Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
Desde el 2006, la ONPE viene desplegando progresivamente una solución de voto electrónico que consiste en usar tablets sin conexión a Internet para emitir votos y luego enviar los resultados consolidados por Internet. En el sistema que propone ONPE el acto de votar sigue siendo presencial, pero en lugar de marcar en una cédula de papel, se usa un tablet que tiene una representación visual de lo que hubiese sido la cédula tradicional. Es decir, es un «voto electrónico» pero «presencial», de ahí el nombre. El software que se usa en las tablets de votación y mesas de sufragio, así como el sistema de transmisión, ha sido desarrollado internamente por ONPE.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
El mes pasado publicamos nuestro reporte Identidad Biométrica en Perú, una indagación legal y tecnológica sobre cómo funcionan los sistemas de identificación digital en nuestro país. Una de las cosas que investigamos fue cómo funcionaba el sistema de consultas en línea de Registro Nacional de Identificación y Estado Civil (RENIEC), la autoridad de identificación de Perú. Lo que descubrimos fue un negocio público y claro en torno a permitir el acceso a nuestra información personal. Un arreglo comercial que no necesariamente se traduce en más seguridad o trámites más simples para los ciudadanos.
Todos sabemos que RENIEC tiene nuestra información completa incluyendo nombres, fecha de nacimiento, sexo, domicilio, nombres de padres y madres, entre otros. Al mismo tiempo, hemos visto las fichas RENIEC en la televisión o los periódicos. Sin embargo, sabemos poco sobre quiénes pueden consultar la información del Archivo Nacional de Identificación, en qué casos y bajo qué condiciones.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
En una nota de Hernán Medrano aparecida en diario El Comercio días después de nuestro reporte, se recoge la respuesta de Danilo Chávez, gerente de Tecnología de la Información del RENIEC. En sus descargos, el funcionario señala que RENIEC solo creó la plataforma Padrón Nominal pero que quien la maneja es el Ministerio de Salud. Esto no contraviene el reporte de Hiperderecho porque el error que encontramos y denunciamos es un error en el diseño del sistema informático, no en su operación. La razón por la cual cualquier persona podía descargar la fotografía del DNI de millones de peruanos digitando una dirección web era porque cuando se programó la plataforma se dejó abierta por error esa ruta. En su calidad de operador del sistema, no hay nada que el Ministerio de Salud pudo haber hecho para cambiarlo. Afirmar lo contrario es el equivalente a decir que una falla estructural en una vivienda es responsable de sus habitantes y no de sus constructores porque ellos son quienes viven ahí.
Así mismo, el Gerente de Tecnología de la Información de RENIEC también declaró a El Comercio que:
Este padrón, al que solo tienen acceso 1.940 entidades del sector público, no permite que nadie ingrese a la base de datos del Reniec. Lo que pasó es que alguien de los 6 mil usuarios le ha dado un mal uso al sistema y ha brindado su contraseña, permitiendo que un tercero tenga acceso a las fotos de los menores.
Este es el extremo más preocupante de las declaraciones de RENIEC. En pocas palabras, señala que la vulnerabilidad en el sistema que encontramos y reportamos nunca existió. Por el contrario, sostiene que lo único que pasó es que se obtuvo la contraseña de un usuario legítimo del sistema. Como se aprecia en el video que publicamos, nada más lejos de la verdad.
La vulnerabilidad permitía a cualquier persona, desde cualquier punto del país, usar una dirección web de RENIEC para obtener la fotografía de cualquier peruano, mayor o menor de edad, solo usando su número de DNI. La página web que se aprecia en el video es una “prueba de concepto” realizada por Hiperderecho para convertir un número de DNI en una línea de Base64, el sistema público usado por RENIEC para escribir las direcciones web. Algo tan al alcance de cualquier persona que existen decenas de herramientas en línea que te permiten hacer esta conversión. En el video también se aprecia la ruta web completa que se podía usar para obtener la fotografía. Nada de esto implica usar un nombre de usuario o contraseña o llevar a cabo alguna actividad de fuerza bruta contra los sistemas de ONPE. Por ende, negamos tajantemente lo señalado por RENIEC y nos reafirmamos: la vulnerabilidad sí existió y fue responsabilidad de quien programó el sistema.
