La vida secreta del RUT

Resultados

Teléfono utilizado: Marca: Samsung

Modelo: Galaxy Note 9

Navegador: Chrome y Brave indistintamente. Para este efecto se utilizarán las versiones normales de estos navegadores, excluyendo las versiones de navegación segura y “ventanas incognito o privadas”

Fechas: 13 al 19 de julio de 2020

Registrando las aplicaciones que solicitan o utilizan para su operación el RUT.

En la Imagen 10 se observan las aplicaciones que solicitaron o utilizan el RUT para funcionar. Asimismo, y tal como señala la metodología seleccionada, se identificaron los movimientos del dato, con línea continua, se identificó los movimientos en que el dato se mueve explícitamente, es decir, se tiene absoluto conocimiento del dato, ya sea porque es parte del proceso de autentificación, porque es solicitado o está visible en todo momento.

En línea punteada (discontinua), se muestran los movimientos del dato sin que tengamos conocimiento de estos. Esto se movimientos se separaron en azul, que refleja movimientos que puede realizar el usuario con estos datos, incluyendo su descarga e impresión. Y en rojo los movimientos que son desconocidos del usuario, ya sea por que son realizados por un tercero (hacker), son realizados por el custodio del dato o por otra entidad.

Imagen 10: Data Journeys al RUT. Fuente: Elaboración propia.

Se observa que el RUT interactúa en 4 aplicaciones ejecutadas en el periodo seleccionado, estas son:

  1. Comisaria virtual
  2. Aplicación Banco Estado
  3. Aplicación tarjeta Match
  4. Aplicación Cabify

Comisaría Virtual

La Comisaria Virtual (https://comisariavirtual.cl), es una aplicación web aplicación diseñada por el gobierno de Chile, para solicitar salvoconductos por el estado de emergencia decretado en el país a raíz de la Pandemia de Covid-19.

Para ingresar a la aplicación no solicita usuario, sin embargo al momento de solicitar el documento pide el RUT y el número de Serie de la cedula de Identidad, en el momento de validar los datos, aparece por breves instantes la página de Amazon Web Services (AWS), sin embargo, posteriormente regresa a la página de Comisaria Virtual, en la cual entrega el documento solicitado. Cabe señalar que en la política de privacidad (https://comisariavirtual.cl/politica-privacidad.html) o en los datos técnicos, no se señala dónde estos datos son almacenados o el tratamiento posterior de la información, haciendo solo referencia a la Ley de privacidad de información (Ley N° 19.628), asimismo no existe información que señale que estos datos son dirigidos al servicio Cloud de Amazon.

Lo que se obtendrá es el documento salvo conducto, el cual señala el RUT, el domicilio y otra información, tal como se muestra en la imagen 11.

Imagen 11: Imagen de un Salvoconducto. Fuente: Obtenido desde Comisaria Virtual

En este caso el documento emitido es en formato PDF, y puede ser enviado por distintos medios, de hecho la aplicación pregunta si deseas que te envíe una copia del documento al correo electrónico, en el caso estudiado, este documento fue enviado por Whatsapp y almacenado en el teléfono.

Cabe señalar que si posteriormente se ejecuta la aplicación WhatsappWeb podría descargarse en cualquier computador, perdiéndose la trazabilidad del documento.

La anterior situación muestra que el RUT, una vez inscrito en el Salvoconducto se pierde su trazabilidad y seguridad.

Banco Estado

La aplicación del Banco Estado es una aplicación sencilla de utilizar, que permite administrar los productos financieros que se poseen en dicho banco. Al momento de instalarla, solicita el número de RUT y datos de seguridad de la cuenta (claves de acceso).

Cabe señalar que el producto masivo de este banco es la denominada CuentaRUT cuyo número corresponde al RUT (con excepción del digito verificador que no forma parte del número de cuenta).

Cuando se ejecuta en el teléfono, solicitará una clave o una huella digita si el dispositivo lo permite (sobre esto no opinaremos, pero debemos señalar que los datos biométricos corresponden a Datos altamente sensibles de identificación personal). El RUT es almacenado en la página del Banco, no siendo parte del proceso de identificación. Sin embargo, al momento de ingresar uno de los productos que señala es el número de CuentaRUT y por tanto, da información del RUT del usuario, así también, al dar este número de cuenta se estará exponiendo dicha información.

