Hackeos en Perú: El Estado (irresponsable) de la seguridad digital

Escrito por Carlos Guerrero

En octubre han acontecido dos hechos que han destapadado una vez más el pobre estado de la seguridad digital en las instituciones públicas del país. Uno de ellos es la filtración de miles de correos electrónicos del Ejército Peruano por parte del grupo de hackers Guacamaya. El otro es el caso de la brecha de seguridad del Sistema Informático Nacional de Defunciones (SINADEF) que permitía a cualquiera acceder al sistema y declarar “fallecida” a una persona de manera fraudulenta, permitiendo así el cambio en la ficha personal del RENIEC. En ambos casos, las reacciones de las instituciones involucradas ha sido lamentable y, aunque no es la primera vez que estas cosas pasan, parece que ahora tampoco habrá ninguna consecuencia real más allá del ruido coyuntural.

Un historial largo de incidentes

Si leen las noticias, deben saber que los casos antes señalados no son los primeros que han ocurrido durante este año 2022. En mayo, se hizo público el hackeo a la Dirección General de Inteligencia del Ministerio del Interior (DIGIMIN) por parte de hackers rusos del grupo criminal Conti Group. En abril, la Asociación de Bancos del Perú (ASBANC) alertó al gobierno peruano de una filtración masiva de datos personales, incluyendo datos extremadamente sensibles como las huellas dactilares.

Si vamos hacia atrás, podemos ubicar otros casos. Por ejemplo, en 2020 ocurrió el famoso hackeo al Bono Universal en el que delincuentes aprovecharon una vulnerabilidad de la plataforma estatal para suplantar la identidad de los beneficiarios y cobrar el dinero. Menos publicitados, pero igual de importantes han sido otros hackeos; como la filtración masiva del Padrón Electoral por parte de la ONPE en 2018 y la vulnerabilidad de una encuesta del INEI dirigiada a la población LGBTIQ+ que permitía identificar a quienes accedían a ella en 2017. Varios de estos casos han sido expuestos y documentados por mis ex colegas de la ONG Hiperderecho a lo largo de los últimos años.

Si bien lo anterior confirma el mal estado de la seguridad digital en el Estado Peruano, es preciso resaltar que esto no se debe al hecho mismo de ser hackeados (algo que le pasa incluso a los países mejor protegidos), sino a la forma cómo estos hackeos se han realizado y a la respuesta de las autoridades frente a estos hechos.

Solo hay dos tipos de gobiernos, los que han sido hackeados y los que van a serlo

Guacamaya Leaks y Hackeo al SINADEF explicados

A diferencia de otros casos en donde solo es posible especular lo que ha ocurrido, los Guacamaya Leaks y el hackeo al SINADEF han sido explicados de forma detallada, lo que permite conocer qué es lo que ha fallado exactamente y quiénes son los responsables de dicho fallo. Pero repitámoslo y profundicemos, para entender la magnitud de la negligencia que ha ocurrido:

En el caso de los Guacamaya Leaks, este mismo grupo ha explicado cómo realizó el ataque que le permitió acceder a los servidores de varias entidades públicas de diferentes países y descargarse gygabytes enteros de correos electrónicos. Si queremos ponerlo en términos simples, Guacamaya aprovechó un fallo de seguridad en los servidores de Microsoft Exchange, que es un servicio para gestionar los correos institucionales. Este fallo, que fue descubierto en 2021 y se denominó ProxyShell, fue comunicado a los usuarios de este servicio a los que se recomendó instalar un parche (básicamente, una actualización), para impedir su explotación. Lamentablemente quienes estaban a cargo de gestionar esto en el Ejército Peruano no lo hicieron.

