Categoría: Privacidad

Presentan Proyecto de Ley para crear un registro web de personas desaparecidas

Hace unos meses la congresista Estelita Bustos presentó un nuevo Proyecto de Ley en el Congreso para crear el portal web del Registro Nacional de acceso público para difundir la información de las personas desaparecidas. Mediante esta iniciativa se busca reemplazar un sitio web que actualmente es inaccesible y facilitar la labor de las autoridades, además de ofrecer herramientas a la ciudadanía para contribuir con la búsqueda e identificación de las víctimas.

¿Qué propone?

El Proyecto de Ley N° 02875/2017-CR propone crear un portal web del Registro Nacional de Personas Desaparecidas que sea de acceso público para difundir la información de las personas desaparecidas y/o extraviadas, menores o adultas y las fallecidas no identificadas con la denominación de “NN.” También incluye a las personas internadas en nosocomios o institutos de salud mental y los que se encuentren privados de su libertad o no disciernen su identificación, con el fin de su inmediata localización.

Leer más

Director de Políticas Públicas

Bachiller en Derecho por la Universidad Nacional Mayor de San Marcos. Además, es Vice Presidente de Internet Society Perú y fundador del Youth Observatory.

¿Cómo podría hackearse el voto electrónico en Perú? (parte 2)

En las próximas elecciones municipales, ONPE implementará el Voto Electrónico Presencial, cambiando las cédulas de papel por tablets. En esta segunda parte de nuestra serie sobre el VEP, hablaremos de algunos de los problemas técnicos que hemos encontrado.

Este año, como anticipo de las elecciones municipales, ONPE ha puesto en práctica recursos de comunicación y publicidad para reforzar una idea clave: que el voto electrónico es seguro y está a prueba de “masivos ataques cybernéticos” (ver campaña de la Hackathon). Sin embargo, en nuestra investigación no hemos encontrado la evidencia necesaria para apoyar esas ideas.

Leer más

Director de Tecnología

Comunicador Social de la Universidad de Lima. Antes colaborador en GNOME, Debian, WebKit.

¿Cómo así RENIEC vende nuestros datos personales?

El mes pasado publicamos nuestro reporte Identidad Biométrica en Perú, una indagación legal y tecnológica sobre cómo funcionan los sistemas de identificación digital en nuestro país. Una de las cosas que investigamos fue cómo funcionaba el sistema de consultas en línea de Registro Nacional de Identificación y Estado Civil (RENIEC), la autoridad de identificación de Perú. Lo que descubrimos fue un negocio público y claro en torno a permitir el acceso a nuestra información personal. Un arreglo comercial que no necesariamente se traduce en más seguridad o trámites más simples para los ciudadanos.

Todos sabemos que RENIEC tiene nuestra información completa incluyendo nombres, fecha de nacimiento, sexo, domicilio, nombres de padres y madres, entre otros. Al mismo tiempo, hemos visto las fichas RENIEC en la televisión o los periódicos. Sin embargo, sabemos poco sobre quiénes pueden consultar la información del Archivo Nacional de Identificación, en qué casos y bajo qué condiciones.

Leer más

Director Ejecutivo

Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).

ONPE filtró los datos personales de millones de peruanos durante más de medio año

Entre octubre del año pasado y junio de este año, los nombres, apellidos, fecha de nacimiento, sexo y edad de todos los peruanos mayores de edad fueron accesibles y descargables a través de la página web de la ONPE. Un error informático en el formulario de inscripción de su Hackaton del año pasado, repetido en su más reciente versión, permitía a cualquier usuario de Internet descargar todos nuestros datos personales sin vulnerar ninguna medida de seguridad ni levantar ninguna alerta en ONPE. Esta es la historia de cómo Hiperderecho descubrió el error, lo reportó a las autoridades y logró que se solucione, aunque la autoridad nunca reconoció su error.

El 7 de junio de este año la ONPE anunció la organización de su hackathon 2018 con el título “Desafiando la Solución del Voto Electrónico Presencial”. Su finalidad era invitar a grupos de estudiantes de ingeniería y computación a encontrar vulnerabilidades en los módulos de voto electrónico presencial que la entidad ha desarrollando y viene desplegando. En el contexto de la polémica implementación de este sistema, ONPE esperaba ganar un poco de legitimidad a través de este concurso. Nosotros decidimos investigar los requisitos de inscripción para aprovechar lo que parecía ser una oportunidad de interactuar con los equipos técnicos de la ONPE y del voto electrónico.

Leer más

Director de Tecnología

Comunicador Social de la Universidad de Lima. Antes colaborador en GNOME, Debian, WebKit.

RENIEC negó que haya existido un filtrado de datos personales. Nosotros lo confirmamos.

Como parte de nuestra investigación sobre Identidad Biométrica en Perú, reportamos que hace unos meses habíamos descubierto y reportado un filtrado de datos personales que exponía las fotografías del documento de identidad de todos los ciudadanos peruanos. La vulnerabilidad, que fue solucionada luego del reporte inicial de Hiperderecho en abril, estaba contenida en el Sistema Padrón Nominal desarrollado por el Registro Nacional de Identificación y Estado Civil (RENIEC) para uso del Ministerio de Salud.

En una nota de Hernán Medrano aparecida en diario El Comercio días después de nuestro reporte, se recoge la respuesta de Danilo Chávez, gerente de Tecnología de la Información del RENIEC. Quiero dedicar esta entrada a responder objetivamente a sus declaraciones, que se refieren concretamente a nuestros hallazgos y la veracidad de lo reportado. Creemos que este es el tipo de conversaciones públicas sobre seguridad digital que nuestra comunidad necesita.

