En la mañana del viernes pasado, el programa en línea La Encerrona informó que una serie de documentos secretos con datos sensibles de la Dirección de Inteligencia de la Policía Nacional (Dirin), habrían sido filtrados por un grupo de ciberdelincuentes. Al caso lo llamaron: Dirin Leaks.
En la noche, después de que la noticia había sido difundida en diversos medios de comunicación, detallando parte del contenido filtrado, la Policía Nacional del Perú (PNP) aseguró que no habrían sido hackeados en la noche del 4 de setiembre. A su entender, lo que ocurrió fue una filtración que un usuario policial realizó, exponiendo información de acceso a sus servidores.
«No ha habido un acceso mediante hacker, la información es de acceso a los usuarios, lo cual es una filtración, que es una mala costumbre que tenemos en todo el aparato estatal, porque todos ustedes publican la información que malos policías les hacen llegar de manera indebida», dijo Víctor Zanabria.
Previamente, en la tarde, la PNP emitió un comunicado en el que aceptaban que el personal de la División de Seguridad Digital de la Dirección de Inteligencia de la PNP alertó sobre una posible vulneración de los servidores gestionados por esa dirección y la publicación de información sensible en la aplicación de mensajería instantánea Telegram, en el grupo denominado «DefacePeru Chat». De inmediato activaron su plan de contingencia e iniciaron las investigaciones respectivas, informaron.
¿Qué pasó en realidad? ¿Un hackeo o una filtración? En efecto, se trata de una filtración de información, es decir, la información de la PNP estuvo al acceso de alguien externo a la institución. ¿Cómo la consiguió? Pudo ser a través de un hacker, quien vulneró las medidas de seguridad o, por el contrario, personal interno dejó la puerta abierta para que entre el delincuente. Si un ladrón entra a una casa, lo hizo porque rompió la ventana o porque le dejaron abierta la puerta, pero de que entró a robar, entró a robar.
Erick Iriarte, CEO de eBIZ, consideró factible que, en lugar de darse un acto de hacking externo, sea alguien del interior de la organización quien dejara una puerta abierta, pero en ambos casos estamos ante problemas de ciberseguridad. La PNP no ha detallado cuál es el nivel de ciberseguridad que tienen, ni si están alineados a las políticas ISO 27001 para evitar estos incidentes, dijo. «Necesitas tener gente cerrando las puertas de forma permanente. Es un ejercicio constante de control y supervisión», advirtió.
Erick Iriarte, CEO de eBIZ, consideró factible que, en lugar de darse un acto de hacking externo, sea alguien del interior de la organización quien dejara una puerta abierta, pero en ambos casos estamos ante problemas de ciberseguridad.
Según Iriarte, es evidente que, cuando hay una filtración, existe una falla de seguridad. Puede ser una baja cultura de ciberseguridad entre los policías que los convierte en víctimas de engaños, dando acceso indebido a criminales, o a la falta de personal capacitado en protección, pero sí existe una carencia por suplir, explicó. «En el país faltan como 50 mil técnicos expertos en ciberseguridad», recordó.
Datos filtrados
Según informó La Encerrona, los datos filtrados son confidenciales, no están al acceso de cualquier usuario de la policía, por lo tanto, es muy poco probable que haya sido brindado voluntariamente por un miembro de la PNP. Los captores de los datos han publicado una base de datos de 3 GB, pero esto es solo el 1% del material al que accedieron, detalló.
La magnitud de la filtración excede el simple acceso no autorizado a los servidores, detallaron. Los hacktivistas –agentes que exponen data filtrada para denunciar a la organización, no para cobrar dinero– publicaron en Telegram los perfiles, rostros, identidades y comunicaciones internas de agentes de inteligencia de la PNP. Además, incluyen documentación logística, inventarios de equipos, reportes de vigilancia, movimientos estratégicos de contrainteligencia, fotografías de usuarios y reglaje a periodistas.
La divulgación de estos datos no solo expone las debilidades de los sistemas peruanos de ciberseguridad, sino que pone en riesgo a los mismos policías y sus estrategias de trabajo. El colectivo Deface Perú, autor del incidente, advirtió que su próximo objetivo será la Dirección Nacional de Inteligencia (DINI) y se burló de lo sencillo que es causar daño a la institución.
Este grupo ya había atacado previamente a entidades locales y extranjeras y en esta oportunidad afirmaron que su objetivo era demostrar lo mal protegidos que están en la PNP. De hecho, el usuario Gatito FBI se ufanó de tener 80 GB de denuncias e información personal como teléfonos, domicilios, estado civil y placas vehiculares de los policías.
