Un acto tan inofensivo como descargar una aplicación celular para retocar fotos puede ser la vía para que un ciudadano sea víctima de ciberdelincuencia. En lo que va de 2019, la Fiscalía General del Estado (FGE) ha receptado 19 denuncias por revelación ilegal de base de datos.

La mayoría de suscripciones y acuerdos que envuelven a internet cuenta con extensas páginas de contrato. Los usuarios prefieren saltar la lectura y dar clic en el “acepto” para empezar a disfrutar de los beneficios.

A cambio de ello, la plataforma tiene vía libre a sus fotos, correo electrónico, datos personales y familiares e incluso contraseñas bancarias, dice Iván Ortiz, docente de la carrera de Ingeniería en Tecnologías de la Información de la Universidad de Las Américas (UDLA).

Pero esta no es la única manera en que operan las compañías que receptan información personal para uso comercial.

El 16 de septiembre, los investigadores en seguridad de vpnMentor, Noam Rotem y Ran Locar, difundieron a ZDNet que en Ecuador hubo una filtración de 20,8 millones de datos de registros de usuarios alojados en el servidor Elasticsearch, bajo responsabilidad de la compañía ecuatoriana Novaestrat.

Para Alfredo Velazco, de Usuarios Digitales, esta información no fue obtenida en internet sino que, necesariamente, fue responsabilidad de servidores o exservidores estatales.

Y es un hecho. Según Andrés Michelena, titular del Ministerio de Telecomunicaciones, la FGE determinará si hubo personas que, cuando prestaron servicios en la función pública, sustrajeron información.

Por lo pronto, según se conoce, “fueron funcionarios del régimen anterior, que trabajaron en el Banco Nacional de Fomento, Corporación Financiera Nacional, Instituto de Seguridad Social, hospital Carlos Andrade Marín”.

Novaestrat es una compañía con casi tres años de existencia que cuenta con un capital de $ 400, según la Superintendencia de Compañías. Tiene dos accionistas: Agustín Martínez, que funge como presidente; y William Garcés, gerente general. Este último también tiene participación en la empresa Equipos y Procesos GePro, dedicada a la gestión de proyectos y producción en empresas.

Pero no solo eso. Ambos fueron funcionarios de algunas carteras de Estado. Garcés se desempeñó como gerente en la Secretaría Nacional de Comunicación entre 2012 y 2013, además fue gerente del Banco Nacional de Fomento (2014-2016).

Martínez fue programador y analista en la Secretaría de Planificación y Desarrollo (2012-2015), así también laboró en BanEcuador, Secretaría del Agua y en el hospital Carlos Andrade Marín.

Según ZDNet, “hay información que parece haber sido recopilada de fuentes gubernamentales y otra recolectada de bases privadas”.

El ministro Michelena manifestó el 16 de septiembre que por medio de las disposiciones del Gobierno anterior hay información pública que se encuentra alojada en los servidores de varias entidades. “Instituto Ecuatoriano de Seguridad Social (IESS), Servicio de Rentas Internas (SRI), Banco de Fomento, BanEcuador e instituciones que se utilizaban dentro de ciertos sistemas de información política, electoral y de marketing”.

María Paula Romo, ministra de Gobierno, aclaró que varios equipos investigan quiénes son los responsables.

Una de las entidades que velan por garantizar la seguridad de los datos es el Registro Civil (RC).

El vocero de Usuarios Digitales indica que entre esa información se encuentran la huella dactilar de cada ciudadano y su árbol genealógico. En sus palabras, “cobran $ 0,30 por acceso, pero, lastimosamente, el proceso no es transparente. No se exige ningún criterio para permitir el acceso”.

Medios Públicos consultó a la institución sobre este tema. La respuesta: “El Registro Civil tiene convenios con entidades públicas y privadas para la consulta de información. En el caso del sector privado se cobra un valor simbólico que se utiliza para ciertos mantenimientos. La institución cumple con la Política de Seguridad de la Información y cuenta con varios protocolos que permiten garantizar la confidencialidad de la información de nuestros usuarios, por lo que la aseveración de vender la base no es cierta”.

Estos convenios no figuran en los servicios que ofertan en su plataforma web y, aunque se preguntó sobre el costo real, el RC no dio más información al respecto.

Dimitry Bestuzhev, director de Investigación en Latinoamérica de Kaspersky, dijo que los ciberdelincuentes tienen acceso incluso al número IP de las computadoras o el nombre del propietario de la línea de internet, lo que permite también conocer la dirección domiciliaria del ciudadano. Estos datos se obtienen desde las bases que guardan las empresas que brindan el servicio de red.

La legalidad, señaló el docente de la UDLA, se da cuando el ciudadano acepta los términos y condiciones de uso de aplicaciones o servicios web. “Si estamos en un país en donde no existe una ley de protección de datos personales, los proveedores aprovechan ese vacío legal para usar las bases”.

Por ejemplo, la red social Facebook no cobra a los ciudadanos por mantener un perfil personal. Según sus condiciones, se financia con el pago que hacen empresas por publicidad.

“Usamos tus datos personales como ayuda para determinar qué anuncios mostrarte”, dice el contrato, el cual añade que no se muestra la identidad del usuario sino sus gustos y preferencias.

Pero en su política también se aclara que el contenido, comunicaciones y otros datos que se proporcionan cuando alguien abre un perfil son propiedad de la empresa. Dentro de ello, está incluido el lugar donde se toma una foto cuando es publicada en la red social, la ubicación del usuario en tiempo real, sus amigos, familia, fotos, direcciones de trabajo o domicilio, teléfonos personales, etc. (I)