En las próximas elecciones municipales de octubre, ONPE implementará el Voto Electrónico Presencial, reemplazando la tradicional cédula de papel con tablets. En esta segunda entrega de nuestra serie sobre el VEP, hablaremos de los problemas técnicos que hemos detectado.
Ex Director de Tecnología (2017-2019)
Comunicador Social de la Universidad de Lima. Antes colaborador en GNOME, Debian, WebKit.
El mes pasado publicamos nuestro reporte Identidad Biométrica en Perú, una indagación legal y tecnológica sobre cómo funcionan los sistemas de identificación digital en nuestro país. Una de las cosas que investigamos fue cómo funcionaba el sistema de consultas en línea de Registro Nacional de Identificación y Estado Civil (RENIEC), la autoridad de identificación de Perú. Lo que descubrimos fue un negocio público y claro en torno a permitir el acceso a nuestra información personal. Un arreglo comercial que no necesariamente se traduce en más seguridad o trámites más simples para los ciudadanos.
Todos sabemos que RENIEC tiene nuestra información completa incluyendo nombres, fecha de nacimiento, sexo, domicilio, nombres de padres y madres, entre otros. Al mismo tiempo, hemos visto las fichas RENIEC en la televisión o los periódicos. Sin embargo, sabemos poco sobre quiénes pueden consultar la información del Archivo Nacional de Identificación, en qué casos y bajo qué condiciones.
Ex Director Ejecutivo (2013-2021)
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
La semana pasada la ONPE anunció públicamente una hackathon sobre el voto electrónico, pero en el formulario de inscripción acabó exponiendo el nombre, fecha de nacimiento y número de todos los DNIs del Perú.
El 7 de junio, la ONPE anunció la organización de su hackathon 2018 con el título «DESAFIANDO LA SOLUCIÓN DEL VOTO ELECTRÓNICO PRESENCIAL». Según las bases del concurso, el objetivo es «…aportar en el mejoramiento de la gestión pública a través del desarrollo de soluciones tecnológicas electorales.», pero según la nota de prensa el objetivo es «fomentar soluciones tecnológicas en la gestión pública, el intercambio académico y cultural bajo un enfoque de ideas innovadoras en beneficio de los ciudadanos y la difusión de mecanismos de seguridad del Voto Electrónico Presencial, como una solución tecnológica electoral confiable.»
Sin embargo, el video de difusión parece describir un evento exclusivamente de seguridad, para poner a prueba la implementación del voto electrónico presencial:
Confundidos por estos mensajes contradictorios, decidimos investigar los requisitos de inscripción para aprovechar lo que parecía ser una oportunidad de interactuar con los equipos técnicos de ONPE y del voto electrónico.
Para inscribirse en el evento es necesario escoger un nombre de equipo y luego registrar a tres integrantes para ese equipo. Lo interesante es que el formulario no pide nombres, edades, de hecho no pide ningún ingreso de información personal. Lo único que pide es el número de DNI de los participantes.
Luego de ingresar el DNI de un integrante, el sistema indica que presionemos «VALIDAR» para cargar los datos de la persona, en este ejemplo hemos usado el DNI del Presidente Vizcarra. Curiosamente, alguien ya ha registrado el DNI del ex presidente PPK.
Al presionar «VALIDAR», el sistema carga el nombre, sexo, y si la persona es mayor de edad.
Si han leído nuestro blog recientemente ya deben estar sospechando cómo acaba esto. Especialmente si han leído nuestro reporte sobre cómo RENIEC expuso la fotografía de todos los DNIs del Perú.
Este formulario de inscripción carga (o cargaba) la información desde una dirección de la siguiente forma:
http://hackathon.pe/hackathon_ve/person/04412417
En esa dirección, el sistema respondía con la información de dicho DNI en el formato de datos JSON:
Esta dirección puede (o podía) ser consultada sin necesidad de identificarse con algún tipo de usuario, ni romper algún tipo de seguridad, ni nada por el estilo. Es una dirección públicamente accesible, sin ningún control de acceso, repeticiones, ni nada por el estilo.
