El día 18 de enero, Víctor Shiguiyama, actual autoridad de la Superintendencia Nacional de Aduanas y Administración Tributaria (SUNAT), anunció que su despacho comenzará a emplear información de las redes sociales de los contribuyentes, con el fin de combatir la evasión tributaria. Para lograrlo, Shiguiyama afirmó que “han contratado matemáticos y físicos” que apoyarán las tareas de fiscalización y puedan cruzarse bases de datos más complejas.
Desde varios años, diferentes entidades del Estado vienen modernizando su gestión introduciendo nuevas tecnologías que buscar facilitar sus dinámicas internas para ofrecer mejores servicios a los ciudadanos. En ese sentido, no resulta extraño oír que la SUNAT quiere sumarse a la ola de innovación, pero la medida anunciada ha levantado algunas preocupaciones respecto de hasta dónde puede llegar el Estado con el fin de cumplir sus objetivos; en este caso, el de atrapar a los evasores vía sus publicaciones en Facebook y Twitter o las fotos que suben a Instagram.
En setiembre de 2017, colaboramos con SUNEDU para solucionar un filtrado de datos personales que comprometía a todos los estudiantes del Perú. Gracias al oportuno reporte de Hiperderecho, la información personal de todos los portadores de un carné universitario válido hoy se encuentra más segura.
El problema
La historia comienza con La Liga Juvenil de Defensa de Internet, un proyecto de Hiperderecho para reunir y potenciar ideas de estudiantes universitarios que quieran hacer incidencia en la sociedad usando tecnología. En nuestras interacciones con los miembros de la Liga acabamos descubriendo que el nuevo carné universitario tiene impreso un código QR en la parte de atrás. Siguiendo nuestra curiosidad, nos pusimos a revisar qué era lo que el código contenía. Para nuestra sorpresa el código era simplemente una dirección web del siguiente formato:
Al entrar a esta dirección, se podía ver una representación web del carné universitario original, y con algunos cambios se podían ver los datos de otros alumnos:
Sin embargo, lo que hacía potencialmente peligrosa esta representación online es que los datos como nombre, carrera, universidad, estaban todos mostrados como texto simple. Es decir, resultaban fácilmente recolectables al igual que la foto del alumno, y estaban disponible como datos para ser consumidos y guardados por cualquiera.
Peor aún, como los códigos de alumno están conformados exclusivamente por números, con algo de astucia se podía automatizar el ingresar a todos los carnés emitidos por SUNEDU, desde el “0000000000000” hasta el “9999999999999”. El sistema no impedía este tipo de consultas automatizadas, y según nuestro cálculo preliminar, en un día se podría haber descargado una copia completa de la base de datos de alumnos universitarios del Perú, incluyendo nombre completo, DNI, universidad, carrera. Todo sin vulnerar ninguna medida de seguridad ni adivinar contraseñas.
Al confirmar la gravedad del problema, preguntamos a algunos estudiantes amigos de Hiperderecho qué les parecía que su información estuviese expuesta de esta manera en internet. La mayoría se sorprendió de ver sus datos disponibles de forma tan pública, y otro buen grupo encontró innecesario que con el simple cambio de un dígito se pudiese acceder a la información de cualquier otro alumno, y no solo la personal.
Reportando el problema
Reunidas estas impresiones y el análisis y evidencia del problema, decidimos contactar a las autoridades responsables. Empezamos contactando a PeCERT, la institución del estado encargada de coordinar la respuesta ante problemas de seguridad en las plataformas digitales del estado. Nos comunicamos con PeCERT a finales de setiembre pero nunca obtuvimos respuesta. De hecho, hasta ahora no sabemos nada de ellos.
