Filtración de datos personales en Miraflores: qué responde la municipalidad y lo que se sabe hasta ahora

LEER TAMBIÉN: Alcalde de Miraflores en desacuerdo con observación de norma que permite a serenos usar armas no letales

Esta exposición de datos sensibles fue revelado por el mini noticiero La Encerrona la mañana de este jueves. Según informó el medio, entre los afectados se encuentran periodistas y altos funcionarios del actual gobierno, como la ministra de Relaciones Exteriores Ana Gervasi, el viceministro de Relaciones Exteriores Ignacio Higueras, la congresista Sigrid Bazán, la la congresista Adriana Tudela, el periodista Gustavo Gorriti, la periodista Juliana Oxenford y hasta el propio alcalde de Miraflores Carlos Canales.

El Comercio conversó con Ernesto Cabral, periodista de La Encerrona, quien dio más detalles de cómo se habrían filtrado estos datos personales. Indicó que el municipio de Miraflores tiene en su web una sección llamada plataforma digital, un espacio que le permite al vecino realizar trámites de manera virtual, tales como pagar tributos, alquilar canchas deportivas, entre otros.

Para ingresar y hacer estos trámites es necesario registrarse, colocar un correo y crearse una contraseña. Precisamente, el error detectado, permitía ver estos datos registrados por todos los usuarios en esta plataforma digital. “Nos llegó una alerta anónima que nos avisaba de esta exposición de datos mediante la pagina de la municipalidad”, contó Ernesto.

LEA TAMBIÉN: Los 100 días de Carlos Canales en el municipio de Miraflores marcados por varias polémicas

Precisó que uno de los links hipervinculados que aparecen en la web principal del municipio miraflorino permitía acceder a todos estos datos. “Se trataba de un link hipervinculado que aparecía en la plataforma. Al dar click se abría un enlace, una url, como si fuera completamente público. Era uno de esos enlaces que usan las plataformas para conectarse con otros servidores y era de acceso libre. No se necesitaba ser un hacker o usar un programa especial ”, señaló el periodista.

LEER TAMBIÉN: Corte de luz en Lima: reportan apagón general en varios distritos de la capital

A manera de ejemplo: un usuario se registraba en la plataforma digital y el sistema automáticamente le asignaba un código (3 a 5 números). Era tan simple como escribir el enlace mencionado y agregarle al final el código. Así, de forma sencilla, cualquiera podía acceder a los datos personales de este usuario.

“Al final del enlace te sale un código. Entonces, bastaba con colocar números al azar y acceder a datos de otros usuarios. Por lo menos estamos hablando de miles de usuarios cuyos datos habrían estado expuestos”, dijo Cabral.

La peligrosidad de esta filtración, refirió el medio, es que los usuarios podrían haberse registrado a la plataforma digital con la misma contraseña que utilizan para otros correos personales, cuentas bancarias o cuentas oficiales del gobierno, en el caso de los funcionarios públicos.

Otro riesgo era que al tener la contraseña de un vecino, algún inescrupuloso podría haber descargado la cartilla de arbitrios que incluye desde su dirección de domicilio hasta fotografías de su casa. Es decir, datos aún más personales.

LEER TAMBIÉN: Gobierno observa ley de prohibición de llamadas spam: aduce que puede afectar libertad de empresa

“Sabemos por la denuncia que este error en el sistema estaba por lo menos desde marzo de este año, pero no sabemos con exactitud. Podría haber estado mayor tiempo”, agregó el periodista.

La Encerrona informó que, la semana pasada, dio aviso de este fallo a la Municipalidad de Miraflores, a fin de que pudieran solucionar este error. Pese a ello, precisó que no tuvieron respuesta alguna. Sin embargo, comprobaron que dicha comuna sí procedió a retirar dicho enlace de su portal web.

A través de un comunicado, el municipio miraflorino indicó que actualmente la información personal registrada por sus vecinos en su plataforma digital se encuentra protegida y que ha procedido a denunciar ante la División de Investigación de Delitos de Alta Tecnología (Divindat) a los que resulten responsables por el ingreso que vulneró la seguridad de la web.

“Hemos detectado que tras la vulneración del sistema solo habría podido acceder el medio que realizó la nota sobre el mencionado tema. Está en manos de la policía especializada en delitos informáticos las investigaciones del caso”, informó.

Asimismo, la comuna criticó al medio La Encerrona, al considerar que realizó “una apología al delito cibernético” con la publicación de este tema, y descartó que haya filtrado información sensible de los vecinos.

LEER TAMBIÉN: Alcalde de SJL lamenta observación de ley de uso de armas no letales: “Es una oportunidad que se ha perdido”

“Lamentamos que un medio de comunicación haya hecho explícita una apología al delito cibernético a través de la exposición de un tutorial, porque alienta a que otras personas intenten ingresar a otras webs del Estado peruano”, se lee en el comunicado.

Agregó que la actual gestión encontró en el municipio una estructura y plataforma tecnológica vulnerables, en donde la gestión anterior no reportó la implementación del Sistema de Gestión de Seguridad de la Información como meta cumplida de buenas prácticas de gobierno digital con la PCM.

En esa línea, resaltó que se viene trabajando desde los primeros días de enero para realizar, programar y ejecutar acciones referentes a la ciberseguridad. Por el momento, dijo que se espera contratar un servicio de seguridad temporal.

Alberto Cruces, adjunto para los Asuntos Constitucionales de la Defensoría del Pueblo, explicó a El Comercio que en el Perú existe una ley de protección de datos personales y que la protección de esta información constituye un derecho fundamental reconocido expresamente en nuestra Constitución: el derecho de autodeterminación informativa.

“Este derecho genera una obligación sobre todos aquellos que tengan bases de datos o que recopilan datos, como en este caso sería la Municipalidad de Miraflores, de mantener estos datos con observancia del principio de seguridad. Cuando estos datos son recogidos en línea se debe informar para qué se recogen, quiénes son los destinatarios, cómo se transfieren, hay una serie de obligaciones que hasta donde hemos podido conocer la municipalidad aparentemente no habría cumplido”, sostuvo.

Cruces detalló que es la Autoridad Nacional de Protección de Datos (ANPD) el organismo encargado de supervisar el tema de datos personales y de imponer sanciones si la situación lo amerita.

“Para la protección de datos la ley establece de que la ANPD puede establecer multas, en principio, hasta 5 UIT, es decir, alrededor de 25 mil soles, por infracción de datos. Ahora, una infracción más grave podría comprender una multa de hasta 50 UIT, esto al margen de las responsabilidades que pueden significar, tanto penales, por haber dejado que esto suceda, como también por la indemnización que podrían reclamar los afectados”, comentó.

Vale decir que el Ministerio de Justicia y Derechos Humanos informó que la ANPD ha iniciado una investigación en relación a la denuncia sobre la presunta filtración y brecha de seguridad en la Municipalidad de Miraflores.