Una presunta filtración de datos del RENAPER en Argentina expone el valor de Bitcoin

La firma de ciberseguridad VECERT Analyzer alertó este 2 de junio sobre un presunto hacker que estaría vendiendo un sistema que daría acceso a datos personales de ciudadanos argentinos almacenados en Registro Nacional de las Personas (RENAPER), el organismo estatal que centraliza la identidad de toda la población del país.

El hecho ilustra uno de los riesgos estructurales que la tecnología de Bitcoin fue diseñada para esquivar: cuando los datos personales o el patrimonio de una persona dependen de un custodio central (un Estado, una empresa, un registro), una sola falla en ese custodio expone a todos los que dependen de él, sin que el individuo tenga control ni recursos para eludir ese problema.

Conforme al informe de VECERT Analyzer, el atacante cibernético fue identificado como ‘LaPampaLeaks’ y ofrece acceso a historiales de domicilio, vínculos familiares y números de celular.

El comunicado de la firma menciona además que entre la información presuntamente comprometida figuran datos del presidente Javier Milei, la diputada Lilia Lemoine, funcionarios de la Secretaría de Inteligencia del Estado (SIDE) y la expresidenta Cristina Kirchner. No obstante, desde VECERT califican el estado de la alerta como «no confirmado» aunque haya «evidencia visible».

Entre esa evidencia, investigadores de VECERT compartieron una captura de pantalla del presunto texto publicado en un foro de internet por el o los atacantes en el que estarían vendiendo la API que permite el acceso a la información expuesta:

El RENAPER y el gobierno argentino no emitieron declaraciones al respecto al momento de esta publicación. El contexto local, sin embargo, no es ajeno a este tipo de amenazas. De acuerdo con reportes de medios locales, el 28 de mayo la Policía Federal Argentina desarticuló una banda que comercializaba datos personales robados del RENAPER y otros organismos públicos a través de canales de Telegram, utilizándolos para estafas virtuales, suplantación de identidad y vaciamiento de cuentas. Siete personas fueron detenidas en once allanamientos simultáneos en distintos puntos del país.

El punto de fallo que Bitcoin busca eliminar

Que una filtración de datos del RENAPER habilite ataques concretos no es una consecuencia accidental. Es, en todo caso, la consecuencia directa del modelo de custodia centralizada.

Con nombre, domicilio, vínculos familiares y número de celular de una persona, un atacante puede construir un engaño creíble. Por ejemplo, el phishing (técnica por la cual un atacante suplanta a una persona o institución de confianza usando datos reales de la víctima para robar contraseñas, dinero o información sensible) se vuelve más efectivo cuanto más completo es el perfil disponible. La misma información también facilita ataques físicos dirigidos.

Bitcoin opera sobre un principio opuesto. La red no requiere que ningún organismo registre la identidad de sus usuarios ni custodie su patrimonio. Cada persona controla sus fondos mediante claves criptográficas propias, sin intermediarios y sin un registro central que, de ser comprometido, exponga a millones simultáneamente. La autonomía financiera en Bitcoin no depende de que el RENAPER, un banco o cualquier otro custodio proteja los datos del usuario: depende exclusivamente de que el usuario resguarde su propia clave que le demuestra a la red que es el único dueño de esas monedas.

El debate sobre la vulnerabilidad de los registros estatales centralizados no es nuevo, pero los episodios recurrentes de filtraciones de datos de organismos públicos renuevan la pregunta sobre qué garantías reales ofrece la custodia centralizada de información personal y si existen alternativas de diseño que trasladen ese control al individuo.