Acuerdo Ministerial nº 006-2021, de 17 de mayo de 2021, del Ministro de Telecomunicaciones y de la Sociedad de la Información, que publica la Política de Ciberseguridad.
ACUERDO MINISTERIAL 006-2021
EL MINISTRO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN (S)
CONSIDERANDO:
Que, el artículo 3 de la Constitución de la República determina como deber primordial del Estado garantizar sin discriminación alguna el efectivo goce de los derechos establecidos en la Constitución y en los instrumentos internacionales; el artículo 16 ibídem dispone que todas las personas, en forma individual o colectiva, tienen derecho a la comunicación e información;
Que, el artículo 66, numeral 19, ibídem reconoce y garantizará a las personas: “El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley” y en su numeral 21 garantiza a las personas “el derecho a la inviolabilidad y al secreto de la correspondencia física y virtual; ésta no podrá ser retenida, abierta ni examinada, excepto en los casos previstos en la ley, previa intervención judicial y con la obligación de guardar el secreto de los asuntos ajenos al hecho que motive su examen. Este derecho protege cualquier otro tipo o forma de comunicación”.
Que, el artículo 85 de la Constitución de la República dispone: “La formulación, ejecución, evaluación y control de las políticas públicas y servicios públicos que garanticen los derechos reconocidos por la Constitución, se regularán de acuerdo con las siguientes disposiciones: 1. Las políticas públicas y la prestación de bienes y servicios públicos se orientarán a hacer efectivos el buen vivir y todos los derechos, y se formularán a partir del principio de solidaridad (…) En la formulación, ejecución, evaluación y control de las políticas públicas y servicios públicos se garantizará la participación de las personas, comunidades, pueblos y nacionalidades”;
Que, el numeral 1 del artículo 154 de la Constitución de la República confiere a las ministras y ministros de Estado, además de las atribuciones establecidas en la ley, la rectoría de las políticas públicas del área a su cargo; así como la facultad de expedir los acuerdos y resoluciones administrativas que requiera su gestión;
Que, el artículo 226 de la Constitución de la República indica que: “Las instituciones del Estado, sus organismos, dependencias, las servidoras o servidores públicos y las personas que actúen en virtud de una potestad estatal ejercerán solamente las competencias y facultades que les sean atribuidas en la Constitución y la ley. Tendrán el deber de coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución”;
Que, el artículo 227 ibídem dispone: “La administración pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación”;
Que, el numeral 10 del artículo 261 de la Constitución de la República determina que el Estado central tendrá competencias exclusivas: “(…) 10. El espectro radioeléctrico y el régimen general de comunicaciones y telecomunicaciones; puertos y aeropuertos”;
Que, el artículo 280 de la norma constitucional señala: “El Plan Nacional de Desarrollo es el instrumento al que se sujetarán las políticas, programas y proyectos públicos; la programación y ejecución del presupuesto del Estado; y la inversión y la asignación de los recursos públicos; y coordinar las competencias exclusivas entre el Estado central y los gobiernos autónomos descentralizados. Su observancia será de carácter obligatorio para el sector público e indicativo para los demás sectores.”;
Que, el artículo 313 de la Constitución de la República dispone: “El Estado se reserva el derecho de administrar, regular, controlar y gestionar los sectores estratégicos, de conformidad con los principios de sostenibilidad ambiental, precaución, prevención y eficiencia. Los sectores estratégicos, de decisión y control exclusivo del Estado, son aquellos que por su trascendencia y magnitud tienen decisiva influencia económica, social, política o ambiental, y deberán orientarse al pleno desarrollo de los derechos y al interés social. Se consideran sectores estratégicos la energía en todas sus formas, las telecomunicaciones, los recursos naturales no renovables, el transporte y la refinación de hidrocarburos, la biodiversidad y el patrimonio genético, el espectro radioeléctrico, el agua, y los demás que determine la ley”;
Que, el inciso segundo del artículo 314 de la Constitución de la República dispone que el Estado garantizará que los servicios públicos, prestados bajo su control y regulación, respondan a principios de obligatoriedad, generalidad, uniformidad, eficiencia, responsabilidad, universalidad, accesibilidad, regularidad, continuidad y calidad;
Que, en el artículo 1 de la Ley Orgánica de Telecomunicaciones señala: “La presente ley tiene por objeto desarrollar, el régimen general de telecomunicaciones y del espectro radioeléctrico como sectores estratégicos del Estado que comprende las potestades de administración, regulación, control y gestión en todo el territorio nacional, bajo los principios y derechos constitucionalmente establecidos”;
Que, el artículo 3 numeral 1 de la Ley Orgánica de Telecomunicaciones establece como uno de los objetivos de la ley: “Promover el desarrollo y fortalecimiento del sector de las telecomunicaciones”;
Que, el artículo 88 de la Ley Orgánica de Telecomunicaciones respecto de la promoción de la sociedad de la información establece que la actuación del Ministerio de Telecomunicaciones y de la Sociedad de la Información estará encaminada a la formulación de políticas, planes, programas y proyectos destinados entre otros, a:
“1. Garantizar el derecho a la comunicación y acceso a la Información.
2. Promover el acceso universal a los servicios de telecomunicaciones; en especial, en zonas urbano marginal o rural, afín de asegurar una adecuada cobertura de los servicios en beneficio de las y los ciudadanos ecuatorianos.
3. Promover el establecimiento eficiente de infraestructura de telecomunicaciones, especialmente en zonas urbano marginales y rurales.
4. Procurar el Servicio Universal.
5. Promover el desarrollo y masificación del uso de las tecnologías de información y comunicación en todo el territorio nacional (…)”;
Que, el artículo 140 de la Ley Orgánica de Telecomunicaciones dispone: “Rectoría del sector. El Ministerio encargado del sector de las Telecomunicaciones y de la Sociedad de la Información es el órgano rector de las telecomunicaciones y de la sociedad de la información, informática, tecnologías de la información y las comunicaciones y de la seguridad de la información. A dicho órgano le corresponde el establecimiento de políticas, directrices y planes aplicables en tales áreas para el desarrollo de la sociedad de la información, de conformidad con lo dispuesto en la presente Ley, su Reglamento General y los planes de desarrollo que se establezcan a nivel nacional. Los planes y políticas que dicte dicho Ministerio deberán enmarcarse dentro de los objetivos del Plan Nacional de Desarrollo y serán de cumplimiento obligatorio tanto para el sector público como privado”;
Que, el numeral 2 del artículo 141 de la Ley Orgánica de Telecomunicaciones dispone que es competencia del órgano rector del sector de las Telecomunicaciones y de la Sociedad de la Información: “2. Formular, dirigir, orientar y coordinar las políticas, planes y proyectos para la promoción de las tecnologías de la información y la comunicación y el desarrollo de las telecomunicaciones, así como supervisar y evaluar su cumplimiento”;
Que, la Ley Orgánica de Transparencia y Acceso a la Información Pública, y su Reglamento, enfatizan en el derecho de las personas al acceso a la información pública, conforme a las garantías consagradas en la Constitución de la República;
Que, el artículo 6 de la Ley Orgánica del Sistema Nacional de Registro de Datos Públicos señala: “Accesibilidad y confidencialidad.- Son confidenciales los datos de carácter personal, tales como: ideología, afiliación política o sindical, etnia, estado de salud, orientación sexual, religión, condición migratoria y los demás atinentes a la intimidad personal y en especial aquella información cuyo uso público atente contra los derechos humanos consagrados en la Constitución e instrumentos internacionales. (…) La autoridad o funcionario que por naturaleza de sus funciones custodie datos de carácter personal, deberá adoptar las medidas de seguridad necesarias para proteger y garantizar la reserva de la información que reposa en sus archivos (…)”;
Que, mediante Decreto Ejecutivo nº 8, de 13 de agosto de 2009, publicado en el Registro Oficial nº 10, de 24 de agosto de 2009, el Presidente de la República creó el Ministerio de Telecomunicaciones y de la Sociedad de la Información como órgano rector del desarrollo de las Tecnologías de la Información y Comunicación, que incluye las telecomunicaciones y el espectro radioeléctrico;
Que, mediante Acuerdo Ministerial nº 011-2018, de 08 de agosto de 2018, se expide el Plan Nacional de Gobierno Electrónico 2018-2021. Este instrumento muestra la situación actual del país en materia de gobierno electrónico, las acciones que serán ejecutadas en tres programas; Gobierno Abierto, Gobierno Cercano y Gobierno Eficaz y Eficiente. En el Capítulo 1. Fundamentos Generales, literal 5. Diagnóstico se enfatiza que: “Dentro de las iniciativas relevantes que ha implementado el gobierno entorno a la ciberseguridad se encuentra la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI) (…)”;
Que, mediante Acuerdo Ministerial nº 15-2019, del 18 de julio del 2019, se expide la Política Ecuador Digital cuyo objeto es transformar al país hacia una economía basada en tecnologías digitales, mediante la disminución de la brecha digital, el desarrollo de la Sociedad de la Información y del Conocimiento, el Gobierno Digital, la eficiencia de la administración pública y la adopción digital en los sectores sociales y económicos;
Que, la Política Ecuador Digital está compuesto por tres programas: Ecuador conectado, Ecuador eficiente y ciberseguro; y, Ecuador innovador y competitivo. El programa Ecuador eficiente y ciberseguro tiene como objetivo proteger a la sociedad frente a las amenazas cibernéticas, generar confianza en el uso del internet y fomentar el desarrollo económico y social basado en el uso de las Tecnologías de la Información y de la Comunicación (TIC);
Que, el Gabinete Sectorial de Seguridad en Sesión Ordinaria de 8 de mayo de 2019, resolvió entre otros puntos: “PRESENTACIÓN POLÍTICA DE CIBERSEGURIDAD. El Ministerio de Telecomunicaciones y de la Sociedad de la Información deberá presentar en el próximo Gabinete Sectorial de Seguridad, la Política de Ciberseguridad integrada”;
Que, mediante Acuerdo nº 052, de 10 de mayo de 2021, el Secretario General de la Presidencia de la República acordó la subrogación del señor Econ. Julio César Muñoz Bravo, Viceministro de Tecnologías de la Información y Comunicación, al cargo de Ministro de Telecomunicaciones y de la Sociedad de la Información;
Que, la Vigésima Sesión Ordinaria del Gabinete Sectorial de Seguridad tuvo lugar en la ciudad de El Coca el 1 de abril de 2021. En ella se aprobó la Política Nacional de Ciberseguridad y se designó al Ministerio de Telecomunicaciones y de la Sociedad de la Información (MINTEL) como el encargado de publicarla mediante Acuerdo Ministerial.
Que, mediante Memorando nº MINTEL-SGERC-2021-0134-M, de 27 abril de 2021, el Subsecretario de Gobierno Electrónico y Registro Civil remitió el informe técnico de motivación para la publicación de la Política Nacional de Ciberseguridad, en el que se recomienda: “(…) la publicación del instrumento legal correspondiente para la publicación de la Política Nacional de Ciberseguridad”.
Que con sumilla inserta en el memorando nº MINTEL-SGERC-2021-0134-M, el Viceministro de Tecnologías de la Información y Comunicación aprobó el informe y dispuso la emisión de este Acuerdo
En ejercicio de las atribuciones que le confiere el numeral 1 del artículo 154 de la Constitución de la República, el numeral 2 del artículo 141 de la Ley Orgánica de Telecomunicaciones; y, artículo 17 del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva.
Acuerda:
Artículo 1.- Publicar la Política de Ciberseguridad, que se encuentra anexa y que forma parte integral del presente Acuerdo Ministerial.
Artículo 2.- El objetivo de la presente política es construir y fortalecer las capacidades nacionales que permitan garantizar el ejercicio de los derechos y libertades de la población y la protección de los bienes jurídicos del Estado en el ciberespacio.
La política establece directrices que buscan afianzar un ciberespacio seguro para contribuir al desarrollo social, económico y humano del país, así como a la creación de una confianza digital que favorece el intercambio de información y, en consecuencia, de bienes y servicios en línea.
La política tiene un enfoque multisectorial y multidimensional que se debe al carácter transversal de la ciberseguridad. Por tanto, la política alcanza a varios sectores y actores, públicos y privados, del país, y de manera vertical y horizontal. En esta medida, la política establece directrices para encaminar las acciones de las entidades de la Administración Pública Institucional y que dependen de la Función Ejecutiva, en coordinación con los otros poderes del Estado, sociedad civil y ciudadanía en general.
Artículo 3.- De la ejecución del presente Acuerdo Ministerial, encárguese a la Subsecretaria Gobierno Electrónico y Registro Civil, que ejecutará las acciones necesarias para la implementación de la Política de Ciberseguridad.
Disposición Final.- El presente Acuerdo Ministerial entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.
Dado en Quito, D.M., a los 17 días del mes de mayo del año 2021.
Econ. Julio César Muñoz Bravo
MINISTRO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN (S)
Elaborado por:
Betty Cuarán, Abogada DALDN
Revisado por:
Gabriela Espinoza, Coordinadora General Jurídica
Ricardo Dávalos, Director de Asesoría Legal y Desarrollo Normativo
Firmado electrónicamente por: BETTY MARGOTH CUARAN SARZOSA
Firmado electrónicamente por: RICARDO ALEJANDRO DAVALOS GONZALEZ
Firmado electrónicamente por: MARJORIE GABRIELA ESPINOZA PLUA
Firmado electrónicamente por: JULIO CESAR MUNOZ BRAVO
ministerio de telecomunicaciones y de la sociedad de la información
POLÍTICA DE CIBERSEGURIDAD
PRESENTACIÓN
La seguridad de toda la población ecuatoriana en el ciberespacio -en el “quinto dominio”-, es prioridad estratégica del Gobierno Nacional. En ese contexto, entidades del sector público y privado, así como de la sociedad civil y la academia, trabajan arduamente en el proceso de construcción de nuestra Política Nacional de Ciberseguridad (PNC).
El Gobierno del presidente Moreno, en uso de sus atribuciones constitucionales, ha trazado y ha definido esta política, enriquecida por actores relacionados, para establecer lineamientos y acciones, sin descuidar el análisis de riesgos y amenazas -potenciales y reales- que enfrenta nuestro país. De esta forma podemos generar más capacidades para: identificar, monitorear, evaluar, gestionar, prevenir, mitigar; en suma, para enfrentar con éxito los riesgos y amenazas.
Para alcanzar un Ecuador Digital Ciberseguro que garantice el Estado de Derecho, proteja los servicios e infraestructuras críticas del Estado y de seguridad a la población en el ciberespacio, el Gobierno trazó su línea de acción asentada en 7 pilares:
1) Gobernanza de ciberseguridad;
2) Sistemas de información y gestión de incidentes;
3) Protección de servicios e infraestructuras críticas digitales;
4) Soberanía y defensa;
5) Seguridad pública y ciudadana;
6) Diplomacia en el ciberespacio y cooperación internacional;
7) Cultura y educación de ciberseguridad.
Estas acciones priorizan el fortalecimiento institucional y la articulación efectiva por parte del Gobierno, de forma ordenada, con un enfoque integral y la activa presencia de múltiples actores. Por ello, las entidades gubernamentales y las entidades privadas del país deben cooperar con responsabilidad. Sólo de esa forma se tendrá un Ecuador Digital Ciberseguro.
Esta política está en línea con la Agenda 2030 para el Desarrollo Sostenible de la ONU, el plan global de acción a favor de las personas, el planeta y la prosperidad, que busca fortalecer la paz universal y el acceso a la justicia. Los Objetivos de Desarrollo Sostenible de la ONU están contenidos en nuestro Plan Nacional de Desarrollo (PND) 2017-2021: acceso seguro a las TIC, internet de las cosas (IoT) y tecnología de la operación (TO). Estos elementos son clave para el desarrollo futuro de las actividades políticas, sociales, culturales y económicas de nuestro país.
En razón de que el dominio del ciberespacio trasciende las fronteras del país, el enfoque de nuestra política se orienta al ámbito internacional; por eso, Ecuador deberá articular acciones para fortalecer la ciberseguridad a nivel regional y multilateral, al tiempo que promueva el uso de tecnologías para el desarrollo socioeconómico del país, en áreas de la economía digital.
Una vez emitida la Política Nacional de Ciberseguridad, el siguiente desafío inmediato será su implementación, el constante monitoreo y la evaluación. Pero el primer paso está dado, gracias a la voluntad política del Presidente Moreno. La puesta en marcha de esta política es un avance muy importante, es un resultado tangible que resalta el compromiso del Gobierno Nacional en materia de ciberseguridad, puesta al servicio de nuestra población. Además, tiene el mérito de posicionar al país en el marco de la Agenda Global Digital, en tiempos tan duros y difíciles como los que afectan al país, a la región y al planeta en general.
LISTADO DE ACRÓNIMOS
APCID Administración Pública Central, Institucional y Dependiente
ARCOTEL Agencia de Regulación y Control de las Telecomunicaciones CERT Critical Emergency Response Team – Centro de Respuesta Rápida Ante Incidentes Informáticos
CICTE Comité Interamericano contra el Terrorismo
CIES Centro de Inteligencia Estratégica
CIRT Critical Incident Response Team– Centro de respuesta a incidentes informáticos
CSIRT Critical Security Incident Response Team – Centros de Respuesta a Incidentes de Seguridad Informática
E-government Survey. Encuesta de Gobierno Electrónico
EcuCERT Centro de respuesta a incidentes informáticos del Ecuador
EGDI Índice de Desarrollo de Gobierno Electrónico
EGSI Esquema Gubernamental de Seguridad de la Información
ESR ESET Security Report
FIRST Forum of Incident Response and Security Teams)
GCI Índice Global de Ciberseguridad
IC Infraestructura crítica
ICD Infraestructura crítica digital
INEC Instituto Ecuatoriano de Estadísticas y Censos
INEN Servicio Ecuatoriano de Normalización
IoT Internet de las cosas
UIT Unión Internacional de Telecomunicaciones
MDN Ministerio de Defensa
MDG Ministerio de Gobierno
MREMH Ministerio de Relaciones Exteriores y Movilidad Humana
MINTEL Ministerio de Telecomunicaciones y de la Sociedad de la Información
NTE Norma Técnica Ecuatoriana
OEA Organización de Estados Americanos
PNC Política Nacional de Ciberseguridad (PNC)
SDH Secretaría de Derechos Humanos
SIETEL Sistema de Información y Estadística de los Servicios de
SOC TCeelnetcomunicaciones ro de Operaciones de Seguridad
SINARDAP Sistema Nacional de Registro de Datos Públicos
TIC Tecnologías de la información y de la comunicación
TO Tecnologías de la operación
UNCRC The United Nations Convention on the Rights of the Child – Convención de las Naciones Unidas Sobre los Derechos del Niño
INTRODUCCIÓN
La agenda digital ha tomado mayor relevancia en el contexto actual –crisis por COVID-19-
durante el cual se han evidenciado los beneficios y oportunidades que brinda el uso de las tecnologías de la información y comunicación, pero también el incremento de los delitos en línea y por tanto la necesidad de garantizar la seguridad de los ciudadanos en el ciberespacio.
El Ecuador trabaja activamente en el ámbito nacional para garantizar un internet libre, abierto y seguro, a fin de continuar aprovechando los beneficios económicos y sociales que ofrece y que se enmarcan en la agenda de desarrollo sostenible.
En este sentido, la ciberseguridad y la creación de confianza en el ciberespacio se tornan fundamental. Con ello, al igual que en foros internacionales, el Ecuador reconoce que el uso de las TIC ha sido ventajoso para su desarrollo socioeconómico, y que a la vez representa un desafío para la comunidad internacional, por los riesgos y amenazas del ciberespacio.
En el mundo más de 4.100 millones de usuarios tienen acceso a internet (UIT – Unión Internacional de Telecomunicaciones, 2019), que representan más de la mitad de la población mundial (1). En el caso de las nuevas tecnologías de la información y comunicación, su creciente democratización ha traído consigo cambios y retos permanentes, al constituirse como uno de los pilares del mundo globalizado (2). El avance de estas tecnologías ha incrementado el uso de medios tecnológicos con fines delictivos de violencia y destrucción alrededor del mundo (3). Es así que un número creciente de personas y grupos obtienen ventajas de la rapidez, conveniencia y anonimato que brinda el Internet para perpetrar una serie de actividades delictivas de sabotaje y terrorismo, que no conocen fronteras físicas, representando amenazas reales para las víctimas a nivel global (4).
Si en el pasado el delito cibernético era perpetrado principalmente por individuos o por pequeños grupos, en la actualidad se estarían configurando patrones novedosos bajo los cuales operan concertadamente redes delictivas muy complejas en el ciberespacio, que reúnen a individuos en distintos países en tiempo real, para cometer delitos y ataques cibernéticos a una escala sin precedentes. (INTERPOL, 2017).
Entre los principales delitos cibernéticos, se destacan la piratería, que afecta a la propiedad intelectual, los ataques con códigos maliciosos, como por ejemplo ataques de denegación de servicios, que constituyen amenazas a la seguridad de los gobiernos, negocios e individuos y que suponen un desafío para los organismos de seguridad y agencias encargadas de la aplicación de la ley, entre otros. Estos delitos se producen, en parte, debido a que varios países no han desarrollado las capacidades necesarias para prevenir, investigar y combatir este tipo de fenómenos.
En este sentido es importante el “Conjunto de actividades dirigidas a proteger el ciberespacio contra el uso indebido del mismo, defendiendo su infraestructura tecnológica, los servicios que prestan y la información que manejan” (CCN-CERT Centro Criptológico Nacional, 2015). El Ecuador entiende a la ciberseguridad como la capacidad del Estado para proteger a las personas, sus bienes activos de información y servicios esenciales ante riesgos y amenazas que se identifican en el ciberespacio. De forma complementaria el país se adhiere al concepto de la Unión Internacional de Telecomunicaciones -UIT- que la concibe como ¨el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y a los usuarios en el ciberentorno¨ (UIT2010, 20).
La ciberseguridad en el Ecuador se enmarca dentro de los deberes constitucionales del Estado, especialmente el desarrollo y el establecimiento de una cultura de paz. Dado el principio integral de la ciberseguridad y asuntos digitales, la presente Política Nacional de Ciberseguridad incluye aspectos que se enmarcan en competencias como la ciberdefensa, la ciberinteligencia y la ciberdiplomacia. Asimismo, se reconoce el alcance nacional, multisectorial y con un enfoque de múltiples actores, en el diseño, implementación y monitoreo de la PNC.
Los principios que rigen esta política son la promoción y el respeto de los derechos humanos y libertades fundamentales, el fomento de la confianza, la resiliencia, la responsabilidad compartida, el f1omento del desarrollo de actividades en el entorno digital y el mercado nacional de TIC. En el marco de un Internet libre, abierto y seguro, prima la comunicación de las personas, la protección de datos, el derecho a la privacidad, y el marco de los objetivos de desarrollo sostenible. Esta política se basa en siete pilares que contemplan diversas temáticas de intervención del Estado, en coordinación con el sector privado, la academia y sociedad civil, que permitirán la ciberseguridad del Ecuador. Estos pilares se enfocan en el trabajo en la gobernanza de la ciberseguridad, en sistemas de información y gestión de incidentes, en la protección de los servicios e infraestructuras críticas, la soberanía y defensa, la seguridad pública y ciudadana, la diplomacia en el ciberespacio junto con la cooperación internacional y la promoción de la cultura y educación para la ciberseguridad. El objetivo general de esta política, articulado con sus objetivos específicos, es construir y fortalecer las capacidades nacionales que permitan garantizar el ejercicio de los derechos y libertades de la población, así como la protección de los bienes jurídicos del Estado en este dominio; encaminando acciones para garantizar un ciberespacio seguro.
El objetivo contribuirá de manera directa al desarrollo social, económico y humano del país, así como a la creación de una confianza digital fundamental para favorecer el intercambio de información y, en consecuencia, de bienes y servicios en línea, fortaleciendo el compromiso del estado con la ciberseguridad.
Su implementación conlleva un proceso de seguimiento, medición y evaluación continuo y flexible, que permitirá ajustarla efectivamente ante los rápidos cambios en el entorno digital e identificar el impacto de las acciones de esta política en el fortalecimiento de la ciberseguridad nacional. Para que esta política sea efectiva, el estado ecuatoriano deberá asignar los recursos financieros necesarios que aseguren la implementación de las líneas de acción enunciadas en ella.
Esta política tiene un alcance nacional, alineada a la normativa y demás instrumentos de política pública. Debido al carácter ubicuo de la ciberseguridad, la política también se aplica al espectro radioeléctrico y en las infraestructuras digitales, donde se incluyen: los dominios, plataformas y programas donde se maneje información de carácter pública y privada de la población; asimismo, se consideran las infraestructuras con servicios automatizados y los servicios esenciales del Estado como parte de los bienes jurídicos a proteger.
La ciberseguridad se convertirá, progresivamente, en un tema de vital importancia dentro de la agenda de seguridad, desarrollo y derechos humanos en el Ecuador, por lo que se requiere desarrollar y potenciar las capacidades nacionales, políticas, estrategias, planes, programas y proyectos intersectoriales para la seguridad cibernética.
Es esencial la concientización en la sociedad ecuatoriana sobre las potenciales vulnerabilidades que enfrenta en el entorno cibernético, lo que permitirá propender a la garantía de derechos y libertades, como de la seguridad integral en el ciberespacio.
PROCESO DE ELABORACIÓN DE LA POLÍTICA
La elaboración de la presente política parte de un proceso técnico, con la conformación de una mesa interinstitucional, denominado “Grupo interinstitucional de Ciberseguridad”, conformada por las siguientes instituciones: Ministerio de Telecomunicaciones y Sociedad de la Información (MINTEL), quién preside el grupo, el Ministerio de Gobierno (MDG), el Ministerio de Defensa (MDN), el Centro de Inteligencia Estratégica (CIES) y el Ministerio de Relaciones Exteriores y Movilidad Humana (MREMH), que mediante un trabajo interdisciplinario ha contribuido desde los enfoques de cada una de las instituciones participantes, con el fin de garantizar la adaptabilidad de la misma al contexto aplicativo. Este instrumento toma en consideración los intereses nacionales y, a la vez, considera a los temas de ciberseguridad desde una visión holística, común, compartida y de largo plazo.
La determinación de la metodología requirió la revisión de herramientas internacionales existentes para el desarrollo de políticas en este ámbito y un análisis de los avances de otros países en la materia. Asimismo, el desarrollo de este documento incluye la revisión de los marcos normativos vigentes nacionales e internacionales y los instrumentos de planificación nacional de los sectores involucrados. Además, contempla el levantamiento de un diagnóstico nacional que identifica las brechas existentes en cuanto a la ciberseguridad en el país. Una vez priorizadas, estas fundamentaron el diseño de acciones nacionales que permitirán solventar las problemáticas de la ciberseguridad en el Ecuador.
En la construcción de esta política participaron actores de la Función Ejecutiva, al igual que otras funciones del Estado. Se contó con insumos de las Empresas Públicas, de los operadores de infraestructuras críticas, representantes de la academia, centros de respuesta a incidentes, actores del sector privado y de la sociedad civil. La política propone un horizonte definido al 2023, en el cual se implementarán las líneas de acción definidas en la política y a partir del proceso de seguimiento y monitoreo, se podrán observar los resultados de la misma a corto y mediano plazo.
Figura 1: Aprobación de la Hoja de Ruta para la elaboración de la Política Nacional de Ciberseguridad.
(…)
Elaborado por: Grupo Interinstitucional de Ciberseguridad.
ANTECEDENTES
El compromiso del Ecuador con la ciberseguridad ha progresado recientemente con la adopción de varias políticas y estrategias sectoriales que definen el enfoque del gobierno con respecto a la ciberseguridad. Dichas estrategias precisan de coordinación general.
Cabe resaltar que más allá de la ausencia de marcos reglamentarios a nivel nacional para la protección de infraestructura crítica, los sectores financieros y de telecomunicaciones han establecido y adoptado procesos de gestión de riesgos de ciberseguridad y las mejores prácticas en medidas de seguridad.
En tal virtud, esta política se alinea a la normativa nacional vigente y al Plan Nacional de Desarrollo 2017-2021 “Toda una Vida”.
Ecuador ha tomado en consideración el avance de las regulaciones internacionales, que se han desarrollado debido al aparecimiento de acciones susceptibles de causar afectaciones negativas, por lo que se emiten normas internas y se aúnan esfuerzos, para ir construyendo una primera generación de normativa nacional.
A continuación, se lista el marco normativo relacionado.
A. Marco normativo
a. Nacional
La Constitución de 2008 se establece como la norma jurídica de mayor jerarquía dentro del ordenamiento jurídico ecuatoriano, primando inclusive sobre los convenios y tratados internacionales salvo excepciones en casos de derechos humanos más beneficiosos, leyes orgánicas y ordinarias, así como las demás normas.
Artículo 3, 16, 66 (Núm. 19 y 21), 158, 313 y 393
CÓDIGO ORGÁNICO INTEGRAL PENAL
El Código Orgánico Integral Penal, a menudo referido por sus siglas COIP, es un conjunto sistematizado y organizado de normas jurídicas de carácter punitivo, es decir un compendio legislativo que establece delitos y penas conforme al sistema penal ecuatoriano.
Artículo 103, 104, 170, 178, 188, 190, 194, 202.1, 202.2, 229 al 234, 262, 353.1, 415.1, 415.2, 472, 476, 526, 553.2,
LEY ORGÁNICA DE LA IDENTIDAD Y DATOS CIVILES
La presente Ley tiene por objeto garantizar el derecho a la identidad de las personas y normar y regular la gestión y el registro de los hechos y actos relativos al estado civil de las personas y su identificación.
Artículo 1 y 3 (Núm. 4 y 6)
LEY DE SEGURIDAD PÚBLICA Y DEL ESTADO
La presente ley tiene por objeto regular la seguridad integral del Estado democrático de derechos y justicia y todos los habitantes del Ecuador, garantizando el orden público, la convivencia, la paz y el buen vivir, en el marco de sus derechos y deberes como personas
naturales y jurídicas, comunidades, pueblos, nacionalidades y colectivos, asegurando la defensa nacional, previniendo los riesgos y amenazas de todo orden, a través del Sistema de Seguridad Pública y del Estado.
Artículo 2, 3, 10, 11, 38, 41 y 43
LEY ORGÁNICA DE TELECOMUNICACIONES
Esta Ley tiene por objeto desarrollar, el régimen general de telecomunicaciones y del espectro radioeléctrico como sectores estratégicos del Estado que comprende las potestades de administración, regulación, control y gestión en todo el territorio nacional, bajo los principios y derechos constitucionalmente establecidos.
Artículo 76, 77, 78, 79, 80, 81, 82, 83, 84, 85 y 140
LEY ORGÁNICA PARA PREVENIR Y ERRADICAR LA VIOLENCIA CONTRA LAS MUJERES
Esta Ley prevé de manera particular, enfocar la acción del Estado en la sensibilización y prevención de la violencia y con la participación de la ciudadanía, bajo el principio de corresponsabilidad. Estos dos actores deben garantizar a través de políticas, planes y programas, la transformación de los patrones socioculturales y la erradicación de prácticas que naturalizan la violencia contra las mujeres. Esta Ley establece además tres componentes para la erradicación de la violencia: atención, protección y reparación de las mujeres víctimas de violencia para garantizar su seguridad e integridad y para retomar su proyecto de vida.
Artículo 12
LEY ORGÁNICA DE COMERCIO ELECTRÓNICO, FIRMAS ELECTRONICAS Y MENSAJES DE DATOS
Esta ley regula los mensajes de datos, la firma electrónica, los servicios de certificación, la contratación electrónica y telemática, la prestación de servicios electrónicos, a través de redes de información, incluido el comercio electrónico y la protección a los usuarios de estos sistemas.
Artículo 5, 7,8, 9,10, 29, 51, 54, 58, 62, 63, 64
CÓDIGO ORGÁNICO DE LA ECONOMÍA SOCIAL DE LOS CONOCIMIENTOS, CREATIVIDAD E INNOVACIÓN
Protección a los derechos intelectuales y a asumir la defensa de los mismos, como un aspecto imprescindible para el desarrollo tecnológico del país. La ley, incluye en su codificación la protección de bases de datos que se encuentren en forma impresa u otra forma, así como también los programas de ordenador (software).
NORMAS TÉCNICAS
● Familia de NTE INEN-ISO/IEC 27000, principalmente:
– NTE INEN-ISO/IEC 27000, Tecnologías de la Información – Técnicas de Seguridad – Sistemas de Gestión de la Seguridad de la Información –
Descripción general de vocabulario
– NTE INEN-ISO/IEC 27002:2013, Tecnología de la información – Técnicas de seguridad – Código de prácticas para controles de seguridad de la información.
– NTE INEN-ISO/IEC 27005, Tecnología de la Información – Técnicas de Seguridad – Gestión del Riesgo en la Seguridad de la información.
– NTE INEN-ISO/IEC 27032, Tecnologías de la Información – Técnicas de seguridad–Directrices para Ciberseguridad
● Resolución ARCOTEL-2018-0652, Norma técnica para coordinar la gestión de incidentes y vulnerabilidades que afecten a la seguridad de las redes y servicios de telecomunicaciones, publicada en el Registro Oficial nº 331, del 20 de septiembre de 2018.
● Resolución nº SB-2018-771 de la Superintendencia de Bancos, que reforma la Norma de Control para la Gestión del Riesgo Operativo, publicada en el Suplemento del Registro Oficial nº 325, del 12 de septiembre de 2018.
b. Internacional
INSTRUMENTOS INTERNACIONALES
● Carta de las Naciones Unidas.
● Convenio de Ginebra y sus Protocolos adicionales.
● Resolución AG/RES 2004 (XXXIV-O / 04) de la Organización de Estados Americanos (OEA): Adopción de una Estrategia de Seguridad Cibernética
● Resoluciones UNGA 55/63 y 56/121 de las Naciones Unidas sobre la lucha contra el uso de la tecnología de la información con fines delictivos.
● Resoluciones UNGA 57/239, 58/199 y 64/211 de las Naciones Unidas sobre la creación de una cultura mundial de seguridad cibernética y la protección de infraestructuras críticas de la información.
● Resolución UNGA 73/266 sobre Promoción del comportamiento responsable de los Estados en el ciberespacio en el contexto de la seguridad internacional.
● Declaración para la protección de infraestructura crítica ante las amenazas emergentes – Comité Interamericano contra el Terrorismo de la OEA (20 de marzo de 2015).
● Resolución CICTE/RES. 1/19 del 24 de mayo de 2019 sobre Medidas Regionales de Fomento y Confianza en el Ciberespacio (MFCS) del Comité Interamericano contra el Terrorismo.
B. Vinculación de la Ciberseguridad con la Planificación Nacional
Plan Nacional de Desarrollo 2017-2021 “Toda una Vida” Objetivo 1.- Garantizar una vida digna con iguales oportunidades para todas las personas.
Objetivo 7.- Incentivar una sociedad participativa, con un Estado cercano al servicio de la ciudadanía.
Objetivo 9.- Garantizar la soberanía y la paz, y posicionar estratégicamente al país en la región y el mundo.
Plan Nacional de Seguridad Integral 2019 – 2030
Desde una visión holística de las problemáticas de seguridad para el Estado, evidencia la aparición de amenazas como los ciberataques que identifica como una problemática transversal por el creciente uso de la tecnología.
Agenda de Coordinación Intersectorial de Seguridad Política PND 9.1 Promover la paz sostenible y garantizar servicios eficientes de seguridad integral. Estrategia 3: Automatización de la obtención y administración de la información para inteligencia estratégicas.
Estrategia 4: Coordinación de la cooperación interinstitucional e internacional para fortalecer la gestión de inteligencia.
Política de Defensa Nacional 2018
Reconoce que los ciberataques y las vulneraciones a la infraestructura crítica tienen la capacidad de afectar al Estado. Determina que el ciberterrorismo, ciberespionaje e infiltraciones a los sistemas informáticos son instrumentos de agresión. La política propone el desarrollo de la industria de la defensa con miras a proveer productos y servicios estratégicos especializados para aportar las capacidades de la ciberdefensa.
Plan Específico de Defensa Nacional 2019-2030
Reconoce al ciberespacio como un componente más del territorio ecuatoriano. Las implicaciones se vinculan al desarrollo de operaciones en este dominio para la defensa de la soberanía; con el fin de aportar a la ciberseguridad nacional.
Plan Específico de Seguridad Pública y Ciudadana 2019-2030
Se establecen políticas articuladas y coordinadas de prevención y control respecto de las distintas expresiones del delito y en sus diferentes ámbitos, lo que lleva a prevenir, anticipar y combatir amenazas locales, nacionales e internacionales. La división entre seguridad pública y seguridad ciudadana permite un marco de acción diferenciado sobre la suscitación de delitos, por un lado, una competencia Estatal encaminada al resguardo del orden público y la protección interna, por otro lado, una seguridad ciudadana enfocada en las acciones institucionales dedicadas a reducir los factores de vulnerabilidad hacia el cometimiento de delitos.
Plan Específico de Inteligencia 2019-2030
Este plan entiende como amenaza para el Estado ecuatoriano a todo fenómeno o condición en la que uno o más actores con capacidad y fines específicos generen un daño, pérdida o consecuencia negativa directa contra los ejes de protección de la seguridad integral del Estado, entendiendo a estos como ser humano, Estado y naturaleza. En este contexto, se establece como una de las amenazas para el Ecuador las acciones contra el Estado en el ciberespacio.
Plan Específico de Relaciones Exteriores y Movilidad Humana 2019-2030
Objetivo Estratégico 3: Fomentar la cooperación internacional para la lucha contra la delincuencia organizada transnacional y las amenazas a la seguridad nacional”.
Plan Nacional de Sociedad de la Información y del Conocimiento 2018-2021
Es un instrumento de planificación orientado a propiciar el desarrollo nacional en torno al área de la Sociedad de la Información, contiene los programas y proyectos que permitirán alcanzar objetivos trazados en la Política Nacional de Telecomunicaciones y de la Sociedad de la Información. Dentro del Programa 1: Seguridad de la Información y uso responsable de las TIC, se busca de manera primordial fortalecer el marco regulatorio, normativo y estratégico para incrementar la seguridad de la información en el país por lo que promueve la elaboración la Estrategia Nacional de Ciberseguridad que permita determinar los lineamientos generales de la Ciberseguridad en el Ecuador.
Plan Nacional de Gobierno Electrónico 2018-2021
Este Plan plantea catorce estrategias, una de ellas enfocada en la ciberseguridad mencionando como principales beneficiarios a las personas naturales y jurídicas. Además, propone emitir un modelo estandarizado de ciberseguridad para la Administración Pública Central, Institucional y Dependiente (APCID), fortalecer el CERT, capacitar a los funcionarios de la APCID y difundir los beneficios de contar con este modelo a la ciudadanía.
