AFIP no protege datos privados. Updateado.

UPDATE: Arreglado el problema de seguridad en AFIP. Enero 3, 2011 Si bien no recibí respuesta alguna al mensaje enviado a webmaster@afip.gob.ar, hoy tempranito aparecía desactivado el servicio que provee la información en cuestión (nadie podía ver ni su propia data), y un rato mas tarde, habílitaron nuevamente el servicio, pero con sustanciales mejoras. Estando solucionado el inconveniente, paso a detallar el problema denunciado y la solución desarrollada por AFIP en un par de horas: Al entrar a AFIP y loguearse con Clave Fiscal, uno puede ir a la sección “Aceptación de Datos Biométricos“, donde se puede ver el siguiente cuadro: Haciendo click derecho en la imágen, y viendo sus propiedades, se podía encontrar el siguiente URL: https://servicios1.afip.gov.ar/ClaveFiscal/aceptabiometricos/resources/res.getBiometric.aspx?id=XXXXXXXXXXX&tipo=N Siendo XXXXXXXXXXX el Nro de CUIT y N el tipo de dato, N podía ser 1 para obtener la Foto, 2 para la Firma, y 4 para el DNI escaneado. Sabiendo el URL, no era necesario acceder con clave fiscal al URL, por lo tanto era de acceso público. Actualmente, dicho URL es como el siguiente (el parámetro que utilizo es ficticio): https://servicios1.afip.gov.ar/ClaveFiscal/aceptabiometricos/resources/res.getBiometric.aspx?p=eDTKQvru8XxUGeAotgP2tS2lJ1rbHymI09GFmauTGYo= (Ver PKCS#7) Y para consultarlo, es necesario estar logueado en AFIP con Clave Fiscal. La solución le tomó a la AFIP sólo un par de horas, pero el problema está hace meses, y nuestros datos ya fueron comprometidos. Email enviado a AFIP el dia 2 de enero de 2011 las 23Hs. A quien corresponda: Por favor, solucionar falla de seguridad en el servicio: https://servicios1.afip.gov.ar/ClaveFiscal/aceptabiometricos/resources/res.getBiometric.aspx?id=XXXXXXXXXX&tipo=X id: Nro de CUIT tipo: 1 para Foto, 2 para Firma, 4 para DNI escaneado. El mismo es accesible por cualquier individuo sin autenticacion previa, y permite ver informacion sensible (Foto, firma y DNI escaneado) de cualquier individuo que haya actualizado sus datos biometricos durante las nuevas gestiones sobre el asunto (mediados de 2010?), conociendo su CUIT, el cual es calculable a partir del Nro de DNI, o simplemente localizable a traves del servicio de busqueda de constancias, o sitios web como busca-cuit.com.ar De manera preventiva, solicito quitar del servicio la información de los ciudadanos afectados. Muchas gracias, Fernando Sanz DNI: XXXXXXXX Copio entero un post que hice en mi blog, con el fin de alertar a quienes le interese la privacidad de sus datos, y lograr una amplia difusión. "El viernes 31 de diciembre de 2010, aproximadamente 12 horas antes de estar un año mas cerca del futuro, accedo a mi cuenta de la AFIP con mi clave fiscal. Yo soy unas de las personas de las cuales la AFIP posee los datos biométricos como foto, firma, huellas dactilares, y también el DNI o documento escaneado que certifique identidad. Al ver mi foto y firma en la ficha, se me ocurrió indagar un poco más sobre la seguridad de mi información accesible desde Internet. En un par de minutos, logré ver foto y firma de un total extraño, buscando un nombre al azar. Mas tarde, descubrí también que es posible acceder al DNI escaneado (el cual no aparece en la ficha personal) y que no es necesario acceder con clave fiscal (es decir, cualquier persona del mundo con acceso a internet, puede acceder sin mayores complicaciones), lo que no pude encontrar son las huellas dactilares. En este momento estoy enviando un correo a la AFIP para que solucionen el asunto, y mientras retiren mi información y la de todos los ciudadanos afectados, una vez solucionado el inconveniente, publicaré en detalle la sencilla falla de seguridad mencionada. Les recomiendo tomar las medidas que crean correspondientes si se ven obligados a realizar algún trámite en AFIP y les requieren sus datos biométricos. Resulta aún mas preocupante al ser obligatorio el reempadronamiento a los contribuyentes con CUIT durante el 2010 (Ah, Feliz año nuevo!), según leí en Clarín y La Nación al profundizar en el tema." http://www.clarin.com/politica/CUIT-foto-huellas-dactilares_0_270572979.html http://www.lanacion.com.ar/nota.asp?nota_id=1200777 En el mismo sentido, (Ricardo Daniel Echegaray) descartó que pudiera haber cuestionamientos en torno de la posible invasión de la privacidad de los contribuyentes con CUIT a partir de todos los datos digitales que manejará el organismo fiscal desde 2010. Eviten comentarios absurdos. Fuente: http://www.fernando.com.ar/2011/afip-filtra-informacion-privada/