Graves fallas de seguridad en Login BA ponen en riesgo los datos de millones de porteños

 
Un informe de la Auditoría General de la Ciudad de Buenos Aires (AGCBA) encendió las alarma sobre el estado del sistema Login BA, la plataforma que valida la identidad digital para acceder a trámites y servicios del Gobierno porteño, el organismo de control detectó vulnerabilidades críticas que exponen información sensible de millones de usuarios y dejan al sistema abierto a delitos informáticos.

Según la auditoría, Login BA  no cumple con estándares internacionales básicos de seguridad de la información y carece de una estrategia integral de ciberseguridad. El informe advierte que no se aplican normas reconocidas como IRAM-ISO/IEC 27001 y 27002 ni las recomendaciones del NIST de Estados Unidos, lo que compromete tanto la protección de datos personales como la continuidad operativa del servicio. Para el Auditor General, Lisandro Teszkiewicz, “sin inversión real en ciberseguridad, la modernización digital se reduce a una cáscara estética que expone innecesariamente a la ciudadanía”.

Uno de los puntos más críticos señalados es la debilidad de los mecanismos de autenticación. La AGCBA constató que el sistema permite contraseñas simples y asociables a datos personales, no cuenta con autenticación de doble factor y tampoco envía alertas automáticas ante cambios de contraseña. Durante las pruebas, además, se detectaron mensajes de error confusos y la ausencia de notificaciones frente a modificaciones sensibles de seguridad. “Una contraseña débil equivale a dejar la puerta abierta; sin doble factor ni alertas, el riesgo se multiplica”, advirtió Teszkiewicz.

El informe también revela que la seguridad informática del sistema se maneja sin procedimientos formales ni documentación técnica adecuada. No se realizan evaluaciones periódicas de vulnerabilidades, no existen escaneos automatizados ni se aplican estándares como OWASP Top 10, utilizados para prevenir los ataques más frecuentes en aplicaciones web. Esta falta de controles sistemáticos, sumada a la ausencia de registros técnicos, dificulta cualquier supervisión efectiva y deja la seguridad librada a la improvisación.

A estas falencias se agrega el uso de software obsoleto y discontinuado, que ya no recibe actualizaciones ni parches de seguridad. La AGCBA calificó esta situación como una “deuda técnica” que contradice el discurso oficial de una “Ciudad Tecnológica” y transforma a Login BA en un punto vulnerable dentro de la infraestructura digital del Estado.

Otro aspecto de extrema gravedad es el tratamiento de datos personales y biométricos. Pese a procesar información altamente sensible, el Gobierno porteño no realizó una Evaluación de Impacto en la Protección de Datos (DPIA), una herramienta clave para prevenir abusos y filtraciones. Además, la base de datos solo está registrada a nivel local y no ante la Agencia de Acceso a la Información Pública (AAIP) nacional, lo que genera opacidad sobre el almacenamiento y uso de los datos ciudadanos.

La Auditoría concluye que la falta de una política integral de ciberseguridad incrementa los riesgos de robos de identidad, estafas, chantajes y usos indebidos de información personal. “La protección de datos no se declama, se gestiona y se controla. No hacerlo implica una vulneración directa de los derechos civiles digitales”, sostuvo Teszkiewicz.