Política Ecuador Digital
Instrumento cuyo objetivo es transformar y dirigir al país, hacia una economía basada en tecnologías digitales mediante la disminución de la brecha digital, el desarrollo de la Sociedad de la Información y del Conocimiento, el Gobierno Digital, la eficiencia de la administración pública, y la adopción digital en los sectores sociales y económicos, esta política se compone de 3 ejes: Ecuador Conectado, Ecuador Eficiente y Ciberseguro y Ecuador Innovador y Competitivo. Cada uno incluye un conjunto de proyectos para incrementar los índices de accesibilidad a las tecnologías de la información y comunicación, el fortalecimiento de las capacidades de talento humano, la potenciación de los sectores de la economía y el impulso del emprendimiento e innovación; es así que el eje de acción Ecuador Eficiente y Ciberseguro garantiza la participación ciudadana, la democratización de los servicios públicos, la simplificación de trámites, la gestión de la seguridad de la información y la protección de datos personales.
Política Pública por una Internet segura para niños, niñas y adolescentes
Instrumento cuyo objetivo es proteger la dignidad e integridad física, psicológica, emocional y sexual de la niñez y adolescencia; y potenciar las oportunidades y habilidades que ofrecen las tecnologías digitales en su vida y desarrollo integral.
Plan Nacional de Seguridad Ciudadana y Convivencia Social Pacífica 2019 – 2030
Este plan propone crear una estrategia que permita prepararnos con anticipación, ante los riesgos, establece en su Objetivo 7: Implementar anticipación estratégica en las acciones públicas para enfrentar riesgos y amenazas, fundamentalmente los relacionados al crimen organizado, lavado de activos, delincuencia transnacional, terrorismo y cibercriminalidad.
SITUACIÓN ACTUAL
A. Panorama Nacional de la Ciberseguridad
Desde el año 2011, con la “Estrategia Ecuador Digital 2.0” emitida por el Ministerio de Telecomunicaciones y de la Sociedad de la Información (MINTEL), se inició el desarrollo de Políticas Públicas Sectoriales que permitirían que las tecnologías de la información y comunicación se usen efectivamente en el proceso de desarrollo productivo, social y solidario del Ecuador, para el bienestar de todos los ciudadanos. Con el objeto de implementar dicha Estrategia, se impulsaron cuatro planes estratégicos:
● Plan Nacional de Alistamiento Digital.
● Plan Nacional de Gobierno en Línea.
● Plan Nacional de Banda Ancha
● Plan Nacional de Gobierno Electrónico.
El MINTEL, mediante Acuerdo Ministerial nº 015-2019, publicado en el Registro Oficial nº 69 del 28 de octubre de 2019, emite la “Política Ecuador Digital”, cuyo objetivo es transformar y dirigir al país, hacia una economía basada en tecnologías digitales mediante la disminución de la brecha digital, el desarrollo de la Sociedad de la Información y del Conocimiento, el Gobierno Digital, la eficiencia de la administración pública, y la adopción digital en los sectores sociales y económicos, esta política se compone de 3 ejes: Ecuador Conectado, Ecuador Eficiente y Ciberseguro y Ecuador Innovador y Competitivo. Cada uno incluye un conjunto de proyectos para incrementar los índices de accesibilidad a las tecnologías de la información y comunicación, el fortalecimiento de las capacidades de talento humano, la potenciación de los sectores de la economía y el impulso del emprendimiento e innovación; es así que el eje de acción Ecuador Eficiente y Ciberseguro garantiza la participación ciudadana, la democratización de los servicios públicos, la simplificación de trámites, la gestión de la seguridad de la información y la protección de datos personales.
Esta política está enmarcada en los diferentes ejes establecidos en el Acuerdo Nacional 2030 y contribuye a la transformación digital de las instituciones públicas y los diferentes sectores de la economía, permitiendo el incremento de la productividad y competitividad de las empresas.
En el año 2013 el gobierno central desarrolló e implementó el Esquema Gubernamental de Seguridad de la Información (EGSI), lo que permitió ampliar la accesibilidad de sus servicios a los ciudadanos. Esto, a su vez, generó desafíos para la protección de la información de los mismos. El EGSI se implementó en las instituciones de la Administración Pública Central con el fin de que las Instituciones públicas cuenten con un marco de referencia para la gestión de la seguridad de la información.
Los resultados obtenidos del proceso de evaluación fueron la base para la actualización de este esquema gubernamental de seguridad de la información en el año 2020, denominado EGSI V2.0, cuyo objetivo es preservar la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos de seguridad de la información y la selección de controles para el tratamiento de los riesgos identificados. Cabe mencionar que según revela el informe “E-government Survey” (E-government Survey 2020, 2020), el Ecuador subió 10 escalones respecto al 2018 en su posición en el Índice de Desarrollo de Gobierno Electrónico (EGDI) de Naciones Unidas. Actualmente, el país ocupa el puesto 74 de 193 países, ubicándolo por encima de la media mundial y regional.
A partir del año 2016, el Plan Nacional de Telecomunicaciones y TI 2016-2021, delinea el futuro del sector de las telecomunicaciones, impulsando la mejora de estos servicios y la reducción de la brecha digital. Además, se actualizó el Plan Nacional de Gobierno Electrónico 2018-2021, que en sus tres ejes de acción y catorce estrategias, vincula a la ciberseguridad con las personas naturales y jurídicas mediante la implementación de la emisión de un modelo estandarizado de ciberseguridad para la Administración Pública Central, Institucional y Dependiente (APCID), el fortalecimiento del Centro de Respuesta a Incidentes Informáticos del Ecuador (EcuCERT) actualmente gestionado por la Agencia de Regulación y Control de las Telecomunicaciones (ARCOTEL), y la capacitación de los funcionarios de la APCID en la implementación del modelo de ciberseguridad.
Se ha desarrollado la propuesta de normativa de protección de datos personales a través de la Dirección Nacional de Registro de Datos Públicos (DINARDAP), entidad adscrita al MINTEL y que lidera este esfuerzo, apoyada por sectores claves que ayudan en el desarrollo de dicha normativa, Este proyecto de ley se encuentra en fase de análisis por parte de la Asamblea Nacional. Asimismo, la Ley Orgánica de Telecomunicaciones determina la obligación de los prestadores de servicios de telecomunicaciones de garantizar en el ejercicio de su actividad la protección de datos de carácter personal, al igual que la Ley Orgánica del Sistema Nacional de Registros de Datos Públicos, garantiza la protección de los datos contenidos en todos los registros públicos.
La legislación de protección al consumidor de Ecuador no protege del todo a los consumidores contra el fraude en línea y otras formas de delito cibernético o negligencia comercial y la Defensoría del Pueblo, entidad responsable de la protección del consumidor no tiene capacidades suficientes para abordar la protección del consumidor en línea.
Se ha adoptado una legislación integral sobre propiedad intelectual de productos y servicios en línea y el Servicio Nacional de Derechos Intelectuales (SENADI) está designado como la entidad encargada de velar por su cumplimiento.
En 2020 se emitió la Política de Datos Abiertos, de aplicación para las Instituciones de la Administración Pública, cuyo objetivo es consolidar los procesos de organización y publicación de los datos que generan estas instituciones. La finalidad de esta política es fortalecer la participación ciudadana, la transparencia gubernamental, mejorar la eficiencia en la gestión pública, promover la investigación, el emprendimiento y la innovación en lo que se refiere a tecnologías de la información. Como complemento de esta política el 15 de enero de 2021, se publicó en el Registro Oficial Suplemento nº 371 la Guía de Datos Abiertos que permite la implementación de las directrices de la política, y cuyo objetivo es proporcionar criterios técnicos y metodológicos para planificar, abrir, publicar y promover la utilización de los datos abiertos gubernamentales. Estas acciones estatales junto al aporte del sector privado, han permitido, hasta el 2020, tener los siguientes avances según el reporte de Sistema de Información y Estadística de los servicios de Telecomunicaciones (SIETEL) de la ARCOTEL:
• La masificación del uso de las TIC alcanzó a un 60,7% de la población.
• El uso del internet llegó a un 64,19% de la población.
• La cantidad de abonados que usan teléfonos inteligentes (Smartphones) es de 65,3%. • Las líneas activas 4G existentes equivalen al 54,79% de la población y el total de líneas activas móviles del 85,75% de la población.
• El número de cuentas de internet de banda ancha alcanzó 1’990.489.
De la misma manera, el MINTEL a través del Proyecto emblemático de “Infocentros Comunitarios”, implementó y administra a nivel nacional 886 infocentros y megainfocentros, que dotan a 735 parroquias rurales y urbano marginales de lugares de desarrollo comunitarios apoyados en herramientas TIC, y desde donde se han capacitado a 1.262.960 personas como una de las estrategias para contribuir con su desarrollo personal y profesional. El incremento en la conectividad de la sociedad en su conjunto, acarrea vulnerabilidades que requieren de la atención de parte de los distintos actores involucrados. En el Ecuador, conscientes de la necesidad de protección en el ciberespacio, en julio del año 2014 se creó el EcuCERT, reconocido como un CIRT (Critical Incident Response Team) nacional oficial de acuerdo al índice mundial de ciberseguridad y perfiles de ciberbienestar (ITU, 2015) y miembro certificado FIRST (Forum of Incident Response and Security Teams).
La Comunidad Objetivo del EcuCERT de ARCOTEL está conformada por: el sector de las telecomunicaciones nacionales y las instituciones públicas, así como aquellas del sector privado que demanden los servicios que EcuCERT ofrece. Si bien EcuCERT está reconocido como un punto de contacto nacional e internacional para la gestión de vulnerabilidades e incidentes, sus atribuciones se enmarcan en el sector de telecomunicaciones, conforme la Ley Orgánica de Telecomunicaciones que lo rige.
En agosto de 2018, la ARCOTEL expidió la “Norma Técnica para Coordinar la Gestión de Incidentes y Vulnerabilidades que Afecten a la Seguridad de las Redes y Servicios de Telecomunicaciones”. En esta norma se establece: la definición de un catálogo de vulnerabilidades e incidentes, tiempos de respuesta, protocolo para la clasificación de la información, mecanismo para el intercambio de información sobre un evento de seguridad y auditorías de seguridad para identificar vulnerabilidades en la infraestructura de los Prestadores de Servicios de Telecomunicaciones. La falta de regulación en materia de ciberseguridad hace que la aplicación de la normativa excluya a otros sectores por lo que el accionar del EcuCERT es limitado fuera del ámbito de las telecomunicaciones; no obstante, se emiten reportes sobre vulnerabilidades e incidentes a varias instituciones del Estado; así como, consejos y recomendaciones técnicas.
A nivel nacional existen Centros de Respuesta a Incidentes de Seguridad Informática (CSIRT) en las siguientes áreas: académica, defensa, sector privado y sector financiero. Es fundamental articular una estructura o sistema para coordinar sus acciones, y de ese modo, trabajar de manera integrada, en base a protocolos normativa y lineamientos nacionales. El EcuCERT debe fomentar la generación de más CSIRT coordinadores sectoriales, a fin de gestionar los incidentes de manera nacional e intersectorial.
Actualmente, existen trece CSIRT en Ecuador, a través de los cuales; y, enmarcados en un trabajo colaborativo con EcuCERT, se han ejecutado varias acciones técnicas frente a incidentes a nivel nacional. Así mismo, el Ministerio de Gobierno y la Policía Nacional del Ecuador han proyectado la creación de un CSIRT específico que permita la gestión de incidentes informáticos en materia de seguridad pública y ciudadana. Para ello se establecerán los mecanismos formales de colaboración, coordinación, intercambio de información, responsabilidades y respuesta a incidentes, a través de un protocolo nacional de gestión de incidentes nacionales.
Debido a la emergencia sanitaria que se atraviesa a nivel mundial producto de la pandemia por el COVID-19, los gobiernos se han visto obligados a tomar medidas emergentes como el teletrabajo, la teleducación y la telemedicina. En este sentido, organismos e instituciones públicos y privados, así como la población en general, han optado por dichas modalidades. A raíz de esta situación se evidencia un incremento exponencial de incidentes en el ciberespacio en lo que va de este año. En Ecuador, la mayoría de organismos, instituciones y ciudadanía, no están preparados adecuadamente para enfrentar los riesgos asociados a la seguridad de la información debido a la falta de regulación, políticas, conciencia y herramientas que permitan contar con un ciberentorno seguro.
La cultura de la ciberseguridad en Ecuador no se ha consolidado en su totalidad por cuanto no existe una conciencia generalizada de los riesgos asociados al uso de la Tecnología de la Información y la Comunicación, en especial la Internet. Es decir, no se reconoce a la seguridad en el ciberespacio como un tema prioritario y esto implica que no se toman medidas proactivas para mejorarla. De igual manera, la baja implementación de buenas prácticas de ciberseguridad aumenta las susceptibilidades a diversas amenazas cibernéticas y delitos informáticos. El país no cuenta con una política nacional que impulse la inversión de recursos para la educación en ciberseguridad. Las mallas escolares no abordan la temática y las universidades no ofrecen carreras enfocadas a la misma. Sin embargo, las discusiones sobre la necesidad de incluir programas de ciberseguridad a nivel universitario han comenzado y existen pocas propuestas de maestrías en temas de ciberseguridad. Se espera que esta política impulse estos programas para que a futuro se pueda cubrir la demanda nacional de profesionales especializados.
En Ecuador están disponibles certificaciones profesionales en ciberseguridad, la mayoría de estas por parte de entidades internacionales. Esto quiere decir que existe una dependencia internacional en lo que respecta a certificaciones tanto para personas como para instituciones. Además, existe un desconocimiento sobre las mismas y algunas son demasiado costosas para el público en general, razón por la cual en muchos casos no se adquieren estas certificaciones.
A nivel gubernamental, una problemática constante es la obsolescencia de los equipos (hardware) y las restricciones presupuestarias para adquirir bienes de larga duración, así como, licencias de software, lo que se configura como un reto para la protección de la información y la labor de las entidades de control. Un mayor uso de la Internet implica un aumento en la vulnerabilidad de la ciudadanía que hace uso de esta herramienta, tanto en lo profesional como en lo cotidiano. El aprovechamiento de estas vulnerabilidades en el ciberespacio por parte de actores delictuales se ha convertido en una nueva forma de atentar contra los derechos de las personas. Los delitos informáticos son desterritorializados, es decir que no necesariamente se anclan a las naciones, teniendo capacidades transfronterizas que limitan el actuar policial basado en la circunscripción territorial. Este tipo de delito pasa completamente desapercibido para la víctima quien, por lo general, no es consciente de haber sido perjudicada. Lo que conlleva que la mayoría de veces quienes han sido afectados, no presenten la debida denuncia ante las autoridades.
A esto se suma la ausencia de un marco regulatorio que permita conocer los procedimientos policiales y judiciales para identificar y judicializar delitos informáticos, así como la no adhesión a convenios internacionales existentes, que faciliten acciones de cooperación en el ámbito de delitos transnacionales en el ciberespacio.
Las unidades dedicadas al seguimiento e investigación de delitos informáticos requieren incrementar el talento humano especializado en áreas tecnológicas y el número de personal existente para atender oportunamente los requerimientos de la ciudadanía. En este ámbito se requiere que el personal involucrado cuente con capacitación y especialización a nivel de educación superior con el objetivo de tener un dominio de las herramientas existentes y aprovechar al máximo la tecnología, en la lucha contra los delitos informáticos.
La información que mantiene el Ministerio de Gobierno evidencia que el principal delito informático que afecta a la población es la apropiación fraudulenta por medios electrónicos. La siguiente tabla muestra el listado de delitos informáticos registrados en los años 2018, 2019 y 2020
Gráfico 1: Principales delitos informáticos en Ecuador 2018-2019-2020
(…)
Fuente: UIDT-DNPJ
En base al riesgo que representan estos delitos y el mal uso del ciberespacio y de las TIC para la ciudadanía y el bienestar de un país, surge la necesidad de estructurar unidades especializadas de las distintas carteras de Estado para identificar, diagnosticar, prevenir y contrarrestar incidentes cibernéticos y demás acciones ilegales que puedan presentarse en el ciberespacio.
Cabe mencionar que las innovaciones en las plataformas de delito cibernético tienen una mayor facilidad de uso y la popularidad de estos servicios conlleva a ataques más eficientes, inclusive siendo empleados por todos los demás grupos de actores de amenaza.
En el marco de la prevención de incidentes cibernéticos se ha priorizado la protección de infraestructuras críticas digitales y servicios esenciales. Salvaguardar estas infraestructuras y servicios no es una tarea nueva, por cuanto desde la óptica de soberanía y seguridad del Estado ya se identificaban áreas estratégicas a defender. Los nuevos enfoques de la seguridad implican un cambio en la óptica de estos espacios vitales para el Estado, los cuales, en torno a consideraciones de desarrollo, económicas, ambientales y de seguridad, amplían el alcance y la concepción de estas infraestructuras. A nivel regional, el Comité Interamericano contra el Terrorismo (CICTE), de la Organización de los Estados Americanos (OEA), define a las infraestructuras críticas digitales y servicios esenciales como aquellas instalaciones, sistemas y redes, así como servicios y equipos físicos y de tecnología de la información, cuya inhabilitación o destrucción tendría un impacto negativo sobre la población, la salud pública, la seguridad, la actividad económica, el medio ambiente, servicios de gobierno, o el eficaz funcionamiento de un Estado (…) y que cualquier interrupción de estos (…) tendría graves consecuencias para los flujos de servicios esenciales y el funcionamiento de las cadenas de suministros (OEA/Ser.L/X.2.15; CICTE/doc.1/15).
En lo nacional es imperante desarrollar una concepción de sectores estratégicos que contemple el concepto de protección de la infraestructura crítica digital y servicios esenciales planteado por la OEA. En este sentido, el Ecuador tiene la necesidad de actualizar o desarrollar normativas y regulaciones nacionales que permitan fortalecer la protección de estas infraestructuras y sus servicios. El Estado ecuatoriano reconoce como una prioridad la protección de las infraestructuras críticas y servicios esenciales, por cuanto las mismas se ven amenazadas por hechos de origen antrópico y también natural. En el país, la mayoría de estas infraestructuras y servicios, tanto públicos como privados, dependen de las TIC y TO para su normal funcionamiento. La vulneración de estos sistemas, ocasionaría la falla e interrupción de servicios esenciales para la sociedad, con graves consecuencias para la población.
Determinar las vulnerabilidades de estas infraestructuras requiere, en principio, su identificación y definición a nivel nacional; su protección es responsabilidad del Estado, de los operadores y de la sociedad civil en general, siendo entonces fundamental la coordinación y cooperación entre sectores públicos y privados.
B. Análisis de Riesgos y Amenazas
La identificación de las tendencias emergentes sobre las amenazas cibernéticas y la comprensión de la evolución de los delitos cibernéticos son importantes para la ciberseguridad nacional. El panorama de amenazas cibernéticas proporciona información sobre los desarrollos internacionales relacionados con las amenazas en este aspecto; sin embargo, cada país tiene sus propias peculiaridades. Es vital entender el panorama nacional de amenazas cibernéticas para desarrollar las capacidades de ciberseguridad necesarias y mitigar efectivamente los riesgos en el ciberespacio.
Los ciberataques y ciberdelitos tienen como característica fundamental el ser difíciles de rastrear. Al ser ataques y delitos que se realizan remotamente, su persecución no puede valerse de procedimientos ordinarios, requiriéndose necesariamente de análisis o peritajes informáticos. Además de su carácter remoto, este tipo de ataques y/o delitos se valen de técnicas para ocultar la locación desde la cual se originan. Los ataques informáticos por ejemplo pueden utilizar filtros como proxy chains o virtual private networks (VPN) que evitan los enlaces directos entre las máquinas que realizan los ataques y los servidores de internet, esto hace que los protocolos de internet (IP por sus siglas en inglés) cambien cuando se navega por internet, dificultando a las instituciones del orden conocer la locación, incluso el país de donde se producen estos ataques.
La deep web es un ejemplo de cómo los ciberdelincuentes anonimizan su conexión por internet, navegando por páginas web no indexadas a los motores de búsqueda y evitando los registros o memoria de los buscadores convencionales como Yahoo, Bing, Google, entre otros. Lo anterior, les permite realizar transacciones y demás actividades no autorizadas por ley en el ámbito cibernético. A esto se suma la dark web que consiste en las páginas web que no pueden ser indexadas por motores de búsqueda y para acceder a ellas se necesita software y configuraciones específicas, manteniendo enlaces encriptados entre el usuario y los servidores de internet.
El ciberespacio además de permitir el surgimiento de nuevos tipos de delitos, han perfeccionado delitos de tipificaciones no tan actuales, como es el caso de la pornografía infantil, la cual implica la representación, por cualquier medio, de un niño involucrado en actividades sexuales explícitas reales o simuladas o de sus partes íntimas con fines sexuales (UNCRC La Convención de las Naciones Unidas sobre los Derechos del Niño, 2002). Las páginas web del deep web y dark web han permitido la consolidación de comercialización de material pornográfico, de armas, de drogas, trata de personas y tráfico de personas. Se han creado verdaderos mercados ilícitos virtuales y anónimos dentro del internet, los cuales se han convertido en maneras de delinquir.
En definitiva, prácticamente todos los delitos comunes se han potenciado con el uso de internet, de las tecnologías comunicacionales y las técnicas de anonimato. Delitos como la extorsión, anteriormente se lo consideraba ligado al secuestro de las personas o al robo de sus bienes tangibles, pero al momento se dan extorsiones en línea, ejerciendo presión a la víctima sobre su información personal y digital, amenazándola con difundir o eliminar su información, obteniendo réditos económicos a cambio de no publicarla. El Ecuador es vulnerable ante las amenazas cibernéticas, esto de acuerdo al Índice Global de Ciberseguridad (GCI), emitido por la ITU, publicado el 09 de julio de 2019, que ubica al país en el puesto 98 de 193, siendo 193 el país con mayores vulnerabilidades a nivel mundial. El número de ataques cibernéticos dirigidos para Ecuador, detectados por la firma de antivirus Kaspersky Lab (2020), refleja que el Ecuador se encuentra en el puesto número 89 de países más atacados en el mundo.
Figura 2: Índice Global de Ciberseguridad (GCI por sus siglas en inglés)
(…)
Fuente: Índice Global de Ciberseguridad (GCI)
La encuesta multipropósito TIC 2019, realizada por el Instituto Nacional de Estadísticas y
Censos (INEC), refleja que el porcentaje de hogares con acceso a la Internet se ha incrementado en los últimos años; en 2019 el 45.5% de hogares a nivel nacional tuvieron acceso a internet. Esta misma encuesta indica que los niños, niñas y adolescentes entre 5 y 17 años, utilizan el internet principalmente desde su hogar (64.5%), desde centros de acceso público (15%) y desde su institución educativa (13.1%). En menor medida lo usan en el trabajo o en otros lugares.
En cuanto al uso de teléfono celular inteligente, en 2019 el 12.2% de personas que tienen teléfono celular inteligente, son niños, niñas y adolescentes entre 5 y 15 años de edad, frente a 1,2% de niños, niñas y adolescentes entre 5 y 15 años de edad que tenían teléfono celular inteligente en el año 2012.
Sin duda, la tecnología y la experiencia digital tienen muchos aspectos positivos, sin embargo, la exposición al mundo digital sin un entorno seguro, implica muchos riesgos, en particular, para niños, niñas y adolescentes: desde trastornos relacionados con el juego, riesgos financieros, recopilación y monetización de datos personales, ciberacoso, ciberbulling, discursos de odio, racismo, violación a la intimidad y/o datos personales y exposición a conductas o contenidos inapropiados, entre otros.
Según la firma ESET, el Ecuador se encuentra entre los 10 países de América Latina más afectados por software malicioso (malware).
Gráfico 2: Detecciones de Ransomware por país
(…)
Fuente: ESET Security Report Latinoamerica 2020
En el Informe anual de esta firma; Security Report Latinoamerica 2020 se menciona que la seguridad no solo aborda al área tecnológica, también es necesario complementarla con políticas, planes que permitan gestionar adecuadamente la seguridad de la información.
Esto último se ve reflejado precisamente en que casi el 98% de las empresas en la región cuenta con algún control basado en tecnología. Sin embargo, aún el 39% de las empresas no cuenta con políticas de seguridad y apenas un 28% clasifica su información.
Gráfico 3: Niveles de implementación de prácticas de gestión para la seguridad por país
(…)
Fuente: ESET Security Report (ESR) 2020
En el informe anual Security Report (ESR) del 2019, ofrece un panorama sobre el estado de la seguridad digital en los sectores gubernamental, financiero, telecomunicaciones, tecnología y salud en la región. El informe evidencia que la adopción de las medidas y tecnologías de protección es mayor en el sector financiero, ubicándose en los dos últimos puestos los sectores de salud y de gobierno.
Gráfico 4: Implementación de medidas de protección de seguridad por sector en Latinoamérica, 2019.
(…)
Fuente: ESET Security Report 2019.
EDR: Endpoint Detection and Response, 2AF: Segundo factor de Autenticidad; Cifrado: En el año 2019, según el informe realizado por la firma consultora NRD Cyber Security, “Panorama de Amenaza Cibernética y Revisión de la Capacidad de la Ciberseguridad en Ecuador, se identificó que las 10 principales ciberamenazas que afectan al país son:
suplantación de identidad, correo no deseado, software malicioso, fuga de información, amenaza interna, manipulación física, robo de identidad, ataques de aplicaciones web, programa de secuestro de datos, denegación de servicio, ataques basados en la web, violaciones de datos, redes de bots, minería de criptomonedas maliciosa y espionaje cibernético (6). Entre estas amenazas se mencionan tanto vectores de ataque como acciones maliciosas, los cuales son empleados por una variedad de actores. Los vectores de ataque permiten ejecutar acciones contra los países, sus instituciones, empresas y ciudadanos. El ciberespionaje y/o ciber sabotaje facilita a los actores de amenaza a mejorar su posición estratégica, geopolítica, económica o tecnológica, pudiendo inclusive para este fin llegar a interrumpir la normal prestación y el funcionamiento de la infraestructura crítica y servicios esenciales. Así mismo, algunos de estos actores están en condiciones de obtener, encriptar y eliminar información; impedir accesos y, de este modo, generar afectaciones a la sociedad en su conjunto.
Entre estos actores, uno de los más activos en el Ecuador son los delincuentes cibernéticos. Su principal motivo es la monetización, por lo tanto, dan lugar a amenazas como la suplantación de identidad, software malicioso, entre otros, con el objetivo de atacar a víctimas con un alto potencial de réditos. Otro actor son los Estados naciones, que han desarrollado capacidades ofensivas cibernéticas muy complejas, las que emplean con fines militares y geopolíticos. La desinformación es otra amenaza, que puede originarse desde los Estados naciones o por parte de los actores internos (insiders), por cuanto el ciberespacio les permite aumentar la velocidad, la escala y la intensidad de estas campañas. Las corporaciones también se consideran actores que utilizan diferentes vectores a fin de obtener conocimiento competitivo. Por otra parte, los hacktivistas constituyen un grupo de agentes de amenaza con diversas motivaciones y sus actividades se centran principalmente en la lucha por una causa en particular. Sus objetivos suelen ser el gobierno, las organizaciones del sector público y las empresas. Los actores internos actúan maliciosa o inadvertidamente con diversas motivaciones, entre estas las ganancias financieras; pero, son las acciones no intencionales de los funcionarios y empleados las que están causando la mayor parte del daño a entidades y empresas. Algunos expertos en ciberseguridad ubican a este grupo de agentes de amenaza como una segunda fuente de riesgo después de los ciberdelincuentes. Todas estas acciones y situaciones llevaron a la nominación, desarrollo y descripción de los pilares que conforman la política que nos ocupa.
PILARES
Los competidores estratégicos del Ecuador, conducen campañas cibernéticas para erosionar nuestro ciberespacio, amenazan nuestra infraestructura crítica y reducir nuestra prosperidad económica. El Gobierno del Ecuador debe perseguir, métodos innovadores para aprovechar nuestras capacidades y recursos existentes en el manejo estratégico de los riesgos en el ciberespacio. Se han creado pilares que aseguran la existencia y disponibilidad de las funciones críticas de la nación, a la vez que promueven eficacia, innovación, comunicación confiable y prosperidad económica. Estos Pilares cibernéticos son consistentes con nuestros valores nacionales e intentan proteger las libertades de nuestros ciudadanos.
I) Gobernanza de la ciberseguridad
Los actores involucrados y sus interacciones en el sistema de ciberseguridad son la base para la organización en este ámbito. Es por esto que es necesario la conformación de un cuerpo colegiado con el propósito de articular los lineamientos y acciones que aportan al fortalecimiento de la ciberseguridad en el país, que será el “Comité Nacional de Ciberseguridad”.
En la actualidad existe un Grupo Interinstitucional de Ciberseguridad para el desarrollo de la política compuesto por las siguientes instituciones: el Ministerio de Telecomunicaciones y Sociedad de la Información (MINTEL), quién preside el grupo, el Ministerio de Gobierno (MDG), el Ministerio de Defensa (MDN), el Centro de Inteligencia Estratégica (CIES) y el Ministerio de Relaciones Exteriores y Movilidad Humana (MREMH).
El Gabinete Sectorial de Seguridad elaboró una propuesta para la creación de cuerpos colegiados con roles, funciones y responsabilidades determinadas. Uno de ellos es el Comité Nacional de Ciberseguridad, cuya estructura sería la misma que la que actualmente tiene el Grupo Interinstitucional de Ciberseguridad, presidida por MINTEL. La emisión de la política deberá incluir una disposición de creación del cuerpo colegiado.
II) Sistemas de información y gestión de incidentes
Este pilar se enfoca en la protección de los sistemas que permiten el procesamiento de datos en todo nivel, por cuanto son fundamentales para las actividades de entidades, empresas y ciudadanía. En este sentido, se considera fundamental la atención a incidentes informáticos que afecten a estos sistemas impactando la confidencialidad, integridad y disponibilidad de los datos y la entrega y calidad de los servicios.
En este aspecto, el Ecuador mantiene una estructura para el manejo de incidentes de seguridad informática, siendo el EcuCERT la instancia de coordinación nacional. En consecuencia, se fortalecerá la normativa vigente a fin de que ECUCERT pueda establecer mecanismos de articulación y coordinación con los CERT existentes en el país. Este pilar enmarca acciones dirigidas a potenciar la capacidad del país en base a la articulación de los distintos actores, como, instituciones públicas, sector privado, academia, sociedad civil para la atención de eventos en el ciberespacio.
III) Protección de la infraestructura crítica digital y servicios esenciales
Las acciones que se generan en torno a este pilar están encaminadas a construir las condiciones necesarias de robustez y resiliencia para garantizar el normal funcionamiento de las infraestructuras críticas digitales y minimizar el impacto de incidentes en las mismas. Estas infraestructuras pueden ser vulneradas por medios informáticos, tecnológicos y a través de redes de datos en el ciberespacio. Las repercusiones de estas vulneraciones no se limitan a la parte digital, sino que afectan la parte física en lo referente a su operatividad, la cual se entiende como vital para el desarrollo del país. Este pilar considera la existencia de infraestructuras críticas digitales y servicios esenciales en diversos ámbitos, cuya afectación, denegación, interrupción o destrucción puede tener consecuencias importantes para los ecuatorianos. La economía, salud pública, sistemas electorales, seguridad, el funcionamiento del Estado y del sector privado, pueden verse vulnerados directamente, impactando el bienestar de la ciudadanía en general. La protección de estas infraestructuras y servicios exige el trabajo coordinado de todos los actores privados y públicos involucrados, asegurando así su funcionamiento y la entrega de servicios esenciales para la ciudadanía. Por otro lado, su defensa es una parte primordial de la garantía de la integridad territorial y la soberanía nacional.
IV) Soberanía y defensa
Este pilar se fundamenta en el reconocimiento del ciberespacio como un dominio, donde las vulneraciones a los activos digitales y sus afectaciones en el entorno físico, pueden atentar contra la ciudadanía y el Estado en su totalidad. La ciberdefensa es un complemento de la ciberseguridad, que provee la defensa contra las amenazas en el ciberespacio en beneficio de toda la población. Ésta se fundamenta en las líneas de acción estratégica de la Política de Defensa 2018 y en el respeto al Derecho Internacional.
El Ecuador promueve una cultura de paz en este dominio, manteniendo como principios la transparencia y la cooperación en ciberdefensa. Este pilar propende el fortalecimiento de la seguridad internacional y el fomento de la confianza entre los Estados, impulsando el diálogo regional e internacional en este ámbito.
El ser humano constituye el eje central de esta política; y, en ese sentido, defender las infraestructuras críticas digitales, tanto en el Ecuador como en las sedes diplomáticas, agregadurías militares, oficinas consulares y oficinas comerciales, se consolida como uno de los objetivos de la ciberdefensa.
La Defensa Nacional contribuirá al desarrollo de la capacidad nacional de resiliencia, para hacer frente a las amenazas que se presenten en el ciberespacio, manteniendo la paz y protegiendo a la población y sus recursos.
V) Seguridad pública y ciudadana
Como parte de una competencia exclusiva del Estado, este pilar obedece a las acciones que se desarrollan para garantizar y proteger los derechos humanos y las libertades ciudadanas, así como la protección de las personas ante un amplio espectro de riesgos y amenazas en el ámbito de los delitos informáticos en el ciberespacio. Para ello se busca afianzar la convivencia social pacífica en todo ámbito, previniendo, avizorando y contrarrestando de acuerdo a las facultades legales, cualquier acción que atente o pretenda transgredir las normas establecidas, con especial énfasis en el dominio digital.
El ordenamiento jurídico penal ecuatoriano abordará concomitantemente el delito cibernético y garantizará la protección de los derechos fundamentales y el estado de derecho.
VI) Diplomacia en el ciberespacio y cooperación internacional
Las amenazas que enfrentamos en el ciberespacio son, en mayor medida, transnacionales y la única forma de abordarlas de manera efectiva es a través del diálogo, la cooperación internacional y la creación y fortalecimiento de la confianza. En este sentido, el rol de la diplomacia se vuelve relevante, posicionando al Ecuador en la agenda digital global y regional, en varias esferas, tales como la seguridad internacional, los derechos humanos, el desarrollo sostenible, la cooperación internacional, el comercio mundial, entre otros.
Además, la diplomacia reviste de tal importancia debido a que en este tema están en juego cuestiones geopolíticas como la gobernanza del Internet, la seguridad e incluso el ciberconflicto.
Se debe garantizar la calidad de los procesos y seguridad de la información de los órganos del servicio exterior, agregadurías, procesos electorales, oficinas comerciales y, en general, servicios por delegación fuera del país. Para cumplir con este objetivo se deberá realizar el desarrollo normativo, tecnológico y la actualización pertinente de procesos y servicios.
Se reconocen los esfuerzos de la comunidad internacional para el desarrollo de medidas de fomento de la confianza, especialmente en el ámbito interamericano, con el objetivo de minimizar las situaciones de conflictos en el ciberespacio a través de la diplomacia.
VII) Cultura y educación de la ciberseguridad
Las acciones enmarcadas en este pilar promulgan el desarrollo educativo en el ámbito de seguridad en el ciberespacio y fomentan la construcción de una cultura de ciberseguridad que va desde la ciudadanía hasta las entidades públicas o privadas, con el objeto de construir una cultura y generar una conciencia compartida de los riesgos y amenazas en el ciberespacio. Es fundamental que el país trabaje en el desarrollo de capacidades de los ciudadanos, en todos los niveles de educación, al incluir elementos específicos de la educación en cibernética. El fomento de habilidades en ese ámbito puede desarrollarse en todo momento de la vida educativa de una persona, lo que coadyuvará a contar con una fuerza laboral preparada. El Estado ecuatoriano debe formular políticas educativas al respecto e impulsar el aumento de la oferta académica de tercer y cuarto nivel relacionada directamente con la temática. Así también, es necesario que las universidades, centros de investigación y otras instituciones académicas incluyan a la educación en cibernética entre sus prioridades de investigación.
Este pilar se basa en la necesidad de establecer buenas prácticas y fortalecer el conocimiento de la población en ciberseguridad, por cuanto los usuarios son el principal objetivo por proteger. En este ámbito, las personas son consideradas la primera línea de protección ante los riesgos y amenazas en el ciberespacio.
OBJETIVOS Y LÍNEAS DE ACCIÓN
La política nacional de ciberseguridad establecerá lineamientos para la coordinación de actividades de todas las partes interesadas relevantes en seguridad cibernética, quienes tendrán funciones, responsabilidades claras respaldadas con capacidades operativas suficientes.
OBJETIVO GENERAL
Construir y fortalecer las capacidades nacionales que permitan garantizar el ejercicio de los derechos y libertades de la población y la protección de los bienes jurídicos del Estado en el ciberespacio, encaminando acciones para garantizar un ciberespacio seguro.
Este objetivo contribuirá de manera directa al desarrollo social, económico y humano del país, así como a la creación de una confianza digital fundamental para favorecer el intercambio de información y, en consecuencia, de bienes y servicios en línea, fortaleciendo el compromiso del estado con la ciberseguridad, la cual tiene un campo de aplicación que abarca todas las industrias y todos los sectores, tanto vertical como horizontalmente.
OBJETIVOS ESPECÍFICOS Y LÍNEAS DE ACCIÓN
1. Promover la cooperación entre el sector público y privado a nivel nacional fomentando la confianza y generando respuestas comunes a los riesgos y amenazas del ciberespacio.
1.1. Establecer un marco normativo e institucional con funciones y responsabilidades de los actores gubernamentales para la ciberseguridad;
1.2. Adoptar un marco de gestión del riesgo cibernético e integrarlo con un enfoque de resiliencia y seguridad nacional.
1.3. Articular los diferentes planes, programas y proyectos con las instituciones del sector público y los demás actores involucrados en esta temática.
1.4. Impulsar la formulación y promulgación de normativa y la adopción de buenas prácticas que viabilicen la interacción y trabajo colaborativo entre los diversos actores del ciberespacio.
2. Potenciar las capacidades de detección, previsión, prevención y gestión de los incidentes cibernéticos, al igual que el manejo de crisis de ciberseguridad de manera oportuna, efectiva, eficiente y coordinada.
2.1. Desarrollar e implementar procesos y herramientas comunes de gestión y atención a incidentes cibernéticos a nivel nacional sobre la base de protocolos de gestión, modelamiento de escenarios de posible ocurrencia e impacto.
2.2. Establecer mecanismos de coordinación interinstitucional que permitan el intercambio efectivo de información y el reporte de incidentes cibernéticos.
2.3. Definir e implementar procedimientos interinstitucionales que fortalezcan la resiliencia cibernética.
2.4. Impulsar el desarrollo y/o actualización de un marco normativo para el sistema nacional de gestión y atención de incidentes en el ciberespacio y definir competencias claras para cada uno de los actores involucrados.
2.5. Fortalecer la capacidad de los CSIRT como elementos clave del sistema nacional de gestión y atención de incidentes cibernéticos. 2.6. Fortalecer la capacidad de protección de datos, información, activos y servicios digitales en el sector público garantizando así la seguridad de los mismos y confianza en el ciberespacio.
2.7. Implementar sistemas de enlace prioritarios normalizados ante crisis cibernéticas
3. Proteger la infraestructura crítica digital del Estado ante amenazas y riesgos en el ciberespacio para garantizar su adecuado funcionamiento y la entrega de servicios esenciales. 3.1. Establecer una metodología compatible con estándares internacionales para la evaluación de riesgos y amenazas.
3.2. Establecer estrategias para evaluar el estado de la ciberseguridad a nivel estatal.
3.3. Identificar y definir la infraestructura crítica digital (ICD) a nivel nacional, teniendo en cuenta que engloba múltiples sectores, basándose en consideraciones políticas, sociales, económicas y ambientales.
3.4. Reducir el nivel de vulnerabilidades identificadas en la infraestructura crítica digital, fundamentado en la gestión de riesgos. 3.5. Establecer e implementar un modelo de coordinación entre las instituciones del Estado y los propietarios de las ICD, en base a la construcción de confianza.
3.6. Fortalecer la capacidad de resiliencia para asegurar la disponibilidad de las IC y servicios esenciales.
3.7. Fortalecer la capacidad de defensa de las áreas reservadas de seguridad e ICD en el ciberespacio en línea con la política exterior ecuatoriana.
3.8. Organizar ejercicios nacionales de ciberseguridad para evaluar la efectividad de los planes de contingencia establecidos.
3.9. Simular escenarios de crisis cibernética para la defensa y evaluar la respuesta de las mismas.
3.10. Impulsar un marco normativo y de buenas prácticas que fundamente la protección y defensa de las infraestructuras críticas digitales y servicios esenciales.
3.11. Monitorizar, analizar, mitigar y neutralizar las amenazas para reducir el nivel de riesgos en el ciberespacio con impacto en la soberanía del país.
3.12. Fortalecer las capacidades institucionales y operativas de defensa, exploración y respuesta ante la situación de ciberataques.
4. Resguardar la seguridad pública y ciudadana en el ciberespacio, previniendo y contribuyendo a la investigación de delitos cibernéticos, para el normal desarrollo de las actividades públicas y privadas, y el ejercicio de los derechos fundamentales de la ciudadanía, en un entorno de confianza.
4.1. Proteger los activos digitales tanto públicos como privados dentro del ámbito de delitos informáticos que atenten a la seguridad ciudadana en el ciberespacio.
4.2. Fortalecer las capacidades institucionales y operativas para la prevención, previsión y respuesta ante la suscitación de ciberdelitos.
4.3. Establecer y promover mecanismos de denuncia del delito cibernético.
4.4. Adaptar el ordenamiento penal interno relativo al cibercrimen con los estándares internacionales.
5. Potenciar la diplomacia ecuatoriana en el ámbito de la ciberseguridad por medio de los espacios de cooperación a nivel regional e internacional, en línea con el interés nacional y la política exterior del Ecuador. 5.1. Insertar al Ecuador en la agenda digital global y regional.
5.2. Representar al Ecuador en las negociaciones sobre la temática en foros internacionales y posicionar la agenda digital en las relaciones bilaterales, regionales y multilaterales.
5.3. Liderar el camino para la adhesión del Ecuador a la Convención de Budapest y otros instrumentos internacionales, que respondan al interés nacional.
5.4. Transversalizar los asuntos digitales nacionales en el marco de cumplimiento de la Agenda 2030 para el Desarrollo Sostenible.
5.5. Fortalecer la cooperación internacional en asuntos de ciberseguridad.
6. Generar una cultura de ciberseguridad y promover el uso responsable del ciberespacio en el Ecuador. 6.1. Fomentar la conciencia ciudadana, empleo responsable de las tecnologías y promoción de conocimiento en el ámbito de la ciberseguridad., así como también promover campañas de sensibilización sobre las distintas formas de violencia y delitos cibernéticos para su prevención.
6.2. Impulsar planes, proyectos e iniciativas de educación en ciberseguridad en todos los niveles, que contribuyan al fortalecimiento en la construcción de las capacidades nacionales.
RESPONSABILIDADES DE LAS ÁREAS DE OPERACIÓN.
Para cumplir con la ejecución de la Política Nacional de Ciberseguridad (PNC), se precisa establecer responsables directos y permanentes para cada uno de los pilares y objetivos establecidos. Además, es necesaria la coordinación estratégica de cada una de las instituciones responsables en materia de ciberseguridad, a fin de mejorar la eficiencia y eficacia en el ámbito de la Ciberseguridad. Las responsabilidades acordes a las necesidades y en función de los roles y tareas que cada institución debe cumplir, quedan establecidas de la siguiente manera.
(…)
SEGUIMIENTO Y MONITOREO DE LAS LÍNEAS DE ACCIÓN
La definición de objetivos específicos, metas, indicadores y responsables descritos a continuación, corresponden a las líneas de acción definidas a corto y mediano plazo. Estas líneas se plantean hasta el año 2023 y que deben implementarse en las instituciones de la administración pública, a partir de la aprobación de la presente política.
En este sentido el indicador general de gestión de esta política se enmarca en el Índice de Ciberseguridad Global (GCI), el cual se lo define en base a 25 indicadores, los cuales están repartidos dentro de 5 pilares definidos en la Agenda Global de Ciberseguridad de la ITU. La Agenda Global de Ciberseguridad de la ITU es un marco para la cooperación internacional orientada a mejorar la confianza y la seguridad en la sociedad de la información.
Se sugiere la revisión del presente instrumento y de la normativa relacionada directa o indirectamente con la política cada 3 años, o cuando se produzca un cambio de mandato institucional. Así se podrá verificar la eficacia y eficiencia de las líneas de acción establecidas, las cuales permitirán al país lograr una mejor resiliencia cibernética nacional y garantizar el bienestar de una nación.
(…)
REFERENCIAS
CCN-CERT CENTRO CRIPTOLÓGICO NACIONAL. (2015). HTTPS://WWW.CCN-CERT.CNI.ES/. OBTENIDO DE HTTPS://WWW.CCN-CERT.CNI.ES/PDF/GUIAS/GLOSARIO-DE-TERMINOS/22-401-DESCARGARGLOSARIO/FILE.HTML
E-GOVERNMENT SURVEY 2020. (JULIO DE 2020).
HTTPS://PUBLICADMINISTRATION.UN.ORG/EN/RESEARCH/UN-E-GOVERNMENT-SURVEYS.
ESET. (2020). SECURITY REPORT LATINOAMERICA 2020. OBTENIDO DE HTTPS://WWW.WELIVESECURITY.COM/WP-CONTENT/UPLOADS/2020/08/ESET-SECURITY-REPORTLATAM_2020.PDF
INTERPOL. (2017). INFORME ANUAL DE INTERPOL – 2017.
JOINT COMMITTEE ON HUMAN RIGHTS. (2002).
HTTPS://PUBLICATIONS.PARLIAMENT.UK/PA/JT200203/JTSELECT/JTRIGHTS/117/117.PDF. OBTENIDO DE HTTPS://PUBLICATIONS.PARLIAMENT.UK/PA/JT200203/JTSELECT/JTRIGHTS/117/117.PDF
UIT – UNIÓN INTERNACIONAL DE TELECOMUNICACIONES. (NOVIEMBRE DE 2019). ITU. OBTENIDO DE HTTPS://WWW.ITU.INT/ES/MEDIACENTRE/PAGES/2019-PR19.ASPX
UNCRC LA CONVENCIÓN DE LAS NACIONES UNIDAS SOBRE LOS DERECHOS DEL NIÑO. (2002).
HTTPS://PUBLICATIONS.PARLIAMENT.UK/PA/JT200203/JTSELECT/JTRIGHTS/117/117.PDF. OBTENIDO DE HTTPS://PUBLICATIONS.PARLIAMENT.UK/PA/JT200203/JTSELECT/JTRIGHTS/117/117.PDF
Memorando Nº MINTEL-SGERC-2021-0134-M
Quito, D.M., 27 de abril de 2021
PARA: Sr. Econ. Julio Cesar Muñoz Bravo, Viceministro de Tecnologías de la Información y Comunicación
ASUNTO: Solicitud de aprobación del Informe Técnico de motivación de la Política Nacional de Ciberseguridad y elaboración del Acuerdo Ministerial
De mi consideración:
El Ministerio de Telecomunicaciones y de la Sociedad de la Información (MINTEL), fue convocado a la Quinta sesión ordinaria del Gabinete Sectorial de Seguridad del 08 de mayo de 2019 como invitado, en las resoluciones emitidas por el Gabinete Sectorial de Seguridad, se destaca la resolución nº GSS-509, en la que se dispone que el Ministerio de Telecomunicaciones y de la Sociedad de la Información, deberá elaborar la Política Nacional de Ciberseguridad.
En consecuencia, dado que la ciberseguridad es una disciplina que está dentro del ámbito de la seguridad de la información y considerando que es un tema transversal, el Ministerio de Telecomunicaciones y de la Sociedad de la Información, como ente rector y en base a sus competencias lideró el desarrollo de la Política Nacional de Ciberseguridad, a través de un “Grupo interinstitucional de Ciberseguridad”, conformada por el Ministerio de Gobierno (MDG), el Ministerio de Defensa (MDN), el Centro de Inteligencia Estratégica (CIES) y el Ministerio de Relaciones Exteriores y Movilidad Humana (MREMH).
Una vez que la Política Nacional de Ciberseguridad fue aprobado por el Gabinete Sectorial de Seguridad, en su Vigésima Sesión Ordinaria de 1 de abril de 2021, le corresponde al Ministerio de Telecomunicaciones su publicación a través de un Acuerdo Ministerial.
En este contexto, el MINTEL a través de la Subsecretaría de Gobierno Electrónico y Registro Civil, ha elaborado el Informe técnico de motivación de la Política Nacional de Ciberseguridad que se adjunta a la presente.
En tal virtud se solicita su aprobación y se disponga a la Coordinación General Jurídica la elaboración del Acuerdo Ministerial.
(…)
1. ANTECEDENTES
1.1 Marco Normativo Nacional
Las facultades de interactuar en el ámbito de ciberseguridad las define la normativa nacional. La Constitución de la República del Ecuador garantiza la libre comunicación de las personas, la inviolabilidad de la información, la protección de datos personales y el derecho a la intimidad, en concordancia con la Ley Orgánica de Telecomunicaciones. Así mismo se garantiza, la seguridad integral y la prevención de riesgos y amenazas de todo orden, tanto desde la Constitución como desde la Ley de Seguridad Pública y del Estado. En ese contexto, la Política Nacional de Ciberseguridad fue construida y está amparada en el siguiente marco jurídico.
A. CONSTITUCIÓN DE LA REPÚBLICA
Artículo 3.- Son deberes primordiales del Estado:
1. Garantizar sin discriminación alguna el efectivo goce de los derechos establecidos en la Constitución y en los instrumentos internacionales, en particular la educación, la salud, la alimentación, la seguridad social y el agua para sus habitantes.
2. Garantizar y defender la soberanía nacional.
3. Fortalecer la unidad nacional en la diversidad.
4. Garantizar la ética laica como sustento del quehacer público y el ordenamiento jurídico.
5. Planificar el desarrollo nacional, erradicar la pobreza, promover el desarrollo sustentable y la redistribución equitativa de los recursos y la riqueza, para acceder al buen vivir.
6. Promover el desarrollo equitativo y solidario de todo el territorio, mediante el fortalecimiento del proceso de autonomías y descentralización.
7. Proteger el patrimonio natural y cultural del país.
8. Garantizar a sus habitantes el derecho a una cultura de paz, a la seguridad integral y a vivir en una sociedad democrática y libre de corrupción;
Artículo 16.- Todas las personas, en forma individual o colectiva, tienen derecho a:
1. Una comunicación libre, intercultural, incluyente, diversa y participativa, en todos los ámbitos de la interacción social, por cualquier medio y forma, en su propia lengua y con sus propios símbolos.
2. El acceso universal a las tecnologías de información y comunicación.
3. La creación de medios de comunicación social, y al acceso en igualdad de condiciones al uso de las frecuencias del espectro radioeléctrico para la gestión de estaciones de radio y televisión públicas, privadas y comunitarias, y a bandas libres para la explotación de redes inalámbricas.
4. El acceso y uso de todas las formas de comunicación visual, auditiva, sensorial y a otras que permitan la inclusión de personas con discapacidad. 5. Integrar los espacios de participación previstos en la Constitución en el campo de la comunicación;
Artículo 66.- Se reconoce y garantiza a las personas:
(…)
19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley.
(…)
21. El derecho a la inviolabilidad y al secreto de la correspondencia física y virtual; ésta no podrá ser retenida, abierta ni examinada, excepto en los casos previstos en la ley, previa intervención judicial y con la obligación de guardar el secreto de los asuntos ajenos al hecho que motive su examen. Este derecho protege cualquier otro tipo o forma de comunicación;
Artículo 158.- Las Fuerzas Armadas y la Policía Nacional son instituciones de protección de los derechos, libertades y garantías de los ciudadanos. Las Fuerzas Armadas tienen como misión fundamental la defensa de la soberanía y la integridad territorial.- La protección interna y el mantenimiento del orden público son funciones privativas del Estado y responsabilidad de la Policía Nacional.- Las servidoras y servidores de las Fuerzas Armadas y la Policía Nacional se formarán bajo los fundamentos de la democracia y de los derechos humanos, y respetarán la dignidad y los derechos de las personas sin discriminación alguna y con apego irrestricto al ordenamiento jurídico;
Artículo 313.- El Estado se reserva el derecho de administrar, regular, controlar y gestionar los sectores estratégicos, de conformidad con los principios de sostenibilidad ambiental, precaución, prevención y eficiencia. Los sectores estratégicos, de decisión y control exclusivo del Estado, son aquellos que por su trascendencia y magnitud tienen decisiva influencia económica, social, política o ambiental, y deberán orientarse al pleno desarrollo de los derechos y al interés social. Se consideran sectores estratégicos la energía en todas sus formas, las telecomunicaciones, los recursos naturales no renovables, el transporte y la refinación de hidrocarburos, la biodiversidad y el patrimonio genético, el espectro radioeléctrico, el agua, y los demás que determine la ley;
Artículo 393.- El Estado garantizará la seguridad humana a través de políticas y acciones integradas, para asegurar la convivencia pacífica de las personas, promover una cultura de paz y prevenir las formas de violencia y discriminación y la comisión de infracciones y delitos. La planificación y aplicación de estas políticas se encargará a órganos especializados en los diferentes niveles de gobierno;
B. CÓDIGO ORGÁNICO INTEGRAL PENAL (COIP)
Artículo 103.- Pornografía con utilización de niñas, niños o adolescentes.- La persona que fotografíe, filme, grabe, produzca, transmita o edite materiales visuales, audiovisuales, informáticos, electrónicos o de cualquier otro soporte físico o formato que contenga la representación visual de desnudos o semidesnudos reales simulados de niñas, niños o adolescentes en actitud sexual; será sancionada con pena privativa de libertad de trece a dieciséis años.
Si la víctima, además, sufre algún tipo de discapacidad o enfermedad grave o incurable, se sancionará con pena privativa de libertad de dieciséis a diecinueve años.
Cuando la persona infractora sea el padre, la madre, pariente hasta el cuarto grado de consanguinidad o segundo de afinidad, tutor, representante legal, curador o pertenezca al entorno íntimo de la familia; ministro de culto, profesor, maestro, o persona que por su profesión o actividad haya abusado de la víctima, será sancionada con pena privativa de libertad de veintidós a veintiséis años;
Artículo 104.- Comercialización de pornografía con utilización de niñas, niños o adolescentes.- La persona que publicite, compre, posea, porte, transmita, descargue, almacene, importe, exporte o venda, por cualquier medio, para uso personal o para intercambio pornografía de niños, niñas y adolescentes, será sancionada con pena privativa de libertad de diez a trece años;
Artículo 178.- Violación a la intimidad.- La persona que, sin contar con el consentimiento o la autorización legal, acceda, intercepte, examine, retenga, grabe, reproduzca, difunda o publique datos personales, mensajes de datos, voz, audio y vídeo, objetos postales, información contenida en soportes informáticos, comunicaciones privadas o reservadas de otra persona por cualquier medio, será sancionada con pena privativa de libertad de uno a tres años.
No son aplicables estas normas para la persona que divulgue grabaciones de audio y vídeo en las que interviene personalmente, ni cuando se trata de información pública de acuerdo con lo previsto en la ley;
Artículo 190.- Apropiación fraudulenta por medios electrónicos.- La persona que utilice fraudulentamente un sistema informático o redes electrónicas y de telecomunicaciones para facilitar la apropiación de un bien ajeno o que procure la transferencia no consentida de bienes, valores o derechos en perjuicio de esta o de una tercera, en beneficio suyo o de otra persona alterando, manipulando o modificando el funcionamiento de redes electrónicas, programas, sistemas informáticos, telemáticos y equipos terminales de telecomunicaciones, será sancionada con pena privativa de libertad de uno a tres años.
La misma sanción se impondrá si la infracción se comete con inutilización de sistemas de alarma o guarda, descubrimiento o descifrado de claves secretas o encriptadas, utilización de tarjetas magnéticas o perforadas, utilización de controles o instrumentos de apertura a distancia, o violación de seguridades electrónicas, informáticas u otras semejantes;
Artículo 194.- Comercialización ilícita de terminales móviles.- La persona que comercialice terminales móviles con violación de las disposiciones y procedimientos previstos en la normativa emitida por la autoridad competente de telecomunicaciones, será sancionada con pena privativa de libertad de uno a tres años;
Artículo 229.- Revelación ilegal de base de datos.- La persona que, en provecho propio o de un tercero, revele información registrada, contenida en ficheros, archivos, bases de datos o medios semejantes, a través o dirigidas a un sistema electrónico, informático, telemático o de telecomunicaciones; materializando voluntaria e intencionalmente la violación del secreto, la intimidad y la privacidad de las personas, será sancionada con pena privativa de libertad de uno a tres años. Si esta conducta se comete por una o un servidor público, empleadas o empleados bancarios internos o de instituciones de la economía popular y solidaria que realicen intermediación financiera o contratistas, será sancionada con pena privativa de libertad de tres a cinco años;
Artículo 230.- Interceptación ilegal de datos.- Será sancionado con pena privativa de libertad de tres a cinco años:
1. La persona que, sin orden judicial previa, en provecho propio o de un tercero, intercepte, escuche, desvíe, grabe u observe, en cualquier forma un dato informático en su origen, destino o en el interior de un sistema informático, una señal o una transmisión de datos o señales con la finalidad de obtener información registrada o disponible.
2. La persona que diseñe, desarrolle, venda, ejecute, programe o envíe mensajes, certificados de seguridad o páginas electrónicas, enlaces o ventanas emergentes o modifique el sistema de resolución de nombres de dominio de un servicio financiero o pago electrónico u otro sitio personal o de confianza, de tal manera que induzca a una persona a ingresar a una dirección o sitio de internet diferente a la que quiere acceder.
3. La persona que a través de cualquier medio copie, clone o comercialice información contenida en las bandas magnéticas, chips u otro dispositivo electrónico que esté soportada en las tarjetas de crédito, débito, pago o similares.
4. La persona que produzca, fabrique, distribuya, posea o facilite materiales, dispositivos electrónicos o sistemas informáticos destinados a la comisión del delito descrito en el inciso anterior;
Artículo 231.- Transferencia electrónica de activo patrimonial.- La persona que, con ánimo de lucro, altere, manipule o modifique el funcionamiento de programa o sistema informático o telemático o mensaje de datos, para procurarse la transferencia o apropiación no consentida de un activo patrimonial de otra persona en perjuicio de esta o de un tercero, será sancionada con pena privativa de libertad de tres a cinco años.
Con igual pena, será sancionada la persona que facilite o proporcione datos de su cuenta bancaria con la intención de obtener, recibir o captar de forma ilegítima un activo patrimonial a través de una transferencia electrónica producto de este delito para sí mismo o para otra persona;
Artículo 232.- Ataque a la integridad de sistemas informáticos.- La persona que destruya, dañe, borre, deteriore, altere, suspenda, trabe, cause mal funcionamiento, comportamiento no deseado o suprima datos informáticos, mensajes de correo electrónico, de sistemas de tratamiento de información, telemático o de telecomunicaciones a todo o partes de sus componentes lógicos que lo rigen, será sancionada con pena privativa de libertad de tres a cinco años.
Con igual pena será sancionada la persona que:
1. Diseñe, desarrolle, programe, adquiera, envíe, introduzca, ejecute, venda o distribuya de cualquier manera, dispositivos o programas informáticos maliciosos o programas destinados a causar los efectos señalados en el primer inciso de este artículo.
2. Destruya o altere sin la autorización de su titular, la infraestructura tecnológica necesaria para la transmisión, recepción o procesamiento de información en general.
Si la infracción se comete sobre bienes informáticos destinados a la prestación de un servicio público o vinculado con la seguridad ciudadana, la pena será de cinco a siete años de privación de libertad;
Artículo 233.- Delitos contra la información pública reservada legalmente.- La persona que destruya o inutilice información clasificada de conformidad con la Ley, será sancionada con pena privativa de libertad de cinco a siete años.
La o el servidor público que, utilizando cualquier medio electrónico o informático, obtenga este tipo de información, será sancionado con pena privativa de libertad de tres a cinco años.
Cuando se trate de información reservada, cuya revelación pueda comprometer gravemente la seguridad del Estado, la o el servidor público encargado de la custodia o utilización legítima de la información que sin la autorización correspondiente revele dicha información, será sancionado con pena privativa de libertad de siete a diez años y la inhabilitación para ejercer un cargo o función pública por seis meses, siempre que no se configure otra infracción de mayor gravedad;
Artículo 234.- Acceso no consentido a un sistema informático, telemático o de telecomunicaciones.- La persona que sin autorización acceda en todo o en parte a un sistema informático o sistema telemático o de telecomunicaciones o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho, para explotar ilegítimamente el acceso logrado, modificar un portal web, desviar o redireccionar de tráfico de datos o voz u ofrecer servicios que estos sistemas proveen a terceros, sin pagarlos a los proveedores de servicios legítimos, será sancionada con la pena privativa de la libertad de tres a cinco años;
Artículo 472.- Información de circulación restringida.- No podrá circular libremente la siguiente información:
1. Aquella que esté protegida expresamente con una cláusula de reserva previamente establecida en la ley.
2. La información acerca de datos de carácter personal y la que provenga de las comunicaciones personales cuya difusión no haya sido autorizada expresamente por su titular, por la ley o por la o el juzgador.
3. La información producida por la o el fiscal en el marco de una investigación previa y aquella originada en la orden judicial relacionada con las técnicas especiales de investigación.
4. La información acerca de niñas, niños y adolescentes que viole sus derechos según lo establecido en el Código Orgánico de la Niñez y Adolescencia y la Constitución.
5. La información calificada por los organismos que conforman el Sistema nacional de inteligencia;
Artículo 476.- Interceptación de las comunicaciones o datos informáticos.- La o el juzgador ordenará la interceptación de las comunicaciones o datos informáticos previa solicitud fundamentada de la o el fiscal cuando existan indicios que resulten relevantes a los fines de la investigación, de conformidad con las siguientes reglas:
1. La o el juzgador determinará la comunicación interceptada y el tiempo de intercepción, que no podrá ser mayor a un plazo de noventa días. Transcurrido el tiempo autorizado se podrá solicitar motivadamente por una sola vez una prórroga hasta por un plazo de noventa días.
Cuando sean investigaciones de delincuencia organizada y sus delitos relacionados, la interceptación podrá realizarse hasta por un plazo de seis meses.
Transcurrido el tiempo autorizado se podrá solicitar motivadamente por una sola vez una prórroga hasta por un plazo de seis meses.
2. La información relacionada con la infracción que se obtenga de las comunicaciones que se intercepten durante la investigación serán utilizadas en el proceso para el cual se las autoriza y con la obligación de guardar secreto de los asuntos ajenos al hecho que motive su examen.
3. Cuando, en el transcurso de una interceptación se conozca del cometimiento de otra infracción, se comunicará inmediatamente a la o al fiscal para el inicio de la investigación correspondiente. En el caso de delitos flagrantes, se procederá conforme con lo establecido en este Código.
4. Previa autorización de la o el juzgador, la o el fiscal, realizará la interceptación y registro de los datos informáticos en transmisión a través de los servicios de telecomunicaciones como: telefonía fija, satelital, móvil e inalámbrica, con sus servicios de llamadas de voz, mensajes SMS, mensajes MMS, transmisión de datos y voz sobre IP, correo electrónico, redes sociales, videoconferencias, multimedia, entre otros, cuando la o el fiscal lo considere indispensable para comprobar la existencia de una infracción o la responsabilidad de los partícipes.
5. Está prohibida la interceptación de cualquier comunicación protegida por el derecho a preservar el secreto profesional y religioso. Las actuaciones procesales que violenten esta garantía carecen de eficacia probatoria, sin perjuicio de las respectivas sanciones.
6. Al proceso solo se introducirá de manera textual la transcripción de aquellas conversaciones o parte de ellas que se estimen útiles o relevantes para los fines de la investigación. No obstante, la persona procesada podrá solicitar la audición de todas sus grabaciones, cuando lo considere apropiado para su defensa.
7. El personal de las prestadoras de servicios de telecomunicaciones, así como las personas encargadas de interceptar, grabar y transcribir las comunicaciones o datos informáticos tendrán la obligación de guardar reserva sobre su contenido, salvo cuando se las llame a declarar en juicio.
8. El medio de almacenamiento de la información obtenida durante la interceptación deberá ser conservado por la o el fiscal en un centro de acopio especializado para el efecto, hasta que sea presentado en juicio.
9. Quedan prohibidas la interceptación, grabación y transcripción de comunicaciones que vulneren los derechos de los niños, niñas y adolescentes, especialmente en aquellos casos que generen la revictimización en infracciones de violencia contra la mujer o miembros del núcleo familiar, sexual, física, sicológica y otros.
C. LEY ORGANICA DE GESTIÓN DE LA IDENTIDAD Y DATOS CIVILES
Artículo 1.- Objeto. La presente Ley tiene por objeto garantizar el derecho a la identidad de las personas y normar y regular la gestión y el registro de los hechos y actos relativos al estado civil de las personas y su identificación;
Artículo 3.- Objetivos. La presente Ley tiene como objetivos:
1. Asegurar el ejercicio del derecho a la identidad de las personas.
2. Precautelar la situación jurídica entre el Estado y las personas naturales dentro de sus relaciones de familia.
3. Proteger el registro de los hechos y actos relativos al estado civil de las personas.
4. Proteger la confidencialidad de la información personal.
5. Evitar el subregistro o carencia de datos en registro de una persona.
6. Proteger la información almacenada en archivos y bases de datos de los hechos y actos relativos al estado civil de las personas.
7. Propender a la simplificación, automatización e interoperabilidad de los procesos concernientes a los hechos y actos relativos al estado civil de las personas, de conformidad a la normativa legal vigente para el efecto;
D. LEY DE SEGURIDAD PÚBLICA Y DEL ESTADO
Artículo 2.- De los ámbitos de la ley.- Al amparo de esta ley se establecerán e implementarán políticas, planes, estrategias y acciones oportunas para garantizar la soberanía e integridad territorial, la seguridad de las personas, comunidades, pueblos, nacionalidades y colectivos, e instituciones, la convivencia ciudadana de una manera integral, multidimensional, permanente, la complementariedad entre lo público y lo privado, la iniciativa y aporte ciudadanos, y se establecerán estrategias de prevención para tiempos de crisis o grave conmoción social.
Se protegerá el patrimonio cultural, la diversidad biológica, los recursos genéticos, los recursos naturales, la calidad de vida ciudadana, la soberanía alimentaria; y en el ámbito de la seguridad del Estado la protección y control de los riesgos tecnológicos y científicos, la tecnología e industria militar, el material bélico, tenencia y porte de armas, materiales, sustancias biológicas y radioactivas, etc.;
Artículo 3.- De la garantía de seguridad pública.- Es deber del Estado promover y garantizar la seguridad de todos los habitantes, comunidades, pueblos, nacionalidades y colectivos del Ecuador, y de la estructura del Estado, a través del Sistema de Seguridad Pública y del Estado;
E. LEY ORGÁNICA DE TELECOMUNICACIONES
Artículo 76.- Medidas técnicas de seguridad e invulnerabilidad.- Las y los prestadores de servicios ya sea que usen red propia o la de un tercero, deberán adoptar las medidas técnicas y de gestión adecuadas para preservar la seguridad de sus servicios y la invulnerabilidad de la red y garantizar el secreto de las comunicaciones y de la información transmitida por sus redes. Dichas medidas garantizarán un nivel de seguridad adecuado al riesgo existente;
Artículo 77.- Interceptaciones.- únicamente se podrán realizar interceptaciones cuando exista orden expresa de la o el Juez competente, en el marco de una investigación de un delito o por razones de seguridad pública y del Estado, de conformidad con lo que establece la ley y siguiendo el debido proceso;
Artículo 78.- Derecho a la intimidad.- para la plena vigencia del derecho a la intimidad, establecido en el artículo 66, numeral 20 de la Constitución de la República, las y los prestadores de servicios de telecomunicaciones deberán garantizar, en el ejercicio de su actividad, la protección de los datos de carácter personal.
Para tal efecto, las y los prestadores de servicios de telecomunicaciones deberán adoptar las medidas técnicas y de gestión adecuadas para preservar la seguridad de su red con el fin de garantizar la protección de los datos de carácter personal de conformidad con la ley;
Artículo 79.- Deber de información.- en caso de que exista un riesgo particular de violación de la seguridad de la red pública o del servicio de telecomunicaciones, el prestador de servicios de telecomunicaciones deberá informar a sus abonados, clientes y usuarios sobre dicho riesgo y sobre las medidas a adoptar;
Artículo 80.- Procedimientos de revelación.- Las y los prestadores de servicios implementarán procedimientos internos para atender las solicitudes de acceso a los datos personales de sus abonados, clientes o usuarios por parte de las autoridades legalmente autorizadas. Los procedimientos internos que se implementen, para fines de supervisión y control, estarán a disposición de la Agencia de Regulación y Control de las Telecomunicaciones;
Artículo 82.- Uso comercial de datos personales.- Las y los prestadores de servicios no podrán usar datos personales, información del uso del servicio, información de tráfico o el patrón de consumo de sus abonados, clientes o usuarios para la promoción comercial de servicios o productos, a menos que el abonado o usuario al que se refieran los datos o tal información, haya dado su consentimiento previo y expreso. Los usuarios o abonados dispondrán de la posibilidad clara y fácil de retirar su consentimiento para el uso de sus datos y de la información antes indicada. Tal consentimiento deberá especificar los datos personales o información cuyo uso se autorizan, el tiempo y su objetivo específico;
Artículo 83.- Control técnico.- cuando para la realización de las tareas de control técnico, ya sea para verificar el adecuado uso del espectro radioeléctrico, la correcta prestación de los servicios de telecomunicaciones, el apropiado uso y operación de redes de telecomunicaciones o para comprobar las medidas implementadas para garantizar el secreto de las comunicaciones y seguridad de datos personales, sea necesaria la utilización de equipos, infraestructuras e instalaciones que puedan vulnerar la seguridad e integridad de las redes, la Agencia de Regulación y Control de las Telecomunicaciones deberá diseñar y establecer procedimientos que reduzcan al mínimo el riesgo de afectar los contenidos de las comunicaciones;
Artículo 84.- Entrega de información.- Las y los prestadores de servicios, entregarán a las autoridades competentes la información que les sea requerida dentro del debido proceso, con el fin de investigación de delitos. La Agencia de Regulación y Control de las Telecomunicaciones establecerá los mecanismos y procedimientos que sean necesarios;
Artículo 140.- Rectoría del sector.- El Ministerio encargado del sector de las Telecomunicaciones y de la Sociedad de la Información es el órgano rector de las telecomunicaciones y de la sociedad de la información, informática, tecnologías de la información y las comunicaciones y de la seguridad de la información. A dicho órgano le corresponde el establecimiento de políticas, directrices y planes aplicables en tales áreas para el desarrollo de la sociedad de la información, de conformidad con lo dispuesto en la presente Ley, su Reglamento General y los planes de desarrollo que se establezcan a nivel nacional. Los planes y políticas que dicte dicho Ministerio deberán enmarcarse dentro de los objetivos del Plan Nacional de Desarrollo y serán de cumplimiento obligatorio tanto para el sector público como privado.
F. LEY ORGÁNICA INTEGRAL PARA PREVENIR Y ERRADICAR LA VIOLENCIA CONTRA LAS MUJERES
Artículo 12.- Ámbitos donde se desarrolla la violencia contra las mujeres.- Son los diferentes espacios y contextos en los que se desarrollan los tipos de violencia de género contra las mujeres: niñas, adolescentes, jóvenes, adultas y adultas mayores. Están comprendidos, entre otros, los siguientes:
1. Intrafamiliar o doméstico.- Comprende el contexto en el que la violencia es ejercida en el núcleo familiar. La violencia es ejecutada por parte del cónyuge, la pareja en unión de hecho, el conviviente, los ascendientes, los descendientes, las hermanas, los hermanos, los parientes por consanguinidad y afinidad y las personas con las que la víctima mantenga o haya mantenido vínculos familiares, íntimos, afectivos, conyugales, de convivencia, noviazgo o de cohabitación;
2. Educativo.- Comprende el contexto de enseñanza y aprendizaje en el cual la violencia es ejecutada por docentes, personal administrativo, compañeros u otro miembro de la comunidad educativa de todos los niveles;
3. Laboral.- Comprende el contexto laboral en donde se ejerce el derecho al trabajo y donde se desarrollan las actividades productivas, en el que la violencia es ejecutada por personas que tienen un vínculo o convivencia de trabajo con la víctima, independientemente de la relación jerárquica. Incluye condicionar la contratación o permanencia en el trabajo a través de favores de naturaleza sexual; la negativa a contratar a la víctima o a respetar su permanencia o condiciones generales de trabajo; el descrédito público por el trabajo realizado y no acceso a igual remuneración por igual tarea o función, así como el impedimento a las mujeres de que se les acredite el período de gestación y lactancia;
4. Deportivo.- Comprende el contexto público o privado en el cual la violencia es ejercida en la práctica deportiva formativa, de alto rendimiento, profesional, adaptada/paralímpica, amateur, escolar o social;
5. Estatal e institucional.- Comprende el contexto en el que la violencia es ejecutada en el ejercicio de la potestad estatal, de manera expresa o tácita y que se traduce en acciones u omisiones, provenientes del Estado. Comprende toda acción u omisión de instituciones, personas jurídicas, servidoras y servidores públicos o de personal de instituciones privadas; y, de todo tipo de colectivo u organización, que incumpliendo sus responsabilidades en el ejercicio de sus funciones, retarden, obstaculicen o impidan que las mujeres tengan acceso a las políticas públicas y a sus servicios derivados; y, a que ejerzan los derechos previstos en esta Ley;
6. Centros de Privación de Libertad.- Comprende el contexto donde la violencia se ejerce en centros de privación de libertad, por el personal que labora en los centros;
7. Mediático y cibernético.- Comprende el contexto en el que la violencia es ejercida a través de los medios de comunicación públicos, privados o comunitarios, sea por vía tradicional o por cualquier tecnología de la información, incluyendo las redes sociales, plataformas virtuales o cualquier otro;
8. En el espacio público o comunitario.- Comprende el contexto en el cual la violencia se ejerce de manera individual o colectiva en lugares o espacios públicos, privados de acceso público; espacios de convivencia barrial o comunitaria; transporte público y otros de uso común tanto rural como urbano, mediante toda acción física, verbal o de connotación sexual no consentida, que afecte la seguridad e integridad de las mujeres, niñas y adolescentes;
9. Centros e instituciones de salud.- Comprende el contexto donde la violencia se ejerce en los centros de salud pública y privada, en contra de las usuarias del Sistema Nacional de Salud, ejecutada por el personal administrativo, auxiliares y profesionales de la salud; y,
10. Emergencias y situaciones humanitarias.- Comprende el contexto donde la violencia se ejerce en situaciones de emergencia y desastres que promuevan las desigualdades entre hombres y mujeres, que pongan en riesgo la integridad física, psicológica y sexual de mujeres: niñas, adolescentes, jóvenes, adultas y adultas mayores.
G. LEY ORGÁNICA DE COMERCIO ELECTRÓNICO, FIRMAS ELECTRONICAS Y MENSAJES DE DATOS
Artículo 5.- Confidencialidad y reserva.- Se establecen los principios de confidencialidad y reserva para los mensajes de datos, cualquiera sea su forma, medio o intención. Toda violación a estos principios, principalmente aquellas referidas a la intrusión electrónica, transferencia ilegal de mensajes de datos o violación del secreto profesional, será sancionada conforme a lo dispuesto en esta ley y demás normas que rigen la materia;
Artículo 7.- Información original.- Cuando la ley requiera u obligue que la información sea presentada o conservada en su forma original, este requisito quedará cumplido con un mensaje de datos, si siendo requerido conforme a la ley, puede comprobarse que ha conservado la integridad de la información a partir del momento en que se generó por primera vez en su forma definitiva, como mensaje de datos;
Artículo 8.- De la conservación de los mensajes de datos.- Toda información sometida a esta ley, podrá ser conservada; este requisito quedará cumplido mediante el archivo del mensaje de datos y de acuerdo a varias condiciones;
Artículo 9.- Protección de datos.- Para la elaboración, transferencia o utilización de bases de datos, obtenidas directa o indirectamente del uso o transmisión de mensajes de datos, se requerirá el consentimiento expreso del titular de éstos, quien podrá seleccionar la información a compartirse con terceros;
Artículo 10.- Procedencia e identidad de un mensaje de datos.- Salvo prueba en contrario se entenderá que un mensaje de datos proviene de quien lo envía y, autoriza a quien lo recibe, para actuar conforme al contenido del mismo, cuando de su verificación exista concordancia entre la identificación del emisor y su firma electrónica;
H. CÓDIGO ORGÁNICO DE LA ECONOMÍA SOCIAL DE LOS CONOCIMIENTOS, CREATIVIDAD E INNOVACIÓN
Apartado Primero, del software de código cerrado y bases de datos
Artículo 140.- Materia protegible por las bases de datos. – Las compilaciones de datos o de otros materiales, en cualquier forma, que por razones de la originalidad de la selección o disposición de sus contenidos constituyan creaciones de carácter intelectual, están protegidas como tales. Esta protección de una base de datos, según el presente Título, no se extiende a los datos o información recopilada, pero no afectará los derechos que pudieren subsistir sobre las obras o prestaciones protegidas por derechos de autor o derechos conexos que la conforman.
La protección reconocida a las bases de datos en virtud del presente artículo no se aplicará al software utilizado en la fabricación o en el funcionamiento de bases de datos accesibles por medios electrónicos.
