¿Ves todos los idiomas arriba? Traducimos las historias de Global Voices para que los medios ciudadanos del mundo estén disponibles para todos.

Entérate más sobre Traducciones Lingua  »

Sistema de identificación biométrica de India está filtrando información personal — y las agencias estatales no lo solucionan

Toma de huellas digitales para Aadhaar, foto vpua Wikimedia Commons, por Kannanshanmugham. CC BY 3.0.

El plan nacional de India tiene los datos personales de más de 1.130 millones de ciudadanos y residentes de India en uns sistema de identificación única llamado Aadhaar, que significa “fundación” en hindi.

Pero a medida que más y más evidencia revela que el Gobierno no está manteniendo esta información en privada, que las bases del sistema aparecen como inestables, en el mejor de los casos.

El 4 de enero de 2018, el diario The Tribune de India, medio con sede en Chandigarh, creó una tormenta cuando informó que estaban vendiiendo acceso a datos de Aadhaar en WhatsApp, a precios alarmantemente bajos.

INVESTIGACIÓN DEL TRIBUNE — FALLO DE SEGURIDAD | de Rachna Khaira
Pagas 500 rupias (poco menos de USD8), 10 minutos, y tienes acceso a miles de millones de detalles de Aadhaar.

La investigación seguía a un hombre llamado Bharat Bhushan Gupta, emprendedor a nivel aldeano a quien convencieron de adquirir acceso a la base de datos que lo contactaron por WhatsApp. Luego Gupta se dio cuenta de que tenía acceso a mucha más información de la que había pedido.

Preocupado por lo que esto significaría para los titulares de esos datos, Gupta intentó notificar del problema a la Autoridad de Identidad Única de India (UIDAI), agencia responsable de emitir los números de Aadhaar, pero no pudo confirmar que UIDAI sabía del problema o lo estaba solucionando. Gupta es uno de los 270,000 emprendedores a nivel aldeano que opera los centros de servicios comunes responsable de diversos servicios electrónicos entre gobiernos, negocios y ciudadanos.

Luego contactó con Rachna Khaira, periodista de The Tribune, que emprendió la investigación.

Tras la investigación, India Today realizó un operativo propio para confirmar los hallazgos de la reportera de The Tribune.

Operación Aadhaar Leaks
¡Tus detalles de Aadhaar se venden por apenas dos rupias (menos de centavos de dólar!
Mira esta investigación especial de India en vivo.

Respuestas inconsistentes del Gobierno

La respuesta de UIDAI a la violación fue presentar una denuncia contra Rachna Khaira, que llevó a cabo la investigación de la violación de información personal y lo lllamó ‘desinformar’. Cuando Editors Guild condenó que se penalizara a la reportera, la respuesta de UIDAI fue justificar sus acciones.

Según la lógica de este informe, las agencias de investigación deberían presentar denuncias contra todos lo periodistas que hacen un destape. Farsa de defensa. UIDAI debe retirar la denuncia contra la periodista que dio a conocer el Aadhar Leaks. La agencia tiene antecedentes de intimidar a los informantes. No se puede intimidar a la sociedad civil.

El ministro de Tecnología de la Información, Ravishankar Prasad, hizo una declaración:

El Gobierno está comprometido con la libertad de prensa y en mantener la seguridad y la santidad de Aadhaar para el desarrollo de India. La denuncia es contra desconocidos. He sugerido a UIDAI que solicite al Tribune y su periodista que den toda la ayuda a al policía para investigar a los verdaderos delincuentes.

No es la primera vez que UIDAI le “dispara el mensajero”, por así decirlo. A comienzos de 2017, UIDAI denunció al periodista Debayan Ray de CNN-News 18 por llevar a cabo una investigación donde creó dos identificaciones en Aadhaar con el mismo grupo de datos biométricos.

UIDAI presentó una segunda denuncia contra el empresario Sameer Kochchar después de que blogueó sobre puede Aadhaar es vulnerable a ataques por medio de un “ataque de repetición biométrica”. En los tres casos, UIDAI dice que las afirmaciones hechas son “engañosas”.

Deliberadamente ‘permeable’

El número único de identificación Aadhaar reúne varias partes de la información demográfica y biométrica de una persona, incluida su fotografía, huellas digitales, diercción y más información personal. Esta información se guarda en una base de datos centralizada, a la que a la que tienen acceso una larga lista de agencias gubernamentales que pueden acceder a esa información al administrar servicios públicos.

