La ciberseguridad es “el cuerpo de tecnologías, procesos y prácticas destinadas a proteger a las redes, ordenadores, programas y datos de ataques, daño o acceso no autorizado”. Los objetivos generales de seguridad comprenden disponibilidad, integridad y confidencialidad de la información. En este documento nos centraremos principalmente en la ciberseguridad del Estado, dado que otros documentos se abordará el tema de cibercrimen, la protección de datos ciudadanos y la privacidad.

Ecuador, al ser un país en desarrollo, no se había preocupado de desarrollar una infraestructura segura en el ámbito de telecomunicaciones, exceptuando tal vez parte de su infraestructura militar. En 2011, el investigador de seguridad informática Dmitry Bestuzhev, declaraba:

A pesar de que se han hecho esfuerzos, [en Ecuador] todavía no se trabaja en seguridad de manera sistemática con políticas definidas. El Gobierno no tiene un plan de acciones para todas las entidades del país. Muchas veces es el propietario o el administrador del sitio web el que decide qué hacer para que este sea seguro, por ello Ecuador llega a ser un blanco fácil de los atacantes (“Ecuador es un blanco fácil para ataques de hackers”, 2011).

Años después, Bestuzhev, denunció la existencia de una campaña de ciberespionaje en Latinoamérica que buscaba información militar, diplomática y gubernamental desde 2010, habiendo afectado en Ecuador a 280 personas (“Denuncian ciberespionaje en Ecuador”, 2014). En 2013, se produce la filtración de documentos de inteligencia de Estados Unidos que revelan vulneraciones a la privacidad de los ciudadanos,e intromisión en empresas estatales públicas y privadas, en los centros de investigación y desarrollo; y espionaje a las misiones diplomáticas (Greenwald, 2014; Reyes 2014). Se evidencian centros de inteligencia en diferentes territorios que típicamente usan a embajadas como sedes y a inicios de este año, se revela una posible presencia de equipos de inteligencia de señales en la embajada de Estados Unidos en Quito (Appelbaum, 2014b). El Presidente de la República, Rafael Correa, denunció intentos de extracción de información de la presidencia y de las Fuerzas Armadas, posteriormente señaló que el país debe estar preparado para la “guerra cibernética” (“Ecuador denuncia ataques cibernéticos desde Colombia para extraer datos”, 2014).

En los últimos tres años, hemos evidenciado pues un esfuerzo por adaptarse a las nuevas amenazas que supone el entorno digital por parte del estado. Hace poco el Ministerio Nacional de Defensa indicó que considera al espacio cibernético como “vital” para la seguridad del Estado y sus ciudadanos, por lo que anunció el desarrollo de capacidades operativas pertinentes y políticas específicas (“Agenda Política de la Defensa”, 2014). En mayo de 2014, se anunció la inclusión de ciberdefensa dentro del pensum académico (“Formación militar prevé ciberdefensa”, 2014) y en septiembre del mismo año se anunció que en 2015 se pondría en funcionamiento el Comando de Operaciones de Ciberdefensa (“Comando de Operaciones de Ciberdefensa para el 2015, anuncian Fuerzas Armadas de Ecuador”, 2014), el cual contaría con un presupuesto inicial de 8 millones de dólares y se dedicaría principalmente a la protección de infraestructura crítica para las operaciones del Estado. El jefe del Comando Conjunto indicó que

existen países que tienen un gran potencial económico y bélico que han sido afectados por esta amenaza del ciberataque, ciberguerra, el espionaje. Estos pueden ser susceptibles de ser afectados desde cualquier parte del mundo, por ejemplo al control del tráfico aéreo (Garzón, 2014).

Declaraciones similares han sido efectuadas anteriormente por miembros del gabinete. Quien entonces presidiera la Secretaría Nacional de Administración Pública (SNAP), Cristian Castillo, declaró que “la premisa detrás de la política pública siempre ha sido garantizar la soberanía tecnológica [del] país” (“Una minga por la libertad tecnológica”, 2013), esta misma secretaría, mediante su Dirección de Arquitectura Tecnológica y Seguridad de la Información, supervisa la gestión de la seguridad de la información mediante la promulgación de disposiciones, decretos y acuerdos a nivel ministerial.

La SNAP, conjuntamente con el Ministerio de Telecomunicaciones y de la Sociedad de la Información y la Secretaría Nacional de Inteligencia, conformaron en 2011 la Comisión para la Seguridad Informática. Dicha comisión tiene dentro de sus atribuciones “establecer lineamientos de seguridad informática, protección de infraestructura computacional y todo lo relacionado con ésta, incluyendo la información contenida para las entidades de la Administración Pública Central e Institucional”, como tal estableció el Esquema Gubernamental de Seguridad de la Información que deberá ser implementado en su totalidad en febrero de 2015 en todas las instituciones públicas (Acuerdo Ministerial N° 166).

