El Perú sufrió más de 11 billones de ciberataques el 2021. Este año han salido a la luz el hackeo de los datos personales de la Reniec de más de 29 millones de peruanos, lo que ha generado una investigación para la posterior sanción.
La Presidencia del Consejo de Ministros (PCM) está creando una unidad de confianza digital para fortalecer la prevención de riesgos digitales. Esto surge como respuesta a los últimos ataques y fugas de información descubiertos por fallas de seguridad en diversas dependencias estatales. Solo el año pasado los especialistas estiman que se presentaron 11 billones de ciberataques en el país.
Según informaron, la unidad dependerá de la Secretaría de Gobierno y Transformación digital (SGTD) y tendrá como objetivo fortalecer la articulación del Centro Nacional de Seguridad Digital con la Autoridad Nacional de Protección de Datos, la División de Investigación de Delitos de Alta Tecnología, la Unidad Fiscal Especializada en Ciberdelincuencia y el sector privado.
Marushka Chocobar, secretaria de la SGTD, detalló ante la Comisión de Descentralización, Regionalización, Gobiernos Locales y Modernización de la Gestión del Estado del Congreso que esta unidad fortalecerá la estrategia de prevención y mitigación de riesgos digitales integrando a todos los actores del ecosistema, tanto públicos como privados.
Destacó que se continuará con la emisión de alertas para las pequeñas y medianas empresas, la sociedad civil y las organizaciones del sector privado en general, además de consolidar acciones para resguardar la protección de la ciudadanía ante las diferentes amenazas de seguridad existentes.
Para tales efectos la PCM ya había constituido el mes pasado una mesa técnica (Resolución Ministerial N°125-2022-PCM) con el fin de proponer acciones y medidas que fortalezcan la confianza digital. En dicha instancia participan Ministerio del Interior, Osiptel, Indecopi, Ministerio de Justicia, Asbanc, Comex, Afin y los operadores de telecomunicaciones. Además, se viene capacitando a más de 35 000 funcionarios públicos en seguridad digital a nivel nacional.
Descargos ante filtración
Como se recordará, desde el mes pasado el Estado ha sido objeto de importantes ataques que han implicado la develación de información confidencial. Primero se conoció que el grupo Conti, amigo de Rusia, secuestró datos del Ministerio del Interior, y publicaron miles de correos electrónicos que no estaban cifrados en donde se revelaban hasta los nombres de los policías a cargo de las operaciones contra el narcotráfico y el terrorismo. Luego se denunció que una empresa estaba ofreciendo por redes sociales el acceso a datos privados de más de 29 millones de peruanos.
Marushka Chocobar, secretaria de la SGTD, explicó ante el Congreso que, ante la denuncia del hecho, se ha establecido un plan para el fortalecimiento de la confianza digital del país, se emitieron alertas y se derivó el caso para su investigación ante la Autoridad Nacional de Protección de Datos y la División de Investigación de Delitos de Alta Tecnología. La primera emitirá una sanción administrativa a quienes resulten responsables, que puede ascender a una multa por hasta S/460 000 y la segunda puede conllevar una sanción penal.
Chocobar se defendió ante los cuestionamientos de los congresistas afirmando que la Plataforma de Interoperabilidad del Estado Peruano (PIDE) no ha sufrido ningún tipo de vulneración de datos en sus sistemas y reiteró que su sector no trabaja con datos personales de la ciudadanía. “Es responsabilidad de cada entidad cuidar su seguridad digital”, afirmó.
El sistema permite a las dependencias públicas (411) acceder a la información que maneja la Reniec, pero solo para consultarla: no tienen autorización para descargar una copia en ningún servidor, menos compartirla, tal como se presume ha hecho la empresa que estaba ofreciendo a la venta el acceso a los datos privados de los ciudadanos.
Alguien, un usuario legítimo con finalidad delictiva, pudo acceder a los datos personales, los cuales fueron mezclados con otras bases de datos privadas y generaron un bot de consulta, explicó Chocobar. Cada entidad del estado crea sus propias contraseñas, no las brinda el portal de interoperabilidad, por lo tanto, es responsabilidad de cada una de ellas si estas son vulneradas, añadió.
En el programa periodístico “La Encerrona” se señaló que el presunto comercializador de la información sería Vfpsteambi.solutions, quien como proveedor de facturas electrónicas accedía al portal de la Sunat para validar datos, pero además realizaría una actividad ilícita al retener dicha información y juntarla con otra para ofrecerla a las empresas o el público en general. Ellos incluso ofrecían brindar una copia digital del DNI de cualquier ciudadano (datos al 2020), la cual puede ser usada para múltiples tipos de fraudes que implican la suplantación de identidad para contratar servicios, retirar fondos o solicitar préstamos.
El diario Gestión ha elaborado un editorial sobre el tema, remarcado que es lamentable que se espere que cada entidad pública responda por su seguridad y no exista un responsable que se haga cargo de lo sucedido. “La creación de esta unidad solo se entiende como una medida para lavarse la cara, pues sería lo mismo que ya viene haciendo la SGTD. Lo que realmente se necesita es fortalecer el trabajo que viene haciéndose con la mesa técnica para fortalecer la confianza digital […] pero traduciéndolo en acciones concretas que permitan aplicar lo último en tecnología para proteger los datos que posee el Estado”, reafirmaron.
La citada comisión señaló que se continuará investigando el tema y se llamará a rendir declaraciones a otras entidades públicas, como la Reniec, quien ha asegurado que no tienen fallas en sus sistemas. Sin embargo, es preciso recordar que en el 2018 la organización Hiperderecho alerto ante la opinión pública sobre una brecha de seguridad que permitía obtener datos privados de los DNI, como por ejemplo fotos de los ciudadanos, y que se presume no ha sido resuelta. Las investigaciones iniciadas deberán dar luces sobre lo qué ocurrió.
