En lo que respecta al cifrado, o la codificación de los documentos electrónicos y la comunicación en un formato ilegible que pueden ser leídos sólo por las partes interesadas y no por un tercero, mediante el uso de software de cifrado. Existen dos escenarios importantes. El primero son los aspectos internacionales sobre políticas de cifrado, puesto que la regulación de cifrado debe ser global, o al menos, involucrar a los países capaces de producir herramientas de cifrado (Kurbalija, 2014). En este escenario es importante señalar que Ecuador no ha firmado el tratado Wassenaar que limita el uso de criptografía. El segundo aspecto es la implementación de obligaciones legales locales para el cifrado de datos, lo cual hemos visto en los últimos años en Estados Unidos, Europa, Asia y Australia (Room, 2014).

El Código Orgánico Integral Penal (2013), en su artículo 190, sanciona el “descubrimiento o descifrado de claves secretas o encriptadas [y la] violación de seguridades electrónicas, informáticas u otras semejantes” con uno a tres años de prisión, pero también establece salvaguardas para el desciframiento por peritos, en caso de que un juez así lo disponga, en su artículo 145.

---

 Cómo citar este artículo

Delgado, J. A. (2014, noviembre). Cifrado en Gobernanza de Internet en Ecuador: Infraestructura y acceso. Artículo presentado en el Encuentro Nacional de Gobernanza de Internet, Quito, Ecuador. Obtenido de http://delgado.ec/research/es/Gobernanza_Internet_Ecuador_2014.pdf

La ciberseguridad es “el cuerpo de tecnologías, procesos y prácticas destinadas a proteger a las redes, ordenadores, programas y datos de ataques, daño o acceso no autorizado”. Los objetivos generales de seguridad comprenden disponibilidad, integridad y confidencialidad de la información. En este documento nos centraremos principalmente en la ciberseguridad del Estado, dado que otros documentos se abordará el tema de cibercrimen, la protección de datos ciudadanos y la privacidad.

Ecuador, al ser un país en desarrollo, no se había preocupado de desarrollar una infraestructura segura en el ámbito de telecomunicaciones, exceptuando tal vez parte de su infraestructura militar. En 2011, el investigador de seguridad informática Dmitry Bestuzhev, declaraba:

A pesar de que se han hecho esfuerzos, [en Ecuador] todavía no se trabaja en seguridad de manera sistemática con políticas definidas. El Gobierno no tiene un plan de acciones para todas las entidades del país. Muchas veces es el propietario o el administrador del sitio web el que decide qué hacer para que este sea seguro, por ello Ecuador llega a ser un blanco fácil de los atacantes (“Ecuador es un blanco fácil para ataques de hackers”, 2011).

Años después, Bestuzhev, denunció la existencia de una campaña de ciberespionaje en Latinoamérica que buscaba información militar, diplomática y gubernamental desde 2010, habiendo afectado en Ecuador a 280 personas (“Denuncian ciberespionaje en Ecuador”, 2014). En 2013, se produce la filtración de documentos de inteligencia de Estados Unidos que revelan vulneraciones a la privacidad de los ciudadanos,e intromisión en empresas estatales públicas y privadas, en los centros de investigación y desarrollo; y espionaje a las misiones diplomáticas (Greenwald, 2014; Reyes 2014). Se evidencian centros de inteligencia en diferentes territorios que típicamente usan a embajadas como sedes y a inicios de este año, se revela una posible presencia de equipos de inteligencia de señales en la embajada de Estados Unidos en Quito (Appelbaum, 2014b). El Presidente de la República, Rafael Correa, denunció intentos de extracción de información de la presidencia y de las Fuerzas Armadas, posteriormente señaló que el país debe estar preparado para la “guerra cibernética” (“Ecuador denuncia ataques cibernéticos desde Colombia para extraer datos”, 2014).