Pero creo que la lección principal es otra y tiene que ver con cómo el Estado reacciona a problemas de seguridad informática. Todo sistema informático, incluyendo los del Estado, puede tener errores. Las empresas privadas, por ejemplo, reconocen esto y tienen programas de reconocimiento a quienes encuentran errores y los reportan de la forma en la que nosotros lo hicimos. La lógica es que se los reporten a las empresas en lugar de venderlos a terceros que pueden explotarlos para robar información. Nuestro Estado, por el contrario, no solo no tiene mecanismos formales para el reporte sino que deliberadamente evita documentarlos y su primera reacción es siempre negar que alguna vez sucedieron. Con estas prácticas, no sería sorprendente que para muchos otros programadores y investigadores resulte más interesante simplemente publicar sus hallazgos en foros o páginas de Facebook para obtener reconocimiento. Peor todavía, podrían optar por vender estos secretos en el mercado negro a quienes puedan explotarlos que reportarlos al Estado. Si queremos empezar a pensar en un país más moderno y digital, tenemos necesariamente que entender estos equilibrios y aprender a lidiar con estos problemas.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
Queremos que nuestro trabajo no sea solo es reactivo a lo que hace el gobierno sino también propositivo. Desde nuestras primeras campañas, hemos entendido que el rol que juegan organizaciones como nosotros no se agota en criticar desde la tribuna.
Por eso, estamos muy contentos de participar en la iniciativa #UnBuenPlan, promovida por un grupo de las más importantes organizaciones de la sociedad civil de Perú. Se trata de un esfuerzo por brindar insumos accionables e ideas concretas sobre áreas temáticas específicas a los próximos candidatos a alcaldes y gobernadores regionales de todo el país. Gracias a la invitación del grupo impulsor de la iniciativa, en Hiperderecho hemos contribuído con una sección sobre Gobierno Electrónico y Modernización Estatal.
Entendemos el Gobierno Electrónico como el uso de la tecnología para mejorar la forma en la que el Estado funciona. Al respecto, se ha escrito un montón en nuestro país aunque se ha practicado mucho menos. Esta vez nuestras propuestas no pasan por grandes ideas como interoperabilidad del Estado, reducción del uso del papel o digitalización radical de los trámites. Sabemos que todas esas son cosas importantes pero también que para practicarlas se necesita capacidad, recursos y probablemente un horizonte temporal más grande. Por eso, nuestras propuestas se han centrando en intervenciones específicas que están al alcance de la mayoría de instituciones públicas.
Nuestras cinco propuestas parten de entender la modernización pública como un instrumento para avanzar los objetivos de la entidad y no como un fin en sí mismo. Desde esa base, hacemos propuestas concretas en materia de transparencia, acceso a la información pública, garantías para los Derechos Humanos y participación del sector privado en condiciones de transparencia. Nuestras cinco propuestas son:
Toda inversión de tiempo o recursos en materia de modernización y gobierno electrónico debe de estar basada en principios claros y objetivos de interés público
Poner a disposición del público una lista completa de normas legales y actos administrativos producidos por la entidad.
Permitir a los ciudadanos realizar solicitudes de Acceso a la Información Pública a través de Internet.
Tomar decisiones sobre el uso de tecnología aplicando un test de proporcionalidad
Involucrar al sector privado y la comunidad en la tarea de modernizar el Estado
Pueden leer el desarrollo de estas propuestas desde la página web de Un Buen Plan. Ahí también encontrarán las contribuciones de otras organizaciones como Transparencia, Ciudadanos Al Día, el Instituto de Derechos Humanos de la Pontificia Universidad Católica del Perú, ProEtica, Ni Una Menos – Perú, PROMSEX, Soluciones Prácticas, DAR, Wiphala, Cruzada Vial y Propuesta Ciudadana. La presentación y publicación de planes de gobierno es un requisito de obligatorio cumplimiento para participar en las elecciones del 7 de octubre. El plazo máximo para presentarlo es el 19 de junio, conjuntamente con las listas de candidatos y candidatas.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
Estamos muy contentos de presentar en sociedad Tacita.club, uno de los proyectos de la Liga Juvenil de Defensa de la Internet acelerados por Hiperderecho. Se trata de una página web abierta y gratuita para que cualquiera pueda compartir con otros sus guías de estudio y apuntes de cualquier curso universitario. La web está disponible desde este mes para todos y esperamos ver crecer su repositorio de documentos en las próximas semanas.
