente o no, cof cof santander cof cof, también sirve tratar de recuperar una contraseña, son bastante explícitos los mensajes de error en cuanto a la existencia de los usuarios en el sistema.

Por ejemplo, hace un par de meses estaba tratando de pedir una hora de atención en un conocido centro medico en el que tengo convenio y me di cuenta que al ingresar mi RUT en la página para agendar la hora esta obtenía mis datos internamente y sin recargar la pagina llenaba los campos con mis datos automáticamente, ante estos síntomas lo mas probable es que estemos frente al consumo de algún tipo de API, con mi Firefox developer como fiel compañero apliqué F12 (Pronto un artículo sobre esto) y empece a analizar lo que pasaba por detrás y llegue a la siguiente API, en la que al ingresar un rut de un paciente muestra lo siguiente

Respuesta de la API al ingresar un RUT conocido.

En cambio si ingresas el RUT de alguien que no es paciente muestra lo siguiente:

Respuesta de la API al ingresar un RUT desconocido.

Ya con esto podemos descubrir si un RUT es o fue paciente de este prestigioso centro medico obtener parte de su teléfono y email y ademas lo que no es menor, ponerle nombre a ese RUT, y con toda esta información elaborar por ejemplo un phishing mucho mas efectivo y generar un correo solo para pacientes en el que se adjunte una cuenta por pagar apunto de ser enviada a cobranza judicial y conducente a un embargo , o el resultado de un examen de oncología o algo asi, bien terrorifico. Lo mas probable es que empieces a hacer memoria y piense algo como ”mmm probablemente es la cuenta de la penúltima vez en urgencias y no recuerdo si pague o no ya que salí de madrugada y apurado, voy a pinchar el link o el documento adjunto” y es así como basta un dato tan simple como saber si eres paciente de un centro medico para hacerte confiar un poco mas en la veracidad del correo recibido y caer en el engaño.

Es importante que las empresas custodias de nuestros datos personales tomen conciencia de lo importante que es guardar los datos, por ejemplo en el caso del login de un banco, basta con corregir el mensaje de error para que no se pueda inferir si un RUT es cliente o no. En el caso del centro medico, basta con limitar la consulta de la API a un usuario autenticado en el portal, para evitar el consumo automatizado de paginas se puede hacer uso de un captcha, tampoco hay para que reinventar la rueda si hay herramientas bastante probadas disponibles, con esto quiero recalcar que cambios simples en la forma de fabricar el SW permiten grandes cambios en la seguridad y privacidad de nuestros datos.

En Europa entró en vigencia en mayo del año 2016 el nuevo Reglamento general de protección de datos en el que se definen nuevos conceptos legales, los derechos de los ciudadanos, las responsabilidades de las empresas y no menos importante los organismos fiscalizadores y las penas asociadas al incumplimiento. Esperemos que la nueva ley de delitos informáticos que se viene cocinando hace varios años en el congreso de Chile no solo cuide a las empresas sino también a las personas y tome como guía este y proteja realmente la privacidad de los datos de los ciudadanos y residentes Chilenos.