Lo que nos enseña la suplantación y robo a los beneficiarios del Bono Familiar Universal

Esta semana se hizo pública una vulnerabilidad en la página web del Bono Familiar Universal, desde la cual podía tramitarse este subsidio económico que el Estado está entregando a hogares vulnerables durante la emergencia del Covid-19. Gracias a la investigación y oportuno reporte de la empresa de seguridad digital Deep Security, se pudo solucionar el error de desarrollo web que permitió a un número todavía indeterminado de criminales hacerse pasar por beneficiarios y cobrar sus bonos, mientras estuvo activa. Se sabe que el Ministerio Público ya está investigando el alcance de esta operación delictiva, todavía sin denuncia formalizada, pero los investigadores estiman que pudo haberse comprometido más de 1 millón de soles de lo poco que pudieron ver.

Aunque concebido exclusivamente para ser utilizado por los beneficiarios, el sitio web desarrollado por el Registro Nacional de Identificación y Estado Civil (RENIEC) permitía a cualquier persona intentar infinitas combinaciones de documentos de identidad y fechas de emisión hasta dar con la combinación de un titular de bono. Luego de encontrarlo, la plataforma requería como único método de validación de la identidad, que quien consultaba respondiera una pregunta sobre los nombres reales de sus padres (que los delincuentes presuntamente obtenían en el mercado negro de bases de datos sustraídas de fichas RENIEC). Finalmente, se pedía al beneficiario que ingrese cualquier número de celular para obtener un código que le permitía retirar el dinero de cualquier cajero; es decir, no se exigía que la línea estuviera su nombre o al de un familiar. Así, bastaba con tener acceso a la ficha RENIEC de una persona para engañar a la plataforma del Bono y cobrar el dinero de cualquier beneficiario.

Aunque todavía tardaremos un tiempo conocer el impacto real de este fraude masivo, este lamentable episodio confirma algunas hipótesis que teníamos en Hiperderecho sobre la tecnología pública y la seguridad del tratamiento de datos personales en el país. Precisamente en una época en la que se anuncian nuevas iniciativas como el seguimiento de contactos vía Bluetooth o la identificación facial como atributo de identidad, vale la pena reflexionar sobre ellas.

La primera es que el desarrollo de tecnología por parte del gobierno está en emergencia. En Hiperderecho, tenemos más de cinco años investigando, reportando y tratando de entender incidentes de seguridad digital en el Estado. Un error como el denunciado, donde un formulario puede ser abusado o explotado por delincuentes, no es un hecho aislado, sino la dolorosa realidad cotidiana. Si bien el fraude masivo del Bono Universal ha llamado la atención por el tamaño de la operación y porque indigna saber que los más perjudicados son las personas de menores recursos; no es el primero y seguramente no será el último. Solo en los últimos dos años, Hiperderecho ha conocido y reportado más de diez (10) incidentes similares en páginas web desarrolladas por el Estado, que exponían todo tipo de información privada y sensible de todos nosotros.

En muchos sectores del Estado, existe una idea absolutamente unidimensional de lo que es un ataque informático. Se invierte mucho dinero público en obtener certificaciones, comprar hardware o software para protegerse de accesos no autorizados a los sistemas e incluso se redactan protocolos de seguridad de cientos de páginas. Pero se dedica poco o ningún esfuerzo a pensar los sistemas informáticos (formularios, encuestas, plataformas) desde una perspectiva de la privacidad o analizando la información que el propio sistema puede estar revelando.

En el robo del Bono Familiar Universal, los delincuentes, al igual que muchos otros que hemos reportado en el pasado, no necesitaron vulnerar ninguna medida de seguridad, contraseña o firewall de RENIEC. Simplemente explotaron una función mal configurada del formulario que les daba toda la información que necesitaban. Es decir, empleando la información que tenían de las fichas RENIEC obtenidas ilícitamente, podían suplantar impunemente a un beneficiario pues no se exigía brindar alguna información que solo éstos podían conocer o tener a su alcance. Si quien desarrolló la plataforma hubiera pensado en este escenario, podría haber creado un formulario diferente, que impidiera este tipo de suplantación o cuando menos podría haber evitado que un mismo usuario desde un mismo dispositivo pudiera hacer múltiples consultas de beneficiarios.

Lo peor de esta emergencia es que es difícil contenerla. Primero, porque no existe información clara y accesible a los ciudadanos sobre cómo reportar este tipo de incidentes cuando se presentan. El Equipo de Respuesta ante Incidentes de Seguridad Digital del Perú (PECERT) de la Presidencia del Consejo de Ministros es lo más cercano que tenemos a una autoridad nacional sobre el tema. Aunque en los últimos meses ha sido el mejor enlace que hemos tenido en Hiperderecho para reportar incidentes, sigue siendo una instancia lejos del alcance de la mayoría de investigadores que conozco. Existe poca información pública sobre cómo reportar, qué esperar cuando se reporta y mucho menos sobre lo que pasa luego del reporte dentro de la entidad.

Es decir, no sólo se cometen errores sino que no tenemos la capacidad de admitirlos y aprender de ellos. Las entidades públicas no están preparadas para recibir reportes de ciberseguridad (que toman como críticas directas a su trabajo) y tampoco reconocen cuando se equivocan. Esto las condena a seguir repitiendo los mismos errores en perjuicio de todos los ciudadanos. En este caso, RENIEC prácticamente ha negado todo conocimiento del tema pese a que alguien dentro de su entidad ha tenido que trabajar en corregir el problema esta misma semana. A través de un comunicado en Twitter, la entidad ha dicho que los equipos periodísticos de ATV o El Comercio mienten. Esto no solo les impide identificar responsables directos y reconocer el aporte desinteresado de los investigadores, sino, sobre todo, poder entender sus errores y aprender de ellos. Cuando la modernización es una estrategia de publicidad, los problemas de seguridad digital se tratan como crisis reputacionales. ¿Qué mensaje queda para futuros investigadores que descubran vulnerabilidades?

Finalmente, este caso demuestra también que el mal llamado sistema de “identidad digital” en nuestro país está roto hace tiempo. La vulnerabilidad de la web del Bono Universal era doble: tecnológica, por un formulario mal configurado, pero también sistémica, porque usaba datos personales como si fuesen contraseñas. Para los delincuentes, dar con los números de DNI de potenciales beneficiarios, su fecha de emisión o los nombres de sus padres era posible porque esta es información que RENIEC comercializa legalmente y ha sido accedida y copiada por muchos, desde hace mucho tiempo, sin que nadie lo impida. Incluso, por acción u omisión, muchos de los datos personales de beneficiarios de otros programas del Estado ya era de libre acceso en Internet.

La falacia fundacional de RENIEC es que mientras más sepamos el uno del otro seremos un país más seguro. Pero este caso nos enseña también todo lo que puede salir mal cuando la información que nos identifica o hace identificables está en manos de muchas personas y se trata de forma poco segura. En los últimos años, la respuesta institucional a esta crisis ha sido aumentar la cantidad de datos personales que se tienen de nosotros, y no reducirla. Un camino sin retorno que pone en riesgo nuestra seguridad y patrimonio, que esta vez golpeó a quienes más le necesitaban.

Este artículo es parte de nuestra serie especial sobre la emergencia del Covid-19 y nuestros derechos digitales. Síguenos en Facebook, Twitter e Instagram para a recibir nuestro análisis más reciente.

Foto: Ministerio de Desarrollo e Inclusión Social

2 comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *