Las cifras que publica mensualmente el Centro estatal de Respuesta a Incidentes Informáticos (EcuCert) determinan que entre mayo y julio los incidentes de ciberseguridad apenas sumaron 1.036 casos. Sin embargo, aquel número saltó en agosto. Solo en ese mes hubo 9.021 reportes. En lo que va del año, el registro más alto había ocurrido en enero: 3.208 ataques. El más bajo hasta abril fue de 1.754.

¿Algo incidió en los descensos en esos tres meses? Especialistas consultados por EXPRESO no lo tienen claro. Sin embargo, salta una pregunta: ¿Será que la aprobación de la nueva Ley de Protección de Datos Personales el 28 de mayo generó algún tipo de recelo en la ciberdelincuencia?

Podría ser. Sin embargo, las cifras de agosto determinan que ni con la vigencia de la nueva ley es suficiente. Por lo menos así opina el asambleísta Daniel Noboa Azín, presidente de la comisión de Desarrollo Económico Productivo, quien la semana pasada salió al paso de un nuevo ataque cibernético en una entidad financiera.

Convocó ante los miembros de su comisión a los representantes de organismos como las superintendencias de Bancos, de Compañías, de la Dirección Nacional de Registro de Datos Públicos, de la CNT, Asobanca y de las concesionarias de telefonía móvil e Internet, en busca de una respuesta de lo que está sucediendo en el país.

“No es justo para los ecuatorianos enfrentarse con la impotencia y falta de apoyo por parte de las autoridades ante casos de suplantación de identidad o robo de datos y dinero a través de cuentas bancarias o tarjetas de crédito”, menciona este asambleísta, quien asegura que en su momento también fue víctima de la inseguridad cibernética que existe en el país, tras sufrir el robo de su información digital.

Noboa habla de la necesidad de contar con una Agencia de Protección de Datos, a pesar de que la nueva Ley sí determina la creación de un ente de control, como lo es la Superintendencia de Protección de Datos. Aunque el nuevo régimen legal no determina fecha de cuándo debe ser estructurado este ente.

“Ese es un problema”, precisa Zaida Rovira, miembro del colectivo ‘Mis Datos me Pertenecen’. “Mientras no se conforme la Superintendencia, no tenemos nada que nos proteja. El Ejecutivo debe nombrar una terna para que se designe al superintendente de Protección de Datos y ni siquiera sabemos si se está trabajando en esto”.

Rovira concuerda con Noboa en la necesidad de un ente, pero en su caso, ella propone la inmediata conformación de esa superintendencia y en adelantar el régimen sancionatorio, el cual, según la nueva ley, deberá entrar en vigencia en mayo de 2023.

Por su parte, Juan José Nugué, un abogado especialista en asuntos informáticos, cree que el tiempo que se dio para que entre a regir el régimen sancionatorio, que aplica acciones administrativas a las empresas que incumplan con la protección de datos que los usuarios les entregan, es el adecuado.

“Es verdad que los ecuatorianos no podemos estar expuestos a nuevos y más ataques de este tipo, sin embargo, adaptarse a un nuevo régimen como el que impondrá la nueva ley de datos, sí les implica a las empresas que resguardan o custodian datos personales, inversiones fuertes en activos tecnológicos”, mencionó Nugué.

Esto también lo precisa Alejandro Varas, vinculado al tema de la protección de datos y negocios digitales. Él asegura que no es cuestión solo de depurar una base de datos. “Se deben desarrollar una serie de medidas técnicas, culturales y organizacionales para entender el objetivo del almacenamiento y tratamiento de los datos recopilados por una empresa y entender los límites de la privacidad y los criterios de seguridad tecnológica que implementar”.

Nugué sí considera que una de las cosas que se debe hacer, por el bien de los ecuatorianos, es que la información acerca de los ciberataques se manejen con total transparencia . “Que se especifique con exactitud lo que ha ocurrido. Y se dé la tranquilidad adecuada a los usuarios”. Algo, que asegura, no ocurre. “Esto genera desconfianza en usuarios y clientes”.

En su caso, aseguró que aún no sabe con exactitud qué pasó con el ataque a la CNT, por ejemplo.

• El ataque a la CNT.

En el reconocimiento oficial del ataque informático del 16 julio, la CNT informaba que los datos de sus clientes, masivos y corporativos, se encontraban debidamente resguardados.

• Ataques en agosto.

Según la información que recoge la EcuCert, ese mes hubo 1.188 de vulnerabilidades en los sistemas digitales. Un total de 10.209 eventos notificados.