Desde el 2006, la ONPE viene desplegando progresivamente una solución de voto electrónico que consiste en usar tablets sin conexión a Internet para emitir votos y luego enviar los resultados consolidados por Internet. En el sistema que propone ONPE el acto de votar sigue siendo presencial, pero en lugar de marcar en una cédula de papel, se usa un tablet que tiene una representación visual de lo que hubiese sido la cédula tradicional. Es decir, es un «voto electrónico» pero «presencial», de ahí el nombre. El software que se usa en las tablets de votación y mesas de sufragio, así como el sistema de transmisión, ha sido desarrollado internamente por ONPE.
En Hiperderecho continuamos con el trabajo de generar productos que lleguen a un público con el que tenemos mucho en común, pero con el que no siempre nos encontramos en el trabajo del día a día: emprendedores digitales. Antes ya lo hemos hecho con una guía sobre Políticas Públicas, en la que queríamos mostrar la importancia de la participación de los emprendedores en la discusión de políticas que afectan su sector. En esta ocasión, queremos dar a conocer herramientas y metodologías de trabajo que pueden servir para impulsar sus emprendimientos.
Esta adhesión, que viene gestándose desde hace varios años, concluye el largo camino que recorre el país en materia de seguridad digital e impulsa otra agenda pendiente: la creación de un Plan Nacional de Ciberseguridad. Pero, ¿qué es este convenio y por qué es importante para nuestro país?
Antecedentes
A inicios de los años 90, diferentes voces en múltiples espacios de discusión internacional comenzaron a reclamar atención sobre la necesidad de encarar conjuntamente los problemas derivados del uso de las tecnologías de información y comunicación. Sobre todo en los países desarrollados, en donde estas tecnologías habían alcanzado un grado mayor de avance y penetración, el abuso por parte de los usuarios producía efectos negativos cada vez más relevantes para la economía y la sociedad.
El mes pasado publicamos nuestro reporte Identidad Biométrica en Perú, una indagación legal y tecnológica sobre cómo funcionan los sistemas de identificación digital en nuestro país. Una de las cosas que investigamos fue cómo funcionaba el sistema de consultas en línea de Registro Nacional de Identificación y Estado Civil (RENIEC), la autoridad de identificación de Perú. Lo que descubrimos fue un negocio público y claro en torno a permitir el acceso a nuestra información personal. Un arreglo comercial que no necesariamente se traduce en más seguridad o trámites más simples para los ciudadanos.
Todos sabemos que RENIEC tiene nuestra información completa incluyendo nombres, fecha de nacimiento, sexo, domicilio, nombres de padres y madres, entre otros. Al mismo tiempo, hemos visto las fichas RENIEC en la televisión o los periódicos. Sin embargo, sabemos poco sobre quiénes pueden consultar la información del Archivo Nacional de Identificación, en qué casos y bajo qué condiciones.
Este año se llevará a cabo la 11 Reunión Regional Preparatoria para el Foro de Gobernanza de Internet (LACIGF), en la ciudad de Buenos Aires, Argentina. Este evento funciona como un espacio de encuentro y colaboración a nivel regional para impulsar el diálogo multisectorial entre gobiernos, sector privado, academia y organizaciones de la sociedad civil en torno a Internet.
Es por ello que Hiperderecho estará presente en los eventos del LACIGF comentando los avances y retos que el Perú enfrenta en temas de tecnología y Gobernanza de Internet. En esta edición, la agenda del evento se centrará en temas como brecha digital, amenazas a la libertad de expresión, economía digital, protección de datos desde una perspectiva de derechos, entre otros.
La semana pasada la ONPE anunció públicamente una hackathon sobre el voto electrónico, pero en el formulario de inscripción acabó exponiendo el nombre, fecha de nacimiento y número de todos los DNIs del Perú.
La hackathon de la ONPE
El 7 de junio, la ONPE anunció la organización de su hackathon 2018 con el título «DESAFIANDO LA SOLUCIÓN DEL VOTO ELECTRÓNICO PRESENCIAL». Según las bases del concurso, el objetivo es «…aportar en el mejoramiento de la gestión pública a través del desarrollo de soluciones tecnológicas electorales.», pero según la nota de prensa el objetivo es «fomentar soluciones tecnológicas en la gestión pública, el intercambio académico y cultural bajo un enfoque de ideas innovadoras en beneficio de los ciudadanos y la difusión de mecanismos de seguridad del Voto Electrónico Presencial, como una solución tecnológica electoral confiable.»
Sin embargo, el video de difusión parece describir un evento exclusivamente de seguridad, para poner a prueba la implementación del voto electrónico presencial:
Confundidos por estos mensajes contradictorios, decidimos investigar los requisitos de inscripción para aprovechar lo que parecía ser una oportunidad de interactuar con los equipos técnicos de ONPE y del voto electrónico.
El problema de seguridad en la inscripción
Para inscribirse en el evento es necesario escoger un nombre de equipo y luego registrar a tres integrantes para ese equipo. Lo interesante es que el formulario no pide nombres, edades, de hecho no pide ningún ingreso de información personal. Lo único que pide es el número de DNI de los participantes.
El formulario de inscripción de la hackathon de ONPE. Como ejemplo, nuestro primer integrante es el DNI del Presidente Vizcarra.
Luego de ingresar el DNI de un integrante, el sistema indica que presionemos «VALIDAR» para cargar los datos de la persona, en este ejemplo hemos usado el DNI del Presidente Vizcarra. Curiosamente, alguien ya ha registrado el DNI del ex presidente PPK.
Al presionar «VALIDAR», el sistema carga el nombre, sexo, y si la persona es mayor de edad.
Luego de presionar el botón de «VALIDAR», el sistema carga los datos del DNI ingresado.
Este formulario de inscripción carga (o cargaba) la información desde una dirección de la siguiente forma:
http://hackathon.pe/hackathon_ve/person/04412417
En esa dirección, el sistema respondía con la información de dicho DNI en el formato de datos JSON:
Los datos del Presidente Vizcarra en JSON, un formato de intercambio de datos muy usado en programación web.
Esta dirección puede (o podía) ser consultada sin necesidad de identificarse con algún tipo de usuario, ni romper algún tipo de seguridad, ni nada por el estilo. Es una dirección públicamente accesible, sin ningún control de acceso, repeticiones, ni nada por el estilo.
La descarga masiva de datos
Tal como la última vez que reportamos este tipo de problemas, decidimos revisar si era posible abusar de este error de manera automatizada y de esa forma descargar la información de cientos de personas sin mayor esfuerzo, y potencialmente la de millones de personas.
Confirmamos rápidamente que no había ningún tipo de limitación o seguridad asociada a esta dirección web, así que decidimos crear una prueba de concepto, es decir, un programa sencillo que demuestre la vulnerabilidad de forma sencilla.
Luego de una mañana de trabajo y pruebas, desarrollamos una aplicación que demostraba cómo era posible descargar automáticamente estos datos y convertirlos en un archivo de Microsoft Excel, o sea, una hoja de cálculo, una base de datos con nombres, fechas de nacimiento y números de DNI.
Una pequeña muestra del archivo Excel generado en unos segundos.
En el siguiente video pueden ver cómo en menos de treinta segundos logramos descargar la información de cincuenta personas, y archivarla en formato Excel, todo esto sin intervención humana, es decir, de manera completamente automática.
VIDEO JSON
Nuestro reporte
HISTORIA DE COMO LO REPORTAMOS
Preocupación permanente
Nuestra preocupación sobre cómo se usan nuestros datos en el Estado vuelve a confirmarse. Este tipo de aplicaciones, hechas sobre la marcha y sin mayor cuidado, parecen muy simples pero acaban generando vulnerabilidades y agujeros de seguridad que exponen información de todos los peruanos.
Nos preocupa que con el objetivo de aparentar modernidad, este tipo de problemas sigan apareciendo. En el caso concreto de esta inscripción, quizá un formulario de Google Forms hubiese sido suficiente, pero sin duda menos «impresionante».
Seguiremos vigilando este tipo de iniciativas y sus inevitables errores.
En Junio, Hiperderecho asistió a dos eventos sobre género y seguridad en línea, junto a organizaciones de Paraguay, Brasil, Argentina y Chile que trabajan en el área de derechos digitales y que al igual que nosotros, buscan combatir la violencia de género en línea en sus países y en la región. En este post te compartimos algunos artículos y herramientas que recogimos en el camino.
Primero participamos del II Foro Internacional de Género y Ciberseguridad, un encuentro organizado por el Instituto Nacional de Ciberseguridad (INCIBE) de Argentina, en colaboración con la Organización de Estados Americanos (OEA). Las distintas ponencias analizaron cómo las agendas de ciberseguridad regionales e internacionales deben integrar un enfoque de género y responder a la creciente violencia de género en el ámbito digital.
Por si no conoces aún el término, la ciberseguridad se refiere a las políticas y herramientas legislativas que establecen cómo diferentes entidades protegerán a la sociedad de la ciberdelincuencia. Varios países de la región están desarrollando planes nacionales de ciberseguridad y cómo te contamos en un post, el Perú se encuentra en proceso de adherirse alConvenio de Budapest, el primer tratado que promueve la armonización de medidas a nivel internacional para hacer frente a los delitos informáticos. Según la Policía Nacional, en el Perú se reportan hasta 120 casos de ataques cibernéticos al mes, de los cuales 20% se refieren a la pornografía infantil y el 10% al robo de identidad.
Uno de los principales problemas en el campo de la ciberseguridad es la baja participación de mujeres. A nivel mundial, ocupan tan solo el 11% de puestos, lo que limita una perspectiva más diversa sobre cómo desarrollar planes de ciberseguridad que protejan las distintas necesidades de la ciudadanía. Algo más grave, es la ausencia de una perspectiva de género y un análisis feminista en estos discursos, que no cuestionan cómo la violencia en línea, manifestada por medio de ataques coordinados, la difusión de imágenes íntimas sin consentimiento o la suplantación de identidad pueden afectar de manera desproporcionada a los grupos más vulnerables de la sociedad, entre ellos las mujeres y la comunidad LGBTIQ+.
El evento en Buenos Aires buscó en gran parte hacer más explícita la conexión entre violencia de género y estrategias de ciberseguridad – sin embargo encontramos que hay un largo camino por recorrer para que tratados nacionales e internacionales de ciberseguridad incluyan un enfoque de género que tome en cuenta cómo además de herramientas legales y técnicas, necesitamos trabajar en construir infraestructuras sociales y culturales, como espacios de apoyo, autocuidado y formación, en los que grupos vulnerables conozcan cómo resistir y denunciar de manera segura y efectiva los ataques cibernéticos que reciben.
El 12 de junio también participamos de la mesa de conversación acerca de Seguridad Online para las Mujeres organizada por el equipo de Seguridad de Facebook de América Latina. Junto a representantes de Ni Una Menos Perú, Promsex y Proyecto Varela, tres organizaciones que luchan en contra de la violencia en contra de las mujeres y la comunidad LGBTQ+ en el Perú brindamos nuestra perspectiva sobre cómo la violencia en línea afecta el acceso equitativo a los espacios y herramientas de esta plataforma.
El equipo de Facebook organizó una serie de paneles sobre diversos temas relacionados a la seguridad en línea. ThinkOlga de Brasil y Colnodo de Colombia presentaron sobre los desafíos para crear un ambiente online más seguro y acogedor para las mujeres en Latinoamérica y cómo sus proyectos: Conexoes que Salvam (en portugués) y la Escuela de Seguridad Digital (en español) abordan el problema. Paz Peña de Chile también presentó sobre Acoso Online, una guía para denunciar y combatir la difusión sin consentimiento de imágenes íntimas a la que Hiperderecho también contribuyó.
Si bien consideramos que Facebook aún no ofrece soluciones al problema de ataques coordinados a los canales de expresión de sus usuarixs, sobretodo los de activistas, esta reunión fue útil para crear nuevos canales de comunicación entre la empresa y la sociedad civil de Latinoamérica.
Violencia de género en línea en Perú
Nuestra participación en estos encuentros nos dio una visión más holística sobre cómo los planes de ciberseguridad y/o seguridad digital necesitan urgentemente un enfoque feminista e interseccional que reconozca las relaciones de poder que se generan en espacios digitales y cómo éstas decantan en más vulnerabilidad para ciertos grupos.
Por medio de nuestra investigación, Hiperderecho ya está encontrando que entre los grupos más afectados por la violencia en línea se encuentran colectivas que defienden los derechos de las mujeres, la comunidad LGBTIQ+, y los de mujeres indígenas andinas y amazónicas, quienes además de llevar a cabo su activismo, están autogestionando su seguridad digital por medio de excelentes y valientes formas de defensa y protección.
Para conocer mejor este problema en el Perú, estamos lanzando la encuesta violencia de género en línea. Por favor ayúdanos a llenarla y compártela con tus contactos
Si tuvieras alguna duda o quisieras conversar sobre la investigación, contáctate con denisse@hiperderecho.org
El Ministerio de Comercio Exterior y Turismo (MINCETUR) publicó para comentarios el mes pasado una propuesta de nuevo Reglamento de Establecimientos de Hospedaje. Esta norma actualiza el actual Reglamento del 2015 y tiene como propósito señalar la categorización, calificación y supervisión del funcionamiento de todos establecimientos de hospedaje del país. El texto propuesto incluye un apartado dedicado al alojamiento en “casas particulares” y establece condiciones que, en la práctica, prohibirían el alquiler privado de habitaciones o casas a turistas a través de plataformas en línea como Airbnb, Despegar o HomeAway.
El proyecto de Reglamento de Hospedajes es pretende modernizar ciertas reglas de esta industria respecto al sistema de permisos de funcionamiento, categorías y oferta de servicios al turista. Esto no es nada nuevo y el sector turístico parece estar acostumbrado a estos cambios. No obstante, lo que debería ser un texto de fácil consenso se transforma cuando llega al apartado en que se regula el “servicio de alojamiento en casas particulares”.
