La Agencia de Acceso a la Información Pública sancionó a la Policía Federal por un incidente de seguridad que hizo que se filtraran a la Deep Web escuchas telefónicas, legajos y huellas digitales de integrantes de la fuerza. Hubo apercibimientos leves: el organismo marcó errores en la política de prevención: “no se fiscalizó adecuadamente el uso obligatorio de los correos electrónicos institucionales”.
El escándalo conocido como “La Gorra Leaks”, la filtración de 700 gigabytes de información, alojadas en bases de datos y servidores de la Policía Federal Argentino, que incluía escuchas telefónicas, legajos, huellas digitales del personal, memorándums, bases de presupuesto y hasta fotografías, derivó en una investigación ante la justicia federal.
Pero allí no terminó la historia. El caso tuvo bifurcaciones ante otros organismos del Estado, que derivaron en una sanción por parte de la Aencia de Acceso a la Información Pública. El organismo a cargo de Eduardo Bertoni le aplicó tres apercibimientos: uno por haber incumplido el deber de seguridad, otro por incumplimiento del deber de confidencialidad, y el tercero por haber incumplido en tiempo y forma un pedido de informes de la Dirección Nacional de Protección de Datos Personales.
Según indica el texto, la AAIP – autoridad de aplicación de la Ley de Habeas Data- tomó conocimiento a través de varios portales de noticias de la producción del incidente de seguridad y tomó cartas en el asunto ya que en principio podrían verse vulneradas los artículos 9 y 10 de la Ley de Habeas Data, que protegen la seguridad y la confidencialidad de la información personal.
“La utilización de correos electrónicos no institucionales, por parte de ciertas dependencias policiales para la transmisión de información confidencial en franco desmedro de las políticas de seguridad de la información de la fuerza, resulta violatorio de lo dispuesto en el artículo 10 de la Ley N° 25.326”
La Policía Federal informó la mecánica de los hechos, que se iniciaron con “la intrusión de los ciberdelincuentes a diversas casillas de correos comerciales (Hotmail, Gmail) utilizadas por las dependencias policiales, mediante una técnica de “Phishing” (…) en razón de que en el sitio de la Página Oficial https://supbienestar.gob.ar se encontraba alojado un formulario malicioso que simulaba ser de un acceso al servicio de Onedrive para la descarga de un archivo”. Mediante esa maniobra, hackers se apoderaron de nombres de usuarios y contraseñas de acceso a correos y servidores donde se alojaba información de la fuerza.
Inmediatamente el caso se judicializó, y la PFA precisó que “se tomaron medidas concretas para mitigar este tipo de amenazas”.Posteriormente, ante un nuevo requerimiento de la AAIP, la fuerza acompañó sus las Políticas de Seguridad de la información.
Tras el análisis de la documentación, la agencia consideró que las políticas – que incluyen la utilización de correos electrónicos institucionales con mecanismos y controles de seguridad adecuados; la implementación y revisión regular de compromisos de confidencialidad y no divulgación de información, o su clasificación por niveles- resultaron adecuadas en relación con el tratamiento de datos que realiza la fuerza policial, y que “las acciones de detección y actuación posterior resultaron proporcionales y pertinentes a los efectos de mitigar los riesgos producidos por el incidente de seguridad”.
La falla, entonces, estuvo en la prevención. Primero por el uso de cuentas comerciales por parte de agentes, en lugar de hacerlo por los propios correos oficiales de la fuerza, pero además la agencia detectó que la información (vulnerada) “fue obtenida mediante la inyección de código PHP que tuvo lugar en una vulnerabilidad del PHP 5.6.3 de panel webmail”, y entenció consecuentemente que la versión del software utilizado por la Policía Federal “no dispone de soporte oficial y podría estar expuesta a diversas vulnerabilidades de seguridad”.
“La utilización de correos electrónicos no institucionales, por parte de ciertas dependencias policiales para la transmisión de información confidencial en franco desmedro de las políticas de seguridad de la información de la fuerza, resulta violatorio de lo dispuesto en el artículo 10 de la Ley N° 25.326”, sintetiza la resolución.
Además de ello, la AAIP remarcó faltas en lo relativo a la implementación de medidas de seguridad, mecanismos de autenticación, segregación de roles y funciones, y además características del acceso a los sistemas para la protección de la identidad y la privacidad; y pidió establecer controles de seguridad para las aplicaciones que procesen datos personales.