Tweet

O.D.I.A.

15 Dec, 17 tweets, 5 min read

La Dirección Nacional de Migraciones (DNM) fue atacada por un ransomware.
Quisimos saber qué había pasado así que les preguntamos.
Mirá lo que nos respondieron 👇

Así como en un secuestro físico extorsivo se priva de la libertad a una persona y solo se la libera bajo ciertas condiciones, en un "secuestro de datos" o "ransomware", un programa restringe el acceso a ciertos archivos y pide un rescate para devolverlo.

En este caso, todo comenzó algún tiempo atrás (en la isla del sol) cuando un ransomware atacó a la DNM. Pero con un ingrediente extra: si el rescate no se pagaba, los datos (que contenían información privada) se publicaban.

Y, efectivamente, esto fue lo que ocurrió el 10 de septiembre de 2020.
Desde O.D.I.A. quisimos entender qué había pasado y presentamos un Pedido de Acceso a la Información.

Todas las preguntas y respuestas están en el documento completo.
drive.google.com/file/d/1VjHk_X…
Los puntos más destacados te los contamos a continuación.

(1) El ransomware (aka “el bicho”, aka “NetWalker”) publicó más de 2GB de datos de la DNM, incluyendo datos personales como quién entró o salió del país y cuándo. Esta información no estaba encriptada.

(2) No se sabe cómo accedió el bicho. Al momento de la respuesta estaban investigando el tema, pero quizás no se sepa nunca.

(3) Los delincuentes tuvieron acceso a los datos desde el 27/08 y DNM lo notó el mismo día a las 6 am. Pareciera que el bicho no quiso estar oculto extrayendo información por mucho tiempo (o quizás DNM respondió mal nuestra pregunta, elegimos creer que no).

(4) Pese a preguntarle directamente, la DNM no nos quiso decir cuántas computadoras fueron afectadas, ni los datos de cuántas personas fueron expuestas.

(5) Se solicitaron documentos sobre protocolos de seguridad, política de permisos, políticas de seguridad y respuestas de incidentes, pero no fueron provistos.

¿Cómo saber si tus datos fueron publicados? Si sos argentino o residente tenés la hermosa oportunidad de averiguarlo a través de un tramite personal vía Trámites a Distancia. Si no preguntás, no te va a llegar una notificación.

Si sos una persona extranjera, las correspondientes Embajadas fueron notificadas para que cada una lo maneje a su antojo.

Desde O.D.I.A. entendemos que quienes son responsables de la custodia de los datos tienen el deber de notificar a los titulares de la información filtrada.
Sostenemos esto principalmente sobre la base de dos cuestiones.

(1) La actuación del Estado Nacional se encuentra alcanzada por el art. 1716 del Código Civil y Comercial de la Nación que establece el deber genérico de no dañar.

(2) El Estado -al igual que todo responsable de una base de datos- tiene el deber de adoptar las medidas necesarias para garantizar la seguridad y confidencialidad de los datos personales, según determina el art.9 de la Ley 25.326.

Por último, no queremos dejar de marcar la asimetría existente entre las capacidades de la persona y el organismo.
Notificar al titular es una obligación del Estado para proteger de posibles ataques a quien suministró la información que la autoridad falló en preservar.

Además, la investigación debe ser abierta con documentos públicos ya que la transparencia nos da más confianza a las personas ciudadanas, que somos las principales interesadas en un mejor manejo de nuestros datos.

• • •

Missing some Tweet in this thread? You can try to force a refresh

This Thread may be Removed Anytime!

Twitter may remove this content at anytime! Save it as PDF for later use!

More from @ODIAasoc

O.D.I.A.

@ODIAasoc

21 Oct

https://twitter.com/ODIAasoc/status/1317168422543818755

¿Se acuerdan de que la semana pasada Human Rights Watch manifestó su preocupación por la violación de los derechos de niños y niñas por parte del sistema de reconocimiento facial?

https://twitter.com/ODIAasoc/status/1317168422543818755

@CELS_Argentina

Junto a @CELS_Argentina, @adcderechos, @accessnow, @amnistiaar y @FViaLibre nos reunimos con autoridades de la Ciudad que se comprometieron a girar el proyecto sobre reconocimiento facial a la Comisión de Derechos Humanos.

@LegisCABA

¿Qué creen que pasó?
Ahora @LegisCABA considera que el proyecto no es necesario que pase por esa Comisión.

Read 4 tweets

O.D.I.A.

@ODIAasoc

16 Oct

¿Sabías que las probabilidades de un falso positivo en el Sistema de Reconocimiento Facial (SRF) son mucho más altas en menores de edad? ¿Y que, por errores en el ingreso de datos, un niño de 3 años figura como buscado por robo agravado?
Te contamos un poco más 👇

Un trabajador de la construcción pasó casi una semana detenido al haber sido confundido con un delincuente prófugo, y estuvo muy cerca de que lo enviaran a la cárcel a cumplir condena. Este es solo uno de los errores que ha cometido el Sistema de Reconocimiento Facial del GCBA.

Pero el problema es mayor con menores porque, dado que la mayoría de algoritmos de reconocimiento facial se entrenan con rostros de personas adultas y, además, sus facciones cambian drásticamente en poco tiempo, las posibilidades de un falso positivo son más elevadas.

Read 6 tweets

O.D.I.A.

@ODIAasoc

7 Oct

Hoy la Corte Suprema de EE.UU. va a escuchar el caso de Google v. Oracle sobre el "Fair Use" de la API de Java en Android.
¿Qué es una API? ¿Qué es “Fair Use”? ¿Por qué esto es importante?
Te lo contamos en este hilo.

API es el acrónimo para Application Programming Interface (Interfaz de Programación de Aplicaciones). Podríamos decir que es el lenguaje que dos programas usan para comunicarse, algo así como un “vocabulario en común”.

La API no define cómo se lleva a cabo una tarea, sino que le da un nombre para que cualquiera pueda usarla. Por ejemplo, si fuéramos a cocinar y la receta dijera que hay que cortar zanahoria en juliana, entenderíamos que se trata de hacerlo en forma de tiritas (ahora lo saben).