Autor: Diego Escalante

Ex Director de Tecnología (2017-2019)

Comunicador Social de la Universidad de Lima. Antes colaborador en GNOME, Debian, WebKit.

¿Cómo podría hackearse el voto electrónico en Perú? (parte 2)

En las próximas elecciones municipales, ONPE implementará el Voto Electrónico Presencial, cambiando las cédulas de papel por tablets. En esta segunda parte de nuestra serie sobre el VEP, hablaremos de algunos de los problemas técnicos que hemos encontrado.

Este año, como anticipo de las elecciones municipales, ONPE ha puesto en práctica recursos de comunicación y publicidad para reforzar una idea clave: que el voto electrónico es seguro y está a prueba de «masivos ataques cybernéticos» (ver campaña de la Hackathon). Sin embargo, en nuestra investigación no hemos encontrado la evidencia necesaria para apoyar esas ideas.

Leer más

Voto electrónico: muchas preguntas, pocas respuestas (parte 1)

Hace unas semanas estuvimos presentes en el evento de «Hackathon» de ONPE sobre la seguridad del Voto Electrónico Presencial (VEP). Aunque se explicaron algunos conceptos del software y hardware que se usará en las elecciones de octubre, salimos con algunas preguntas que nos parece son importantes para todos, como ciudadanos antes que especialistas.

Leer más

ONPE filtró los datos personales de millones de peruanos durante más de medio año

Entre octubre del año pasado y junio de este año, los nombres, apellidos, fecha de nacimiento, sexo y edad de todos los peruanos mayores de edad fueron accesibles y descargables a través de la página web de la ONPE. Un error informático en el formulario de inscripción de su Hackaton del año pasado, repetido en su más reciente versión, permitía a cualquier usuario de Internet descargar todos nuestros datos personales sin vulnerar ninguna medida de seguridad ni levantar ninguna alerta en ONPE. Esta es la historia de cómo Hiperderecho descubrió el error, lo reportó a las autoridades y logró que se solucione, aunque la autoridad nunca reconoció su error.

El 7 de junio de este año la ONPE anunció la organización de su hackathon 2018 con el título «Desafiando la Solución del Voto Electrónico Presencial». Su finalidad era invitar a grupos de estudiantes de ingeniería y computación a encontrar vulnerabilidades en los módulos de voto electrónico presencial que la entidad ha desarrollando y viene desplegando. En el contexto de la polémica implementación de este sistema, ONPE esperaba ganar un poco de legitimidad a través de este concurso. Nosotros decidimos investigar los requisitos de inscripción para aprovechar lo que parecía ser una oportunidad de interactuar con los equipos técnicos de la ONPE y del voto electrónico.

Leer más

Fallo de seguridad permitía descargar la foto del DNI de todos los peruanos

A mediados de abril encontramos y reportamos que un problema en una web de RENIEC permitía descargar la foto de todos los DNIs del Perú, de manera sencilla y automática. Todo esto, sin sonar ninguna alarma o esquivar la seguridad del sistema.

El sitio web y el acceso a las fotos

El sitio web problemático era el Padrón Nominal, un sistema desarrollado por RENIEC para el Ministerio de Salud usado en centros de salud del país para hacer control de salud de los niños menores de 6 años.

Leer más

Guachidog: una aplicación para monitorear sitios web

Como parte de nuestro trabajo de facilitar derechos y libertades mediante tecnología, hoy compartimos una pequeña aplicación que desarrollamos recientemente para monitorear sitios web y notificarnos de cualquier cambio. La llamamos «guachidog» y está disponible desde hace unos días en el GitHub de Hiperderecho.

El problema

Parte de nuestro trabajo diario es hacer monitoreo legislativo y una de las cosas más comunes que tenemos que hacer es constantemente visitar sitios web para buscar novedades o cambios. A veces esos cambios son muy difíciles de percibir porque resultan ser el cambio de una palabra, o de un enlace. Además, la mayoría de sitios web que revisamos son sitios del Estado que no tienen funcionalidades como feeds RSS, o suscripción a notificaciones. Así que no queda de otra más que presionar recargar una y otra vez, hasta que nos olvidemos, o hasta que por suerte encontremos lo que buscamos.

Leer más

SUNEDU expuso la información personal de miles de estudiantes peruanos

En setiembre de 2017, reportamos a SUNEDU un filtrado de datos personales que detectamos y que comprometía a todos los estudiantes de instrucción superior del Perú. Gracias a nuestro reporte, la información personal de todos los portadores de un carné universitario válido hoy se encuentra más segura.

El problema

La historia comienza con La Liga Juvenil de Defensa de Internet, un proyecto de Hiperderecho para reunir y potenciar ideas de estudiantes universitarios que quieran hacer incidencia en la sociedad usando tecnología. En nuestras interacciones con los miembros de la Liga acabamos descubriendo que el nuevo carné universitario lleva impreso un código QR en la parte de atrás desde hace dos años. Siguiendo nuestra curiosidad, nos pusimos a revisar qué era lo que el código contenía. Para nuestra sorpresa el código era simplemente una dirección web del siguiente formato:

Leer más

Esta es nuestra Liga Juvenil de Defensa del Internet

Desde hace unos meses el equipo de Hiperderecho viene colaborando con jóvenes de diferentes universidades de Perú en un proyecto para difundir y defender nuestros derechos dentro y fuera de internet.

El proyecto, la “Liga Juvenil de Defensa de Internet”, nace de nuestro interés en involucrar voces y perspectivas diferentes a las que usualmente tendríamos acceso. Siguiendo este interés vimos una gran oportunidad en llegar a jóvenes estudiantes universitarios para desarrollar en conjunto proyectos relacionados a tecnología, aprovechando los recursos que Hiperderecho tiene disponibles, desde técnicos hasta sociales.

Leer más