Millones de datos de usuarios de paquetería postal de las empresas DAC y UES enviados entre 2016 y 2019 quedaron expuestos, según una denuncia que se publicó la semana pasada en el sitio fuga.uy y que fue recibida en la Unidad Reguladora de Control de Datos Personales (URCDP).
De acuerdo a la denuncia, las empresas habrían dejado expuestos datos de más de 2.000.000 de documentos con información privada y el rastreo de más de 800.000 paquetes.
Las empresas, que componen los servicios privados más importantes de mensajería postal del país, tienen como clientes a un gran número de bancos locales. UES también brinda servicios postales al Correo Uruguayo.
Los datos expuestos incluyen nombre, cédula, documentos legales (juicios, documentos de corte), firmas manuscritas en formato digital y datos sobre bases de datos de clientes de bancos y aseguradoras, entre otra información. Las empresas habrían corregido estos errores, pero los usuarios afectados no habrían sido notificados del problema, por el que habrían atravesado un período de exposición de cuatro años.
La denuncia fue presentada ante las empresas y las autoridades en julio del año pasado, y los datos fueron puestos a disposición del gobierno. La URCDP tiene expedientes abiertos sobre ambos casos. No obstante, hay una resolución de febrero de este año de un expediente previo a esta denuncia apercibiendo al Grupo DAC por los artículos 7 y 10 de la ley 18.331 de protección de datos personales. El artículo 7 habla del no exceso de los datos con relación a la finalidad y el 10, de la garantía de privacidad y seguridad de su almacenamiento. La resolución indica que al acceder al sistema de rastreo se podía acceder a “datos de los usuarios sobre su actividad comercial, nombre, apellido, nombre de la empresa, firma, domicilio, entre otros”.
Según la ley 18.331 de protección de datos personales, toda base de datos que contenga datos personales de personas físicas o jurídicas debe estar registrada en el Estado.
Desde la empresa DAC se afirma que “se constataron vulnerabilidades en el sitio, pero no se constató que se hiciera efectiva la fuga de datos de ningún cliente después de analizar la información que se nos envió de la noticia de fuga.uy.” También que la información “no se veía directamente en la página”, y que para ello “se tenía que utilizar herramientas de la consola del explorador web que no son conocidas por el usuario común que entra a buscar su información en forma regular”. El problema fue solucionado, según comunicó la empresa, con el aumento de seguridad a través de claves únicas por cliente, la incorporación de dígitos verificadores al código de rastreo y de captchas para validar el acceso al rastreo de paquetes.
UES, por su parte, ha preferido no brindar declaraciones a la diaria.
El autor de la denuncia es Jason Minard, quien se presenta como “profesional de IT, quien cuenta con más de 30 años de experiencia”. Minard proporcionó a la diaria el comprobante del envío de los datos encontrados a la URCDP y al Centro Nacional de Respuesta a Incidentes de Seguridad Informática. El comprobante menciona que deberá borrar los datos almacenados de forma personal, pero aún se puede acceder a algunos de estos datos a través de las copias guardadas en el sitio archive.org, que funciona como una base de datos histórica de sitios web.