Durante los últimos días, un hecho pasó casi desapercibido para muchos, pero tiene una enorme relevancia para todos los ciudadanos: el portal del Registro Nacional de Identificación y Estado Civil (Reniec) publicó el Padrón Electoral Inicial 2026 con datos personales que iban mucho más allá de lo necesario. No solo aparecían nombres y números de DNI, sino también fotografías y direcciones.
Aunque la intención era cumplir con el principio de transparencia electoral, la forma en que se difundió la información expuso detalles sensibles que ponen en riesgo la seguridad digital del país.
Cuando la transparencia cruza la línea
Ser transparentes es fundamental en una democracia. Pero hay límites que, si se cruzan, pueden poner en peligro otros derechos igual de importantes, como la privacidad y la protección de los datos personales.
La publicación del padrón se ampara en la Ley Orgánica de Elecciones, que busca garantizar que los ciudadanos puedan verificar su inclusión en el registro. Sin embargo, la Ley de Protección de Datos Personales es clara: los datos biométricos —como fotos— no pueden difundirse libremente. Mostrar esa información, sin ningún filtro ni control de acceso, fue como dejar abierta la puerta digital de la identidad de millones de peruanos.
No fue un ciberataque: fue una falla humana y técnica
Lo ocurrido no fue producto de un ataque de hackers, sino de una configuración insegura en el sistema web. En términos sencillos, se trató de una mala práctica de seguridad: no había CAPTCHA, ni límites para evitar consultas masivas.
En una prueba controlada con datos ficticios —realizada únicamente en un entorno local de laboratorio— se demostró que era posible realizar cientos de consultas automáticas sin restricción alguna. Si se tratara de datos reales, esa brecha podría haber permitido descargar información de miles de personas en cuestión de minutos.
Aunque la intención era cumplir con el principio de transparencia electoral, la forma en que se difundió la información expuso detalles sensibles que ponen en riesgo la seguridad digital del país.
Este tipo de errores, clasificados internacionalmente como «Security Misconfiguration» por el estándar OWASP, son una de las causas más comunes de exposición de información en instituciones públicas y privadas.
Un problema que trasciende lo técnico
A primera vista, podría parecer solo una falla informática. Pero su impacto es mucho más amplio. La exposición de información personal —sobre todo biométrica— no afecta únicamente la privacidad individual: compromete la seguridad digital de la nación.
Con fotografías expuestas, es posible realizar suplantaciones de identidad, fraudes financieros, campañas de desinformación o incluso fabricar deepfakes para manipular la opinión pública. Cuando la identidad digital de los ciudadanos queda desprotegida, se debilita la confianza en las instituciones, y eso afecta directamente la seguridad nacional.
Hoy, la defensa de un país no solo se libra en su territorio, sino también en su ciberespacio.
La identidad de los ciudadanos es, en el siglo XXI, un activo estratégico que debe protegerse con el mismo rigor que se protege el territorio o los recursos naturales.
Privacidad y democracia: una misma causa
El Estado tiene el deber de garantizar la transparencia, pero también la obligación de proteger la información que custodia. Ambos principios no son opuestos, sino complementarios: la transparencia necesita de la seguridad para ser confiable.
El equilibrio se logra aplicando el principio de proporcionalidad: mostrar solo los datos necesarios para cumplir la función pública, sin exponer información que pueda vulnerar derechos. En este caso, bastaba con publicar los nombres y números de documento; difundir fotografías fue innecesario y peligroso.
Cómo evitar que vuelva a ocurrir
Existen medidas simples y efectivas que podrían haberse aplicado —y que deberían implementarse de inmediato—:
- Retirar las fotografías de la versión pública del padrón.
- Colocar un CAPTCHA y un límite de consultas por usuario o IP.
- Implementar un firewall de aplicación web (WAF).
- Notificar a la Autoridad Nacional de Protección de Datos Personales (ANPD).
- Realizar evaluaciones de impacto a la privacidad antes de publicar datos.
A mediano plazo, el Perú debe avanzar hacia la creación de un Sistema Nacional de Protección de Datos Sensibles, y declarar los sistemas de identidad digital como Infraestructura Crítica del Estado. La identidad de los ciudadanos es, en el siglo XXI, un activo estratégico que debe protegerse con el mismo rigor que se protege el territorio o los recursos naturales.
Una oportunidad para reconstruir la confianza
El caso RENIEC no debería verse solo como un error, sino como una oportunidad. Nos recuerda que la ciberseguridad no es un lujo, sino una condición esencial para la soberanía y la democracia.
Si algo positivo deja este episodio es la posibilidad de repensar la forma en que gestionamos los datos personales. Protegerlos no significa esconder información, sino administrarla con responsabilidad, respeto y criterio técnico.
En el mundo digital, la privacidad de los ciudadanos es parte de la defensa del país. Por eso, fortalecer la seguridad digital del Perú es también fortalecer su seguridad nacional.
TRASFORMACIÓN DIGITAL SIN SEGURIDAD: AMENAZA
TRANSFORMACIÓN DIGITAL CON SEGURIADAD: DESARROLLO
