Etiqueta: escuadron hiperion

ONPE filtró los datos personales de millones de peruanos durante más de medio año

Entre octubre del año pasado y junio de este año, los nombres, apellidos, fecha de nacimiento, sexo y edad de todos los peruanos mayores de edad fueron accesibles y descargables a través de la página web de la ONPE. Un error informático en el formulario de inscripción de su Hackaton del año pasado, repetido en su más reciente versión, permitía a cualquier usuario de Internet descargar todos nuestros datos personales sin vulnerar ninguna medida de seguridad ni levantar ninguna alerta en ONPE. Esta es la historia de cómo Hiperderecho descubrió el error, lo reportó a las autoridades y logró que se solucione, aunque la autoridad nunca reconoció su error.

El 7 de junio de este año la ONPE anunció la organización de su hackathon 2018 con el título «Desafiando la Solución del Voto Electrónico Presencial». Su finalidad era invitar a grupos de estudiantes de ingeniería y computación a encontrar vulnerabilidades en los módulos de voto electrónico presencial que la entidad ha desarrollando y viene desplegando. En el contexto de la polémica implementación de este sistema, ONPE esperaba ganar un poco de legitimidad a través de este concurso. Nosotros decidimos investigar los requisitos de inscripción para aprovechar lo que parecía ser una oportunidad de interactuar con los equipos técnicos de la ONPE y del voto electrónico.

Leer más

RENIEC negó que haya existido un filtrado de datos personales. Nosotros lo confirmamos.

Como parte de nuestra investigación sobre Identidad Biométrica en Perú, reportamos que hace unos meses habíamos descubierto y reportado un filtrado de datos personales que exponía las fotografías del documento de identidad de todos los ciudadanos peruanos. La vulnerabilidad, que fue solucionada luego del reporte inicial de Hiperderecho en abril, estaba contenida en el Sistema Padrón Nominal desarrollado por el Registro Nacional de Identificación y Estado Civil (RENIEC) para uso del Ministerio de Salud.

En una nota de Hernán Medrano aparecida en diario El Comercio días después de nuestro reporte, se recoge la respuesta de Danilo Chávez, gerente de Tecnología de la Información del RENIEC. Quiero dedicar esta entrada a responder objetivamente a sus declaraciones, que se refieren concretamente a nuestros hallazgos y la veracidad de lo reportado. Creemos que este es el tipo de conversaciones públicas sobre seguridad digital que nuestra comunidad necesita.

En sus descargos, el funcionario señala que RENIEC solo creó la plataforma Padrón Nominal pero que quien la maneja es el Ministerio de Salud. Esto no contraviene el reporte de Hiperderecho porque el error que encontramos y denunciamos es un error en el diseño del sistema informático, no en su operación. La razón por la cual cualquier persona podía descargar la fotografía del DNI de millones de peruanos digitando una dirección web era porque cuando se programó la plataforma se dejó abierta por error esa ruta. En su calidad de operador del sistema, no hay nada que el Ministerio de Salud pudo haber hecho para cambiarlo. Afirmar lo contrario es el equivalente a decir que una falla estructural en una vivienda es responsable de sus habitantes y no de sus constructores porque ellos son quienes viven ahí.

Leer más

Fallo de seguridad permitía descargar la foto del DNI de todos los peruanos

A mediados de abril encontramos y reportamos que un problema en una web de RENIEC permitía descargar la foto de todos los DNIs del Perú, de manera sencilla y automática. Todo esto, sin sonar ninguna alarma o esquivar la seguridad del sistema.

El sitio web y el acceso a las fotos

El sitio web problemático era el Padrón Nominal, un sistema desarrollado por RENIEC para el Ministerio de Salud usado en centros de salud del país para hacer control de salud de los niños menores de 6 años.

Leer más

SUNEDU expuso la información personal de miles de estudiantes peruanos

En setiembre de 2017, reportamos a SUNEDU un filtrado de datos personales que detectamos y que comprometía a todos los estudiantes de instrucción superior del Perú. Gracias a nuestro reporte, la información personal de todos los portadores de un carné universitario válido hoy se encuentra más segura.

El problema

La historia comienza con La Liga Juvenil de Defensa de Internet, un proyecto de Hiperderecho para reunir y potenciar ideas de estudiantes universitarios que quieran hacer incidencia en la sociedad usando tecnología. En nuestras interacciones con los miembros de la Liga acabamos descubriendo que el nuevo carné universitario lleva impreso un código QR en la parte de atrás desde hace dos años. Siguiendo nuestra curiosidad, nos pusimos a revisar qué era lo que el código contenía. Para nuestra sorpresa el código era simplemente una dirección web del siguiente formato:

Leer más

Lo logramos juntos: el fallo de seguridad en la web de la Encuesta LGBTI se solucionó

Los fallos de seguridad que detectamos esta semana en la Encuesta LGBTI del INEI han sido solucionados desde ayer por la tarde. La Encuesta todavía sigue solicitando ingresar todo tipo de datos personales al encuestado, pero los problemas que ponían estos datos al alcance de cualquiera han sido remediados. Según lo reportado por el INEI, nadie alcanzó a explotar masivamente esta vulnerabilidad mientras estuvo abierta. Retiramos nuestra advertencia sobre no llenarla pero invocamos a ejercer una decisión razonada antes de entregar sus datos personales a la Encuesta.

Los peruanos necesitamos desesperadamente reconocernos y aprender a entendernos. La Encuesta LGBTI es una iniciativa valiosísima para acercarnos hacia ese objetivo. Somos plenamente conscientes de que nuestra alerta pudo haber comprometido temporalmente la Encuesta, pero creemos que la gravedad del fallo de seguridad y la sensibilidad de la información en riesgo lo ameritaba. Hiperderecho trabaja para que la tecnología sea un instrumento de liberación social, que todos podamos usar con libertad y seguridad. Esta semana reafirmamos ese compromiso al detectar y colaborar con la mitigación de este problema. Lo vamos a seguir haciendo porque es nuestro trabajo.

Leer más

La encuesta virtual LGBTI 2017 pone en riesgo a todos

Hiperderecho ha detectado que la encuesta virtual LGBTI 2017 lanzada por el INEI pone en riesgo a la comunidad al recolectar datos personales de forma innecesaria y potencialmente exponerlos a usos maliciosos.

El 17 de mayo, Día Internacional contra la Homofobia, la Transfobia y la Bifobia, el Instituto Nacional de Estadística e Informática (INEI) presentó oficialmente la primera encuesta virtual para personas LGBTI en Perú. Esta encuesta busca recopilar datos socioeconómicos con el fin de crear políticas públicas favorables a estas poblaciones.

Una iniciativa de este tipo merece ser reconocida y celebrada como un paso más hacia el reconocimiento de los derechos de la comunidad LGBTI. Sin embargo, en Hiperderecho hemos quedado sorprendidos por el número de problemas que presenta la plataforma y la encuesta que está alojada en ella. No exageramos al decir que la encuesta del INEI no es segura y puede poner en peligro a las personas que la usan.

Leer más