Reciente descubrimiento de registros de defunción adulterados pone en evidencia la falta de un adecuado cuidado del acceso a los portales de servicios ciudadanos. Más allá de las investigaciones respectivas iniciadas, expertos piden desplegar acciones preventivas.
Descubrir que el propietario de la casa en la calle Sarratea, Segundo Alejandro Sánchez Sánchez, figuraba como fallecido en el portal Sinadef (Sistema Informático Nacional de Defunciones) a pesar de estar vivo fue el hito que abrió una nueva caja de pandora. Poco después se conoció que, de manera irregular, también figuraban el acta de defunción del presidente Pedro Castillo, la Fiscal de la Nación Patricia Benavides y la lideresa de Fuerza Popular, Keiko Fujimori. Y como ellos, al menos 1300 peruanos más.
La vulneración del portal, en realidad, ya había sido denunciada una semana antes (6 de octubre) por el micro-noticiero La Encerrona, que se transmite a través de las redes sociales. En dicho capítulo se habló del hackeo masivo de las fuerzas armadas de diferentes países, incluido el Perú, por parte del grupo Guacamaya. En ese mismo capítulo se demostró que era muy sencillo entrar a crear un registro de defunción sin ser un funcionario autorizado y se denunció que existían partidas falsas que podían ser usadas por quienes querían cuestionar los resultados electorales.
En el programa se citó una noticia publicada semanas atrás en Piura: un ciudadano buscaba su local de votación y aparecía como fallecido. La explicación dada fue que desde abril del 2020 figuraba en YouTube un tutorial para médicos sobre cómo ingresar al Sinadec para registrar una partida de defunción y se decía que el usuario y contraseña por defecto era el DNI del usuario. Se pasaron videos en los que se demostraba que uno podía inventar la causa de muerte de alguien o declarar una interrupción de embarazo si accedía al sistema.
La reacción inicial de Reniec ante esta vulneración fue suspender la emisión digital de las actas de defunción desde el 14 de octubre e inhabilitar el acceso a la plataforma. Posteriormente, a dispuesto una auditoría del sistema para la fiscalización de la plataforma y los procesos de seguridad, la intervención administrativa para corregir los registros errados y restablecerlos a su verdadera condición. Además, implementara un sistema de consultas para verificar que el médico esté habilitado para realizar el registro. El director de Registros de Identificación de la entidad, Javier Galdos, remarcó que el MINSA deberá entregar este 21 de octubre, la lista completa de usuarios que tendrán acceso al Sinadef.
La Autoridad de Protección de Datos Personales informó que ellos han iniciado las acciones de fiscalización correspondientes tras las denuncias y determinarán las responsabilidades administrativas, que pueden conllevar la imposición de multas. Por su parte los fiscales especializados en ciberdelincuencia y peritos del Ministerio Público realizaron diligencias en sedes del Reniec y Minsa para determinar cómo se atentó la integridad de los datos informáticos y armar el caso del delito penal, de encontrarse.
La jefa de Reniec, Carmen Velarde, recordó que fue a raíz de la pandemia por COVID-19 que se automatizó la inscripción del acta de defunción, pero dados los problemas recientes se optó por volver temporalmente al sistema de emisión de los certificados de defunción de forma manual. A la larga, informó, se espera que los médicos usen el DNI electrónico para firmar digitalmente y pasen la evaluación biométrica antes de emitir el citado certificado.
Un problema de seguridad recurrente
Javier Vargas, exjefe del Sinadef, cuestionó la decisión de volver al registro manual de la Reniec. En RPP explicó que la solución no es cerrar un sistema porque se tiene un problema de seguridad informática, sino buscar reforzarlo, poner mejores candados e implementar medidas que aseguren la identidad de quien está utilizando el sistema.
Ya en agosto Ragi Burhum, especialista en la materia, alertó en un artículo de La República que no es difícil hackear una cuenta del Estado peruano. DeHashed vende claves de 585 cuentas del Congreso, 868 cuentas del Minsa y 153 del Miniter, citó como ejemplo. Todo sistema informático del Gobierno, dijo, debe contar con medidas básicas en el manejo de contraseñas, como por ejemplo la doble autenticación, para evitar que cualquier curioso entre y disponga de información confidencial.
El problema no es nuevo. En 2019, antes de la pandemia, se advirtió que era posible sacar fotos del DNI y obtener otros datos privados, pero no se hizo mayor corrección en temas de ciberseguridad y este año saltó a la opinión pública que se habían vulnerado los datos de la mayoría de los peruanos, incluyendo las huellas dactilares. En las redes sociales se ofrecía los datos porque un delincuente tenía acceso a usuarios y contraseñas del sistema. Luego vino el secuestro de correos del Ministerio de Defensa. Y recién el caso de Guacamaya, en el que se liberó más de 100 gigas de data confidencial del Ejercito, incluyendo planes de respuesta ante una guerra con Chile.
Erick Iriarte, CEO de eBIZ, advirtió que ya sea que se trate de un caso de usurpación de identidad de usuarios válidos del sistema o si se dio un acceso ilegal con usuarios inventados, es urgente reforzar las medidas de protección de las distintas entidades estatales. Muchas veces se piensa que se trata de operaciones sofisticadas, pero en la práctica se ha visto que los problemas parten de los mismos usuarios que no aplican las medidas de protección básicas y terminan perjudicando a los ciudadanos de a pie, quienes pierden la posibilidad de hacer un trámite digital.
“La ciberseguridad empieza con las personas”, dijo luego de remarcar la necesidad de cuidar la capacitación en medidas de protección en los usuarios del sistema para prevenir ser víctimas de campañas de ingeniería social que terminen perjudicando a la institución y todos los que desean realizar trámites digitales.
Iriarte recordó además que, en el plano legal, es importante proceder con la promulgación de la ley de ciberseguridad. Dicha norma fue elaborada en el 2019, observada por el Gobierno de Martín Vizcarra y no publicada por insistencia por parte del Congreso de la República, tal como si han hecho con otras normas.
