the_lightwriter - stock.adobe.co

Secuestro de datos a la peruana

Información privada de alrededor del 90% de la población ha sido vulnerada el mes pasado, incluyendo huellas dactilares y firmas digitales. Los datos eran vendidos por redes sociales y permitían suplantar la identidad para ejecutar fraudes en línea.

Los últimos sucesos relativos a la seguridad informática peruana han sido casi una crónica de un desastre anunciado. Se sabía que, tarde o temprano, sucederían. Por si fuera poco, la guerra declarada por Rusia incluyó una alerta mundial para resguardar los sistemas públicos y privados. En un ecosistema virtual global como el actual no se conocen fronteras, por lo que no solo se esperaba ataques a los aliados de uno y otro bando, sino que a río revuelto, ganancia de pescadores: el cibercrimen aprovecharía la oportunidad para incrementar sus ataques, tal como advirtió el experto en seguridad Maximiliano Scarimbolo. Y así sucedió.

Primero, en abril, se filtró información secreta de la policía peruana. Poco después, en mayo, explotó el escándalo de la filtración de los datos personales de casi 30 millones de peruanos –más del 90% de la población–, incluyendo fotos y huellas dactilares. Los datos provenían, principalmente, de las bases de datos de RENIEC (Registro Nacional de Identificación y Estado Civil), la entidad encargada de emitir los documentos de identidad (DNI), a quien acceden diversas entidades para consultar información. La ley peruana prohíbe a quienes consultan sus sistemas guardar copia de dichos datos, pero eso no le importó a los cibercriminales.

La alarma debió encenderse un poco antes de explotar el escándalo, el 18 de abril, cuando Costa Rica se vio envuelta en el secuestro de información de 30 instituciones públicas por parte del grupo Conti, aliado de la ocupación rusa. Según informó el gobierno costarricense, primero pidieron US$10 millones de recompensa, pero como no accedieron fueron soltando datos confidenciales cruciales y subieron el monto exigido a US$20 millones. La BBC informó que los hackers secuestraron los sistemas de declaración de impuestos, paralizando los sistemas de recaudación, además de suspender el pago de los salarios del sector público, lo que constituyó una emergencia nacional.

El grupo Conti, de raíces rusas, también se fijó en Perú que actualmente es, según ESET, el país de la región latinoamericana con mayor incidencia de ransomware (23 %) en el 2021. De hecho, el cibercrimen es intenso en el país y los expertos calculan que solo el año pasado se concretaron 11 billones de ciberataques.

A fines de abril, la prensa local (La República, Sudaca, LaEncerrona) informó que los hackers de Conti amenazaron al Ministerio del Interior (Mininter) de Perú con publicar datos secretos tomados de la Digimin (Dirección General de Inteligencia). Advirtieron que la información estaba en correos que no estaban adecuadamente encriptados y sería liberada si no pagaban por ellos.

Ragi Burhum, doctor en ciencias de la computación, precisó que, para el 10 de mayo, ya se había publicado el 23 % de lo secuestrado, incluyendo datos muy confidenciales como los nombres de los policías encargados de perseguir a terroristas, ubicación de lugares en dónde se hace cultivos alternativos al narcotráfico e información sobre compras realizadas. Pero cuando se empezó a soltar más datos secretos surgió otro escándalo que acaparó los titulares de la prensa: el robo de información de la RENIEC, denunciado por la Asociación de Bancos del Perú (Asbanc).

Marushka Chocobar, secretaria de la SGTD (Secretaría de Gobierno y Transformación digital), detalló ante la comisión investigadora del congreso (Comisión de Descentralización, Regionalización, Gobiernos Locales y Modernización de la Gestión del Estado) que el 13 de mayo se emitió una alerta y el 20 de mayo se iniciaron las investigaciones respectivas. Estas son llevadas a cabo por la Autoridad Nacional de Protección de Datos (ANPD), donde se podrá aplicar la sanción administrativa respectiva (hasta US$125 mil de multa), y en la Divindat (División de Investigación de Delitos de Alta Tecnología de la policía), que podría acarrear una sanción penal de hasta cinco años de cárcel.

¿Qué había pasado?

En WhatsApp y Telegram, la página Zorrito Run Run empezó a ofrecer a la venta acceso a datos personales, incluyendo foto, firma y hasta huella dactilar. Existía: el paquete de libre acceso con datos puntuales; el paquete “pro”, pagado; y el “premium”, que permitía tener DNI electrónico, detalle de deudas crediticias, RUC (Registro Único de Contribuyente) del empleador, teléfonos, historial de direcciones del domicilio y hasta nombres de familiares. Los pagos iban desde unos US$10 hasta casi US$100, dependiendo de lo requerido.

Las primeras pesquisas de la prensa mostraron que se trataba de una página creada por Luis Rea, un peruano residente en Veracruz (México) que posee una empresa “formal” (Vfpsteambi.solutions) que brinda facturas electrónicas y que, gracias a ello, accede a la base de datos de la Sunat para consultar información. Dentro de sus actividades ilegales previas estaba ofrecer a las empresas acceso a datos de los clientes, pero ahora se presume se había involucrado en otra actividad delictiva: ofrecer por las redes sociales datos de casi 30 millones de peruanos a cualquier interesado.

