En entrevista con PRIMICIAS, la extitular de la Dinardap, Lorena Naranjo asegura que si bien existe una ley de protección de datos personales, aún no es posible sancionar los delitos cibernéticos. Esto ocurre porque falta una institución que aplique la ley.
Hackeos, filtraciones de datos y ataques cibernéticos han ocurrido en las últimas dos semanas en el país. Por ejemplo, el pasado 14 de julio de 2021 la Corporación Nacional de Telecomunicaciones (CNT) sufrió una vulneración a su sistema informático.
Luego el Ministerio de Salud (MSP) confirmó la filtración de datos a través de una plataforma donde se pretendía transparentar la información sobre la pandemia.
Si bien ambas Carteras de Estado aseguraron que los problemas han sido resueltos, el estado y seguridad de los datos privados siguen preocupando a los expertos.
En entrevista con PRIMICIAS Lorena Naranjo, extitular de la Dirección Nacional de Datos Públicos (Dinardap) y actual directora de la Maestría en Derecho Digital e Innovación de la Universidad de las Américas, explica que tras digitalización masiva los delitos cibernéticos se han proliferado.
"Todo se digitalizó, el trabajo, el estudio, las compras e incluso los procesos, y no solo en Ecuador, sino en todo el mundo", dice Naranjo a propósito de cómo cambió la realidad por la pandemia.
Además indica que si bien el país tiene una ley de Protección de Datos Personales, aprobada en mayo de este año, aún no es posible aplicarla. Dice que la norma debe socializarse durante dos años más y contar con una autoridad o entidad que la haga cumplir.
¿Qué tan protegidos están los datos de los ecuatorianos en las instituciones públicas?
En Ecuador no solo las instituciones públicas, también las privadas, están en un estado de vulnerabilidad sobre seguridad y protección de datos.
Hay un esquema gubernamental de seguridad de la información, pero que tiene una característica: aplica solo a las entidades de la administración pública central. Es decir, solo el Ejecutivo.
Los otros poderes del Estado no tienen el deber de seguir el esquema. Además, solo es un esquema de seguridad, no hay una institución que sancione.
El buen uso de la información sigue dependiendo de la buena fe y del trabajo serio de los funcionarios y autoridades.
"Si la Ley de Protección de Datos Personales, recién aprobada, no empieza a aplicarse seguimos igual que antes".
Lorena Naranjo, exdirectora de Dinardap.
¿Tras la ola de ataques recibidos, Ecuador está listo para enfrentar nuevas vulneraciones?
Todavía no, pues nos faltan profesionales en ciberseguridad. En todo el mundo hacen falta este tipo de profesionales, pero en Ecuador es más evidente, porque como no ha sido un tema prioritario, tampoco existen las suficientes ofertas académicas para especializarse.
¿En redes sociales circulan imágenes de la deep y dark web con supuesta información de usuarios. ¿Esto se puede sancionar en el país?
A nivel penal si se logra demostrar que se trata de hackeos es posible, pero esa es la parte difícil. La mayoría de los ataques son transnacionales, es complicado dar con quién fue el autor del delito o quién está detrás de lo ocurrido.
El primer nivel es saber si se trata de un delito y después de un proceso judicial que nos permita la asignación de responsabilidad.
¿Por qué la recién aprobada Ley de Protección de Datos Personales no puede sancionar los delitos cibernéticos?
La entidad de protección de datos tiene dos años de adaptación, y ese es el primer fallo. Hay una ley, pero no hay la institución, no hay la autoridad, y por ello no se puede sancionar nada.
¿Es posible entonces blindar los datos personales que reposan en las instituciones?
Nunca una casa por más que le pongamos todas las seguridades del mundo va a estar 100% segura. Pero, sí es posible minimizar los riesgos, se puede generar políticas, protocolos y aprobaciones.
Ahora el activo más importante es la información, a ese bien hay que ponerle todas las seguridades, protección y recursos.
Se debe dejar de pensar que lo más valioso es lo físico y entender que lo más valioso son los sistemas informáticos.
El Mintel anunció que quería cambiar la información de las instituciones pública a nubes internacionales más seguras, ¿de qué sirvió migrar antes los datos a CNT si no habían las seguridades necesarias?
Si desde el Mintel toman esa decisión debe ser por algo, pues les acaban de vulnerar su servidor de nube. Que diversifiquemos y ampliemos los alojamientos no está mal, la competencia ayuda a mejorar las condiciones para el usuario final.
Pero también se debe fortalecer nuestras capacidades y nuestras habilidades nacionales.
Mintel también dotará a la CNT de un equipo de expertos en ciberseguridad y creará la Gerencia Nacional de Ciberseguridad, ¿llegan a tiempo estas medidas?
Toda medida en materia de seguridad es indispensable y necesaria, no importa el tiempo. Ahí hay que reconocer que hay un esfuerzo de corrección frente a un tema de seguridad.
Pero, es una decisión que se toma tras el problema.
Sí, lo mismo paso con Novaestrat, y esto ocurre porque el problema de los ataques cibernéticos no ha sido un tema comprendido y dimensionado.
No hay una cultura de protección de datos en el país, y nos está pasando factura llegar tarde a la transformación digital.
¿Qué tipo de información personal es la más sensible en las instituciones públicas?
He escuchado a gente decir: ¿para qué van a proteger esto si con tanta filtración que hemos tenido los delincuentes ya tienen todo?
Esta es una visión muy simplista porque primero pone en evidencia nuestra poca cultura de protección de datos, y también demuestra que hay problemas que no sabemos cómo enfrentarlos.
En cuanto a los datos no solo es un problema público, los mismos datos pueden estar en una entidad privada. Es decir, el Ministerio de Salud tiene datos de enfermedades y esta misma data puede tener un hospital privado o una aseguradora.
También le puede interesar:
Lo último