Este mes de febrero la edición de nuestro podcast Conexiones tuvo como invitada a Maite Vizcarra, reconocida abogada, presentadora de TV, y difusora de tecnología e innovación. Conversamos sobre cómo ha evolucionado el escenario de tecnología e innovación en Perú en los últimos años, y cómo se ve el panorama para los siguientes.
Maite ha tenido muchos roles en su vida profesional, pero actualmente es más conocida por ser la presentadora de Umbrales, el programa de difusión de ciencia y tecnología en TV Perú. Lo anecdótico de esto es que Maite conduce el programa desde Noruega, donde vive desde hace un tiempo.
Esta edición de conexiones fue gentilmente alojada en las oficinas de Crack The Code, un espacio de educación tecnológica dirigido a niños y niñas, con un especial énfasis en el lado más lúdico de la computación.
Hace unos meses se presentó en el Congreso el Proyecto de Ley N° 1950/2017-CR, que busca modificar el artículo 164 del Código Penal sobre la publicación indebida de las comunicaciones. El objetivo es que este delito se amplíe para incorporar como protegidas a las comunicaciones hechas a través de mensajería instantánea y correo electrónico, además de las que ya estaban reguladas anteriormente. Asimismo, plantea un nuevo supuesto de agravante en el que, si el contenido publicado pertenece a una comunicación o grabación telefónica, la pena será de hasta dos (2) años. Su impulsor principal, el congresista Héctor Becerril, afirmó que esto es necesario para actualizar una norma que ha quedado desfasada con el avance de la tecnología.
Creemos que la protección del secreto de las comunicaciones es una preocupación legítima, sobre todo en el contexto que vivimos hoy en día. Sin embargo, tal como ya lo han señalado diferentes medios de comunicación, esta propuesta tiene varios problemas que podrían restringir otros derechos de forma ilegítima como la libertad de expresión, de información e inclusive el uso cotidiano que hacemos de Internet. Además, no representa una solución real para combatir el verdadero problema que es la existencia de organizaciones dedicadas a la interceptación ilegal de las comunicaciones, que no se ven afectadas por esta propuesta.
Las últimas semanas del año pasado estuvieron marcadas por una crisis política muy profunda. Este ruido político escondió otros temas que, en forma circunstancial o deliberada, pasaron desapercibidos en el debate nacional. Uno de ellos es la propuesta de dos parlamentarios de la bancada de Fuerza Popular para modificar el Reglamento del Congreso y dotar a las Comisiones Investigadoras de la capacidad de solicitar el levantamiento del secreto de las comunicaciones. Esta preocupante propuesta, que fue exonerada de estudio en Comisión para acelerar su aprobación, significaría darle al Congreso una potestad que muy pocas instancias estatales tienen y pondrían las comunicaciones de cualquier persona a mercer de los congresistas de turno.
contenida en los dos proyectos de Resolución Legislativa
Una de las maneras de comprender la evolución del feminismo es a través de sus tres olas que agrupan, según periodos de año, las principales causas de la lucha del feminismo. Desde el derecho al voto, los derechos laborales de las mujeres, combatir la violencia, cuestionar el esencialismo, centrarse en la interseccionalidad, hasta llegar al debate de la existencia de la cuarta ola. Esta comprendería temas como la cultura de violación, las micro agresiones, sexismo, el activismo en medios sociales y el ciberfeminismo.
Hasta la fecha muchos peruanos hemos podido ser testigos de los beneficios que puede traer la tecnología a nuestras vidas. Sin embargo, desde una perspectiva feminista es interesante cuestionar si el Internet puede proveer o convertirse en un espacio feminista, cómo las características on line pueden permitir o frenar el activismo por la igualdad de derechos, y si los nexos y redes tecnológicas replican los patrones patriarcales y machistas de nuestra sociedad porque se encuentran dominadas por hombres.
Si tenemos en cuenta que una de las principales características del Internet es su capacidad liberadora, entonces debería de proporcionarnos un espacio digital público donde las personas puedan organizarse según sus intereses y sin límites por cuestiones de seguridad a nivel digital como físico. De esa manera, Internet debería de estar construyéndose como un espacio que respeta la igualdad de derechos, oportunidades y libertades de las personas que lo utilizan, y libre de réplicas misóginas, sexistas y heteropatriarcales.
Este mes continúa nuestro ciclo Conexiones, Como ya saben, se trata de nuestra serie de conversaciones mensuales con las ideas, personas y proyectos más interesantes del ecosistema tecnológico local. Este año, en lugar de una serie de charlas, tendremos un invitado o invitada central que conversará con alguien de nuestro staff sobre su relación con la tecnología, sobre cómo la incorpora en su trabajo diario y hacia dónde cree que va en el país. Todas las fechas son grabadas y publicadas como podcast y también en Youtube. El mes pasado nos acompañó David Hidalgo de Ojo Público.
En Febrero tenemos como invitada a Maite Vizcarra, una abogada, divulgadora tecnológica y experta en innovación con más de quince años trabajando en el ámbito digital en nuestro país. Desde hace unos años, Maite conduce el programa de televisión Umbrales en TV Perú desde donde ha documentado buena parte de la revolución tecnológic en nuestro país. Más recientemente, Maite se mudó a vivir a Noruega desde donde buscar promover transferencia tecnológica entre esa región y nuestro país.
Para quien no lo recuerde, la Ley Stalker es una norma vigente desde el 2015 que habilita a la Policía a solicitar el acceso de los datos de geolocalización de cualquier dispositivo móvil en tiempo real para combatir contra el crimen. Así mismo, obliga a los concesionarios de servicios de telecomunicación a crear un registro de los datos de sus usuarios hasta por tres años con el fin de hacerlos accesibles para la investigación de delitos.
En octubre de 2017, el Primer Juzgado Especializado en lo Constitucional de Lima resolvió en una sentencia que la Municipalidad de Lima Metropolitana estaba obligada a entregar a un demandante la lista completa de usuarios bloqueados en su página de Facebook. El caso fue largamente cubierto por la prensa pero, como pudimos corroborar con el demandante a principios de 2018, la Municipalidad ha apelado y será una segunda instancia quien dicte el veredicto final. ¿Qué implicancias tiene esto para nuestros derechos digitales?
A lo largo de los últimos diez años, son varias las sentencias, resoluciones y otros actos judiciales y administrativos que han resuelto (o creado) conflictos relacionados a Internet o a la forma cómo los peruanos la utilizamos. Por ejemplo, en 2010 existió toda una controversia sobre una sentencia que condenaba a un blogger por presuntamente haber compartido enlaces que llevaban a sitios con contenido difamatorio. Más adelante, en 2016 la Autoridad de Protección de Datos Personales sancionó a Google y parcialmente legitimó la controvertida doctrina del “Derecho al Olvido” en el país.
En nuestro última edición de Conexiones, conversamos con David Hidalgo, reconocido periodista de investigación, y actual director periodístico de Ojo Público, sobre los retos de hacer periodismo independiente y publicar exclusivamente en internet.
Conexiones es nuestro proyecto de podcasting (radio en demanda, vía internet), en el que invitamos a amigos de Hiperderecho que trabajan en diferentes áreas para conocer sus puntos de vista y experiencia con la tecnología. Grabamos el programa con una audiencia en vivo y hasta ahora hemos rotado el local, habiendo pasado por UTEC Ventures en Barranco, Estación Coworking en Trujillo, y ahora Starbucks Dasso en San Isidro.
Si quieres estar presente en la grabación del siguiente episodio, alrededor de quincena de febrero, lo mejor es que nos sigas en nuestras redes sociales: Facebook, Twitter e Instagram (nuestra favorita).
El día 18 de enero, Víctor Shiguiyama, actual autoridad de la Superintendencia Nacional de Aduanas y Administración Tributaria (SUNAT), anunció que su despacho comenzará a emplear información de las redes sociales de los contribuyentes, con el fin de combatir la evasión tributaria. Para lograrlo, Shiguiyama afirmó que “han contratado matemáticos y físicos” que apoyarán las tareas de fiscalización y puedan cruzarse bases de datos más complejas.
Desde varios años, diferentes entidades del Estado vienen modernizando su gestión introduciendo nuevas tecnologías que buscar facilitar sus dinámicas internas para ofrecer mejores servicios a los ciudadanos. En ese sentido, no resulta extraño oír que la SUNAT quiere sumarse a la ola de innovación, pero la medida anunciada ha levantado algunas preocupaciones respecto de hasta dónde puede llegar el Estado con el fin de cumplir sus objetivos; en este caso, el de atrapar a los evasores vía sus publicaciones en Facebook y Twitter o las fotos que suben a Instagram.
En setiembre de 2017, colaboramos con SUNEDU para solucionar un filtrado de datos personales que comprometía a todos los estudiantes del Perú. Gracias al oportuno reporte de Hiperderecho, la información personal de todos los portadores de un carné universitario válido hoy se encuentra más segura.
El problema
La historia comienza con La Liga Juvenil de Defensa de Internet, un proyecto de Hiperderecho para reunir y potenciar ideas de estudiantes universitarios que quieran hacer incidencia en la sociedad usando tecnología. En nuestras interacciones con los miembros de la Liga acabamos descubriendo que el nuevo carné universitario tiene impreso un código QR en la parte de atrás. Siguiendo nuestra curiosidad, nos pusimos a revisar qué era lo que el código contenía. Para nuestra sorpresa el código era simplemente una dirección web del siguiente formato:
Al entrar a esta dirección, se podía ver una representación web del carné universitario original, y con algunos cambios se podían ver los datos de otros alumnos:
Sin embargo, lo que hacía potencialmente peligrosa esta representación online es que los datos como nombre, carrera, universidad, estaban todos mostrados como texto simple. Es decir, resultaban fácilmente recolectables al igual que la foto del alumno, y estaban disponible como datos para ser consumidos y guardados por cualquiera.
