Marketplace, la plataforma de compra y venta en línea de Facebook, es el escenario de venta de información de bases de datos de la Sunarp, empresas de telefonía, la Policía Nacional (PNP), el Reniec, entre otros, por menos de tres soles, como reveló El Comercio. Por ello, este Diario se comunicó con la Autoridad Nacional de Protección de Datos (ANPD) —organismo del Ministerio de Justicia (Minjus) encargado de fiscalizar y promover la protección datos personales, así como de imponer sanciones si las instituciones incumplen este deber.
Olga Escudero, directora de la Dirección de Fiscalización e Instrucción de la ANPD, dijo que la entidad está al tanto de la oferta de fichas de Reniec, antecedentes penales y otros datos de registros estatales en Marketplace y Telegram. Escudero indicó que la causa principal es la falta de medidas de seguridad de las entidades públicas.
“La gran problemática de la venta de datos es la falta de medidas de seguridad de las entidades públicas. Cuando hacemos visitas de evaluación a las instituciones, vemos que no las tienen. Por ejemplo, no cuentan con sistemas de trazabilidad, que permite rastrear qué persona ingresó al sistema, qué tratamiento hizo de la información, es decir, deja una huella en el sistema”, precisó.
Escudero dijo que actualmente la ANPD realiza alrededor de 15 investigaciones respecto a datos que se ofrecen en Internet y que provienen de distintas entidades públicas. “Provienen de diferentes niveles de gobierno: el Reniec, el Ejecutivo, los gobiernos locales y los gobiernos regionales. No se trata de hackeos, sino de filtraciones de información por falta de medidas de seguridad de protección de datos”, añadió.
“La base de datos más vulnerable a filtraciones”
La funcionaria indicó que la ANPD ha realizado muchas investigaciones por la venta de datos de fichas del Reniec. Por ello, dijo que, de acuerdo a la información que han observado, Reniec es la entidad estatal cuya base de datos es la más vulnerable a filtraciones de información.
“Reniec da acceso a distintas entidades públicas y privadas a sus servicios en línea de consulta de información, pero muchas de estas entidades no tienen los filtros ni las medidas de seguridad necesarias. Es así que sale esta información y se vende de forma ilegítima”, detalló. “Aquí también hay una falta de Reniec por no contar con medidas de seguridad”, agregó.
Escudero explicó que Reniec tiene la obligación de brindar acceso a información a las entidades públicas a través de la Plataforma Nacional de Interoperabilidad (PIDE) para que cumplan con sus fines. “No obstante, hemos hallado que los datos de acceso a usuarios registrados en el PIDE son compartidos por muchas personas. Entonces esto permite que la información no se cuide y salga sin un límite de búsquedas”, alertó.
Presunta filtración de datos de Reniec en foro web
Este jueves, la información de millones de peruanos protegida por Reniec habría quedado expuesta en Internet en un nuevo caso de filtración de datos que involucra a la plataforma BreachForums, un foro en línea de intercambio de información prohibida y sensible donde ya se han filtrado datos de usuarios de Interbank y de la Municipalidad de Miraflores.
El usuario “Gatito_FBI_NZ” difundió en BreachForums “datos de 32 millones de ciudadanos, que incluyen nombre, fecha de nacimiento, dirección, detalles de los padres, detalles del trabajo, etc.”. “La entidad es una vergüenza en su seguridad y es fácil de violar”, escribió en la publicación. El usuario indicó que la información fue extraída en enero de este año.
Sin embargo, Reniec envió un comunicado en el que aseguran que la supuesta filtración no es cierta. “Esa información es falsa, la base de datos no ha sido vulnerada, la imagen que circulan en redes sociales tiene rubros que no se contemplan en registro de nuestra entidad. Invocamos a la ciudadanía y a los medios de comunicación a no dejarse sorprender por información falsa”, indicaron.
🚨 #Comunicado
— RENIEC PERÚ (@ReniecPeru) October 31, 2024
Informamos a la ciudadanía lo siguiente: pic.twitter.com/zz9HU9aEnV
Los rubros a los que se refiere el organismo son “sueldo” y “crédito”, incluidos en la base de datos filtrada por el usuario de BreachForums. Esta información, sin embargo, aparece vacía o con el número 0, pero sí figuran otros datos personales.
Investigaciones y sanciones a Reniec
En esa línea, Escudero mencionó algunas sanciones e investigaciones realizadas a esta institución. “En el 2022, se descubrió que una plataforma llamada ‘Zorrito Run Run’ se filtraron datos personales de los peruanos que empezaron a venderse. Al investigar, descubrimos que desde los sistemas del Ministerio de Energía y Minas y la Controlaría se sacaban fichas de Reniec que luego eran vendidas. Por eso, el 2023, la ANPD sancionó a las tres instituciones con una multa muy grave de 19 UITs [S/94.050 al valor del año pasado] por no contar con medidas de seguridad y no cumplir con el deber de confidencialidad de los datos personales”, explicó.
Además, Escudero mencionó que este año la ANPD ha iniciado una investigación por la exposición de fichas de Reniec de policías y funcionarios a través de una web llamada ‘Buscador Policía Sur’. “Cuando iniciamos la investigación, verificamos que la información provenía de la Municipalidad Provincial del Callao. Entonces, se inició un proceso sancionador a ambas instituciones por no contar con medidas de seguridad y confidencialidad”, expresó.
