Una empresa de ciberseguridad detectó que un grupo de personas vulneró la web del Bono Familiar Universal que administra el Registro Nacional de Identidad y Estado Civil (Reniec) y se apropió de los fondos que entrega el gobierno a quienes no tienen ingresos formales y se han visto afectados por el estado de emergencia decretado para frenar el avance del COVID-19. Según el reporte de los expertos, lo hicieron suplantando la identidad de los verdaderos beneficiarios del bono de S/760.
Mauricio Urizar, representante de Deep Security, la empresa que reportó esta vulnerabilidad en el sistema informático, señaló a El Comercio que al realizar un patrullaje cibernético identificaron a un grupo de personas que se organizaron para hurtar los fondos de las personas a quienes el Estado les asignó un subsidio económico. Calculan que el robo fue de cientos de miles de soles. “Está en el informe [enviado a la policía] la cantidad de chips que tenían esas cajas. Hay unos 500 chips o tarjetas aproximadamente. La hemos sacado del foro de los delincuentes”, dijo.
Según el reporte de Deep Security, un grupo de personas suplantaron las identidades de cientos de peruanos ingresando los datos personales consignados en el Documento Nacional de Identidad (DNI). Estos fueron registrados con distintos números telefónicos para obtener la clave de seguridad que es remitida por el Banco de la Nación mediante un mensaje de texto. Luego procedieron a retirar los fondos de los cajeros automáticos, donde no se exige el DNI físico.
La modalidad
El Sistema de Focalización de Hogares (SISFOH) es una entidad del Ministerio de Desarrollo e Inclusión Social (Midis) que sistematiza la información socio económica de la población. Este patrón ha sido utilizado para la asignación de los recursos públicos en el otorgamiento de los distintos subsidios que creó el Gobierno en medio de la pandemia por el coronavirus, como el Bono Universal Familiar a través de la página web “www.bonouniversalfamilia.pe”, que contiene información del Midis y es administrado por el Reniec. En ella las personas verifican si han sido seleccionados para recibir el bono e inician el trámite en línea.
Urizar explicó que estos “delincuentes cibernéticos” identificaron que el sistema de la página web presentaba algunas vulnerabilidades “en el registro Capcha”, un sistema de comprobación automatizada de validación de datos. Tras analizar el sistema informático, se identificaron tres puntos vulnerables. “La primera falla es un tema técnico, porque está mal programado el sistema. La segunda falla encontrada está en el diseño del proceso, es una restricción muy débil que te dice: te voy a dar plata si me dices cuales son los datos del Reniec [Por ejemplo, te pide el número del DNI, la fecha de emisión del documento y el nombre de los padres]. Por último, que el chip o el número telefónico ingresado al sistema debe estar relacionado al beneficiario del bono. [Pero] no hay ninguna relación. Pones el número de cualquier persona y cobras”, señaló.
Los hackers cibernéticos hicieron un programa automatizado de comparación de datos del Reniec que consiguieron y los fueron agrupando en 5 mil registros para identificar a los beneficiarios. Luego que obtenían los números de DNI buscaban los datos personales como la fecha de expedición del documento y los nombres de los padres de los beneficiarios, es decir, los datos que eran requeridos por el sistema en la web. Para que les llegue el mensaje de texto de confirmación, ingresaban un número telefónico de su preferencia.
Según Urizar, hasta el momento no se ha podido determinar el monto total de lo hurtado. Pero en una imagen obtenida “en un foro donde los delincuentes se comunicaban entre ellos. Hallaron que estos tenían cuatro cajas con chips de diferentes operadores de telefonía celular […] Unas 500 tarjetas”, remarcó.
Las personas que se organizaron para sustraer los fondos del Gobierno tenían un chat con 44 miembros en actividad. Deep Security accedió a esta conversación y encontró que uno de sus integrantes escribió “me sentí mal al ver a una doña [señora] decir que ella no había cobrado su bono y que ya salía registrado”, con la foto de una mujer en un banco.
Urizar denunció que los jefes de la División de Alta Tecnología de la Policía no quisieron reunirse con él para explicarles lo hallado. Sin embargo, fue atendido el martes por Marushka Chocobar, jefa de la Secretaria del Gobierno Digital de la Presidencia del Consejo de Ministros (PCM) a quien le envió la información por correo y luego coordinó una reunión para el día siguiente. “Con la PCM nos comunicamos el martes por la tarde y ella [Chocobar] a través del PECERT (Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional de la PCM) coordinó una reunión virtual con ellos, el Reniec, Banco de la Nación y otros actores más que se realizó el miércoles a la 1 p.m.”, agregó.
Urizar registró en un video las vulnerabilidades del sistema. El martes de esta semana elaboró un informe que fue enviado a la PCM. Al día siguiente, antes de que se inicie la reunión virtual, se había instalado un parche en el sistema. Hoy recibió la llamada de Gustavo Ruiz, subsecretario de Tecnologías Digitales de la PCM, quien le agradeció por alertarlos sobre este millonario hurto.
Este Diario conoció por una fuente de la PCM que el video tutorial que explica la forma de acceder al sistema fue retirado del portal web.
Descargos
Benito Portocarrero, jefe de prensa del Reniec, sostuvo que “la plataforma no ha sido hackeada y no responde a suposiciones. No habido ningún parche [en el sistema]”. Sin embargo, reconoció que algunos funcionarios de su institución se comunicaron con Deep Security. Precisó que “la plataforma está bajo responsabilidad del Reniec y no hemos tercerizado el servicio a ninguna empresa [en referencia a la elaboración del sistema informático], lo hicimos con recursos de la institución”.
Juan Carlos Portocarrero, jefe de prensa de la PCM, se comprometió con este Diario a esclarecer la intervención de los funcionarios de su institución en este problema. Sin embargo, al cierre de esta edición, no respondieron.
No hay comentarios:
Publicar un comentario