Noticiero Digital N° 1221

Twitter Facebook Rss

Identidades en pausa: Sistema del siglo pasado

El caso de Raffaello Cárpena, con hasta cinco identidades atribuidas, evidencia cómo la burocracia peruana valida trámites sin garantizar la veracidad de los datos. Reniec asegura que cada ciudadano tiene un solo DNI vigente, pero los vacíos de interoperabilidad permiten que registros falsos circulen entre entidades como Sunat, Banco de la Nación, ONPE o la banca digital. Mientras la norma privilegia “sellitos” y expedientes, la falta de verificación en tiempo real facilita fraudes y suplantaciones. Sin uso de estándares, trazabilidad y responsabilidad institucional, seguiremos atrapados en un sistema del siglo pasado. Reportaje conseguido gracias a la plana de colaboradores de AS.

Identidad al ralentí: por qué el sistema peruano permite fraudes del siglo pasado

Aunque “todo se hizo de acuerdo al procedimiento”, los vacíos de interoperabilidad y un control formalista —validan pasos, pero no el contenido— permiten duplicidades, suplantaciones y cadenas de fraude. Reniec no es la única: el problema alcanza a Banco de la Nación, Sunat, Aduanas, banca, ONPE y a verificadores de facto como Yape y Plin. Urgen estándares, trazabilidad y verificación en tiempo real, con tecnología bien usada (incluida blockchain) y un Estado presente en todo el territorio.

 

1) El problema de fondo: cumplir el trámite, no asegurar la verdad
En la práctica, muchos procesos públicos se miden por “cumplimiento procedimental”: si se iniciaron y cerraron los pasos marcados, el expediente avanza. La Contraloría —según señalan lectores— rara vez evalúa la calidad del dato o el resultado material; verifica que hubo acto administrativo, firma y sello. Bajo esa lógica, el fraude no necesita vulnerar sistemas complejos: le basta inyectar información falsa “en regla”, para luego circular sin fricción por la burocracia.

2) Un síntoma con nombre propio
El sonado caso de Raffaello Cárpena expone la falla sistémica: la Policía le atribuye haber operado con hasta cinco identidades desde 1993, combinando registros municipales, expedientes judiciales e incluso gestiones en el extranjero. La pista clave fue el uso de placas diplomáticas para eludir controles.
Tras hacerse público, Reniec precisó que en su sistema el ciudadano tiene un solo DNI vigente y que, ante irregularidades detectadas en sedes municipales o judiciales, presentó denuncias ante el Ministerio Público (2024–2025). Es decir: no convivieron cinco DNIs en Reniec, pero sí circularon identidades falsas por otras puertas del Estado.


3) Interoperabilidad que no llega a tiempo
La identidad debería cruzarse en tiempo real contra fuentes de verdad (nacimientos, defunciones, sentencias, migraciones), bajo un repositorio único y distribuido (lógico, no necesariamente físico) con APIs seguras y logs auditables. Hoy, muchas entidades —Reniec incluida— sí “interoperan”, pero tarde, por lotes o sin validaciones fuertes. Resultado:

  • ONPE puede validar un padrón sin saber que hubo ayer una defunción.
  • Banco de la Nación, Sunat y Aduanas operan con datos “oficiales” pero desactualizados.
  • Banca y fintech (Yape, Plin) usan verificaciones como fricción comercial, no como control probatorio robusto; esa huella termina, además, reaprovechada por extorsionadores cuando el dato se filtra o se comparte mal.
  • Si la identidad base es errónea, todo el ecosistema la réplica.

4) Blockchain no arregla “basura de entrada”
Aunque algunos señalan utilizar blockhain. Si se registra una partida falsificada en blockchain, el sistema solo garantiza inmutabilidad de la falsedad. La cadena sirve si la captura del dato es fuerte, estandarizada y auditable (onramps confiables, identidad verificada, sellado de tiempo, custodios con responsabilidad). Blockchain es parte de la solución, nunca el reemplazo de un diseño institucional y de datos.

5) ¿Qué dice la norma?
El armazón legal privilegia el expediente en papel (o su clon digital) y la responsabilidad “por acto”, no por calidad de dato ni trazabilidad. Faltan:

  • Obligaciones explícitas de validación en línea (vivo/no vivo; vínculos civiles; restricciones judiciales).
  • Trazabilidad obligatoria de quién creó/leyó/modificó un dato y con qué fundamento.
  • Estándares de identidad (atributos mínimos, pruebas de vida, liveness y biometría con umbrales claros), más sanciones por cargar información sin soporte.
    Mientras eso no exista, seguiremos “avanzando” de acuerdo a ley, pero a velocidad de papelitos con sellitos.


6) Riesgos actuales para ciudadanos y Estado

  • Suplantación para abrir cuentas, cobrar prestaciones o evadir sanciones.
  • Fraudes en compras públicas con RUC o representantes falsos.
  • Extorsión apalancada en verificaciones débiles (contactos, selfies y datos cruzados).
  • Desinformación: “los muertos votan” es un eslogan que nace de registros sin depurar y validaciones diferidas. Ojo que estamos ad portas de elecciones.

7) Qué hacer en 12–18 meses (plan práctico)

Gobernanza y reglas

  • Ley/DS de Datos Críticos de Identidad: definición de atributos, responsables, tiempos máximos de actualización, y obligación de verificación en línea para actos sensibles (votar, registrar vehículos, aperturas financieras).
  • Responsabilidad solidaria: quien ingresa un dato responde si lo hizo sin evidencia; quien consume datos críticos sin validar en línea, también.
  • Cláusulas anti-“sello”: ningún trámite sensible se completa sin check de consistencia automática (vivo/defunción; inhabilitaciones; duplicidades).

Arquitectura y tecnología

  • API-first: catálogo público de APIs de identidad, con versionado, SLAs y auditoría.
  • Prueba de vida remota estandarizada (biometría + liveness) para trámites de alto riesgo.
  • Registro de eventos con sellado de tiempo y traza inmutable (puede apoyarse en blockchain permisionada para auditar origen y cambios).
  • Desduplicación biométrica con calidad controlada y evaluaciones de sesgo.
  • Reglas de negocio anti-fraude en tiempo real (matching de placas diplomáticas, patrones inusuales de cambios de nombre, etc.).
  • Tablero público de calidad de datos (tasas de inconsistencia, tiempos de corrección).

Procesos y control

  • Auditoría continua (Contraloría/Data Office): no del papel, del dato y sus flujos.
  • Pruebas de penetración de procesos (red-teaming administrativo): intentos regulados de suplantación para medir brechas.
  • ONPE: cruce diario padrón–defunciones–inhabilitaciones en campaña; alertas a jurados especiales.
  • Banca y fintech: elevar verificaciones a estándar probatorio (no solo KYC comercial), con sanción por false positives/negatives sistémicos.
  • Canales de corrección expeditos para el ciudadano (rectificación con acompañamiento y trazabilidad).

Personas y territorio

  • Presencia del Estado en educación, salud, seguridad y medio ambiente como red de puntos de verdad: si el Estado está, el dato se verifica cerca del ciudadano.
  • Alfabetización digital para funcionarios y usuarios; incentivos por calidad (no por cantidad) de trámites.


8) Qué mirar afuera (prácticas útiles)
Plataformas de intercambio seguro de datos (modelo “bus de interoperabilidad” con registros maestros y consentimiento trazable).

  • Identidad digital fuerte con atributos verificados y verificación activa (prueba de vida) para actos de riesgo.
  • Catálogos nacionales de datos con políticas de calidad y tableros públicos.
  • Sandbox regulatorios para probar biometría, credenciales verificables y blockchain permisionada con supervisión.
  • Comunicación radical de incidentes: cuando hay filtraciones o fraudes, el Estado informa qué pasó, a quién afectó y qué se corrigió.


9) Necesitamos urgente un cambio
Mientras sigamos conectando desorden y celebrando el “cumplimiento” sin mirar la verdad del dato, el sistema seguirá habilitando fraudes noventeros con herramientas del 2025. La tecnología —incluida blockchain— sirve si hay estrategia: estándares, responsabilidades claras, verificación en tiempo real y un Estado que llegue a todos. El objetivo no es tramitar más rápido, sino decir la verdad mejor.

Caso de referencia utilizado: investigación y captura de Raffaello Cárpena (cinco identidades atribuidas; uso de placa diplomática) y pronunciamiento de Reniec (un solo DNI vigente; denuncias 2024–2025).

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

"COMPROMISO CON EL PÉRU"

Ciberseguridad Nacional
– “La seguridad es un proceso, no un producto.” — Bruce Schneier, criptógrafo y experto en seguridad (1999)

– “Hay dos tipos de empresas: las que han sido hackeadas y las que aún no saben que lo han sido.” — John Chambers, ex CEO de Cisco (2015).

– “La ciberseguridad es responsabilidad de todos, no solo del área de TI.” — Ginni Rometty, ex CEO de IBM (2014).

– “El mayor riesgo es pensar que no estás en riesgo.” — James Comey, ex director del FBI (2014).

Lucha Anticorrupción
– “La ética es saber la diferencia entre lo que tienes derecho de hacer y lo que es correcto hacer.” — Potter Stewart, juez de la Corte Suprema de EE.UU. (1981).

“Si pierdes dinero, pierdes poco; si pierdes un amigo, pierdes mucho; si pierdes la integridad, lo pierdes todo.” — Proverbio chino (atribuido, s. XX).

“Las empresas que prosperan a largo plazo son aquellas que construyen confianza.” — Ratan Tata, empresario indio (2006).

– “La integridad es hacer lo correcto, incluso cuando nadie está mirando.” — C.S. Lewis, escritor británico (c. 1940).

Responsabilidad Digital
– “El phishing en el Perú aumentó un 120% en 2024. ¡Desconfía de links sospechosos!” — División de Ciberpolicía (2024).

————————————————————

UNI: MBA en Gerencia y Tecnología

Conversando con los CEO´s Perú

Ley de Inteligencia Artificial 31814

Conversatorio de especialistas sobre Conectividad para el Desarrollo del Perú.

América Sistemas