En paralelo, pudimos entablar comunicación con el área de Comunicación de SUNEDU, la entidad precisamente encargada de emitir los carnés. Gracias a la intervención del área de Comunicación, logramos canalizar nuestro descubrimiento hacia el área técnica de SUNEDU y entendieron la magnitud del problema. Al poco tiempo, logramos reunirnos con ellos para conversar más a detalle de lo ocurrido. En la reunión nos presentaron las acciones que ya habían tomado luego de nuestro reporte y que planeaban tomar: una auditoría independiente al proveedor que se encargaba de manejar el sitio carneuniversitario.com.pe (el cual resulta es el proveedor también responsable de imprimir los carnés físicos), según SUNEDU la auditoría no había encontrado signos de abuso del sistema. No tuvimos acceso a ese reporte, pero creemos que es poco probable que se haya explotado la vulnerabilidad.
Adicionalmente, el equipo de SUNEDU nos aseguró que dos medidas se implementarían tan pronto como fuese posible: (1) exigir un segundo dato único antes de mostrar los datos del carné (los últimos dígitos del DNI); y, (2) añadir una salvaguarda a usos automatizados del sitio (en este caso el aditamento reCAPTCHA de Google).
Para finales de octubre pudimos confirmar que los cambios ya se habían aplicado y el sitio ya no era susceptible al error de seguridad que habíamos detectado.
Lecciones aprendidas
Al final de la experiencia, quedamos muy satisfecho de haber encontrado en SUNEDU a una institución tan receptiva de nuestros comentarios y preocupaciones además de muy felices de haber contribuido a mejorar la seguridad de un servicio del estado.
Sin embargo, hay una lección más grande en esta historia. Seguimos igual preocupados por la manera en que instituciones del estado continúan usando nuestros datos de manera poco reflexiva, sin informarnos, y potencialmente exponiéndonos a empresas o grupos que nada tienen que ver con la relación de confianza entre ciudadanos y estado.
En este caso, tenemos que cuestionar cuál es la real utilidad de tener un código QR en el carné universitario cuando dicho código es solo un link a un sitio web que replica la información del carné. Si lo que se busca es evitar falsificaciones, ¿es realmente lo más efectivo? ¿Tiene sentido esperar que en una boletería, o en un bus, el encargado de cobrar el medio pasaje: escanee un código QR e ingrese a un sitio web en su celular solo para verificar si el carné es válido? Nuestra impresión es que la idea no tiene aplicación pragmática, más aún con los cambios ahora introducidos para asegurar el sistema contra el filtrado tremendo de datos que estaba presente en el diseño original. Consideramos que otras soluciones de verificación podrían aplicarse. Pensemos en que el DNI no tiene un sitio web donde verificarse, y no por eso la gente ha perdido confianza en ese documento.
Por otro lado, la base de datos, o cuando menos el sitio web, está alojado en un dominio privado, un .com.pe que cualquiera de nosotros pudo haber comprado, o podría comprar, y cuyos contenidos son administrados por el proveedor de la impresión de carnés universitarios para SUNEDU. No creemos que exista ningún tipo de mala fe, pero sí es necesario cuestionar si poner en manos de un tercero el distribuir esta información a través de la web es un buen cuidado de nuestro datos.
Para terminar solo nos queda desear que futuras interacciones con otras instituciones del estado en temas de seguridad digital sean tan positivas como la que tuvimos en esta ocasión con SUNEDU. Hiperderecho se debe a los ciudadanos y no a instituciones o patrocinadores, y los usuarios que merecen que su información y derechos (privacidad incluida) sean respetados por el estado.
Empezamos el 2018 con una nueva entrega de nuestro ciclo Conexiones. Como sabes, se trata de nuestro ciclo de reuniones mensuales sobre tecnología e interés público en Perú. Este año, en lugar de una serie de charlas, tendremos un invitado o invitada central que conversará con alguien de nuestro staff sobre su relación con la tecnología, sobre cómo la incorpora en su trabajo diario y hacia dónde cree que va en el país. El mes pasado estuvimos en Trujillo hablando sobre cambio social y tecnología.