1.2 Vinculación de la Ciberseguridad con la Planificación Nacional
El desarrollo de la Política implicó la vinculación del documento con la Planificación Nacional, específicamente con los instrumentos que se enlistan a continuación y de los que se presenta un breve detalle de su contenido
Plan Nacional de Desarrollo 2017-2021 “Toda una Vida”
Objetivo 1.- Garantizar una vida digna con iguales oportunidades para todas las personas.
Objetivo 7.- Incentivar una sociedad participativa, con un Estado cercano al servicio de la ciudadanía.
Objetivo 9.- Garantizar la soberanía y la paz, y posicionar estratégicamente al país en la región y el mundo.
Plan Nacional de Seguridad Integral 2019 – 2030
Desde una visión holística de las problemáticas de seguridad para el Estado, evidencia la aparición de amenazas como los ciberataques que identifica como una problemática transversal por el creciente uso de la tecnología.
El presente informe busca motivar la emisión de una política que permita la coordinación de actividades de todas las partes interesadas relevantes en seguridad cibernética, quienes tendrán funciones, responsabilidades claras respaldadas en sus competencias y con capacidades operativas suficientes. Esta política se alinea a la normativa nacional vigente y al Plan Nacional de Desarrollo 2017-2021 “Toda una Vida”.
Agenda de Coordinación Intersectorial de Seguridad
Política PND 9.1 Promover la paz sostenible y garantizar servicios eficientes de seguridad integral. Estrategia 3: Automatización de la obtención y administración de la información para inteligencia estratégicas. Estrategia 4: Coordinación de la cooperación interinstitucional e internacional para fortalecer la gestión de inteligencia.
Política de Defensa Nacional 2018
Reconoce que los ciberataques y las vulneraciones a la infraestructura crítica tienen la capacidad de afectar al Estado. Determina que el ciberterrorismo, ciberespionaje e infiltraciones a los sistemas informáticos son instrumentos de agresión. La política propone el desarrollo de la industria de la defensa con miras a proveer productos y servicios estratégicos especializados para aportar las capacidades de la ciberdefensa.
Plan Específico de Defensa Nacional 2019-2030
Reconoce al ciberespacio como un componente más del territorio ecuatoriano. Las implicaciones se vinculan al desarrollo de operaciones en este dominio para la defensa de la soberanía; con el fin de aportar a la ciberseguridad nacional.
Plan Específico de Seguridad Pública y Ciudadana 2019-2030
Se establecen políticas articuladas y coordinadas de prevención y control respecto de las distintas expresiones del delito y en sus diferentes ámbitos, lo que lleva a prevenir, anticipar y combatir amenazas locales, nacionales e internacionales. La división entre seguridad pública y seguridad ciudadana permite un marco de acción diferenciado sobre la suscitación de delitos, por un lado, una competencia Estatal encaminada al resguardo del orden público y la protección interna, por otro lado, una seguridad ciudadana enfocada en las acciones institucionales dedicadas a reducir los factores de vulnerabilidad hacia el cometimiento de delitos.
Plan Específico de Inteligencia 2019-2030
Este plan entiende como amenaza para el Estado ecuatoriano a todo fenómeno o condición en la que uno o más actores con capacidad y fines específicos generen un daño, pérdida o consecuencia negativa directa contra los ejes de protección de la seguridad integral del Estado, entendiendo a estos como ser humano, Estado y naturaleza. En este contexto, se establece como una de las amenazas para el Ecuador las acciones contra el Estado en el ciberespacio.
Plan Específico de Relaciones Exteriores y Movilidad Humana 2019-2030
Objetivo Estratégico 3: Fomentar la cooperación internacional para la lucha contra la delincuencia organizada transnacional y las amenazas a la seguridad nacional”.
Plan Nacional de Sociedad de la Información y del Conocimiento 2018-2021
Es un instrumento de planificación orientado a propiciar el desarrollo nacional en torno al área de la Sociedad de la Información, contiene los programas y proyectos que permitirán alcanzar objetivos trazados en la Política Nacional de Telecomunicaciones y de la Sociedad de la Información. Dentro del Programa 1: Seguridad de la Información y uso responsable de las TIC, se busca de manera primordial fortalecer el marco regulatorio, normativo y estratégico para incrementar la seguridad de la información en el país por lo que promueve la elaboración de la Estrategia Nacional de Ciberseguridad que permita determinar los lineamientos generales de la Ciberseguridad en el Ecuador.
Plan Nacional de Gobierno Electrónico 2018-2021
Este Plan plantea catorce estrategias, una de ellas enfocada en la ciberseguridad mencionando como principales beneficiarios a las personas naturales y jurídicas. Además, propone emitir un modelo estandarizado de ciberseguridad para la Administración Pública Central, Institucional y Dependiente (APCID), fortalecer el EcuCERT (actualmente gestionado por la ARCOTEL), capacitar a los funcionarios de la APCID y difundir los beneficios de contar con este modelo a la ciudadanía.
Política Ecuador Digital
Instrumento cuyo objetivo es transformar y dirigir al país, hacia una economía basada en tecnologías digitales mediante la disminución de la brecha digital, el desarrollo de la Sociedad de la Información y del Conocimiento, el Gobierno Digital, la eficiencia de la administración pública, y la adopción digital en los sectores sociales y económicos, esta política se compone de 3 ejes: Ecuador Conectado, Ecuador Eficiente y Ciberseguro y Ecuador Innovador y Competitivo. Cada uno incluye un conjunto de proyectos para incrementar los índices de accesibilidad a las tecnologías de la información y comunicación, el fortalecimiento de las capacidades de talento humano, la potenciación de los sectores de la economía y el impulso del emprendimiento e innovación; es así que el eje de acción Ecuador Eficiente y Ciberseguro garantiza la participación ciudadana, la democratización de los servicios públicos, la simplificación de trámites, la gestión de la seguridad de la información y la protección de datos personales.
Política Pública por una Internet segura para niños, niñas y adolescentes
Instrumento cuyo objetivo es proteger la dignidad e integridad física, psicológica, emocional y sexual de la niñez y adolescencia; y potenciar las oportunidades y habilidades que ofrecen las tecnologías digitales en su vida y desarrollo integral.
Plan Nacional de Seguridad Ciudadana y Convivencia Social Pacífica 2019 – 2030
Este plan propone crear una estrategia que permita prepararnos con anticipación, ante los riesgos, establece en su Objetivo 7: Implementar anticipación estratégica en las acciones públicas para enfrentar riesgos y amenazas, fundamentalmente los relacionados al crimen organizado, lavado de activos, delincuencia transnacional, terrorismo y cibercriminalidad.
El presente informe busca motivar la emisión de una política que permita la coordinación de actividades de todas las partes interesadas relevantes en seguridad cibernética, quienes tendrán funciones, responsabilidades claras respaldadas con capacidades operativas suficientes. Esta política se alinea a la normativa nacional vigente y al Plan Nacional de Desarrollo 2017-2021 “Toda una Vida”.
2. OBJETIVO DEL INFORME
Justificar la publicación de la Política Nacional de Ciberseguridad – PNC, elaborada como parte de un proceso técnico liderado por el Ministerio de Telecomunicaciones y Sociedad de la Información (MINTEL), como ente rector de la Seguridad de la Información, en base a sus competencias y aprobada por el Gabinete Sectorial de Seguridad.
3. ANÁLISIS TÉCNICO
3.1 Análisis de Situación Actual
Desde el año 2011, con la “Estrategia Ecuador Digital 2.0” emitida por el Ministerio de Telecomunicaciones y de la Sociedad de la Información (MINTEL), se inició el desarrollo de Políticas Públicas Sectoriales que permitirían que las tecnologías de la información y comunicación se usen efectivamente en el proceso de desarrollo productivo, social y solidario del Ecuador, para el bienestar de todos los ciudadanos y con el objeto de implementar dicha Estrategia, se impulsaron cuatro planes estratégicos:
Plan Nacional de Alistamiento Digital.
Plan Nacional de Gobierno en Línea.
Plan Nacional de Banda Ancha
Plan Nacional de Gobierno Electrónico.
Adicionalmente, la Estrategia Ecuador Digital 2.0 estaba enmarcada en los diferentes ejes establecidos en el Acuerdo Nacional 2030 y contribuyó a la transformación digital de las instituciones públicas y los diferentes sectores de la economía, permitiendo el incremento de la productividad y competitividad de las empresas. Al respecto, en materia de seguridad en el ciberespacio, el eje de acción Ecuador Eficiente y Ciberseguro garantizó la participación ciudadana, la democratización de los servicios públicos, la simplificación de trámites, la gestión de la seguridad de la información y la protección de datos personales.
En el año 2013 el gobierno central desarrolló e implementó el Esquema Gubernamental de Seguridad de la Información (EGSI), lo que permitió ampliar la accesibilidad de sus servicios a los ciudadanos. Esto, a su vez, generó desafíos para la protección de la información de los mismos. El EGSI se implementó en las instituciones de la Administración Pública Central con el fin de que las Instituciones Públicas cuenten con un marco de referencia para la gestión de la seguridad de la información.
Los resultados obtenidos del proceso de evaluación fueron la base para la actualización de este esquema de seguridad de la información en el año 2020, denominado EGSI V2.0. Cabe mencionar que según revela el informe “E-government Survey” (E-government Survey 2020, 2020), el Ecuador subió 10 escalones respecto al 2018 en su posición en el Índice de Desarrollo de Gobierno Electrónico (EGDI) de Naciones Unidas. Actualmente, el país ocupa el puesto 74 de 193 países, ubicándolo por encima de la media mundial y regional.
A partir del año 2016, el Plan Nacional de Telecomunicaciones y TI 2016-2021, delinea el futuro del sector de las telecomunicaciones, impulsando la mejora de estos servicios y la reducción de la brecha digital. Además, se actualizó el Plan Nacional de Gobierno Electrónico 2018-2021, que en sus tres ejes de acción y catorce estrategias, vincula a la ciberseguridad con las personas naturales y jurídicas mediante la implementación de la emisión de un modelo estandarizado de ciberseguridad para la Administración Pública Central, Institucional y Dependiente (APCID), el fortalecimiento del Centro de Respuesta a Incidentes Informáticos del Ecuador (EcuCERT) actualmente gestionado por la Agencia de Regulación y Control de las Telecomunicaciones (ARCOTEL), y la capacitación de los funcionarios de la APCID en la implementación del modelo de ciberseguridad.
Se ha desarrollado la propuesta de normativa de protección de datos personales a través de la Dirección Nacional de Registro de Datos Públicos (DINADARP), entidad adscrita al MINTEL y que lidera este esfuerzo, apoyada por sectores clave que ayudan en el desarrollo de dicha normativa, Este proyecto de ley se encuentra en fase de análisis por parte de la Asamblea Nacional. Asimismo, la Ley Orgánica de Telecomunicaciones determina la obligación de los prestadores de servicios de telecomunicaciones de garantizar en el ejercicio de su actividad la protección de datos de carácter personal, al igual que la Ley Orgánica del Sistema Nacional de Registros de Datos Públicos, garantiza la protección de los datos contenidos en todos los registros públicos.
La legislación de protección al consumidor de Ecuador no protege del todo a los consumidores contra el fraude en línea y otras formas de delito cibernético o negligencia comercial y la Defensoría del Pueblo (responsable de la protección del consumidor) no tiene capacidades suficientes para abordar la protección del consumidor en línea.
Se ha adoptado una legislación integral sobre propiedad intelectual de productos y servicios en línea y el Servicio Nacional de Derechos Intelectuales (SENADI) está designado como la entidad encargada de velar por su cumplimiento.
En 2020 se emitió la Política de Datos Abiertos, de aplicación para las Instituciones de la Administración Pública, cuyo objetivo es consolidar los procesos de organización y publicación de los datos que generan estas instituciones. La finalidad de esta política es fortalecer la participación ciudadana, la transparencia gubernamental, mejorar la eficiencia en la gestión pública, promover la investigación, el emprendimiento y la innovación en lo que se refiere a tecnologías de la información. Como complemento de esta política el 15 de enero de 2021, mediante Registro Oficial Suplemento nº 371, se emitió la Guía de Datos Abiertos que permite la implementación de las directrices de la política, y cuyo objetivo es proporcionar criterios técnicos y metodológicos para planificar, abrir, publicar y promover la utilización de los datos abiertos gubernamentales.
Estas acciones estatales junto al aporte del sector privado, han permitido hasta el 2020, tener los siguientes avances según el reporte de Sistema de Información y Estadística de los servicios de Telecomunicaciones (SIETEL) de la ARCOTEL:
La masificación del uso de las TIC alcanzó a un 60,7% de la población.
El uso del internet llegó a un 64,19% de la población.
La cantidad de abonados que usan teléfonos inteligentes (Smartphones) es de 65,3%.
Las líneas activas 4G existentes equivalen al 54,79% de la población y el total de líneas activas móviles del 85,75% de la población.
El número de cuentas de internet de banda ancha alcanzó 1.990.489.
Así mismo, el MINTEL a través del Proyecto emblemático de Infocentros Comunitarios, implementó y administra a nivel nacional 886 infocentros y megainfocentros, que dotan a 735 parroquias rurales y urbano marginales de lugares de desarrollo comunitarios apoyados en herramientas TIC, y desde donde se han capacitado a 1’262.960 personas como una de las estrategias para contribuir con su desarrollo personal y profesional.
El incremento en la conectividad de la sociedad en su conjunto, acarrea vulnerabilidades que requieren de la atención de parte de los distintos actores involucrados. En el Ecuador, conscientes de la necesidad de proteger en el ciberespacio, en julio del año 2014 se creó el EcuCERT, reconocido como un CIRT (Critical Incident Response Team) nacional oficial de acuerdo al índice mundial de ciberseguridad y perfiles de ciberbienestar (ITU, 2015) y miembro certificado FIRST (Forum of Incident Response and Security Teams).
La Comunidad Objetivo del EcuCERT de ARCOTEL está conformada por: el sector de las telecomunicaciones nacionales y las instituciones públicas, así como aquellas del sector privado que demanden los servicios que EcuCERT ofrece. Si bien EcuCERT está reconocido como un punto de contacto nacional e internacional para la gestión de vulnerabilidades e incidentes, sus atribuciones se enmarcan en el sector de telecomunicaciones, conforme la Ley Orgánica de Telecomunicaciones que lo rige.
En agosto de 2018, la ARCOTEL expidió la “Norma Técnica para Coordinar la Gestión de Incidentes y Vulnerabilidades que Afecten a la Seguridad de las Redes y Servicios de Telecomunicaciones”. En esta norma se establece: la definición de un catálogo de vulnerabilidades e incidentes, tiempos de respuesta, protocolo para la clasificación de la información, mecanismo para el intercambio de información sobre un evento de seguridad y auditorías de seguridad para identificar vulnerabilidades en la infraestructura de los Prestadores de Servicios de Telecomunicaciones.
El accionar del EcuCERT es limitado al sector de las telecomunicaciones, no obstante, se emiten reportes sobre vulnerabilidades e incidentes a varias instituciones del Estado; así como, consejos y recomendaciones técnicas. La escasez de regulación en materia de ciberseguridad hace que su aplicación no considere a otros sectores.
A nivel nacional existen Centros de Respuesta a Incidentes de Seguridad Informática (CSIRT) en las siguientes áreas: académica, defensa, sector privado y sector financiero. Es fundamental articular una estructura o sistema para coordinar sus acciones, y de ese modo, trabajar de manera integrada, en base a protocolos normativa y lineamientos nacionales. Una vez fortalecido el EcuCERT debería fomentar la generación de más CSIRT coordinadores sectoriales, a fin de gestionar los incidentes de manera nacional e intersectorial.
Actualmente, existen trece CSIRT en Ecuador, a través de los cuales; y, enmarcados en un trabajo colaborativo con EcuCERT, se han ejecutado varias acciones técnicas frente a incidentes a nivel nacional. No obstante, la coordinación y gestión debe formalizarse y establecer mecanismos de colaboración, intercambio de información, responsabilidades y respuesta a incidentes, a través de un protocolo de gestión de incidentes nacionales.
3.1.1 Panorama Nacional de la Ciberseguridad.
Un mayor uso de la Internet implica un aumento en la vulnerabilidad de la ciudadanía que hace uso de esta herramienta, tanto en lo profesional como en lo cotidiano. El aprovechamiento de estas vulnerabilidades en el ciberespacio por parte de actores delictuales se ha convertido en una nueva forma de atentar contra los derechos de las personas.
Los delitos informáticos son des territorializados, es decir que no necesariamente se anclan a las naciones, teniendo capacidades transfronterizas que limitan el actuar policial basado en la circunscripción territorial. Este tipo de delito pasa completamente desapercibido para la víctima quien, por lo general, no es consciente de haber sido perjudicada. Lo que conlleva que la mayoría de veces quienes han sido afectados no presenten la debida denuncia ante las autoridades.
A esto se suma, la ausencia de un marco regulatorio que permita conocer los procedimientos policiales y judiciales para identificar y judicializar delitos informáticos; así como, la no adhesión de convenios internacionales existentes, que faciliten acciones de cooperación en el ámbito de delitos transnacionales en el ciberespacio.
Las unidades dedicadas al seguimiento e investigación de delitos informáticos, requieren incrementar el talento humano especializado en áreas tecnológicas; y, el número de personal existente para atender oportunamente los requerimientos de la ciudadanía. En este ámbito se requiere que el personal involucrado cuente con capacitación y especialización a nivel de educación superior con el objetivo de tener un dominio de las herramientas existentes y aprovechar al máximo la tecnología, en la lucha contra los delitos informáticos.
La información que mantiene el Ministerio de Gobierno evidencia que el principal delito informático que afecta a la población es la apropiación fraudulenta por medios electrónicos. La siguiente tabla muestra el listado de delitos informáticos registrados en los años 2018, 2019 y 2020.
(…)
Gráfico 1: Principales delitos informáticos en Ecuador 2018-2019-2020(Fuente: UIDT-DNPJ)
3.1.2 Análisis de Riesgos y Amenazas
La identificación de las tendencias emergentes sobre las amenazas cibernéticas y la comprensión de la evolución de los delitos cibernéticos son importantes para la ciberseguridad nacional. El panorama de amenazas cibernéticas proporciona información sobre los desarrollos internacionales relacionados con las amenazas en este aspecto; sin embargo, cada país tiene sus propias peculiaridades. Es vital entender el panorama nacional de amenazas cibernéticas para desarrollar las capacidades de ciberseguridad necesarias y mitigar efectivamente los riesgos en el ciberespacio.
Los ciberataques y ciberdelitos tienen como característica fundamental el ser difíciles de rastrear. Al ser delitos que se realizan remotamente, su persecución no puede valerse de procedimientos ordinarios, requiriéndose necesariamente de análisis o peritajes informáticos. Además de su carácter remoto, este tipo de delitos se valen de técnicas para ocultar la locación desde los cuales se originan. Los ataques informáticos por ejemplo pueden utilizar filtros como proxy chains o virtual private networks (VPN) que evitan los enlaces directos entre las máquinas que realizan los ataques y los servidores de internet, esto hace que los protocolos de internet (IP por sus siglas en inglés) cambien cuando se navega por internet, dificultando a las instituciones del orden conocer la locación, incluso el país de donde se producen estos ataques.
El Ecuador es vulnerable ante las amenazas cibernéticas, esto de acuerdo al Índice Global de Ciberseguridad (GCI), emitido por la ITU, publicado el 09 de julio de 2019, que ubica al país en el puesto 98 de 193, siendo 193 el país con mayores vulnerabilidades a nivel mundial. El número de ataques cibernéticos dirigidos para Ecuador, detectados por la firma de antivirus Kaspersky Lab (2020), refleja que el Ecuador se encuentra en el puesto número 89 de países más atacados en el mundo.
