ONPE filtró los datos personales de millones de peruanos durante más de medio año

Entre octubre del año pasado y junio de este año, los nombres, apellidos, fecha de nacimiento, sexo y edad de todos los peruanos mayores de edad fueron accesibles y descargables a través de la página web de la ONPE. Un error informático en el formulario de inscripción de su Hackaton del año pasado, repetido en su más reciente versión, permitía a cualquier usuario de Internet descargar todos nuestros datos personales sin vulnerar ninguna medida de seguridad ni levantar ninguna alerta en ONPE. Esta es la historia de cómo Hiperderecho descubrió el error, lo reportó a las autoridades y logró que se solucione, aunque la autoridad nunca reconoció su error.

El 7 de junio de este año la ONPE anunció la organización de su hackathon 2018 con el título “Desafiando la Solución del Voto Electrónico Presencial”. Su finalidad era invitar a grupos de estudiantes de ingeniería y computación a encontrar vulnerabilidades en los módulos de voto electrónico presencial que la entidad ha desarrollando y viene desplegando. En el contexto de la polémica implementación de este sistema, ONPE esperaba ganar un poco de legitimidad a través de este concurso. Nosotros decidimos investigar los requisitos de inscripción para aprovechar lo que parecía ser una oportunidad de interactuar con los equipos técnicos de la ONPE y del voto electrónico.

Leer más

Hiperderecho participó en foros sobre seguridad digital para mujeres

En los últimos meses, Hiperderecho asistió a dos eventos sobre género y seguridad en línea junto a organizaciones de derechos digitales de Paraguay, Brasil, Colombia, Argentina y Chile que, al igual que nosotros, buscan combatir la violencia de género en línea en la región. En este post te compartimos algunas ideas y herramientas que recogimos en el camino.

II Foro de Género y Ciberseguridad de la OEA

A finales de mayo, participamos del II Foro Internacional de Género y Ciberseguridad, un encuentro organizado por el Instituto Nacional de Ciberseguridad (INCIBE) de Argentina, en colaboración con la Organización de Estados Americanos (OEA). Las distintas ponencias analizaron cómo las agendas de ciberseguridad regionales e internacionales deben integrar un enfoque de género y responder a la creciente violencia de género en el ámbito digital.

Leer más

Mincetur busca prohibir que peruanos alquilen sus viviendas a través de Airbnb

El Ministerio de Comercio Exterior y Turismo (MINCETUR) publicó para comentarios el mes pasado una propuesta de nuevo Reglamento de Establecimientos de Hospedaje. Esta norma actualiza el actual Reglamento del 2015 y tiene como propósito señalar la categorización, calificación y supervisión del funcionamiento de todos establecimientos de hospedaje del país. El texto propuesto incluye un apartado dedicado al alojamiento en “casas particulares” y establece condiciones que, en la práctica, prohibirían el alquiler privado de habitaciones o casas a turistas a través de plataformas en línea como Airbnb, Despegar o HomeAway.

El proyecto de Reglamento de Hospedajes pretende modernizar ciertas reglas de esta industria respecto al sistema de permisos de funcionamiento, categorías y oferta de servicios al turista. Esto no es nada nuevo y el sector turístico parece estar acostumbrado a estos cambios. No obstante, lo que debería ser un texto de fácil consenso se transforma cuando llega al apartado en que se regula el “servicio de alojamiento en casas particulares”.

Leer más

Participa de nuestra encuesta sobre Violencia de Género en Línea

Hace unos meses publicamos un post en el cual te contábamos sobre nuestro proyecto de investigación referente a la Violencia de Género en Línea (VGL).  Con esta investigación buscamos analizar cómo la violencia que se desarrolla en espacios offline en contra de las mujeres y la comunidad LGTBIQ+ se suele perpetuar en espacios digitales, repercutiendo (nuevamente) los derechos de personas que pueden encontrarse en situaciones de vulnerabilidad.

Es por ello que estamos partiendo desde un enfoque de género y de interseccionalidad:  para poder analizar todas las variables que intervienen en el comportamiento de algunxs usuarixs en ciertos espacios digitales y de qué maneras se alinean con directrices de una sociedad heteropatriarcal y machista.

Nuestra investigación también busca resaltar cómo ciertos grupos de personas, que han afrontado situaciones de VGL, han creado y potenciado excelentes y valientes formas de defensa y protección. Ante estas situaciones, es importante reflexionar sobre cómo lidiamos con este tipo de violencia, y a qué o quienes recurrimos.

Por esa razón, estamos lanzando la encuesta Violencia de Género en Línea, por medio de la cuál queremos conocer acerca de tu experiencia afrontando estas situaciones y tus estrategias de respuesta. Te aseguramos que la encuesta es anónima y que la información que nos brindas será usada únicamente para esta investigación.

Si alguna vez has sufrido algún tipo de agresión en un entorno digital (redes sociales, foros, chats, etc.) y vives en Perú, por favor ayúdanos completando la encuesta y compártela con tus contactos.

Si tuvieras alguna duda o quisieras conversar sobre esta investigación, contáctate con [email protected]

Foto: Constanza Figueroa para Derechos Digitales (CC BY)

Jimena Sánchez nos habló de innovación, datos abiertos y gobiernos locales

En junio tuvimos la octava edición de la segunda temporada de Conexiones, nuestro ciclo de conversaciones públicas con las personas e ideas más interesantes de la tecnología en Perú.

