Hackean sistema policial en Perú y venden denuncias con datos personales en la dark web

Un incidente alarmante ha puesto en evidencia la fragilidad de la seguridad digital en instituciones públicas del Perú. Un hacker conocido como “Gatito FBI_NZ” logró acceder, de manera relativamente sencilla, al sistema de denuncias policiales de la Policía Nacional del Perú, conocido como SIDPOL, y ha puesto a la venta la base de datos en foros de la dark web. La filtración incluye aproximadamente 80 GB de denuncias presentadas entre 2019 y 2025, además de datos personales como teléfonos, domicilios, estado civil, y placas vehiculares, poniendo en riesgo la privacidad y seguridad de miles de peruanos.

Según reveló el propio ciberdelincuente en canales de la web oscura, su acceso se logró mediante la compra de credenciales legítimas —usuario y contraseña— que circulan en grupos cerrados en Telegram, WhatsApp y otras plataformas clandestinas. Explicó que solo se requiere crear un script para descargar toda la información, lo que evidencia la baja defensa de la seguridad informática en las instituciones estatales peruanas.

El hacker afirmó que en los sistemas públicos peruanos es frecuente encontrar credenciales vulnerables y que existen miembros dentro de las mismas instituciones que venden accesos. “Se pueden comprar accesos fáciles en diversos foros. A veces son actuales miembros de la propia institución quienes los venden”, declaró. Agregó que la debilidad radica en una infraestructura tecnológica obsoleta y en una cultura de seguridad deficiente en el país, que no ha logrado cerrar esas brechas.

La información filtrada evidencia una perspectiva preocupante, ya que la mayoría de denuncias corresponden a casos de violencia de género, en los que un 61% de los denunciantes son mujeres. También se han detectado denuncias por delitos como robo, estafa, amenazas y disparos, exponiendo datos delicados de víctimas y denunciantes.

Expertos en seguridad digital advierten que estas filtraciones abren la puerta a múltiples riesgos, como extorsiones, suplantación de identidad y uso indebido de información en investigaciones en curso. El penalista Ricardo Elías destacó que “el impacto de una brecha de esta magnitud es inquietante, pues facilita la comisión de otros delitos y deja a la ciudadanía completamente expuesta”.

Desde la firma de seguridad ESET, el analista Eduardo Chira señala que el uso de contraseñas débiles, como “123456” o “123456789”, facilita el acceso a estos sistemas. Además, indica que la falta de implementación de doble autenticación continúa siendo un problema en las instituciones públicas.

Hasta ahora, ninguna autoridad ha dado una explicación oficial sobre el incidente. La Policía Nacional y la Autoridad Nacional de Protección de Datos Personales han evitado emitir declaraciones, aunque esta última recordó la obligación legal de reportar incidentes de seguridad y la necesidad de transparencia en la gestión del caso. La situación revela una grave vulnerabilidad en la protección de datos y evidencia la falta de respuestas eficientes ante la creciente amenaza cibernética que enfrentan las instituciones peruanas.