El problema
El año pasado, nuestros amigos de la Liga Juvenil empezaron con la pregunta sobre cómo la tecnología puede ayudar a mejorar la vida de un estudiante promedio. Conversamos sobre varios problemas diarios como encontrar los mejores lugares para estudiar dentro del campus, facilitar transacciones comerciales entre estudiantes de alquiler o compraventa, acceder a reseñas honestas de cursos anteriores, coordinación de carpooling para estudiantes que viven lejos, entre otros.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
Las últimas semanas del año pasado estuvieron marcadas por una crisis política muy profunda. Este ruido político escondió otros temas que, en forma circunstancial o deliberada, pasaron desapercibidos en el debate nacional. Uno de ellos es la propuesta de dos parlamentarios de la bancada de Fuerza Popular para modificar el Reglamento del Congreso y dotar a las Comisiones Investigadoras de la capacidad de solicitar el levantamiento del secreto de las comunicaciones. Esta preocupante propuesta, que fue exonerada de estudio en Comisión para acelerar su aprobación, significaría darle al Congreso una potestad que muy pocas instancias estatales tienen y pondrían las comunicaciones de cualquier persona a mercer de los congresistas de turno.
contenida en los dos proyectos de Resolución Legislativa
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
¿Qué ha pasado este año con las políticas públicas en tecnología en Perú? Mucho, en términos de cambios estructurales. Pero en torno a cambios reales o de coherencia también podría decirse que muy poco. Detrás del ruido de una serie de iniciativas desconectadas hoy se distingue el de la crisis política reciente, que ha agregado un símbolo de interrogación a cualquier conclusión sobre lo que pasó institucionalmente en nuestro país este 2017.
Una de las grandes tendencias del año ha sido el esfuerzo de reformulación institucional. La Oficina Nacional de Gobierno Electrónico, bajo la dirección de Lieneke Schol, se transformó en la Secretaría de Gestión Digital para asumir el liderazgo del Sistema Nacional de Informática. En paralelo, el Ejecutivo continuó el plan de convertir darle al Ministerio de Transportes y Comunicaciones ahora tiene competencia sobre Tecnologías de la Información pero la iniciativa continúa sin materializarse. De aprobarse, antes que un ente rector tendríamos dos: la SegDI se encargaría de todo lo que tiene que ver con tecnología dentro del aparato estatal y el Ministerio haría lo propio hacia afuera. Este año también marcó el reagrupamiento de la Comisión Multisectorial para el Desarrollo de la Sociedad de la Información (CODESI) y el fortalecido Foro Peruano de Gobernanza de Internet con el reto que conlleva encontrarle un rol en el creciente ecosistema. En ese sentido, la reciente aprobación de la Política 35 del Acuerdo Nacional apunta en el sentido correcto pero todavía falta mucho para poder dotarla de acciones. Así, queda la impresión de que en el arreglo institucional final todavía hay mucho por definir en términos de roles. Por ejemplo, cierta forma del Plan Nacional de Ciberseguridad está siendo desarrollado al mismo tiempo por la SegDi y por CODESI, sin que exista coordinación sustantiva entre ambos.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
La semana pasada todo Internet parecía hablar de un solo tema: la decisión de la Federal Communications Commission (FCC) de dejar sin efecto las normas de Neutralidad de Red de Estados Unidos. En diversos tonos se declaró un día triste para la libertad de expresión, se anunció el fin de Internet, o incluso un antes y un después para la democracia en occidente. Sin embargo, ¿qué significa esto y por qué la decisión de cinco funcionarios estadounidenses parece importarnos tanto? Este es un intento de entender esta controversia desde Perú.
Neutralidad de Red
La Neutralidad de Red es un principio conceptual que propone que los contenidos en Internet deben de ser transportados de la manera más agnóstica posible, sin diferenciar o discriminar en función de su tipo, naturaleza o destino. La discusión sobre la regulación de la Neutralidad de Red es un debate en Derecho de las Telecomunicaciones que gira en torno a prohibir legislativamente a quienes controlan la infraestructura de comunicaciones que posibilita el acceso a Internet (empresas de telecomunicaciones) alterar el contenido o las condiciones en la que sus usuarios usan el servicio. Es decir, prohibir que empresas como Telefónica o Claro discriminen tecnológica o económicamente entre las distintas páginas web, aplicaciones o contenidos a los que sus usuarios acceden.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
Esta nueva se cuida de incidir en aspectos controvertidos como responsabilidad por daños, seguros obligatorios, obligaciones tributarias o laborales. Por el contrario, se pone énfasis en delimitar las condiciones de acceso y permanencia al este mercado de servicios sin justificar en ningún punto cómo esto beneficia a los usuarios ni los pone en una mejor situación que la actual. Es preocupante que luego de las diversas discusiones en torno al primer proyecto de ley, que la propia Comisión tiene bajo estudio, se proponga como alternativa una solución todavía menos sensible a la realidad de este mercado.
Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford (California, Estados Unidos).
