La delincuencia no tiene límites. Tan solo unos días después de que el portal La Encerrona revelara que los datos personales de más de 82 mil vecinos de Miraflores circulan desde agosto en BreachForums, un foro en línea de intercambio de información prohibida y sensible, una persona residente del distrito, de iniciales D.V.V., recibió un correo electrónico de parte de extorsionadores que le exigían el pago de 2 mil dólares para no hacer pública información privada sobre ella. Los datos utilizados en la misiva precisamente son los mismos que se muestran en el citado sitio online.
LEER TAMBIÉN: Segunda filtración masiva en Miraflores: Datos de 82 mil vecinos están expuestos
Esta persona concluye que ambas situaciones guardan relación y que los delincuentes se vienen aprovechando de la filtración de datos en Miraflores para amenazar a vecinos por correo. “Además de la cercanía en el tiempo entre la fuga de data y el mensaje extorsivo, ¿de qué otra manera podrían haber accedido a este tipo de información, la cual es manejada por la Municipalidad de Miraflores y es difícil de conseguir?”, sostuvo.
Los datos a los que hace mención son: DNI, nombres, apellidos, correo, dirección y número telefónico. El Comercio comprobó que en este portal donde están expuestos los datos de miles de vecinos se encuentra los del denunciante. Por ello, no se descarta que otros vecinos del distrito también estén siendo víctimas del mismo modus operandi.
Lo publicado en el foro incluye la información sensible, además, sobre más de 800 funcionarios de instituciones estatales. Hasta el cierre de esta nota, la información seguía al alcance de cualquier persona con acceso al mencionado sitio web.
El autor de la publicación, cuyo nombre de usuario es ExKase20, indicó que una “vulnerabilidad en el sistema de la Municipalidad de Miraflores” permite ver la información confidencial. En esa línea, La Encerrona señaló que la comuna dejó expuestos los datos de sus vecinos en seis enlaces de acceso público. Precisamente, dos cuentas de Twitter que alertan con frecuencia acerca de ataques cibernéticos habían comunicado la filtración a fines de agosto.
Por si fuera poco, uno de los afectados es Carlos Canales, alcalde del distrito. Además de datos personales como su celular y correo electrónico, se filtró su historial de impuestos. Asimismo, se ha divulgado información sobre el catastro del distrito, exponiendo así datos e imágenes de los predios de sus habitantes.
Esta es la segunda exposición de datos sensibles durante la gestión de Canales. En mayo del año pasado, información personal de miles de vecinos miraflorinos también estuvo al alcance de cualquier persona gracias a un link de la plataforma de trámites virtuales de la municipalidad.
El caso a detalle
En diálogo con El Comercio, el denunciante contó que recibió el correo el último miércoles. Al abrirlo se dio cuenta rápidamente que el remitente había consignado su nombre completo, dirección, número de DNI y de teléfono celular. Había logrado acceder a esa información que es difícil de conseguir de manera tan sistemática y precisa. Él supone que de esta manera los facinerosos pretenden llamar la atención de uno para que no dude de la veracidad de la amenaza.
Asimismo, al empezar a leer el resto del correo, se percató que se trataba de una especia de extorsión o chantaje. El remitente quería cobrar una suma de dinero para no revelar supuestos hechos comprometedores y personales de la víctima. Lo amenazaba con exponer ante su red de contactos toda la información que poseía tras presuntamente espiarlo por un tiempo mediante el control de su cámara web y micrófono.
“Se trata de una especie de de farsa. Lo que hacen estas personas es lograr acceso a cierta información de uno, que no es tan fácil de conseguir, e intentan hacerte creer que ellos tienen imágenes tuyas o vídeos y te sueltan datos personales como la dirección, correo, DNI, número de celular, para que uno piense que efectivamente es verdad todo. Al tener información de uno que coincide, de cierta manera se hace creíble la historia”, sostuvo la víctima.
Para él no existe otro lugar que almacene los mismo datos sensibles que contiene el correo que le enviaron que no sea la Municipalidad de Miraflores, que justamente en estos días ha estado involucrada en una filtración de data de sus vecinos.
“Esto ha salido de la municipalidad porque no hay otro lugar que se me ocurra donde ellos pudieran haber tenido toda esta información junta, tan a la mano. Debe venir del robo de datos a la municipalidad. Esos datos se han contrabandeado, incluso deben estar en el extranjero. El municipio tiene toda esta información de los vecinos. De dónde más van a sacar esta información estos tipos”, expresó.
Implicancias y responsabilidades
El abogado penalista Aaron Aleman dijo a El Comercio que la filtración masiva de los datos de los vecinos de Miraflores a consecuencia de una negligencia en la protección de datos personales y sensibles atribuibles a la Municipalidad de este distrito, conlleva a riesgos inminentes a la vida, seguridad e integridad de las personas, ya que “hacen propicio escenarios delictivos como el delito de extorsión”, previsto y regulado en el artículo 201 del Código Penal, “y el delito de chantaje”, previsto y regulado en el artículo 202.
“En el primer supuesto (extorsión), deberá existir una violencia o amenaza que tenga la entidad suficiente de generar temor, miedo o pánico que conlleve a que la víctima tome la decisión de desprenderse de su patrimonio dado a esta presión psicológica, en tanto y en cuanto existe de por medio un riesgo hacia su integridad, vida, salud suya o de terceros vinculados con este último. Este delito se sanciona hasta con una pena privativa de la libertad de hasta 25 años”, señaló.
LEER TAMBIÉN: Filtración de datos en Miraflores: ¿Cuánto podría costarle a la municipalidad?
En tanto, en el segundo supuesto (chantaje), precisó que deberá existir un condicionamiento dirigido a la víctima consistente en la compra del silencio del agente que se dispone a publicar, denunciar o revelar un hecho que pueda perjudicar personalmente a la víctima o a un tercero estrechamente vinculado a este. “Este delito se sanciona hasta con una pena privativa de la libertad de hasta 6 años y 365 días multa”, detalló Aleman.
En el presente caso, el penalista explicó que se suscitaría el segundo delito, es decir, chantaje, por cuanto el correo remitido a la presunta víctima a través de la cual se le hace un determinado cobro a cambio de que no se publiquen, revelen o denuncien hechos comprometedores del denunciante, “tiene como propósito fundamental el comprar el silencio del delincuente para que así no se pueda divulgar dicho material”.
Aleman sostuvo que la Policía Nacional del Perú y el Ministerio Público, dentro de las diligencias preliminares, deberán efectuar actos de investigación urgentes e inaplazables dirigidos a identificar e individualizar a los sujetos responsables de la comisión de este delito, así como verificar si dicha conducta criminal puede haberse cometido a través de una organización o bandas criminal.
Por su parte, Ricardo Elías, abogado penalista experto en cibercriminalidad, comentó a este Diario que en primer lugar, el Ministerio Público, mediante su área especializada en cibercrimen, debería abrir una investigación de oficio a fin de determinar si es que en realidad esta exposición de datos se debe a una brecha de seguridad por algún error desde el punto de vista técnico o si nos encontramos frente a un ciberataque.
“Si es el primer caso es un tema administrativo que la municipalidad ha de responder. Si se trata de un ciberataque estamos frente a un delito y por lo tanto tiene que ser investigado con la finalidad de identificar quién o quiénes se encuentran detrás de ello. Pero, no importa si ha sido uno u otro, lo que sucede en estos casos es que la información personal es vendida en diferentes lugares. Lo más seguro para el delincuente es venderlo a través de algunas tecnologías que permiten minimizar el riesgo de identificación, como grupos de Telegram o la dark web”, explicó.
LEER TAMBIÉN: Andrés Hurtado compró autos al doble de su precio y los vendió a 500 soles: detalles de sospechosa operación
Respecto a los mensajes intimidantes a raíz de esta fuga de datos, Elías indicó que o bien puede tratarse de una amenaza real, frente a la cual estaríamos ante un caso de extorsión, o un escenario más frecuente, que sea un intento de estafa. Este último se trata del envío de información fidedigna de la víctima para ver si esta pesca el anzuelo y cree que realmente está frente a una extorsión.
“Cualquiera de los dos escenarios es un delito. Sea como fuese tiene que ser investigado, e identificarse quién o quiénes se encuentran detrás. Las mismas personas que accedieron o compraron la base de datos no necesariamente son los que están mandando los mensajes. A veces hay estamentos: un grupo se dedica a conseguir la base de datos, otro grupo a comercializarla y finalmente quien compra la información se dedica a extorsionar o estafar a la gente”, detalló.
El experto añadió que tanto la Fiscalía como la Divindat (División de Investigación de Delitos de Alta Tecnología de la PNP) tienen que investigar qué es lo que está pasando y qué se está haciendo con los datos comercializados. Asimismo, recomendó a los ciudadanos que se sienten amenazados o vulnerados a acudir y brindar esta información. Incluso, dijo, lo pueden hacer de manera anónima.
¿Qué ha dicho la comuna sobre filtración?
Tras conocerse la filtración de datos, a través de un comunicado, el municipio miraflorino aseguró que sus plataformas online “cuentan con el debido resguardo y protección de datos personales y financieros con carácter de confidencialidad”. Indican que implementaron “un conjunto de medidas de ciberseguridad mediante tokens dinámicos” para evitar el uso indiscriminado por parte de agentes externos y bloquear “cualquier tipo de vulnerabilidad”.
Lino de la Barrera, gerente de Asuntos Jurídicos de la Municipalidad de Miraflores, señaló que la exposición de datos personales de más de 82 mil vecinos del distrito se debió a un “intento de hackeo” ocurrido en agosto, no a una filtración de información.
LEER TAMBIÉN: ¿Quién es realmente Iván Quispe Palomino? La historia completa detrás de la captura de la PNP
“Nosotros tenemos los soportes informáticos necesarios y hacemos inversiones permanentes para mejorar la protección de datos personales que administramos. Lamentablemente, al igual que ocurre con otras instituciones públicas, vivimos presionados por hackers y personas que intentan capturar la información de los vecinos de Miraflores. El último caso es un intento de hackeo del mes de agosto desde Canadá y Estados Unidos. Han entrado y sacado la información”, subrayó.
El Comercio consultó nuevamente con la Municipalidad de Miraflores para conocer si hay alguna información actualizada sobre el tema de la filtración de datos en el distrito. Sin embargo, nos hicieron saber que serán respetuosos del carácter reservado de los procedimientos, en el marco de la investigación en curso.
Un problema repetido
Esta es la segunda exposición de datos sensibles durante la gestión de Carlos Canales. En mayo del año pasado, información personal de miles de vecinos miraflorinos también estuvo al alcance de cualquier persona gracias a un link de la plataforma de trámites virtuales de la municipalidad.
Ernesto Cabral, periodista de La Encerrona, declaró entonces a este Diario que la comuna cuenta con una sección en su web que permite a los vecinos realizar trámites de manera virtual: desde pagar tributos hasta alquilar canchas deportivas.
Para ingresar y hacer estos trámites es necesario registrarse, colocar un correo y crearse una contraseña. Precisamente, la falla detectada permitía ver los datos registrados por todos los usuarios en esta plataforma digital a través de un hipervínculo y un código.
La Autoridad Nacional de Protección de Datos (ANPD) —organismo del Ministerio de Justicia (Minjus) encargado de fiscalizar y promover la protección datos personales, así como de imponer sanciones si la situación lo amerita— inició una investigación en relación a esta denuncia el 4 de mayo del 2023. Al respecto, La Encerrona compartió un documento que revelaría que el municipio se negó a atender los requerimientos de información solicitados por la ANPD y recibir a sus fiscalizadores.
LEER TAMBIÉN: Filtración de datos personales en Miraflores: qué responde la municipalidad y lo que se sabe hasta ahora
Olga Escudero, directora de la Dirección de Fiscalización e Instrucción de la ANPD, declaró a El Comercio que este año se ha iniciado con el proceso sancionador de la investigación mencionada, pues se halló que la municipalidad incurrió en faltas a principios y obligaciones de la ley de protección de datos personales. Por ejemplo, no se cumplió con el deber de confidencialidad ni con implementar medidas de seguridad para el tratamiento de los datos.
“La municipalidad tiene hasta el 15 de octubre (fecha se cumplió hace unos días) para presentar sus descargos. Con ello terminaría la etapa de instrucción del procedimiento sancionador. Con ello, todo esto sería elevado a la Dirección de Datos Personales para que luego emita una resolución que determine si corresponde una sanción o no a la municipalidad”, explicó.