Olga Escudero, directora de la Dirección de Fiscalización e Instrucción de la ANPD, dijo que la entidad está al tanto de la oferta de fichas de Reniec, antecedentes penales y otros datos de registros estatales en Marketplace y Telegram. Escudero indicó que la causa principal es la falta de medidas de seguridad de las entidades públicas.
“La gran problemática de la venta de datos es la falta de medidas de seguridad de las entidades públicas. Cuando hacemos visitas de evaluación a las instituciones, vemos que no las tienen. Por ejemplo, no cuentan con sistemas de trazabilidad, que permite rastrear qué persona ingresó al sistema, qué tratamiento hizo de la información, es decir, deja una huella en el sistema”, precisó.
Escudero dijo que actualmente la ANPD realiza alrededor de 15 investigaciones respecto a datos que se ofrecen en Internet y que provienen de distintas entidades públicas. “Provienen de diferentes niveles de gobierno: el Reniec, el Ejecutivo, los gobiernos locales y los gobiernos regionales. No se trata de hackeos, sino de filtraciones de información por falta de medidas de seguridad de protección de datos”, añadió.
La funcionaria indicó que la ANPD ha realizado muchas investigaciones por la venta de datos de fichas del Reniec. Por ello, dijo que, de acuerdo a la información que han observado, Reniec es la entidad estatal cuya base de datos es la más vulnerable a filtraciones de información.
“Reniec da acceso a distintas entidades públicas y privadas a sus servicios en línea de consulta de información, pero muchas de estas entidades no tienen los filtros ni las medidas de seguridad necesarias. Es así que sale esta información y se vende de forma ilegítima”, detalló. “Aquí también hay una falta de Reniec por no contar con medidas de seguridad”, agregó.
Escudero explicó que Reniec tiene la obligación de brindar acceso a información a las entidades públicas a través de la Plataforma Nacional de Interoperabilidad (PIDE) para que cumplan con sus fines. “No obstante, hemos hallado que los datos de acceso a usuarios registrados en el PIDE son compartidos por muchas personas. Entonces esto permite que la información no se cuide y salga sin un límite de búsquedas”, alertó.
Investigaciones y sanciones a Reniec
En esa línea, Escudero mencionó algunas sanciones e investigaciones realizadas a esta institución. “En el 2022, se descubrió que una plataforma llamada ‘Zorrito Run Run’ se filtraron datos personales de los peruanos que empezaron a venderse. Al investigar, descubrimos que desde los sistemas del Ministerio de Energía y Minas y la Controlaría se sacaban fichas de Reniec que luego eran vendidas. Por eso, el 2023, la ANPD sancionó a las tres instituciones con una multa muy grave de 19 UITs [S/94.050 al valor del año pasado] por no contar con medidas de seguridad y no cumplir con el deber de confidencialidad de los datos personales”, explicó.
Además, Escudero mencionó que este año la ANPD ha iniciado una investigación por la exposición de fichas de Reniec de policías y funcionarios a través de una web llamada ‘Buscador Policía Sur’. “Cuando iniciamos la investigación, verificamos que la información provenía de la Municipalidad Provincial del Callao. Entonces, se inició un proceso sancionador a ambas instituciones por no contar con medidas de seguridad y confidencialidad”, expresó.
“Todos los ciudadanos están desprotegidos ante las extorsiones”
Frank Casas, especialista en seguridad ciudadana, declaró que si la base de datos de la Reniec es vulnerable, entonces “todos los ciudadanos estamos desprotegidos ante la extorsiones”. Casas sotuvo que la base de datos de la Reniec es la más importante, porque contiene la información personal de todos los peruanos. “Reniec registra la información de nuestro ADN como ciudadanos. Esta información nos permite hacer trámites bancarios, legales y administrativos. Por eso, debería estar sumamente protegida”, dijo.
En esa línea, indicó que la venta de fichas de Reniec “facilita las extorsiones”, porque otorga información a los extorsionadores para identificar e investigar a su víctimas y realizar amenazas. “Esta información es muy sensible. Los nombres completos, número de DNI y dirección son los primeros datos que utilizan los extorsionadores para amenazarte. Que un delincuente tenga esta información coloca a la persona en un riesgo de extorsión alto. Además, las fichas de Reniec registran información de los padres de la persona con lo que el peligro a la integridad física escala a su familia”, detalló.
Casas mencionó que la existencia de las publicaciones mencionadas en Facebook demuestra la falta de cuidado de las entidades estatales de la información personal de los ciudadanos. “Si existe la extorsión no es solo por un mercado negro de armas o chips, sino también por la venta de información sensible que es clave para que puedan operar a los extorsionadores”, precisó.
Reniec responde
Hector Saravia, director de Certificación Digital del Reniec, aseguró a El Comercio que la información de las fichas del Reniec que se venden en Marketplace “no está actualizada”, pese a que El Comercio constató lo contrario. Negó que la base de datos del Reniec haya sido vulnerada para obtener esta información. “Las personas que venden esta información arman certificados de inscripción (C4), fichas blancas y azules con información a la que tuvieron acceso alguna vez haciendo un mal uso de los sistemas de consulta en línea que ofrece el Reniec a instituciones estatales y privadas”, manifestó.
LEE TAMBIÉN: La historia detrás de “Blanquita”: la mujer señalada por la PNP de proteger al prófugo Vladimir Cerrón
Así también, Saravia indicó que este año la entidad ha reforzado las medidas para reconocer a los usuarios que hagan un uso indebido. Mencionó también que el Reniec viene implementando el sistema de verificación ID Perú para que el acceso a estos servicios se realice a través de la comprobación de datos biométricos faciales y dactilares.
El funcionario precisó que el Reniec cuenta con herramientas de detección de usuarios que hacen un mal manejo de los sistemas de información. “Tenemos un equipo y medidas de seguridad para identificar cuando esto ocurre. Enviamos una notificación a la institución y les advertimos para que tomen acciones. Nosotros podemos suspender al usuario, pero no el acceso a la institución pública porque es un deber por ley”, manifestó.
Por otro lado, Saravia dijo que el Reniec ha apelado la multa de 19 UITs impuesta por la ANPD. Adicionalmente, mencionó que las personas que vendían los datos personales obtenidos de instituciones públicas y privadas a través de la web ‘Zorrito Run Run’ fueron identificadas.
¿Qué es el doxeo?
Erick Iriarte, abogado especialista en legislación informática, explicó a El Comercio que el ‘doxeo’ consiste en la revelación de datos personales, como nombres y dirección, que se encuentran en bases de datos reservadas. “Normalmente, se utiliza información que está en custodia del Estado con fines lucrativos o para afectar directamente a una persona. El doxeo se usa para vulnerar libertades y derechos”, detalló.