Pasó otro Foro de Gobernanza de Internet y dejó muchas cosas para contar. Participamos en dos paneles que contribuyeron al debate regional de dos temas súper importantes: los desafíos de la implementación de verificación biométrica en nuestro país y los avances (o retrocesos) en la regulación que protege nuestros datos personales. También fuimos incluidos en el reporte de global sis watch donde contamos la experiencia peruana en organizar y llevar a cabo el segundo Foro Peruano de Gobernanza de Internet. Por último, junto a otras organizaciones de la región, presentamos una carta abierta expresando nuestra preocupación por los caminos que está tomando el debate acerca de las «noticias falsas».
Biometría
En este panel, comentamos la oscuridad en la que nos encontramos para entender cómo está diagramado y cómo funciona el sistema de verificación biométrica en nuestro país. Presentamos algunos hallazgos previos [link 1] [link 2], que servirán para una investigación más profunda que realizaremos este año.
Pueden leer la transcripción de nuestra ponencia en este link. Todavía no han subido el video.
Protección de Datos Personales
Aquí presentamos las distintas actualizaciones que ha tenido nuestra Ley de Protección de Datos Personales y cómo ha sido implementada en los últimos años. Fue un interesante debate entre representantes de la región con posturas totalmente distintas.
Dicen que la moda de los zombies es cosa del pasado. Parece ser cierto, salvo cuando hablamos de tratados comerciales. En enero de este año anunciamos el fin del Acuerdo Transpacífico (TPP) luego del retiro de Estados Unidos por decisión del flamante presidente Donald Trump. Después de varios años de enfrentar una de las amenazas más grandes contra los derechos digitales, la mayoría de organizaciones en el Perú y en el mundo habíamos volteado a ocuparnos de otros problemas, con la tranquilidad que da la victoria. Pero lo cierto es que el TPP no estaba muerto.
La primera señal de que el cadáver todavía se movía fueron las declaraciones de intención de los países miembros luego del retiro de Estados Unidos. La perspectiva de haber pasado tanto tiempo negociando e incluso comprometiendo caudal político en vano no era una opción atractiva. Por otro lado, el lobby de las grandes industrias, que habían empujado de forma permanente el TPP, se mantenía activo y dispuesto a seguir con la presión. Finalmente, en varios casos, la firma del tratado formaba parte de algún plan o trama superior de los países participantes, cuyo abandono no podían permitirse de ninguna forma.
¿Qué ha pasado este año con las políticas públicas en tecnología en Perú? Mucho, en términos de cambios estructurales. Pero en torno a cambios reales o de coherencia también podría decirse que muy poco. Detrás del ruido de una serie de iniciativas desconectadas hoy se distingue el de la crisis política reciente, que ha agregado un símbolo de interrogación a cualquier conclusión sobre lo que pasó institucionalmente en nuestro país este 2017.
Una de las grandes tendencias del año ha sido el esfuerzo de reformulación institucional. La Oficina Nacional de Gobierno Electrónico, bajo la dirección de Lieneke Schol, se transformó en la Secretaría de Gestión Digital para asumir el liderazgo del Sistema Nacional de Informática. En paralelo, el Ejecutivo continuó el plan de convertir darle al Ministerio de Transportes y Comunicaciones ahora tiene competencia sobre Tecnologías de la Información pero la iniciativa continúa sin materializarse. De aprobarse, antes que un ente rector tendríamos dos: la SegDI se encargaría de todo lo que tiene que ver con tecnología dentro del aparato estatal y el Ministerio haría lo propio hacia afuera. Este año también marcó el reagrupamiento de la Comisión Multisectorial para el Desarrollo de la Sociedad de la Información (CODESI) y el fortalecido Foro Peruano de Gobernanza de Internet con el reto que conlleva encontrarle un rol en el creciente ecosistema. En ese sentido, la reciente aprobación de la Política 35 del Acuerdo Nacional apunta en el sentido correcto pero todavía falta mucho para poder dotarla de acciones. Así, queda la impresión de que en el arreglo institucional final todavía hay mucho por definir en términos de roles. Por ejemplo, cierta forma del Plan Nacional de Ciberseguridad está siendo desarrollado al mismo tiempo por la SegDi y por CODESI, sin que exista coordinación sustantiva entre ambos.
