Arcotel dice que alerta de filtración llegó el 7 de septiembre del 2019 y actuó el 11 porque debía seguir protocolos
Entrevista con Ricardo Freire, director de la Agencia de Regulación y Control de las Telecomunicaciones (Arcotel), sobre la filtración masiva de datos de millones de ecuatorianos. Foto: Archivo EL COMERCIO
Ricardo Freire, director de la Agencia de Regulación y Control de las Telecomunicaciones (Arcotel), explica los pasos que se siguieron en el caso de la masiva filtración de datos, que involucra a 20 millones de ecuatorianos, incluidos fallecidos y 6,7 millones de niños.
VpnMentor, la empresa israelí que detectó la filtración, informó a EcuCert el 7 de septiembre del 2019, ¿por qué el Gobierno dijo que se enteró el 11?
VpnMentor no ha notificado oficialmente a EcuCert (Centro de Respuesta a Incidentes Informáticos del Ecuador), nos notifican a nivel personal, no es una notificación formal. EcuCert no es autoridad, pero es la que recibe la notificación de estos señores. Eso tiene que entrar a un protocolo correspondiente de confirmación de quiénes están enviando esta información. Ni siquiera es una notificación formal, que tiene que seguirse en estos temas.
¿Cómo tenía que ser la notificación?
Hay un protocolo que se tiene que seguir a nivel de los Cert, son instituciones que manejan estos temas a nivel de seguridad de información. Se tenía que hacer la confirmación a nivel de protocolo porque no se sabía quiénes estaban enviando la información, que -como dije- no fue VpnMentor. Es un correo electrónico que hace referencia a dos nombres, se tenía que confirmar quienes son estos señores.
¿Había alguna identificación de la empresa en el mail?
No.
¿El mail qué decía? Y si el mecanismo no es por mail, ¿cómo se debía hacer la comunicación?
Hay una comunicación que se recibe por correo electrónico que señala que en un escaneo que están realizando se verifica que hay un servidor que tiene vulnerabilidades, que contiene posible información relacionada al Estado ecuatoriano, pero -como digo- a nivel de protocolo, primero se tiene que confirmar la fuente de información.
¿No pudo el EcuCert identificar inmediatamente que la información estaba vulnerable y se tomaron poco más de 4 días?
Como explico, hay todo un protocolo. Primero es la confirmación de todos los señores, porque no están dentro del círculo cerrado que son los EcuCert.
¿Nos puede dar los nombres de las personas que hicieron el reporte de la anomalía?
Es un tema que se maneja de forma reservada. Estamos levantando la actuación del EcuCert para que se entienda lo que ha sucedido. La primera novedad es que VpnMentor no notifica, sino personas particulares.
¿Esas personas, al final, sí eran de VpnMentor?
No, nunca identificamos eso. En segundo lugar, parte de las verificaciones que estamos haciendo es qué tipo de trabajo hace VpnMentor.
¿Cómo se comprobó que era una denuncia real?
Se sigue un protocolo, que es reservado.
Pero finalmente la denuncia era correcta y por eso se cierra.
Luego de verificar y seguir todos los protocolos, se notifica a la empresa que es la dueña de estos servidores y se señala que existe un servidor que tiene posibles vulnerabilidades y se pide a la empresa a cargo de ese servidor que lo cierre. Eso se hizo una vez que confirmamos que esto está pasando. Desde luego, el Cert es una empresa certificada a escala internacional, levanta la alerta y ocurre el cierre.
¿Por qué esa verificación de la denuncia les toma tanto tiempo?
Es un tema que se maneja de acuerdo con un protocolo y se tiene que verificar paso a paso, uno de ellos de dónde viene la fuente. Y yo les invitaría a investigar un poco más de la empresa VpnMentor. Ellos señalan que están haciendo un escaneo ético, para eso, ellos necesitan cumplir una serie de condicionamientos, sobre todo en EE.UU. No puedo dar más información porque aún se está levantando. EcuCert sigue trabajando en el tema porque es información que se tiene que presentar en la Fiscalía. A nivel de EcuCert también estamos verificando quiénes son los señores y cómo han hecho su trabajo, a buena hora nos notificaron y se pudo cerrar.
¿Qué información hallaron en el servidor? Porque VpnMentor señala que envió al EcuCert un informe donde existe data sensible que ellos mismos no publicaron.
El protocolo sigue activo y estamos por presentar información a la Fiscalía.
¿Por qué recién se le informa a la ciudadanía el 16 de septiembre que hay que tomar precauciones?
Hay que seguir protocolos.
Si el EcuCert no es la autoridad encargada de estos temas, ¿quién es el encargado?
Yo puedo sobre las atribuciones de EcuCert y entre esas no está este tema. Aunque no era atribución directa, el centro respondió con solución al tema.
¿Entonces quién?
Se tendría que verificar por Ley.
¿Y Arcotel?
La ciberseguridad no está entre sus atribuciones.
