Toma de huellas digitales para Aadhaar, foto vpua Wikimedia Commons, por Kannanshanmugham. CC BY 3.0.

El plan nacional de India tiene los datos personales de más de 1.130 millones de ciudadanos y residentes de India en uns sistema de identificación única llamado Aadhaar, que significa «fundación» en hindi.

Pero a medida que más y más evidencia revela que el Gobierno no está manteniendo esta información en privada, que las bases del sistema aparecen como inestables, en el mejor de los casos.

El 4 de enero de 2018, el diario The Tribune de India, medio con sede en Chandigarh, creó una tormenta cuando informó que estaban vendiiendo acceso a datos de Aadhaar en WhatsApp, a precios alarmantemente bajos.

#TRIBUNEINVESTIGATION — #SECURITYBREACH | by @RachnaKhaira
Rs 500, 10 minutes, and you have access to billion #Aadhaar details https://t.co/3vlJhbP94t pic.twitter.com/PRMutzR75d

— The Tribune (@thetribunechd) January 3, 2018

INVESTIGACIÓN DEL TRIBUNE — FALLO DE SEGURIDAD | de Rachna Khaira
Pagas 500 rupias (poco menos de USD8), 10 minutos, y tienes acceso a miles de millones de detalles de Aadhaar.

La investigación seguía a un hombre llamado Bharat Bhushan Gupta, emprendedor a nivel aldeano a quien convencieron de adquirir acceso a la base de datos que lo contactaron por WhatsApp. Luego Gupta se dio cuenta de que tenía acceso a mucha más información de la que había pedido.

Preocupado por lo que esto significaría para los titulares de esos datos, Gupta intentó notificar del problema a la Autoridad de Identidad Única de India (UIDAI), agencia responsable de emitir los números de Aadhaar, pero no pudo confirmar que UIDAI sabía del problema o lo estaba solucionando. Gupta es uno de los 270,000 emprendedores a nivel aldeano que opera los centros de servicios comunes responsable de diversos servicios electrónicos entre gobiernos, negocios y ciudadanos.

Luego contactó con Rachna Khaira, periodista de The Tribune, que emprendió la investigación.

Tras la investigación, India Today realizó un operativo propio para confirmar los hallazgos de la reportera de The Tribune.

Operation #AadhaarLeaks
Your Aadhaar details on sale for just Rs 2!
Watch this India Today special investigation.#NEWSROOM Live at https://t.co/4fqxBVUizLpic.twitter.com/aUFypsiOhG

— India Today (@IndiaToday) January 5, 2018

Operación Aadhaar Leaks
¡Tus detalles de Aadhaar se venden por apenas dos rupias (menos de centavos de dólar!
Mira esta investigación especial de India en vivo.

Respuestas inconsistentes del Gobierno

La respuesta de UIDAI a la violación fue presentar una denuncia contra Rachna Khaira, que llevó a cabo la investigación de la violación de información personal y lo lllamó ‘desinformar’. Cuando Editors Guild condenó que se penalizara a la reportera, la respuesta de UIDAI fue justificar sus acciones.

By the logic of this release investigative agencies should file cases against all journalists who do an expose. Sham defence. @UIDAI should withdraw FIR against journalist who broke #AadharLeaks Agency has track record of intimidating whistleblowers. Can’t browbeat civil society. pic.twitter.com/FIUOtvsR9D

— Rahul Kanwal (@rahulkanwal) January 7, 2018

Según la lógica de este informe, las agencias de investigación deberían presentar denuncias contra todos lo periodistas que hacen un destape. Farsa de defensa. UIDAI debe retirar la denuncia contra la periodista que dio a conocer el Aadhar Leaks. La agencia tiene antecedentes de intimidar a los informantes. No se puede intimidar a la sociedad civil.

El ministro de Tecnología de la Información, Ravishankar Prasad, hizo una declaración:

Govt. is fully committed to freedom of Press as well as to maintaining security & sanctity of #Aadhaar for India's development. FIR is against unknown. I've suggested @UIDAI to request Tribune & it's journalist to give all assistance to police in investigating real offenders.

— Ravi Shankar Prasad (@rsprasad) January 8, 2018

El Gobierno está comprometido con la libertad de prensa y en mantener la seguridad y la santidad de Aadhaar para el desarrollo de India. La denuncia es contra desconocidos. He sugerido a UIDAI que solicite al Tribune y su periodista que den toda la ayuda a al policía para investigar a los verdaderos delincuentes.

No es la primera vez que UIDAI le «dispara el mensajero», por así decirlo. A comienzos de 2017, UIDAI denunció al periodista Debayan Ray de CNN-News 18 por llevar a cabo una investigación donde creó dos identificaciones en Aadhaar con el mismo grupo de datos biométricos.

UIDAI presentó una segunda denuncia contra el empresario Sameer Kochchar después de que blogueó sobre puede Aadhaar es vulnerable a ataques por medio de un «ataque de repetición biométrica». En los tres casos, UIDAI dice que las afirmaciones hechas son «engañosas».

Deliberadamente ‘permeable’

El número único de identificación Aadhaar reúne varias partes de la información demográfica y biométrica de una persona, incluida su fotografía, huellas digitales, diercción y más información personal. Esta información se guarda en una base de datos centralizada, a la que a la que tienen acceso una larga lista de agencias gubernamentales que pueden acceder a esa información al administrar servicios públicos.