Peor aún, como los códigos de alumno están conformados exclusivamente por números, con algo de astucia se podía automatizar el ingresar a todos los carnés emitidos por SUNEDU, desde el “0000000000000” hasta el “9999999999999”. El sistema no impedía este tipo de consultas automatizadas, y según nuestro cálculo preliminar, en un día se podría haber descargado una copia completa de la base de datos de alumnos universitarios del Perú, incluyendo nombre completo, DNI, universidad, carrera. Todo sin vulnerar ninguna medida de seguridad ni adivinar contraseñas.
Al confirmar la gravedad del problema, preguntamos a algunos estudiantes amigos de Hiperderecho qué les parecía que su información estuviese expuesta de esta manera en internet. La mayoría se sorprendió de ver sus datos disponibles de forma tan pública, y otro buen grupo encontró innecesario que con el simple cambio de un dígito se pudiese acceder a la información de cualquier otro alumno, y no solo la personal.
Reportando el problema
Reunidas estas impresiones y el análisis y evidencia del problema, decidimos contactar a las autoridades responsables. Empezamos contactando a PeCERT, la institución del estado encargada de coordinar la respuesta ante problemas de seguridad en las plataformas digitales del estado. Nos comunicamos con PeCERT a finales de setiembre pero nunca obtuvimos respuesta. De hecho, hasta ahora no sabemos nada de ellos.
En paralelo, pudimos entablar comunicación con el área de Comunicación de SUNEDU, la entidad precisamente encargada de emitir los carnés. Gracias a la intervención del área de Comunicación, logramos canalizar nuestro descubrimiento hacia el área técnica de SUNEDU y entendieron la magnitud del problema. Al poco tiempo, logramos reunirnos con ellos para conversar más a detalle de lo ocurrido. En la reunión nos presentaron las acciones que ya habían tomado luego de nuestro reporte y que planeaban tomar: una auditoría independiente al proveedor que se encargaba de manejar el sitio carneuniversitario.com.pe (el cual resulta es el proveedor también responsable de imprimir los carnés físicos), según SUNEDU la auditoría no había encontrado signos de abuso del sistema. No tuvimos acceso a ese reporte, pero creemos que es poco probable que se haya explotado la vulnerabilidad.
Adicionalmente, el equipo de SUNEDU nos aseguró que dos medidas se implementarían tan pronto como fuese posible: (1) exigir un segundo dato único antes de mostrar los datos del carné (los últimos dígitos del DNI); y, (2) añadir una salvaguarda a usos automatizados del sitio (en este caso el aditamento reCAPTCHA de Google).
Para finales de octubre pudimos confirmar que los cambios ya se habían aplicado y el sitio ya no era susceptible al error de seguridad que habíamos detectado.
Lecciones aprendidas
Al final de la experiencia, quedamos muy satisfecho de haber encontrado en SUNEDU a una institución tan receptiva de nuestros comentarios y preocupaciones además de muy felices de haber contribuido a mejorar la seguridad de un servicio del estado.
Sin embargo, hay una lección más grande en esta historia. Seguimos igual preocupados por la manera en que instituciones del estado continúan usando nuestros datos de manera poco reflexiva, sin informarnos, y potencialmente exponiéndonos a empresas o grupos que nada tienen que ver con la relación de confianza entre ciudadanos y estado.
En este caso, tenemos que cuestionar cuál es la real utilidad de tener un código QR en el carné universitario cuando dicho código es solo un link a un sitio web que replica la información del carné. Si lo que se busca es evitar falsificaciones, ¿es realmente lo más efectivo? ¿Tiene sentido esperar que en una boletería, o en un bus, el encargado de cobrar el medio pasaje: escanee un código QR e ingrese a un sitio web en su celular solo para verificar si el carné es válido? Nuestra impresión es que la idea no tiene aplicación pragmática, más aún con los cambios ahora introducidos para asegurar el sistema contra el filtrado tremendo de datos que estaba presente en el diseño original. Consideramos que otras soluciones de verificación podrían aplicarse. Pensemos en que el DNI no tiene un sitio web donde verificarse, y no por eso la gente ha perdido confianza en ese documento.
Por otro lado, la base de datos, o cuando menos el sitio web, está alojado en un dominio privado, un .com.pe que cualquiera de nosotros pudo haber comprado, o podría comprar, y cuyos contenidos son administrados por el proveedor de la impresión de carnés universitarios para SUNEDU. No creemos que exista ningún tipo de mala fe, pero sí es necesario cuestionar si poner en manos de un tercero el distribuir esta información a través de la web es un buen cuidado de nuestro datos.
Para terminar solo nos queda desear que futuras interacciones con otras instituciones del estado en temas de seguridad digital sean tan positivas como la que tuvimos en esta ocasión con SUNEDU. Hiperderecho se debe a los ciudadanos y no a instituciones o patrocinadores, y los usuarios que merecen que su información y derechos (privacidad incluida) sean respetados por el estado.
