Revelan que al menos tres hackers habrían descargado datos de Reniec expuestos: expertos advierten que riesgo persiste

Cabe mencionar que el primer reporte de esta problemática lo hizo la periodista Stefanie Medina, del programa Contracorriente, el 28 de octubre. Bastaba con que una persona ingrese su número de DNI y el dígito de verificación para observar la información mencionada durante tres minutos. Incluso, también se puede ver datos de otros electores con el mismo apellido y del mismo distrito de la persona que ingresó al sistema.

Newsletter Buenos días

Carlos Salas Abusada desglosa con rigor las noticias clave del día de lunes a viernes.

Recíbelo

Por su parte, para el mediodía del 29 de octubre, el Reniec realizó algunas modificaciones: añadió la fecha de emisión del DNI como requisito para ingresar al LPI y redujo a 1 minuto el tiempo permitido para observar los datos propios y de otros ciudadanos. Sin embargo, expertos han señado a este Diario que ambas medidas no son nada significativas y que el riesgo potencial de descarga de datos sensibles sigue latente.

Precisamente, Stefanie Medina dio cuenta de que al menos tres hackers ya le han confirmado que lograron descargar la data expuesta, pese a que el Reniec ha insistido en que no es posible realizar esta descarga de forma masiva.

El LPI es calificado por el Reniec como el primer borrador del Padrón Electoral de un proceso electoral. Conforme a la Ley Orgánica de Elecciones (Ley Nº 26859), el LPI se publica durante cinco días consecutivos para que los ciudadanos revisen su información personal —como nombres, dirección u otros datos—; soliciten correcciones si encuentran errores, presentando la documentación que los sustente; y que pidan la tacha de un ciudadano que no debería figurar en la lista, por ejemplo, por fallecimiento.

La plataforma del LPI muestra nombres, apellidos, número de DNI, fotografía, dirección (distrito, provincia y departamento) y mesa de sufragio de los votantes del distrito del ciudadano que hizo la consulta. Esto, según dijo a El Comercio Manuel Chuquillanqui Gonzáles, subdirector de Procedimiento Electoral y Georreferenciación del Reniec, cumple estrictamente con lo que señala la Ley Orgánica de Elecciones.

Cabe decir que dicha norma, en su artículo 203, dispone que el padrón incluya nombres, apellidos y número de DNI de cada votante, fotografía y firma digitalizadas, así como el distrito, la provincia, el departamento y la mesa de sufragio.

“En conjunción con el cumplimiento de la Ley Nº 26859, Reniec también está cumpliendo con la Ley de Protección de Datos Personales (Ley N° 29733). A la ciudadanía, les decimos que sus datos están seguros. No hubo una filtración, hackeo o brecha en la información de las bases de datos de Reniec. Se trata de un sistema cerrado y que solo brinda información limitada sobre un distrito, y que tiene todas las medidas de seguridad. Además, tenemos el registro de quiénes ingresan a la plataforma”, sostuvo.

Acerca del por qué los usuarios podían observar datos como el domicilio de otras personas de su distrito en el sistema del LPI, Chuquillanqui respondió que esto permitirá que soliciten tachas de información de aquellos ciudadanos que conozcan. “El ciudadano vive en una comunidad y conoce cuáles son los miembros de la misma. Obviamente, no conoce a absolutamente a todos, pero sí puede conocer a algunos y participar de este proceso de depuración”, justificó.

En contraparte, Erick Iriarte, abogado especialista en derecho digital, mencionó a El Comercio un antecedente ligado a la protección de datos del Reniec: en el 2021, la Autoridad Nacional de Protección de Datos (ANPD) se pronunció ante una consulta de dicha entidad. Entre otras cuestiones, la ANPD respondió que, en la etapa de preparación de un proceso electoral, solo debe publicarse la información del Padrón Electoral necesaria para la verificación ciudadana, sin incluir datos personales sensibles, como el domicilio.

“Los pronunciamientos de Reniec son opiniones vinculantes. Por lo tanto, Reniec ha publicado masivamente información que se le había ordenado que no debía publicar, vulnerando el principio de protección proactiva de datos”, aseveró Iriarte. Esta posición es compartida por la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales de la ANPD.

Erick Iriarte, abogado especialista en derecho digital, dijo a El Comercio que cualquier persona ha podido descargar la información personal de diferentes ciudadanos. Antes de que se añadiera la fecha de emisión del DNI como requisito para ingresar, un usuario podía colocar cualquier número entre el 0 y el 9 como dígito de validación e intentar acceder en repetidas ocasiones sin restricción.

En esa línea. Iriarte cuestionó la divulgación de información sensible en el contexto de inseguridad que vive el país. “La divulgación de esta información puede derivar en extorsiones, porque se publica la dirección de cada ciudadano, o en suplantaciones de identidad”, manifestó.

