Por: Santiago Cadena.
La información es uno de los activos más importantes para los gobiernos tecnócratas desde una perspectiva sociotécnica, caracterizada por el uso generalizado de las tecnologías de la información y el acceso a multitud de servicios, aplicaciones y plataformas de interacción virtual.
Las denuncias de cómo los Estados y sus funcionarios de diversos niveles técnico administrativos y utilizan, fugan, revenden, redistribuyen datos personales para fines muy diversos, comercializar productos, investigación de mercado, planificación, vigilancia, venta de seguros o simplemente para medir o direccionar decisiones políticas.
Hace poco la administración de Lenín Moreno ha tenido su propio Cambridge Analytica y no una vez, primero fueron los datos del Registro Civil, Banco del Instituto Ecuatoriano de Seguridad Social (BIESS) y del parque automotor, luego el historial laboral del Instituto Ecuatoriano de Seguridad Social (IESS), seguro de vida y hasta se encontró 6,77 millones de datos de niños, niñas y adolescentes. Estas entradas contenían nombres, cédulas, lugares de nacimiento, domicilios y género (ver tabla de datos fugados). 20 millones de ecuatorianos han sido vulnerados de su derecho a la privacidad, aunque el país apenas tenga 17 millones de habitantes, La mayor fuga de datos en la historia del Ecuador, incuso en la región y sus secuelas las seguiremos viviendo en el futuro.
La reacción de las autoridades y de los medios de comunicación fue, que desde tiempo atrás nuestros datos ya estaban comercializándose en la red. Pero se debe marcar una diferencia, no es lo mismo una fuga de información, un hackeo, un robo de perfiles, que una entrega por parte del Estado de los datos de millones de usuarios ecuatorianos.
Sí, el Estado, de una manera “legal” entregó los datos a la compañía ecuatoriana Novaestrat* dedicada al marketing digital de datos y los poseía en un servidor en la ciudad de Miami.
Su servidor permitía hacer una recolección de información de ciudadanos ecuatorianos, hacer consultas a ficheros, extraer sus bases de datos, logs, y centralizar de esa manera información útil para lo que ellos denominaban en su slogan «toma las decisiones financieras con información actualizada de todo el Sistema Financiero Ecuatoriano».
Novaestrat no era cualquier empresa, ellos constaban en el Registro Único de Proveedores del Estado ecuatoriano, entonces la deducción es simple, venían recopilando esa información privada, para mercantilizarla después sin ningún tipo de consentimiento de sus propietarios y sin ninguna capa de seguridad o protección al front-end.
El Ecuador posee un Código Orgánico de la Economía Social de los Conocimientos, Creatividad e Innovación, el que con todas las deficiencias mantiene en su artículo 146, sobre la localización de datos y dice lo siguiente: “Cuando las entidades del sector público contraten servicios de software u otros que impliquen la localización de datos, deberán hacerlo con proveedores que garanticen que los datos se encuentren localizados en centros de cómputo que cumplan con los estándares internacionales en seguridad y protección…” Una empresa de marketing como Novaestrat mostró a todas luces que la política de proteger los datos no fue ni quiso ser una prioridad; las consultas a las bases de datos de millones de ecuatorianos se las podía realizar sin problemas y sin restricciones desde cualquier celular.
Entonces podemos deducir que si a través de una llamada telefónica te venden un producto o servicio no solicitado ya sabemos por que es; por ejemplo con esa información de ingresos, lugar de residencia y vehículo de su propiedad, se puede determinar su capacidad de compra, hacer un perfil para vender a una empresa de mercadeo en el mejor de los casos, para fines delincuenciales en el peor de los casos; ejemplo con una llamada amenazante pueden decirte que tienen secuestrado a tu hijo/a (información que se filtró, con edad, sexo año de nacimiento) o para hacer un seguimiento desde tu vivienda hacia tus rutinas.
La ciudadanía debería exigir sanciones drásticas para los responsables de esta filtración, que se cumpla el Código Orgánico que en su artículo 628 en el literal 27 dice…Sin perjuicio de las excepciones previstas en la ley, el tratamiento de datos personales que incluya acciones tales como la recopilación, sistematización y almacenamiento de datos personales, requerirá la autorización previa e informada del titular.
Los datos son el nuevo petróleo
Definitivamente esto debió ocurrir para entender la importancia de disponer de un protocolo de buenas prácticas, para la información clasificada, confidencial, pública y sensible. Del mismo modo generar una cultura informativa para que el usuario valore su privacidad digital.
