Este 5 de febrero celebraremos el Día Mundial del Internet Seguro. El objetivo de esta fecha es es promover y debatir sobre la necesidad de tener un Internet que ofrezca más seguridad para todas las personas, en especial para las niñas, niños y adolescentes. Para la celebración de este año, se ha elegido el tema: “Juntxs podemos hacer una Internet mejor”.
Desde Hiperderecho, queremos aportar al debate en la región sobre qué mecanismos hacen un Internet más seguro. Nosotros creemos que la tecnología es una herramienta con gran potencial para desarrollar oportunidades y mejorar capacidades de todas las personas. Sin embargo, somos conscientes que existen una serie de amenazas y barreras que limitan que grupos en situaciones de vulnerabilidad puedan aprovechar al máximo este potencial. Es en el espacio entre estas dos fuerzas que nuestro trabajo se orienta a entender y proponer ideas sobre cómo mejorar el equilibrio de fuerzas y representaciones en línea.
Únete a nuestra conversación en Twitter este 5 de febrero a las 11:00 am. Estaremos usando los hashtags #InternetSeguro, #DíaDelInternetSeguro y #SID2019 para conversar sobre privacidad, seguridad y violencia de género en línea.
Taller gratuito de seguridad en Twitter
Además, el jueves 7 de febrero, de 5:30pm – 7:30pm, estaremos realizando un taller gratuito para la comunidad local sobre seguridad digital a cargo de nuestros amigos de Twitter donde desarrollaremos temas como:
Por qué usar Twitter
Buenas prácticas de seguridad en Twitter
Las reglas de seguridad y privacidad en Twitter
Herramientas de seguridad de Twitter
Si te interesa participar, inscríbete en este formulario y te enviaremos los detalles del lugar. Solo hay cupos para diez (10) personas. La participación es completamente gratuita.
Somos una organización sin fines de lucro que cree que la tecnología es una herramienta de liberación social y trabaja para defenderla de cualquiera que la ponga en riesgo.
Esta semana se habló mucho sobre cómo se almacena nuestra información dentro de las empresas de telecomunicaciones. A propósito del caso del registro de llamadas que Telefónica tendría de Keiko Fujimori, vale la pena entender qué tipo de información se encuentra bajo el poder de estas empresas y bajo qué reglas se trata.
A través de una nota periodística, supimos que hace unos meses Telefónica se negó a cumplir con dos órdenes judiciales que la obligaban a entregar la información del tráfico de llamadas de ciertas líneas de la ex candidata. La negativa de la empresa se sustentaba en que la información solicitada comprendía registros de un plazo mayor al que legalmente se debía conservar (tres años) y, por ende, no contaba con la misma. Sin embargo, una trabajadora de la empresa del área encargada de responder a las autoridades descubrió en su momento que esta información sí existía en el sistema y ahora denuncia que la empresa negó el acceso de forma deliberada. Posteriormente, en algo que Telefónica ha repetido esta semana, se supo que la empresa siempre tuvo la información solicitada.
Ante ello, caben hasta tres lecturas de los hechos. La primera, propuesta por la nota periodística, es que Telefónica tendría algún motivo político particular para negar el acceso a esta información. Esto significa que simplemente usó como excusa el plazo legal con un fin ulterior: encubrir a Keiko Fujimori. Aunque es posible, creo que esta teoría es la menos interesante para aprender más sobre nuestros derechos como usuarios. Sin descartarla, vamos a dejar esta lectura a un lado para explorar otras dos posibles explicaciones de los mismos hechos.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
Un reciente comunicado de la Asociación Peruana de Consumidores y Usuarios de Perú (ASPEC) invitaba a los peruanos a no proporcionar su número de Documento Nacional de Identidad (DNI) al comprar en establecimientos comerciales. La nota señala que dicha exigencia es ilegal, salvo cuando se busca deducir el gasto para fines tributarios o en transacciones mayores a 700 soles. A propósito de esto, nos parece que vale la pena pensar qué pasa cuando elegimos entregar nuestro número de documento.
