En un par de experimentos que plantean preguntas sobre el uso de números de identificación nacionales, los investigadores de Harvard han demostrado que los números de registro de residentes RRN utilizados en Corea del Sur se pueden descifrar para revelar una gran cantidad de información personal.
Dirigido por el Profesor de Gobierno y Tecnología en la Residencia Latanya Sweeney, un equipo de investigadores en dos experimentos pudo descifrar más de 23,000 RRN utilizando tanto el cálculo como el razonamiento lógico. Los resultados sugieren que, si bien dichos identificadores están encriptados para proteger la privacidad,siguen siendo vulnerables a los ataques y deben diseñarse para evitar tales debilidades. Los estudios se describen en un artículo del 29 de septiembre publicado en Ciencia de la tecnología .
"Al igual que la mayoría de las sociedades altamente interconectadas basadas en datos, Corea del Sur utiliza números de identificación personal como eje de la identidad personal en el empleo, la banca, los impuestos y los servicios sociales y médicos. En los Estados Unidos, utilizamos los números de la Seguridad Social de manera similar. Cuandoestos números se vuelven fácilmente accesibles para otros, ya sea por violaciones o cifrado deficiente en los datos vendidos o regalados, las principales instituciones que confían en ellos se vuelven vulnerables ".
Sweeney y Ji Su Yoo, Asistente de Investigación en el Laboratorio de Privacidad de Datos en Harvard y autor del estudio, pudieron demostrar que cada número en el RRN podría ser reemplazado con una letra en un patrón reconocible. Utilizando dicho patrón, pudieron descifrar miles de RRN que podrían descubrir información personal sobre sus usuarios.
También descubrieron que, al igual que las tarjetas de crédito, el dígito final es una suma ponderada de dígitos anteriores, lo que significa que los investigadores pudieron descifrar los números, luego usaron la aritmética para confirmar la precisión de la información que descubrieron.
"Los surcoreanos dependen de los números de identificación personal para numerosas transacciones económicas y es inconveniente para las empresas y los individuos verificar la identidad y rastrear a los clientes sin estos números. Pero al final, es la población de Corea del Sur la que está recibiendo el final cortodel palo. Es decir, cuando los datos son tan fácilmente anonimizados, la privacidad individual, no las ganancias de la compañía, se ven comprometidos. Nuestro estudio muestra que los sistemas de codificación débiles, que se refieren al diseño mismo del número, representan encriptaciones como métodos deficientes.protección de la privacidad. Los surcoreanos son conscientes de las vulnerabilidades del sistema de codificación RRN; por lo tanto, nuestro estudio insta a un rediseño más robusto de estos números de identificación personal no solo por el bien de las instituciones y el sistema que dependen de ellos, sino también por las personas queusalos, usalos a ellos."
Sweeney y Yoo realizaron el estudio utilizando datos de prescripción que se suponía que eran anónimos porque no incluían el nombre o la dirección del paciente, y habían cifrado su RRN. Datos similares a menudo se comparten con corporaciones de todo el mundo que rastrean datos de salud, creíanser anónimo - en millones de surcoreanos
"Los administradores a menudo usan esquemas simples para encriptar información personal porque pasa una prueba de rostro - si se ve bien, debe estar bien. A veces usan encriptación fuerte pero de manera incorrecta, lo que lleva al mismo resultado vulnerable. Si a los investigadores les gustanosotros no proporcionamos datos científicos y conocimientos sobre estas prácticas, ¿quién lo hará? Las empresas que reciben los datos pueden explotar estas mismas vulnerabilidades para obtener ventajas. Si es así, difícilmente darían la vuelta y se lo dirían a los administradores. Depende de los investigadores darles a los administradoresy la sociedad el conocimiento científico necesario para tomar mejores decisiones "
Los hallazgos son particularmente oportunos, dijo Sweeney, porque Corea del Sur está debatiendo actualmente un rediseño de RRN y otras naciones, incluido Estados Unidos, han discutido el uso de un identificador único para registros médicos.
El estudio, dijo, revela que dichos identificadores, si no se diseñan y supervisan cuidadosamente, pueden ser vulnerables a las fugas y deben considerarse cuidadosamente en el futuro.
"El problema no es exclusivo de Corea del Sur, es una preocupación mundial porque todos confiamos en los números de tarjeta de crédito y otros identificadores para funcionar"
Fuente de la historia :
Materiales proporcionados por Universidad de Harvard . Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :