¿Es posible falsear El Registro para vacunarse en Argentina con el # de Trámite?

 No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Este es un relato en primera persona sobre la deficiencias del DNI Argentino y como se puede manipular el sistema de vacunación actual, falseando datos, usando para ello el número de DNI, el número de trámite o el código de barra PDF147.

1. Lo primero que me llamó la atención es que hace más de un año varios comentaban por Twitter que el número de trámite (o el código PDF417) se usaba en ANSES como clave de ingreso y empecé a negarme a que me fotocopiaran el DNI en los envíos de ML. Al principio alguno se quejó pero después aceptaron que tape ese número.

2. Yo vivo en Provincia de Buenos Aires, así que para registrarme para la vacuna lo hice a través de este formulario: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Al finalizar, no me enviaron ningún correo de confirmación así que me bajé la app "vacunatepba" y ahí apareció por primera vez el pedido de número de trámite.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

3. Aquí, como se puede verse, no se solicita el correo electrónico con que me registré la primera vez.

4. Como en la app tampoco me figuraba que estaba registrado (ahora si aparece) me pasaron este sitio web: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Como se puede ver, esto parece simular algún tipo de SSO (con DNI y trámite) y en RENAPER aparecen los mismos campos de entrada de la app:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

5. Este es un problema: cualquier persona con una copia de tu DNI podría ver tus datos, el DNI, el número de trámite y el PDF417. Además, los datos se pueden editar e inclusive se puede modificar el correo electrónico.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

6. Peor que el correo, también se puede editar el "Grupo poblacional" que es lo que determina la prioridad en los turnos para la vacunación (junto con la edad).

7. Uno podría pensar que la suplantación de identidad no tiene mucho sentido, más que perjudicar bajando la prioridad del turno pero hoy en día con los problemas de la vacunación VIP se podría incriminar a personas conocidas de alterar el grupo para recibir preferencias.

El Estado utiliza el número de trámite para otras actividades (como ANSES, AFIP, RENAPER, TAD, VACUNAR, etc.) pero me llamo poderosamente la atención que ninguno de mis conocidos nunca se había planteado tapar estos datos (trámite y PDF417).

Las soluciones a este diseño incorrecto del flujo de programa puede ser un segundo factor de autenticación a través del teléfono o del correo electrónico o directamente a través del reconocimiento facial.

La recomendación es la misma: NUNCA brindes tu número de trámite ni el código PDF417 a un tercero. Si alguien tiene una copia del DNI, y de ese dato en particular, puede hacerse pasar por otra persona.

Entonces, ¿es posible falsear el registro para vacunarse en Argentina con el DNI y número de trámite?
El tiempo (y los delincuentes) lo dirán.

Fuentes:
Marcos F. para Segu-Info
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hacking Land
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta