Nombres completos, números de DNI y de teléfono, dirección, correos y otros datos personales de más de 82 mil vecinos de Miraflores circulan desde agosto en BreachForums, un foro en línea de intercambio de información prohibida y sensible, según reveló el jueves el portal La Encerrona. Esto incluye datos de más de 800 funcionarios de instituciones estatales.
El autor de la publicación en el foro, cuyo nombre de usuario es ExKase20, indicó que una “vulnerabilidad en el sistema de la Municipalidad de Miraflores” permite ver la información confidencial. En esa línea, La Encerrona señaló que la comuna dejó expuestos los datos de sus vecinos en seis enlaces de acceso público.
Hasta el cierre de esta nota, la información seguía al alcance de cualquier persona con acceso a Breach Forums.
Precisamente, dos cuentas de Twitter que alertan con frecuencia acerca de ciberataques cibernéticos habían comunicado la filtración a fines de agosto.
🇵🇪 Miraflores Municipality's Database Allegedly Leaked
— ThreatMon (@MonThreat) August 28, 2024
A member of a popular dark web forum announced that he had leaked the Municipality of Miraflores's database through a vulnerability in its system. The allegedly compromised data contained confidential information such as… pic.twitter.com/XEDN9bv38M
🚨 A threat actor on a #Darkweb forum is allegedly selling the https://t.co/AB4phr2lzH database leak from the Municipality of Miraflores - Lima, Peru.
— cyberundergroundfeed (@cyberfeeddigest) August 28, 2024
🗓️ Data download: 08/25/2024
📁 Format: SQL
📊 Total: 82,995 rows#Peru #Leakbase #Databreach pic.twitter.com/CKtaK9egK0
Por si fuera poco, uno de los afectados es Carlos Canales, alcalde del distrito. Además de datos personales como su celular y correo electrónico, se filtró su historial de impuestos. Asimismo, se ha divulgado información sobre el catastro del distrito, exponiendo así datos e imágenes de los predios de sus habitantes.
Un problema repetido
Esta es la segunda exposición de datos sensibles durante la gestión de Canales. En mayo del año pasado, información personal de miles de vecinos miraflorinos también estuvo al alcance de cualquier persona gracias a un link de la plataforma de trámites virtuales de la municipalidad.
Ernesto Cabral, periodista de La Encerrona, declaró entonces a este Diario que la comuna cuenta con una sección en su web que permite a los vecinos realizar trámites de manera virtual: desde pagar tributos hasta alquilar canchas deportivas.
Para ingresar y hacer estos trámites es necesario registrarse, colocar un correo y crearse una contraseña. Precisamente, la falla detectada permitía ver los datos registrados por todos los usuarios en esta plataforma digital a través de un hipervínculo y un código.
LEE TAMBIÉN: Arkano al pie del volcán: el campeón del freestyle que puede rapear 24 horas seguidas y por qué vuelve del retiro en Arequipa
La Autoridad Nacional de Protección de Datos (ANPD) —organismo del Ministerio de Justicia (Minjus) encargado de fiscalizar y promover la protección datos personales, así como de imponer sanciones si la situación lo amerita— inició una investigación en relación a esta denuncia el 4 de mayo del 2023.
El MINJUSDH informa que la Autoridad Nacional de Protección de Datos Personales (ANPD) ha iniciado una investigación en relación a la denuncia sobre la presunta filtración y brecha de seguridad en la municipalidad de Miraflores que habría comprometido datos personales.
— Ministerio de Justicia y Derechos Humanos (@MinjusDH_Peru) May 4, 2023
Al respecto, La Encerrona compartió un documento que revelaría que la municipalidad de Miraflores se negó a atender los requerimientos de información solicitados de la ANPD y a recibir presencialmente a sus fiscalizadores.
Luego de la revelación de hace un año, la Autoridad de Protección de Datos Personales abrió un proceso de fiscalización.
— La Encerrona (@laencerronaperu) October 10, 2024
Lo grave: la Municipalidad de Miraflores se negó a responder sus pedidos de información y no atendió a los fiscalizadores que fueron de manera presencial. pic.twitter.com/Yf03ab4iaS
Olga Escudero, directora de la Dirección de Fiscalización e Instrucción de la ANPD, declaró a El Comercio que este año se ha iniciado con el proceso sancionador de la investigación mencionada, pues se halló que la municipalidad incurrió en faltas a principios y obligaciones de la ley de protección de datos personales. Por ejemplo, no se cumplió con el deber de confidencialidad ni con implementar medidas de seguridad para el tratamiento de los datos.
“La municipalidad tiene hasta el 15 de octubre para presentar sus descargos. Con ello terminaría la etapa de instrucción del procedimiento sancionador. Con ello, todo esto sería elevado a la Dirección de Datos Personales para que luego emita una resolución que determine si corresponde una sanción o no a la municipalidad”, explicó.
¿Cuál es la respuesta de la municipalidad?
A través de un comunicado, el municipio miraflorino indicó que sus plataformas online “cuentan con el debido resguardo y protección de datos personales y financieros con caracter de confidencialidad”. Por eso, aseguran que implementaron “un conjunto de medidas de ciberseguridad mediante tokens dinámicos” para evitar el uso indiscriminado por parte de agentes externos y bloquear “cualquier tipo de vulnerabilidad”.
#COMUNICADO
— Muni de Miraflores (@MuniMiraflores) October 10, 2024
📢 La Municipalidad de Miraflores comunica a la opinión pública lo siguiente: pic.twitter.com/kHJwe4svC2
“El municipio reafirma su compromiso de seguir aplicando acciones que permitan el bloqueo de IP maliciosas y la reducción del riesgos de eventuales extracciones de información”, afirman.
Expertos en ciberseguridad advierten defectos
Eduardo Quesquén, gerente de tecnología de Moventi, declaró a El Comercio que, de acuerdo a la información conocida hasta el momento, la reciente exposición de datos de vecinos de Miraflores no es un hackeo. Declaró que se trata de una filtración de datos debido a la falta de herramientas correctas de ciberseguridad por parte del municipio. “No se han aplicado técnicas como el doble factor de autenticación ni seguridad perimetral para la protección de los datos personales”, manifestó.
“No es una filtración avanzada. Es un proceso que cualquier persona con conocimientos básicos en desarrollo de software pudiera haber hecho, porque la información era pública. Al parecer los APIS de la página de la municipalidad (mecanismos que permiten a dos componentes de software comunicarse entre sí) no tenían medidas de protección adecuada”, detalló.
Por su parte, Erick Iriarte, abogado especialista en legislación informática explicó que es “técnicamente imposible que un sistema informático no sea vulnerable”, como indicó la municipalidad en su comunicado.
Así también, como vecino de Miraflores, solicita a la municipalidad que publique las auditorías de sistemas que haya realizado a su página web y a los sistemas de gestión de información de los vecinos. “También debe aclarar qué respuesta han dado a la ANPD sobre las brechas de seguridad de los datos personales”, dijo.
Por otro lado, recomendó a los vecinos de Miraflores a cambiar su contraseña vinculadas a las páginas y servicios web del municipio.
José de la Torre Ugarte, uno de los vecinos miraflorinos afectados por la filtración de datos, declaró a El Comercio que los habitantes del distrito “sienten que no son una prioridad para la municipalidad” debido a que se trata de la segunda ocasión en la que se filtran datos de la web de la comuna.
“Estamos intentando contactar a entidades expertas en derecho digital que puedan apoyarnos y darnos sus comentarios, porque claramente no podemos contar con la municipalidad para ello”, expresó.
VIDEO RECOMENDADO
Perfil del policía acusado de descuartizar joven en Comas: anterior víctima revela las atrocidades que cometió