- hace 4 meses
En comunicación con Exitosa, el gerente de ESET Perú, Jorge Zeballos, y Erick Iriarte, experto en derecho digital, opinaron sobre la reciente filtración de datos ocurrida en la Policía Nacional del Perú. "Esto al final termina afectado a la sociedad", expresó Iriarte.
Noticias del Perú y actualidad, política.
Sigue nuestras noticias, entrevistas y novedades desde todas nuestras plataformas digitales:
Instagram → / exitosape
Twitter → / exitosape
Facebook → / exitosanoticias
Web → http://exitosanoticias.pe/
WhatsApp: 940 800 800
"Exitosa: La voz de los que no tienen voz"
Noticias del Perú y actualidad, política.
Sigue nuestras noticias, entrevistas y novedades desde todas nuestras plataformas digitales:
Instagram → / exitosape
Twitter → / exitosape
Facebook → / exitosanoticias
Web → http://exitosanoticias.pe/
WhatsApp: 940 800 800
"Exitosa: La voz de los que no tienen voz"
Categoría
🗞
NoticiasTranscripción
00:00También el hacktivismo debe entender que a veces la revelación de la información termina afectando a toda la sociedad. Por más intención que pueda demostrar, en este caso habían acusaciones sobre el tema de prensa y seguimientos a la prensa y afectación a la libertad de expresión. Pero también del otro lado hay que mostrar que los sistemas son vulnerables.
00:20Mucho se menciona sobre el nivel de seguridad que tiene la propia institución policial y más aún la dirección de inteligencia. Sobre ese tema hablamos en estos momentos con Erick Iriarte, quien es experto en Derecho Digital y también con el gerente de CETPERU, el señor Jorge Ceballos, a quien le damos la bienvenida en estos momentos.
00:45Señor Iriarte, señor Ceballos, buenas noches.
00:48Buenas noches, un gusto estar compartiendo con ustedes.
00:52Buenas noches. Quiero comenzar con usted, señor Iriarte, sobre esta situación que se ha generado.
01:00¿Es válida la interpretación de la policía que salió a decir hace unas horas de que no hay ningún hackeo, solamente hay robo de información o ni siquiera robo de información?
01:10Lo que dijo el comandante general de la policía es que había una filtración de información, que un mal agente de la policía se metió a su sistema, jaló información y la regó.
01:23¿Esto es altamente creíble?
01:25Es factible. Es factible que en lugar de tener a alguien externo al sistema institucional que entre rompiendo claves o porque alguien dejó una puerta abierta, no rompió ningún sistema, sino directamente se conectó.
01:43En lugar de esto, lo que fuera es alguien que desde adentro dejó abierta la puerta o a su vez filtró la información.
01:53No es la primera vez que se escucha esto. Si se acuerdan de los Wikileaks, los Wikileaks fue una filtración de información desde adentro.
02:00Los Panama Papers también. Es decir, información que luego sirve para el análisis público y para que se pueda conocer qué es lo que ocurre dentro de las organizaciones.
02:10Pero en cualquiera de los casos, sea un acto de hacking externo o sea una filtración interna o una combinación de ambos escenarios, ambos son problemas de ciberseguridad.
02:21Y lo que no ha dicho el general, lamentablemente, es cuál es el nivel real de ciberseguridad que enfrenta su organización, la policía, cuando es mandatorio desde el año 2008 que todas las entidades públicas tengan estos niveles de ciberseguridad, de políticas implementadas de ISO 27001 para evitar precisamente o afectaciones internas o intrusiones externas.
02:46Claro. Y señor Ceballos, ¿y cuáles serían esos controles que se habrían roto en el tema de seguridad dentro del sistema de la dirección de inteligencia?
02:55Como para que alguien tan fácilmente haya robado información.
02:59La misma policía lo está diciendo. O sea, el mal uso puede ser. O sea, totalmente como lo dice el doctor Irriarte, alguien, digamos, de manera totalmente perniciosa para la policía,
03:12ha develado nombres de agentes de inteligencia que, por cierto, los ponen en riesgo. Es algo que también tenemos que considerar.
03:21El riesgo inminente de ataque de delincuentes a estos agentes que son de inteligencia, que operan en encubierto y que hoy día sus nombres y todos sus datos han sido develados.
03:33Esto involucra, sin duda, acciones que de inmediato la policía deberá implementar, es decir, moverlos de sus áreas de operación y preocuparse por la seguridad.
03:44Porque verá usted, una filtración es irremediable. Ya la data está afuera y más que simplemente tenemos que ver la manera de, en este caso,
03:53cómo asegurar a los efectivos policiales que trabajan en esta división.
03:57Ahora, no existe sistema infalible. Los ataques pueden darse por muchos lugares. Estar en los zapatos de un CISO, es decir, el oficial, digamos, a cargo de la seguridad cibernética, no es fácil.
04:12Mientras el delincuente solamente tiene que encontrar una sola brecha, este oficial tiene que atender todas las múltiples posibilidades por donde se puede afectar un ataque.
04:22Así que ya sea por un mal elemento de la institución que filtró datos o un ataque externo de un cibercriminal, esto sin duda causa un tremendo daño.
04:35Ahora, hay que implementar más controles, sin duda, sin duda. Pero hay un elemento sustancial que debemos, no debemos pasar por alto, que es la cultura de la prevención.
04:45No estamos actuando conforme lo que se llama gestión del riesgo. Para empezar, como yo digo siempre, si no entendemos cuál es el problema, difícilmente lo vamos a valorar y mucho menos vamos a actuar.
04:59En este caso, estamos poniendo en riesgo la vida de personas por no haber tomado una acción concreta sobre data sensible.
05:09Además que esto está cubierto por la misma ley de datos personales. En particular, en un nivel de institución como esta, hay data expuesta que pone en riesgo la vida de personas.
05:20Entonces, si yo no considero esto un activo crítico de mi organización, entonces empezamos muy mal.
05:27Claro, sin embargo, no es la primera vez que se va conociendo esto, porque hace un mes exactamente, el 5 de agosto, se conoció justamente sobre este hacker gatito FBI que también había accedido al sistema informático de denuncias de la Policía Nacional.
05:44Se había robado 88 gigas de datos sensibles, de denuncias policiales que se habían registrado entre el 2019 y el 2025.
05:53O sea, no es la primera vez que se rompe el protocolo de seguridad dentro de la propia institución policial.
06:00Doctor Iriarte.
06:01No, no es la primera vez que se generan brechas para que terceros puedan acceder.
06:09Repito, no han hecho ejercicio de fuerza bruta, no han roto sistemas, sino simplemente que encontraron puertas abiertas.
06:16Y esto significa que tienes que tener gente cerrando las puertas todo el tiempo.
06:20Estas brechas aparecen.
06:20Por más nuevo que compres un equipo, mañana puede aparecer una brecha y esto es un ejercicio constante.
06:29Pero también faltan expertos en el tema.
06:30Se calcula que en el Perú necesitamos 50.000 y si llegan a 1.000 es bastante.
06:35Acompañado de una cultura de ciberseguridad de manera permanente.
06:40No hagas clic en un enlace que recibes, no abras archivos que no has solicitado.
06:45Si sale de la organización hay que quitarle el usuario y el password.
06:48Si no tiene continuidad en esa función deben retirársele o restringírsele los accesos.
06:54Si es como el general le ha informado y que esto ha sido desde adentro de la organización,
06:58alguien tenía que tener a cargo los usuarios y los passwords.
07:01Alguien tenía que tener las bitácoras o logs activos para ver los flujos raros.
07:07Cuando fue lo de RENIEC con el Ministerio del Interior hace un par de meses,
07:12una de las formas que detectó RENIEC es que en efecto había una persona que estaba haciendo 44.000 consultas o más consultas al día.
07:19Era físicamente improbable que alguien pudiera hacer tantas consultas.
07:23Pero lo detectaron después de un mes porque los controles, en lugar de generar alertas inmediatas,
07:28recién se percataron un mes después y ni siquiera un mes después.
07:32Se encontraron bastante tiempo después.
07:34Luego actuaron.
07:35El tema es que en muchos de estos temas actúas cuando ya el hecho está conocido.
07:40A diferencia de lo gatito de FBI que lo que hizo fue obtener información para luego venderla,
07:47doxearla, entregarla en diversas maneras,
07:49aquí el fenómeno es diferente porque lo que han hecho es publicarla sin una necesidad de un rescate y sin una restricción.
07:58Es más cercano a lo que se llama hacktivismo o un activismo a través de la infiltración en sistemas o revelación de informaciones.
08:06Y quiero aclarar además que hacktivismo no quiere decir que te hackean para activar.
08:11Puede ser también una filtración.
08:12Repito, el caso de Wikileaks es uno de los más conocidos.
08:15Entonces, el escenario en el cual se están enfrentando es posiblemente falta de personal técnico especializado,
08:22el poco personal que hay es costoso y hay que pagarles bien,
08:26quizás fallas en los equipos de control, en los mecanismos de control,
08:30falta de cultura de ciberseguridad,
08:32pero además recién hace dos semanas se ha prepublicado la Estrategia Nacional de Ciberseguridad.
08:38Recién el Estado peruano, 34 años después que hay internet en el Perú,
08:42unos 10 años después de que tiene la ley de cibercriminalidad,
08:46recién estamos pensando en tener una política de ciberseguridad que va a aplicar a todos.
08:50Y como repito, desde el año 2008 ya era mandatorio,
08:54pero cuando uno mira cuántas entidades efectivamente han desplegado políticas de seguridad,
08:59de la información de ciberseguridad, son bastante escasas.
09:02Claro, y señor Ceballos, ¿es costoso establecer, adquirir los candados de control de ciberseguridad?
09:10Porque incluso algunos expertos alegan que sería un tema de presupuesto en la institución policial,
09:15como en otras instituciones, para poder garantizar la seguridad de la información sensible
09:20que maneja mucho más una dirección de inteligencia de la policía.
09:25¿Es tan costoso el sistema, la adquisición del mismo?
09:30Le pongo el ejemplo.
09:31El caso de René, al cual citó el doctor Idiarte,
09:34es una muestra concreta de que nuestros impuestos han comprado la mejor tecnología disponible,
09:41pero a pesar de ello, no se hace pues el ajuste de los controles.
09:46Como lo dijo el mismo doctor, ¿cómo es posible que, teniendo toda la tecnología,
09:50no podamos crear un perfil que podría denotar que hay una actividad maliciosa?
09:57O sea, la cantidad de gigas descargados por un solo usuario que no haya generado una alerta
10:02cuando tienen la tecnología suficiente.
10:04Entonces, el doctor ha puesto muy claro el tema.
10:08Está faltando el recurso humano competente y, sobre todo, que asuma responsabilidad.
10:15Porque el tema también, como lo que pasó con Guacamaya,
10:19esta filtración también a la cual fue atacado el ejército peruano, el ejército chileno.
10:24En Chile, por ejemplo, el comandante general del ejército dio un paso al costado.
10:29O sea, asumió plena responsabilidad por estas deficiencias y se fue.
10:35Aquí, en muchas instituciones, y dada la cantidad de exposición, por ejemplo,
10:40el caso de ser una de las instituciones que gozaba del mayor prestigio como institución pública en el país,
10:48no creo que mantenga esa misma posición en la actualidad, ¿no?
10:52Porque, como les digo, habiendo nuestros impuestos, comprando la mejor tecnología disponible,
10:58no hayamos podido evitar que la cantidad de datos, que hoy día se pone en duda,
11:03porque se dice no, que se mencione la prensa, en fin.
11:07Más allá, es un tema de asumir responsabilidades, ¿no?
11:12Hay que tomar esta cosa en serio, ¿no?
11:13O sea, la vida de las personas está en juego.
11:16O sea, además del riesgo que corremos hoy en día de caminar por las calles,
11:22encima, en el área digital, nuestra información queda expuesta
11:27y, por tanto, nuestra vida en peligro, creo que la cosa está pero bien complicada, ¿no?
11:34Ahora estos agentes de la policía que actaban en encubierto,
11:38cuyas identidades han sido develadas,
11:41¿qué situación están viviendo, no?
11:43Por favor, o sea, acá hay un tema de entender correctamente
11:47lo que está pasando en el mundo digital,
11:50entenderlo, valorarlo, para cuartos, o sea,
11:54no solamente se trata de presupuestos, ¿no?
11:57Se trata también de dar la autoridad suficiente para poder actuar.
12:02Yo no dudo de la capacidad de mis amigos en la policía
12:05y yo sé el esfuerzo que hacen,
12:08pero también, como lo dijo muy bien el doctor Iguiarte,
12:11faltan recursos humanos y ahí necesitamos promover
12:14y no permitir, porque, por ejemplo, en los últimos seis meses
12:17se nos han ido 450 mil jóvenes talentosos formados en este país
12:23a cualquier parte del mundo, ¿no?
12:25Entonces, ¿con quién nos quedamos, Erick?
12:27Nos quedamos solos.
12:29Oiga, además ahorita, además se vienen los procesos electorales,
12:33tienen que hacer las auditorías a varias instancias,
12:36las auditorías para el Jurado Nacional de Elecciones,
12:38para el monitoreo,
12:39las auditorías a OMPE para transmisión, consolidación,
12:43recopilación de la información,
12:46no terminen ocurriendo los casos como lo que ocurrió en Bolivia
12:49o en Venezuela,
12:50que al final los datos fueron cambiados en la transmisión a los servidores
12:53y además quieren agregarle voto digital
12:55con todos estos fenómenos.
12:58O sea, la verdad que resulta siendo bastante curioso.
13:01Yo sé que la tecnología nos atrae,
13:04nos suena muy bien,
13:05queremos que todo el mundo esté interconectado,
13:07que todo pase por digital.
13:09Estamos en un Zoom ahorita pudiéndonos conectar,
13:12pero la verdad es que hay que ponerle medidas de seguridad.
13:14Podrían estar siendo suplantado en vivo,
13:16mi estimado Erika.
13:17No tenemos una cultura de ciberseguridad en este instante.
13:20Cierto.
13:20Y al no tener una cultura de ciberseguridad,
13:22terminamos también dejando la democracia
13:25de este proceso electoral con voto digital,
13:27que por último,
13:28aunque lo auditen completamente internamente,
13:30puede ser atacado externamente,
13:32tal como lo dijo la gente de defensa
13:34durante el debate de la ley esta de voto digital.
13:37Le decían, no sabemos,
13:38no tenemos todavía la capacidad para lo defender
13:41si hay un ataque masivo externo.
13:44Y aún así queremos hacerlo.
13:46Tengo más dudas que certezas.
13:48Y una pregunta para ambos, caballeros.
13:51Si me permiten,
13:51no solamente el tema electrónico.
13:53Una de las ventajas de los sistemas digitales
13:56es que son totalmente traceables.
13:58Así a pesar,
14:00y como lo hicieron en el pasado,
14:02el electorado recibía una constancia
14:05vía SMS de su voto.
14:08Entonces,
14:09era traceable y completamente auditable.
14:12Lo que me preocupa actualmente del sistema
14:13es que si la balota se destruye,
14:17¿cómo auditamos el sistema voto por voto?
14:20Entonces,
14:21por eso el tema electoral es bien complejo.
14:23Además,
14:23el escrutinio tiene que ser público.
14:25El escrutinio tiene que ser público.
14:27Y una máquina,
14:28y la fe ciega,
14:29vamos a tener que presionar
14:30en que el sistema va a funcionar,
14:32tienen menos del 8% de confianza
14:35y me piden que yo ponga mi confianza
14:37en una máquina,
14:38y que el escrutinio es automático.
14:41Claro,
14:41hay mucho que ver en el tema
14:43de los candados de ciberseguridad.
14:45Y por eso quiero cerrar la entrevista
14:47con ambos,
14:47planteando la misma pregunta
14:49para ambos caballeros.
14:50en el tema particular
14:52de la filtración
14:53de la información sensible
14:54de cada vez que se roban
14:56la información de Renier,
14:57de la policía
14:58y que la difunden públicamente.
15:00¿Para qué?
15:02¿Por qué enfocarnos
15:03en esta situación?
15:04¿Cuál es el real peligro
15:06de ese robo de información?
15:08Doctor Ceballos.
15:11A ver,
15:12gracias por lo doctor,
15:13no soy doctor.
15:14Pero bien,
15:14mire usted,
15:15el tema de los delincuentes
15:17se premueven en muchos datos
15:19con la finalidad
15:20de que su estrategia
15:21de persuasión,
15:24de convencerte
15:25que estás tratando
15:26con alguien formal,
15:28con una entidad oficial,
15:30se hace cada vez mejor.
15:32Si tienen datos,
15:33que por ejemplo,
15:34el caso de información
15:36de un banco,
15:37si el delincuente
15:38tiene acceso a esto
15:39y comienza a conversar contigo
15:40y te convence
15:42que realmente estás hablando
15:43con una persona del banco,
15:45el asunto se pone bien feo.