En tanto, Gustavo Vallejo, experto en ciberseguridad, comentó que existe un conflicto entres dos normas que prácticamente estipulan lo opuesto y que anteriormente nadie ha reparado en ello. Es decir, por un lado está la norma electoral que dicta que se deben mostrar tales datos en la lista inicial del padrón electoral, pero por el otro lado la ley de protección de datos personales estipula que debe haber un resguardo de dicha información.

“La ley electoral va a tener una disputa con la Ley de Protección de Datos Personales, pero ya es un tema legal. En este caso va a tener que haber una modificación de la primera ley, pues obviamente sí afecta los datos personales”, indicó.

Asimismo, sobre la referencia que hizo precisamente el Reniec sobre que dicha ley electoral ampara la publicación de la lista del padrón inicial con información de cada votante, como nombres, apellidos, número de DNI, fotografía y firma digitalizada, Vallejo señaló que basta con tener criterio para saber que hoy en día difundir esta información conlleva un serio riesgo para las personas.

“Con esos datos se podría suplantar a una persona. Por ejemplo, para comprar un chip te piden una firma digitalizada, entonces la puedes imprimir y así suplantar a la persona, es demasiado problemático. Y es más, hasta se puede buscar, perfilar, y suplantar, hay bastante riesgo de suplantación de identidad al publicar estos datos de esa manera. Hay demasiados datos que no tienen sentido que sean difundidos“, explicó.

Además, agregó que el sistema no coloca un mecanismo fuerte de validación de identidad, sino que basta con una autenticación mínima de dos pasos, con los datos del DNI, para iniciar una sesión. “¿Cuántos DNI suplantados existen en el mercado peruano? Muchísimos. No se tiene esa capacidad para realmente validar que el que está entrando es el que dice ser. Porque la autenticación actual no es robusta“, acotó.

Por su parte, Walter Cuestas, detalló que lo que ha sucedido en este caso tiene su origen en la concepción de lo que es una amenaza para el manejo de la información. Es decir, más allá de lo normativo o el aspecto legal, a tal nivel de seguridad como es el manejo de datos personales, alguien debió advertir de que había un conflicto si se ponía a disposición de cualquiera datos tan sensibles.

“Uno tiene que darle contexto a lo que está haciendo. Y el contexto de hoy en día es que sí debieron pensarlo antes sobre exponer esta información, analizar cuáles son los riesgos y las potenciales amenazas. Dentro del Reniec alguien debió hacerlo, concluir que esta información puede ser utilizada para muchas cosas en un entorno de problemas de seguridad como el que tenemos en el país hoy en día", sostuvo.

Cuestas agregó que este tipo de cosas ocurre precisamente porque las personas que manejan el sistema tienen una mentalidad de seguridad ofensiva. Siempre están pensando en cómo entregar resultados, cumplir con lo que les piden, y cuando les toca hablar de seguridad lo hacen a manera de defensa, como argumentando lo que están haciendo. Sin embargo, explicó que no tienen ni idea de cómo se comporta los potenciales hackers o atacantes o el uso que estos le van a dar a la información.

“Lo que yo veo desde el principio es una aplicación que expone información de manera inconsciente sobre el tema de seguridad. Ese es el principal problema. A ver, estamos en 2025 y sin inteligencia artificial ni nada por el estilo hace años que ya se puede automatizar todo eso, se puede literalmente levantar toda esa información. Pero si no visualizas el riesgo, entonces sencillamente no vas a hacer nada y vas a pensar que que puedes exponer las cosas como si nada. Esa es la principal falla que han tenido“, expresó.

Por otro lado, Cuestas advirtió que la información que es compartida no solo es la que aparece en pantalla o la que muestra el sistema. Detalló que cuando se ingresa a una plataforma a buscar información, dentro la data que viaja desde los servidores puede ser que llegue más datos. Por ejemplo, además, de nombres, número DNI, dirección, a la PC del usuario puede haber llegado hasta 10 o 20 datos más, que no se muestran pero que sí son detectados.

El Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (Indecopi) informó mediante sus redes sociales que ha detectado intentos de suplantación de identidad por parte de personas inescrupulosas, quienes vienen realizando llamadas y enviando mensajes por WhatsApp haciéndose pasar por colaboradores del Indecopi.

“Esta modalidad, conocida como spoofing, utiliza de forma fraudulenta los número oficiales de la institución (01 224 7800 y 01 224 7777) para sorprender a los ciudadanos y obtener acceso indebido a la su información personalizada”, detalló.

Por ello, la entidad anunció que ha reforzado sus protocolos de seguridad digital, con el objetivo de proteger la información de personal de los usuarios que mantienen expedientes en proceso con la institución.

“Como medida preventiva se ha restringido el acceso al servicio de búsqueda pública de expedientes en materia de consumidor. El caso ha sido denunciado ante el Ministerio Público y se vienen tomando las acciones legales respectivas“, subrayó.