Categoría: Privacidad

ONPE filtró los datos personales de millones de peruanos durante más de medio año

La semana pasada la ONPE anunció públicamente una hackathon sobre el voto electrónico, pero en el formulario de inscripción acabó exponiendo el nombre, fecha de nacimiento y número de todos los DNIs del Perú.

La hackathon de la ONPE

El 7 de junio, la ONPE anunció la organización de su hackathon 2018 con el título «DESAFIANDO LA SOLUCIÓN DEL VOTO ELECTRÓNICO PRESENCIAL». Según las bases del concurso, el objetivo es «…aportar en el mejoramiento de la gestión pública a través del desarrollo de soluciones tecnológicas electorales.», pero según la nota de prensa el objetivo es «fomentar soluciones tecnológicas en la gestión pública, el intercambio académico y cultural bajo un enfoque de ideas innovadoras en beneficio de los ciudadanos y la difusión de mecanismos de seguridad del Voto Electrónico Presencial, como una solución tecnológica electoral confiable.»

Sin embargo, el video de difusión parece describir un evento exclusivamente de seguridad, para poner a prueba la implementación del voto electrónico presencial:

Confundidos por estos mensajes contradictorios, decidimos investigar los requisitos de inscripción para aprovechar lo que parecía ser una oportunidad de interactuar con los equipos técnicos de ONPE y del voto electrónico.

El problema de seguridad en la inscripción

Para inscribirse en el evento es necesario escoger un nombre de equipo y luego registrar a tres integrantes para ese equipo. Lo interesante es que el formulario no pide nombres, edades, de hecho no pide ningún ingreso de información personal. Lo único que pide es el número de DNI de los participantes.

El formulario de inscripción de la hackathon de ONPE. Como ejemplo, nuestro primer integrante es el DNI del Presidente Vizcarra.

Luego de ingresar el DNI de un integrante, el sistema indica que presionemos «VALIDAR» para cargar los datos de la persona, en este ejemplo hemos usado el DNI del Presidente Vizcarra. Curiosamente, alguien ya ha registrado el DNI del ex presidente PPK.

Al presionar «VALIDAR», el sistema carga el nombre, sexo, y si la persona es mayor de edad.

Luego de presionar el botón de «VALIDAR», el sistema carga los datos del DNI ingresado.

Si han leído nuestro blog recientemente ya deben estar sospechando cómo acaba esto. Especialmente si han leído nuestro reporte sobre cómo RENIEC expuso la fotografía de todos los DNIs del Perú.

Este formulario de inscripción carga (o cargaba) la información desde una dirección de la siguiente forma:

http://hackathon.pe/hackathon_ve/person/04412417

En esa dirección, el sistema respondía con la información de dicho DNI en el formato de datos JSON:

Los datos del Presidente Vizcarra en JSON, un formato de intercambio de datos muy usado en programación web.

Esta dirección puede (o podía) ser consultada sin necesidad de identificarse con algún tipo de usuario, ni romper algún tipo de seguridad, ni nada por el estilo. Es una dirección públicamente accesible, sin ningún control de acceso, repeticiones, ni nada por el estilo.

La descarga masiva de datos

Tal como la última vez que reportamos este tipo de problemas, decidimos revisar si era posible abusar de este error de manera automatizada y de esa forma descargar la información de cientos de personas sin mayor esfuerzo, y potencialmente la de millones de personas.

Confirmamos rápidamente que no había ningún tipo de limitación o seguridad asociada a esta dirección web, así que decidimos crear una prueba de concepto, es decir, un programa sencillo que demuestre la vulnerabilidad de forma sencilla.

Luego de una mañana de trabajo y pruebas, desarrollamos una aplicación que demostraba cómo era posible descargar automáticamente estos datos y convertirlos en un archivo de Microsoft Excel, o sea, una hoja de cálculo, una base de datos con nombres, fechas de nacimiento y números de DNI.

Una pequeña muestra del archivo Excel generado en unos segundos.

En el siguiente video pueden ver cómo en menos de treinta segundos logramos descargar la información de cincuenta personas, y archivarla en formato Excel, todo esto sin intervención humana, es decir, de manera completamente automática.

