Karina Banfi
Diputada de la Nación
UCR - UNIÓN CÍVICA RADICAL
Período: 10/12/2023 - 09/12/2027
PROYECTO DE RESOLUCION
Expediente: 2693-D-2020
Sumario: PEDIDO DE INFORMES AL PODER EJECUTIVO SOBRE DIVERSAS CUESTIONES RELACIONADAS CON LA APLICACION "MI ARGENTINA".
Fecha: 08/06/2020
Publicado en: Trámite Parlamentario N° 60
Solicitar al Poder Ejecutivo Nacional que por intermedio de Jefatura de
Gabinete de Ministros Ministerio, la Subsecretaría de Gobierno Abierto y País
Digital y/o las áreas que estime pertinentes, arbitre los medios conducentes a
efectos de informar de manera oportuna y con información completa y
actualizada sobre los siguientes aspectos relacionados con la aplicación
MiArgentina:
1. Vulnerabilidades en el sistema de seguridad del documento para el
celular y en el sitio web de MiArgentina indicando:
a. ¿Cuales y cuantos son los controles para la alta de Usuario;
cuales son las normas de seguridad para el logueo y las
políticas de protección del número de trámite, serie y fecha de
vencimiento del DNI con las que actualmente cuenta la
aplicación y qué resultados arrojó el testeo acerca del nivel de
seguridad de la misma?
b. Si la aplicación y el sitio web presentan, ambas o
individualizadas, fallas de diseño que permitan filtraciones de
datos personales. En caso de ser así, indique en que constan las
fallas y cuales son los datos susceptibles de ser obtenidos;
c. Si la aplicación y el sitio web permiten acceder a datos que
posibilitan la copia y duplicación y falsificación del DNI Digital;
“2020 - Año del General Manuel Belgrano”
2. A partir de la Disposición 195/2020 se habilitó la solicitud y emisión
en forma remota de la credencial virtual del Documento Nacional de
Identidad para dispositivos móviles inteligentes ¿Cuáles fueron las
políticas de refuerzo de seguridad y los mecanismos de validación de
identidad implementados para evitar los robos de identidad?
3. Reportes de advertencias, producidos por la propia unidad
gubernamental o por parte de la Sociedad Civil, respecto a
vulnerabilidades que pudiera presentar la aplicación en las medidas
de seguridad y preservación de los datos sensibles de los usuarios. En
caso de ser así informe:
a. ¿Quien o quienes han reportado las posibles fallas?
b. ¿Cuales son las fallas reportadas?
c. ¿En qué fecha fueron recepcionadas tales denuncias? ¿han sido
respondidas?
d. Si han sido evaluadas y, en caso de haber sido atinadas, ¿qué
medidas de refuerzo del sistema de seguridad se han adoptado?
4. Denuncias presentadas ante la autoridad competente con motivo de
usurpación de identidad, falsificación de DNI y realización de trámites
y/o compras a través de la app por un tercero no autorizado por el
usuario.
a. Si han recepcionado denuncias por uso de los servicios que
ofrece la aplicación por parte de terceros no autorizados. En
caso de ser así, indique que servicios ha utilizado la persona
denunciada.
“2020 - Año del General Manuel Belgrano”
b. Qué plan de reversibilidad o/y de resolución del uso indebido
se ha diseñado e implementado para deshacer la acción o
compensar los daños que pudiera haber sufrido el usuario.
c. Con qué medios cuenta la Subsecretaría para modificar los
datos del DNI a fin de impedir un nuevo ingreso por parte de
terceros no autorizados a la cuenta del usuario?
FUNDAMENTOS
Señor presidente:
La aplicación digital MiArgentina se creó mediante el Decreto 87/2017
con la intención de mejorar la calidad de atención que se brinda a las
personas en su interacción con el Estado. Con este objeto, se unificó en dicha
aplicación el acceso a diversos servicios y trámites en línea, de modo tal que
la ciudadanía no deba confrontar con la compleja estructura interna del
Estado y vea simplificada su relación con la administración pública nacional.
Esta aplicación resolvió la dispersión de la oferta previa y, de este
modo, favoreció una vinculación del ciudadano con el Estado más ágil,
transparente, eficiente y sencilla. Logró concentrar en un único espacio la
Guía de Trámites, Perfil Digital del Ciudadano, Servicios de Atención,
realización de trámites a distancia, gestión de turnos, recepción de
notificaciones de fechas de cobros, vencimientos y turnos y la disponibilidad
digital de documentación diversa, como ser el Documento Nacional de
Identidad.
En la actualidad la aplicación ofrece tres servicios centrales:
● Mi billetera : La cual permite el acceso telefónico a la constancia de
Cuil, el Certificado Único de Discapacidad (CUD), la Licencia de
Nacional de Conducir, la Credencial de Trasplantado y la de Donación
de Órganos disponibles siempre en el teléfono.
● Mis notificaciones: Servicio que permite configurar recordatorios de
fechas de cobro, vencimientos de credenciales, turnos y más.
