viernes, 18 de octubre de 2019

Sistema de identificación biométrica de India está filtrando información personal.


El diario La Tribuna de India informó que era posible comprar por Whatsapp, a precios alarmantemente bajos, los datos personales de más de 1.130 millones de ciudadanos y residentes indios registrados en un sistema de identificación única llamado Aadhaar.
El plan nacional de India tiene los datos personales de más de 1.130 millones de ciudadanos y residentes de India en un sistema de identificación única llamado Aadhaar, que significa “fundación” en hindi. (Lea también: Con biometría, bancos se blindan contra el fraude) 
Pero a medida que pasa el tiempo, la evidencia revela que el Gobierno no está manteniendo esta información en privado y que, en el mejor de los casos, las bases del sistema aparecen como inestables.
En las primeras semanas de enero de 2018, el diario La Tribuna de India, medio con sede en Chandigarh, creó una tormenta cuando informó que estaban vendiendo acceso a datos de Aadhaar en WhatsApp, a precios alarmantemente bajos.
La investigación seguía a un hombre llamado Bharat Bhushan Gupta, un trabajador estatal aldeano, a quien convencieron de ingresar a la base de datos. Gupta se dio cuenta de que tenía acceso a mucha más información de la que había pedido.
Preocupado por lo que esto significaría para los titulares de esos datos, Gupta intentó notificar del problema a la Autoridad de Identidad Única de India (UIDAI), agencia responsable de emitir los números de Aadhaar, pero no pudo confirmar que UIDAI sabía del problema o lo estaba solucionando.
Gupta es uno de los 270,000 emprendedores a nivel aldeano que opera los centros de servicios comunes responsable de diversos servicios electrónicos entre gobiernos, negocios y ciudadanos.
Luego contactó a Rachna Khaira, periodista de The Tribune, que emprendió la investigación.Tras la investigación, India Today realizó un operativo propio para confirmar los hallazgos de la reportera de The Tribune.

Respuestas inconsistentes del Gobierno

La respuesta de UIDAI a la filtrción de datos fue presentar una denuncia contra la periodista Rachna Khaira,y decir que el reportaje estaba desinformando. 
El ministro de Tecnología de la Información, Ravishankar Prasad, hizo una declaración: "El Gobierno está comprometido con la libertad de prensa y en mantener la seguridad y la santidad de Aadhaar para el desarrollo de India. La denuncia es contra desconocidos. He sugerido a UIDAI que solicite al Tribune y su periodista que den toda la ayuda a al policía para investigar a los verdaderos delincuentes", escribió en su cuent ade Twitter.
Según la lógica de este informe, las agencias de investigación deberían presentar denuncias contra todos lo periodistas que hacen un destape. Farsa de defensa. UIDAI debe retirar la denuncia contra la periodista que dio a conocer el Aadhar Leaks. La agencia tiene antecedentes de intimidar a los informantes. No se puede intimidar a la sociedad civil.
No es la primera vez que UIDAI le “dispara el mensajero”, por así decirlo. A comienzos de 2017, UIDAI al periodista Debayan Ray de CNN-News 18 por llevar a cabo una investigación donde creó dos identificaciones en Aadhaar con el mismo grupo de datos biométricos.
UIDAI presentó una segunda denuncia contra el empresario Sameer Kochchar después de que bloqueo sobre puede Aadhaar es vulnerable a ataques por medio de un “ataque de repetición biométrica”. En los tres casos, UIDAI dice que las afirmaciones hechas son “engañosas".

Deliberadamente ‘permeable’

El número único de identificación Aadhaar reúne varias partes de la información demográfica y biométrica de una persona, incluida su fotografía, huellas digitales, diercción y más información personal. Esta información se guarda en una base de datos centralizada, a la que a la que tienen acceso una larga lista de agencias gubernamentales que pueden acceder a esa información al administrar servicios públicos.
Aunque centralizar esta información podría aumentar la eficiencia, también crea una situación altamente vulnerable donde una simple violación podría resultar en que los datos de millones de habitantes de India queden expuestos.
En junio de 2017, los usuarios de Twiter advirtieron de los peligros de dar credenciales de uso de la base de datos y capacidad para descargar Aadhaar electrónico a funcionarios estatales:
El informe anual 2015-16 del Ministrerio de Tecnología Electrónica y de la Información habló de un servicio llamado DBT Seeding Data Viewer (DSDV) que “permite a departamentos y agencias ver los detalles demográficos del titular de Aadhaar”.
Según Databaazi, iniciar sesión en DSDV permite a terceros a tener acceso a los datos de Aadhaar (sin consentimiento del titular de los datos) de una lista de direcciones IP. Esto significaba que cualquier con la dirección IP correcta podía acceder al sistema.
UIDAI confirmó en Twitter: Algunas personas han hecho mal uso del servicio de búsqueda demográfica, concedido a algunos funcionarios para ayudar a la personas que han perdido su talonario de Aadhaar/Inscripción a recuperar sus datos.
Este fallo del diseño puso en peligro a millones de detalles personales de titulares de Aadhaar de mayor exposición, en clara violación de la ley devAadhar.

Aadhaar Leaks en entidades estatales

La ley de Aadhar prohíbe la exhibición pública de números Aadhaar. Pero hay evidencia irrefutable que departamentos del Gobierno estatal y central han expuesto números de Aadhaar de pensionistas, menores, becarios y otros.
En octubre de Anand V señaló cómo hasta una simple búsqueda en Google de mensajes de UIDAI revela cientos de detalles de Aadhaar.
En noviembre de 20'17, se demostró que más de 200 sitios web gubernamentales mostraban detalles de Aadhaar. UIDAI lo admitió después de que los forzaron a dar a conocer esta información en respuesta a una solicitud de Derecho a la Información tion (RTI).
Ajay Bhushan Pandey, presidente ejecutivo de UIDAI, ha sostenido reiteradamente que los números de Aadhaar por sí solos suponen poco riesgo, pues los “números de Aadhaar son como números de cuentas bancarias”. Pero se ha demostrado que esto deja a las personas vulnerables al phishing, fraude de identidad y actividades ilíticas corporativas. como se vio en diciembre de 2017, cuando el gigante de las telecomunicaciones Airtel abrio tres millones de cuentas de pago para clientes sin su consentimento informado.
Pese a todo, las filtraciones continuan. La tendencia no ha pasado desapercibida entre expertos internacionales de privacidad de la  tecnología. El profesor Graham Greenleaf lo identificó como una de las “novedades de privacidad” más peligrosas del mundo:
¿La novedad de privacidad más peligrosa del mundo? Difícil decisión entre Aadhaar de India y Sistema de Crédito Social de China. Pero India todavía tiene su Corte Suprema, Constitución y el caso Puttaswamy para tener esperanza – China no.
Aunque las acciones de UIDAI ofrecen poco optimismo, la última esperanza estaba con la Corte Suprema que empezó a escuchar las principales peticiones de Aadhaar a partir del 17 de enero de 2018.

No hay comentarios:

Publicar un comentario