Luis Huamán Santa María, jefe de la Divindat, informó ante la citada comisión del congreso que se trata de una organización criminal con unos 375 miembros y cuatro administradores con RUC (código registrado para la Sunat) que están siendo investigados. Se les ha levantado el secreto bancario y rastreo del GPS. Su hipótesis es que emplearon usuarios legítimos para acceder a datos personales, pero además un hacker accedió de forma ilícita a otros datos adicionales. Eduardo Luna de ANPD añadió una tercera hipótesis: una deficiente protección de las bases de datos consultadas, lo cual será sancionado, de comprobarse, al finalizar la investigación.

La página Zorrito Run Run, que tomó ese nombre en honor a un popular mamífero que fue rescatado en Lima recientemente, usaba accesos legítimos a la Plataforma de Interoperabilidad del Estado Peruano (PIDE) para tomar información. Dicha plataforma cuenta con permisos otorgados a 411 dependencias públicas, quienes acceden bajo consulta a ocho datos de los ciudadanos ofrecidos por la RENIEC, pero no incluye huellas dactilares o firmas; esas están en los servidores de la RENIEC.

Hasta ahora se ha podido identificar que se usaron las claves de tres usuarios legítimos del portal PIDE: uno del Ministerio de Justicia, otro del Ministerio de Transportes y Comunicaciones, y el tercero del Ministerio del Ambiente. El resto de los datos que ofrecían se presume que fueron hackeados y combinados con datos del sector privado, posiblemente una central de riesgo crediticio. No se descarta que se usara un software malicioso o un bot para realizar miles de consultas automáticas de datos en RENIEC. Tampoco se puede descartar que los delincuentes aprovecharan una vulnerabilidad en los sistemas de la RENIEC, detectada y denunciada por la organización Hiperderecho en 2018.

La Divindat recibe alrededor de 45 denuncias diarias (14.448 entre enero y diciembre del 2021), de las cuales el 80 % son estafas informáticas. A fines de mayo, se detuvo a dos delincuentes que vendían CD con un millón de datos personales en las calles de Lima, un delito común en el país. Pero los datos que ofrecía Zorrito Run Run eran más comprometedores, dado que se podían concretar múltiples crímenes y fraudes, incluyendo suplantación de identidad, porque tenían huellas dactilares y firmas.   

¿Qué se va a hacer?

Entre el 20 y el 24 de mayo se han iniciado las carpetas fiscales ante la Procuraduría Pública para hacer el seguimiento de la investigación, que puede tomar varios meses en llegar hasta una sanción a quienes resulten responsables. La página del zorrito fue levantada de internet ya en tres oportunidades hasta fines de mayo, dado que volvía a aparecer alojada en otro servidor luego de ser descolgada.

La ANDP remarcó que ninguna consultora o empresa privada que comercialice información sobre los datos del RENIEC ha obtenido dichos datos de forma lícita, así que quien los tenga deberá ser sancionado. PIDE es una plataforma de intercambio de datos, por tanto, no tiene acceso a la base de datos y debió haber otro tipo de acceso adicional al ya descubierto. Desde RENIEC aclararon que cuando se detecta un usuario haciendo uso indebido del acceso por PIDE o directamente ante ellos se le cancela la cuenta y no se le vuelve a dar ingreso. En el caso de las instituciones, se suspende el convenio de acceso a los datos.

RENIEC asegura que tienen un sistema de monitoreo permanente (Cyber Risk Protector) que los alerta si se están vendiendo datos de su sistema. Todos los días reciben ataques o intentos de ingreso a sus servidores, aceptan, y han realizado variadas denuncias ante la procuraduría desde diciembre del año pasado por este tipo de problemas. Actualmente, están migrando su infraestructura a un housing certificado y se está estudiando mejorar la seguridad perimetral. Además, han resuelto ya seis convenios por incumplimiento, quitándoles acceso a su base de datos, y han suspendido las cuentas que realizan accesos indebidos.

Marushka Chocobar añadió que se está creando una unidad de confianza digital para fortalecer la prevención de riesgos digitales. Dicha unidad dependerá de la SGTD y trabajará de forma articulada con el Centro Nacional de Seguridad Digital, la ANPD, la Divindat, la Unidad Fiscal Especializada en Ciberdelincuencia y el sector privado.

Dado que no existe un único responsable sobre la seguridad digital pública, las sanciones serán a cada una de las entidades vulneradas si fueron responsables de descuidar sus sistemas, lo cual ya está en pleno proceso de investigación. La SGTD solo procura y recomienda cuidados, pero no sanciona, y por tanto cada entidad es la responsable de su seguridad, lo que dificulta el control.

Desde la opinión pública, dada la gravedad del evento, se han repetido múltiples lamentos por la falta de un único responsable que se encargue de velar por una implementación de tecnología de última generación para evitar estos eventos que ponen en riesgo a casi la totalidad de la población.

Investigue más sobre Privacidad y protección de datos