Panorama legal sobre ciberseguridad en Ecuador

Entrevista a Santiago Acurio Del Pino, profesor de Derecho Informático de la Pontificia Universidad Católica del Ecuador

1.- Cómo ha avanzado la legislación ecuatoriana en resolver los asuntos de “robo de información” producidas por las distintas formas de ciberdelincuencia?

Desde el 2002, cuando se aprobó la Ley de Comercio Electrónico, se hicieron reformas al Código Penal, en ese instante nacieron las infracciones informáticas, en ese tiempo existía cinco figuras penales relacionadas con las TICs (Acceso no autorizado, falsificación informática, fraude informático, daños informáticos, violaciones al derecho a la intimidad). Posteriormente con la aprobación del Código Orgánico Integral Penal (agosto del 2014), aparecieron otras conductas como el ciber-acoso a niños niñas y adolescentes (grooming), posesión de pornografía infantil, ampliando el espectro de los ciber-crímenes en nuestro país.

En el caso del robo se información, estaríamos frente a lo dispuesto en el Art. 229 del COIP:

  • Art. 229.- Revelación ilegal de base de datos. – La persona que, en provecho propio o de un tercero, revele información registrada, contenida en ficheros, archivos, bases de datos o medios semejantes, a través o dirigidas a un sistema electrónico, informático, telemático o de telecomunicaciones; materializando voluntaria e intencionalmente la violación del secreto, la intimidad y la privacidad de las personas, será sancionada con pena privativa de libertad de uno a tres años.

 2.- Qué debería hacer una empresa ecuatoriana, a nivel legal, que ha sufrido un ataque a su seguridad. Los delincuentes encriptaron su información y pidieron rescate, al final, la empresa ecuatoriana perdió toda la información.

 Una empresa que sufre esta clase de incidentes informáticos, puede hacer una denuncia a la Fiscalía, por cuanto lo sucedido es un delito ya sea el de revelación de base de datos o el de daños informáticos tipificado en el Art. 232 del COIP:

  • Artículo 232.- Ataque a la integridad de sistemas informáticos. – La persona que destruya, dañe, borre, deteriore, altere, suspenda, trabe, cause mal funcionamiento, comportamiento no deseado o suprima datos informáticos, mensajes de correo electrónico, de sistemas de tratamiento de información, telemático o de telecomunicaciones a todo o partes de sus componentes lógicos que lo rigen, será sancionada con pena privativa de libertad de tres a cinco años.

Con la denuncia realizada, se puede iniciar la investigación y la Fiscalía podrá solicitar:

El análisis forense de los equipos informáticos afectados, a fin de determinar que lo causó, por ejemplo, establecer qué clase de algoritmo de cifra fue utilizado y si este se puede revertir.

 Se puede identificar a los atacantes, y proceder a su procesamiento.

Es necesario que las empresas ecuatorianas apliquen las Normas ISO de seguridad de la información a fin de tener contra medidas a estos ataques, y la sana costumbre de tener un sistema de respaldo de la información.

 3.- ¿En el caso último de ransomware, según señaló Telefónica en España el incidente sufrido en su organización fue noticiado a distintas estancias en ese país, en Ecuador a quien se debería recurrir, y a nivel legal se puede dar seguridad a las empresas locales?

 Sí, en el caso del Ecuador se puede acudir al ECUCERT (http://www.ecucert.gob.ec/), es el Centro de Respuesta a Incidentes Informáticos (CSIRT) de la Agencia de Regulación y Control (ARCOTEL), su objetivo es brindar apoyo técnico cuando sucede esta clase de incidentes, también se puede contactar a la Unidad de Ciber-crimen de la Policía Judicial del Ecuador a través de su página web en Facebook.

Estos organismos pueden brindarle asesoría inmediata en esta clase de incidentes informáticos.

4.- ¿Qué debería hacer un CIO en estos casos a nivel legal?

Lo que el CIO debe hacer es: tener una política de seguridad vigente, alineada a las ISO de seguridad de la información, dicha política debe tomar en cuenta los aspectos legales que tienen que ver con los ciber delitos, es decir debe saber cuándo escalar el incidente de seguridad y los procedimientos que debe seguir su investigación. Esto con la finalidad de no comprometer la evidencia digital procedente del incidente y también no mantener la llamada “cifra negra”, esto es que algunos de estos ataques informáticos no son informados o denunciados, por temor a comprometer la identidad corporativa de la empresa.

En todo caso es recomendable que se realicen ejercicios de ethical hacking, bajo un estricto estándar contractual, para tener información sobre las posibles brechas de seguridad externas, así como también la política de seguridad debe estar a nivel de los contratos individuales de trabajo, ya que de acuerdo a la ONU, la mayoría de los delitos informáticos se comenten por INSIDERS, por ello que los trabajadores de una empresa sepan que existen reglas claras en materia de ciber- seguridad ayuda a prevenir los incidentes.

5.- ¿Cómo se puede aplicar la ley, si generalmente, los ataques no tienen origen en el país, los atacantes y secuestradores son de fuera, y hasta usan  bitcoin para los pagos de rescate por devolver la información?

Lo que se debe hacer es que nuestro país como otros, firmen el convenio de ciber-crimen de la comunidad europea, ya que el ciber-crimen es transnacional, la respuesta debe ser igual, eso asegurará la cooperación 24/7 y entre los diferentes países que lo han firmado, por tanto así se tendrán las reglas claras sobre la investigación y juzgamiento de estos delitos. Se debe entonces también hacer acuerdos internacionales de cooperación sobre el uso de la nube con fines contrarios al respeto de los derechos humanos, como señala el convenio mundial de sociedad de la información de las Naciones Unidas.

 

No hay comentarios

Dejar una respuesta