En sus descargos, el funcionario señala que RENIEC solo creó la plataforma Padrón Nominal pero que quien la maneja es el Ministerio de Salud. Esto no contraviene el reporte de Hiperderecho porque el error que encontramos y denunciamos es un error en el diseño del sistema informático, no en su operación. La razón por la cual cualquier persona podía descargar la fotografía del DNI de millones de peruanos digitando una dirección web era porque cuando se programó la plataforma se dejó abierta por error esa ruta. En su calidad de operador del sistema, no hay nada que el Ministerio de Salud pudo haber hecho para cambiarlo. Afirmar lo contrario es el equivalente a decir que una falla estructural en una vivienda es responsable de sus habitantes y no de sus constructores porque ellos son quienes viven ahí.

Leer más

Director Ejecutivo

Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).

Informe: ¿Cómo funciona la identidad biométrica en Perú?

A fines del año pasado, en Hiperderecho iniciamos un proyecto que buscaba preguntarse sobre el desarrollo de una de las tecnologías más empleadas en la actualidad para la verificación de la identidad: la biometría. Nuestro objetivo era conocer cuál era el estado de desarrollo de esta tecnología en el país, qué actores relevantes intervienen en este ecosistema y cuáles son los escenarios de oportunidad y de riesgo que existen tanto en el sector público como privado.

Como parte de las actividades del proyecto, empezamos buscando qué se había escrito o investigado sobre el tema antes. Sin embargo, pronto nos dimos cuenta que la investigación independiente en estos temas es prácticamente nula en el Perú. No obstante, no es que no existiera información al respecto. De hecho, existía bastante pero la mayor parte eran normas, manuales, guías y otros documentos de trabajo de una sola entidad del Estado, que parecía ejercer un control casi exclusivo sobre el uso de la biometría: el Registro Nacional de Identificación y Estado Civil (RENIEC).

Leer más

Director de Políticas Públicas

Bachiller en Derecho por la Universidad Nacional Mayor de San Marcos. Además, es Vice Presidente de Internet Society Perú y fundador del Youth Observatory.

Fallo de seguridad permitía descargar la foto del DNI de todos los peruanos

A mediados de abril encontramos y reportamos que un problema en una web de RENIEC permitía descargar la foto de todos los DNIs del Perú, de manera sencilla y automática. Todo esto, sin sonar ninguna alarma o esquivar la seguridad del sistema.

El sitio web y el acceso a las fotos

El sitio web problemático era el Padrón Nominal, un sistema desarrollado por RENIEC para el Ministerio de Salud usado en centros de salud del país para hacer control de salud de los niños menores de 6 años.

Leer más

Director de Tecnología

Comunicador Social de la Universidad de Lima. Antes colaborador en GNOME, Debian, WebKit.

Sexting: consejos para estar más seguros

Este mes les presentamos la guía para sexting seguro, un proyecto desarrollado por la Liga Juvenil de Defensa de la Internet de Hiperderecho. Esta guía gratuita contiene consejos para enviar y recibir mensajes con material sexualmente explícito sin vulnerar la privacidad y seguridad de ninguno de los participantes.

El problema: Combatiendo el ciberacoso

El proyecto es una iniciativa de los miembros de la Liga Juvenil de Defensa de Internet para identificar cómo la tecnología puede mejorar la vida de un estudiante promedio. Uno de los principales problemas que identificaron fue el ciberacoso, en especial el ciberacoso usando material sexualmente explícito.

Leer más

Directora de Investigación

Bachiller en Desarrollo Internacional y Sociología por la Universidad de Toronto (Canadá).

Pornografía no consentida en Perú

Desde hace unos meses, el término pornografía de venganza o porno venganza ha cobrado gran importancia en el país. No por casos específicos, de los que tenemos noticia siempre, sino por la propuesta de dos Proyectos de Ley que buscan penalizar esta actividad.

¿A qué nos referimos con pornografía no consentida?

Cuando hablamos de pornografía no consentida nos estamos refiriendo a la difusión de material audiovisual y/o gráfico (video, fotos, grabaciones de voz, etc.) de carácter erótico o sexual, que sin la autorización de la(s) persona(s) involucrada(s) se divulga por algún medio. Es importante resaltar que mayormente quien realiza la distribución de este material es alguien que hizo el registro o que lo recibió de él, en un contexto de privacidad y con la intención de que permanezca así. Sin embargo, esta difusión también puede ser realizada por cualquier persona que tenga acceso al material.

Leer más

Directora de Activismo

Comunicadora para el Desarrollo de la Pontificia Universidad Católica del Perú. Candidata a Máster en Estudios de la Mujer en la Unviersidad de Ottawa (Canadá).

SUNAT afirma que no utiliza software especial para revisar nuestras redes sociales

Han pasado más de dos meses desde que salió la noticia de que la SUNAT comenzaría a revisar los perfiles públicos de redes sociales para fiscalizar la evasión tributaria. Desde entonces, no ha existido ninguna novedad al respecto. Ningún influencer ha sido detenido y los viajes a Dubai de los famosos continúan, lo que parecería indicar que la declaración no tuvo mayor efecto. Como lo anunciamos al inicio, en Hiperderecho decidimos enviar una solicitud de acceso a la información para conocer más del asunto y la respuesta que obtuvimos te sorprenderá.

Leer más

Director de Políticas Públicas

Bachiller en Derecho por la Universidad Nacional Mayor de San Marcos. Además, es Vice Presidente de Internet Society Perú y fundador del Youth Observatory.