Vulneración de datos personales en Login BA

Login BA es la puerta de entrada digital al Estado porteño. Cada trámite online, cada acceso a información personal, cada gestión ante el Gobierno de la Ciudad comienza allí. Su función es simple y crítica: verificar que quien está del otro lado de la pantalla sea quien dice ser. Sin embargo, un informe reciente de la Auditoría de la Ciudad encendió una señal de alarma: esa puerta digital presenta fallas estructurales que comprometen la seguridad de millones de usuarios.

El relevamiento oficial, que analizó la gestión y la seguridad del sistema durante 2024, detectó deficiencias técnicas, administrativas y de control que dejan a Login BA muy lejos de los estándares mínimos que hoy se exigen a cualquier plataforma que maneje datos sensibles. Lejos de ser un problema menor o técnico, el informe advierte que estas falencias exponen a la ciudadanía a riesgos concretos, como fraudes, accesos no autorizados y filtraciones de información personal.

Uno de los puntos más críticos señalados es la política de contraseñas. El sistema permite el uso de claves débiles y fáciles de adivinar, no impide la reutilización de contraseñas antiguas y no verifica si una clave ya fue filtrada en ataques informáticos previos. A esto se suma la ausencia total de autenticación de doble factor, una herramienta básica de seguridad que hoy utilizan bancos, plataformas educativas y hasta redes sociales. Durante las pruebas, la auditoría comprobó además que el sistema no envía alertas cuando una contraseña es modificada, lo que dificulta detectar accesos indebidos.

Pero las debilidades no terminan allí. El informe señala que Login BA funciona sobre tecnología obsoleta. Tanto el lenguaje de programación como el software de gestión de identidades utilizan versiones antiguas y discontinuadas, que ya no reciben actualizaciones ni parches de seguridad. En términos simples: si se detecta una vulnerabilidad, no hay garantía de que pueda corregirse. Esto limita seriamente la capacidad de respuesta ante incidentes y deja al sistema expuesto a ataques conocidos.

La auditoría también puso el foco en la falta de planificación y de controles formales. No existen evaluaciones periódicas de seguridad, ni prácticas documentadas para detectar vulnerabilidades, ni escaneos automatizados que alerten sobre fallas. La protección del sistema queda, según el informe, librada a decisiones aisladas y sin un marco claro de gestión del riesgo.

Otro aspecto preocupante es la ausencia de una gobernanza definida para las conexiones de Login BA con otros sistemas clave del Estado, como los registros de identidad o los organismos tributarios. No hay acuerdos formales que establezcan responsabilidades, tiempos de respuesta ni protocolos ante fallas, lo que pone en riesgo la continuidad de los servicios digitales y la integridad de la información que circula entre organismos.

El capítulo más sensible del informe está vinculado a la protección de datos personales. A pesar de que Login BA procesa datos biométricos, como el reconocimiento facial, no se realizó una Evaluación de Impacto en la Protección de Datos, una herramienta esencial para identificar riesgos y prevenir vulneraciones a la privacidad. El relevamiento también detectó ambigüedades sobre dónde se almacenan los datos y una inconsistencia en su registración ante las autoridades competentes.

La conclusión del informe es contundente: si bien el sistema cuenta con algunas herramientas de monitoreo, las fallas en su núcleo de seguridad y gestión son profundas. En un contexto de crecimiento sostenido de estafas digitales y suplantaciones de identidad, que la plataforma encargada de custodiar la identidad digital de la ciudadanía funcione con tecnología vieja, reglas laxas y controles débiles no es solo una deficiencia técnica. Es una exposición innecesaria de derechos básicos y una deuda grave en materia de protección de datos.