Esta semana se hizo pública una vulnerabilidad en la página web del Bono Familiar Universal, desde la cual podía tramitarse este subsidio económico que el Estado está entregando a hogares vulnerables durante la emergencia del Covid-19. Gracias a la investigación y oportuno reporte de la empresa de seguridad digital Deep Security, se pudo solucionar el error de desarrollo web que permitió a un número todavía indeterminado de criminales hacerse pasar por beneficiarios y cobrar sus bonos, mientras estuvo activa. Se sabe que el Ministerio Público ya está investigando el alcance de esta operación delictiva, todavía sin denuncia formalizada, pero los investigadores estiman que pudo haberse comprometido más de 1 millón de soles de lo poco que pudieron ver.
Aunque concebido exclusivamente para ser utilizado por los beneficiarios, el sitio web desarrollado por el Registro Nacional de Identificación y Estado Civil (RENIEC) permitía a cualquier persona intentar infinitas combinaciones de documentos de identidad y fechas de emisión hasta dar con la combinación de un titular de bono. Luego de encontrarlo, la plataforma requería como único método de validación de la identidad, que quien consultaba respondiera una pregunta sobre los nombres reales de sus padres (que los delincuentes presuntamente obtenían en el mercado negro de bases de datos sustraídas de fichas RENIEC). Finalmente, se pedía al beneficiario que ingrese cualquier número de celular para obtener un código que le permitía retirar el dinero de cualquier cajero; es decir, no se exigía que la línea estuviera su nombre o al de un familiar. Así, bastaba con tener acceso a la ficha RENIEC de una persona para engañar a la plataforma del Bono y cobrar el dinero de cualquier beneficiario.
Aunque todavía tardaremos un tiempo conocer el impacto real de este fraude masivo, este lamentable episodio confirma algunas hipótesis que teníamos en Hiperderecho sobre la tecnología pública y la seguridad del tratamiento de datos personales en el país. Precisamente en una época en la que se anuncian nuevas iniciativas como el seguimiento de contactos vía Bluetooth o la identificación facial como atributo de identidad, vale la pena reflexionar sobre ellas.
https://www.youtube.com/watch?v=i9nMqFGd_8U
La primera es que el desarrollo de tecnología por parte del gobierno está en emergencia. En Hiperderecho, tenemos más de cinco años investigando, reportando y tratando de entender incidentes de seguridad digital en el Estado. Un error como el denunciado, donde un formulario puede ser abusado o explotado por delincuentes, no es un hecho aislado, sino la dolorosa realidad cotidiana. Si bien el fraude masivo del Bono Universal ha llamado la atención por el tamaño de la operación y porque indigna saber que los más perjudicados son las personas de menores recursos; no es el primero y seguramente no será el último. Solo en los últimos dos años, Hiperderecho ha conocido y reportado más de diez (10) incidentes similares en páginas web desarrolladas por el Estado, que exponían todo tipo de información privada y sensible de todos nosotros.
En muchos sectores del Estado, existe una idea absolutamente unidimensional de lo que es un ataque informático. Se invierte mucho dinero público en obtener certificaciones, comprar hardware o software para protegerse de accesos no autorizados a los sistemas e incluso se redactan protocolos de seguridad de cientos de páginas. Pero se dedica poco o ningún esfuerzo a pensar los sistemas informáticos (formularios, encuestas, plataformas) desde una perspectiva de la privacidad o analizando la información que el propio sistema puede estar revelando.
En el robo del Bono Familiar Universal, los delincuentes, al igual que muchos otros que hemos reportado en el pasado, no necesitaron vulnerar ninguna medida de seguridad, contraseña o firewall de RENIEC. Simplemente explotaron una función mal configurada del formulario que les daba toda la información que necesitaban. Es decir, empleando la información que tenían de las fichas RENIEC obtenidas ilícitamente, podían suplantar impunemente a un beneficiario pues no se exigía brindar alguna información que solo éstos podían conocer o tener a su alcance. Si quien desarrolló la plataforma hubiera pensado en este escenario, podría haber creado un formulario diferente, que impidiera este tipo de suplantación o cuando menos podría haber evitado que un mismo usuario desde un mismo dispositivo pudiera hacer múltiples consultas de beneficiarios.
