La alarma llegó de fuera y el Gobierno, según se dijo oficialmente, la acogió. Se dispuso una investigación en torno al servidor de Novaestrat que contenía los datos de prácticamente la totalidad de los ecuatorianos. Y actualizados a este año. Pero la información oficial dejó muchos cabos sueltos, como la forma en que llegó información recabada por entes públicos a una compañía privada que ofrecía servicios de asesoría, o si había funcionarios del Gobierno actual implicados o, incluso, si las dos alarmas por fuga de datos se relacionan con la decisión de proteger los datos con el proyecto del Data Center. ¿Hay que confiar en vpnMentor? ¿Se están tomando las medidas adecuadas? ¿Estamos listos para asumir una ley de protección de datos?

EXPRESO ha buscado respuestas. Para ello, ha recurrido a un equipo de ecuatorianos que destacó este mes en la ‘Cyberlympics’, una competencia mundial de hackers en la que obtuvieron el puesto tres a nivel de Latinoamérica y el veinte en el ranking global entre 141 países. Ellos destacaron por sus conocimientos en análisis forense digital, malware, explotación de redes, aplicaciones webs, seguridad física y criptografía.

Las respuestas

1) ¿Quién es vpnMentor, la empresa de seguridad que halló la brecha?

“Somos una compañía que ofrece una herramienta honesta y útil al navegar por las VPN y la privacidad web”, explica su página. Se sabe es una firma de Israel, país que destaca en el mapa de expertos en seguridad. ¿Qué saben los especialistas? Fernando Ortiz no tenía a vpnMentor en su radar. “Ahora sé que se trata de una empresa que corre VPN (una tecnología que conecta una o más computadoras a una red privada utilizando Internet) y por lo tanto puede realizar escaneos masivos para identificar brechas de seguridad”, acota. “Es posible que su equipo observara conexiones irregulares y encontrara (sin que fuera su fin) la mina de oro: millones de datos de ecuatorianos”.

2) ¿Se está tratando el verdadero problema o solo los síntomas ?

La mayor parte de los datos filtrados son accesibles hoy y lo han sido por años. El problema de fondo, según Benjamín Flament, no se soluciona con la migración a otros servidores. “Lo primero que hay que resolver es cómo una persona tuvo acceso a bases de datos custodiadas por el Estado, de 5 entidades distintas. Aun si eres del Gobierno estás limitado”. El experto denuncia a páginas como Ecuador Legal, en las que por $ 4 se vende casi toda la data que se imprime en la cédula y sin sanciones. “También está el Registro Civil dando acceso a la misma ‘info’ a través de un API por un costo y supuestamente a empresas que la usarán legalmente”.

3) ¿Se cerró la brecha y los datos ya no están en manos de nadie?

En el entorno digital, siempre que exista una copia de una información es posible que existan más. “Es muy difícil, casi imposible, dar de baja algo y asegurarse de que esta información no esté disponible otra vez”, asegura Andrés Checa. El daño ya está hecho, reflexiona, “ya no puedo cambiar mi nombre, mi número de cédula, mi dirección... Además, decir que se puede borrar esa información de internet es la mentira más grande”. Por eso, este profesional considera que uno de los pasos que se deben dar para empezar a enmendar los errores es “reconocer que el país está en pañales en seguridad informática”.

4) ¿Ley de protección de datos acabará con estos problemas y fugas?

“Primero necesitamos preparar abogados y peritos técnicos en derecho informático. Será la única forma de lograr una ejecución correcta de la ley”, sostiene Jorge Morán. Así mismo considera que, aunque es necesaria, podría ser una barrera para los emprendedores, quienes en sus primeros pasos recolectan información de sus clientes para garantizar su crecimiento. “La ley afectará a cualquier empresa que utilice datos personales de los clientes, independientemente del volumen, la actividad o la digitalización... y la sanción será la misma”. Por lo tanto, también cree que se deberá establecer un tiempo de socialización.

5) ¿Cuál es la lección que le debería quedar a los ecuatorianos?

“Preocuparse por su privacidad. Entender que todos somos valiosos en el mundo del cibercrimen”, es lo primero que señala Manuel Suárez. “Imagine que mañana alguien abre una cuenta a su nombre y saca un préstamo. ¿Le parece grave? Pues la suplantación de identidad es algo que puede suceder con toda la data expuesta en internet”. El especialista expresa que es necesario dejar de ver el problema de la seguridad informática como algo técnico y lejano a las personas. “Así como en la vida real cerramos la puerta para no convertirnos en blanco de delincuentes, debemos hacer lo mismo en la vida virtual. Ser prudentes y conscientes”, concluye.