En esta ocasión, los medios de comunicación masiva pusieron nuevamente al descubierto la gravísima situación de vulnerabilidad que aqueja a los sistemas y la información que acopia, maneja y maltrata el estado peruano. En un escenario dónde las competencias institucionales se ceden y/o disputan entre incompetentes, se conoció que Guacamaya había sustraído más de 175GB de información extremadamente sensible de los sistemas que comunican al CCFFA con el Alto Mando del Ejército. Nuestra defensa nacional nunca antes tan vulnerable. Terrorífico!! Lea las opiniones de Jorge Yrivarren Lazo y Daniel Lizárraga López.
Lo real y concreto es que dependemos de la buena voluntad de nuestros enemigos
Las entidades públicas deben reforzar sus planes de seguridad digital, reforzar las capacidades de su personal, evaluarlos, contratar personal especializado con experiencia en campo, mejorar su infraestructura de seguridad a nivel de hardware, software, no solo enfocarse en implementar y certificar metodologías como la ISO 27001
(americasistemas.com.pe. Lima, Perú – 19 de octubre 2022) Por más que trataron de minimizar el hecho, La República publicó una investigación que mostraba la magnitud y gravedad de la sustracción. Cientos de IDOs (Informe Diarios de Operación) con información muy precisa sobre situación y locación de armamentos, equipos y polvorines a nivel nacional podría estar en estos momentos en manos de Gobiernos y grupos que tienen intereses ajenos a nuestro desarrollo y bienestar como nación. Miles de correos electrónicos también son parte del botín de estos malhechores cibernéticos. Citar que el ejército de México sufrió similar calamidad por 6 Terabytes sustraídos del servidor de la Secretaría de Defensa Nacional, no es ningún consuelo.
Por otro lado, mediante un bochornoso escándalo de resucitación legal, supimos lo fácil que es “fallecer” y “desfallecer” legalmente en este país. Basta con alterar las BD del Registro Nacional de identidad y Estado Civil 8 (RENIEC) para que esto suceda. Vallejo acude a nuestra mente con “Dios mío, si hubieras sido hombre sabrías lo que es ser Dios”.. reencarnado en los responsables de esta BD con datos personales vitales. No importa que hayan cedido la capacidad de emitir de oficio un Acta de Defunción al MINSA, cuando la responsabilidad que recae sobre esta entidad proviene de la Constitución. Basta con mencionar que el Proceso de Adquisición CP-SM-2022-RENIEC por el Servicio de Ciberseguridad viene postergándose semana a semana por más de dos meses, lo cual resulta más grave si consideramos que dicho requerimiento tiene una antigüedad superior a los 12 meses. Citar que los hackers se llevan BD´s antiguas y sin valor, no es ningún consuelo. Nuestros datos personales nunca antes tan vulnerables. Truco o trato!!
Es imprescindible que de los cientos de Millones que el Gobierno de Castillo está usando para tratar de comprar voluntades en las FFAA, los altos mandos de estas entidades destinen el presupuesto necesario para que las instancias responsables de la seguridad de la Información para la Defensa Nacional y la seguridad Interna no sean pulverizadas. En este momento dependemos de la “buena voluntad” de nuestros enemigos.
También es imprescindible que la disputa existente entre RENIEC y PCM se resuelva lo antes posible. Lograr competencias mediante dispositivos legales para luego no estar en capacidad de cumplirlas, solo daña al país. RENIEC necesita urgentemente fortalecer su la infraestructura tecnológica, modernizar su ROF y precisar mejor algunas funciones, mejorar las condiciones laborales de sus trabajadores y retener el talento necesario. Existen los fondos provenientes del Contrato entre el Estado Peruano y el BID para estos propósitos. Existen Unidades Ejecutoras que están trabajando a toda máquina. También existen diversos proyectos de renovación de servicios diversos publicados en el SEACE y que ameritan mayor celeridad, con presupuesto disponible pero cronogramas elásticos.
La seguridad digital, confianza digital en el Estado, empezando por el Ejecutivo deja mucho que desear, demuestra poca gestión y conocimiento en este campo por quienes dirigen o tienen a su cargo el tema de seguridad digital en el Estado, hechos concretos saltan a la vista como pruebas, con perjuicio a las personas y entidades en sus derechos e información reservada y pérdidas económicas incalculables.
Las entidades públicas deben reforzar sus planes de seguridad digital, reforzar las capacidades de su personal, evaluarlos, contratar personal especializado con experiencia en campo, mejorar su infraestructura de seguridad a nivel de hardware, software, no solo enfocarse en implementar y certificar metodologías como la ISO 27001, sino implementar proyectos más operativos y especializados con sostenibilidad que permita frenar esta ola de ataques cibernéticos a las instituciones públicas del Estado en desmedro del país.
Lamentable resumen:
Lamentablemente estos dos casos, si bien se trata de entidades muy importantes para nuestra vida diaria, no han sido los únicos. Un breve resumen de recientes casos de vulnerabilidades y ataques cibernéticos a las instituciones públicas del Estado en los últimos 7 meses:
- Filtración de datos personales en PCM, RENIEC denunciado por ASBANC en mayo
- OSCE y la vulneración al SEACE por el Club del Tarot, julio 2022
- Filtración de información reservada de las FFAA peruanas por los hackers de Guacamaya en Setiembre 2022
- Caso SINADEF que involucra al MINSA y RENIEC, Octubre 2022
- Tarjetas del Tren Eléctrico vulneradas por delincuentes cibernéticos, ATU, Muni Lima, octubre 2022
__________________________________________________________________________
Yrivarren: “El objetivo es legitimar la posición de los que hablan de fraude electoral, mostrando aparente fragilidad del Padrón Electoral”
El objetivo de la nota en mención es conocer el meollo del problema, por su parte, el Minsa anunció que adoptará medidas legales ante la “arbitraria decisión del Reniec” de desactivar el registro online de defunciones.
Recordemos que al conocerse “actas de defunciones” de varias personalidades de la política nacional, los titulares del Minsa y Reniec intercambiaron pareceres afirmando que sus portafolios no les cabía ninguna responsabilidad. Después se supo el uso indebido de las claves y usuarios de los médicos para generar certificados de defunción de personas que no se encuentran fallecidas y que se encuentran cuestionadas e investigadas por diversidad de delitos.
Daniel Lizárraga López
Si me encargan llevar una docena de vasos de cristal y los meto en una bolsa plástica, con mucha suerte llegaron todos intactos, que quiero decir con esto, que el emisor, quien envía los vasos, no tiene idea de “cómo” los están llevando y el que recepciona tampoco sabe que es lo que pasó en el camino, solo debe confiar en lo que finalmente se recepciona. Comienza diciendo el ejecutivo:
Cómo confiar entonces de que lo que me envían es realmente lo que voy a recepcionar, es donde debemos revisar el proceso, las interacciones internas de cada red y las consultas interoperables , las cuales deben quedar registradas para verificar trazabilidad, no permitir por ejemplo que al entrar a la red con alguna clave inicial , sea solo con esta que pueda entrar a todos los sistemas internos , suena práctico, pero no es “seguro” ,etc, etc, estoy seguro que estos conceptos no han sido tomados a la ligera por los funcionarios responsables , pero sin embargo la presión mediática de hacer las cosas con una visión inmediatista conlleva a caer en errores que luego saltan a la vista.
Actualmente existen tecnologías que resguardan y hacen mucho más confiables los procesos de emisión y entrega, aplicar Blockchain , podría resolver el problema suscitado entre la Reniec y el Ministerio de salud, no solo es que el médico firme con su DNIe, requisito que debería ser ya “obligatorio”, para toda persona que trabaje en el sector público, habría que aplicar dispositivos biométricos o software de reconocimiento al momento de certificar una defunción, es decir mejoras existen y están a la mano, pero lo que debe cambiar primero es el concepto de cómo hacer las cosas y que el usuario crea que está en buenas manos y esto es parte primordial de una verdadera transformación digital en el estado peruano.
Jorge Yrivarren Lazo
El ex jefe del RENIEC manifiesta que el Sistema Nacional de Defunciones (SINADEF) es administrado por el MINSA y tiene más de 65 mil usuarios que acceden al sistema para ingresar Certificados de Defunción. La posibilidad de ingresar certificados falsos depende de las seguridades que el MINSA haya impuesto al sistema como por ejemplo, las claves de acceso se cambian continuamente y son de responsabilidad personal. Los certificados hoy pueden ser digitales (se digitan en el SINADEF) o manuales, ambos suscritos por médicos. Una vez ingresado el certificado, se emite, por parte del RENIEC, el Acta de Defunción (que por pandemia se autorizó que sea de oficio y automático, es decir, si se ingresa un certificado falso por falta de mecanismos de seguridad en el MINSA, el Acta de Defunción se genera automáticamente por RENIEC y queda registrada la defunción.
El autor de esos Certificados, que son más de mil (no solo del dueño de la casa de Sarratea, sino de la Fiscal y muchos personajes más de la política peruana) puede ser de dentro o de fuera del MINSA que conoce las claves de acceso y que puede crear esos falsos certificados usando las colegiaturas de todos los médicos habilitados por el Colegio de Médicos.
Hay temas de negligencia por parte de MINSA y RENIEC por no tener los mecanismos de seguridad apropiados. Al parecer, so pretexto de la pandemia, todas las seguridades del SINADEF y del sistema que genera las Actas de Defunción se relajaron: Antes de la pandemia no era posible la generación automática del Acta de Defunción ni el ingreso de Certificados de Defunción por cualquier usuario que escoja arbitrariamente al médico firmante.
Pero el tema más importante es político: se quiere legitimar la posición de los que hablan de fraude electoral, mostrando la fragilidad de estos sistemas para demostrar que el Padrón Electoral está lleno de muertitos. Este fue uno de los argumentos del supuesto fraude. ¿Cuál es el propósito de mostrar como difuntas a personas tan disímiles? Burlarse de los sistemas de seguridad de las instituciones para argumentar el fraude electoral debido a un Padrón con muertitos que aprueba el JNE y usa ONPE. Ergo, el sistema electoral es el objetivo.
A esas afirmaciones les falta el detalle más importante al parecer: La relación de médicos que deben acceder al SINADEF la proporciona el MINSA y RENIEC les genera los users y passwords que el MINSA les entrega a sus médicos. Si se ingresó un Certificado trucho es porque alguien con acceso a un user y password válido lo hizo: un médico autorizado o un suplantador del médico autorizado. Este es el origen del problema. RENIEC debió prever esto cuando dispuso la emisión de Actas de oficio. Ahora RENIEC ha cometido un segundo error: haber cerrado el acceso al SINADEF lo que obligará a que todos los Certificados sean manuales (en papel) y presentados a la ventanilla de RENIEC para generar el Acta.
Un Comentario
German Chiock
DESMADRE TOTAL. Una raya mas a la cebra. Ya nos lo advirtieron. La idea es REFUNDIR la débil institucionalidad para crear caos y anarquía y dejar todo en ruinas para luego refundar el país a conveniencia propia.