En diálogo con Exitosa, Erick Iriarte, experto en derecho informático, advirtió de posibles vulneraciones a los comicios generales de 2026 ahora que la Onpe planea utilizar sistemas electrónico y se han reportado una filtración de datos personales en Reniec.
Noticias del Perú y actualidad, política.
Sigue nuestras noticias, entrevistas y novedades desde todas nuestras plataformas digitales:
Instagram → / exitosape
Twitter → / exitosape
Facebook → / exitosanoticias
Web → http://exitosanoticias.pe/
WhatsApp: 940 800 800
"Exitosa: La voz de los que no tienen voz"
Noticias del Perú y actualidad, política.
Sigue nuestras noticias, entrevistas y novedades desde todas nuestras plataformas digitales:
Instagram → / exitosape
Twitter → / exitosape
Facebook → / exitosanoticias
Web → http://exitosanoticias.pe/
WhatsApp: 940 800 800
"Exitosa: La voz de los que no tienen voz"
Categoría
🗞
NoticiasTranscripción
00:00Y aquí es donde entra una responsabilidad mayor, porque la base de datos RENIEC es un tema de seguridad de la información
00:05y estamos próximos a un proceso electoral, y tienes a una ONPE que va a comenzar a intentar utilizar sistemas electrónicos
00:13cuando tenemos brechas de seguridad como la que se presenta en RENIEC, y la verdad no hay organismo ni entidad que sea invulnerable.
00:21Nos vamos inmediatamente con Erick Iriarte a conectarnos vía Zoomel, como ustedes saben,
00:27es un experto en derecho informático, es más, yo recuerdo, tal vez una de las primeras personas que hablaba de la importancia
00:36que iba a tener en nuestras vidas toda esta cosa increíble que estamos viviendo, fue Erick, que fue de alguna manera un pionero,
00:47no solamente en el uso de todo lo que son las redes sociales, las plataformas digitales, la inteligencia artificial,
00:55sino quien nos advertía de lo que podía pasar. Erick, ¡muy buenos días!
01:02Buenos días, un gusto en escucharte a ti, Nicolás, y además recordar lo que nos enseñó un maestro mutuo, ¿no?
01:09Hay que ser vos de los que no tienen voz, y así todo el resto de la gente opine lo contrario, si uno tiene algo que decir, hay que decirlo, ¿no?
01:16El hermano Alberto lo decía siempre.
01:18Alberto, el cura, nosotros estuvimos en el Colegio Lasalle, el hermano Alberto, fíjate, se refería a eso de la voz de los que no,
01:25él era un antiabortista feroz, tocaba el tema del aborto y no podía sentarse, se paraba, levantaba los brazos, gritaba,
01:33y nos decía siempre con respecto al tema del aborto, pero que vale para todo en la vida, ¿no, Erick? Eso lo hemos aprendido.
01:41Así es.
01:42Ustedes tienen que ser la voz de esos que no la tienen, que son lo que él decía, ¿no?
01:48Es decir, pero nos marcó en ese y en muchos otros sentidos, ¿no?
01:54Nos enseñó lo que era la ética en la vida, ¿no?
01:59¿Qué tiene que ver mucho con el tema este que vamos a hablar sobre seguridad de la información y la ética de los funcionarios públicos cuidando la información de los ciudadanos?
02:09Ahora, Erick, ¿qué es primero lo que ha pasado? ¿Por qué no describimos primero lo que ha ocurrido?
02:18A ver, la situación es bastante sencilla de entender.
02:22La base de datos central de la ciudadanía se encuentra en la RENIEC, es por un mandato de ley que nosotros le entregamos los datos y que ellos además lo van acumulando.
02:31Como cualquier base de datos, es una base de datos que puede tener vulnerabilidades.
02:36El Estado peruano hace ya más de casi 15 años, un poco más, comenzó a establecer que las entidades públicas deben tener un estándar de seguridad de la información que es el ISO 27001 y otros estándares más.
02:50RENIEC lo ha venido cumpliendo en una diversidad de tiempo, pero parte del control no es solamente evitar que penetren tu sistema.
02:59Imagínate que estás en un edificio, es que no entren al edificio, sino también que las personas que ya estaban dentro del edificio o aquellas que tienen lícitamente un acceso tampoco puedan malutilizar o llevarse la información.
03:10Aparentemente, de acuerdo a la información que ha brindado la misma RENIEC en este último caso, y quiero ser muy concreto en este último caso,
03:18algún funcionario que tenía un acceso legítimo en el Ministerio del Interior tuvo el acceso y comenzó a escrapear los datos, es decir, a bajarse los datos, acumularlos y luego llevarse la base,
03:30divulgarla en algunos casos en la Dark Web u otros que pudiera ser Wilson o similares.
03:36El Ministerio del Interior dijo no había una vulneración de seguridad de la información y aquí comete un primer error.
03:42El hecho de que sea un individuo y no una herramienta técnica no quita que sea un problema de seguridad de la información.
03:48Ambos son igual de responsables e importante de tener, pero más del 80% de los casos a nivel internacional y local es una brecha humana y aquí alguien con acceso legítimo.
03:58Pero no es la primera vez. Hace unos, un par de años quizás, se decía que había un funcionario del Ministerio de Educación que se habían quedado con los usuarios y los passwords y cambiaban las notas.
04:08Hace 11 años atrás, si te acuerdas lo de DINILIX, que fue además por el cual la DINI tuvo que ser reformada, cayó un premier en su momento, eran que tenían acceso legítimos a RENIEC, a SUNAR y lo que estaban haciendo era seguimiento de opositores, inclusive la misma vicepresidenta de ese momento.
04:26Es decir, este fenómeno de la seguridad de la información ya no es un tema menor. Añadido que en el caso de RENIEC son datos personales que pueden llegar a ser algunos datos sensibles como la huella, la imagen personal que son datos sensibles.
04:41Claro, pero acá lo que ha pasado se supone es que hay un hacker que está ofreciendo a la venta, ¿no es cierto?, información, fotografías, dice, de 25 millones de personas y lo que se ha detectado es que la fuente ha sido un empleado del Ministerio del Interior a quien RENIEC, es decir, RENIEC le entregaba la información, ¿no es cierto?, al Ministerio del Interior y esta persona haciendo un mal uso parece que ha negociado esto.
05:10Ahora, el problema es, ¿qué otra información?, porque se supone que la información que RENIEC le transfiere al Ministerio incluye no solamente nombres, relaciones familiares, sino además direcciones y no sé qué otro dato más, lo que consta en la ficha de inscripción en RENIEC, ¿no?
05:27Has hecho algo muy claro, RENIEC no transfiere los datos, o sea, no es que el funcionario reciba un paquete, un lote de la base de datos RENIEC, lo que recibe es un acceso, un usuario y password. Este acceso legítimo le permite ver todo lo que tú estás indicando, pueden ver la firma, la huella de atilar, ver la imagen, ver quiénes fueron sus padres y pueden tomarse esta información mal utilizada en una suplantación de identidad, por ejemplo.
05:56Lo que ha hecho entonces este funcionario es acceder y comenzar a acceder uno por uno e ir bajando las imágenes. Este sistema que es un scrapping, ir buscando o chapando lo que encuentras en la red, debió de haber levantado ciertas alertas. Oye, tengo un usuario que es un usuario que normalmente usa 100 búsquedas al mes y va a un millón en menos de una semana.
06:18Ese tipo de alertas son controles mejorados que tiene que tener RENIEC. Al mismo tiempo, el mininter tiene que saber a quién está entregando los datos porque tiene una responsabilidad. En el Perú, hace 15 años, más o menos, se hizo la ley de datos personales. Acaba de salir el 30 de marzo entrar en vigencia el nuevo reglamento, un reglamento modernizado que dice que sin 48 horas, desde que tú te enteras que hay una brecha, tienes que declarar que tienes la brecha.
06:47Por qué? Si no tienes responsabilidad funcional con una multisanción, va a ser súper importante ver qué es lo que hace la autoridad de datos personales. En este caso, que es una entidad pública que tiene que determinarse las responsabilidades y no se pueden escapar diciendo no es un problema de hacking.
07:01Ok, no será un problema de hacking, pero sí es un problema de datos personales y de vulneración normativa obligatoria en seguridad y la información que tiene el Estado. Pero no hace, como repito, más de 15 años.
07:12Pero ahora el tema es que Renier y legítimamente le ha cortado al Ministerio del Interior. No es cierto el acceso a las bases de datos de Renier hasta que no le den la garantía que tienen un control?
07:26Pero es ilógico, el control no tiene que estar en el Ministerio, tiene que ser en Renier. Si alguien puede saber cuántas personas hacen búsqueda, no es el Ministerio del Interior, es Renier quien hace control a través de sus propios sistemas de monitoreo.
07:40Es como un sistema en el cual tú le das acceso a alguien y eres tú quien está viendo si usa poco o mucho. Si le trasladan a Renier, perdón, le trasladan al Ministerio la responsabilidad, salvo que Ministerio tenga una persona al costado de cada usuario viendo cuántos hicieron, no va a poder tener mayor control.
07:56Quien sí lo tiene es absolutamente el Renier. Y aquí es donde entra una responsabilidad mayor, porque la base de datos Renier es un tema de seguridad de la información y estamos próximos a un proceso electoral.
08:08Y tienes a una ONT que va a comenzar a intentar utilizar sistemas electrónicos cuando tenemos brechas de seguridad como la que se presenta en Renier y la verdad no hay organismo ni entidad que sea invulnerable.
