Nueva filtración de datos alcanzaría a Reniec, Sistemas PNP y Topitop: todo sobre supuesta difusión en BreachForums

Tal como ocurrió ayer con la filtración de datos del citado banco, esta mañana el usuario “Gatito_FBI_NZ” difundió en BreachForums “datos de 32 millones de ciudadanos, que incluyen nombre, fecha de nacimiento, dirección, detalles de los padres, detalles del trabajo, etc.”.

Sin embargo, Reniec envió un comunicado en el que aseguran que la supuesta filtración no es cierta. “Esa información es falsa, la base de datos no ha sido vulnerada, la imagen que circulan en redes sociales tiene rubros que no se contemplan en registro de nuestra entidad. Invocamos a la ciudadanía y a los medios de comunicación a no dejarse sorprender por información falsa”, indicaron.

Los rubros a los que se refiere el organismo son “sueldo” y “crédito”, incluidos en la base de datos filtrada por el usuario de BreachForums. Esta información, sin embargo, aparece vacía o con el número 0.

El Comercio constató que, en la base de datos expuesta por “Gatito_FBI_NZ”, aparecen los datos personales de la presidenta Dina Boluarte. Esto incluye nombre completo, fecha de nacimiento, foto y su domicilio actual ubicado en Surquillo.

Esta no es la primera vez que se advierte sobre posible filtración de datos de Reniec. En mayo del 2022, la Autoridad Nacional de Protección de Datos Personales (ANPD) del Ministerio de Justicia y Derechos Humanos (MINJUSDH), a través de la Dirección de Fiscalización e Instrucción, inició acciones de fiscalización ante el reporte del Centro Nacional de Seguridad Digital (PCM) sobre supuesta difusión de datos personales de ciudadanos, contenidos en los bancos de datos personales de titularidad del Reniec y otras entidades. “La Autoridad ha detectado que se estarían utilizando las cuentas asignadas a diversas entidades públicas para comercializar los datos de identificación de las personas, por lo que se estarían vulnerando los principios de consentimiento y finalidad, al margen de la naturaleza delictiva de estas acciones”, informaron ese año.

De acuerdo a lo establecido en la Ley 29733, Ley de Protección de Datos Personales y su reglamento, la recopilación de datos personales mediante medios fraudulentos, desleales o ilícitos es una infracción muy grave cuya multa es de 50 UIT hasta 100 UIT.

La supuesta filtración de Reniec no es la única publicada hoy en dicho foro. El usuario “ExKase20″ afirma haber difundido ilegalmente datos de Topitop, la tienda peruana de ropa y accesorios, que incluye “información sobre 1′810.084 clientes, que abarcan detalles como nombres, identificaciones, direcciones de correo electrónico, números de teléfono y más”.

Horas después, el usuario “Gatito_FBI_NZ” aseguró tener información hasta el 2024 del Sistema Informático de Registro de Denuncias Policiales (SIDPOL), Sistema Informático de Control del Proceso de Información Policial (SICPIP), Sistema de Registro de Denuncias Policiales para Investigación Criminal (SIRDIC) y el Sistema de Información Policial (ESINPOL).

El mismo usuario “Gatito_FBI_NZ” también difundió una supuesta base de datos con 15 millones de números de teléfono de la Claro Perú. Sin embargo, la empresa de telefonía aclaró que no ha detectado ninguna vulneración de datos ni a sus sistemas operacionales y que los datos difundidos tampoco son de su base de datos. “A través de nuestros sistemas de ciberseguridad, tuvimos acceso a la base de datos mencionada y encontramos una gran cantidad de registros que no corresponden ni en formato ni en contenido a las bases de datos de Claro Perú. Además, la información en cuestión presenta una antigüedad aproximada de un año. No hemos recibido reclamos ni hemos identificado afectaciones a nuestros clientes derivada de esta supuesta filtración. En este momento continuamos revisando de forma exhaustiva para asegurar la tranquilidad y la continuidad del servicio de nuestros clientes”, indicaron.

De igual forma, el Banco de Crédito del Perú (BCP) también descartó haber sido víctima de filtración de datos, tal como se informó en redes sociales.