La razón más frecuente por la cual alguien entrega su número de DNI a un comercio es para participar en programas de lealtad o de puntos. Para ello también podríamos usar una tarjeta con sellos, un código especial o cualquier otra credencial física o virtual, pero es probable que a veces la dejemos en casa u olvidemos el número y perdamos sus beneficios. En realidad, resulta más fácil usar un número que de todas maneras ya hemos memorizado y que se encuentra en un documento que es casi obligatorio portar cada vez que salimos. Pero entonces, cuando entregamos el número de DNI ¿a qué renunciamos en favor de esta conveniencia?
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
Hace unos meses la congresista Estelita Bustos presentó un nuevo Proyecto de Ley en el Congreso para crear el portal web del Registro Nacional de acceso público para difundir la información de las personas desaparecidas. Mediante esta iniciativa se busca reemplazar un sitio web que actualmente es inaccesible y facilitar la labor de las autoridades, además de ofrecer herramientas a la ciudadanía para contribuir con la búsqueda e identificación de las víctimas.
¿Qué propone?
El Proyecto de Ley N° 02875/2017-CR propone crear un portal web del Registro Nacional de Personas Desaparecidas que sea de acceso público para difundir la información de las personas desaparecidas y/o extraviadas, menores o adultas y las fallecidas no identificadas con la denominación de “NN.” También incluye a las personas internadas en nosocomios o institutos de salud mental y los que se encuentren privados de su libertad o no disciernen su identificación, con el fin de su inmediata localización.
En las próximas elecciones municipales de octubre, ONPE implementará el Voto Electrónico Presencial, reemplazando la tradicional cédula de papel con tablets. En esta segunda entrega de nuestra serie sobre el VEP, hablaremos de los problemas técnicos que hemos detectado.
El mes pasado publicamos nuestro reporte Identidad Biométrica en Perú, una indagación legal y tecnológica sobre cómo funcionan los sistemas de identificación digital en nuestro país. Una de las cosas que investigamos fue cómo funcionaba el sistema de consultas en línea de Registro Nacional de Identificación y Estado Civil (RENIEC), la autoridad de identificación de Perú. Lo que descubrimos fue un negocio público y claro en torno a permitir el acceso a nuestra información personal. Un arreglo comercial que no necesariamente se traduce en más seguridad o trámites más simples para los ciudadanos.
Todos sabemos que RENIEC tiene nuestra información completa incluyendo nombres, fecha de nacimiento, sexo, domicilio, nombres de padres y madres, entre otros. Al mismo tiempo, hemos visto las fichas RENIEC en la televisión o los periódicos. Sin embargo, sabemos poco sobre quiénes pueden consultar la información del Archivo Nacional de Identificación, en qué casos y bajo qué condiciones.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
La semana pasada la ONPE anunció públicamente una hackathon sobre el voto electrónico, pero en el formulario de inscripción acabó exponiendo el nombre, fecha de nacimiento y número de todos los DNIs del Perú.
La hackathon de la ONPE
El 7 de junio, la ONPE anunció la organización de su hackathon 2018 con el título «DESAFIANDO LA SOLUCIÓN DEL VOTO ELECTRÓNICO PRESENCIAL». Según las bases del concurso, el objetivo es «…aportar en el mejoramiento de la gestión pública a través del desarrollo de soluciones tecnológicas electorales.», pero según la nota de prensa el objetivo es «fomentar soluciones tecnológicas en la gestión pública, el intercambio académico y cultural bajo un enfoque de ideas innovadoras en beneficio de los ciudadanos y la difusión de mecanismos de seguridad del Voto Electrónico Presencial, como una solución tecnológica electoral confiable.»
Sin embargo, el video de difusión parece describir un evento exclusivamente de seguridad, para poner a prueba la implementación del voto electrónico presencial:
Confundidos por estos mensajes contradictorios, decidimos investigar los requisitos de inscripción para aprovechar lo que parecía ser una oportunidad de interactuar con los equipos técnicos de ONPE y del voto electrónico.