VIDEO JSON

Nuestro reporte

HISTORIA DE COMO LO REPORTAMOS

Preocupación permanente

Nuestra preocupación sobre cómo se usan nuestros datos en el Estado vuelve a confirmarse. Este tipo de aplicaciones, hechas sobre la marcha y sin mayor cuidado, parecen muy simples pero acaban generando vulnerabilidades y agujeros de seguridad que exponen información de todos los peruanos.

Nos preocupa que con el objetivo de aparentar modernidad, este tipo de problemas sigan apareciendo. En el caso concreto de esta inscripción, quizá un formulario de Google Forms hubiese sido suficiente, pero sin duda menos «impresionante».

Seguiremos vigilando este tipo de iniciativas y sus inevitables errores.

RENIEC negó que haya existido un filtrado de datos personales. Nosotros lo confirmamos.

Como parte de nuestra investigación sobre Identidad Biométrica en Perú, reportamos que hace unos meses habíamos descubierto y reportado un filtrado de datos personales que exponía las fotografías del documento de identidad de todos los ciudadanos peruanos. La vulnerabilidad, que fue solucionada luego del reporte inicial de Hiperderecho en abril, estaba contenida en el Sistema Padrón Nominal desarrollado por el Registro Nacional de Identificación y Estado Civil (RENIEC) para uso del Ministerio de Salud.

 

En una nota de Hernán Medrano aparecida en diario El Comercio días después de nuestro reporte, se recoge la respuesta de Danilo Chávez, gerente de Tecnología de la Información del RENIEC. En sus descargos, el funcionario señala que RENIEC solo creó la plataforma Padrón Nominal pero que quien la maneja es el Ministerio de Salud. Esto no contraviene el reporte de Hiperderecho porque el error que encontramos y denunciamos es un error en el diseño del sistema informático, no en su operación. La razón por la cual cualquier persona podía descargar la fotografía del DNI de millones de peruanos digitando una dirección web era porque cuando se programó la plataforma se dejó abierta por error esa ruta. En su calidad de operador del sistema, no hay nada que el Ministerio de Salud pudo haber hecho para cambiarlo. Afirmar lo contrario es el equivalente a decir que una falla estructural en una vivienda es responsable de sus habitantes y no de sus constructores porque ellos son quienes viven ahí.

Así mismo, el Gerente de Tecnología de la Información de RENIEC también declaró a El Comercio que:

Este padrón, al que solo tienen acceso 1.940 entidades del sector público, no permite que nadie ingrese a la base de datos del Reniec. Lo que pasó es que alguien de los 6 mil usuarios le ha dado un mal uso al sistema y ha brindado su contraseña, permitiendo que un tercero tenga acceso a las fotos de los menores.

Este es el extremo más preocupante de las declaraciones de RENIEC. En pocas palabras, señala que la vulnerabilidad en el sistema que encontramos y reportamos nunca existió. Por el contrario, sostiene que lo único que pasó es que se obtuvo la contraseña de un usuario legítimo del sistema. Como se aprecia en el video que publicamos, nada más lejos de la verdad.

https://www.youtube.com/watch?v=-6-O97SQ8tI

La vulnerabilidad permitía a cualquier persona, desde cualquier punto del país, usar una dirección web de RENIEC para obtener la fotografía de cualquier peruano, mayor o menor de edad, solo usando su número de DNI. La página web que se aprecia en el video es una “prueba de concepto” realizada por Hiperderecho para convertir un número de DNI en una línea de Base64, el sistema público usado por RENIEC para escribir las direcciones web. Algo tan al alcance de cualquier persona que existen decenas de herramientas en línea que te permiten hacer esta conversión. En el video también se aprecia la ruta web completa que se podía usar para obtener la fotografía. Nada de esto implica usar un nombre de usuario o contraseña o llevar a cabo alguna actividad de fuerza bruta contra los sistemas de ONPE. Por ende, negamos tajantemente lo señalado por RENIEC y nos reafirmamos: la vulnerabilidad sí existió y fue responsabilidad de quien programó el sistema.