En pocas palabras, alquilar una habitación, departamento o casa a un turista pasaría a quedar prohibido por ley salvo que se cumpla con dos requisitos en simultáneo:
Que la ciudad no cuente con infraestructura turística suficiente para cubrir la demanda, se haya sobrepasado la capacidad de la misma por festividades o haya ocurrido una catástrofe que la ha dañado total o parcialmente.
Contar con una autorización excepcional y temporal entregada por la autoridad competente, lo que implica pasar una constatación física del alojamiento por parte de la autoridad, donde se supervisan requisitos como que la construcción sea de material noble, exista ropa de cama, baño o botiquín, entre otros.
Creemos que esta propuesta tiene múltiples problemas y debería de ser reformulada. En principio, porque limita el derecho a la propiedad de cualquier peruano sin que existan razones justificadas para ello. Al establecer condiciones bajo las cuales una persona puede alquilar a otra su propiedad, el Reglamento estaría creando un régimen paralelo al del Código Civil. De la misma manera, el Proyecto de Reglamento restringe el derecho a la libertad de empresa pues si con las restricciones de excepcionalidad y temporalidad menoscaba la disposición de los bienes (las casas), al establecer sanciones administrativas y multas ahoga la justa pretensión de los propietarios o poseedores de beneficiarse económicamente de los mismos.
De aprobarse este Reglamento, todos los alquileres de casas particulares a turistas pasarían a ser irregulares por no contar con la autorización respectiva. Además, en los casos en que las casas se encuentren en lugares donde hay suficiente infraestructura turística para soportar la demanda, dicha autorización nunca podrá conseguirse o usarse legalmente. Como consecuencia directa de ello, desde el primer día los propietarios o poseedores que se encuentren realizando estas actividades se convertirán, en el mejor caso, en infractores de la ley hasta que regularicen su situación. En el peor, perderán la posibilidad de beneficiarse de los ingresos que suponía el alquiler de sus casas. Empresas como Airbnb poseen cifras sobre la cantidad de peruanos que usan su plataforma, las que nos llevan a pensar que la prohibición tendrá como consecuencia la precarización de la situación económica de estas personas.
No queda claro cuál es el problema que busca solucionar este Reglamento. ¿Seguridad ante imprevistos? ¿Calidad mínima de servicio? ¿Informalidad? En cualquier caso, la propuesta se queda corta en todos esos aspectos. Lo único que consigue es excluir a un grupo importante de individuos y familias peruanas que generan un ingreso extra gracias a Internet. Al limitar la posibilidad de que alquilen espacios disponibles en sus viviendas a cuando no queden hoteles disponibles y previo permiso, efectivamente se intenta desaparecer la actividad de las principales ciudades del país.
Cualquier esfuerzo por establecer reglas sobre cómo funcionan las plataformas digitales o los negocios que facilitan debe de ser participativo y basado en evidencia. Al mismo tiempo, no debe de perder de vista la capacidad que tiene la tecnología de reducir las barreras de acceso al mercado y permitirle a más ciudadanos a sacarle el máximo provecho a sus bienes. Por lo señalado creemos que esta propuesta de Reglamento, actualmente se encuentra bajo análisis en MINCETUR, falla en comprender eso.
Hace unos meses publicamos un post en el cual te contábamos sobre nuestro proyecto de investigación referente a la Violencia de Género en Línea (VGL). Con esta investigación buscamos analizar cómo la violencia que se desarrolla en espacios offline en contra de las mujeres y la comunidad LGBTI se suele perpetuar en espacios digitales, repercutiendo (nuevamente) los derechos de personas que pueden encontrarse en situaciones de vulnerabilidad.
Es por ello que para esta investigación estamos partiendo desde un enfoque de género y de interseccionalidad. Para poder analizar todas las variables que intervienen en el comportamiento de algunxs usuarixs en ciertos espacios digitales y de qué manaeras se alinean con directrices de una sociedad heteropatriarcal y machista.
Ante estas situaciones, es igual de importante reflexionar sobre cómo lidiamos con estas experiencias, y a qué o quienes recurrimos. Nuestra investigación también busca resaltar cómo ciertos grupos de personas que han afrontado situaciones de VGL han creado y potenciado excelentes y valientes formas de defensa y protección.
Por esa razón, estamos lanzando la encuesta Violencia de Género en Línea, por medio de la cuál queremos conocer acerca de tu experiencia afrontando estas situaciones y tus estrategias de respuesta. Te aseguramos que la encuesta es anónima y que la información que nos brindas será usada únicamente para esta investigación.
