La mayor base de datos biométricos del mundo está filtrando datos de ciudadanos — pero sigue creciendo

Reuniendo imágenes del iris para Aadhaar. Foto de Wikimedia Commons, por Kannanshanmugam. CC BY 3.0.

En los últimos meses, la tuitósfera india se ha visto inundada de ciudadanos preocupados sobre sitios web gubernamentales que están filtrando millones de números individuales de identificaciones digitales.

El 1 de mayo, el Centro para Internet y Sociedad, grupo de expertos multidisciplinario en Bangalore, dio a conocer un informe que indica las deficientes prácticas de seguridad de la información que ha dejado expuestos hasta 135 millones  de números de identificación, filtrados de cuatro bases de datos gubernamentales. Las filtraciones de datos se originaron en el proceso de implementar tableros en línea, probablemente con la intención de una transparencia general y fácil administración de las agencias gubernamentales.

El plan fue elaborado por el gobierno de la Unión de India en 2009, y llamaba a la creación de una Autoridad Única de Identificación de India (UIDAI por su nombre en inglés) que emitiría números únicos de identificación (UID por su nombre en inglés) a todos los residentes de India. Con este plan, ahora conocido como Aadhaar, el número UID se vincula con varias partes de la información demográfica y biométrica de una persona, incluidas fotografía, diez huellas digitales y una image de su iris. Esta información se almacena en una base de datos centralizada.

El plan ya ha registrado a 1,130 millones de indios y residentes de India, con lo que es la mayor base de datos biométricos del mundo.

Esto se ha convertido en punto de orgullo para las agencias gubernamentales involucradas en el programa. El ministro de Tecnología de la Información, Ravishankar Prasad (@rsprasad), tuiteó:

1,130 millones de personas en India tienen Aadhaar. India tien el mayor sistema de identidad digital del mundo. India Digital.

Expandiendo programas

Aadhaar se elaboró para usarse como mecanismo de autenticación de identidad que podría tener múltiples servicios que se están elaborando en el propio mecanismo. El plan se ejecutó con una orden ejecutiva desde sus inicios en 2009 hasta que se aprobó la Ley de Aadhaar en 2016. Las estrategias empleadas por sus partidarios generaron sustancial controversia, y ha sido cuestionada por la Corte Suprema por razones presupuestales. Pero hasta ahora, sigue vigente.

UIDAI sostiene que el plan es voluntario. Pero el Gobierno central ha presionado a los gobiernos estatales para incluir UID en una amplia gama de servicios gubernamentales esenciales disponibles al público.

El portal independiente de noticias Scroll informa con frecuencia sobre asuntos relacionados con las filtraciones de UID con diversos programas de asistencia por medio de su Proyecto Identidad. En años recientes, Scroll ha identificado múltiples ejemplos de personas a las que se ha negado servicios públicos por no tener UID.

En Delhi en 2015, se negaron raciones de comida a quienes no tenían números UID. En abril de 2016, en el distrito Ajmer de Rajasthan, subsidios de comida habilitados por medio de UID registraron repetidamente fallas de autenticación.

Seis meses después del inicio de Aadhaar en Rajastán, funcionarios estatales informan que entre el 10 y 15% de beneficiarios que normalmente recibían granos de comida del Gobierno (según la Ley Nacional de Seguridad Alimenticia) no les habían entregado todo o parte de su ración porque el sistema no pudo autenticar sus UID. El trabajador de una granja local dijo a Scroll que sus raciones se habían reducido drásticamente desde la llegada de Aadhaar. «En algunos casos, cuando ponemos nuestro dedo, la máquina lee 5 kg, 10 kg o 15 kg como lo que nos corresponde. Pero nos corresponden 35 kg según las normas del Gobierno».

Los defensores son rápidos en anotar que no hay una vía adecuada para solucionar estas situaciones, lo que deja a los ciudadanos con pocos recursos o capacidad de buscar que se corrijan esos errores.

A pesar de múltiples órdenes judiciales que sostienen que UID es voluntario y se limita a alguinos planes seleccionados, el Gobierno sigue expandiendo su alcance.

Infraestructura delicada que se usa incorrectamente

Según el economista Jean Drèze, el nuevo sistema de autenticación requiere que muchas tecnologías frágiles trabajen al mismo tiempo, como puntos de venta, conectividad a internet, biométrica, servidores remotos y redes móviles. También sostiene que la principal causa de corrupción en desembolso de subsidios de comida se relaciona con la cantidad de raciones distribuidas o fraude en la cantidad, del que el UID no se encarga.

Reetika Khera, economista que también ha trabajado intensamente en estos problems,señala que la exclusión de grandes cantidades de personas de planes de asistencia social no ha sido por falta de identidad, sino debido a «presupuestos exiguos y errores de exclusión«.

