Personas se acercan a agencias bancarias para cobrar el Bono Universal Familiar otorgado por el gobierno. (Foto: GEC)
Personas se acercan a agencias bancarias para cobrar el Bono Universal Familiar otorgado por el gobierno. (Foto: GEC)

Unidad de Investigación

Una empresa de ciberseguridad detectó que un grupo de personas vulneró la web del que administra el (Reniec) y se apropió de los fondos que entrega el gobierno a quienes no tienen ingresos formales y se han visto afectados por el estado de emergencia decretado para frenar el avance del . Según el reporte de los expertos, lo hicieron suplantando la identidad de los verdaderos beneficiarios del bono de S/760.

MIRA: Bono Familiar Universal: si no aparezco en el registro de beneficiarios, ¿qué debo hacer?

Mauricio Urizar, representante de Deep Security, la empresa que reportó esta vulnerabilidad en el sistema informático, señaló a El Comercio que al realizar un patrullaje cibernético identificaron a un grupo de personas que se organizaron para hurtar los fondos de las personas a quienes el Estado les asignó un subsidio económico. Calculan que el robo fue de cientos de miles de soles. “Está en el informe [enviado a la policía] la cantidad de chips que tenían esas cajas. Hay unos 500 chips o tarjetas aproximadamente. La hemos sacado del foro de los delincuentes”, dijo.

Imagen obtenida del grupo de hackers en la que muestran un grupo de chips que habrían utilizado durante la suplantación de identidad. (Foto: El Comercio)
Imagen obtenida del grupo de hackers en la que muestran un grupo de chips que habrían utilizado durante la suplantación de identidad. (Foto: El Comercio)


Según el reporte de Deep Security, un grupo de personas suplantaron las identidades de cientos de peruanos ingresando los datos personales consignados en el Documento Nacional de Identidad (DNI). Estos fueron registrados con distintos números telefónicos para obtener la clave de seguridad que es remitida por el Banco de la Nación mediante un mensaje de texto. Luego procedieron a retirar los fondos de los cajeros automáticos, donde no se exige el DNI físico.

Fila de personas que buscan cobrar el Bono Universal Familiar en las afueras de una agencia bancaria. (Foto: GEC)
Fila de personas que buscan cobrar el Bono Universal Familiar en las afueras de una agencia bancaria. (Foto: GEC)


La modalidad

El Sistema de Focalización de Hogares (SISFOH) es una entidad del Ministerio de Desarrollo e Inclusión Social (Midis) que sistematiza la información socio económica de la población. Este patrón ha sido utilizado para la asignación de los recursos públicos en el otorgamiento de los distintos subsidios que creó el Gobierno en medio de la pandemia por el coronavirus, como el Bono Universal Familiar a través de la página web “www.bonouniversalfamilia.pe”, que contiene información del Midis y es administrado por el Reniec. En ella las personas verifican si han sido seleccionados para recibir el bono e inician el trámite en línea.

Urizar explicó que estos “delincuentes cibernéticos” identificaron que el sistema de la página web presentaba algunas vulnerabilidades “en el registro Capcha”, un sistema de comprobación automatizada de validación de datos. Tras analizar el sistema informático, se identificaron tres puntos vulnerables. “La primera falla es un tema técnico, porque está mal programado el sistema. La segunda falla encontrada está en el diseño del proceso, es una restricción muy débil que te dice: te voy a dar plata si me dices cuales son los datos del Reniec [Por ejemplo, te pide el número del DNI, la fecha de emisión del documento y el nombre de los padres]. Por último, que el chip o el número telefónico ingresado al sistema debe estar relacionado al beneficiario del bono. [Pero] no hay ninguna relación. Pones el número de cualquier persona y cobras”, señaló.

Imagen compartida en el grupo de hackers con una lista de números de DNI que no habrían sido beneficiados con el bono. (Foto: El Comercio)
Imagen compartida en el grupo de hackers con una lista de números de DNI que no habrían sido beneficiados con el bono. (Foto: El Comercio)


MIRA: ¿Cuáles son los 4 bonos que está entregando el gobierno a modo de ayuda ante la crisis por el Covid-19?

Los hackers cibernéticos hicieron un programa automatizado de comparación de datos del Reniec que consiguieron y los fueron agrupando en 5 mil registros para identificar a los beneficiarios. Luego que obtenían los números de DNI buscaban los datos personales como la fecha de expedición del documento y los nombres de los padres de los beneficiarios, es decir, los datos que eran requeridos por el sistema en la web. Para que les llegue el mensaje de texto de confirmación, ingresaban un número telefónico de su preferencia.

Imagen de un bono cobrado satisfactoriamente compartida en el grupo de hackers. (Foto: El Comercio)
Imagen de un bono cobrado satisfactoriamente compartida en el grupo de hackers. (Foto: El Comercio)

Según Urizar, hasta el momento no se ha podido determinar el monto total de lo hurtado. Pero en una imagen obtenida “en un foro donde los delincuentes se comunicaban entre ellos. Hallaron que estos tenían cuatro cajas con chips de diferentes operadores de telefonía celular […] Unas 500 tarjetas”, remarcó.

Las personas que se organizaron para sustraer los fondos del Gobierno tenían un chat con 44 miembros en actividad. Deep Security accedió a esta conversación y encontró que uno de sus integrantes escribió “me sentí mal al ver a una doña [señora] decir que ella no había cobrado su bono y que ya salía registrado”, con la foto de una mujer en un banco.

MIRA: Bono Familiar Universal: si no me encuentro dentro del padrón oficial, ¿qué opciones me da el MIDIS?
Imagen del chat de 44 miembros que se organizaron para hackear el programa. (Foto: El Comercio)
Imagen del chat de 44 miembros que se organizaron para hackear el programa. (Foto: El Comercio)

Urizar denunció que los jefes de la División de Alta Tecnología de la Policía no quisieron reunirse con él para explicarles lo hallado. Sin embargo, fue atendido el martes por Marushka Chocobar, jefa de la Secretaria del Gobierno Digital de la Presidencia del Consejo de Ministros (PCM) a quien le envió la información por correo y luego coordinó una reunión para el día siguiente. “Con la PCM nos comunicamos el martes por la tarde y ella [Chocobar] a través del PECERT (Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional de la PCM) coordinó una reunión virtual con ellos, el Reniec, Banco de la Nación y otros actores más que se realizó el miércoles a la 1 p.m.”, agregó.

Urizar registró en un video las vulnerabilidades del sistema. El martes de esta semana elaboró un informe que fue enviado a la PCM. Al día siguiente, antes de que se inicie la reunión virtual, se había instalado un parche en el sistema. Hoy recibió la llamada de Gustavo Ruiz, subsecretario de Tecnologías Digitales de la PCM, quien le agradeció por alertarlos sobre este millonario hurto.

MIRA: Coronavirus: ¿Cómo manejar los síntomas en casa y cuándo pedir atención médica?

Este Diario conoció por una fuente de la PCM que el video tutorial que explica la forma de acceder al sistema fue retirado del portal web.

Descargos

Benito Portocarrero, jefe de prensa del Reniec, sostuvo que “la plataforma no ha sido hackeada y no responde a suposiciones. No habido ningún parche [en el sistema]”. Sin embargo, reconoció que algunos funcionarios de su institución se comunicaron con Deep Security. Precisó que “la plataforma está bajo responsabilidad del Reniec y no hemos tercerizado el servicio a ninguna empresa [en referencia a la elaboración del sistema informático], lo hicimos con recursos de la institución”.

Juan Carlos Portocarrero, jefe de prensa de la PCM, se comprometió con este Diario a esclarecer la intervención de los funcionarios de su institución en este problema. Sin embargo, al cierre de esta edición, no respondieron.

Datos

- El presidente Martín Vizcarra informó el lunes que ya se había entregado el Bono Universal Familiar a 3.5 millones de hogares y estimó que para finales de mayo la cifra alcanzaría los 5 millones de familias.

- El primer ministro Vicente Zeballos informó el jueves ante el pleno del Congreso que el gobierno está evaluando un nuevo subsidio como consecuencia de la extensión del estado de emergencia hasta el 30 de junio.

El Comercio mantendrá con acceso libre todo su contenido esencial sobre el coronavirus.

¿Quiénes son las personas que corren más riesgo por el coronavirus?

Debido a que el COVID-19 es un nuevo coronavirus, de acuerdo con los reportes que se tienen a nivel mundial, las personas mayores y quienes padecen afecciones médicas preexistentes como hipertensión arterial, enfermedades cardíacas o diabetes son las que desarrollan casos graves de la enfermedad con más frecuencia que otras.

¿Debo usar mascarilla para protegerme del coronavirus?

Si no tiene síntomas respiratorios característicos del COVID-19 (tos) ni debe cuidar de alguien que esté infectado, no es necesario llevar una mascarilla mientras esté en casa. La OMS recomienda evitar su uso, debido a que en esta pandemia, estos implementos puede escasear. Ahora, recuerde que si usa uno, este es desechable; es decir, solo se puede utilizar una vez.

TE PUEDE INTERESAR