Los datos personales, educativos, financieros, laborales, de tráfico y de filiación de todos los ecuatorianos están en riesgo. Una brecha digital en un servidor privado dejó desprotegidos durante un periodo aún por determinar los registros de al menos seis entidades públicas hasta que el día 11 de septiembre las autoridades fueron alertadas. La alarma se reveló este lunes cuando la empresa de seguridad israelí vpnMentor hizo público el riesgo de filtración. El Gobierno achacó, entonces, la fuga a una sustracción por parte de dos exfuncionarios de información confidencial que estaba en manos del Estado.
Ni las autoridades ni empresas de seguridad informática han confirmado hasta el momento si alguien aprovechó la vulnerabilidad del servidor para extraer los datos y, en su caso, aprovecharlos con fines lícitos o ilícitos. Pero sí han reconocido que detalles personales y privados, actualizados a 2019, han estado expuestos y al alcance de cualquiera con un poco de destreza cibernética. Y eso pone en riesgo a la población. Según la alerta de vpnMentor, pudieron acceder a 18Gb de registros, lo que equivale a aproximadamente 20 millones de personas. Ecuador tiene 17 millones de habitantes.
La Fiscalía ya ha abierto una investigación por presunta violación de la intimidad. Ha tomado la versión de los dos ex empleados públicos aludidos y ha allanado la sede de la empresa Novaestrat, la que había alojado el controvertido servidor en Miami y de la que son accionistas ambos implicados. Tras varias horas de declaración, los directivos fueron puestos en libertad.
La teoría del Gobierno, transmitida en una rueda de prensa por el ministro de Telecomunicaciones, Andrés Michelena, es que los exfuncionarios aprovecharon su posición para hacerse con bases de datos exhaustivas del Estado. “No ha existido hackeo ni ataque cibernético, lo que hay es una divulgación por parte de funcionarios que laboraban en el anterior Gobierno”, achacó Michelena a una época en la que, según dijo, hay constancia de que se comercializaba información “en el mercado negro”. Aseguró que ahora “los datos personales de los ecuatorianos están protegidos”, pues la brecha digital se cerró después de recibir la alerta.
Uno de los investigados trabajó en la financiera estatal Banco Nacional de Fomento y el otro tuvo un contrato ocasional entre 2012 y 2014 en un proyecto para alimentar el Sistema Nacional de Información, una plataforma que albergaba estadísticas y datos recabados de los ecuatorianos con el fin de focalizar las políticas públicas. La empresa que conformaron después, Novaestrat, se dedicaba a la inteligencia de negocios y entre sus objetos societarios está el asesoramiento de empresas y entes públicos en actividades de cabildeo, grupos de presión y lobbies. Así consta en su inscripción ante la Superintendencia de Compañías, el ente regulador empresarial. Además, la compañía está registrada como proveedor del Estado, pese a que no hay constancia de que haya recibido un contrato público desde su fundación en noviembre de 2017.
La investigación apunta a que el servidor contenía las bases del Registro Civil, del Servicio de Rentas Internas (Hacienda), de la Secretaría de Educación Superior, del Banco del Instituto de Seguridad Social y de la Agencia Nacional de Tránsito. La empresa de seguridad que destapó la alerta publicó varios pantallazos, como ejemplo del hallazgo, con registros de filiación del presidente Lenín Moreno, de Julian Assange y de ciudadanos anónimos. También había información detallada de vehículos de ciudadanos con matrículas, marca o tipo de gasolina o sobre su perfil crediticio.
Pese a que no se ha informado hasta ahora de ataques o amenazas concretas, técnicos especializados en seguridad informática han alertado a los ecuatorianos ante posibles casos de suplantación de identidad. “La filtración en sí no está confirmada, es decir, no hay un grupo de cibercriminales diciendo que posee los datos y que tiene intención de venderlos o hacer efectivos ataques. Sin embargo, al estar expuestos por un período de tiempo, el riesgo de que un cibercriminal los tenga es muy alto, ya que, siempre están buscando eso: vulnerabilidades, brechas de seguridad, datos, información, documentos… Recopilan datos por millones y luego los venden en el mercado negro a otros grupos criminales hasta que finalmente se materializan los ataques”, explica Carlos López, especialista en análisis forense digital y coordinador en la empresa de soluciones de seguridad GMS.
Tras exponerse la vulnerabilidad de los datos que manejan las entidades públicas, el Gobierno aceleró el trámite para aprobar una ley de Protección de Datos. Hace cinco meses, cuando Assange fue detenido en la embajada de Ecuador en Londres, el país registro hasta 40 millones de ataques informáticos. Según el ministro de Telecomunicaciones, la nueva norma se ha estado trabajando durante los últimos ocho meses y llevaba tres semanas en el despacho de la Secretaría Jurídica de la Presidencia. Este miércoles llegó a la Asamblea, a donde Michelena deberá acudir para explicar los fallos que han puesto en riesgo la información de toda la ciudadanía.