Respecto del hackeo al SINADEF, el noticiero La Encerrona lo ha explicado muy bien. De nuevo, para ponerlo en términos sencillos, la plataforma del SINADEF que utiliza el Ministerio de Salud (MINSA) permitía a los médicos acceder a una interfaz para ingresar el deceso de una persona. Pero había dos problemas: El primero es que las credenciales de acceso (usuario y contraseña) eran ambas el número de documento de identidad del médico. El segundo es que este hecho, además del tutorial de cómo utilizar el SINADEF, estaba colgado en un video de Youtube desde 2020, lo que invitaba a cualquiera a intentar vulnerar la plataforma.

Reacciones de las autoridades involucradas

Históricamente las instituciones del Estado Peruano han sido incapaces de reaccionar apropiadamente cuando resultan hackeadas. Por ejemplo, cuando Hiperderecho detectó en 2017 la vulnerabilidad de la encuesta LGTBIQ+ del INEI, la primera reacción cuando nos reunimos a explicar el caso fue poner en entredicho la gravedad del asunto. Finalmente, gracias a la intervención del ex congresista Alberto de Belaunde, logramos que se comprometieran a corregir la vulnerabilidad, lo que efectivamente hicieron. Sin embargo, nunca se emitió un comunicado oficial asumiendo su responsabilidad frente a las personas que estuvieron en peligro de ser expuestas al llenar la encuesta. Casi como si esperaran que nadie se diera cuenta de lo ocurrido.

Peor aún aún, en 2018 Hiperderecho expuso una brecha de seguridad en el Sistema Padrón Nominal desarrollado por RENIEC para el MINSA, y la reacción de RENIEC fue emitir declaraciones a la prensa intentando deslindar su responsabilidad, incluso mintiendo sobre la naturaleza de la brecha detectada. Con este antecedente, no debería sorprender que en 2020 esta entidad volvió a hacer lo mismo en el caso del hackeo al Bono Universal, esta vez emitiendo un comunicado señalado que la plataforma tenía “altos estándares de seguridad” y pidiendo solo “atender versiones oficiales del tema”, bácticamente negando que el hackeo (que actualmente está en investigación) se hubiera producido.

Este es quizás uno de los comunicados más vergonzosos que ha emitido esta entidad frente a un hackeo a sus plataformas

En el caso de los Guacamaya Leaks, si bien el Ministerio de Defensa ha emitido un comunicado en el que reconocen tácitamente las vulneraciones, no se debe dejar de señalar que al menos un periodista ha detallado que recibió amenazas por parte de un representante del Ejército Peruano, lo que más allá de ser un hecho condenable en sí mismo, revela que no existe un plan de contigencia que determine cómo deben reaccionar los encargados de relaciones públicas ante estas situaciones.

Pero tal vez lo más increíble es lo que ha pasado en el caso del SINADEF. Luego de haber estallado el escándalo, las máximas autoridades de RENIEC y el MINSA no han tenido mejor idea que atacarse entre ellos a través de comunicados y conferencias de prensa, intentando confundir a la ciudadanía acerca de la responsabilidad que tienen en este asunto.

¿Quiénes son los responsables?

Vayamos al grano. En el caso de los Gucamaya Leaks, es claro que los responsables son aquellos que tenían que instalar el parche a su servidor de Microsoft Exchange y no lo hicieron, pese a que es público que Microsoft comunció la vulnerabilidad en 2021. Lamentablemente dado el secretismo con el que las Fuerzas Armadas están manejando el tema, parece improbable que sepamos más sobre las responsabilidades individuales, las sanciones (sí las hay) y las medidas que se están adoptando para que en el futuro no ocurra algo parecido.

El caso del SINADEF es un poco más complejo, pero la conclusión más obvia es que hay una responsabilidad compartida, tal como lo señala en esta entrevista el ex jefe nacional de RENIEC, Mario Yrribarren. Por un lado, el hecho de que la plataforma no estuviera configurada para exigir al usuario la creación de una contraseña personalizada es un grave falla de seguridad en sí misma y esto corresponde exclusivamente a RENIEC, que figura como la entidad que la diseñó. Por otro lado, además del video torpemente subido por personal del MINSA a Youtube donde se expone la vulnerabilidad, esta entidad pudo haber exigido a los usuarios modificar sus contraseñas (si es que esto era posible).

