Datos peruanos expuestos y gratis: nuevo bot de Telegram entrega DNI, dirección, foto, firma y huellas

Tras la denuncia de ASBANC sobre un metabuscador que accedía a datos sensibles de los peruanos para venderlos mediante un bot de Telegram bautizado como ´Zorrito Run Run´, esa data se mantuvo expuesta. Una veliberada en ese sistema fraudulento, era inevitable que clones usaran el mismo archivo extraído con la información privada de los peruanos para crear cuentas “como servicio” para compartir la dirección, foto y hasta firma de compatriotas. Ahora, nos topamos con ‘Himiko Data’. Un nuevo bot en Telegram.

De acuerdo con una denuncia compartida en el podcast de tecnología METADATA, un producto del Grupo RPP, un usuario compartió la existencia de este nuevo bot que accede a esa data filtrada previamente y que, con solo una búsqueda, permite acceder a los datos almacenados en la ficha del Registro Nacional de Identidad y Estado Civil (RENIEC).

En los resultados consultados por RPP, se expusieron distintos niveles de acceso, como búsquedas de DNI hasta la foto y la firma que aparece en el documento nacional de identidad. Estas búsquedas, a diferencia de “Zorrito Trun Run” en su momento, no requiere pago.

 Como se observa, basta con acceder mediante el comando /cmds para desplegar el menú de opciones del bot:

DNI (incluye el número adicional de verificación), nombres y apellidos completos, sexo, fecha de nacimiento y edad, departamento, provincia, distrito, grado de instrucción. Estado civil, estatura, fecha de inscripción, nombres de los padres, fecha de emisión y caducidad del documento vigente, además de las restricciones.

Junto con esta información, se presenta la dirección completa, incluyendo número de interior. Dependiendo del nivel de búsqueda, podemos hacer una consulta de DNI, el estatus del documento, consultar la ficha RENIEC, hacer una búsqueda de nombre, consultar el número de verificación y emitir información del DNI sin fotografías.

Zorrito Run Run, ASBANC y nuestros datos

En mayo del 2022, la presidencia de la Asociación de Bancos del Perú (ASBANC) pidió a las autoridades una exhaustiva investigación sobre el alcance y magnitud de la filtración de datos privados de los peruanos, la misma que abarcó diversas entidades públicas como RENIEC, SUNARP, SUNAT, sistema de AFPs y otros. En ese caso, el acceso fue mucho mayor debido a que varias de estas instancias cuentan con procesos rigurosos para custodiar la data.

Tras este evento, se formó una mesa multisectorial encabezada por la PCM y respaldada por entidades relacionadas al tema: operadoras, ASBANC, ministerio del Interior y otras. Tras algunos meses de trabajo, las medidas de control para evitar la aparición de nuevos sistemas con la misma data parecen estar funcionando.

Durante la redacción de esta nota, el bot aparece como inactivo. Sin embargo, se mantuvo funcionando hasta el pasado miércoles cuando se hizo la denuncia en la sección METALIVE, una interacción con los seguidores de NIUSGEEK en Telegram.

¿Cuál es el problema? Pues que podemos cerrar cada bot o sistema que eme4rja de lados oscuros de internet, pero nuestra data sigue expuesta. A diferencia de una contraseña de Facebook o la activación de múltiples sistemas 2FA – verificación de dos pasos -, no podemos ir a RENIEC a que nos den un nuevo número de DNI, o modificar el RUC en SUNAT en minutos. Nuestra información personal está expuesta, y necesitamos contener la aparición de estos sistemas delictivos, pero también comenzar a reducir la disponibilidad de esta información. Lamentablemente, estamos muy lejos de que eso ocurra.

PCM responde sobre 'Himiko Data' a RPP

Tras la publicación de la nota, RPP se puso en contacto con la Secretaría de Gobierno y Transformación Digital de la PCM. "Desde la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno y Transformación Digital, se viene trabajando con las entidades públicas y privadas para desplegar las medidas necesarias que permitan prevenir, mitigar y detener las amenazas generadas por ciberdelincuencia. Asimismo, el Centro Nacional de Seguridad Digital, coordina permanentemente con la DIVINDAT, la Autoridad Nacional Protección de Datos y la Cooperación Internacional a fin de actuar inmediatamente cuando se reciben denuncias de acceso a datos de las personas u otros ciberdelitos. En esa línea, las entidades públicas vienen implementando medidas internas de prevención y, a su vez, campañas de sensibilización a la ciudadanía para prevenir el acceso a estas páginas y prácticas fraudulentas", señaló Marushka Chocobar, jefa de la entidad.

¿Qué podemos hacer? Por lo pronto, compartan la información que tenemos. Esto permitirá que un tema poco sensible, como la seguridad informática, pueda ser asumida como un tema similar a la custodia de nuestros bienes físicos. Así como cuidas tu casa y tu auto, debes cuidar tus datos.

Otra medida es comenzar a reforzar nuestra seguridad en servicios digitales con verificación de dos pasos en sistemas que lo permitan. Esto añade una capa extra de protección ante intentos por suplantar nuestra identidad en redes sociales, por ejemplo.

Por otro lado, es necesario que sepamos nuestro estatus en el sistema financiero: nuestro monto total de deuda, nuestras cuotas por pagar, nuestra situación en centrales de riesgo, nuestros consumos recientes, el rastro de nuestros paquetes solicitados por comercio electrónico. Todo. Ese repaso hará que un suplantador no te tome por sorpresa.

Trata también de no compartir claves de tarjetas, CVVs o números completos en mensajería privada de redes sociales como Instagram, Facebook u otras. Si un delincuente te suplanta e ingresa a una de ellas, puede revisar tu inbox y sacar datos de ahí. Borra datos sensibles de esas bandejas y haz una copia en un dispositivo o sistema de nube con contraseña adicional.