En lo que respecta al almacenamiento y tratamiento de la información, solo se hace referencia a la Ley de Privacidad antes citada, no señalando donde estos datos serán almacenados. Al revisar la memoria del banco se señala que cuentan con 2 datacenter, por lo que al menos, el RUT es mantenido activo en 2 ubicaciones distintas, sin embargo, no se señala quienes administran, no existiendo información en la página Web del banco o en la Comisión para el Mercado Financiero (Órgano regulador -CMF), no teniéndose información de movimientos posteriores de este dato.

Match

La tarjeta match es una tarjeta de debito de prepago, del tipo VISA, emitida por una filial del Banco de Crédito e Inversiones (BCI) la finalidad del usuario con esta tarjeta es principalmente realizar pago en el extranjero ya sea de suscripciones a servicios web o para compras, ya que posee la ventaja que al ser de prepago requiere mantener el monto antes de realizar el pago y por tanto la exposición a fraudes es menor.

Esta aplicación en el teléfono, solicita pin o dato biométrico (huella) para acceder, sin embargo, no utiliza el en forma visible en ningún momento, cabe señalar que el RUT (copia de la cedula de identidad), es solicitada al momento de su creación, por lo que al ejecutarla, se registró para su verificación como data journey, no teniendo información de movimientos posteriores de este dato, los que quedan en el datacenter del Banco BCI, del cual no hay registros en la memoria, página web del banco o en la CMF.

Cabify

La aplicación de transporte Cabify, en tiempos de cuarentena y estados de emergencia, que impiden la libre circulación, ha logrado sortear esta situación y continuar con su servicio, gracia a que dentro de sus conductores se encuentran taxis licitados, esto ha permitido que la aplicación funcione con relativa normalidad.

La aplicación Cabify al momento de su ejecución, no solicita password de acceso. Se procedió a la creación de una nueva cuenta no solicitando el número de RUT, al momento de su creación, sin embargo dentro de los datos del usuario se puede complementar el Documento de identidad, sin ser obligatorio para solicitar un traslado.

Imagen 12: Creación de nueva cuenta en Cabify. Fuente: Captura de pantalla de los datos de usuario.

Conclusión

Si bien, esto corresponde a una visión mínima de una investigación utilizando Data Journay, comienza a dar cuenta como este dato, es considerado por lo receptores (ya sea Carabineros de Chile, instituciones financieras u otros ) como algo “dado” evidenciando el poder de los mismos en especial, si consideramos que el Salvoconducto, es el documento que permite desplazarse por la ciudad de Santiago, es decir, este RUT como objeto inmutable, que al ser inscrito en el Salvoconducto adquiere una particularidad, ya que en caso de un control por Carabineros, será el RUT inscrito en este documento, contra el RUT de la cedula de identidad que se exhiba el uno chequeo de que es un documento válido, esto muestra como el RUT pasa a ser un objeto móvil inmutable, ya que mientras mantenga su integridad, representará a la misma persona, independiente los viajes que este dato realice, es así como refuerza la idea que “si bien los datos se definen por su movilidad, su poder epistémico deriva de su inmutabilidad, es decir, de su capacidad de permanecer iguales y, por tanto, de ser tomados como un documento fiel y estable del momento, el lugar y el entorno concretos en que fueron creados”.  s (Leonelli & Tempini, 2020, pág. 6)

Sin embargo, queda aún la duda respecto a la usabilidad de estos datos, en especial en el caso de la aplicación de “Comisaria Virtual” ya que no existe un registro, al menos público, de los Salvoconductos emitidos (por ejemplo al nombre propio) u otra información que justifique ese salto de la información a la página de AWS. Asimismo, en lo que respecta a las instituciones financieras, no existen registros o políticas de privacidad que señalen claramente para que serán usados los datos, solo haciendo referencia a la ya mencionada Ley de Privacidad de Chile, no quedando claridad respecto a si estos serán utilizados para algún tipo de estadística. Debemos señalar que DICOM el principal indicador de situación financiera y predictor de morosidad (https://sec.equifax.cl/compraonline/), ampliamente utilizado por las instituciones financiera, trabaja en función al RUT, tomando esta información del “Boletín de Informaciones Comerciales”, al que a su vez, es informado por las Instituciones financieras sobre la base del RUT.

