El Registro Civil ha puesto a disposición este domingo su sistema de activación de Clave Única online, el que está basado en una aplicación que se vale de reconocimiento facial para hacerlo, y con esto ha puesto en jaque la privacidad y seguridad de cualquier persona.
Tras el anuncio por parte del gobierno de cuarentena total en siete comunas de la Región Metropolitana, muchísimas personas se agolparon en las sucursales del Registro Civil para así acceder a la Clave Única, una contraseña que permite realizar múltiples trámites en las plataformas online estatales, y que sólo era posible tener acercándose a una sucursal con ese fin.
En época donde la pandemia de Coronavirus nos impone distancia social como medida preventiva de contagio, claramente no es una buena idea estar apiñado en una repartición pública para acceder a esta clave, exigida para realizar el trámite de solicitud de permisos para salir de casa en medio de esta cuarentena, todo esto en caso de ser estrictamente necesario ir afuera.
Incluso nosotros publicamos un tutorial para conseguir la clave única de forma remota.
Para evitar problemas, rápidamente se anunció que se desarrollaría una forma para que las personas pudieran acceder a su Clave Única, y este domingo el Registro Civil liberó una actualización de su app con la herramienta que permite hacer este trámite de forma online, todo esto basado en reconocimiento facial.
Ahí comenzaron los problemas.
Implementación, la base del problema
Jose Ureña, Product Designer y Desarrollador en Cornershop, fue el primero en levantar la alerta sobre las debilidades que el sistema tenía, esto a través de un tweet en que aseguraba que había hecho el pedido de la clave de Daniel Matamala, periodista de CNN Chile, sin mayores complicaciones.
Conversamos con Ureña, quien comentó lo ridículamente sencillo de realizar del proceso para vulnerar la seguridad de las personas en la plataforma.
«El proceso fue muy fácil. Por ley, el SERVEL tiene que publicar un PDF enorme cada cierto tiempo con el padrón electoral. Eso incluye nombre, RUT, género, y dirección de cada una de las personas habilitadas para votar. Gracias a eso, hay muchas páginas que te permiten encontrar el RUT de una persona solo por su nombre, así que usé una de esas para encontrar el RUT de Daniel Matamala», comentó Ureña.
Ya con el RUT, y dado que Matamala es una figura pública, fue fácil para él conseguir una foto suya y comenzó a realizar el proceso de validación de identidad.
Cabe precisar que Matamala fue elegido por el desarrollador como sujeto de prueba, y no por algún fin en particular. Puede ser cualquiera.
«La app tiene una capa muy torpe de seguridad en esa parte, y es que te pide que unas 2 puntos moviendo tu cara, pero como las cámaras de teléfono no detectan profundidad, engañarla con una foto no es para nada difícil. Agarré la foto que había encontrado, la metí en Photoshop, y usé una herramienta muy básica para mover su cara hasta unir los puntos. Y así, en menos de 5 minutos logré tener acceso a todos sus trámites que requieran Clave Única».
Así de sencillo.
A los pocos momentos de haber sido anunciada, la app del Registro Civil presentaba problemas en su proceso para sacar Clave Única. A través de Twitter, el Registro Civil acusó «sobrecarga de sus servidores», por lo que pronto estaría disponible nuevamente.
¿Qué riesgos abre este problema de seguridad para las personas?
Actualmente son más de 45 los trámites que las personas pueden realizar online en reparticiones estatales, únicamente usando la Clave Única. Además de los permisos para la cuarentena, algunos de ellos son certificados sencillos, postulaciones a subsidios, hojas de vida, declaraciones de patrimonio e intereses, y una serie de otros trámites que comprometen información sensible de todas las personas en Chile, no sólo de usuarios de la app.
Si bien no filtra datos, este procedimiento propicia un acceso malicioso a múltiples datos de cualquier persona nacida en Chile o nacionalizada, lo que configura un gran problema de protección de datos personales y privacidad.
«La Clave Única en sí a mí me parece muy conveniente, pero si queremos que sea confiable y que más trámites puedan migrar a utilizarla es muy importante que los procesos para obtenerla y mantenerla en el tiempo tengan altos estándares de seguridad«, detalla el desarrollador.
Entonces, ¿es una mala implementación? Ureña es tajante al respecto. «Esto no es un tema de que la aplicación se hizo mal. Es que nunca debió haberse hecho. No todo tiene que ser online solo porque se puede, especialmente en el ámbito público», comentó.
«Por más que el Registro Civil invirtiera cientos de miles de millones en su aplicación y contratara a los mejores desarrolladores del mundo, ningún sistema informático es 100% seguro. Piensa que hasta Facebook, Apple, Google, empresas de billones y trillones de dólares, tienen vulnerabilidades», explica el profesional.
Se le pidió al Registro Civil una versión al respecto. Al cierre de esta nota no ha respondido, pero la repartición bajó de su cuenta el tweet con el video tutorial que había compartido de uso de la app. Así mismo se remitió a decir que la nueva app ya no está disponible. Si la alcanzaste a bajar, el sistema de acceso a Clave Única ya no está disponible.
Actualización 1
Ante la consulta de Pisapapeles sobre el tema a la entidad pública, el Registro Civil aseguró que «tuvimos que bajar la aplicación» y que «sus desarrolladores, Idemia, están haciendo la revisión».
Si no sabes que es Idemia, te contamos que es una empresa global perteneciente a la compañía Morpho. Posee más de más de 10 años de experiencia en el rubro del desarrollo de la seguridad e identidad pública, y trabaja con diferentes gobiernos a nivel mundial como el de Argentina, Chile, Nepal, Singapur, Albania, entre muchos otros, e incluso, trabaja estrechamente con la INTERPOL.
Actualización 2
Hace algunos instantes, el servicio de Registro Civil e Identificación ha publicado en su cuenta de Twitter una declaración publica, sobre los recientes hechos con la aplicación para obtener la clave única. Por el momento están en busca de soluciones que permitirán tener de vuelta a la aplicación a la brevedad, cumpliendo con el mejor estándar de seguridad posible.