Tal como la última vez que reportamos este tipo de problemas, decidimos revisar si era posible abusar de este error de manera automatizada y de esa forma descargar la información de cientos de personas sin mayor esfuerzo, y potencialmente la de millones de personas.
Confirmamos rápidamente que no había ningún tipo de limitación o seguridad asociada a esta dirección web, así que decidimos crear una prueba de concepto, es decir, un programa sencillo que demuestre la vulnerabilidad de forma sencilla.
Luego de una mañana de trabajo y pruebas, desarrollamos una aplicación que demostraba cómo era posible descargar automáticamente estos datos y convertirlos en un archivo de Microsoft Excel, o sea, una hoja de cálculo, una base de datos con nombres, fechas de nacimiento y números de DNI.
En el siguiente video pueden ver cómo en menos de treinta segundos logramos descargar la información de cincuenta personas, y archivarla en formato Excel, todo esto sin intervención humana, es decir, de manera completamente automática.
VIDEO JSON
HISTORIA DE COMO LO REPORTAMOS
Nuestra preocupación sobre cómo se usan nuestros datos en el Estado vuelve a confirmarse. Este tipo de aplicaciones, hechas sobre la marcha y sin mayor cuidado, parecen muy simples pero acaban generando vulnerabilidades y agujeros de seguridad que exponen información de todos los peruanos.
Nos preocupa que con el objetivo de aparentar modernidad, este tipo de problemas sigan apareciendo. En el caso concreto de esta inscripción, quizá un formulario de Google Forms hubiese sido suficiente, pero sin duda menos «impresionante».
Seguiremos vigilando este tipo de iniciativas y sus inevitables errores.
Ex Director de Tecnología (2017-2019)
Comunicador Social de la Universidad de Lima. Antes colaborador en GNOME, Debian, WebKit.
Como parte de nuestra investigación sobre Identidad Biométrica en Perú, reportamos que hace unos meses habíamos descubierto y reportado un filtrado de datos personales que exponía las fotografías del documento de identidad de todos los ciudadanos peruanos. La vulnerabilidad, que fue solucionada luego del reporte inicial de Hiperderecho en abril, estaba contenida en el Sistema Padrón Nominal desarrollado por el Registro Nacional de Identificación y Estado Civil (RENIEC) para uso del Ministerio de Salud.
En una nota de Hernán Medrano aparecida en diario El Comercio días después de nuestro reporte, se recoge la respuesta de Danilo Chávez, gerente de Tecnología de la Información del RENIEC. En sus descargos, el funcionario señala que RENIEC solo creó la plataforma Padrón Nominal pero que quien la maneja es el Ministerio de Salud. Esto no contraviene el reporte de Hiperderecho porque el error que encontramos y denunciamos es un error en el diseño del sistema informático, no en su operación. La razón por la cual cualquier persona podía descargar la fotografía del DNI de millones de peruanos digitando una dirección web era porque cuando se programó la plataforma se dejó abierta por error esa ruta. En su calidad de operador del sistema, no hay nada que el Ministerio de Salud pudo haber hecho para cambiarlo. Afirmar lo contrario es el equivalente a decir que una falla estructural en una vivienda es responsable de sus habitantes y no de sus constructores porque ellos son quienes viven ahí.
Así mismo, el Gerente de Tecnología de la Información de RENIEC también declaró a El Comercio que:
Este padrón, al que solo tienen acceso 1.940 entidades del sector público, no permite que nadie ingrese a la base de datos del Reniec. Lo que pasó es que alguien de los 6 mil usuarios le ha dado un mal uso al sistema y ha brindado su contraseña, permitiendo que un tercero tenga acceso a las fotos de los menores.
