Ola Bini alerta crisis de ciberseguridad en Ecuador: “Vamos a ver una ola de estafas”

De mediados de abril a la fecha, la Agencia Nacional de Tránsito (ANT) y el Registro Civil han sido el foco de alertas de supuestas filtraciones de información pública, publicadas por organizaciones de la sociedad civil y empresas de ciberseguridad. 

La ANT dijo el 28 de abril "que no existen evidencias de vulneración directa a los sistemas institucionales durante la presente administración", ante la alerta de una supuesta filtración de 17 millones de datos. Mientras que la otra entidad comunicó el 5 de mayo que “al momento no se ha detectado vulneración de datos de los ciudadanos, ni amenazas en el repositorio actual”.

(Le puede interesar: ANT descarta hackeo a sus sistemas y alerta sobre posible estafa con SMS en Ecuador)

No obstante, esas no han sido las únicas alertas que se han difundido en redes sociales, sobre todo, en X. La empresa Vecert Analyser y la organización Usuarios Digitales, que promueve el acceso libre a internet,  reportó y monitoreó, en ese mismo orden, al menos, una decena de supuestas filtraciones de datos de instituciones estatales y empresas privadas en las últimas cuatro semanas.

EXPRESO dialogó con Ola Bini, experto en ciberseguridad, para entender la situación real que enfrenta el país ante una creciente amenaza para la seguridad de ciudadanos e instituciones. El sueco advirtió sobre la aproximación de una 'ola' de estafas.

(Ante un pedido de información de EXPRESO, el Banco del Austro contestó lo siguiente: "Le informamos que se realizó una revisión interna y se han aplicado todas las medidas de seguridad correspondientes. No se ha evidenciado ningún tipo de vulneración".)

P: ¿Cuántas filtraciones han contabilizado desde Seguridad Digital EC, la ONG de la que usted es parte?

R: Sí, hemos catalogado gran cantidad de filtraciones. Hemos visto 10 diferentes filtraciones en dos semanas. La última filtración fue hoy (miércoles), justo hace una hora se lanzó la noticia que Banco del Austro ha tenido una filtración también, pero hemos visto ANT, Banco de Machala, Registro Civil, Cooperativa Pastaza, Mayorista Ambato, Salud S. A., Hospital San Agustín. Entonces hemos visto gran cantidad de filtraciones de ambos: sector público y sector privado.

P: ¿Son los mismos atacantes? ¿Hay un mismo patrón para acceder a la información?

R. Hay una persona que se llama Gordon Freeman que parece que está haciendo algunas de estas filtraciones. Tres o cuatro de las filtraciones vienen de él, pero los otros vienen de otros actores. Entonces no solo es el mismo actor. Lo único que vemos es justo que esta información ha sido ofrecida en el sector oscuro de la web. Pero no sabemos cómo llegaron a tener esta información. Pueden ser insiders (empleados, contratistas o socios de entidades afectadas) , pueden ser ataques desde afuera. Las autoridades no han dicho cómo.

P. El país tiene una tecnología de seguridad de sus datos, de su información, ¿de qué año? Estamos hablando que estamos en el 2026, pero en la realidad, los controles, la infraestructura, las plataformas de seguridad datan de qué año?

R: Es diferente por cada institución, pero lo que yo he visto dentro de ciertas instituciones públicas es que tienen partes de la infraestructura que tienen más de 15 años en edad. Ciertamente esto viene de una situación donde las autoridades no han tenido presupuesto para actualizar los sistemas. Y esto es lo que es necesario para evitar estos ataques. Necesitas tener sistemas protegidos y actualizados.

P. Entonces podemos decir que hay instituciones que tienen un retraso de actualización del sistema de seguridad informático de más de 15 años, más o menos.

R. Esto sí parece ser el caso, sí.

P. Estamos al final de la cola de la seguridad digital en la región...

R. Sí. Sí, lastimosamente estamos atrasados en comparación con muchos otros países. Hace falta recursos. El Súperintendente de Protección de Datos Personales en entrevistas ha dicho que los datos de los ecuatorianos son los más baratos en las redes oscuras (web profunda) porque es tan fácil vulnerar la información de ecuatorianos.

P. ¿Qué tan delicado o riesgoso para un ciudadano común es que un ciberdelincuente termine teniendo sus datos públicos y en lo posterior un tercero que conoce un poco más la realidad local puede hacer uso de esos datos sensibles? ¿Cuál es el riesgo para el ciudadano común?