● Mis vehículos: Ofrece el acceso digital a la Licencia Nacional de
Conducir, Cédula verde o azul e información de la radicación y patente
de tu vehículo.
Todas las credenciales digitales disponibles en la aplicación cuentan
con la misma validez que la versión física, la cual también permite el acceso a
servicios brindados por el Estado, como créditos para un emprendimiento
social o préstamos con tasas bonificadas para una pyme.
Dado que toda esta información es de carácter personal y sensible es
indispensable dotar a la aplicación de los máximos niveles de seguridad
informática posible y preservar a la ciudadanía de ataques maliciosos que
“2020 - Año del General Manuel Belgrano”
pongan en riesgo su integridad moral y física, el uso, goce y correcta
administración de sus bienes privados y principalmente, el ejercicio
inalienable y exclusivo de su identidad. Motivo por el cual las recientes
advertencias expresadas por especialistas en distintos medios de
comunicación sobre las posibilidades de vulneración de la aplicación generan
especial preocupación.
Las denuncias realizadas se fundan en la posibilidad de obtener datos
sensibles a partir de filtraciones, que habiliten el acceso a datos personales y
sensibles, lo cual podría permitir duplicaciones y falsificaciones de
Documentos de Identidad, todo lo que se traduce en robo de identidad.
Según puede observarse, los sistemas de seguridad de la aplicación se
volvieron particularmente ineficientes a partir de la emisión de la Disposición
195/2020, a través de la cual la Dirección Nacional del Registro Nacional de
las Personas habilita la solicitud y emisión en forma remota de la credencial
virtual del Documento Nacional de Identidad. Esta disposición anula
excepcionalmente y durante el tiempo que dure el Aislamiento Social,
Preventivo y Obligatorio, la Disposición DI-2019-100092545-APN-RENAPER#MI,
que establecía un doble control biométrico. El segundo control fijaba como
requisito indeclinable el control de identidad biométrico del titular del DNI de
manera presencial y prohibía taxativamente “descargar la credencial virtual si
el Usuario no realiza personalmente el trámite de solicitud del DNI virtual en
las sedes habilitadas a tal efecto”.
Dada la remoción del requisito de presencialidad para la validación de
identidad, la única instancia de control de identidad vigente se reduce a la
generada por biometría de rostro de manera remota desde la Aplicación Mi
Argentina. Situación que, sumada a las irregularidades denunciadas sobre
filtración de datos y fallas técnicas de funcionamiento, generan una cadena
de vulnerabilidades, a saber: obtención de datos sensibles de terceros,
realización de captura de pantalla, duplicación de DNI y disponibilidad de este
en dos o más dispositivos.
Las consecuencias de estas fallas pueden corporizarse en apertura de
cuentas bancarias a nombre del damnificado, accesibilidad a datos sensibles,
circulación de dos o más DNI mellizos que vincularía a la persona ultrajada
con hechos no realizados por esta, acceso a las cuentas bancarias del titular y
demás acciones derivadas del robo de identidad.
“2020 - Año del General Manuel Belgrano”
Es de especial gravedad la presencia de estos riesgos en un escenario
de crecimiento exponencial de descarga y uso de la aplicación con motivo de
gestionar y almacenar el Certificado de Circulación.
Por tal motivo, solicitamos se brinde la información arriba expresada e
instamos a tomar todas las medidas conducentes a erradicar las fallas que
originaron las vulnerabilidades, fortalecer las medidas de control de identidad
para la emisión del DNI Digital y verificación su autenticidad y habilitar
instancias de participación de la comunidad informática especializada que
permitan encontrar debilidades de seguridad antes de poner la aplicación a
disposición del público o a implementar reformas que alteren su protección,
como puede ser la organización de pentesting o la apertura de parte del
código para buscar debilidades.
En virtud de la importancia del tema, le solicitamos a nuestros pares no
acompañen en la aprobación del presente pedido de informes.
| Firmante | Distrito | Bloque |
|---|---|---|
| MARTINEZ, DOLORES | CIUDAD de BUENOS AIRES | UCR |
| AUSTIN, BRENDA LIS | CORDOBA | UCR |
| BANFI, KARINA | BUENOS AIRES | UCR |
| CACACE, ALEJANDRO | SAN LUIS | UCR |
| CARRIZO, ANA CARLA | CIUDAD de BUENOS AIRES | UCR |
| CARRIZO, SOLEDAD | CORDOBA | UCR |
| GRANDE, MARTIN | SALTA | PRO |
| NAJUL, CLAUDIA | MENDOZA | UCR |
| TORELLO, PABLO | BUENOS AIRES | PRO |
| NANNI, MIGUEL | SALTA | UCR |
| YACOBITTI, EMILIANO BENJAMIN | CIUDAD de BUENOS AIRES | UCR |
Giro a comisiones en Diputados
| Comisión |
|---|
| LEGISLACION GENERAL (Primera Competencia) |