La Auditoría porteña detectó graves fallas de seguridad y gestión en el sistema Login BA

Lisandro Teszkiewicz

La Auditoría General de la Ciudad de Buenos Aires (AGCBA) emitió un informe
que revela la fragilidad del ecosistema digital porteño. Bajo la gestión de Jorge
Macri, el sistema Login BA —la «llave de ingreso» a trámites sensibles y servicios oficiales de millones de ciudadanos— funciona con deficiencias técnicas y de seguridad que lo dejan a merced de la delincuencia informática.

El informe revela que el sistema no cumple con estándares internacionales de
seguridad, carece de controles formales y no mide la experiencia de los usuarios, lo que genera riesgos tanto para la información personal como para la continuidad del servicio. “Estamos hablando del sistema que valida la identidad digital de millones de porteños. No puede funcionar con debilidades básicas que cualquier plataforma moderna ya tiene resueltas. Sin inversión en ciberseguridad, la modernización no es más que una cáscara estética que deja a la ciudadanía en una zona de riesgo innecesaria”, podemos advertir tras la lectura del informe presentado.

Una puerta de entrada sin cerradura
El informe técnico detectó que la primera barrera de defensa es prácticamente inexistente. El sistema no cumple con los estándares internacionales, no adopta los criterios de la normativa aplicable (IRAM-ISO/IEC 27001e IRAMISO/IEC 27002), ni los de la SP 800-63, del Instituto Nacional de Estándares y Tecnología de EE.UU habitualmente utilizados como estándar internacional:
● Contraseñas vulnerables: Se permiten claves fáciles de adivinar y relacionadas con datos del usuario.
● Falta de Doble Factor: Login BA no ofrece autenticación de doble factor, una medida elemental de seguridad en el siglo XXI.
● Desidia en las alertas: El sistema no notifica al usuario por correo electrónico cuando se cambia su contraseña, facilitando accesos.

Durante las pruebas se comprobó que el sistema muestra mensajes de error poco claros y ni siquiera notifica por correo cuando una contraseña es cambiada, lo que dificulta detectar accesos indebidos. “Una contraseña débil es como dejar la puerta abierta o por lo menos cerrada sin llave. Si encima no hay doble factor ni alertas, el riesgo se multiplica. En una era donde el robo de identidad es moneda corriente, que la puerta de entrada a los trámites ciudadanos no cuente con esta funcionalidad es un riesgo de seguridad injustificable”, señalamos luego de la constatación.

Otra de las observaciones centrales indica que no existen prácticas formales ni
documentadas de seguridad informática. En la práctica, esto quiere decir que
no se realizan evaluaciones periódicas para detectar vulnerabilidades, no hay
escaneos automatizados que alerten sobre fallas técnicas y tampoco se aplican
estándares reconocidos (como OWASP Top 10), que identifican los riesgos más comunes en aplicaciones web.

A esto se le suma la falta de documentación técnica crítica, lo que impide verificar cómo está configurado el sistema de identidad y dificulta cualquier
control serio. “Sin reglas claras ni controles sistemáticos, la seguridad queda
librada a la improvisación y llena de inseguridad”, remarcó el auditor peronista.

Software obsoleto y «Deuda Técnica»
La auditoría expone una preocupante brecha entre el discurso de «Ciudad
Tecnológica» y la realidad de sus servidores. El sistema opera con versiones de
software antiguas y discontinuadas que ya no reciben parches de seguridad.
“El análisis de la AGCBA expone una preocupante deuda técnica que contradice el discurso de modernización, mientras los sistemas críticos para la interoperabilidad del Estado, operan sobre tecnología obsoleta. Esta situación no es solo un «detalle de programación»; es una vulnerabilidad sistémica que expone datos sensibles a fallas no corregidas”, sostuvo Teszkiewicz.

Desprotección de datos biométricos y falta de transparencia
Uno de los puntos más graves es la ausencia de prácticas activas para la rotección de datos personales. A pesar de procesar datos biométricos, el Gobierno no realizó una Evaluación de Impacto en la Protección de Datos (DPIA), una omisión inexcusable para un sistema de esta envergadura.
Asimismo, se detectó una grave desconexión jurisdiccional: la base de datos está inscripta a nivel local pero no ante la Agencia de Acceso a la Información Pública (AAIP) a nivel nacional. Esto deja a los ciudadanos a la deriva sobre cómo y dónde se alojan realmente sus datos.
“La protección de datos no se declama: se gestiona, se evalúa y se controla. El
no tener procedimientos formales de control interno ni pruebas de seguridad significa que la gestión porteña no está a la altura de responder a los avances
tecnológicos con eficacia y eficiencia. Esto representa una debilidad en la protección de los derechos civiles digitales, dejando a la deriva la transparencia
sobre cómo y dónde se alojan realmente los datos de la ciudadanía”, afirmó el
funcionario de Peronismo x la Ciudad.
“La gestión pública no puede permitirse que la transformación digital sea solo
una cáscara estética. Sin inversión en ciberseguridad, sin marcos de gestión
claros y sin una protección de datos que cumpla con los estándares nacionales
e internacionales, la confianza de la ciudadanía se ve defraudada. Estamos siempre un paso atrás de los avances tecnológicos, con esta gestión retrocedimos más, sobre todo porque vivimos en un contexto donde todos los días nos enteramos del uso indebido o la filtración de datos personales, de empresas, pero también del Estado Nacional y del Gobierno de la Ciudad..

Esta ausencia de gestión de la ciberseguridad expone al Estado y a los ciudadanos a riesgos de delitos graves como chantajes o estafas que vemos a diario, y a la más obscena manipulación política de nuestra información personal.”, concluyó el Auditor General peronista Lisandro Teszkiewicz.