R. Hay dos diferentes tipos de riesgos. El primer riesgo es robo de identidad. Este es cuando alguien utiliza tu información, tu cédula, tu información biométrica para hacer cosas en tu nombre. Por ejemplo, pueden abrir nuevas líneas de telefonía, quizás pueden abrir una nueva cuenta bancaria, pero no es tuya. 

Entonces, esto es lo más grave porque este es un total robo de todo lo que eres y lastimosamente por la filtración que incluye datos biométricos, cosas como huellas dactilares, esto significa que pueden hacer cosas que en verdad no debería ser posible. La otra cosa que es muy común es la estafa y esto es algo que hemos visto justo por la filtración de datos de ANT. Muchas estafas llegan con número de placa, cédula y todo, y parece muy bien hecho (para pedir dinero). Son muy creíbles estas estafas. Entonces estos son los dos impactos más probables... Vamos a ver una 'ola' de estafas.

P. Y respecto al riesgo grave que existe, que está latente y que en cualquier momento puede activarse cuando alguna banda, hablamos ya en el plano local, se apropia de esta base de datos y comienza a llamar o a contactarse a través del correo electrónico, ¿qué debe de hacer el ciudadano común?

R. La verdad es que ahí no hay mucho que se puede hacer (en el caso de la filtración de datos biométricos, es decir, características físicas de la persona). Una cosa que sí y que funcionaría es cambiar tu número celular. También es importante tener en tu banco notificaciones de todos los movimientos. También se deben cambiar contraseñas y verificar que tienes multifactor de autenticación en todos los lugares. Estas son las medidas más importantes.

P. Me preocupa el hecho de que estemos trasladando esa responsabilidad a quien se puede decir no tiene la culpa de que se hayan filtrado los datos: tanto si estamos hablando de un ataque externo o si hay una complicidad u omisión de algún funcionario público. ¿Quiénes deben de responder? El titular del Ministerio de de Salud, el titular de la ANT, etc.? ¿Qué dice la ley? Hay una ley de protección de datos.

R. La responsabilidad la tienen las instituciones y estas instituciones tienen la la responsabilidad de hablar con la Superintendencia de Protección de Datos Personales. También tienen la responsabilidad de avisar a los titulares cuando hay un fuga de datos de esta manera. Y lastimosamente lo que hemos visto es que las diferentes autoridades no han dicho nada sobre la materia. Todos dicen que las filtraciones no vienen de ellos y lastimosamente sabemos que este no es el caso en ciertas de estas filtraciones.

Muchos veces los abogados dicen (a las instituciones) que deberían comunicar en esta manera para no tomar responsabilidad. Los titulares de los datos tienen el derecho de saber lo que pasó.

P. Entendiendo el panorama: hay falta de transparencia y opacidad en el discurso de las instituciones públicas aludidas y eso hace más difícil encontrar culpables. Pero también se percibe una falta de control y supervisión.

R. La responsabilidad actual viene desde la perspectiva de la Superintendencia de Datos. La superintendencia debe hacer una investigación y debería multar a las entidades en cuestión si han hecho cosas malas. Lastimosamente, la superintendencia no tiene un presupuesto muy grande, solo tienen 1,5 millones de dólares en presupuesto y 9, 10 funcionarios. Entonces, esto significa que no tienen suficiente personal y presupuesto para hacer la investigación de cada una de estas entidades. Entonces, este es un problema porque esa es la entidad que debería hacer este trabajo.

P. En el transcurso de los años, ¿En algún incidente de este tipo se ha logrado identificar a culpables?

R. No conozco ningún caso cuando esto ha pasado. Y esto me lleva a pensar en el caso más grande de filtración de Ecuador, que fue el caso de Novaestrat, que pasó en 2019. La filtración de casi 20 millones de personas de Ecuador. La fiscalía hizo una investigación. No sabemos lo que pasó porque fue archivada.

P: El sistema de inteligencia estatal también tiene responsabilidad en este tema. Se entiende que debe haber una división de ciberseguridad en el Centro de Inteligencia Estratégica (CIES) o algo no está funcionando para prevenir los ataques o filtraciones.

R: Yo no tengo idea lo que hace el centro de inteligencia porque no es público lo que hace. En teoría deberían ayudar a las demás instituciones públicas, pero no estoy seguro.