Para cerrar la temporada estuvimos con Jimena Sánchez, experta en innovación tecnológica en gobiernos locales y gestión municipal. Jimena nos contó su historia iniciando con el fomento a los datos abiertos y las anécdotas de tratar de mejorar el gobierno local a través de iniciativas de transparencia y comunicación, especialmente liberando datos y creando espacios de investigación y experimentación.

Nuevamente agradecemos a Espacio Fundación Telefónica por el espacio y colaboración. El próximo mes Conexiones se toma un descanso para volver nuevamente en la quincena de agosto. Pueden seguirnos en Facebook, Instagram y Twitter para no perderse el anuncio de nuestro invitado y lugar.

Para escuchar esta edición de Conexiones, pueden visitar el sitio web de Conexiones, o nuestro canal de YouTube, o directamente al final de este artículo, en la web de Hiperderecho.

RENIEC negó que haya existido un filtrado de datos personales. Nosotros lo confirmamos.

Como parte de nuestra investigación sobre Identidad Biométrica en Perú, reportamos que hace unos meses habíamos descubierto y reportado un filtrado de datos personales que exponía las fotografías del documento de identidad de todos los ciudadanos peruanos. La vulnerabilidad, que fue solucionada luego del reporte inicial de Hiperderecho en abril, estaba contenida en el Sistema Padrón Nominal desarrollado por el Registro Nacional de Identificación y Estado Civil (RENIEC) para uso del Ministerio de Salud.

En una nota de Hernán Medrano aparecida en diario El Comercio días después de nuestro reporte, se recoge la respuesta de Danilo Chávez, gerente de Tecnología de la Información del RENIEC. Quiero dedicar esta entrada a responder objetivamente a sus declaraciones, que se refieren concretamente a nuestros hallazgos y la veracidad de lo reportado. Creemos que este es el tipo de conversaciones públicas sobre seguridad digital que nuestra comunidad necesita.

En sus descargos, el funcionario señala que RENIEC solo creó la plataforma Padrón Nominal pero que quien la maneja es el Ministerio de Salud. Esto no contraviene el reporte de Hiperderecho porque el error que encontramos y denunciamos es un error en el diseño del sistema informático, no en su operación. La razón por la cual cualquier persona podía descargar la fotografía del DNI de millones de peruanos digitando una dirección web era porque cuando se programó la plataforma se dejó abierta por error esa ruta. En su calidad de operador del sistema, no hay nada que el Ministerio de Salud pudo haber hecho para cambiarlo. Afirmar lo contrario es el equivalente a decir que una falla estructural en una vivienda es responsable de sus habitantes y no de sus constructores porque ellos son quienes viven ahí.

Leer más

¿Qué está haciendo el Congreso con las aplicaciones de viajes compartidos?

Las aplicaciones como Uber, Beat o Cabify están bajo la mira del Congreso. La Comisión de Transportes y Comunicaciones aprobó la semana pasada un Dictamen que busca introducir nuevas reglas al funcionamiento de las aplicaciones para solicitar vehículos en Perú. Todavía no sabemos qué dice ese Dictamen porque no ha sido publicado en la página web del Congreso. No obstante, sí sabemos que está basado en tres proyectos de ley anteriores de Miguel Elías, Roy Ventura y Octavio Salazar. Lamentablemente, lo que trasciende de ellos es una falta de comprensión sobre cómo funciona la tecnología y cuál es el rol del Estado en la innovación tecnológica.

Leer más

Informe: ¿Cómo funciona la identidad biométrica en Perú?

A fines del año pasado, en Hiperderecho iniciamos un proyecto que buscaba preguntarse sobre el desarrollo de una de las tecnologías más empleadas en la actualidad para la verificación de la identidad: la biometría. Nuestro objetivo era conocer cuál era el estado de desarrollo de esta tecnología en el país, qué actores relevantes intervienen en este ecosistema y cuáles son los escenarios de oportunidad y de riesgo que existen tanto en el sector público como privado.

Como parte de las actividades del proyecto, empezamos buscando qué se había escrito o investigado sobre el tema antes. Sin embargo, pronto nos dimos cuenta que la investigación independiente en estos temas es prácticamente nula en el Perú. No obstante, no es que no existiera información al respecto. De hecho, existía bastante pero la mayor parte eran normas, manuales, guías y otros documentos de trabajo de una sola entidad del Estado, que parecía ejercer un control casi exclusivo sobre el uso de la biometría: el Registro Nacional de Identificación y Estado Civil (RENIEC).

Leer más

Fallo de seguridad permitía descargar la foto del DNI de todos los peruanos

A mediados de abril encontramos y reportamos que un problema en una web de RENIEC permitía descargar la foto de todos los DNIs del Perú, de manera sencilla y automática. Todo esto, sin sonar ninguna alarma o esquivar la seguridad del sistema.

El sitio web y el acceso a las fotos

El sitio web problemático era el Padrón Nominal, un sistema desarrollado por RENIEC para el Ministerio de Salud usado en centros de salud del país para hacer control de salud de los niños menores de 6 años.

Leer más