Este es el extremo más preocupante de las declaraciones de RENIEC. En pocas palabras, señala que la vulnerabilidad en el sistema que encontramos y reportamos nunca existió. Por el contrario, sostiene que lo único que pasó es que se obtuvo la contraseña de un usuario legítimo del sistema. Como se aprecia en el video que publicamos, nada más lejos de la verdad.
https://www.youtube.com/watch?v=-6-O97SQ8tI
La vulnerabilidad permitía a cualquier persona, desde cualquier punto del país, usar una dirección web de RENIEC para obtener la fotografía de cualquier peruano, mayor o menor de edad, solo usando su número de DNI. La página web que se aprecia en el video es una “prueba de concepto” realizada por Hiperderecho para convertir un número de DNI en una línea de Base64, el sistema público usado por RENIEC para escribir las direcciones web. Algo tan al alcance de cualquier persona que existen decenas de herramientas en línea que te permiten hacer esta conversión. En el video también se aprecia la ruta web completa que se podía usar para obtener la fotografía. Nada de esto implica usar un nombre de usuario o contraseña o llevar a cabo alguna actividad de fuerza bruta contra los sistemas de ONPE. Por ende, negamos tajantemente lo señalado por RENIEC y nos reafirmamos: la vulnerabilidad sí existió y fue responsabilidad de quien programó el sistema.
Pero creo que la lección principal es otra y tiene que ver con cómo el Estado reacciona a problemas de seguridad informática. Todo sistema informático, incluyendo los del Estado, puede tener errores. Las empresas privadas, por ejemplo, reconocen esto y tienen programas de reconocimiento a quienes encuentran errores y los reportan de la forma en la que nosotros lo hicimos. La lógica es que se los reporten a las empresas en lugar de venderlos a terceros que pueden explotarlos para robar información. Nuestro Estado, por el contrario, no solo no tiene mecanismos formales para el reporte sino que deliberadamente evita documentarlos y su primera reacción es siempre negar que alguna vez sucedieron. Con estas prácticas, no sería sorprendente que para muchos otros programadores y investigadores resulte más interesante simplemente publicar sus hallazgos en foros o páginas de Facebook para obtener reconocimiento. Peor todavía, podrían optar por vender estos secretos en el mercado negro a quienes puedan explotarlos que reportarlos al Estado. Si queremos empezar a pensar en un país más moderno y digital, tenemos necesariamente que entender estos equilibrios y aprender a lidiar con estos problemas.
Ex Director Ejecutivo (2013-2021)
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
A fines del año pasado, en Hiperderecho iniciamos un proyecto que buscaba preguntarse sobre el desarrollo de una de las tecnologías más empleadas en la actualidad para la verificación de la identidad: la biometría. Nuestro objetivo era conocer cuál era el estado de desarrollo de esta tecnología en el país, qué actores relevantes intervienen en este ecosistema y cuáles son los escenarios de oportunidad y de riesgo que existen tanto en el sector público como privado.
Como parte de las actividades del proyecto, empezamos buscando qué se había escrito o investigado sobre el tema antes. Sin embargo, pronto nos dimos cuenta que la investigación independiente en estos temas es prácticamente nula en el Perú. No obstante, no es que no existiera información al respecto. De hecho, existía bastante pero la mayor parte eran normas, manuales, guías y otros documentos de trabajo de una sola entidad del Estado, que parecía ejercer un control casi exclusivo sobre el uso de la biometría: el Registro Nacional de Identificación y Estado Civil (RENIEC).
Ex Director de Políticas Públicas (2013-2020)
Bachiller en Derecho por la Universidad Nacional Mayor de San Marcos.
Ex Director de Tecnología (2017-2019)
Comunicador Social de la Universidad de Lima. Antes colaborador en GNOME, Debian, WebKit.
Este mes les presentamos la guía para sexting seguro, un proyecto desarrollado por la Liga Juvenil de Defensa de la Internet de Hiperderecho. Esta guía gratuita buscar brindar consejos sobre cómo enviar y recibir mensajes con material íntimo sin vulnerar la privacidad y seguridad de ninguno de los participantes.