La semana pasada tuvimos una edición especial de Conexiones, nuestra reunión mensual para hablar de tecnología con usuarios y especialistas. Esta vez estamos probando con un nuevo formato: una conversación con un invitado especial frente a una audiencia, con preguntas en vivo y cuyo audio luego distribuímos por Internet en la forma de podcast. Empezamos este ciclo el mes pasado hablando con el periodista Bruno Ortiz sobre lo que signifca escribir sobre ciencia y tecnología en Perú.
En esta segunda entrega viajamos hasta Trujillo, para hablar con Clarissa García y Sharon Leon de Reinventando el Mundo, una organización de voluntariado que se promociona casi exclusivamente usando redes sociales. Ellas conversaron con Marieliv Flores de Hiperderecho sobre las dificultades de pasar a la acción real y otros retos de la comunicación en línea..
¿Cómo escuchar conexiones?
La manera más sencilla de escuchar el programa es en el canal de YouTube de Hiperderecho, o en el video al final de este post. Para los fanáticos de los podcasts, también hemos registrado Conexiones en los directorios de iTunes. Si tienes un iPhone, puedes escucharnos a través de la aplicación oficial o en Overcast. Si tu teléfono es Android, puedes usar Stitcher y buscarnos en el directorio. Si no nos encuentras, solo copia y pega esta dirección en tu campo de suscripción.
La semana pasada todo Internet parecía hablar de un solo tema: la decisión de la Federal Communications Commission (FCC) de dejar sin efecto las normas de Neutralidad de Red de Estados Unidos. En diversos tonos se declaró un día triste para la libertad de expresión, se anunció el fin de Internet, o incluso un antes y un después para la democracia en occidente. Sin embargo, ¿qué significa esto y por qué la decisión de cinco funcionarios estadounidenses parece importarnos tanto? Este es un intento de entender esta controversia desde Perú.
Neutralidad de Red
La Neutralidad de Red es un principio conceptual que propone que los contenidos en Internet deben de ser transportados de la manera más agnóstica posible, sin diferenciar o discriminar en función de su tipo, naturaleza o destino. La discusión sobre la regulación de la Neutralidad de Red es un debate en Derecho de las Telecomunicaciones que gira en torno a prohibir legislativamente a quienes controlan la infraestructura de comunicaciones que posibilita el acceso a Internet (empresas de telecomunicaciones) alterar el contenido o las condiciones en la que sus usuarios usan el servicio. Es decir, prohibir que empresas como Telefónica o Claro discriminen tecnológica o económicamente entre las distintas páginas web, aplicaciones o contenidos a los que sus usuarios acceden.
Cada año, este evento organizado por la Secretaría General de Naciones Unidas, reune bajo un formato de discusión de múltiples actores a cientos de representantes de gobiernos, academia, comunidad técnica, sector privado y sociedad civil. Al igual que en años anteriores, este año Hiperderecho nuevamente estará presente en el Foro que se lleva a cabo esta semana en Ginebra, Suiza en el Palacio de las Naciones. Ahí compartiremos algo de lo que hemos estado haciendo este año en Perú y nuestra visión de cómo las políticas públicas en tecnología están impactando en el desarrollo del país.
Esta nueva se cuida de incidir en aspectos controvertidos como responsabilidad por daños, seguros obligatorios, obligaciones tributarias o laborales. Por el contrario, se pone énfasis en delimitar las condiciones de acceso y permanencia al este mercado de servicios sin justificar en ningún punto cómo esto beneficia a los usuarios ni los pone en una mejor situación que la actual. Es preocupante que luego de las diversas discusiones en torno al primer proyecto de ley, que la propia Comisión tiene bajo estudio, se proponga como alternativa una solución todavía menos sensible a la realidad de este mercado.
