En las próximas elecciones municipales, ONPE implementará el Voto Electrónico Presencial, cambiando las cédulas de papel por tablets. En esta segunda parte de nuestra serie sobre el VEP, hablaremos de algunos de los problemas técnicos que hemos encontrado.
Este año, como anticipo de las elecciones municipales, ONPE ha puesto en práctica recursos de comunicación y publicidad para reforzar una idea clave: que el voto electrónico es seguro y está a prueba de “masivos ataques cybernéticos” (ver campaña de la Hackathon). Sin embargo, en nuestra investigación no hemos encontrado la evidencia necesaria para apoyar esas ideas.
El mes pasado publicamos nuestro reporte Identidad Biométrica en Perú, una indagación legal y tecnológica sobre cómo funcionan los sistemas de identificación digital en nuestro país. Una de las cosas que investigamos fue cómo funcionaba el sistema de consultas en línea de Registro Nacional de Identificación y Estado Civil (RENIEC), la autoridad de identificación de Perú. Lo que descubrimos fue un negocio público y claro en torno a permitir el acceso a nuestra información personal. Un arreglo comercial que no necesariamente se traduce en más seguridad o trámites más simples para los ciudadanos.
Todos sabemos que RENIEC tiene nuestra información completa incluyendo nombres, fecha de nacimiento, sexo, domicilio, nombres de padres y madres, entre otros. Al mismo tiempo, hemos visto las fichas RENIEC en la televisión o los periódicos. Sin embargo, sabemos poco sobre quiénes pueden consultar la información del Archivo Nacional de Identificación, en qué casos y bajo qué condiciones.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
Entre octubre del año pasado y junio de este año, los nombres, apellidos, fecha de nacimiento, sexo y edad de todos los peruanos mayores de edad fueron accesibles y descargables a través de la página web de la ONPE. Un error informático en el formulario de inscripción de su Hackaton del año pasado, repetido en su más reciente versión, permitía a cualquier usuario de Internet descargar todos nuestros datos personales sin vulnerar ninguna medida de seguridad ni levantar ninguna alerta en ONPE. Esta es la historia de cómo Hiperderecho descubrió el error, lo reportó a las autoridades y logró que se solucione, aunque la autoridad nunca reconoció su error.
El 7 de junio de este año la ONPE anunció la organización de su hackathon 2018 con el título “Desafiando la Solución del Voto Electrónico Presencial”. Su finalidad era invitar a grupos de estudiantes de ingeniería y computación a encontrar vulnerabilidades en los módulos de voto electrónico presencial que la entidad ha desarrollando y viene desplegando. En el contexto de la polémica implementación de este sistema, ONPE esperaba ganar un poco de legitimidad a través de este concurso. Nosotros decidimos investigar los requisitos de inscripción para aprovechar lo que parecía ser una oportunidad de interactuar con los equipos técnicos de la ONPE y del voto electrónico.
En una nota de Hernán Medrano aparecida en diario El Comercio días después de nuestro reporte, se recoge la respuesta de Danilo Chávez, gerente de Tecnología de la Información del RENIEC. Quiero dedicar esta entrada a responder objetivamente a sus declaraciones, que se refieren concretamente a nuestros hallazgos y la veracidad de lo reportado. Creemos que este es el tipo de conversaciones públicas sobre seguridad digital que nuestra comunidad necesita.
En sus descargos, el funcionario señala que RENIEC solo creó la plataforma Padrón Nominal pero que quien la maneja es el Ministerio de Salud. Esto no contraviene el reporte de Hiperderecho porque el error que encontramos y denunciamos es un error en el diseño del sistema informático, no en su operación. La razón por la cual cualquier persona podía descargar la fotografía del DNI de millones de peruanos digitando una dirección web era porque cuando se programó la plataforma se dejó abierta por error esa ruta. En su calidad de operador del sistema, no hay nada que el Ministerio de Salud pudo haber hecho para cambiarlo. Afirmar lo contrario es el equivalente a decir que una falla estructural en una vivienda es responsable de sus habitantes y no de sus constructores porque ellos son quienes viven ahí.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
A fines del año pasado, en Hiperderecho iniciamos un proyecto que buscaba preguntarse sobre el desarrollo de una de las tecnologías más empleadas en la actualidad para la verificación de la identidad: la biometría. Nuestro objetivo era conocer cuál era el estado de desarrollo de esta tecnología en el país, qué actores relevantes intervienen en este ecosistema y cuáles son los escenarios de oportunidad y de riesgo que existen tanto en el sector público como privado.