En ambos casos, personalmente me inclino a pensar que las entidades involucradas están buscando simplemente enfrentarse a la coyuntura, con medidas efectistas como las tomadas el viernes 14 por la jefe de RENIEC, Carmen Velarde, y que incluyeron bloquear a todos los usuarios del MINSA, (cuando lo único que se necesitaba era desconectar el SINADEF de la emisión automática del registro personal de RENIEC o exigir el cambio de todas las contraseñas), pero sin ningún ánimo de aprender de sus errores. Sin embargo, al menos en el caso del SINADEF podemos esperar la intervención de la Autoridad de Protección de Datos Personales, que será clave para que se determinen (quizás dentro de un año) las responsabilidades individuales en este caso.

Medidas urgentes para evitar nuevos “Guacamayas” y “SINADEF”

Se podría escribir un artículo el doble de largo que este explicando qué medidas se podrían adoptar para mejorar al menos un poco la situación de la seguridad digital en las entidades públicas. Pero, habiendo leído múltiples comentarios de colegas y expertos en el tema, me atrevo a esbozar algunas consideraciones:

  • No necesitamos más leyes: No creo que el problema de la (in)seguridad digital sea un problema de carencia normativa. Por el contrario, el país ya cuenta desde hace varios años con un marco legal más o menos completo que organiza (de forma bastante general, es verdad) el ámbito de las políticas, medidas técnicas y sanciones orientadas a proteger los activos digitales (entre ellos, las bases de datos) de las entidades públicas. En el ámbito de las políticas está la Ley N° 30999, Ley de Ciberdefensa aprobada en 2019 y un año después su contraparte civil, el Decteto de Urgencia 007-2020, Decreto de Urgencia que Aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento. En el ámbito de las medidas técnicas desde 2004 se vienen implementando diferentes estándares, empezando por la NTP ISO/IEC 17799:2004 hasta la actual NTP ISO/IEC 27001:2014 que es obligatoria para todas las entidades del ex Sistema Nacional de Informática, ahora nombrado Sistema Nacional de Transformación Digital. Finalmente, en el ámbito de las sanciones, desde 2011 tenemos la Ley N° 29733, Ley de Protección de Datos Personales y desde 2013 la Ley N° 30096, Ley de delitos informáticos. Todas las anteriores, así como otras relacionadas, son un marco perfectamente aplicable a todos los casos de hackeos comentados en este artículo.

  • Necesitamos que las entidades se hagan responsables: Como decíamos, en el caso del SINADEF eventualmente la Autoridad de Protección de Datos Personales podrá establecer algunas de las responsabilidades, pero para cuando lo haga seguramente ya habrá pasado el escándalo, las personas se habrán olvidado del asunto y la oportunidad de adquirir aprendizajes valiosos se habrá perdido. Se necesita un cambio urgente que obligue a las entidades a asumir su responsabilidad política en estos incidentes. En otros países esto parece muy claro y se han producido renuncias, como en Chile. Lamentablemente en la conyuntura actual, este no parece el asunto más importante a resolver.

  • Necesitamos una revisión urgente de los sistemas digitales: Tal vez una estrategia más efectiva que la autoevaluación o la determinación posterior de responsabilidades administrativas y penales, sería que se declare en emergencia el Marco Nacional de Confianza Digital y se designe a una tercera entidad, con las competencias suficientes (especialmente frente a organismos autónomos), para que audite todos los sistemas digitales del sector público, especialmente aquellos que contienen bases de datos personales o información crítica. Ahora mismo no sabemos cuántos de estos sistemas existen y si hay por allí alguna otra plataforma con las mismas vulnerabilidades, esperando a que estas sean explotadas.

Imagen de portada de autoría de Erick Retana

Carlos Guerrero

Anterior

¿Dónde estudiar Legaltech? Una guía sobre la oferta educativa en español
Siguiente

Ecosistema digital peruano: Presente y ¿futuro?