Originalmente publicado como hilo en Twitter.

Veo mucha gente hablando de la filtración de datos de RENAPER a través de un acceso de datos del Ministerio de Salud. Me gustaría sumar algunos detalles. Me tocó trabajar hace algunos años con la API de SISA.

En primer lugar debo decir que me sorprendió el proceso burocrático para conseguir un usuario y clave. Uno debía explicar por qué y para qué necesitaba el acceso. Eso debía ser autorizado por la máxima autoridad de salud local.

Una vez conseguido el acceso vimos que la documentación especificaba las limitaciones de acceso a estos datos. Lo que me llamó la atención es que la cantidad de usos de la API estaba contada y tenía límites que no se podían superar.

En español: el sistema podía obtener datos de X ciudadanos por día, no más. Esto es común en la industria pero no en el sector público, al menos no para lo que yo conozco. Esto me sorprendió positivamente.

Me tocó también viajar al Ministerio (Secretaría en ese momento) de Salud a un día de trabajo con representantes del sector de la salud de todo el país (público y privado). Se debatían los estándares para interoperabilidad de datos.

Otra vez me sorprendió: el Estado define estándares y los productos de software de todos los actores intercambian información en el mismo idioma.

Es por todo esto que me cuesta creer que hubo un robo hormiga a través de SISA. Pueden haber problemas de seguridad en este servicio, pero si es real que alguien tiene todos los datos, es más probable que haya sido por otro camino. En la API de SISA había gente controlando.

Con respecto a la idea de que "si se ven datos de uno, asumimos que están los de todos": no, no funciona así. Cualquiera con acceso a SISA u otros sistemas (por ejemplo los del Carnet de conducir en municipios con convenio nacional), al ingresar un DNI puede ver datos personales — pero el acceso queda registrado y limitado.

Laura Alonso Alemany es profesora en el área de Ciencias de la Computación en la FaMAF de la UNC. Licenciada en Lingüística General con una Maestría y un Doctorado en Lingüística Computacional. Conversamos sobre Procesamiento de Lenguaje Naturtal (NLP), la Diplomatura de Ciencia de datos del FAMAF-UNC y sobre su vida laboral.

Ideas del episodio

• CV Laura: https://cs.famaf.unc.edu.ar/~laura/LauraAlonsoAlemany.pdf
• Linkedin: https://www.linkedin.com/in/laura-alonso-alemany-1125235/?originalSubdomain=ar
• @morlaicassiopea Twitter: https://twitter.com/morlaicassiopea

Más info y notas del episodio en cadenadedatos.org.

El 21 de abril de 2021 google.com.ar apareció listado como disponible en NIC Argentina y un particular, Nicolás Kuroña, lo registró a su nombre por unas horas. Desde Open Data Córdoba veníamos siguiendo el registro de dominios .ar y detectamos rápido que el dominio en cuestión no estaba vencido (su vencimiento real era en julio), por lo que su disponibilidad sólo podía explicarse por un error en la base de NIC.

Telefe Córdoba me llamó al día siguiente para conversar sobre el episodio: cómo funciona el sistema de registro de dominios en Argentina, qué pudo haber pasado y por qué este caso era llamativo.

Por si el video original deja de estar disponible, queda una copia local del audio: