Reniec nos entregó al crimen, por René Gastelumendi

Una fuente al interior del RENIEC me acaba de proporcionar una serie de pruebas que demuestran que, por pura negligencia, los datos sensibles —foto, dirección, firma y huella digital, entre otros— han sido prácticamente regalados al crimen. Se ha puesto en peligro la integridad de, por lo menos, 25 millones de peruanos y peruanas inscritas en su registro.

Si uno ingresa a la mesa de partes virtual de la institución, podrá encontrar documentos como el presentado por la empresa Selentic Group, en los que se advierte, desde mayo, lo siguiente: que tienen más de cien credenciales internas expuestas, correspondientes a empleados del RENIEC, así como casi ocho mil (sí, ocho mil) contraseñas externas, incluyendo las de clientes, proveedores y demás terceros relacionados, dentro y fuera del aparato estatal.

A la fecha de su informe, 102 credenciales internas de personal que trabaja o trabajó en el RENIEC siguen teniendo acceso a su correo electrónico y, al tener acceso a este, potencialmente pueden llegar hasta el padrón. No solo eso: otra de las bombas que Selentic Group encontró es que existen programas que el RENIEC mandó a hacer, como el de reconocimiento facial, cuyo código fuente está expuesto al público, al alcance de cualquier ciberdelincuente.

Como se sabe, en el tan vulnerable mundo digital, el ciberdelincuente realiza un barrido de todas las maneras posibles de atacar y encontrar el codiciado tesoro de los datos sensibles. Al obtener el código con el que se desarrolló el programa, el criminal tecnológico es capaz de acceder al propio sistema y modificar lo que desee. Potencialmente, también podría robar las huellas digitales, no solo para fines de estafa, extorsión o robo, sino incluso para intervenir y modificar el tan publicitado voto electrónico. Cada voto electrónico podría ser suplantado y cambiado. Así de grave.

La empresa Selentic, en su reporte Orden de Servicio N.° 1435-2025-RENIEC, de mayo de este año —al que cualquier persona puede acceder a través del portal de transparencia—, advirtió literalmente lo siguiente:

“La plataforma realiza una búsqueda exhaustiva de subdominios expuestos, permitiendo identificar aquellos que representan un riesgo potencial para la seguridad de la organización. En este análisis, se destacan subdominios que podrían ser especialmente sensibles por su naturaleza o por albergar información crítica. Además, hemos identificado subdominios que contienen credenciales expuestas, lo que incrementa considerablemente el riesgo de accesos no autorizados. A continuación, se presenta un resumen detallado de los subdominios detectados y sus respectivas vulnerabilidades…”.

En otras palabras —repito—, existían a la fecha 102 correos y contraseñas internas expuestas, lo cual significa que están siendo subastadas, vendidas u ofrecidas en la dark web o hasta por Telegram, por sumas irrisorias que ni siquiera llegan a los doscientos dólares. Sí, 102 contraseñas, tal como lo lee.

Si esa cifra le parece alarmante, prepárese para lo que viene. El RENIEC solo respondió en julio, dos meses después. ¿Qué respondió la unidad encargada de ciberseguridad? Que el reporte de Selentic estaba mal hecho. Se enredaron en la cantidad de contraseñas externas que se venían utilizando clandestinamente. Esta es la bomba más letal que encontró la empresa de ciberseguridad por su onda expansiva: se habló de 1,330, pero ya en mayo de 2025 Selentic Group había detectado 7,935 contraseñas externas utilizadas por terceros que se vendían en el mercado negro, lo cual era solo la fotografía del momento en que se hizo el monitoreo.

Sí, miles. La última advertencia sobre la situación fue en julio de este año. El RENIEC nunca admitió que le habían robado sus contraseñas y trató de desmentir el lapidario reporte de Selentic. No obstante, la empresa les demostró que, desde 2023, su ciberseguridad es una coladera y que ya se estaban vendiendo kilos de información en la dark web, incluyendo en el informe capturas de pantalla de los ofrecimientos.

Lo que más preocupa es que, hasta por lo menos mayo, el jefe de esa unidad era Jaime Alejandro Honores Coronado, quien luego pasó a ocupar un cargo similar en la PCM. ¡Saquen su línea!

¿Qué implica este festival aterrador de contraseñas subastadas en el mercado negro? Que pueden suplantar la identidad de cualquier persona ante los bancos, ante otras entidades del Estado, ante privados, en correos electrónicos personales y de empresas privadas, e incluso ante el propio RENIEC.

Una mina para los extorsionadores, porque tienen acceso a toda esta información a través de la cual pueden hacer ingeniería social y utilizar los datos para amenazar con mayor credibilidad, pues la información incluye hasta la estatura.

Todo indica que al RENIEC le han robado domicilios, huellas digitales y firmas. Y si a esto le sumamos que existen programas capaces de engañar a los sistemas de reconocimiento facial, hablamos de una hecatombe de seguridad ciudadana que ningún presidente, por más juventud, fotos que se tome o camisas que se remangue, puede controlar.

Una vez conocida esta denuncia, nos comunicamos con la empresa mencionada y se nos confirmó la gravísima advertencia. El diagnóstico implica un 99% de probabilidad de riesgo. ¡Fritos, RENIEC y nosotros! En otras palabras, toda la ciudadanía y sus datos están expuestos gracias a la negligencia institucional.