Aunque centralizar esta información podría aumentar la eficiencia, también crea una situación altamente vulnerable donde una simple violación podría resultar en que los datos de milones de habitantes  de India queden expuestos.

En junio de 2017, los usuarios de Twiter advirtieron de los peligros de dar credenciales de uso de la base de datos y capacidad para descargar Aadhaar electrónico a funcionarios estatales:

Databaazi nos advirtió de la existencia de acceso de busqueda a datos de UIDAI en abirl 2017. Ahora, después de diez meses, los informes de The Tribune, más de un millón de personas tuvieron acceso ilegal. La respuesta de UIDAI: borrar archivos relacionados con DSDV y SRDH de su sitio web.

El Informe Anual 2015-16 del Ministrerio de Tecnología Electrónica y de la Información habló de un servicio llamado DBT Seeding Data Viewer (DSDV) que “permite a departamentos y agencias ver los detalles demográficos del titular de Aadhaar”.

Según Databaazi, iniciar sesión en DSDV permite a terceros a tener acceso a los datos de Aadhaar (sin consentimiento del titular de los datos) de una lista de direcciones IP. Esto significaba que cualquiera con la dirección IP correcta podía acceder al sistema.

Capturas de pantalla de DSDV (licencia básica), que permite a terceros (públicos y privados) acceder a los datos de Aadhaar.

UIDAI confirmó en Twitter:

Algunas personas han hecho mal uso del servicio de búsqueda demográfica, concedido a algunos funcionarios para ayudar a la personas que han perdido su talonario de Aadhaar/Inscripción a recuperar sus datos.

Este fallo del diseño puso en peligro a millones de detalles personales de titulares de Aadhaar de mayor exposición, en clara violación de la ley de Aadhaar.

Aadhaar Leaks en entidades estatales

La ley de Aadhaar prohíbe la exhibición pública de números Aadhaar. Pero hay evidencia irrefutable que departamentos del Gobierno estatal y central han expuesto números de Aadhaar de pensionistas, menores, becarios y otros.

En octubre de Anand V señaló cómo hasta una simple búsqueda en Google de mensajes de UIDAI revela cientos de detalles de Aadhaar.

UIDAI y presidente ejecutivo de UIDAI, si se buscan sus mensajes en Google, aparecen centenares de resultados con detalles de Aadhaar. ¿Los pueden eliminar?

En noviembre de 20'17, se demostró que más de 200 sitios web gubernamentales mostraban detalles de Aadhaar. UIDAI lo admitió después de que los forzaron a dar a conocer esta información en respuesta a una solicitud de Derecho a la Información tion (RTI).

Ajay Bhushan Pandey, presidente ejecutivo de UIDAI, ha sostenido reiteradamente que los números de Aadhaar por sí solos suponen poco riesgo, pues los “números de Aadhaar son como números de cuentas bancarias”. Pero se ha demostrado que esto deja a las personas vulnerables al phishing, fraude de identidad y actividades ilíticas corporativas. como se vio en diciembre de 2017, cuando el gigante de las telecomunicaciones Airtel abrió tres millones de cuentas de pago para clientes sin su consentimento informado.

Captura de pantalla del sitio web de UIDAI que mestra una advertencia contra difundir los números de Aadhar.

Pese a todo, las filtraciones continúan. La tendencia no ha pasado desapercibida entre expertos internacionales de privacidad de la  tecnología. El profesor Graham Greenleaf lo identificó como una de las “novedades de privacidad” más peligrosas del mundo:

¿La novedad de privacidad más peligrosa del mundo? Difícil decisión entre Aadhaar de India y Sistema de Crédito Social de China. Pero India todavía tiene su Corte Suprema, Constitución y el caso Puttaswamy para tener esperanza – China no.

Aunque las acciones de UIDAI ofrecen poco optimismo, la última esperanza estaba con la Corte Suprema que empezó a escuchar las principales peticiones de Aadhaar a partir del 17 de enero de 2018.

Inicie la conversación

Autores, por favor Conectarse »

Guías

  • Por favor trate a los demás con respeto. Comentarios conteniendo ofensas, obscenidades y ataque personales no serán aprobados.