En julio de 2013, probablemente como reacción a las revelaciones de Edward Snowden sobre espionaje masivo, Homero Arellano, que en ese entonces presidía el Ministerio Coordinador de Seguridad, anunció la implementación de procesos de ciberseguridad para combatir el espionaje a altos funcionarios del Estado. Arellano señaló que los procesos de cifrado eran aplicados en las Fuerzas Armadas en épocas de conflicto bélico pero que esta experiencia “podría ser llevada al sector público” (“Estado inicia planes reservados para asegurar comunicaciones entre altos funcionarios y evitar espionaje”, 2013).

Adicionalmente se están empezando a implementar centros de respuesta a incidentes informáticos (Hidalgo, 2011) tanto en instituciones privadas como públicas. La superintendencia de telecomunicaciones ha creado el EcuCERT (OEA, 2014) como un servicio centralizado para todos los sectores, pero especialmente para el sector público.

Ricardo Patiño, cabeza del Ministerio de Relaciones Exteriores, ha declarado el interés de Ecuador sobre “un régimen normativo internacional vinculante que acompañe los procesos de la gobernanza […] la promoción de la ciberpaz y la erradicación de la ciberguerra (“Ecuador debe proteger a Assange y a quienes sacrifican su libertad para informar”, 2014). De la misma manera, es importante considerar que Ecuador estaría considerando adherirse al convenio de Budapest (Stel, 2014), que es el primer instrumento internacional que busca combatir el cibercrimen mediante la armonización de leyes nacionales, la cooperación entre países y la mejoría de técnicas de investigación.

Las intenciones del gobierno incluyen una expansión regional. Siguiendo recomendaciones provistas por varias organizaciones de Sociedad Civil (Burch, 2014c), el Ministerio de Defensa ha anunciado que fortalecerá el trabajo del Centro de Estudios Estratégicos de Defensa, de la Escuela Sudamericana de Defensa del Consejo de Defensa Suramericano de UNASUR, para generar una visión compartida en defensa regional y proyectos de defensa cibernética (“Agenda Política de la Defensa”, 2014). A pesar del interés de las naciones del sur global en crear condiciones para evitar que el ciberespacio sea utilizado como un arma de guerra, estas nociones ni siquiera fueron mencionadas en el documento final de NetMundial (Burch, 2014b).

Existen muchos matices a considerar cuando se trata de la seguridad del Estado. En la Asamblea General de la ONU en 1946, los Estados miembros acordaron que “la libertad de información es un derecho humano fundamental y (…) la piedra angular de todas las libertades a las cuales están consagradas las Naciones Unidas”. Sin embargo, en virtud del derecho internacional de los derechos humanos, los Estados pueden restringir el acceso a la información bajo ciertas excepciones. Por ejemplo, respetar los derechos o la reputación de los demás, proteger la seguridad nacional y el orden público, y proteger la salud o la moral públicas. Sin embargo, cuando apliquen estas excepciones, los gobiernos deben sopesar el daño al interés público (Aaronson, 2014), ya que algunos derechos y libertades podrían verse afectados por las prácticas implementadas por los Estados para, por ejemplo, combatir el ciberterrorismo, esto a pesar de que no exista un caso que, en estricto rigor pueda ser calificado como tal (Reyes, 2014). También es importante considerar que la protección de las comunicaciones de funcionarios públicos debe asegurar al mismo tiempo la transparencia de sus funciones y que los Estados deben ser transparentes sobre el uso y alcance de las leyes y prácticas de vigilancia de las comunicaciones, tal como lo sugieren los Principios Internacionales sobre la Aplicación de los Derechos Humanos a la vigilancia de las Comunicaciones (Necessary and Proportionate, 2014).

En diciembre de 2012, la compañía de tecnología rusa Speech Technology Center reveló que había sido contratado para proveer a Ecuador el servicio de “plataforma de identificación biométrica” capaz de reconocimiento facial y de voz (Kelly et col, 2013). Posteriormente se han realizado denuncias de adquisición de equipos para intercepción de tecnología GSM (Grey, 2013). Aunque las autoridades gubernamentales han declarado que esta tecnología se utilizaría para luchar contra delincuentes, existen denuncias de espionaje a organizaciones ciudadanas durante el ejercicio de sus derechos por parte de la Policía Nacional que no han sido desmentidas hasta la fecha (Ser Publicos Agencia de Comunicacion, 2013).

El 10 de agosto de 2014, entró en vigencia el nuevo Código Orgánico Integral Penal (COIP), que establece como delito la publicación de información reservada (5 a 7 años de prisión), el espionaje, la destrucción de registros (ambos con 7 a 10 años de prisión) y establece mecanismos legales para la interceptación de comunicaciones. Y actualmente se debaten dos leyes que podrían influenciar de una u otra manera el estado de la ciberseguridad, el propuesto Código Orgánico de la Economía Social de los Conocimientos y la Innovación, que incluye cláusulas de uso obligatorio de software libre en todo el sector público y la Ley Orgánica de Telecomunicaciones.

Cómo citar este artículo

Delgado, J. A. (2014, noviembre). Ciberseguridad en Gobernanza de Internet en Ecuador: Infraestructura y acceso. Artículo presentado en el Encuentro Nacional de Gobernanza de Internet, Quito, Ecuador. Obtenido de http://delgado.ec/research/es/Gobernanza_Internet_Ecuador_2014.pdf