En los últimos tres años, hemos evidenciado pues un esfuerzo por adaptarse a las nuevas amenazas que supone el entorno digital por parte del estado. Hace poco el Ministerio Nacional de Defensa indicó que considera al espacio cibernético como “vital” para la seguridad del Estado y sus ciudadanos, por lo que anunció el desarrollo de capacidades operativas pertinentes y políticas específicas (“Agenda Política de la Defensa”, 2014). En mayo de 2014, se anunció la inclusión de ciberdefensa dentro del pensum académico (“Formación militar prevé ciberdefensa”, 2014) y en septiembre del mismo año se anunció que en 2015 se pondría en funcionamiento el Comando de Operaciones de Ciberdefensa (“Comando de Operaciones de Ciberdefensa para el 2015, anuncian Fuerzas Armadas de Ecuador”, 2014), el cual contaría con un presupuesto inicial de 8 millones de dólares y se dedicaría principalmente a la protección de infraestructura crítica para las operaciones del Estado. El jefe del Comando Conjunto indicó que

existen países que tienen un gran potencial económico y bélico que han sido afectados por esta amenaza del ciberataque, ciberguerra, el espionaje. Estos pueden ser susceptibles de ser afectados desde cualquier parte del mundo, por ejemplo al control del tráfico aéreo (Garzón, 2014).

Declaraciones similares han sido efectuadas anteriormente por miembros del gabinete. Quien entonces presidiera la Secretaría Nacional de Administración Pública (SNAP), Cristian Castillo, declaró que “la premisa detrás de la política pública siempre ha sido garantizar la soberanía tecnológica [del] país” (“Una minga por la libertad tecnológica”, 2013), esta misma secretaría, mediante su Dirección de Arquitectura Tecnológica y Seguridad de la Información, supervisa la gestión de la seguridad de la información mediante la promulgación de disposiciones, decretos y acuerdos a nivel ministerial.

La SNAP, conjuntamente con el Ministerio de Telecomunicaciones y de la Sociedad de la Información y la Secretaría Nacional de Inteligencia, conformaron en 2011 la Comisión para la Seguridad Informática. Dicha comisión tiene dentro de sus atribuciones “establecer lineamientos de seguridad informática, protección de infraestructura computacional y todo lo relacionado con ésta, incluyendo la información contenida para las entidades de la Administración Pública Central e Institucional”, como tal estableció el Esquema Gubernamental de Seguridad de la Información que deberá ser implementado en su totalidad en febrero de 2015 en todas las instituciones públicas (Acuerdo Ministerial N° 166).

En julio de 2013, probablemente como reacción a las revelaciones de Edward Snowden sobre espionaje masivo, Homero Arellano, que en ese entonces presidía el Ministerio Coordinador de Seguridad, anunció la implementación de procesos de ciberseguridad para combatir el espionaje a altos funcionarios del Estado. Arellano señaló que los procesos de cifrado eran aplicados en las Fuerzas Armadas en épocas de conflicto bélico pero que esta experiencia “podría ser llevada al sector público” (“Estado inicia planes reservados para asegurar comunicaciones entre altos funcionarios y evitar espionaje”, 2013).

Adicionalmente se están empezando a implementar centros de respuesta a incidentes informáticos (Hidalgo, 2011) tanto en instituciones privadas como públicas. La superintendencia de telecomunicaciones ha creado el EcuCERT (OEA, 2014) como un servicio centralizado para todos los sectores, pero especialmente para el sector público.

Ricardo Patiño, cabeza del Ministerio de Relaciones Exteriores, ha declarado el interés de Ecuador sobre “un régimen normativo internacional vinculante que acompañe los procesos de la gobernanza […] la promoción de la ciberpaz y la erradicación de la ciberguerra (“Ecuador debe proteger a Assange y a quienes sacrifican su libertad para informar”, 2014). De la misma manera, es importante considerar que Ecuador estaría considerando adherirse al convenio de Budapest (Stel, 2014), que es el primer instrumento internacional que busca combatir el cibercrimen mediante la armonización de leyes nacionales, la cooperación entre países y la mejoría de técnicas de investigación.

Las intenciones del gobierno incluyen una expansión regional. Siguiendo recomendaciones provistas por varias organizaciones de Sociedad Civil (Burch, 2014c), el Ministerio de Defensa ha anunciado que fortalecerá el trabajo del Centro de Estudios Estratégicos de Defensa, de la Escuela Sudamericana de Defensa del Consejo de Defensa Suramericano de UNASUR, para generar una visión compartida en defensa regional y proyectos de defensa cibernética (“Agenda Política de la Defensa”, 2014). A pesar del interés de las naciones del sur global en crear condiciones para evitar que el ciberespacio sea utilizado como un arma de guerra, estas nociones ni siquiera fueron mencionadas en el documento final de NetMundial (Burch, 2014b).

Existen muchos matices a considerar cuando se trata de la seguridad del Estado. En la Asamblea General de la ONU en 1946, los Estados miembros acordaron que “la libertad de información es un derecho humano fundamental y (…) la piedra angular de todas las libertades a las cuales están consagradas las Naciones Unidas”. Sin embargo, en virtud del derecho internacional de los derechos humanos, los Estados pueden restringir el acceso a la información bajo ciertas excepciones. Por ejemplo, respetar los derechos o la reputación de los demás, proteger la seguridad nacional y el orden público, y proteger la salud o la moral públicas. Sin embargo, cuando apliquen estas excepciones, los gobiernos deben sopesar el daño al interés público (Aaronson, 2014), ya que algunos derechos y libertades podrían verse afectados por las prácticas implementadas por los Estados para, por ejemplo, combatir el ciberterrorismo, esto a pesar de que no exista un caso que, en estricto rigor pueda ser calificado como tal (Reyes, 2014). También es importante considerar que la protección de las comunicaciones de funcionarios públicos debe asegurar al mismo tiempo la transparencia de sus funciones y que los Estados deben ser transparentes sobre el uso y alcance de las leyes y prácticas de vigilancia de las comunicaciones, tal como lo sugieren los Principios Internacionales sobre la Aplicación de los Derechos Humanos a la vigilancia de las Comunicaciones (Necessary and Proportionate, 2014).

En diciembre de 2012, la compañía de tecnología rusa Speech Technology Center reveló que había sido contratado para proveer a Ecuador el servicio de “plataforma de identificación biométrica” capaz de reconocimiento facial y de voz (Kelly et col, 2013). Posteriormente se han realizado denuncias de adquisición de equipos para intercepción de tecnología GSM (Grey, 2013). Aunque las autoridades gubernamentales han declarado que esta tecnología se utilizaría para luchar contra delincuentes, existen denuncias de espionaje a organizaciones ciudadanas durante el ejercicio de sus derechos por parte de la Policía Nacional que no han sido desmentidas hasta la fecha (Ser Publicos Agencia de Comunicacion, 2013).

El 10 de agosto de 2014, entró en vigencia el nuevo Código Orgánico Integral Penal (COIP), que establece como delito la publicación de información reservada (5 a 7 años de prisión), el espionaje, la destrucción de registros (ambos con 7 a 10 años de prisión) y establece mecanismos legales para la interceptación de comunicaciones. Y actualmente se debaten dos leyes que podrían influenciar de una u otra manera el estado de la ciberseguridad, el propuesto Código Orgánico de la Economía Social de los Conocimientos y la Innovación, que incluye cláusulas de uso obligatorio de software libre en todo el sector público y la Ley Orgánica de Telecomunicaciones.

Cómo citar este artículo

Delgado, J. A. (2014, noviembre). Ciberseguridad en Gobernanza de Internet en Ecuador: Infraestructura y acceso. Artículo presentado en el Encuentro Nacional de Gobernanza de Internet, Quito, Ecuador. Obtenido de http://delgado.ec/research/es/Gobernanza_Internet_Ecuador_2014.pdf

La nube informática es un modelo para permitir, desde cualquier lugar y a través de la red, el acceso a un conjunto compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) con un esfuerzo mínimo de gestión así como una mínima interacción con el proveedor del servicio.

Existen tres modelos de servicio que un proveedor de nube informática podría ofertar (Morocho, 2013):

1. Software como servicio (Saas), permite usar aplicaciones previamente instaladas.
2. Plataforma como servicio (PaaS), permite la creación de aplicaciones con herramientas e idiomas previamente definidos por el proveedor.
3. Infraestructura como servicio (IaaS), permite la instalación de cualquier tipo de software en un hardware remoto, también se lo conoce como máquina virtual.