Pero creo que la lección principal es otra y tiene que ver con cómo el Estado reacciona a problemas de seguridad informática. Todo sistema informático, incluyendo los del Estado, puede tener errores. Las empresas privadas, por ejemplo, reconocen esto y tienen programas de reconocimiento a quienes encuentran errores y los reportan de la forma en la que nosotros lo hicimos. La lógica es que se los reporten a las empresas en lugar de venderlos a terceros que pueden explotarlos para robar información. Nuestro Estado, por el contrario, no solo no tiene mecanismos formales para el reporte sino que deliberadamente evita documentarlos y su primera reacción es siempre negar que alguna vez sucedieron. Con estas prácticas, no sería sorprendente que para muchos otros programadores y investigadores resulte más interesante simplemente publicar sus hallazgos en foros o páginas de Facebook para obtener reconocimiento. Peor todavía, podrían optar por vender estos secretos en el mercado negro a quienes puedan explotarlos que reportarlos al Estado. Si queremos empezar a pensar en un país más moderno y digital, tenemos necesariamente que entender estos equilibrios y aprender a lidiar con estos problemas.

Informe: ¿Cómo funciona la identidad biométrica en Perú?

A fines del año pasado, en Hiperderecho iniciamos un proyecto que buscaba preguntarse sobre el desarrollo de una de las tecnologías más empleadas en la actualidad para la verificación de la identidad: la biometría. Nuestro objetivo era conocer cuál era el estado de desarrollo de esta tecnología en el país, qué actores relevantes intervienen en este ecosistema y cuáles son los escenarios de oportunidad y de riesgo que existen tanto en el sector público como privado.

Como parte de las actividades del proyecto, empezamos buscando qué se había escrito o investigado sobre el tema antes. Sin embargo, pronto nos dimos cuenta que la investigación independiente en estos temas es prácticamente nula en el Perú. No obstante, no es que no existiera información al respecto. De hecho, existía bastante pero la mayor parte eran normas, manuales, guías y otros documentos de trabajo de una sola entidad del Estado, que parecía ejercer un control casi exclusivo sobre el uso de la biometría: el Registro Nacional de Identificación y Estado Civil (RENIEC).

Leer más

Sexting: consejos para estar más seguros

Este mes les presentamos la guía para sexting seguro, un proyecto desarrollado por la Liga Juvenil de Defensa de la Internet de Hiperderecho. Esta guía gratuita buscar brindar consejos sobre cómo enviar y recibir mensajes con material íntimo sin vulnerar la privacidad y seguridad de ninguno de los participantes.

El problema: Combatiendo el ciberacoso

El proyecto nace como una iniciativa de La Liga Juvenil para identificar cómo la tecnología puede ayudar a mejorar la vida de un estudiante promedio. Nuestra idea fue reunir a un grupo diverso de estudiantes universitarios para entender cómo se relacionan con la tecnología y cómo ésta facilita o dificulta su vida diaria. En este contexto, una de las principales barreras para el libre uso de la tecnología por estudiantes es el ciberacoso.

Leer más

Baja calificación de las empresas de telecomunicaciones en el reporte «¿Quién defiende tus datos? – 2018»

Privacidad y protección de datos personales son temas que vienen siendo muy discutidos durante los últimos días. El escándalo que protagonizó Facebook y Cambridge Analytica reabrió un debate que nunca debió haberse ido. Cómo las empresas manejan los datos personales de sus usuarios.

En el Perú, existe una ley y una dirección que ordena todo eso. La ley de protección de datos personales y la dirección nacional de transparencia y protección de datos personales, dependiente del ministerio de justicia y derechos humanos. Entre otras cosas, esta ley obliga a las entidades que procesan datos personales a publicar una política de privacidad para informar a sus usuarios cuáles son sus derechos, cuál es la finalidad o propósito del tratamiento de sus datos o informarles dónde van a estar almacenados.