Lo peor de esta emergencia es que es difícil contenerla. Primero, porque no existe información clara y accesible a los ciudadanos sobre cómo reportar este tipo de incidentes cuando se presentan. El Equipo de Respuesta ante Incidentes de Seguridad Digital del Perú (PECERT) de la Presidencia del Consejo de Ministros es lo más cercano que tenemos a una autoridad nacional sobre el tema. Aunque en los últimos meses ha sido el mejor enlace que hemos tenido en Hiperderecho para reportar incidentes, sigue siendo una instancia lejos del alcance de la mayoría de investigadores que conozco. Existe poca información pública sobre cómo reportar, qué esperar cuando se reporta y mucho menos sobre lo que pasa luego del reporte dentro de la entidad.
Es decir, no sólo se cometen errores sino que no tenemos la capacidad de admitirlos y aprender de ellos. Las entidades públicas no están preparadas para recibir reportes de ciberseguridad (que toman como críticas directas a su trabajo) y tampoco reconocen cuando se equivocan. Esto las condena a seguir repitiendo los mismos errores en perjuicio de todos los ciudadanos. En este caso, RENIEC prácticamente ha negado todo conocimiento del tema pese a que alguien dentro de su entidad ha tenido que trabajar en corregir el problema esta misma semana. A través de un comunicado en Twitter, la entidad ha dicho que los equipos periodísticos de ATV o El Comercio mienten. Esto no solo les impide identificar responsables directos y reconocer el aporte desinteresado de los investigadores, sino, sobre todo, poder entender sus errores y aprender de ellos. Cuando la modernización es una estrategia de publicidad, los problemas de seguridad digital se tratan como crisis reputacionales. ¿Qué mensaje queda para futuros investigadores que descubran vulnerabilidades?
Finalmente, este caso demuestra también que el mal llamado sistema de “identidad digital” en nuestro país está roto hace tiempo. La vulnerabilidad de la web del Bono Universal era doble: tecnológica, por un formulario mal configurado, pero también sistémica, porque usaba datos personales como si fuesen contraseñas. Para los delincuentes, dar con los números de DNI de potenciales beneficiarios, su fecha de emisión o los nombres de sus padres era posible porque esta es información que RENIEC comercializa legalmente y ha sido accedida y copiada por muchos, desde hace mucho tiempo, sin que nadie lo impida. Incluso, por acción u omisión, muchos de los datos personales de beneficiarios de otros programas del Estado ya era de libre acceso en Internet.
La falacia fundacional de RENIEC es que mientras más sepamos el uno del otro seremos un país más seguro. Pero este caso nos enseña también todo lo que puede salir mal cuando la información que nos identifica o hace identificables está en manos de muchas personas y se trata de forma poco segura. En los últimos años, la respuesta institucional a esta crisis ha sido aumentar la cantidad de datos personales que se tienen de nosotros, y no reducirla. Un camino sin retorno que pone en riesgo nuestra seguridad y patrimonio, que esta vez golpeó a quienes más le necesitaban.
Este artículo es parte de nuestra serie especial sobre la emergencia del Covid-19 y nuestros derechos digitales. Síguenos en Facebook, Twitter e Instagram para a recibir nuestro análisis más reciente.
Foto: Ministerio de Desarrollo e Inclusión Social
Director Ejecutivo (2013-2021)
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
Qué solución le darán a los afectados por suplantación hasta ahora veo que el estado no se pronuncia
Hago la misma pregunta que el sr. Raúl.
Que solución darán para los que fueron suplantados en el segundo bono yo me quedo en casa?
Que hago para poder recuperar se acaban de enscribir con mis datos así dos días y mi DNI estaba en la RENIEC y soy benificiada con el bono donde puedo llamar
Buenas tardes yo fui BENEFICIARIA DEL BONO RURAL y desgraciadamente alguien se pasó de vivo y me suplantaron y dieron mis datos lo datos de mis padres y no se k número de celular habrán brindado. Y ahora yo quedo en el aire triste y ahora lo peor es k habrá una segunda vuelta de entregar ese bono rural y tengo miedo de k nuevamente esa persona me vuelva a SUPLANTAR. X favor ayúdenme k debo hacer 😭
Amiga t ayudaron en tu caso de t bono?
Ami dos meses que no me llega el código creo que me suplantaron ya di mi queja ala web de la nación y nada
Como saber si fuimos suplantado y cobraron en nuestro nombre
Hay una pagina extraña tambien de yomequedoencasa que tambien piden los datos , deberian investigar eso
Hola al igual qtodos me robaron en segundo nunca pude cobrarlo yame abisaron ya cobre nunca cobre nada como se puede hacer en esto caso el delincuente cobrara el tercer bono.soy benificiera del bono yome quedo en casa xfavor como se puede hacer en este casa.
