Ecuador: filtración masiva de datos que expone a 20 millones de personas
Con la afirmación de que la información de los ecuatorianos está “protegida y resguardada”, el ministro de Telecomunicaciones, Andrés Michelena, aseguró que se tomaron todos los contingentes frente a la filtración de datos que fue descubierta por la firma extranjera vpnMentor, especializada en sistemas informáticos.
Medios de comunicación internacionales revelaron el pasado lunes 16 de septiembre de 2019 el informe de vpnMentor, el cual expone que datos de 20 millones de ecuatorianos -incluidas personas fallecidas-, fueron filtrados a través de un servidor no asegurado localizado en Miami (EE.UU.), que pertenecería a la empresa ecuatoriana Novaestrat, que provee servicios de análisis de datos, marketing estratégico y desarrollo de software.
La Fiscalía allanó el domicilio del propietario de la firma. Nombres completos, números de cédula, lugar y fecha de nacimiento, dirección de residencia, números telefónicos, registros laborales, historial académico, estado civil y más datos personales sensibles contienen los 18 GB de datos encontrados.
El Gobierno ecuatoriano, que descartó un ataque cibernético, supo del acontecimiento el 11 de septiembre pasado, gracias a la alerta de la compañía vpnMentor, de origen israelí, al Centro de Respuestas a Incidentes Informáticos (Ecucert) de la Agencia de Regulación y Control de Telecomunicaciones (Arcotel). De forma inmediata, mencionó el funcionario, se tomaron acciones para resguardar los datos de los ciudadanos.
“No ha habido un ‘hackeo’ ni ataques a la ciberseguridad del país”, afirmó e indicó que desde ese momento se emprendió una investigación penal, que está en marcha. La información habría sido sustraída de dos o tres instituciones públicas. Además, las personas relacionadas con la empresa señalada como responsable serían exfuncionarias públicas que laboraron durante el régimen anterior, “quienes trabajaban en el sistema de información nacional”, dijo Michelena.
La investigación de vpnMentor menciona que se han visto afectadas cuentas de clientes del Banco del Instituto Ecuatoriano de Seguridad Social (Biess). Ante ello, el ente aclaró que no tiene contrato con Novaestrat, para almacenamiento de datos en servidores externos, ni para ningún otro producto o servicio.
Del sector privado se menciona que fue vulnerada la base de datos de la Asociación de Empresas Automotrices del Ecuador (Aeade), pero el gremio explicó que no levanta, no procesa, ni recaba información financiera o personal de los propietarios de vehículos, así como tampoco de placas, “ni ningún otro tipo (de dato) de carácter personal”. Novaestrat fue fundada en el 2017 y este momento aparece como activa en la Superintendencia de Compañías.
Sus dos socios, que fungen como gerente y presidente, desempeñaron cargos en instituciones como el Banco Nacional de Fomento y en la Secretaría Nacional de Planificación y Desarrollo (Senplades). En esta última institución, el presidente de Novaestrat estuvo involucrado en el proyecto de fortalecimiento del Sistema Nacional de Información, según la web de Senplades. Este Diario intentó comunicarse con Novaestrat a los tres teléfonos de contacto que constan en la ‘Súper’, dos de ellos permanecieron ocupados y en otro contestó una mujer que, en tono molesto, negó que la línea perteneciera a dicha empresa. Dijo desconocer por qué usaron su número. La web de la compañía, así como sus redes sociales, estaban disponibles durante las primeras horas del día, pero luego fueron canceladas. La filtración de información pone en evidencia la fragilidad del país por no tener una ley de protección de datos, pese a que es un derecho establecido en la Constitución. Mientras exista este vacío hay una gran posibilidad de que se presente otro caso de filtración de datos personales, comentó la Cámara de Innovación y Tecnología (Citec), que se mostró preocupada por la seguridad de los ciudadanos.
El presidente Lenín Moreno anunció que enviará un proyecto de Ley de Protección de Datos Personales. Ana María Quiroz, directora de la Citec, explicó que los mayores riesgos se relacionan con la posibilidad de que estafadores podrían usar estos datos para establecer confianza y engañar a las personas; por ejemplo, podrían pretender ser amigos de un familiar que necesita ayuda financiera y respaldar la historia con información personal expuesta para generar confianza.
Otro riesgo es robo de identidad de las personas y fraude financiero para obtener créditos, seguros, servicios a nombre de las personas cuya información fue robada. Además, los datos filtrados podrían reunir suficiente información para obtener acceso a cuentas bancarias y más. Andrés Zules, especialista en ciberseguridad, indica que Novaestrat debería informar si lo ocurrido se produjo por la falta de cuidado o por el ataque a su infraestructura. Mencionó que, de hecho, hay mucha data personal pública y expuesta en Internet, así que no resulta descabellado pensar que esta firma agrupaba esta información pública con información confidencial.