Por solo S/100, uno puede acceder a información privada de cualquier persona, desde nombres completos hasta la línea de crédito en sus tarjetas. En el cruce de las avenidas Garcilaso de la Vega (ex Wilson) y Bolivia, en el Cercado de Lima, un grupo de personas ofrecen, entre otros ilegales servicios y productos, bases de datos de entidades financieras o telefónicas, así como de instituciones públicas, como el Reniec.

“¿De qué banco quieres? Tengo de cualquiera. En cada una [de las bases de datos] te vienen unas 50 mil personas. Viene nombre, dirección, teléfono, cargo, todo lo que necesitas”, ofrece uno de estos sujetos en plena vía pública.

Según el artículo 154-A del Código Penal, comercializar “información no pública relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera y otra sobre una persona natural” es un delito que se sanciona con una pena no menor de dos años ni mayor de cinco años.

Estos sujetos lo saben. Por ello, actúan con sigilo. Una vez que acuerdan el precio, conducen al comprador fuera de la vista del público, hasta un pequeño stand dentro de una galería cercana, donde pasarán los datos desde un USB a un CD que exigen comprar previamente.

Erick Iriarte, abogado experto en delitos informáticos, explica que la venta de estas bases de datos en las calles pone en riesgo a la población. “En el mejor de los casos, son usadas con fines comerciales, para ofrecerte por teléfono productos. Por otro lado, también pueden ser aprovechados por criminales para cometer secuestros o extorsiones”, dice Iriarte.

Hace dos meses, el ministro de Comercio Exterior y Turismo, Edgar Vásquez, denunció que recibió una llamada de una agencia de viajes que le “regalaba” un premio. Él no se había inscrito en ningún concurso. Se presume que sus datos fueron obtenidos a través de una de estas bases de datos.

—Desconocimiento—

La Autoridad Nacional de Protección de Datos Personales (APDP), adscrita al Ministerio de Justicia, es la entidad que se encarga de velar por el cumplimiento de la Ley de Datos Personales (Ley 29733). Según su director general, Eduardo Luna, la principal fuente de filtración de información dentro de las entidades privadas son los extrabajadores. “Si hay una base de datos en la calle, para la autoridad, el responsable es el titular, pero solo esa entidad podría confirmar que es su base de datos”, explica.

Sin embargo, en el Perú, las empresas privadas no están obligadas a notificar a sus clientes sobre el robo de bases de datos, precisa la APDP. Según Luna, han recibido denuncias sobre infracciones en las medidas de seguridad, pero en muchos casos dichas entidades enmiendan las observaciones antes de que se inicie un procedimiento administrativo sancionador.

“Tenemos denuncias de dos empresas por filtración de información, pero están en investigación”, dice.

Jorge Zeballos, gerente general de Eset Perú, empresa dedicada a la seguridad informática, asegura que el 46% de filtraciones de información de las empresas se produce debido a empleados que hacen un mal uso de sus funciones y roban las bases de datos.

No obstante, comenta que muchas de las entidades públicas y privadas escatiman en los recursos para la seguridad informática, y que solo cumplen “en el papel”, ya que no desarrollan una correcta gestión en cuanto a los temas de responsabilidad.

—Dificultades—

El capitán PNP Bruzz Vega, de la División de Investigación de Delitos Informáticos (Divindat), informa que hasta la fecha no han recibido denuncias sobre filtraciones de bases de datos. “Es muy difícil atacar a estos grupos porque no es un objeto tangible. Basta con que apaguen la computadora, donde tiene la información, para que no podamos intervenir”, dice el oficial.

Para Iriarte, el robo de información no es tan mencionado por la población porque no es algo tangible. “En el Perú, falta una ley sobre ciberseguridad. Esta fue aplazada por el Ejecutivo y debería estar ligada al organismo de seguridad ciudadana”, concluye el experto.
100 UIT 

es la sanción más alta que puede recibir una empresa por un tratamiento indebido (copia, tráfico o venta) de sus bases de datos.

S/800 mil

en multas impuso la Autoridad de Protección de Datos Personales este año por infracciones en medidas de seguridad.