El caso de espionaje electrónico fue revelado el domingo pasado en el programa Punto Final, de Latina. Un joven tenía acceso a datos confidenciales de los procesos de licitación en la OCSE y vendía la información a las empresas. Este problema de seguridad se suma a los denunciados en Reniec y Mininter en semanas pasadas, actualmente en investigación.
Un nuevo caso de acceso indebido a información confidencial ha saltado a la luz el domingo pasado. En el programa Punto Final se reveló que unos 30 procesos de compras públicas realizados en el portal SEACE de la OCSE (Organismo Supervisor de las Contrataciones del Estado), valorados por encima de los S/1200 millones, fueron espiados para beneficiar a unos 10 grupos económicos, la mayoría de origen chino.
Según el reportaje, un joven de 23 años y sus cómplices llevan dos años vulnerando el sistema de seguridad de la plataforma SEACE (Sistema electrónico de contrataciones del Estado) donde figuran las obras a licitar y las empresas pueden presentar sus ofertas. Él ha confesado ante la Procuraduría Anticorrupción que gracias a un contacto privado y a uno en el propio OCSE, conseguía acceder como usuario interno para obtener las propuestas de los postores en un concurso público antes del cierre del mismo. Como se sabe, en dichos casos la información se mantiene confidencial para evitar que se pongan acuerdos en los precios. Quien sabe las ofertas de los otros postores puede proponer una menor para ganar. Y eso es lo que lograba quien lo contrataba. Por esta ventaja competitiva ilícita, el joven que extraía la información cobraba a sus clientes hasta US 30 mil.
Erick Iriarte, CEO de eBIZ, aclaró que no se trata de un criminal que ha vulnerado un sistema de seguridad informático, sino que hay individuos desde dentro que han dado acceso a alguien de fuera con credenciales internas. “Los niveles de seguridad pueden ser altos, pero los individuos que forman parte del proceso pueden ser las brechas. No es un acto de hacking en el que alguien ha entrado sobre la plataforma tecnológica. Probablemente haya sido un usuario interno el que ha generado una brecha de ciberseguridad y afectado a todo el ecosistema”, explicó.
La OCSE ha asegurado que se darán todas las facilidades al Ministerio Público para encontrar a los culpables y realizarán la investigación interna correspondiente. El lunes en la mañana se inició la revisión de sus servidoresen busca de respuestas. Iriarte, por su parte, explicó que revisar las bitacoras (logs) o registros pueden permirtir descubrir quién, cuándo y desde qué computadora se hicieron los accesos ilicitos, lo que permitirá identificar al o los funcionarios responsables de la filtración.
Otros accesos indebidos
Este caso de espionaje ha sido destapado poco después de conocerse otros casos de filtración o develación de información. En abril y mayo, como se recordará, el grupo Conti accedió a correos privados del Ministerio del Interior y publicó data confidencial de reportes policiales relativos a la lucha contra el narcotráfico y el terrorismo. Poco después se conoció el caso de una presunta filtración de datos de la Reniec: información personal privada de casi 30 millones de peruanos estaba al acceso de criminales, quienes la vendían en redes sociales.
La semana pasada, los congresistas de la comisión de descentralización, regionalización, gobiernos locales y modernización de la gestión del Estado, recibieron a Carmen Velarde, jefa nacional de la Reniec, quien detalló que el 13 de mayo fueron alertados sobre una página, Zorrito RunRun, en la que se ofrecía fichas de datos y generaba un DNI virtual, sumado a información crediticia y de la Sunat. La página fue dada de baja en su servidor, pero ha vuelto a ser levantada nuevamente en dos oportunidades.
Velarde detalló que pudieron comprobar que el acceso a la información se hacía a través de usuarios registrados en el sistema, quienes tenían clave validada de consulta en el portal PIDE (Plataforma de interoperabilidad del Estado). Se identificaron a tres usuarios: uno del Ministerio de Transportes y Comunicaciones, otro del Ministerio de Justicia y un tercero del Ministerio de Energía y Minas. Ellos tenían accesos legítimos que usaron de forma irregular.
La Divindat (División de Investigación de Delitos de Alta Tecnología) informó en la misma sesión que el caso ya está en investigación, no solo bajo la hipótesis de que el acceso se dio con usuarios con credenciales legítimas, sino que también hubo accesos ilegítimos a la base de datos de la Reniec, porque en el portal PIDE solo hay ocho datos y no están la firma ni la huella digital, datos que ofrecían en venta los criminales. La Autoridad Nacional de Protección de Datos Personales añadió que también se está investigando un inadecuado sistema de protección de datos personales en diferentes entidades estatales.
«Probablemente haya sido un usuario interno el que ha generado una brecha de ciberseguridad y afectado a todo el ecosistema»
Erick Iriarte, CEO de eBIZ
Los cibercriminales ofrecían, además de un DNI fraudulento que permite la suplantación de identidad en contratos, información crediticia, base de datos de la Sunarp, lista de teléfonos de Movistar/Claro/etc., empresas y domicilios históricos en los que vivió el ciudadano, detalles de aseguradoras, correos electrónicos de integrantes del Colegio de Abogados o clubes, clientes VIP de bancos, y mucho más por hasta unos US$100. El origen de todos estos datos es resultado de una red de personas dentro de las mismas instituciones que se aprovechan del poco monitoreo del acceso a esta información, sumado a otros presuntos actos ilegítimos por comprobarse para emitir las sanciones correspondientes, tanto en la vía penal como en la administrativa, con multas posibles de hasta S/460 000.
Iriarte remarcó que todos estos casos reflejan un problema de seguridad que debe atenderse. Se necesita una cultura organizacional que de prioridad al resguardo de información tanto en empresas publicas como privadas, además de un ente articulador que promueva políticas adecuadas, dijo. Ademas recalcó que sería importante, a nivel político, que tanto los congresistas como el Ejecutivo, retomen el diseño de la normativa necesaria sobre ciberseguridad y ciberdefensa.