08:20Claro, ahora resulta que esto no solamente porque el comunicado de Renier dice que le han cortado el acceso no solo al Ministerio del Interior, sino también al Ministerio de Trabajo y Promoción Social por el uso indebido de uno de sus usuarios.
08:35Es decir, esto quiere decir que Renier ha detectado que se estaba haciendo un uso irregular.
08:41Eso es lo que justo te decía, no le puedes trasladar a la identidad final porque salvo que ponga alguien al cuidado de cada máquina y ver qué está haciendo, es en Renier donde se tienen que levantar las alertas.
08:52Problema práctico. Si yo necesito hacer 100 búsquedas al mes y por método de control pongo 25, estoy afectando la labor de las personas.
09:01Pero si lo que estoy teniendo es que en menos de una semana he sacado miles de datos, pues ahí debería haber cierta trazabilidad.
09:08Otra cosa que se ha encontrado es que los usuarios dejan de estar en identidad, igual se llevan sus usuarios y sus passwords, no hay protocolo de dar de baja a usuarios.
09:16Otro de los casos que también se entregan es que se venden los usuarios. Eso ya Renier lo había cortado de que a veces el mismo usuario estaba conectado en tres o cuatro puntos.
09:25Esa es otra de las mejoras. Esto es una mejora constante. Siempre se ponen creativos.
09:30Yo pude conocer en el momento que el general Carlos Morán armó el grupo Constelación.
09:44Es decir, en el Perú había un problema muy serio con el chuponeo ilegal. Entonces se decidió tomar el control de esto y crear un grupo especial dedicado a la interceptación legal de teléfonos.
09:59Es decir, que si por una investigación contra el narcotráfico, el terrorismo, el crimen organizado, lo que fuera, tú necesitabas tener acceso sin reportarle al usuario de interceptaciones,
10:13el fiscal lo solicitaba a un juez, el juez lo autorizaba y a partir de esto el grupo Constelación se activaba, intervenían él o los teléfonos solicitados
10:23y esa información tenía todo un transcurso donde lo más importante era la seguridad, Erick.
10:30Esa gente es, entiendo hasta el día de hoy, sometió a Polígrafo todos los días. Las claves cambian todos los días.
10:39Nadie puede entrar con su celular personal, su laptop, su iPad, con nada, porque poco menos que los desvisten antes del acceso a esta zona.
10:47O sea, los niveles de control son bárbaros y uno debería suponer que si tiene gente en el Ministerio del Interior como esta, ¿Cómo se llama la oficina?
10:57La Oficina General de Tecnologías de la Información y Comunicaciones debería tener protocolos de control de ese personal. Ahora resulta que recién ahora los van a someter a Polígrafo.
11:09Aquí lo que pasa, pero pasa a diferentes elementos. El primero es que el caso de Constelación lo que hace es intervención de comunicaciones, llamadas telefónicas, interceptación de comunicación.
11:21De comunicaciones, claro. Una garantía constitucional clara y un procedimiento claro. En un tema de datos personales, que es lo que tiene RENIEX,
11:29lo que tiene son una serie de servicios que se dan a entidades públicas y a entidades privadas, a las notarías, por ejemplo, para hacer verificación de huella,
11:35o a los bancos para hacer las constataciones cuando uno va a aperturar una cuenta o hacer una validación. Es decir, son sistemas diferentes con servicios diferentes,
11:44pero el nivel de seguridad de la información de una vulneración de uno o el otro puede tener una afectación total sobre la población.
11:51En el caso de RENIEX van a tener que mejorar las herramientas de control de a quiénes son los usuarios para darle responsabilidades activas a las entidades,
11:59y las entidades tienen que tener control de a quién le están entregando el usuario.
12:04Hay cientos de miles de usuarios que se habían activado en todos estos años que tiene RENIEX con esta base de datos.
12:11Bueno, van a tener que comenzar a decir, Juan Pérez, usted está en tal institución, tal institución se hace responsable del mal uso.
12:18Tenemos que terminar hoy, Eric, pero te quiero comprometer en algo. Según los últimos reportes, la publicidad en plataformas digitales es 60%.
12:28El otro 40, Eric, y el otro 40 se reparte 20 en la televisión y el resto del 20 en el resto de medios.
12:34Estamos viviendo un fenómeno que está afectando de una manera impresionante nuestras vidas, pero eso es otro tema.
12:41Para otro día, mi querido Eric, te comprometo.
12:44La prensa se ve afectada con eso, así que hay que tener cuidado con el tema también.
12:47Claro que sí. Un abrazo. Eric Girard, te ha estado con nosotros. Nos vamos a la pausa, esta es exitosa.
12:52La voz de los que no tienen voz, regresa.