Categoría: Privacidad

ONPE filtró los datos personales de millones de peruanos durante más de medio año

Entre octubre del año pasado y junio de este año, los nombres, apellidos, fecha de nacimiento, sexo y edad de todos los peruanos mayores de edad fueron accesibles y descargables a través de la página web de la ONPE. Un error informático en el formulario de inscripción de su Hackaton del año pasado, repetido en su más reciente versión, permitía a cualquier usuario de Internet descargar todos nuestros datos personales sin vulnerar ninguna medida de seguridad ni levantar ninguna alerta en ONPE. Esta es la historia de cómo Hiperderecho descubrió el error, lo reportó a las autoridades y logró que se solucione, aunque la autoridad nunca reconoció su error.

El 7 de junio de este año la ONPE anunció la organización de su hackathon 2018 con el título «Desafiando la Solución del Voto Electrónico Presencial». Su finalidad era invitar a grupos de estudiantes de ingeniería y computación a encontrar vulnerabilidades en los módulos de voto electrónico presencial que la entidad ha desarrollando y viene desplegando. En el contexto de la polémica implementación de este sistema, ONPE esperaba ganar un poco de legitimidad a través de este concurso. Nosotros decidimos investigar los requisitos de inscripción para aprovechar lo que parecía ser una oportunidad de interactuar con los equipos técnicos de la ONPE y del voto electrónico.

Leer más

RENIEC negó que haya existido un filtrado de datos personales. Nosotros lo confirmamos.

Como parte de nuestra investigación sobre Identidad Biométrica en Perú, reportamos que hace unos meses habíamos descubierto y reportado un filtrado de datos personales que exponía las fotografías del documento de identidad de todos los ciudadanos peruanos. La vulnerabilidad, que fue solucionada luego del reporte inicial de Hiperderecho en abril, estaba contenida en el Sistema Padrón Nominal desarrollado por el Registro Nacional de Identificación y Estado Civil (RENIEC) para uso del Ministerio de Salud.

En una nota de Hernán Medrano aparecida en diario El Comercio días después de nuestro reporte, se recoge la respuesta de Danilo Chávez, gerente de Tecnología de la Información del RENIEC. Quiero dedicar esta entrada a responder objetivamente a sus declaraciones, que se refieren concretamente a nuestros hallazgos y la veracidad de lo reportado. Creemos que este es el tipo de conversaciones públicas sobre seguridad digital que nuestra comunidad necesita.

En sus descargos, el funcionario señala que RENIEC solo creó la plataforma Padrón Nominal pero que quien la maneja es el Ministerio de Salud. Esto no contraviene el reporte de Hiperderecho porque el error que encontramos y denunciamos es un error en el diseño del sistema informático, no en su operación. La razón por la cual cualquier persona podía descargar la fotografía del DNI de millones de peruanos digitando una dirección web era porque cuando se programó la plataforma se dejó abierta por error esa ruta. En su calidad de operador del sistema, no hay nada que el Ministerio de Salud pudo haber hecho para cambiarlo. Afirmar lo contrario es el equivalente a decir que una falla estructural en una vivienda es responsable de sus habitantes y no de sus constructores porque ellos son quienes viven ahí.

Leer más

Informe: ¿Cómo funciona la identidad biométrica en Perú?

A fines del año pasado, en Hiperderecho iniciamos un proyecto que buscaba preguntarse sobre el desarrollo de una de las tecnologías más empleadas en la actualidad para la verificación de la identidad: la biometría. Nuestro objetivo era conocer cuál era el estado de desarrollo de esta tecnología en el país, qué actores relevantes intervienen en este ecosistema y cuáles son los escenarios de oportunidad y de riesgo que existen tanto en el sector público como privado.

Como parte de las actividades del proyecto, empezamos buscando qué se había escrito o investigado sobre el tema antes. Sin embargo, pronto nos dimos cuenta que la investigación independiente en estos temas es prácticamente nula en el Perú. No obstante, no es que no existiera información al respecto. De hecho, existía bastante pero la mayor parte eran normas, manuales, guías y otros documentos de trabajo de una sola entidad del Estado, que parecía ejercer un control casi exclusivo sobre el uso de la biometría: el Registro Nacional de Identificación y Estado Civil (RENIEC).

Leer más

Fallo de seguridad permitía descargar la foto del DNI de todos los peruanos

A mediados de abril encontramos y reportamos que un problema en una web de RENIEC permitía descargar la foto de todos los DNIs del Perú, de manera sencilla y automática. Todo esto, sin sonar ninguna alarma o esquivar la seguridad del sistema.

El sitio web y el acceso a las fotos

El sitio web problemático era el Padrón Nominal, un sistema desarrollado por RENIEC para el Ministerio de Salud usado en centros de salud del país para hacer control de salud de los niños menores de 6 años.

Leer más

Sexting: consejos para estar más seguros

Este mes les presentamos la guía para sexting seguro, un proyecto desarrollado por la Liga Juvenil de Defensa de la Internet de Hiperderecho. Esta guía gratuita contiene consejos para enviar y recibir mensajes con material sexualmente explícito sin vulnerar la privacidad y seguridad de ninguno de los participantes.

El problema: Combatiendo el ciberacoso

El proyecto es una iniciativa de los miembros de la Liga Juvenil de Defensa de Internet para identificar cómo la tecnología puede mejorar la vida de un estudiante promedio. Uno de los principales problemas que identificaron fue el ciberacoso, en especial el ciberacoso usando material sexualmente explícito.

