Adopción acelerada de la inteligencia artificial y la nube aumenta riesgos de filtración de datos en Ecuador, señalan expertos

Las recientes alertas de presuntas filtraciones de datos de entidades gubernamentales como el Registro Civil y la Agencia Nacional de Tránsito en Ecuador, así como reportes que señalan aparentes vulneraciones a empresas privadas, han ubicado a la ciberseguridad y a la protección de datos personales en el debate público en el país.

Según plataformas de monitoreo de publicaciones en foros de ciberdelincuentes en la 'dark web', actores maliciosos afirman haber extraído 17 millones de datos de identidad y de vehículos de la ANT, así como 10,6 millones de fotografías en alta calidad presuntamente vinculadas a cédulas de identidad, atribuidas a bases de información de la Dirección General de Registro Civil, Identificación y Cedulación (DGRCIC).

La compañía estadounidense de ciberseguridad VECERT Analyzer señaló el 5 de mayo de 2026, un día después de reportada la presunta filtración del Registro Civil, que la información del DGRCIC expuesta por el usuario identificado como 'GordonFreeman' en realidad se podría tratar de datos supuestamente extraídos del Ministerio de Salud Pública, que fueron ofrecidos en foros en agosto de 2025.

• Tras la presunta filtración de datos del Registro Civil, ¿qué hacer si sospecha que su información fue robada?

Tanto desde la ANT como desde el DGRCIC se dicho a la ciudadanía que han activado sus protocolos de seguridad, que no han detectado vulneración a sus infraestructuras recientemente y que indagan "posibles fuentes externas, como registros históricos o integraciones con terceros".

Expertos advierten un aumento de riesgos informáticos en Ecuador

En este contexto, en el que también se han reportados supuestas brechas a una cooperativa, una empresa proveedora de internet, un banco, una empresa de entretenimiento, otra de transporte y más en los últimos meses, expertos de la empresa de ciberseguridad ESET advierten de un incremento de riesgo de ransomware y fuga de información en Ecuador.

"Los recientes incidentes de ciberseguridad reportados en diferentes sectores del país vuelven a poner sobre la mesa un desafío crítico para las organizaciones ecuatorianas: la necesidad de fortalecer sus capacidades de prevención, respuesta y continuidad operativa frente a amenazas cada vez más sofisticadas", señalan desde ESET.

• ¿Qué precauciones tomar ante la presunta filtración de 17 millones de datos de la ANT?

En concreto, los expertos de esta multinacional presente en más de 200 países apuntan a que el crecimiento acelerado de la digitalización, la adopción de servicios en la nube y el uso intensivo de herramientas de inteligencia artificial amplían activamente y de forma significativa la exposición de empresas e instituciones.

"El problema nunca empieza el día del ataque. Empieza mucho antes, cuando las organizaciones postergan decisiones críticas de preparación pensando que un incidente probablemente nunca ocurrirá", añade ESET.

Inteligencia artificial y nube ¿sin la seguridad adecuada?

Hise O. Gibson, profesor titular en la Unidad de Gestión de Tecnología y Operaciones de la Escuela de Negocios de Harvard, cita un reporte de la consultora de servicios tecnológicos Accenture para indicar que, en Estados Unidos, el 77% de las organizaciones carecen de practicas de seguridad básicas de información e inteligencia artificial necesarias para proteger infraestructura tecnológica crítica.

Un reporte de IBM publicado en julio de 2025 señala que el 63% de las organizaciones en el mundo carecen de políticas de gobernabilidad para el manejo de la IA, que prevengan el uso no autorizado o controlado de chatbots, una conducta que en la industria se conoce como 'shadow AI'.

• Entregar copias de la cédula de identidad en Ecuador puede implicar riesgos; conozca cómo manejar su información

En esta conducta también se incluye el uso no controlado de la inteligencia artificial por parte de desarrolladores para crear programas en los que la IA puede incluir protocolos externos para el tratamiento y transmisión de información (APIs). 

Precisamente en una de las filtraciones reportadas en los últimos días se habla de una presunta extracción de datos gracias a una API no protegida.

Respecto a la adopción de la nube, la asociación de auditorias de sistemas informáticos ISACA apunta a que muchas compañías suelen relajarse en cuanto a la protección de sus datos al asumir que al poner esa información en la nube, son proveedores como Google, Amazon o Microsoft quienes se encargan de toda la seguridad, dando menos prioridad a quiénes y por qué medios tienen acceso a información sensible.