Como obligación específica, obliga a las empresas de telecomunicaciones a velar por la confidencialidad, seguridad, uso adecuado e integridad de los datos personales que obtengan de sus abonados y usuarios. Además, prescribe que no podrán hacer un uso de esos datos distinto al que el usuario permitió. Sin embargo, esta obligación puede excepcionarse si la empresa recibe una orden judicial o de autoridad competente. Entonces, ¿qué hace una empresa de telecomunicaciones cuando recibe una orden judicial solicitando información confidencial sobre un usuario? Leer más

Pornografía no consentida en Perú

Desde hace unos meses, el término pornografía de venganza o porno venganza ha cobrado gran importancia en el país. No por casos específicos, de los que tenemos noticia siempre, sino por la propuesta de dos Proyectos de Ley que buscan penalizar esta actividad.

¿A qué nos referimos con pornografía no consentida?

Cuando hablamos de pornografía no consentida nos estamos refiriendo a la difusión de material audiovisual y/o gráfico (video, fotos, grabaciones de voz, etc.) de carácter erótico o sexual, que sin la autorización de la(s) persona(s) involucrada(s) se divulga por algún medio. Es importante resaltar que mayormente quien realiza la distribución de este material es alguien que hizo el registro o que lo recibió de él, en un contexto de privacidad y con la intención de que permanezca así. Sin embargo, esta difusión también puede ser realizada por cualquier persona que tenga acceso al material.

Leer más

SUNAT afirma que no utiliza software especial para revisar nuestras redes sociales

Han pasado más de dos meses desde que salió la noticia de que la SUNAT comenzaría a revisar los perfiles públicos de redes sociales para fiscalizar la evasión tributaria. Desde entonces, no ha existido ninguna novedad al respecto. Ningún influencer ha sido detenido y los viajes a Dubai de los famosos continúan, lo que parecería indicar que la declaración no tuvo mayor efecto. Como lo anunciamos al inicio, en Hiperderecho decidimos enviar una solicitud de acceso a la información para conocer más del asunto y la respuesta que obtuvimos te sorprenderá.

Leer más

Hiperderecho envió al Congreso comentarios sobre el Proyecto de Ley para impedir la difusión indebida de comunicaciones

Hace unos meses se presentó en el Congreso el Proyecto de Ley N° 1950/2017-CR, que busca modificar el artículo 164 del Código Penal sobre la publicación indebida de las comunicaciones. El objetivo es que este delito se amplíe para incorporar como protegidas a las comunicaciones hechas a través de mensajería instantánea y correo electrónico, además de las que ya estaban reguladas anteriormente. Asimismo, plantea un nuevo supuesto de agravante en el que, si el contenido publicado pertenece a una comunicación o grabación telefónica, la pena será de hasta dos (2) años. Su impulsor principal, el congresista Héctor Becerril, afirmó que esto es necesario para actualizar una norma que ha quedado desfasada con el avance de la tecnología.

Creemos que la protección del secreto de las comunicaciones es una preocupación legítima, sobre todo en el contexto que vivimos hoy en día. Sin embargo, tal como ya lo han señalado diferentes medios de comunicación, esta propuesta tiene varios problemas que podrían restringir otros derechos de forma ilegítima como la libertad de expresión, de información e inclusive el uso cotidiano que hacemos de Internet. Además, no representa una solución real para combatir el verdadero problema que es la existencia de organizaciones dedicadas a la interceptación ilegal de las comunicaciones, que no se ven afectadas por esta propuesta.

Leer más

Congreso busca poder para solicitar levantamiento de secreto de las telecomunicaciones

Las últimas semanas del año pasado estuvieron marcadas por una crisis política muy profunda. Este ruido político escondió otros temas que, en forma circunstancial o deliberada, pasaron desapercibidos en el debate nacional. Uno de ellos es la propuesta de dos parlamentarios de la bancada de Fuerza Popular para modificar el Reglamento del Congreso y dotar a las Comisiones Investigadoras de la capacidad de solicitar el levantamiento del secreto de las comunicaciones. Esta preocupante propuesta, que fue exonerada de estudio en Comisión para acelerar su aprobación, significaría darle al Congreso una potestad que muy pocas instancias estatales tienen y pondrían las comunicaciones de cualquier persona a mercer de los congresistas de turno.

contenida en los dos proyectos de Resolución Legislativa