La información privada es cada vez más valiosa en los mercados, de ahí la importancia de protegerlos, anonimizar, usar firewalls, escanear con NMAP los puertos, hacer pruebas de penetración o solicitar que expertos lo hagan, tener un protocolo de SGSI (Sistema de Gestión de la Seguridad de la Información), curiosamente todo lo mencionado, son luchas que enarbolaba el sueco Ola Bini que fue detenido en Ecuador por un supuesto ataque a sistemas informáticos del gobierno. Ahora sabemos (como lo demostró Bini) que con unos simples clics, o con las palabras de búsqueda adecuadas en google se podía acceder a todos los datos expuestos sin seguridad (google hacking).
La solución no es acudir a las grandes corporaciones, los escándalos de abuso a la privacidad vienen de los gigantes como Facebook y Microsoft. Hoy Andrés Michelena ministro de Telecomunicaciones y de la Sociedad de la Información ha entablado un acuerdo de “asesoría” en temas de conectividad, ciberseguridad y protección de datos personales con la multinacional Microsoft, gracias a Snowden sabemos que estas corporaciones filtran la información a la Agencia Central de Inteligencia (CIA), a la Agencia de Seguridad Nacional (NSA).
Tampoco pasa por culpar al gobierno anterior como fue posicionada mediáticamente la respuesta. La empresa israelí vpnMentor manda un tweet que deja claro esto.
Resulta que la filtración de información que revelamos hace dos semanas es solo la punta del iceberg, y se descubre mucha más información, incluidos los salarios mensuales actualizados para agosto de 2019, el seguro de vida y una gran cantidad de datos superprivados por el gobierno que no deberían exponerse.
Informamos que la información probablemente fue pirateada a principios de 2019, y que el sistema en el que se encuentra está completamente abierto para cualquier persona con un navegador. Esta vez, no puedes culpar al gobierno anterior…
El régimen de Lenin Moreno, en su desesperación dejó claro que no se necesita un proyecto de Ley para lograr una política de uso de datos, esto lo demuestra el Acuerdo No. 012-2019, emitido por el Ministerio de Telecomunicaciones en el que emiten una normativa (luego de estros trágicos sucesos), para el tratamiento de datos personales y que la Agencia de Regulación y Control de Electricidad (ARCONEL) y otras instituciones del Estado lo publican ya en sus portales web.
Algunas consideraciones finales
El Ecuador lo queramos o no, ya es parte de los Estados que manejan nuestros datos privados. La pregunta que un usuario debe hacerse es como se los usa, o a manos de quien se delega estos datos, el Gobierno Nacional por ejemplo: para cualquier trámite hoy solicita una carta de servicio de luz, agua o teléfono, esto te lo piden para geolocalizar tu dirección, el Ministerio de Educación lo ha hecho ya para asignar cupos para acceder a la educación púbica. El Consejo Nacional Electoral cruza datos con el Registro Civil para tener el patrón de personas vivas y personas fallecidas, aunque sabemos que hay denuncias de que “los muertos votan”. El IESS y el Registro Civil para evitar contratación a menores de edad. Servicio de Rentas Internas (SRI) para evitar lavado de activos.
Cómo el Estado resguarda la información es la problemática, la ciudadanía debe saber por que motivos la empresa Novaestrat y otras más, tenían las bases de datos de todos los ecuatorianos y exigir que exista una política clara de protección de datos y anonimizar los mismos. La Superintendencia de Bancos exige normas de protección de datos, otra interrogante es si el BIESS cumplió esa normativa y de no ser así que sanciones habrá para los responsables.
Como usuarios debemos entender que cuidar la privacidad de nuestros datos es un derecho, ya que los puntos de información (ubicación geográfica, tendencia política, hábitos de consumo, dispositivo móvil…) pueden definir, incluso, una estrategia política para cambiar las reglas del juego y eso lo vimos ya con la elección de Trump. A esto se le denomina geomarketing o escucha social.
Es urgente generar nuevos mecanismos de control tanto ciudadanos como institucionales con la finalidad de monitorear y sancionar las malas prácticas de quienes controlan nuestra información, conocer los alcances de las tecnologías usadas en el nuevo espacio público virtual.
Notas:
*William Garcés Núñez de Novaestrat, fue gerente en la Secretaría Nacional de Comunicación entre 2012 y 2013 y gerente en el Banco Nacional de Fomento, entre 2014 y 2016.
Agustín Martínez Pástor de Novaestrat, fue programador y analista BanEcuador, Secretaría del Agua, hospital Carlos Andrade Marín, del IESS, Secretaría Nacional de Planificación y Desarrollo (Senplades), en esta última participó en la construcción del Sistema Nacional de Información, una plataforma encargada de hacer accesibles bases de datos relacionadas con el desarrollo y las finanzas públicas.
Be the first to comment