Durante el evento de ciberseguridad Eko Party, un investigador de seguridad córdobes demostró una seria falla de seguridad en la versión digital del DNI que se encuentra dentro de la app oficial Mi Argentina. La app permite tener una versión digital del DNI. Este nuevo formato, que se lanzó en noviembre de 2019, permite que todos los mayores de 14 años, nacionales o extranjeros con residencia definitiva o temporaria, puedan llevar la identidad en el teléfono móvil con la misma validez que el DNI tarjeta.

"Tengo mucho conocimiento de Android, es una de las tecnologías que más se cómo funciona. Cuando aparece el concepto veo que la única manera es mostrar el DNI y ya. Android permite, si esta rooteado, cambiar muchas cosas. Uno puede lograr que la app se comporte como uno quiere, más allá de las limitaciones. Se podía mostrar datosde otros, pude lograr que se genera el DNI de cualquier personay así generé uno totalmente falso, el otro gran problema es que la validación es solo mostrar la pantalla. Cuando alguien lo ve no sabe si ve la app original u otra. Conceptualmente la app no esta bien hecha, ya sabia que era vulnerable solo por como funcionaba", explica Dan Borgogno, el especialista que encontró la vulnerabilidad.

¡FELICITACIONES @DBorgogno por el premio a MEJOR CHARLA elegido por la comunidad de #eko2020!

Por segunda vez consecutiva Dan es elegido por el público por el impacto de sus investigaciones. ¡Gracias por ser parte de #ekoparty!#pwndemic pic.twitter.com/o8LNzVjnPH

Esta falla se conoce como IDOR que son las siglas en inglés de Referencia de Objeto Directo. Esta vulnerabilidad permite acceder a datos que deberían estar protegidos, lo cual representa de por sí una falla de seguridad porque exponía información de los usuarios. Se trata de una referencia a un objeto de implementación interna, tal como un archivo o llave de base de datos, se expone a los usuarios sin ningún otro control de acceso. Según el curso de protección de datos personales, el atacante puede manipular esas referencias para obtener acceso a los datos no autorizados.

"Hay comunicación entre la app y el backend en servidores. Cada vez que pido mis datos los pido con un valor, una firma digital, un jwtoken, tiene cosas mias, mi dni, ese valor lo obtengo cuando me logeo y esos datos personales en el token hacen que los pedidos sean individuados, uno de esos pedidos eran número de trámite, la de fecha expiración y emisión, yo podía pedirle con mi token y el servidor confiaba, no estaba bien validado", explica el especialista. 

Si existe un sitio web que utiliza la siguiente URL para acceder a la página de la cuenta del cliente, recuperando información de la base de datos back-end:

https://insecure-website.com/customer_account?customer_number=132355

Aquí, el número de cliente se utiliza directamente como un índice de registro en las consultas que se realizan en la base de datos de back-end. Si no hay otros controles en su lugar, un atacante puede simplemente modificar el valor de número de cliente, omitiendo los controles de acceso para ver los registros de otros Este es un ejemplo de una vulnerabilidad IDOR que conduce a una escalada horizontal de privilegios. Un atacante podría realizar una escalada de privilegios horizontal y vertical modificando el usuario a uno con privilegios adicionales sin pasar por los controles de acceso. Otras posibilidades incluyen explotar la filtración de contraseñas o modificar los parámetros una vez que el atacante ha aterrizado en la página de cuentas del usuario, por ejemplo.

El especialista, sin embargo, aclara que "estos errores están en todos lados, no es solo de Argentina, están en muchas apps, están hasta en empresas grandes como Facebook, lo diferente es que las empresas maduras hacen mas pentesting, este tipo de errores son simples, se detectan rápido, parece no haber habido pentesting en este caso". El problema más grande es que se pueda ir al banco, tramitar una tarjeta, sacar un crédito, que se hagan trámites y se cambie la dirección donde se cobre un beneficio , enumera Borgogno. Y añade: “en el DNI tarjeta hay un holograma, huella dactilar, un relieve, diferentes patrones para verificar su veracidad, en cambio el DNI digital carece de un método de validación efectivo, por lo cual puede ser fácil de falsificar .

El mismo investigador ya anteriormente había detectado fallas en la aplicación en relación al Certificado Único Habilitante de Circulación (CUHC), un código que muestra que el ciudadano o la ciudadana está habilitado para movilizarse, siempre y cuando en el autoexamen no se detecten síntomas de Covid-19.