Ha llamado poderosamente mi atención cómo, a través de grupos en Telegram, es posible acceder a los datos personales de cualquier ciudadano peruano tan solo poniendo el número de DNI o el teléfono celular de una persona. Con esa información es posible acceder a su ficha RENIEC en donde constan datos personales tales como los nombres, apellidos, fecha de nacimiento, grado de instrucción, dirección de domicilio, estado civil, estatura, ubigeo, datos personales de los padres. Asimismo, también es posible acceder a sus antecedentes penales, policiales y judiciales. La gran pregunta es: ¿Cómo obtienen esos datos personales? ¿Se hackea al Estado o es alguien con credenciales que trafica ilegalmente esta información?
Telegram es una plataforma de mensajería instantánea, que ha ganado popularidad por su enfoque en la privacidad y el anonimato. Sus características, como los chats secretos (pese a que varios grupos utilizados para fines ilegales son públicos) y la capacidad de comunicarse sin intercambiar números de teléfono, la convierten en un terreno fértil para actividades ilícitas. La facilidad para compartir grandes cantidades de archivos y la presencia de grupos públicos y privados de hasta 200,000 miembros también contribuyen a su popularidad entre cibercriminales. Cabe señalar que muchos de estos enlaces a estos grupos son compartidos en la Dark Web, aquella parte de la Web que no se encuentra indexada a los buscadores.
En el contexto peruano, el caso del «Zorrito RunRun» ha sido un ejemplo alarmante del tráfico ilegal de datos personales a través de plataformas como Telegram. Este grupo, administrado por cibercriminales expertos, operaba en la clandestinidad bajo seudónimos y utilizaba métodos sofisticados para acceder y comercializar información sensible de ciudadanos peruanos. La sofisticación de sus métodos, junto con la creciente demanda de datos personales en el mercado negro, subraya la necesidad de una respuesta integral por parte de las autoridades y la sociedad en su conjunto. Si bien la detención y enjuiciamiento de los responsables del «Zorrito RunRun» representa un buen precedente en la lucha contra el tráfico ilegal de datos, este suceso también revela la magnitud del desafío que enfrentan las instituciones encargadas de la seguridad cibernética, pues esto sólo es el inicio.
En ese sentido, resulta preocupante la proliferación de métodos para comercializar datos personales de manera ilegal y la facilidad con la que uno puede acceder a los datos personales de terceros: tan solo poniendo un comando que despliega un menú de opciones, facilitando en segundos la ficha RENIEC o los antecedentes penales de una persona. Podemos denominar este hecho como un “Wilson 2.0”, a través del cual uno puede obtener bases de datos ilícitas desde la comodidad del hogar.
Por lo tanto, resulta imperativo que el Estado adopte las medidas de seguridad de la información adecuadas pues el tráfico ilegal de datos personales conlleva graves consecuencias para la seguridad y privacidad de las personas. Además de violar la intimidad, estos datos pueden ser utilizados para cometer delitos como estafas, fraudes y suplantación de identidad. La exposición de información sensible compromete la seguridad financiera, laboral y personal de los ciudadanos, erosionando la confianza en las instituciones y socavando los derechos fundamentales.
Los ciudadanos que se vean afectados por estos delitos pueden presentar una denuncia ante la Autoridad Nacional de Protección de Datos Personales. Sin embargo, dado el carácter anónimo de quienes realizan esa comercialización, se recomienda presentar la denuncia contra la entidad responsable de proteger tus datos personales, el Registro Nacional de Identificación y Estado Civil (RENIEC), por haber incumplido sus obligaciones, al no adoptar medidas técnicas, organizativas y legales que garanticen la seguridad de su información de carácter personal.
Asimismo, se aconseja a la par, denunciar estos hechos ante la División de Investigación de Delitos de Alta Tecnología, enviando un correo electrónico a divindat.servicioguardia@policia.gob.pe. La investigación de los hechos deberá estar a cargo de la Unidad Fiscal Especializada en Ciberdelincuencia del Ministerio Público y de la Unidad de Investigación de Alta Tecnología de la Policía Nacional debido a los conocimientos especializados necesarios para llevar adelante la investigación, determinar la modalidad utilizada y obtener la prueba digital que acreditará la responsabilidad penal. Estas entidades deberán determinar si el acceso ilegal a la base de datos se dio a través de un pirata informático (hacker), o de forma interna mediante el uso de usuarios y claves (esto implicará determinar también cómo, a través de quién, se pudo acceder a los usuarios y claves utilizados). Se recomienda no eliminar mensajes ni correos electrónicos, ya que esto facilitará el rastreo de los ciberdelincuentes.
En el primer escenario, el hacker será pasible de sanción por el delito de acceso ilícito. En el segundo caso, podrán ser penados no solo aquellos que se beneficiaron con la base de datos, sino también los funcionarios prestadores del servicio que contribuyan con la comisión u omisión del delito, o sea, por estar facilitando contraseñas, claves de acceso o cualquier otro dato informático que permitió la comisión del delito (delito de abuso de mecanismos y dispositivos informáticos); sin descartarse la posible comisión u omisión del delito de cohecho (corrupción). Además, aquellas personas que comercializan las bases de datos –sin haber participado en su obtención ilegítima–, incurren en el delito de tráfico ilegal de datos personales. Asimismo, si se confirma que todas estas actividades se realizaron como parte de una organización criminal, los delitos anteriormente señalados revisten una mayor gravedad. Por último, quienes no comercialicen las bases de datos pero las posean podrían ser pasibles de ser investigados y sancionados por el delito de receptación.
A modo de reflexión final, el creciente comercio ilegal de datos personales en plataformas como Telegram es un recordatorio contundente de los desafíos que enfrenta la ciberseguridad estatal en la era digital. Es crucial que los ciudadanos ejerzan un rol vigilante del uso de sus datos. Esta supervisión y presión deben ser mayores cuando se trata del gobierno, pues a diferencia de lo que ocurre con el sector privado, para muchos casos, el Estado está obligado a recopilar, almacenar y salvaguardar los datos personales de los peruanos. Se debe exigir que todas las entidades del Estado cumplan con los estándares más altos en seguridad de la información. Es nuestro derecho fundamental a la autodeterminación informativa. No seamos indiferentes.
Alejandro Morales Cáceres, Abogado Asociado Principal y Líder del Área de Derecho y Nuevas Tecnologías de Torres y Torres Lara Abogados
Fuente: Expreso