Disputa con la corte

La Corte Suprema emitió dos órdenes en septiembre de 2013 y marzo de 2014, que establecían que “no se debe privar a nadie de ningún servicio por falta de número Aadhaar si la persona tiene su derecho expedito”. El 11 de agosto de 2015, la corte emitió otra orden más que limitaba el uso de UID a subsidios de comida, kerosene y gas para cocinar. El 15 de octubre, lo extendió a cuatro planes más: el Plan Nacional de Garantía de Empleo Rural, Pradhan Mantri Jan Dhan Yojana (plan de inclusión financiera) y políticas relacionadas con pensiones y fondos de previsión, después de que el Gobierno sostuvo que sería difícul hacer retroceder el UID ahora que es el sistema de identidad nacional más usado y está vinculado a entrega de servicios en varios grandes planes de asistencia.

‘Con fugas’ por diseño

Luego de reiterados argumentos del Estado de que UID hace posible erradicar a ‘beneficiarios fantasmas’ y ‘dejar de duplicar’ múltiples identificaciones, empezaron a circular revelaciones de falsas ‘cédulas de UID’. Se informó que esas cédulas de UID se emitieron con el nombre de mascotas, figuras históricas, un supuesto espía y hasta dioses.

Además, es como si no hubiera números falsos de Aadhaar. ¡¡Hasta le dieron [número de] Aadhaar a un gato, un perro y a [drama histórico de televisión] Jhansi Ki Raani!!

Más recientemente, la tuitósfera india ha señalado abiertamente a sitios web gubernamentales que filtran información delicada de la base de datos de UID. En febrero, el investigador de seguridad Srinivas Kodali expuso una base de datos paralela que contenía números  UID y otros detalles de 500,000 a 600,000 niños.

Ayer me informaron sobre un sitio web que estuvo publicando números Aadhaar de menores. Lo informamos a las autoridades y los retiraron.

En otro caso, los números de UID de beneficiarios de becas estuvieron en un sitio web gubernamental durante más de un año.

Sitio web de becas de Kerala estuvo filtrando datos de Aadhaar como estos por más de un año.

El 22 de marzo de 2017, el trabajador tecnológico @St_Hill expuso la gravedad del problema mostrando con hojas de cálculo de datos personales que aparecen con apenas una búsqueda en Google.

Bien, escribí unas mil palabras sobre Aadhaar. ¿Cuál es la mejor manera de difundir – las personas leen blogs ahora? ¿Medios? ¿En Twitter?
————-
Escribí algunas palabras sobre Aadhaar. Me alegraría que demostraran que estoy equivocado si encuentran algo incorrecto.

Esto fue retirado inmediatamente. Pero siguen apareciendo nuevos con otras simples búsquedas en Google.

Con la etiqueta #AadhaarLeaks [Filtraciones de Aadhaar], los usuarios de Twitter informaron de numerosos casos con diversos sitios web gubernamentales. Las filtraciones tuvieron atención popular en medios sociales cuando el número de UID del excapitán del equipo indio de críquet, MS Dhoni apareció en un tuit enviado por un operador de inscripciones de UID.

Respuesta del Gobierno

UIDAI respondió a las protestas con una campaña llamada #AadhaarStars, donde se animaba a padres de niños pequeños a publicar videos de 30 segundos de lo que UID significaba para ellos.

Una oportunidad de hacer que tus hijos sean estrellas de Aadhaar. Visita este sitio web para más información.

Esto recibió el rechazo de furiosos usuarios de Twitter con la etiqueta #AadhaarFail [Fracaso de Aadhaar] que ahora ofrece un compendio de tuits sobre fallos de autenticación de UID.

En los últimos meses, cuando las preocupaciones por la privacidad y la seguridad se hicieron más fuertes, UIDAI cerró los operadores de inscripciones, sitios web y solicitides de pago por mal uso datos biométricos. El Gobierno central incluso ha advertido a los departamentos estatales que no usen los datos de UID en sus portales.

Mientras la incertidumbre crece, la investigadora de privacidad Amber Sinha y el mencionado investigador de seguridad Srinivas Kodali estimaron el tamaño de las filtraciones de Aadhaar.

Nuestro informe sobre la magnitud de las filtraciones de Aadhaar, 130 millones de datos de Aadhaar se hicieron públicos. 100 millones estaban vinculados…

Es importante entender que esto no es tanto sobre filtraciones como de publicación proactiva de números de Aadhaar y otra información.

Está por verse cómo reaccionará el Gobierno es esto.

La segunda parte de este artículo echará un vistazo asuntos de privacidad, vigilancia y derechos humanos con respecto a Aadhaar.

Inicia la conversación

Autores, por favor Conectarse »

Guías

  • Por favor, trata a los demás con respeto. No se aprobarán los comentarios que contengan ofensas, groserías y ataque personales.