Por qué es mejor no ingresar al "Registro Nacional de Infieles" de Ecuador

En los últimos días, en las redes sociales se ha viralizado un llamado "Registro Nacional de Infieles" en Ecuador, por medio de las redes sociales, con el que se incentiva a ingresar datos de otras personas en diferentes enlaces que se distribuyen de manera desorganizada y que acarrean varios riesgos.

Los enlaces de aparentes documentos tipo Excel en Google Docs se comparten en espacios digitales como descripciones de cuentas y en comentarios de videos de TikTok, en medio de varios reportes de parte de usuarios que afirman que algunos de ellos ya no funcionan o han sido dados de baja.

• Un nuevo proyecto sobre Ciberseguridad se discute la Asamblea y propone cambios en educación y posibles sanciones

Además de los enlaces tipo Excel (que se ocupan para ingresar la información de estas supuestas personas infieles), también hay varias páginas web (.com, .ec y .xyz) que se crearon para hospedar portales de consulta de información.

Pero todo esto implica peligros tanto para quienes ingresan a estos portales como para terceras personas.

Peligro de phishing y certificados no válidos

Ola Bini, experto en ciberseguridad de Seguridad Digital EC, expuso en una conversación con PRIMICIAS que el principal riesgo que rodea a este fenómeno viral es el de exponerse a prácticas de phishing.

Es decir, que una página web pretenda ofrecer el servicio de una empresa conocida con el fin de obtener información personal o las credenciales de acceso del sitio legitimo. En este caso, cuentas de Google.

Bini señala que hay varias maneras de camuflar una URL (dirección web), por lo que en general no se puede confiar en cualquier dirección web que uno se encuentre en Internet.

• Ciberseguridad en tiempos de IA: tres expertos alertan que es mejor desconfiar de los chatbots

En una de las páginas revisadas por PRIMICIAS, el navegador (Firefox en este caso) mostró una alerta de que el certificado del sitio web no era válido.

El experto sueco enfatizó que cuando un mensaje de este tipo aparece, entonces la conexión no está protegida.

Además, afirmó que un antivirus no necesariamente protegerá de los riesgos antes mencionados.

Dominios web sospechosos

De su parte Daniel Tenorio, experto en seguridad en bSmart-ESET Ecuador, dijo a PRIMICIAS que su equipo detecto siete enlaces tipo Google Docs y que no pudieron dar con una posible base de datos original.

Tenorio enfatizó que, a su consideración, el mayor peligro de esta tendencia viral es la exposición de datos como el nombre y el lugar de trabajo.

En algunas de estas 'bases de datos' también se incluye la ciudad o provincia de residencia de la persona a la que se pretende exponer o 'denunciar, según pudo observar PRIMICIAS.

• Apenas 6% de empresas de Ecuador y América Latina cree que son capaces de resistir a un ataque cibernético

El experto de bSmart-ESET Ecuador indica que si bien pueda que muchos de esos datos ya sean públicos, el matiz es que estos se exponen en un solo lugar y bajo la premisa de 'exponer' a personas a las que se presenta como "infieles".

Cuando se mencionó la dirección terminada en .xyz, Tenorio señaló que por lo general los dominios con esta terminación están asociadas a lugares con información dudosa o que pueden contener 'malware'.

Además, señala que los dominios .xyz pueden tener bases de datos en la 'deep web'. 

Por último Tenorio comenta que es posible que al acceder a una página web desconocida y se descargue un archivo desde la misma, potencialmente se dé control a los archivos del dispositivo, aunque bSmart-ESET Ecuador no observó este comportamiento en las páginas que revisó.

Vulneración a la privacidad de otros

En Ecuador, existe la Ley Orgánica de Protección de Datos que sanciona, por ejemplo "cuando un responsable del tratamiento no garantiza la confidencialidad o el manejo adecuado de los datos" (artículo 68),  o cuando se "divulgan datos sin medidas de seguridad o sin autorización" (artículo 70).

Además, en la Constitución se indica que cualquier recolección, registro, procesamiento o difusión de datos personales requieren la autorización del individuo del que se comparte información.

En cualquier caso, la Superintendencia de Protección de Datos Personales está autorizada a auditar, investigar y sancionar cualquier vulneración del resguardo apropiado de la información personal.