El proyecto nace como una iniciativa de La Liga Juvenil para identificar cómo la tecnología puede ayudar a mejorar la vida de un estudiante promedio. Nuestra idea fue reunir a un grupo diverso de estudiantes universitarios para entender cómo se relacionan con la tecnología y cómo ésta facilita o dificulta su vida diaria. En este contexto, una de las principales barreras para el libre uso de la tecnología por estudiantes es el ciberacoso.
Ex Directora de Investigación (2018 – 2021)
Bachiller en Desarrollo Internacional y Sociología por la Universidad de Toronto (Canadá).
Privacidad y protección de datos personales son temas que vienen siendo muy discutidos durante los últimos días. El escándalo que protagonizó Facebook y Cambridge Analytica reabrió un debate que nunca debió haberse ido. Cómo las empresas manejan los datos personales de sus usuarios.
En el Perú, existe una ley y una dirección que ordena todo eso. La ley de protección de datos personales y la dirección nacional de transparencia y protección de datos personales, dependiente del ministerio de justicia y derechos humanos. Entre otras cosas, esta ley obliga a las entidades que procesan datos personales a publicar una política de privacidad para informar a sus usuarios cuáles son sus derechos, cuál es la finalidad o propósito del tratamiento de sus datos o informarles dónde van a estar almacenados.
Como obligación específica, obliga a las empresas de telecomunicaciones a velar por la confidencialidad, seguridad, uso adecuado e integridad de los datos personales que obtengan de sus abonados y usuarios. Además, prescribe que no podrán hacer un uso de esos datos distinto al que el usuario permitió. Sin embargo, esta obligación puede excepcionarse si la empresa recibe una orden judicial o de autoridad competente. Entonces, ¿qué hace una empresa de telecomunicaciones cuando recibe una orden judicial solicitando información confidencial sobre un usuario? Leer más
Ex Director de Proyectos (2016-2018)
Abogado por la Universidad Blas Pascal de Córdoba (Argentina) y la Pontificia Universidad Católica del Perú. Candidato a Máster en Derecho y Tecnología por la Universidad de Tilburg (Holanda).
Desde hace unos meses, el término pornografía de venganza o porno venganza ha cobrado gran importancia en el país. No por casos específicos, de los que tenemos noticia siempre, sino por la propuesta de dos Proyectos de Ley que buscan penalizar esta actividad.
Cuando hablamos de pornografía no consentida nos estamos refiriendo a la difusión de material audiovisual y/o gráfico (video, fotos, grabaciones de voz, etc.) de carácter erótico o sexual, que sin la autorización de la(s) persona(s) involucrada(s) se divulga por algún medio. Es importante resaltar que mayormente quien realiza la distribución de este material es alguien que hizo el registro o que lo recibió de él, en un contexto de privacidad y con la intención de que permanezca así. Sin embargo, esta difusión también puede ser realizada por cualquier persona que tenga acceso al material.
Ex Directora de Activismo (2018 – 2021)
Comunicadora para el Desarrollo de la Pontificia Universidad Católica del Perú. Máster en Estudios de la Mujer en la Unviersidad de Ottawa (Canadá).
Han pasado más de dos meses desde que salió la noticia de que la SUNAT comenzaría a revisar los perfiles públicos de redes sociales para fiscalizar la evasión tributaria. Desde entonces, no ha existido ninguna novedad al respecto. Ningún influencer ha sido detenido y los viajes a Dubai de los famosos continúan, lo que parecería indicar que la declaración no tuvo mayor efecto. Como lo anunciamos al inicio, en Hiperderecho decidimos enviar una solicitud de acceso a la información para conocer más del asunto y la respuesta que obtuvimos te sorprenderá.
Ex Director de Políticas Públicas (2013-2020)
Bachiller en Derecho por la Universidad Nacional Mayor de San Marcos.