Yo no cobre mi bono pero ahi me.sale q mandaron los codigos a un celular q registraron pero no me.llego nada donde puedo reclmar o hacer mi denuncia
a mi me sale que cobre y nunca cobre ni un sol ..ya hice mi denuncia y no hay ninguna respuesta en la pagina del gobierno que puedo hacer , donde puedo denunciar en este caso ayuda por favor …
Ami me toco el bono ..y nunca me llegó el mensaje ni la clave ..alguien a robado mis datos y mi bono ..también quedé en el ahire que ago alguna solución por favor ..dónde puedo reclamar
Buenas noches fui beneficiario del bono universal pero yo nunca me registré y ahora aparece que ya cobraron yo necesito ese plata ayuden por favor como puedo saber quién cobro ese bono yo no cobré
Ola lo mismo me paso ami jamas cobre ese dinero como podemos saber kien los cobra supongo k existira un baucher y la fecha en k cobraron.. cuando tomaran en cuenta nuestros casos lo peor esk va ah seguir pasando lo mismo a nosotros tbn agannos caso me disen para registrarme nuevamente cuando no sikier esa pagina no sirve….k triste k otro disfrute ese dinero k nos hace falta a nosotras tbn…
Yo igual no cobre mi bono ayi me sale q mandaron los codigos a un celular q registraron mis datos y ami no me yego nada como puedo aser para denunciar
Yo no cobre mi bono pero ayi me sale q me mandaron los codigos aun celular que
registraron mis datos .ami no me meyego nada como puedo hacer la denuncia
Hola igual a mi tb me sale que ya cobre y no cobre nada.. Nunca me llego la clave ni nada.. Solo cuando entraba a la pagina decía dentro de los próximos días le estaremos mandando su clave así me salía hazta ayer y hoy entro y me dice que ya cobre y no cobre nada.. Quien nos va dar solución a este robo xk yo en realidad lo necesito soy viuda con un bebito de u año estaba esperanzada no puede ser posible que pase esto..
E sido beneficiada al bono y me dijeron que enviara a mi celular el código y nunca llego y para colmo dice que ya hice el retiro del bono,que puedo hacer suplantaron mi identidad donde puedo hacer la denuncia .
Hola ami también me suplantaron yo era benefisaria del 2do bono familiar y nunca me llegó la clave y dentro de nuevo y me dicen que ya recogí y que ya no es necesario que valla al banco ..pues yo también quisiera una ayuda .Y seria mejor que ya no estén dando dinero por clave mejor ir uno mismo a recoger con su dni y poner su huella digital asi ya no nos suplantar a nadie ..
Hola. Lo mismo le paso a mi hermana con el bono familiar universal en la consulta sale que ya cobro. ¿Donde podemos hacer el reclamo?
ami también me pasa lo mismo yo estaba esperando la clave y nunca me llegó pero ahora me sale que ya cobre pido información y nadie me la da yo soy beneficiario del bono universal familiar
Que hago para poder recuperar se acaban de enscribir con mis datos así dos días y mi DNI estaba en la RENIEC y soy benificiada con el bono donde puedo llamar
buenas tardes soy el padre victor calderon con telefono 921860547 seria bueno agruparles para hacer una denuncia ante la prensa mi sobrino fue victima de esta estafa los delincuientes estan dentro de las instituciones del estado ya sea reniec banco de la nacion o ministerio de trabajo les ruego unamos fuerza se biene el otro bono y los ladrones estan listos para seguir robando
Buenos Días mi caso es distinto yo no soy beneficiaria de ningún bono pongo mi numero en las página web del bono y me sale que no soy beneficiaria , pero sin embargo para el ministerio de trabajo figura que yo he recibido un bono , como me di cuenta de esto, lo que pasa es que estoy tramitando la suspencion perfecta y es ahí que me sale que no puedo acceder a ese beneficio porque yo ya cobre un bono cosa que no es cierto. No solo me paso a mi, a tres compañeras más de mi trabajo donde podemos reclamar y poner la denuncia así cuantas personas más estarán en nuestra situación y ni enteradas del caso . Nosotros nos dimos cuentas porque empezamos hacer este trámite pero si no lo realizabamos ni cuenta nos hubiéramos dado . Necesito saber donde podemos registrar la denuncia y el reclamo.