La alarma se ha activado en TEDIC ante la reciente y masiva filtración de más de 400GB de datos confidenciales pertenecientes a la Policía Nacional en Paraguay. Este suceso pone de manifiesto no solo la exposición de detalles personales y registros relacionados con investigaciones policiales, sino también la vulnerabilidad de datos biométricos, como rostros captados por cámaras de reconocimiento facial, y los Identificadores Civiles (IC) de las cédulas de identidad. Tal situación resalta las persistentes preocupaciones que TEDIC ha señalado sobre las tecnologías implementadas1, las cadenas de custodia de la información2 y la falta de protocolos de transparencia por parte de la Policía Nacional3.
Un riesgo elevado y tangible
La filtración ha dejado al descubierto un espectro de datos alarmantemente amplio, que no solo abarca información sobre casos policiales, personas investigadas, y antecedentes, sino también revela datos de carácter extremadamente sensible. Se han expuesto archivos judiciales, actas policiales no anonimizadas, y datos vinculados a niños, niñas y adolescentes, identidad de género y asuntos del crimen organizado. Además, la filtración incluye datos referidos a sumarios y procesos propios internos de las fuerzas públicas y entidades que interactuaron con la institución policial.
Ilustración 1: Ejemplo de datos expuestos en la filtración
En este escenario, un político podría ser objeto de extorsión o manipulación, y una persona vulnerable podría ser localizada y amenazada por actores criminales. La potencial identificación y localización de individuos y sus familias aumentan el riesgo de extorsiones y ataques dirigidos. El acceso a esta información puede allanar el camino para una variedad de delitos, desde el robo de identidad hasta el secuestro, exacerbando la preocupación por la falta de leyes de datos personales en Paraguay.
Profundizando en la vulneración
Conforme a datos provenientes de Distributed Denial of Secrets (DDoSecrets, por sus siglas en inglés)1, la dimensión de la filtración es abrumadora, revelando la existencia de 398.765 documentos, 132.735 imágenes, 699 archivos, 642 páginas web, 148 carpetas, 88 archivos de texto, 8 videos, 5 paquetes, 4 libros de trabajo, 3 tablas y 1 archivo de audio. Además, se han filtrado diversas bases de datos SQL, que contienen información crítica:
- Metabase1: Con un peso de 9,1GB, parece contener la base completa de identificaciones y la base de antecedentes policiales. Entre las bases internas se destacan antecedentes de 617 MB y trabajo de 3,4 GB.
- Metabase2: de 315 MB de peso total, incluye una tabla de personas con órdenes de captura y bases relacionadas con automóviles y armas.
- Metabase3: esta base, de un peso considerable de 126 GB, contiene alrededor de 4 millones de imágenes de rostros en CAPTURE01 (~56 GB) y datos de cámaras de reconocimiento y vehículos denunciados.
- Metabase4: con un peso de 16 GB, alberga varias bases relacionadas con delitos, armas y seguridad, entre ellas armas de 496 MB y seguridad de 1,6 GB.
- Metabase5: de 30 GB, incluye información variada, destacando la base cons_histo de 11 GB y trabajo de 19 GB, así como datos de Interpol y denuncias.
Ilustración 2: Mosaico de imágenes capturadas por cámaras con tecnología de reconocimiento facial
Esta vasta cantidad y variedad de información pone de manifiesto graves falencias en los sistemas de seguridad y protocolos de la Policía Nacional, y abre la puerta a usos delictivos de la información, exacerbando la preocupación por la falta de leyes de datos personales en Paraguay.
En este escenario de vulneración masiva, la falta de regulaciones adecuadas y protocolos de seguridad evidencia un riesgo palpable. La posibilidad de que estos datos sean utilizados por grupos criminales, para la extorsión, el robo de identidad, o cualquier forma de delito, plantea un futuro incierto y peligroso para los ciudadanos paraguayos y pone en tela de juicio la integridad de las instituciones responsables de la seguridad y protección de datos.
Transparencia y la protección de datos: dos frentes críticos
En un país donde no existe una ley de datos personales, la ausencia de protocolos y la falta de transparencia en la gestión y uso de tecnologías de vigilancia por parte de la Policía Nacional crean un terreno fértil para la vulneración de libertades civiles. La posibilidad de que esta información sea accesible públicamente para cualquier individuo o grupo criminal es una realidad alarmante y un llamado a la acción urgente.
Desde TEDIC, se hace hincapié en la necesidad de una reforma significativa y la aprobación de una Ley integral de protección de Datos Personales para salvaguardar la privacidad y seguridad de los ciudadanos y restaurar la confianza en las instituciones, además de exigir información sobre la compra de cámaras con reconocimiento facial1, cuestión que viene siendo denegada reiteradamente y que motivó a una acción de inconstitucionalidad en curso ante la Corte Suprema de Justicia2.
Conclusiones y camino a seguir
La grave filtración de datos en Paraguay evidencia la necesidad imperante de abordar las deficiencias en privacidad, seguridad de la información y transparencia institucional. La posibilidad
de que esta información caiga en manos de organizaciones delictivas y se utilice para delinquir resalta la urgencia de reformas y medidas de protección. TEDIC seguirá abogando por un entorno seguro y transparente, evitando futuras vulneraciones que pongan en riesgo la sociedad paraguaya. Es un imperativo ético y social actuar ahora para prevenir consecuencias nefastas en el futuro.
En tal sentido, TEDIC ha desarrollado una serie de guías y recursos que puedan facilitar la protección ante amenazas a periodistas o activistas de derechos humanos que se pueden consultar en nuestra web1. Desde la población en general instamos a tomar medidas de seguridad para precautelar derechos hasta que las respuestas institucionales sean las correctas para garantizar las libertades civiles y el orden democrático.
1https://www.tedic.org/superpoderes-a-la-policia/
2https://www.tedic.org/la-proteccion-de-datos-personales-en-bases-de-datos-publicas-en-paraguay/
3https://www.tedic.org/quien-vigila-al-vigilante-reconocimiento-facial-en-asuncion/
Data BootCamp 2020: Recuento de nuestra semana llena de periodismo y derechos digitales 
¿Cómo usar la tecnología en tiempos de COVID19? 
Sociedad Civil sobre el Día Mundial de la Propiedad Intelectual