La Auditoría General de la Ciudad de Buenos Aires (AGCBA), emitió un informe que expone serias deficiencias técnicas, de seguridad y de gestión en el sistema Login BA, la plataforma que funciona como “llave de ingreso” a trámites y servicios oficiales del Gobierno porteño. Bajo la gestión de Jorge Macri, el ecosistema digital que valida la identidad de millones de usuarios presenta vulnerabilidades que lo dejan expuesto a delitos informáticos y comprometen la protección de datos personales.
El informe advierte que Login BA no cumple con estándares internacionales de seguridad, carece de controles formales, no cuenta con prácticas documentadas de ciberseguridad y tampoco mide la experiencia de los usuarios, lo que incrementa los riesgos tanto para la información sensible como para la continuidad del servicio.
“Estamos hablando del sistema que valida la identidad digital de millones de porteños. No puede funcionar con debilidades básicas que cualquier plataforma moderna ya tiene resueltas. Sin inversión en ciberseguridad, la modernización no es más que una cáscara estética que deja a la ciudadanía en una zona de riesgo innecesaria”, advirtió el Auditor General Lisandro Teszkiewicz.
Lisandro Teszkiewicz, miembro de la Auditoría General de la Ciudad en representación opositora.
Una puerta de entrada sin cerradura
Entre los principales hallazgos, la AGCBA señaló que Login BA no adopta los criterios de la normativa vigente ni los estándares internacionales más utilizados en materia de seguridad de la información, como IRAM-ISO/IEC 27001 e IRAM-ISO/IEC 27002, ni la SP 800-63 del Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos.
La Auditoría detectó, además, debilidades básicas en los mecanismos de autenticación:
- Se permiten contraseñas débiles y fácilmente asociables a datos personales del usuario.
- El sistema no cuenta con autenticación de doble factor, una medida considerada elemental en plataformas digitales actuales.
- No existen alertas automáticas por correo electrónico ante cambios de contraseña, lo que dificulta la detección de accesos indebidos.
Durante las pruebas realizadas, también se observaron mensajes de error poco claros y la ausencia de notificaciones ante modificaciones críticas de seguridad.
“Una contraseña débil es como dejar la puerta abierta o, por lo menos, cerrada sin llave. Si encima no hay doble factor ni alertas, el riesgo se multiplica. En una era donde el robo de identidad es moneda corriente, que la puerta de entrada a los trámites ciudadanos no cuente con esta funcionalidad es un riesgo injustificable”, señaló el auditor de Fuerza Patria.
Seguridad librada a la improvisación
Otro punto central del informe es la inexistencia de prácticas formales y documentadas de seguridad informática. La AGCBA constató que no se realizan evaluaciones periódicas de vulnerabilidades, no hay escaneos automatizados de seguridad ni se aplican estándares reconocidos como OWASP Top 10, que identifican los riesgos más frecuentes en aplicaciones web.
A esto se suma la falta de documentación técnica crítica, lo que impide verificar la correcta configuración del sistema de identidad digital y dificulta cualquier control efectivo.
“Sin reglas claras ni controles sistemáticos, la seguridad queda librada a la improvisación y llena de inseguridad”, remarcó Teszkiewicz.
Software obsoleto y deuda técnica
La auditoría también expone una brecha significativa entre el discurso oficial de “Ciudad Tecnológica” y el estado real de los sistemas críticos. Login BA opera con versiones de software antiguas y discontinuadas, que ya no reciben actualizaciones ni parches de seguridad.
“El análisis de la AGCBA expone una preocupante deuda técnica que contradice el discurso de modernización, mientras los sistemas críticos para la interoperabilidad del Estado funcionan sobre tecnología obsoleta. No se trata de un simple detalle de programación, sino de una vulnerabilidad sistémica que expone datos sensibles a fallas no corregidas”, sostuvo el Auditor General.
Datos biométricos sin protección ni transparencia
Uno de los aspectos más graves señalados por el informe es la falta de políticas activas para la protección de datos personales. A pesar de que Login BA procesa datos biométricos, el Gobierno porteño no realizó una Evaluación de Impacto en la Protección de Datos (DPIA), una herramienta clave para sistemas de esta magnitud.
Además, la AGCBA detectó una desconexión jurisdiccional: la base de datos está registrada a nivel local, pero no ante la Agencia de Acceso a la Información Pública (AAIP) a nivel nacional, lo que genera opacidad sobre cómo y dónde se almacenan los datos de la ciudadanía.
“La protección de datos no se declama: se gestiona, se evalúa y se controla. No contar con procedimientos formales ni pruebas de seguridad implica una debilidad grave en la protección de los derechos civiles digitales y deja a la ciudadanía a la deriva”, afirmó Teszkiewicz.
Riesgos crecientes y llamado a la acción de la Auditoría
El informe concluye que la ausencia de una estrategia integral de ciberseguridad expone tanto al Estado como a los ciudadanos a riesgos crecientes, desde robos de identidad hasta estafas, chantajes y posibles usos indebidos de información personal.
“La gestión pública no puede permitirse que la transformación digital sea solo una cáscara estética. Sin inversión en ciberseguridad, sin marcos de gestión claros y sin protección de datos acorde a los estándares nacionales e internacionales, la confianza de la ciudadanía se ve defraudada”, concluyó el Auditor General, quien reclamó medidas urgentes para corregir las fallas detectadas.