Antel informó que realizó un análisis forense sobre un incidente de ciberseguridad que afectó a la plataforma TuID, el sistema de identidad digital que permite identificarse y firmar electrónicamente en línea. Según la empresa, el ataque no comprometió contraseñas, PIN de firma, claves privadas, certificados digitales ni credenciales de acceso. La plataforma, de acuerdo con esa versión, mantiene operativos sus mecanismos de autenticación y firma electrónica avanzada.
El punto central del comunicado está en otro lugar: Antel reconoció que hasta 163 usuarios podrían haber tenido comprometidas “minucias” de su huella dactilar, vinculadas al enrolamiento inicial realizado entre febrero y octubre de 2020. Esas personas, según informó la empresa, fueron contactadas directamente. El alcance público verificable del caso, hasta ahora, queda limitado a ese universo máximo de usuarios señalado por Antel.
La palabra “minucias” es técnica, pero puede explicarse de forma simple. No refiere necesariamente a una imagen completa de la huella digital, sino a puntos o características que los sistemas biométricos usan para comparar una huella con otra. El Instituto Nacional de Estándares y Tecnología de Estados Unidos describe estas plantillas como representaciones más pequeñas que las imágenes de huellas, usadas para procesos de comparación biométrica.
TuID no es una aplicación cualquiera. Es una identidad digital de Antel que funciona como documento digital para trámites y transacciones remotas. También permite firmar digitalmente documentos mediante certificados emitidos en la nube. Agesic informa que TuID es uno de los métodos de identificación digital con nivel de seguridad avanzado y que permite firmar digitalmente.
El impacto concreto informado no fue la caída del servicio ni la pérdida de acceso de los usuarios. Tampoco se informó que terceros pudieran firmar documentos en nombre de esas personas. El impacto, según lo disponible, fue una posible exposición de datos biométricos parciales de un grupo acotado de usuarios enrolados en una etapa inicial de la plataforma, durante el comienzo de la pandemia.
Antel explicó que ese período fue excepcional, porque se buscaba habilitar mecanismos remotos de autenticación para evitar la concurrencia presencial. También señaló que los enrolamientos posteriores a octubre de 2020 no están alcanzados por la situación detectada.
El comunicado usa lenguaje técnico porque trata un incidente con consecuencias informáticas, legales y regulatorias. Términos como “análisis forense”, “claves privadas”, “certificados digitales”, “autenticación”, “enrolamiento” o “monitoreo preventivo” tienen significados precisos para auditores, reguladores, bancos, organismos públicos y equipos de seguridad. El problema es que ese lenguaje puede dificultar la comprensión pública del alcance real.
En términos regulatorios, Antel informó que comunicó el caso al Certuy, a la Unidad Reguladora y de Control de Datos Personales y a la Dirección General de Cibercrimen. Certuy es el centro nacional que coordina la prevención y respuesta ante incidentes de ciberseguridad; además, la normativa uruguaya prevé que, cuando se sospecha o confirma afectación de datos personales, se debe notificar a la URCDP.
¿Qué no dice el comunicado? No detalla la fecha exacta de detección, el método técnico completo del ataque, si hubo descarga efectiva de todos los datos observados, qué otros campos pudieron estar asociados a esos 163 usuarios, ni si se ordenó algún reenrolamiento biométrico. Tampoco publica el informe forense completo, por lo que la verificación externa del alcance depende, por ahora, de lo informado por Antel y de las comunicaciones a los organismos competentes.
La explicación más clara es esta: Antel afirma que TuID sigue funcionando y que no fueron comprometidas las llaves que permiten ingresar o firmar. Lo que reconoce es una posible exposición de información biométrica parcial de un grupo reducido de usuarios registrados en una etapa inicial del sistema. El caso apunta menos a una afectación general de la plataforma y más a una falla localizada en la gestión inicial de determinados datos biométricos.
Comentarios