Un ciber investigador cordobés dice que se puede clonar un DNI digital para hacer compras sacar préstamos

Un investigador cordobés encendió luces de alarma en los sistemas al asegurar en un evento de ciberseguridad, el  Eko Party,  que es posible clonar una versión digital del DNI que se encuentra dentro de la app oficial Mi Argentina y a partir de ahí tomar créditos y hacer comprar haciéndose pasar por otra persona.

"Tengo mucho conocimiento de Android, es una de las tecnologías que más se cómo funciona. Cuando aparece el concepto veo que la única manera es mostrar el DNI y ya. Android permite, si esta rooteado, cambiar muchas cosas. Uno puede lograr que la app se comporte como uno quiere, más allá de las limitaciones. Se podía mostrar datosde otros, pude lograr que se genera el DNI de cualquier personay así generé uno totalmente falso, el otro gran problema es que la validación es solo mostrar la pantalla. Cuando alguien lo ve no sabe si ve la app original u otra. Conceptualmente la app no esta bien hecha, ya sabia que era vulnerable solo por como funcionaba", explicó Dan Borgogno, el especialista que encontró la vulnerabilidad.

Según dijo, esta falla se conoce como IDOR que son las siglas en inglés de Referencia de Objeto Directo. Esta vulnerabilidad permite acceder a datos que deberían estar protegidos, lo cual representa de por sí una falla de seguridad porque exponía información de los usuarios. Se trata de una referencia a un objeto de implementación interna, tal como un archivo o llave de base de datos, se expone a los usuarios sin ningún otro control de acceso. Según el curso de protección de datos personales, el atacante puede manipular esas referencias para obtener acceso a los datos no autorizados.

"Hay comunicación entre la app y el backend en servidores. Cada vez que pido mis datos los pido con un valor, una firma digital, un jwtoken, tiene cosas mias, mi dni, ese valor lo obtengo cuando me logeo y esos datos personales en el token hacen que los pedidos sean individuados, uno de esos pedidos eran número de trámite, la de fecha expiración y emisión, yo podía pedirle con mi token y el servidor confiaba, no estaba bien validado", explicó el especialista. 
 
"Aquí, el número de cliente se utiliza directamente como un índice de registro en las consultas que se realizan en la base de datos de back-end. Si no hay otros controles en su lugar, un atacante puede simplemente modificar el valor de número de cliente, omitiendo los controles de acceso para ver los registros de otros Este es un ejemplo de una vulnerabilidad IDOR que conduce a una escalada horizontal de privilegios. Un atacante podría realizar una escalada de privilegios horizontal y vertical modificando el usuario a uno con privilegios adicionales sin pasar por los controles de acceso. Otras posibilidades incluyen explotar la filtración de contraseñas o modificar los parámetros una vez que el atacante ha aterrizado en la página de cuentas del usuario, por ejemplo", indicó.

El especialista, sin embargo, aclaró que "estos errores están en todos lados, no es solo de Argentina, están en muchas apps, están hasta en empresas grandes como Facebook, lo diferente es que las empresas maduras hacen mas pentesting, este tipo de errores son simples, se detectan rápido, parece no haber habido pentesting en este caso". El problema más grande es que se pueda ir al banco, tramitar una tarjeta, sacar un crédito, que se hagan trámites y se cambie la dirección donde se cobre un beneficio”, enumeró Borgogno. Y añadeió “en el DNI tarjeta hay un holograma, huella dactilar, un relieve, diferentes patrones para verificar su veracidad, en cambio el DNI digital carece de un método de validación efectivo, por lo cual puede ser fácil de falsificar”.

El mismo investigador ya anteriormente había detectado fallas en la aplicación en relación al Certificado Único Habilitante de Circulación (CUHC), un código que muestra que el ciudadano o la ciudadana está habilitado para movilizarse, siempre y cuando en el autoexamen no se detecten síntomas de Covid-19.