El problema de seguridad en la inscripción
Para inscribirse en el evento es necesario escoger un nombre de equipo y luego registrar a tres integrantes para ese equipo. Lo interesante es que el formulario no pide nombres, edades, de hecho no pide ningún ingreso de información personal. Lo único que pide es el número de DNI de los participantes.
El formulario de inscripción de la hackathon de ONPE. Como ejemplo, nuestro primer integrante es el DNI del Presidente Vizcarra.
Luego de ingresar el DNI de un integrante, el sistema indica que presionemos «VALIDAR» para cargar los datos de la persona, en este ejemplo hemos usado el DNI del Presidente Vizcarra. Curiosamente, alguien ya ha registrado el DNI del ex presidente PPK.
Al presionar «VALIDAR», el sistema carga el nombre, sexo, y si la persona es mayor de edad.
Luego de presionar el botón de «VALIDAR», el sistema carga los datos del DNI ingresado.
Este formulario de inscripción carga (o cargaba) la información desde una dirección de la siguiente forma:
http://hackathon.pe/hackathon_ve/person/04412417
En esa dirección, el sistema respondía con la información de dicho DNI en el formato de datos JSON:
Los datos del Presidente Vizcarra en JSON, un formato de intercambio de datos muy usado en programación web.
Esta dirección puede (o podía) ser consultada sin necesidad de identificarse con algún tipo de usuario, ni romper algún tipo de seguridad, ni nada por el estilo. Es una dirección públicamente accesible, sin ningún control de acceso, repeticiones, ni nada por el estilo.
La descarga masiva de datos
Tal como la última vez que reportamos este tipo de problemas, decidimos revisar si era posible abusar de este error de manera automatizada y de esa forma descargar la información de cientos de personas sin mayor esfuerzo, y potencialmente la de millones de personas.
Confirmamos rápidamente que no había ningún tipo de limitación o seguridad asociada a esta dirección web, así que decidimos crear una prueba de concepto, es decir, un programa sencillo que demuestre la vulnerabilidad de forma sencilla.
Luego de una mañana de trabajo y pruebas, desarrollamos una aplicación que demostraba cómo era posible descargar automáticamente estos datos y convertirlos en un archivo de Microsoft Excel, o sea, una hoja de cálculo, una base de datos con nombres, fechas de nacimiento y números de DNI.
Una pequeña muestra del archivo Excel generado en unos segundos.
En el siguiente video pueden ver cómo en menos de treinta segundos logramos descargar la información de cincuenta personas, y archivarla en formato Excel, todo esto sin intervención humana, es decir, de manera completamente automática.
VIDEO JSON
Nuestro reporte
HISTORIA DE COMO LO REPORTAMOS
Preocupación permanente
Nuestra preocupación sobre cómo se usan nuestros datos en el Estado vuelve a confirmarse. Este tipo de aplicaciones, hechas sobre la marcha y sin mayor cuidado, parecen muy simples pero acaban generando vulnerabilidades y agujeros de seguridad que exponen información de todos los peruanos.
Nos preocupa que con el objetivo de aparentar modernidad, este tipo de problemas sigan apareciendo. En el caso concreto de esta inscripción, quizá un formulario de Google Forms hubiese sido suficiente, pero sin duda menos «impresionante».
Seguiremos vigilando este tipo de iniciativas y sus inevitables errores.
En una nota de Hernán Medrano aparecida en diario El Comercio días después de nuestro reporte, se recoge la respuesta de Danilo Chávez, gerente de Tecnología de la Información del RENIEC. En sus descargos, el funcionario señala que RENIEC solo creó la plataforma Padrón Nominal pero que quien la maneja es el Ministerio de Salud. Esto no contraviene el reporte de Hiperderecho porque el error que encontramos y denunciamos es un error en el diseño del sistema informático, no en su operación. La razón por la cual cualquier persona podía descargar la fotografía del DNI de millones de peruanos digitando una dirección web era porque cuando se programó la plataforma se dejó abierta por error esa ruta. En su calidad de operador del sistema, no hay nada que el Ministerio de Salud pudo haber hecho para cambiarlo. Afirmar lo contrario es el equivalente a decir que una falla estructural en una vivienda es responsable de sus habitantes y no de sus constructores porque ellos son quienes viven ahí.