Imagen 13: Informe Dicom gratuito que se puede obtener cada 6 meses. El resto de los informes es pagado e incluye más información. Para obtener este informe es necesario poseer el RUT y el numero de Serie de la Cedula de Identidad (mismos datos que exige “Comisaria Virtual”) Fuente: Obtenido de la página de equifax.

Ahora bien, es dable concluir que en el caso de los viajes que sufre el RUT y sus reutilizaciones van en función de factores socio-materiales interrelacionados (Bates, Goodale, Lin, & Andrews, 2017, pág. 9), esta situación implica que si no se posee conciencia de la relevancia o sensibilidad del dato el usuario, almacenará esta información sin los debidos resguardos, asimismo, no tendrá nociones de donde las instituciones financiera lo custodian y en caso de una filtración de estos los perjuicios que se ocasiones no solo tendrá relación con el dato, sino que con la información agregada que este posee o las asociaciones que se generan al momento de realizar una transacción. Ejemplo de lo anterior, es que cuando se realiza un pago con la tarjeta, no solo se está obteniendo la información del monto, sino también del comercio en la que se realizó, asociándolo directamente a información de quien lo generó. Ver imagen 14, donde se esquematiza esta agregación de datos.

Esta situación contradice lo que señala Longino, ya que no será ingenuo pensar que los hechos que están asociados a la utilización del RUT, tengan una relación directa con el fenómeno (2020, pág. 391), lo que si tendrá razón es como estos “datos brutos se transforman al pasar de su contexto original a otros contextos” (pág. 391).

Imagen 14: Esquema de como lo que se almacena posteriormente a la utilización del RUT, no es solo este dato sino la agregación de los datos con los cuales se está relacionando. Cabe señalar que, esto es la agregación de datos hacia delante, existiendo una agregación de datos hacia atrás, que tienen relación con la información de la persona y que fue tratada en la segunda sección de este informe. Fuente: elaboración propia.

Otro punto relevante es lo que se refiere “quienes consideran que existe la posibilidad de que sean utilizados como una forma de control social, un sistema de vigilancia construido a partir de nuestros hábitos” (Meneses Rocha, 2018, pág. 424) y agregaremos ubicaciones y/o lugares de desplazamiento. A nuestro punto de vista lo peor de esta situación, es que estamos “proporcionan información personal a las empresas y reciben servicios en devolución – una forma de trueque. Los metadatos a cambio de servicios de comunicación se han convertido en la norma” (van Dijck, 2014, pág. 200), si que, lo estamos haciendo, utilizando nuestro propio dinero y en el caso aún más oscuro con la “Comisaria Virtual” a cambio de nuestra libertad de movilidad. Quedando inmerso en los que se ha denominado el “Capitalismo de Vigilancia” (Zuboff, 2018).

Finalmente, este trabajo pretendía reflejar que: “El objetivo no es otro que mostrar que la privacidad es un bien social que no sólo asiste a los individuos o grupos, sino a la sociedad en su conjunto, y que de su evolución depende cómo se reproduzca en el futuro la distinción público/privado, o lo que es lo mismo, cómo serán las bases culturales para delimitar hasta dónde puede llegar el control y la automatización de la vida.” (Fernández Barbudo, 2020, pág. 75)

En especial si consideramos que en estos tiempos de Pandemia, los estados desean implementar mayores controles a nuestras actividades, sin embargo, no existe una regulación en Chile que nos permita tener claridad y seguridad que nuestros datos no serán mal utilizados.

“El objetivo no es otro que mostrar que la privacidad es un bien social que no sólo asiste a los individuos o grupos, sino a la sociedad en su conjunto, y que de su evolución depende cómo se reproduzca en el futuro la distinción público/privado, o lo que es lo mismo, cómo serán las bases culturales para delimitar hasta dónde puede llegar el control y la automatización de la vida.”

(Fernández Barbudo, 2020, pág. 75)

Pages: 1 2 3 4