Aunque centralizar esta información podría aumentar la eficiencia, también crea una situación altamente vulnerable donde una simple violación podría resultar en que los datos de milones de habitantes  de India queden expuestos.

En junio de 2017, los usuarios de Twiter advirtieron de los peligros de dar credenciales de uso de la base de datos y capacidad para descargar Aadhaar electrónico a funcionarios estatales:

.@databaazi warned us about existence of search access to UIDAI data in last year April. Now after 10 months @thetribunechd reports, more than 1 lakh people got illegal access. https://t.co/wJwFvdu5XE

UIDAI's response: deleting files related to DSDV & SRDH from its website

— Anivar Aravind (@anivar) January 4, 2018

Databaazi nos advirtió de la existencia de acceso de busqueda a datos de UIDAI en abirl 2017. Ahora, después de diez meses, los informes de The Tribune, más de un millón de personas tuvieron acceso ilegal. La respuesta de UIDAI: borrar archivos relacionados con DSDV y SRDH de su sitio web.

El Informe Anual 2015-16 del Ministrerio de Tecnología Electrónica y de la Información habló de un servicio llamado DBT Seeding Data Viewer (DSDV) que «permite a departamentos y agencias ver los detalles demográficos del titular de Aadhaar».

Según Databaazi, iniciar sesión en DSDV permite a terceros a tener acceso a los datos de Aadhaar (sin consentimiento del titular de los datos) de una lista de direcciones IP. Esto significaba que cualquiera con la dirección IP correcta podía acceder al sistema.

Screenshots of DSDV (basic licence), which allows third parties (both public and private) to access Aadhaar data (1/2) pic.twitter.com/0Wi4s1EvVz

— india subsidy data (@databaazi) April 3, 2017

Capturas de pantalla de DSDV (licencia básica), que permite a terceros (públicos y privados) acceder a los datos de Aadhaar.

UIDAI confirmó en Twitter:

Some persons have misused demographic search facility, given to designated officials to help residents who have lost Aadhaar/Enrollment slip to retrieve their details @thetribunechd @rsprasad @ceo_uidai @timesofindia @firstpost @IndiaToday @ZeeNews @htTweets @TheQuint

— Aadhaar (@UIDAI) January 4, 2018

Algunas personas han hecho mal uso del servicio de búsqueda demográfica, concedido a algunos funcionarios para ayudar a la personas que han perdido su talonario de Aadhaar/Inscripción a recuperar sus datos.

Este fallo del diseño puso en peligro a millones de detalles personales de titulares de Aadhaar de mayor exposición, en clara violación de la ley de Aadhaar.

Aadhaar Leaks en entidades estatales

La ley de Aadhaar prohíbe la exhibición pública de números Aadhaar. Pero hay evidencia irrefutable que departamentos del Gobierno estatal y central han expuesto números de Aadhaar de pensionistas, menores, becarios y otros.

En octubre de Anand V señaló cómo hasta una simple búsqueda en Google de mensajes de UIDAI revela cientos de detalles de Aadhaar.

@UIDAI @ceo_uidai Searching your tagline in @Google shows a few hundred hits with Aadhaar details. Can you get them removed? pic.twitter.com/wpvVrvev9m

— Anand V (@iam_anandv) October 19, 2017

UIDAI y presidente ejecutivo de UIDAI, si se buscan sus mensajes en Google, aparecen centenares de resultados con detalles de Aadhaar. ¿Los pueden eliminar?

En noviembre de 20'17, se demostró que más de 200 sitios web gubernamentales mostraban detalles de Aadhaar. UIDAI lo admitió después de que los forzaron a dar a conocer esta información en respuesta a una solicitud de Derecho a la Información tion (RTI).

Ajay Bhushan Pandey, presidente ejecutivo de UIDAI, ha sostenido reiteradamente que los números de Aadhaar por sí solos suponen poco riesgo, pues los «números de Aadhaar son como números de cuentas bancarias». Pero se ha demostrado que esto deja a las personas vulnerables al phishing, fraude de identidad y actividades ilíticas corporativas. como se vio en diciembre de 2017, cuando el gigante de las telecomunicaciones Airtel abrió tres millones de cuentas de pago para clientes sin su consentimento informado.

Captura de pantalla del sitio web de UIDAI que mestra una advertencia contra difundir los números de Aadhar.

Pese a todo, las filtraciones continúan. La tendencia no ha pasado desapercibida entre expertos internacionales de privacidad de la  tecnología. El profesor Graham Greenleaf lo identificó como una de las «novedades de privacidad» más peligrosas del mundo:

World's most dangerous privacy development? Tough call between India's Aadhaar and China's Social Credit System. But India still has its Supreme Court, Constitution and the Puttaswamy Case to provide hope – China has not. @abli @ICDPPCSec https://t.co/2YViL5dKad

— Graham Greenleaf (@grahamgreenleaf) January 9, 2018

¿La novedad de privacidad más peligrosa del mundo? Difícil decisión entre Aadhaar de India y Sistema de Crédito Social de China. Pero India todavía tiene su Corte Suprema, Constitución y el caso Puttaswamy para tener esperanza – China no.

Aunque las acciones de UIDAI ofrecen poco optimismo, la última esperanza estaba con la Corte Suprema que empezó a escuchar las principales peticiones de Aadhaar a partir del 17 de enero de 2018.