Durante la última semana se registró la filtración de datos digitales más grande de la historia de Ecuador: la información personal de millones de ecuatorianos estuvo a disponibilidad pública por causa de la acción de la agencia Novaestrat.
Los ecuatorianos en la actualidad se encuentran en una suerte de estado de indefensión digital ante posibles delitos informáticos. La ausencia de un marco legal que proteja sus datos que se encuentran en Internet ocasiona la proliferación de firmas dan 'servicios' como los que ofrecía Novaestrat.
Aunque el Ejecutivo anunció el envío de una Ley de Protección de Datos como respuesta a esa filtración, en la actualidad los delitos informáticos se juzgan a través de lo que dicen otras normas.
El Código Orgánico Integral Penal tipifica algunos delitos que, según las denuncias receptadas en la Fiscalía General del Estado, han sido los más denunciados con respecto a la vulneración de sistemas informáticos.
Los cuatro delitos informáticos con mayor número de denuncias son: el acceso no consentido a un sistema informático, telemático o de telecomunicaciones (tipificado en el artículo 234), el ataque a la integridad de sistemas informáticos (artículo 232), la interceptación ilegal de datos (artículo 230) y la revelación ilegal de bases de datos (artículo 229).
Según el COIP, estas contravenciones pueden ser sancionadas con la privación de la libertad de tres a cinco años.
Novaestrat tomó la información digital de prácticamente todos los ecuatorianos de varias bases de datos de entidades estatales y las migró a una sola base de datos consolidada con la que ofrecía, supuestamente, servicios de marketing digital e inteligencia de mercados.
Un informe de la consultora Deloitte detalla que, con acceso a esta información, es posible que los ecuatorianos estén expuestos a vulnerabilidades que van desde el robo de identidad hasta posibilidades de espionaje comercial.
Si bien es difícil hacer algo contra la actual filtración de datos, hay algunas recomendaciones que se pueden tener en cuenta para prevenir en algo este tipo de eventos.
Robert Chávez, Gerente Senior de Risk Advisory de Deloitte, explica que las empresas pueden tomar algunas medidas para proteger su información:
- Realizar revisiones de seguridad periódicas, sobre todo cuando la empresa tenga aplicaciones que permitan transaccionar a los clientes y las mismas estén disponible en internet.
- Monitoreo de uso, almacenamiento y tránsito de información sensible continuamente.
- Registro y monitoreo de actividades realizadas por administradores que tienen acceso a las base de datos de la empresa.
En cuanto a la protección de información personal, Chávez hace también tres recomendaciones:
- Evitar compartir información sensible en redes sociales (y no permitir que estas la usen públicamente).
- Configurar medidas de seguridad y privacidad en rede sociales y en aplicaciones móviles (por ejemplo desactivar la geolocalización).
- Ser más cautelosos cuando se reciben llamadas solicitando información personal. En caso de ofertas comerciales, que suelen decir que conocen previamente nuestra información, se debe pedir que ellos den los datos y nosotros validarlos (por ejemplo los primeros 5 dígitos de la cédula y nosotros completamos los faltantes).
Lo último