El surgimiento del modelo de software como servicio es una tendencia a nivel mundial por considerarse una solución flexible, escalable, de bajo costo y fácil adopción (Jara, 2012; Zuñiga, 2014:62). Ecuador no es la excepción, en el sector de la pequeña y mediana empresa, por ejemplo, cerca del 40% hace uso de la nube informática (Armijos, 2013) y las páginas más visitadas por los usuarios finales, como Facebook, usualmente incorporan este tipo de servicios.

Este modelo de negocio ha despertado la preocupación de organizaciones comprometidas con la privacidad, ya que los operadores de las nubes podrían usar información privada de sus clientes sin su consentimiento (Kurbalija, 2014), adicionalmente un potencial atacante no tendría que infiltrarse en varios computadores para obtener la información de un grupo de personas, sino sólo en unas pocas (Ramos, 2014). La tendencia al monopolio en el mercado (Burch, 2014b) podría potencializar el número de posibles víctimas de estos ataques, como se ha evidenciado en casos recientes.

Según el fundador de la Free Software Foundation, el SaaS “equivale a ejecutar software que contiene código espía y una puerta trasera universal. Otorga al administrador del servidor un poder injusto sobre los usuarios” (Stallman, 2010). No obstante, es el segundo modelo de negocio más utilizado en el sector del software libre en Ecuador (Delgado, 2014), esto puede ser un claro indicador de su preponderancia de este modelo de negocio, considerando que entre los desarrolladores de software libre se tiene una mayor conciencia sobre los temas de privacidad (Appelbaum, 2014a) y a pesar de ello este modelo persiste como uno de los más importantes.

La adopción masiva de servicios en nube podría suponer que al haber una pérdida de conexión se comprometan una mayor cantidad de servicios, como redacción de texto o incluso cálculo simplificado (Kurbalija, 2014). La problemática de interoperabilidad entre nubes se volverá crítica, podría ser necesaria la creación de un nuevo estándar para mantener una correcta funcionalidad, así como para un mayor nivel de seguridad (Kurbalija, 2014; Fox et col., 2009).

Las revelaciones de Snowden han mitigado la migración a servicios en la nube, entre aquellas empresas que todavía no han adoptado este servicio (NTT Communications, 2014), la razón es que no existe suficiente confianza sobre la privacidad de los usuarios y la seguridad de la información, esta es también la principal preocupación en Ecuador (Infantino, 2014). Según el ex-analista de la CIA, una forma en que los proveedores podrían recuperar a sus clientes es ofrecer sistemas en los cuales estos no puedan obtener acceso alguno a la información (Meyer, 2014). Este tipo de servicio se daría en una nube privada (Iaas).

A fin de aumentar el nivel de seguridad en la nube se debería también asegurar el cifrado en la transmisión de datos, entre otras características (Ramos, 2014; Morocho, 2013). La ubicación de los servidores también es una característica importante para los usuarios. En el sector privado, apenas un 5% de quienes toman las decisiones sobre TIC piensa que la ubicación de los servidores es intrascendente, de hecho entre el 92 – 97% refiere preferir que estos se encuentren en su propia región (NTT Communications, 2014). Esto también es cierto para los gobiernos, dado que la mayoría de granjas de servidores se encuentran en Estados Unidos (Kurbalija, 2014).

En noviembre de 2013, el en ese entonces Secretario Nacional de la Administración Pública, Cristian Castillo, declaró que “la premisa detrás de la política pública [ecuatoriana] siempre ha sido garantizar la soberanía tecnológica” (“Una Minga por la Libertad Tecnológica”, 2013), el reglamento emitido por la misma institución prohíbe a los servidores públicos el uso de nubes ubicadas fuera del territorio nacional.²⁰

Si bien es cierto que la seguridad informática es la principal preocupación, también debe considerarse la importancia de otras áreas como la gestión de la identidad, la gestión del control de acceso, la seguridad forense, la virtualización, la computación distribuida, entre otras (Salazar, 2013).

El 16 de marzo de 2010, se presentó ante la Asamblea Nacional el proyecto de “Ley de Protección a la Intimidad y a los Datos personales”, el Legislativo resolvió su archivo por considerar que varias de las normas propuestas ya constan en la Constitución y en la legislación secundaria existente (Ley Orgánica de Garantías Jurisdiccionales y Control Constitucional, Ley de Transparencia y Acceso a la Información Pública), esto a pesar de que la propia constitución señala que debe existir una ley de protección a datos privados en registros públicos (“Asamblea Nacional archiva el proyecto de Ley de Protección a la Intimidad y a los Datos Personales”, 2010).

Debido a la falta de una regulación específica para la Nube, los contratos o acuerdos de Nivel de Servicio representan el principal elemento de cumplimiento. Salazar (2013:108) propone una serie de principios para ser incluidos en un nuevo marco regulatorio específico para Ecuador, que abarque la protección de datos en la Nube:

Aprobación: Considerar si el tratamiento de datos necesita el consentimiento del titular, responsable de los datos, interesado de los datos, etc.

Delimitación de responsabilidades: Esclarecer cuáles son las responsabilidades específicas de las partes en un servicio de Cloud Computing.

Finalidad: Cual será la finalidad determinada para utilizar la plataforma de Cloud Computing, y si debe o no extenderse hacia otra finalidad.

Seguridad: Qué medidas técnicas y organizativas deben adoptarse para el tratamiento de datos en un entorno de Cloud. Si es posible establecerlo como un requisito para los proveedores de la Nube.

Transferencias Internacionales: Cómo debería realizarse el flujo transfronterizo de los datos personales y los niveles de protección que deben presentar los involucrados. Qué se reconoce por un adecuado nivel de protección.

Intervención de terceras partes que afecten el tratamiento de los datos: Qué requisitos deben cumplir las terceras partes cuando intervengan en un ambiente de Nube. Comunicación al cliente de quienes intervienen en el tratamiento de datos en la Nube.

Comunicación: Comunicación a los clientes acerca de todos los cambios y modificaciones importantes que se den en la plataforma de la Nube, que afecten el servicio, siendo claros y transparentes.

Indemnizaciones, garantías y sanciones: Cómo retribuyen los proveedores de servicios de la Nube al cliente en el caso de provocarle daños irreparables en el tratamiento de los datos.

Propiedad intelectual: Cómo se interpreta la propiedad intelectual de los datos colocados en una infraestructura de Nube. Qué sanciones se colocarían al mal uso o abuso de contenido con derechos de autor.

La responsabilidad de desarrollar este marco regulatorio, según la normativa actual, recaería sobre la Dirección de Regulación, Integración y Control de la Subsecretaría de Informática de la Secretaría Nacional de Administración Pública.²¹

Notas al pie

20 Se prohíbe expresamente a las entidades de la Administración Pública la contratación, acceso y uso de servicios de correo electrónico en la Internet (Nube), para uso institucional o de servidores públicos, con empresas privadas o públicas cuyos centros de datos, redes (salvo la Internet), equipos, software base y de gestión de correo electrónico y cualquier elemento tecnológico necesario, se encuentren fuera del territorio nacional; y adicionalmente, si las condiciones de los servicios que tales empresas prestaren no se someten a la Constitución y Leyes Ecuatorianas.
21 Según acuerdo ministerial número 119, publicado en registro oficial el 1 de agosto de 2007, dentro de sus atribuciones y responsabilidades está “Preparar proyectos de leyes y reglamentos para la regulación, control, evaluación y seguimiento de los proyectos informáticos; así como para el acceso a al [SIC] información”.

---

Cómo citar este artículo

Delgado, J. A. (2014, noviembre). Nube informática en Gobernanza de Internet en Ecuador: Infraestructura y acceso. Artículo presentado en el Encuentro Nacional de Gobernanza de Internet, Quito, Ecuador. Obtenido de http://delgado.ec/research/es/Gobernanza_Internet_Ecuador_2014.pdf