El Ministerio de Telecomunicaciones reconoció que el ataque informático que sufrió CNT es una consecuencia “de la falta de estructura y procesos internos” de esa empresa “que deben corregirse”.
La titular de la Cartera, Vianna Maino, dijo que, por ejemplo, los problemas en la empresa “se vienen fraguando desde hace años y sus efectos visibles ahora son solo la punta del iceberg”.
Por ejemplo, Maino dijo que el parque tecnológico de la empresa tiene un promedio de más de ocho años de antigüedad con máquinas e infraestructura tecnológica obsoleta. Y señaló que, en medio de las investigaciones, hay una fuerte sospecha de que CNT habría sufrido un mal manejo de información con colaboración interna.
Frente a esa situación, se declaró en emergencia institucional a la empresa pública y hasta se anunció una reforma legal para que pueda contratar servidores internacionales.
El caso de vulneración a la CNT no es aislado. Ecuador es una presa fácil para los ciberdelincuentes. Solo durante 2020, según ESET, en Ecuador hubo más de 51 000 registros relacionados con cryptominers (malware utilizado para minería de criptomonedas), unos 140 000 detecciones de exploits (código utilizado para aprovechar vulnerabilidades en software) y cerca de 6 000 detecciones de ransomware (malware para el secuestro de información).
De acuerdo con ESET, durante 2020 Ecuador ocupó la sexta posición dentro de los países latinoamericanos con más detecciones de malware, después de Brasil, México, Argentina, Colombia y Perú.
En febrero pasado, Banco Pichincha denunció en la Fiscalía un acceso no autorizado a los sistemas de un proveedor suyo de servicios de mercadeo. Un mes después circuló en la Dark Web información del Instituto Ecuatoriano de Seguridad Social, según detectó Galoget Latorre.
El es experto en Ciberseguridad de Hackem Cybersecurity Research Group, un grupo de consultores en ciberseguridad que desarrolla proyectos como ‘ethical hacking’, análisis forenses y otros.
Desde la semana anterior, en la Dark Web circula más información de esas instituciones, aunque las entidades han señalado que “no hay evidencia de que sus sistemas hayan sido vulnerados”.
En una comparecencia a la Comisión de Seguridad de la Asamblea, el ministro de Defensa, Fernando Donoso, explicó que el Centro de Inteligencia del Estado trabaja directamente con EcuCERT que no se reportó ataques a las instituciones públicas.
Según Latorre, efectivamente, se trata de información anterior que ya fue pública en la Dark Web, aunque no se puede descartar que los ciberdelincuentes cuenten con información que aún no ha sido difundida. De hecho, ayer, 29 de julio del 2021, se agregaron cuatro gigas adicionales de datos.
Latorre destaca que algo nuevo que fue publicado en la Dark Web fueron las credenciales de algunas instituciones públicas, con usuarios y contraseñas. “Eso habría que analizar porque no necesariamente son contraseñas y usuarios vigentes”, advirtió.
Pero la vulneración de datos no solo ha sido por ataque de ‘hackers’. El Ministerio de Salud, por ejemplo, está en el centro de una polémica por haber filtrado información sensible de 1,5 millones de personas vacunadas (nombre, número de teléfono, enfermedades, entre otros).
Para Luis Enríquez, coordinador del Observatorio de Ciberderechos de la Universidad Andina Simón Bolívar, los efectos de ese tipo de vulneración de información no se puede revertir y la información de la gente puede ser usada para múltiples fines.
Cree que un problema es que Ecuador lleva 40 años de retraso en cuanto a normativa para protección de datos.
De hecho, la Ley de Protección de Datos recién se aprobó en mayo pasado. La norma obliga a las empresas e instituciones públicas a hacerse responsables por el manejo de los datos de los usuarios e incluso establece sanciones.
Pero su aplicación aún tomará tiempo. La Ley da dos años para que las empresas se adapten a las nuevas reglas.
Además, está pendiente la emisión del reglamento y el envío de una terna por parte del Ejecutivo para la elección del Superintendente de Protección de Datos, confirmó Angie Jijón, directora Nacional de Datos (Dinardap).
Otro problema, comentó Enríquez, es la falta de una cultura de ciberseguridad entre la población.