Cualquier persona puede acceder al número del Documento Nacional de Identidad (DNI) y al dígito de verificación, al número del Registro Único de Contribuyentes (RUC) y a los nombres completos de millones de ciudadanos peruanos, mayores y menores de edad, pues los datos personales están expuestos de forma ilegal en un sitio web registrado fuera del país y cuyo responsable no puede ser identificado.

El sitio web eldni.com permite acceder a estos datos personales con sólo ingresar un número de DNI o los nombres y apellidos de cualquier connacional. El dominio fue registrado en los Estados Unidos en 2018, renovado en 2022 y expira en 2027, de acuerdo con información a la que accedió este medio. Además, el comprador ha ocultado su información de contacto.

Convoca.pe consultó con representantes del Registro Nacional de Identificación y Estado Civil (Reniec) sobre la posibilidad de una filtración de su base de datos. Sin embargo, tras hacer un patrullaje virtual en su sistema, al mismo tiempo que ingresaban los datos en el sitio web de propiedad desconocida, dijeron que no había cruces con la plataforma de dicha entidad pública.

Los voceros de la institución, el año pasado, ya habían reportado este sitio web al área de tecnología de esta entidad, que determinó que no había forma de acceder a sus datos. “No está ligado a nuestra base, pero hay información, aparentemente, de otras instituciones”, señalaron. Por ello, también lo reportaron a la Dirección General de Protección de Datos Personales del Ministerio de Justicia.

Captura de portada de sitio web que expone datos personales de millones de ciudadanos del Perú, mayores y menores de edad. 

Denuncias aumentan

“Hemos recibido denuncias sobre sitios web que exponen datos del DNI. En estos casos, hemos iniciado las fiscalizaciones. Muchas veces no se puede identificar al responsable del tratamiento de los datos, al propietario del sitio web. Tenemos algunas dificultades para iniciar procedimientos sancionadores”, dijo a Convoca.pe Olga Escudero Vílchez, directora encargada de la Dirección de Fiscalización e Instrucción de la Autoridad Nacional de Protección de Datos Personales del Ministerio de Justicia.

Cuando no pueden identificar al propietario de estos sitios web, derivan los casos al Centro Nacional de Seguridad Digital de la Presidencia del Consejo de Ministros (PCM) “que se encarga de identificar, proteger y detectar este tipo de incidencias de seguridad y que esos sitios sean dados de baja”, explicó Escudero.

Por lo tanto, a la dependencia de la PCM le corresponde ver el caso del sitio web que está exponiendo los datos personales de los ciudadanos, relacionados con su DNI, número de RUC y nombres y apellidos. Este medio solicitó una entrevista con un representante del Centro Nacional de Seguridad Digital, pero hasta el cierre de este reportaje no obtuvimos respuesta.

El año pasado, la Dirección de Fiscalización e Instrucción de la Autoridad Nacional de Protección de Datos Personales inició 106 fiscalizaciones de oficio a sitios web de instituciones públicas y privadas, como colegios, establecimientos de salud y entidades financieras, y 211 por denuncias de parte. "Estas cifras representan un crecimiento en comparación con años anteriores", según informó Escudero, del Ministerio de Justicia.

La mayoría de las fiscalizaciones a las entidades públicas son por no contar con las medidas de seguridad para el tratamiento de los datos. “Cuando una entidad pública o privada no tiene las medidas de seguridad, se produce este tipo de filtraciones de datos, accesos no autorizados o mafias que pueden estar vendiendo los datos”, advirtió la funcionaria.

La venta ilegal de datos personales es una de las denuncias más comunes que recibe el área encargada del Minsiterio de Justicia. Foto: Andina

Entre las denuncias más comunes que recibe la Dirección de Fiscalización e Instrucción figuran la venta ilegal de datos por medio de sitios web, la exposición de datos del DNI a través de sitios web de instituciones privadas o públicas, el consumo anormal del servicio de Reniec en las entidades que cuentan con este servicio y el doxing, que consiste en recopilar información personal y publicarla en las redes sociales sin el consentimiento de los titulares de los datos y con el objetivo de dañar la imagen de las personas y su trayectoria profesional y pública.

Uno de los últimos casos que investigó la Dirección de Fiscalización fue la venta ilegal de información de ciudadanos obtenidas de instituciones públicas y privadas a través de la plataforma Zorrito Run Run, en junio pasado. El caso terminó en la detención de dos personas, para quienes el Poder Judicial ordenó 15 meses de prisión preventiva por los presuntos delitos de acceso Ilícito y tráfico ilegal de datos personales. “Investigamos y detectamos que estas páginas que vendían datos estaban haciendo consumo de los servicios que proveía el Reniec a algunas entidades”, recordó Escudero.