Un atacante identificado como “Gatito FBI” dijo haber accedido al sistema policial SIDPOL, desde el cual sustrajo más de 80 GB de datos sensibles que ahora se venden en la dark web. Los datos habrían sido vendidos por miembros activos de la propia entidad afectada, indicó el actor de amenaza.
Un cibercriminal identificado como “Gatito FBI NZ” habría accedido al Sistema de Denuncias Policiales (SIDPOL) de la Policía Nacional del Perú (PNP), desde el cual extrajo más de 80 gigabytes de información confidencial. El contenido sustraído incluiría denuncias policiales, datos personales de las víctimas y documentos institucionales registrados entre los años 2019 y 2025.
Los archivos robados fueron puestos a la venta en foros de la dark web, con precios que parten desde los 1.500 dólares. La filtración incluye nombres completos, teléfonos, direcciones, estado civil, números de patentes de vehículos y descripciones detalladas de los delitos denunciados, como robos, estafas, disparos, violencia familiar y amenazas. Según reveló el programa de TV Punto Final, un 61% de las denuncias filtradas fueron presentadas por mujeres, en su mayoría por casos de violencia de género, lo que agrava el impacto de la exposición.
En una entrevista otorgada al medio peruano, el atacante explicó que accedió al sistema utilizando credenciales legítimas -usuario y contraseña- obtenidas en grupos cerrados de Telegram y WhatsApp. Asegura que parte de esos accesos fueron vendidos por miembros activos de la institución, y que la automatización de scripts le permitió extraer la totalidad de la base de datos sin mayores obstáculos.
“Esto demuestra lo atrasado que está el país en materia de seguridad informática”, sostuvo el cibercriminal, quien puso énfasis también en la baja exigencia en medidas básicas de ciberseguridad de la SIDPOL, como la ausencia de doble factor de autenticación y el uso de contraseñas débiles.
A pesar de la gravedad del incidente, hasta el momento no existe un pronunciamiento oficial por parte de la Policía Nacional del Perú, ni para corroborar ni para descartar lo expuesto por el medio.
Por otra parte, la Autoridad Nacional de Protección de Datos Personales del Perú recordó que todas las entidades públicas tienen la obligación de reportar incidentes de seguridad, pero no se ha confirmado si se ha iniciado una investigación formal sobre este eventual incidente.
Mientras tanto, los medios de ese país que han dado cobertura al incidente dan cuenta que los datos robados siguen disponibles en la dark web para cualquier comprador.