¿Datos de pasajeros en riesgo? Empresa de Transporte de Quito opera con antivirus vencido tras implementar el recaudo único

En medio de un "contexto de amenazas" informáticas, la Empresa Pública Metropolitana de Transporte de Pasajeros de Quito (EPMTPQ) busca desde abril de 2026 adquirir un nuevo sistema de ciberseguridad que proteja de mejor manera a su infraestructura, luego de la implementación del nuevo sistema de pago unificado para el Trolebús, Ecovía y Metro de la capital.

La búsqueda se da después de que en marzo pasado expiró el contrato que la empresa mantenía para estar protegida con un antivirus corporativo. Según señalan documentos publicados en el Portal de Compras Públicas, la protección previa no era suficiente para blindarse de ataques más sofisticados.

El proceso de compra pública aparece actualmente como suspendido.

Un "contexto de amenazas" que rodea al sistema unificado de pasajes

Para justificar la contratación, la Empresa de Pasajeros reconoce que "en el ámbito nacional distintas entidades del sector público ecuatoriano han sido objeto recurrente de incidentes de seguridad informática en los últimos años".

Plataformas de monitoreo de publicaciones en la dark web como VECERT Analyzer han reportado entre abril y mayo de este año presuntas filtraciones de datos a la Agencia Nacional de Tránsito y al Registro Civil. Esta última entidad sufrió una gran brecha de datos en 2019.

"En el caso específico de la EPMTPQ, este contexto de amenazas adquiere mayor relevancia, considerando la ejecución y consolidación de proyectos institucionales estratégicos, tales como el Sistema Integrado de Recaudo (SIR) y otros sistemas de apoyo al core de negocio", indica el informe del estudio de necesidad de contratación.

• Tras la presunta filtración de datos del Registro Civil, ¿qué hacer si sospecha que su información fue robada?

El SIR es el nuevo sistema implementado por el Municipio capitalino para servir como único método de pago para el Metro, Trolebús y Ecovía. Las operaciones del Metro están a cargo de la Empresa Pública Metropolitana Metro de Quito, no de la EPMTPQ.

El Municipio, además, ha puesto como condición la integración del SIR en los buses urbanos para la subida del pasaje a USD 0,40 a partir de enero de 2027.

Para crear una Cuenta Ciudad, que es la que permite ocupar el sistema de recaudo único- los usuarios brindan su información personal y, si lo deciden, datos de tarjetas de débito o crédito para recargas.

¿Qué protección necesita la Empresa de Pasajeros de Quito?

Entre las nuevas necesidades de ciberseguridad de la Empresa de Transporte de Pasajeros está un sistema que permita aislar de manera automática los equipos en caso de que se detecte un ataque de secuestro de datos (ransomware).

Con el nuevo sistema de ciberseguridad, para el que existe un presupuesto referencial de USD 100.000, también se espera tener capacidad para responder a ataques informáticos avanzados implementados con inteligencia artificial.

Adicionalmente, la empresa municipal aspira a contar con una herramienta (NetFlow) que permita detectar flujos de información inusuales.

• Adopción acelerada de la inteligencia artificial y la nube aumenta riesgos de filtración de datos en Ecuador, señalan expertos

Una función con la que la entidad no cuenta hasta la fecha, y que espera integrar con el nuevo contrato, es tener una herramienta de control de contenido, para detectar movimientos de información sensible como:

• Números de tarjetas de crédito
• Números de cuentas bancarias
• Número de pasaportes
• Direcciones
• Números de teléfono
• Listas de correos electrónicos

La red que el Municipio busca proteger en la Empresa de Transporte de Pasajeros está conformada por 80 servidores, 565 computadoras operativas y administrativas, además de 508 buzones de correo electrónico.

En los documentos se indica que sigue vigente otro contrato para un firewall perimetral, adquirido en julio de 2025, que brinda control de accesos y protección de tráfico de red.

PRIMICIAS se contactó en la mañana del 2 de mayo de 2026 con la Empresa de Transporte de Pasajeros para tener su pronunciamiento. Hasta el cierre de este artículo, la institución no ha enviado una respuesta de parte de su área TIC.