"Todos los ciudadanos están desprotegidos ante las extorsiones"
Frank Casas, especialista en seguridad ciudadana, declaró que si la base de datos de la Reniec es vulnerable, entonces “todos los ciudadanos estamos desprotegidos ante la extorsiones”. Casas sotuvo que la base de datos de la Reniec es la más importante, porque contiene la información personal de todos los peruanos. “Reniec registra la información de nuestro ADN como ciudadanos. Esta información nos permite hacer trámites bancarios, legales y administrativos. Por eso, debería estar sumamente protegida”, dijo.
En esa línea, indicó que la venta de fichas de Reniec “facilita las extorsiones”, porque otorga información a los extorsionadores para identificar e investigar a su víctimas y realizar amenazas. “Esta información es muy sensible. Los nombres completos, número de DNI y dirección son los primeros datos que utilizan los extorsionadores para amenazarte. Que un delincuente tenga esta información coloca a la persona en un riesgo de extorsión alto. Además, las fichas de Reniec registran información de los padres de la persona con lo que el peligro a la integridad física escala a su familia”, detalló.
Casas mencionó que la existencia de las publicaciones mencionadas en Facebook demuestra la falta de cuidado de las entidades estatales de la información personal de los ciudadanos. “Si existe la extorsión no es solo por un mercado negro de armas o chips, sino también por la venta de información sensible que es clave para que puedan operar a los extorsionadores”, precisó.
¿Qué medidas de seguridad puede implementar el Reniec?
De acuerdo con Maite Vizcarra, experta en innovación tecnológica, una de las razones por las que se filtra y vende con facilidad datos de entidades públicas como el Reniec es porque no existe una cultura de gestión de datos públicos en el Perú. “Esto involucra que existan protocolos de seguridad más estrictos. Por ejemplo, que las personas encargadas de las bases de datos abran y cierren las sesiones, cambien con regularidad las claves y hagan un reporte de lo que ocurrió en el día”, indicó.
Asimismo, Vizcarra explicó que otros mecanismos de ciberseguridad que podrían implementar las instituciones estatales son un sistema de ‘Blockchain’, es decir, una cadena de bloques entre las personas con acceso al tratamiento de datos que permite rastrear cada acción que hayan realizado en el sistema.
Por otro lado, Vizcarra considera que cada ciudadano peruano debería ser consultado para brindar su autorización sobre el tratamiento y revisión de sus datos personales en los sistemas del Reniec. De lo contrario, esta información no debería ser pública.
Reniec responde
Hector Saravia, director de Certificación Digital del Reniec, aseguró a El Comercio que la información de las fichas del Reniec que se venden en Marketplace “no está actualizada”, pese a que El Comercio constató lo contrario. Negó que la base de datos del Reniec haya sido vulnerada para obtener esta información. “Las personas que venden esta información arman certificados de inscripción (C4), fichas blancas y azules con información a la que tuvieron acceso alguna vez haciendo un mal uso de los sistemas de consulta en línea que ofrece el Reniec a instituciones estatales y privadas”, manifestó.
LEE TAMBIÉN: La historia detrás de “Blanquita”: la mujer señalada por la PNP de proteger al prófugo Vladimir Cerrón
Así también, Saravia indicó que este año la entidad ha reforzado las medidas para reconocer a los usuarios que hagan un uso indebido. Mencionó también que el Reniec viene implementando el sistema de verificación ID Perú para que el acceso a estos servicios se realice a través de la comprobación de datos biométricos faciales y dactilares.
El funcionario precisó que el Reniec cuenta con herramientas de detección de usuarios que hacen un mal manejo de los sistemas de información. “Tenemos un equipo y medidas de seguridad para identificar cuando esto ocurre. Enviamos una notificación a la institución y les advertimos para que tomen acciones. Nosotros podemos suspender al usuario, pero no el acceso a la institución pública porque es un deber por ley”, manifestó.
Por otro lado, Saravia dijo que el Reniec ha apelado la multa de 19 UITs impuesta por la ANPD. Adicionalmente, mencionó que las personas que vendían los datos personales obtenidos de instituciones públicas y privadas a través de la web ‘Zorrito Run Run’ fueron identificadas.
🚨Fiscalía Especializada en Ciberdelincuencia de Lima logró 15 meses de prisión preventiva para Luis Rea Vásquez de Velazco y José Araujo Torello, por los presuntos delitos de acceso Ilícito y tráfico ilegal de datos personales, por la creación de la plataforma “Zorrito Run Run” pic.twitter.com/ITWF6HUPTp
— Ministerio Público (@FiscaliaPeru) June 7, 2023
¿Qué es el doxeo?
Erick Iriarte, abogado especialista en legislación informática, explicó a El Comercio que el ‘doxeo’ consiste en la revelación de datos personales, como nombres y dirección, que se encuentran en bases de datos reservadas. “Normalmente, se utiliza información que está en custodia del Estado con fines lucrativos o para afectar directamente a una persona. El doxeo se usa para vulnerar libertades y derechos”, detalló.
TE PUEDE INTERESAR
- Vía Expresa Sur: la incertidumbre de tres colegios de Surco que serán atravesados por la obra
- Congreso aprueba ley para que hospitales del Minsa vuelvan a manejar sus recursos
- Policías facilitaban operaciones de sicarios y extorsionadores por S/3 mil: Así es como actuaban
- Nueva filtración de datos alcanzaría a Reniec, Sistemas PNP y Topitop: todo sobre supuesta difusión en BreachForums