15:47Por eso,
15:49este tema de las,
15:50el phishing,
15:52el tema de las estafas
15:53por suplantación
15:55hacen creer
15:56que es un funcionario
15:57de un banco,
15:58son mejor hechas,
16:01y por cierto,
16:02son el 65%
16:03de los ataques
16:04en el Perú,
16:05son mejor hechas
16:06si tengo más datos
16:07de ti.
16:08Compro datos
16:09en el dark web
16:09de todos los datos
16:11que mencionó el doctor
16:11que se han filtrado,
16:13te sigo en redes sociales,
16:14con lo cual,
16:15inclusive las personas
16:16dan más datos
16:16de los que deberían,
16:18y con eso voy construyendo
16:19encima,
16:20todavía yo puedo
16:21inyectar,
16:23digamos en este caso,
16:24un infostiller
16:25en tu computadora
16:26y te voy sacando
16:27más datos
16:27para ir buscando
16:29el momento preciso
16:30para atacarte
16:31y hacer desataque,
16:33sin duda,
16:34un gran negocio
16:34para el delincuente.
16:35Entonces,
16:36es así,
16:37donde te sacan,
16:37pues,
16:38te vacian todas las cuentas,
16:39¿no?
16:40Es ahí donde
16:40el delincuente
16:41tiene éxito,
16:43los datos
16:44sirven
16:45para convencer
16:46a la gente
16:47y eso
16:47es lo que termina
16:48convirtiéndose
16:49en un gran negocio
16:50para los delincuentes.
16:50Bien,
16:51para terminar,
16:51doctor Iriarte,
16:52¿cuál es su respuesta?
16:53En realidad,
16:56la data obtenida
16:57tal como esté
16:58en el escenario
16:59termina en un escenario
17:00de hacktivismo,
17:02pero también
17:02el hacktivismo
17:03debe entender
17:04de que a veces
17:04la revelación
17:05de la información
17:05termina afectando
17:06a toda la sociedad
17:07por más intención
17:09que pueda demostrar
17:10en este caso
17:11habían acusaciones
17:12sobre el tema
17:13de prensa
17:14y seguimientos
17:15a la prensa
17:15y afectación
17:16a la libertad de expresión,
17:18pero también
17:18del otro lado
17:19hay que mostrar
17:20que los sistemas
17:20son vulnerables
17:22y los sistemas
17:22vulnerables
17:23tanto por actores
17:24internos
17:24como actores externos
17:25no tener las políticas
17:27adecuadas
17:27de ciberseguridad
17:28que el Estado
17:29no tenga una estrategia
17:30y una visión
17:31de ciberseguridad
17:32que no haya
17:33capacitación adecuada
17:34o que no se empiece
17:35a trabajar
17:36estos temas
17:36de ciberseguridad
17:37desde las escuelas
17:38termina generando
17:39estas afectaciones
17:40y van a continuar
17:41las afectaciones
17:41y esto
17:42al final
17:43a quien hace
17:44o afecta
17:45es a la economía
17:46a la gente
17:47termina afectando
17:48a la sociedad
17:49porque ya no estamos
17:50seguros
17:50fuera de nuestra casa
17:51con tanta inseguridad
17:52ciudadana
17:53tampoco vamos a estar
17:54seguros dentro
17:55de las organizaciones
17:56que cuidan
17:56nuestros datos
17:57y tampoco vamos
17:59a estar seguros
17:59dentro de nuestras
18:00propias casas
18:01porque podemos tener
18:02una filtración
18:02en cualquier momento
18:03el tema es serio
18:04espero que la presidenta
18:06firme el convenio
18:07de cibercriminalidad
18:08de Hanoi
18:09que es el próximo mes
18:10para poder tener acceso
18:12también a cooperación
18:13con los otros países
18:14que se firmen
18:15los convenios
18:15adicionales
18:17de cibercriminalidad
18:18de Budapest
18:18que el Perú
18:19no los ha derrito
18:20todavía
18:20y que el Poder Judicial
18:22finalmente tenga
18:23juzgados
18:24especializados
18:25y esperamos
18:26que eso lo pueda
18:27ser posible
18:27bien
18:28doctor Lurriarte
18:28muchas gracias
18:29por la comunicación
18:30al señor
18:30Ceballos
18:30también
18:30muchas gracias
Sé la primera persona en añadir un comentario