Como parte de las actividades del proyecto, empezamos buscando qué se había escrito o investigado sobre el tema antes. Sin embargo, pronto nos dimos cuenta que la investigación independiente en estos temas es prácticamente nula en el Perú. No obstante, no es que no existiera información al respecto. De hecho, existía bastante pero la mayor parte eran normas, manuales, guías y otros documentos de trabajo de una sola entidad del Estado, que parecía ejercer un control casi exclusivo sobre el uso de la biometría: el Registro Nacional de Identificación y Estado Civil (RENIEC).
Bachiller en Derecho por la Universidad Nacional Mayor de San Marcos. Además, es Vice Presidente de Internet Society Perú y fundador del Youth Observatory.
A mediados de abril encontramos y reportamos que un problema en una web de RENIEC permitía descargar la foto de todos los DNIs del Perú, de manera sencilla y automática. Todo esto, sin sonar ninguna alarma o esquivar la seguridad del sistema.
Este mes les presentamos la guía para sexting seguro, un proyecto desarrollado por la Liga Juvenil de Defensa de la Internet de Hiperderecho. Esta guía gratuita contiene consejos para enviar y recibir mensajes con material sexualmente explícito sin vulnerar la privacidad y seguridad de ninguno de los participantes.
El problema: Combatiendo el ciberacoso
El proyecto es una iniciativa de los miembros de la Liga Juvenil de Defensa de Internet para identificar cómo la tecnología puede mejorar la vida de un estudiante promedio. Uno de los principales problemas que identificaron fue el ciberacoso, en especial el ciberacoso usando material sexualmente explícito.
Desde hace unos meses, el término pornografía de venganza o porno venganza ha cobrado gran importancia en el país. No por casos específicos, de los que tenemos noticia siempre, sino por la propuesta de dos Proyectos de Ley que buscan penalizar esta actividad.
¿A qué nos referimos con pornografía no consentida?
Cuando hablamos de pornografía no consentida nos estamos refiriendo a la difusión de material audiovisual y/o gráfico (video, fotos, grabaciones de voz, etc.) de carácter erótico o sexual, que sin la autorización de la(s) persona(s) involucrada(s) se divulga por algún medio. Es importante resaltar que mayormente quien realiza la distribución de este material es alguien que hizo el registro o que lo recibió de él, en un contexto de privacidad y con la intención de que permanezca así. Sin embargo, esta difusión también puede ser realizada por cualquier persona que tenga acceso al material.
Comunicadora para el Desarrollo de la Pontificia Universidad Católica del Perú. Candidata a Máster en Estudios de la Mujer en la Unviersidad de Ottawa (Canadá).
Han pasado más de dos meses desde que salió la noticia de que la SUNAT comenzaría a revisar los perfiles públicos de redes sociales para fiscalizar la evasión tributaria. Desde entonces, no ha existido ninguna novedad al respecto. Ningún influencer ha sido detenido y los viajes a Dubai de los famosos continúan, lo que parecería indicar que la declaración no tuvo mayor efecto. Como lo anunciamos al inicio, en Hiperderecho decidimos enviar una solicitud de acceso a la información para conocer más del asunto y la respuesta que obtuvimos te sorprenderá.
Bachiller en Derecho por la Universidad Nacional Mayor de San Marcos. Además, es Vice Presidente de Internet Society Perú y fundador del Youth Observatory.
Hace unos meses se presentó en el Congreso el Proyecto de Ley N° 1950/2017-CR, que busca modificar el artículo 164 del Código Penal sobre la publicación indebida de las comunicaciones. El objetivo es que este delito se amplíe para incorporar como protegidas a las comunicaciones hechas a través de mensajería instantánea y correo electrónico, además de las que ya estaban reguladas anteriormente. Asimismo, plantea un nuevo supuesto de agravante en el que, si el contenido publicado pertenece a una comunicación o grabación telefónica, la pena será de hasta dos (2) años. Su impulsor principal, el congresista Héctor Becerril, afirmó que esto es necesario para actualizar una norma que ha quedado desfasada con el avance de la tecnología.
Creemos que la protección del secreto de las comunicaciones es una preocupación legítima, sobre todo en el contexto que vivimos hoy en día. Sin embargo, tal como ya lo han señalado diferentes medios de comunicación, esta propuesta tiene varios problemas que podrían restringir otros derechos de forma ilegítima como la libertad de expresión, de información e inclusive el uso cotidiano que hacemos de Internet. Además, no representa una solución real para combatir el verdadero problema que es la existencia de organizaciones dedicadas a la interceptación ilegal de las comunicaciones, que no se ven afectadas por esta propuesta.
Bachiller en Derecho por la Universidad Nacional Mayor de San Marcos. Además, es Vice Presidente de Internet Society Perú y fundador del Youth Observatory.
