Contenido Exclusivo La nota a la que intentas acceder es exclusiva para suscriptores Suscribirme Conocé nuestros planes

y disfrutá de El País sin límites. Ingresar Si ya sos suscriptor podés

ingresar con tu usuario y contraseña.

Un estudiante de Ingeniería detectó el error. Cuando navegaba por el servicio online de las bibliotecas de la Universidad de la República (UdelaR), notó que bastaba conocer el número de cédula de un estudiante, de un docente o egresado universitario para entrar al sistema: el nombre de usuario y la contraseña eran el mismo número de cédula. Y una vez adentro se podía acceder a los datos personales.

Dicho de otro modo: sabiendo el número de cédula de un usuario de la UdelaR, es viable conocer su dirección de domicilio y de correo electrónico, su número de teléfono fijo y móvil, y hasta cuántos préstamos solicitó en la biblioteca.

Un amigo del estudiante que descubrió esta “filtración”, también damnificado, presentó una denuncia ante la Unidad Reguladora y de Control de Datos Personales de Presidencia de la República. En ella expresaba que el solo hecho de tener un número de cédula bastaba para conseguir “datos sensibles” de otras personas de la Universidad.

La Unidad estudió el caso y entendió que no se trataba de “datos sensibles” (como una historia clínica) y que la plataforma habilita la posibilidad de cambiar la contraseña, por lo que la responsabilidad es de los alumnos.

Quien sí llamó la atención de la UdelaR fue el Centro de Seguridad Informática de Presidencia, quien le solicitó a la Universidad que buscara una solución, similar a la que usan los bancos (que dan una contraseña provisoria que es obligatoria cambiar o bien que cada determinado tiempo la contraseña caduque).

“A los informáticos a veces nos odian porque pedimos cambiar la contraseña, pero sería una práctica saludable”, explicó Mariela de León, directora del Servicio Central de Informática de la UdelaR.

Este viernes, tras la “viralización” de la denuncia en las redes sociales, los informáticos de la universidad hicieron dos cambios temporales: “se quitó la información personal asociada y se deshabilitó el servicio para trabajar con tranquilidad”.

Sucede que el software que se usa para el servicio de bibliotecas no fue creado por la UdelaR. Entonces los técnicos están estudiando cómo pueden implementar las modificaciones para que no quede asociado un número de cédula con la contraseña.

La Unidad de Control de Datos Personales de Presidencia había recibido, en 2019, 1.902 consultas y 91 denuncias por supuestas exposiciones de datos.