Leer más

Pornografía no consentida en Perú

Desde hace unos meses, el término pornografía de venganza o porno venganza ha cobrado gran importancia en el país. No por casos específicos, de los que tenemos noticia siempre, sino por la propuesta de dos Proyectos de Ley que buscan penalizar esta actividad.

¿A qué nos referimos con pornografía no consentida?

Cuando hablamos de pornografía no consentida nos estamos refiriendo a la difusión de material audiovisual y/o gráfico (video, fotos, grabaciones de voz, etc.) de carácter erótico o sexual, que sin la autorización de la(s) persona(s) involucrada(s) se divulga por algún medio. Es importante resaltar que mayormente quien realiza la distribución de este material es alguien que hizo el registro o que lo recibió de él, en un contexto de privacidad y con la intención de que permanezca así. Sin embargo, esta difusión también puede ser realizada por cualquier persona que tenga acceso al material.

Leer más

SUNAT afirma que no utiliza software especial para revisar nuestras redes sociales

Han pasado más de dos meses desde que salió la noticia de que la SUNAT comenzaría a revisar los perfiles públicos de redes sociales para fiscalizar la evasión tributaria. Desde entonces, no ha existido ninguna novedad al respecto. Ningún influencer ha sido detenido y los viajes a Dubai de los famosos continúan, lo que parecería indicar que la declaración no tuvo mayor efecto. Como lo anunciamos al inicio, en Hiperderecho decidimos enviar una solicitud de acceso a la información para conocer más del asunto y la respuesta que obtuvimos te sorprenderá.

Leer más

Hiperderecho envió al Congreso comentarios sobre el Proyecto de Ley para impedir la difusión indebida de comunicaciones

Hace unos meses se presentó en el Congreso el Proyecto de Ley N° 1950/2017-CR, que busca modificar el artículo 164 del Código Penal sobre la publicación indebida de las comunicaciones. El objetivo es que este delito se amplíe para incorporar como protegidas a las comunicaciones hechas a través de mensajería instantánea y correo electrónico, además de las que ya estaban reguladas anteriormente. Asimismo, plantea un nuevo supuesto de agravante en el que, si el contenido publicado pertenece a una comunicación o grabación telefónica, la pena será de hasta dos (2) años. Su impulsor principal, el congresista Héctor Becerril, afirmó que esto es necesario para actualizar una norma que ha quedado desfasada con el avance de la tecnología.

Creemos que la protección del secreto de las comunicaciones es una preocupación legítima, sobre todo en el contexto que vivimos hoy en día. Sin embargo, tal como ya lo han señalado diferentes medios de comunicación, esta propuesta tiene varios problemas que podrían restringir otros derechos de forma ilegítima como la libertad de expresión, de información e inclusive el uso cotidiano que hacemos de Internet. Además, no representa una solución real para combatir el verdadero problema que es la existencia de organizaciones dedicadas a la interceptación ilegal de las comunicaciones, que no se ven afectadas por esta propuesta.

Leer más

Congreso busca poder para solicitar levantamiento de secreto de las telecomunicaciones

Las últimas semanas del año anterior estuvieron marcadas por una crisis política muy profunda. Este ruido  escondió otros temas que, en forma circunstancial o deliberada, pasaron desapercibidos en el debate nacional. Uno de ellos es la propuesta de la bancada de Fuerza Popular para modificar el Reglamento del Congreso y otorgar a las Comisiones Investigadoras de la capacidad de solicitar el levantamiento del secreto de las comunicaciones. Esta preocupante propuesta, que fue exonerada de estudio en Comisión para acelerar su aprobación, significaría darle al Congreso una potestad que muy pocas instancias estatales tienen y pondrían las comunicaciones de cualquier persona a mercer de los congresistas de turno.

La propuesta se origina en dos proyectos de Resolución Legislativa presentados entre noviembre y diciembre de 2017 por Rolando Reátegui y Rosa María Bartra. Aunque abarcan otros aspectos, ambos proyectos coinciden en proponer modificaciones al artículo 88 del Reglamento del Congreso para ampliar las facultades vigentes de las Comisiones Investigadoras e incluir que puedan solicitar el levantamiento del secreto de las comunicaciones. Bajo el modelo propuesto, la Comisión tendría la autoridad para acudir por sí sola ante el Juez Penal de Turno y solicitarle el levantamiento del secreto de las telecomunicaciones de cualquier investigado. Actualmente, las Comisiones Investigadoras no tienen esta potestad y se necesita una investigación en curso en el Ministerio Público para solicitar el levantamiento del secreto.

Leer más

Ministerio del Interior apeló sentencia que le ordena entregar el protocolo de la Ley de Geolocalización

Hace poco comentábamos que una municipalidad había decidido apelar una sentencia en la que se le obligaba a hacer pública la lista de personas bloqueadas en sus redes sociales. Esta semana queremos cubrir otro caso similar, pero cuyo protagonista hemos mencionado muchas veces por un tema que varios recordarán: el Decreto Legislativo 1182, mejor conocido como la “Ley Stalker”.

Para quien no lo recuerde, la Ley Stalker es una norma vigente desde el 2015 que habilita a la Policía a solicitar el acceso de los datos de geolocalización de cualquier dispositivo móvil en tiempo real para combatir contra el crimen. Así mismo, obliga a los concesionarios de servicios de telecomunicación a crear un registro de los datos de sus usuarios hasta por tres años con el fin de hacerlos accesibles para la investigación de delitos.

Leer más