Así mismo, el Gerente de Tecnología de la Información de RENIEC también declaró a El Comercio que:
Este padrón, al que solo tienen acceso 1.940 entidades del sector público, no permite que nadie ingrese a la base de datos del Reniec. Lo que pasó es que alguien de los 6 mil usuarios le ha dado un mal uso al sistema y ha brindado su contraseña, permitiendo que un tercero tenga acceso a las fotos de los menores.
Este es el extremo más preocupante de las declaraciones de RENIEC. En pocas palabras, señala que la vulnerabilidad en el sistema que encontramos y reportamos nunca existió. Por el contrario, sostiene que lo único que pasó es que se obtuvo la contraseña de un usuario legítimo del sistema. Como se aprecia en el video que publicamos, nada más lejos de la verdad.
La vulnerabilidad permitía a cualquier persona, desde cualquier punto del país, usar una dirección web de RENIEC para obtener la fotografía de cualquier peruano, mayor o menor de edad, solo usando su número de DNI. La página web que se aprecia en el video es una “prueba de concepto” realizada por Hiperderecho para convertir un número de DNI en una línea de Base64, el sistema público usado por RENIEC para escribir las direcciones web. Algo tan al alcance de cualquier persona que existen decenas de herramientas en línea que te permiten hacer esta conversión. En el video también se aprecia la ruta web completa que se podía usar para obtener la fotografía. Nada de esto implica usar un nombre de usuario o contraseña o llevar a cabo alguna actividad de fuerza bruta contra los sistemas de ONPE. Por ende, negamos tajantemente lo señalado por RENIEC y nos reafirmamos: la vulnerabilidad sí existió y fue responsabilidad de quien programó el sistema.
Pero creo que la lección principal es otra y tiene que ver con cómo el Estado reacciona a problemas de seguridad informática. Todo sistema informático, incluyendo los del Estado, puede tener errores. Las empresas privadas, por ejemplo, reconocen esto y tienen programas de reconocimiento a quienes encuentran errores y los reportan de la forma en la que nosotros lo hicimos. La lógica es que se los reporten a las empresas en lugar de venderlos a terceros que pueden explotarlos para robar información. Nuestro Estado, por el contrario, no solo no tiene mecanismos formales para el reporte sino que deliberadamente evita documentarlos y su primera reacción es siempre negar que alguna vez sucedieron. Con estas prácticas, no sería sorprendente que para muchos otros programadores y investigadores resulte más interesante simplemente publicar sus hallazgos en foros o páginas de Facebook para obtener reconocimiento. Peor todavía, podrían optar por vender estos secretos en el mercado negro a quienes puedan explotarlos que reportarlos al Estado. Si queremos empezar a pensar en un país más moderno y digital, tenemos necesariamente que entender estos equilibrios y aprender a lidiar con estos problemas.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
A fines del año pasado, en Hiperderecho iniciamos un proyecto que buscaba preguntarse sobre el desarrollo de una de las tecnologías más empleadas en la actualidad para la verificación de la identidad: la biometría. Nuestro objetivo era conocer cuál era el estado de desarrollo de esta tecnología en el país, qué actores relevantes intervienen en este ecosistema y cuáles son los escenarios de oportunidad y de riesgo que existen tanto en el sector público como privado.
Como parte de las actividades del proyecto, empezamos buscando qué se había escrito o investigado sobre el tema antes. Sin embargo, pronto nos dimos cuenta que la investigación independiente en estos temas es prácticamente nula en el Perú. No obstante, no es que no existiera información al respecto. De hecho, existía bastante pero la mayor parte eran normas, manuales, guías y otros documentos de trabajo de una sola entidad del Estado, que parecía ejercer un control casi exclusivo sobre el uso de la biometría: el Registro Nacional de Identificación y Estado Civil (RENIEC).
