Venden datos sensibles a menos de tres soles en plena crisis por extorsiones

La venta de fichas del Reniec con datos personales, domicilio, nombres del padre y madre, registros de propiedades de la Sunarp como inmuebles con dirección exacta y vehículos con placa de rodaje, marca y modelo, líneas telefónicas a nombre de un ciudadano y otras informaciones que provienen de las bases de datos de diferentes instituciones públicas se venden desde tres soles en redes sociales.

Todo ello en un contexto donde las extorsiones azotan al país. Marketplace, plataforma de compra y venta en línea de Facebook, es su escenario principal.Sin duda, la base de datos del Reniec es la más importante del Estado: reúne información personal como nombres completos, número de DNI y dirección, lo que ?facilita las extorsiones?, dice el experto en seguridad ciudadana Frank Casas. ?Esta información es muy sensible y son los primeros datos que usan los extorsionadores para investigar y amenazar a sus víctimas?, detalló.Este fue el caso de Julián, quien en setiembre empezó a recibir mensajes por WhatsApp de extorsionadores que le enviaron por mensaje precisamente los datos que expone el Reniec. Luego, le exigieron reunir 25.000 soles en 72 horas para que ?no se arrepienta?. Por si fuera poco, le mandaron fotos de la fachada de su casa y una ficha del Reniec con sus datos personales.

?El doxeo?

La obtención de esta información se conoce como doxeo. Erick Iriarte, abogado especialista en legislación informática, explicó a El Comercio que el doxeo consiste en la revelación de datos personales que se encuentran en bases de datos reservadas. ?Normalmente, se utiliza información que está en custodia del Estado?, detalló.

Los avisos de Marketplace indican que acceder a esta información consta de sencillos pasos: escribir a un número, indicar el tipo de información que se requiere y realizar el pago a través de billeteras digitales. Este Diario contactó a uno de los anunciantes, quien ofreció una ficha del Reniec a menos de tres soles. El Comercio también escribió al número de otro aviso para pedir información de propiedades registradas en la Sunarp. Sin necesidad de haber hecho un pago, la persona envió datos exactos de vehículos asociados al dueño y un inmueble con la dirección exacta en menos de 10 minutos, demostrando así la facilidad con la que obtienen esta información. Este Diario, por su lado, constató que los datos son reales.

?Vulnerabilidad?Olga Escudero, directora de la Dirección de Fiscalización e Instrucción de la Autoridad Nacional de Protección de Datos Personales (ANPD) ?organismo del Ministerio de Justicia?, señaló a este Diario que la entidad está al tanto de la venta de datos de las bases de instituciones públicas en redes sociales. Escudero dijo que la causa principal es la ?falta de medidas de seguridad de las entidades públicas?. Asimismo, la funcionaria dijo que el Reniec es la entidad estatal cuya base de datos es ?la más vulnerable a filtraciones de información?.

Hector Saravia, director de Certificación Digital del Reniec, aseguró a El Comercio que la información de las fichas del Reniec que se venden en Marketplace ?no está actualizada?, pese a que El Comercio constató lo contrario. Negó que la base de datos del Reniec haya sido vulnerada para obtener esta información. ?Las personas que venden esta información arman certificados de inscripción (C4), fichas blancas y azules con información a la que tuvieron acceso alguna vez haciendo un mal uso de los sistemas de consulta en línea que ofrece el Reniec a instituciones estatales y privadas?, manifestó.

Así también, Saravia indicó que este año la entidad ha reforzado las medidas para reconocer a los usuarios que hagan un uso indebido. Mencionó también que el Reniec viene implementando el sistema de verificación ID Perú para que el acceso a estos servicios se realice a través de la comprobación de datos biométricos faciales y dactilares.

ENTIDADES MULTADAS

En el 2023, la ANPD descubrió que en la web Zorrito Run Run se vendían datos personales. Las investigaciones encontraron que la información provino de fichas del Reniec extraídas desde los sistemas del Ministerio de Energía y Minas y la contraloría. Por ello, la ANPD sancionó con 19 UIT (S/94.050 al valor del año pasado) a las tres entidades, por no contar con medidas de protección adecuadas y faltar al deber de confidencialidad de los datos personales.