Estos casos aparecen un día después de que Interbank reconociera la filtración de “algunos datos de un grupo de clientes por un tercero sin autorización”. Esto motivó a que los usuarios del banco reportaran problemas para ingresar a sus cuentas y realizar operaciones por Plin. La exposición también ocurrió en BreachForums por el usuario de nombre “Kzoldyck”.

“Kzoldyck” aseguró tener más de 3,7 terabytes (TB) de datos de tres millones de usuarios de Interbank como nombres completos, fechas de nacimiento, direcciones, teléfonos, correos, datos de tarjetas, CVV, contraseñas, credenciales de API internas, LDAP, credenciales de acceso a la base de datos del banco en Azure, transacciones bancarias, saldos en Tunki, entre otros.

Aunque, el usuario restringió el acceso a la base de datos a cambio de un pago de créditos, sí compartió datos sensibles de las cuentas de algunos usuarios. Dicha información aún sigue al alcance de cualquier persona con acceso a BreachForums.

De acuerdo con “Kzoldyck”, desde hace dos semanas se comunicó vía correo electrónico con Interbank e Intercorp para exigir un pago de dinero a cambio de no exponer la información. Al no haber recibido respuesta satisfactoria a esta extorsión, difundió el contenido en el foro.

Esta tarde, Interbank suspendió temporalmente sus servicios como canales, tarjetas y medios de pago entre las 12 y las 3 pm para actualizar sus sistemas. Tras ello, emitió un comunicado en el que aseguraron que “los datos expuestos no comprometen la seguridad de los productos financieros ni permiten realizar transacciones”.

Asimismo, el banco aseguró que “no es necesario cambiar de contraseña, ni bloquear las tarjetas, pues los productos están seguros” y que los clientes no se verán afectados por comisiones de reposición de tarjeta ni pago tardío.

Ante la filtración de datos de Interbank, el congresista Wilson Soto Palacios presentó una solicitud al presidente de la Comisión de Defensa del Consumidor, el congresista Idelso Manuel García Correa, para que se convoque de manera urgente a representantes de la Superintendencia de Banca, Seguros y AFP (SBS) y del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (INDECOPI) para que expliquen “las acciones que están implementando para corregir estos hechos y prevenir futuros incidentes similares”. Asimismo, solicitó información sobre las medidas que se están adoptando para resarcir los daños ocasionados a los perjudicados.

Es tarde, la Defensoría del Pueblo del Perú anunció que está supervisando las acciones de los organismos reguladores en relación a la presunta filtración de datos de clientes de Interbank. Por ejemplo, solicitó a Indecopi abrir una investigación de oficio para determinar si Interbank ha infringido el Código de Protección y Defensa del Consumidor, lo que podría llevar a la implementación de sanciones administrativas correspondientes.

Asimismo, se ha requerido a la Superintendencia de Banca, Seguros y AFP (SBS) que evalúe si la entidad bancaria cumplió con los protocolos establecidos en caso de incidentes operativos y de seguridad, y si su conducta podría ser considerada como una infracción administrativa.

Eduardo Quesquén, gerente de tecnología en Moventi, recomendó que los usuarios de Interbank, una vez recuperen acceso a sus cuentas, deben cambiar de inmediato sus contraseñas y aplicar medidas de seguridad adicionales. “Deben activar la autenticación de dos pasos, desvincular y volver a vincular su token digital y asegurarse de que su cuenta esté vinculada a un correo electrónico para recibir notificaciones de futuras transacciones”, declaró a El Comercio. Asimismo, Quesquén pidió a Interbank transparencia en la comunicación y mantener informados a sus clientes sobre las medidas que tomarán para proteger sus datos.

Este incidente ocurre luego de otra filtración masiva de datos en BreachForums, donde más de 82 mil habitantes de Miraflores vieron expuesta información personal como nombres, DNI, teléfonos, correos y direcciones. Entre los afectados se encuentra Carlos Canales, alcalde del distrito, cuyo historial tributario y datos personales también fueron divulgados.

El responsable, identificado como ExKase20 en el foro, afirmó que la filtración fue posible por una “vulnerabilidad en el sistema” de la Municipalidad de Miraflores, lo que permitió que datos personales de los vecinos se expusieran en enlaces de acceso público.