(…)
Gráfico 2: Índice Global de Ciberseguridad (GCI por sus siglas en inglés)
Según la firma ESET, el Ecuador se encuentra entre los 10 países de América Latina más afectados por software malicioso (malware).
(…)
Gráfico 3: Detecciones de Ransomware por país (Fuente: ESET Security Report Latinoamerica 2020)
En el Informe anual de esta firma; Security Report Latinoamérica 2020 se menciona que la seguridad no solo aborda al área tecnológica, también es necesario complementarla con políticas, planes que permitan gestionar adecuadamente la seguridad de la información.
Esto último se ve reflejado precisamente en que casi el 98% de las empresas en la región cuenta con algún control basado en tecnología. Sin embargo, aún el 39% de las empresas no cuenta con políticas de seguridad y apenas un 28% clasifica su información.
(…)
Gráfico 3: Niveles de implementación de prácticas de gestión para la seguridad por país (Fuente: ESET Security Report (ESR) 2020)
En el año 2019, según el informe realizado por la firma consultora NRD Cyber Security, “Panorama de Amenaza Cibernética y Revisión de la Capacidad de la Ciberseguridad en Ecuador”, se identificó que las 10 principales ciber amenazas que afectan al país son: suplantación de identidad, correo no deseado, software malicioso, fuga de información, amenaza interna, manipulación física, robo de identidad, ataques de aplicaciones web, programa de secuestro de datos, denegación de servicio, ataques basados en la web, violaciones de datos, redes de bots, minería de criptomonedas maliciosa y espionaje cibernético1. Entre estas amenazas se mencionan tanto vectores de ataque como acciones maliciosas, los cuales son empleados por una variedad de actores.
3.2 Falta de regulación en materia de Ciberseguridad
La falta regulación en materia de ciberseguridad ha impedido que exista la articulación y los lineamientos requeridos para que las instituciones públicas en base a sus competencias actúen con asignación de funciones, responsabilidades claras respaldadas con capacidades operativas suficientes de una manera coordinada en función de tener un ciberespacio seguro y confiable.
La ciberseguridad se convertirá, progresivamente, en un tema de vital importancia dentro de la agenda de seguridad, desarrollo y derechos humanos en el Ecuador, por lo que se requiere desarrollar y potenciar las capacidades nacionales, políticas, estrategias, planes, programas y proyectos intersectoriales para la seguridad cibernética, así como una concientización en la sociedad ecuatoriana sobre las potenciales vulnerabilidades que enfrentamos en el entorno cibernético, lo que permitirá propender a la garantía de derechos y libertades, como de la seguridad integral en el ciberespacio.
4. JUSTIFICACIÓN TÉCNICA DE LA EMISIÓN DE LA POLÍTICA PROPUESTA
La seguridad de la información busca la protección de la información en todo tipo de medios, tanto digitales como físicos, por lo que con las políticas y normativas que construyen el marco jurídico de la seguridad de la información, lo que se busca es protegerla de cualquier tipo de riesgo.
La seguridad de la información es el paraguas que abarca el resto de disciplinas (ciberseguridad, seguridad informática, seguridad de TI, seguridad de aplicaciones, otros). En otras palabras, la protección de la información es el libro y la ciberseguridad es un capítulo dentro de ese libro.
La ciberseguridad, entonces, se define como “un conjunto de medidas de protección de la información, a través del tratamiento de las amenazas que ponen en riesgo la información que es tratada por los sistemas de información que se encuentran interconectados”. (7)
En definitiva, la ciberseguridad busca, entre otras cosas, la protección de la información. Sin embargo, tiene como foco principal la protección de la información digital de los sistemas. Por ello, se puede considerar que la ciberseguridad está comprendida dentro de la seguridad de la información.
Por otra parte, la disponibilidad y la fiabilidad del Ciberespacio en muchos aspectos se basan en la disponibilidad y la fiabilidad de los servicios de infraestructura críticas asociados, tales como la infraestructura de la red de telecomunicaciones. La seguridad del Ciberespacio también está estrechamente relacionada con la seguridad de Internet, de las redes empresariales y de los hogares y la seguridad de la información en general. Hacer frente a los problemas de la Ciberseguridad requiere, por lo tanto, una gran comunicación y coordinación entre las diferentes entidades públicas y privadas de diferentes países y organizaciones.(8)
En consecuencia, dado que la ciberseguridad es una disciplina que está dentro del ámbito de la seguridad de la información y considerando que es un tema transversal, el Ministerio de Telecomunicaciones y de la Sociedad de la Información, como ente rector y en base a sus competencias lideró el desarrollo de la Política Nacional de Ciberseguridad, a través de un “Grupo interinstitucional de Ciberseguridad”, conformada por el Ministerio de Gobierno (MDG), el Ministerio de Defensa (MDN), el Centro de Inteligencia Estratégica (CIES) y el Ministerio de Relaciones Exteriores y Movilidad Humana (MREMH).
Una vez que la Política Nacional de Ciberseguirdad fue aprobado por el Gabinete Sectorial de Seguridad, en su Vigésima Sesión Ordinaria de 1 de abril de 2021, le corresponde al Ministerio de Telecomunicaciones su publicación a través de un Acuerdo Ministerial.
4.1 Problemática identificada
El uso masivo de internet, de las tecnologías comunicacionales y las técnicas de anonimato, han originado que muchos delitos que usualmente se cometían en espacios físicos se hayan potenciado y ahora se cometan también en espacios cibernéticos. Delitos como la extorsión, anteriormente se lo consideraba ligado al secuestro de las personas o al robo de sus bienes tangibles, pero al momento se dan extorsiones en línea, ejerciendo presión a la víctima sobre su información personal y digital, amenazándola con difundir o eliminar su información, obteniendo réditos económicos a cambio de no publicarla.
En el año 2019, según el informe realizado por la firma consultora NRD Cyber Security, “Panorama de Amenaza Cibernética y Revisión de la Capacidad de la Ciberseguridad en el Ecuador se identificó que las 10 principales ciber amenazas que afectan al país son: suplantación de identidad, correo no deseado, software malicioso, fuga de información, amenaza interna, manipulación física, robo de identidad, ataques de aplicaciones web, programa de secuestro de datos, denegación de servicio, ataques basados en la web, violaciones de datos, redes de bots, minería de criptomonedas maliciosa y espionaje cibernético . Entre estas amenazas se mencionan tanto vectores de ataque como acciones maliciosas, los cuales son empleados por una variedad de actores (5).
Según la firma ESET, el Ecuador se encuentra entre los 10 países de América Latina más afectados por software malicioso (Informe anual de esta firma; Security Report Latinoamérica 2020).
De acuerdo al Índice Global de Ciberseguridad (GCI), emitido por la ITU, publicado el 09 de julio de 2019, el Ecuador es vulnerable ante las amenazas cibernéticas, este índice global ubica al país en el puesto 98 de 193, siendo 193 el país con mayores vulnerabilidades a nivel mundial. El número de ataques cibernéticos dirigidos para Ecuador, detectados por la firma de antivirus Kaspersky Lab (2020), refleja que el Ecuador se encuentra en el puesto número 89 de países más atacados en el mundo.
Debido a la emergencia sanitaria que se atraviesa a nivel mundial producto de la pandemia por el COVID 19, los gobiernos se han visto obligados a tomar medidas emergentes como el teletrabajo, la teleducación y la telemedicina. En este sentido, organismos e instituciones públicos y privados, así como la población en general, han optado por dichas modalidades.
A raíz de esta situación se evidencia un incremento exponencial de incidentes en el ciberespacio en lo que va de este año.
En el Ecuador, la mayoría de organismos, instituciones y ciudadanía, no están preparados adecuadamente para enfrentar los riesgos asociados a la seguridad de la información debido a la falta de regulación, políticas, conciencia y herramientas que permitan contar con un ciber entorno seguro.
4.2 Potencial solución identificada
En función de la problemática presentada, surgió la necesidad de generar una Política Nacional de Ciberseguridad (PNC), con la finalidad de establecer lineamientos y acciones, basadas en un examen de los riesgos y amenazas, tanto potenciales como reales, que enfrenta el Ecuador; permitiendo de esta manera, generar las capacidades adecuadas para prevenirlos, identificarlos, transferirlos, mitigarlos, aceptarlos, gestionarlos, atenderlos, monitorearlos y evaluarlos.
Esta política estará basada en siete pilares que contemplan diversas temáticas de intervención del Estado, en coordinación con el sector privado, la academia y sociedad civil, que permitirán la ciberseguridad del Ecuador. Estos pilares se enfocan en el trabajo en la gobernanza de la ciberseguridad, en sistemas de información y gestión de incidentes, en la protección de los servicios e infraestructuras críticas, la Soberanía y Defensa, la Seguridad Pública y Ciudadana, la Diplomacia en el ciberespacio junto con la cooperación internacional y en la promoción de la cultura y educación para la ciberseguridad
Su implementación conlleva un proceso de seguimiento, medición y evaluación continuo y flexible, que permitirá ajustarla efectivamente ante los rápidos cambios en el entorno digital e identificar el impacto de las acciones de esta política en el fortalecimiento de la ciberseguridad nacional. Para que esta política sea efectiva el estado ecuatoriano deberá asignar los recursos financieros necesarios que aseguren la implementación de las líneas de acción enunciadas en esta política
4.3 Metodología para desarrollo de la política
La elaboración de la presente política parte de un proceso técnico, con la constitución de una mesa interinstitucional, que mediante un trabajo interdisciplinario ha contribuido desde los enfoques de cada una de las instituciones participantes, con el fin de garantizar la adaptabilidad de la misma al contexto aplicativo. Este instrumento toma en consideración los intereses nacionales y, a la vez, considera a los temas de ciberseguridad desde una visión, holística, común, compartida y de largo plazo.
La determinación de la metodología requirió la revisión de herramientas internacionales existentes para el desarrollo de políticas en este ámbito y un análisis de los avances de otros países en la materia. Asimismo, el desarrollo de este documento incluye la revisión de los marcos normativos vigentes nacionales e internacionales y los instrumentos de planificación nacional de los sectores involucrados. Además, contempla el levantamiento de un diagnóstico nacional que identifica las brechas existentes en cuanto a la ciberseguridad en el país. Una vez priorizadas, estas fundamentaron el diseño de acciones nacionales que permitirán solventar las problemáticas de la ciberseguridad en el Ecuador.
En la construcción de esta política participaron actores de la Función Ejecutiva, al igual que otras funciones del Estado. Se contó con insumos de las Empresas Públicas, de los operadores de infraestructuras críticas, representantes de la academia, centros de respuesta a incidentes, actores del sector privado y de la sociedad civil.
La política propone un horizonte definido al 2023, en el cual se implementarán las líneas de acción definidas en la política y a partir del proceso de seguimiento y monitoreo, se podrán observar los resultados de la misma a corto y mediano plazo.
(…)
Gráfico 2. Hoja de Ruta aprobada para la elaboración de la Política Nacional de Ciberseguridad
La elaboración de la hoja de ruta plasma las actividades más relevantes que se realizaron para la construcción del instrumento Política Nacional de Ciberseguridad y que se detallan a continuación:
Conformación del Grupo Insterinstitucional de Ciberseguridad, para la elaboración del documento de la Política Nacional de Ciberseguridad cuyos integrantes y en función de sus competencias, son los siguientes: MDG Ministerio de Gobierno (Ciberdelitos), MDN Ministerio de Defensa Nacional (Ciberdefensa e infraestructura crítica), CIES Centro de Inteligencia Estratégica (Ciberinteligencia, infraestructura crítica), MREMH Ministerio de Relaciones Exteriores y Movilidad Humana (Diplomacia en el ciberespacio y Cooperación Internacional), Presidencia – Vicepresidencia (Gobernanza y articulación), MINTEL Ministerio de Telecomunicaciones y de la Sociedad de la Información (Seguridad de la información) y quien lidera el grupo.
Glosario de términos de ciberseguridad
Gestiones para apoyo técnico de expertos internacionales, en las mejores prácticas para el desarrollo e implementación de políticas y estrategias nacionales en materia Cibernética como: Misión Técnica del Departamento de Estado de los Estados Unidos de América (MITRE), Organización de Estados Americanos, (OEA), Banco Interamericano de Desarrollo (BID), NRD Cyber Security, Comité Interamericano contra el Terrorismo (CICTE) / OEA
Insumos proporcionados por la consultora NRD Cyber Security, línea base para la construcción de la Política Nacional de Ciberseguridad (PNC).
Hoja de ruta, planificación de las etapas para la elaboración de la PNC
Guía para el levantamiento de infraestructura crítica
Nota técnica conceptual con el apoyo de la Organización de Estados Americanos (OEA)
Vicepresidencia integra el grupo de trabajo de ciberseguridad para articulación y seguimiento de las actividades del grupo.
Plan de mejora de Ciberseguridad, que contiene 40 líneas de acciones enfocadas a disminuir las brechas encontradas.
Grupo técnico para trabajar sobre gestión de incidentes
Secretaría Técnica Planifica Ecuador (STPE) se integra al grupo como apoyo técnico para validación de indicadores y fichas metodológicas.
Por pedido del Gabinete Sectorial de seguridad se elaboró las funciones roles y responsabilidades para la creación del cuerpo colegiado, “Comité de ciberseguridad” el que se adicionó al Proyecto de Decreto Ejecutivo Cuerpos Colegiados – Sector Seguridad.
Actualización de hoja de ruta crítica con la coordinación y articulación de Vicepresidencia.
STPE realiza la socialización y conceptualización de indicadores y fichas metodológica de los indicadores.
Indicadores de gestión en base a los pilares, objetivos específicos y competencias de cada cartera de estado
Publicación en la plataforma DIALOGO 2.0, el borrador de la Política Nacional de Ciberseguridad, para socializar el instrumento con diferentes actores del país con el objeto de recibir aportaciones y enriquecer el documento, proceso que inicio el 24 de noviembre y culminó el 7 de diciembre de 2020, más de 260 aportaciones o comentarios.
Aprobación de las aportaciones realizadas e inclusión en el documento “Política Nacional de Ciberseguridad”
Actualización de indicadores y fichas metodológicas
Inclusión de observaciones y comentarios realizada por la CICTE-OEA al documento de la PNC.
Remisión del documento final de la Política Nacional de Ciberseguridad para aprobación y revisión del Gabinete Sectorial de Seguridad.
La Vigésima Sesión Ordinaria del Gabinete Sectorial de Seguridad, tuvo lugar en la ciudad de El Coca el 1 de abril de 2021. En ella se aprobó la Política Nacional de Ciberseguridad y se designó al Ministerio de Telecomunicaciones y de la Sociedad de la Información MINTEL como el encargado de publicarla mediante acuerdo ministerial.
5. PROPUESTA DE LA POLÍTICA
En función de lo expuesto, toda vez que la Política Nacional de Ciberseguridad fue aprobada por el Gabinete Sectorial de Seguridad y al amparo de las competencias del Ministerio de Telecomunicaciones y se la Sociedad de la Información, se propone el siguiente articulado para el Acuerdo Ministerial en el que se la publicará.
“Artículo 1.- Publicar la Política Nacional de Ciberseguridad, que se encuentra anexa y que forma parte integral del presente Acuerdo Ministerial.
Artículo 2.- El objetivo de la presente política es construir y fortalecer las capacidades nacionales que permitan garantizar el ejercicio de los derechos y libertades de la población y la protección de los bienes jurídicos del Estado en el ciberespacio.
La política establece directrices que buscan garantizar un ciberespacio seguro para contribuir al desarrollo social, económico y humano del país, así como a la creación de una confianza digital que favorece el intercambio de información y, en consecuencia, de bienes y servicios en línea.
La política tiene un enfoque multisectorial y multidimensional que se debe al carácter transversal de la ciberseguridad. Por tanto, la política alcanza a varios sectores y actores, públicos y privados, del país, y de manera vertical y horizontal. En esta medida, la política establece directrices para encaminar las acciones de las entidades de la Administración Pública Institucional y que dependen de la Función Ejecutiva, en coordinación con los otros poderes del Estado, sociedad civil y ciudadanía en general.
Artículo 3.- De la ejecución del presente Acuerdo Ministerial, encárguese a la Subsecretaria Gobierno Electrónico y Registro Civil, que ejecutará las acciones necesarias para la implementación de la Política Nacional de Ciberseguridad
Disposición Final. – El presente Acuerdo Ministerial entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.”
6. CONCLUSIONES
En el Ecuador no existe un instrumento legal que emita directrices para proteger la infraestructura crítica, gestionando los riesgos del ciberespacio, de una forma integral y desde una visión nacional, en coordinación y cooperación con los sectores público, privado, academia y sociedad civil.
La participación de diferentes actores de la Función Ejecutiva, al igual que otras funciones del Estado, las Empresas Públicas, los operadores de infraestructuras críticas, los representantes de la academia, los centros de respuesta a incidentes, actores del sector privado y de la sociedad civil en la elaboración de la Política, permitirá establecer un horizonte en el cual se implementen diferentes líneas de acción y a partir un proceso de seguimiento y monitoreo, poder obtener resultados a corto y mediano plazo, a través con el liderazgo del Ministerio de Telecomunicaciones y de la Sociedad de la Información.
7. RECOMENDACIONES
En función del análisis técnico realizado en el presente informe, se recomienda a la máxima autoridad o su delegado la publicación del instrumento legal correspondiente para la publicación de la Política Nacional de Ciberseguridad.
(1) Uno de cada tres de estos usuarios es menor de 18 años y accede al internet en su mayoría a través del teléfono celular. Niños niñas y adolescentes en el mundo están en línea alrededor de dos horas al día entre semana y aproximadamente el doble de tiempo el fin de semana
(2) Las Tecnologías de la información y de la comunicación (TIC) son fundamentales para la democratización del conocimiento. Es decir, las TIC constituyen un elemento indispensable de cara a las proyecciones de desarrollo social de los países, de los grupos sociales y de los individuos (Lugo, 2010, IIPE, 2014).
(3) El aumento de la capacidad delincuencial en el ciberespacio, así como la utilización de nuevas tecnologías para generar amenazas informáticas, constituyen una preocupación común a todos los países, dado que impactan de manera significativa la seguridad de la información, en los ámbitos tanto público como privado, e incluyendo a la sociedad civil.
Según Naciones Unidas, en el mundo los cibercrímenes (o ciberdelitos) llegaría a representar un costo de 600 mil millones USD (ONUDC, 2016).
(4) Un impacto primario del delito cibernético es financiero, considerando que puede incluir muchos tipos diferentes de actividades delictivas con fines de lucro, incluidos ataques de ransomware, fraude por correo electrónico e internet y fraude de identidad, así como intentos de robo de cuentas financieras, tarjetas de crédito u otra información de tarjetas de pago. No obstante, también se ven afectadas las personas y los Estados.
(5) Panorama de Amenazas y Riesgos (2019). NRD Cybersecurity con el apoyo del BID
(6) Panorama de Amenazas y Riesgos (2019). NRD Cybersecurity con el apoyo del BID.
(7) (ISACA-Information Systems Audit and Control Association – Asociación de Auditoría y Control sobre los Sistemas de Información)
(8) NTE INEN-ISO/IEC 27032, Tercera edición, Tecnologías de la Información – Técnicas de Seguridad – Directrices Para Ciberseguridad (ISO/IEC 27032:2012, Idt)
(9) Los vectores de ataque permiten ejecutar acciones contra los países, sus instituciones, empresas y ciudadanos. El ciber espionaje y/o ciber sabotaje facilita a los actores de amenaza a mejorar su posición estratégica, geopolítica, económica o tecnológica, pudiendo inclusive para este fin llegar a interrumpir la normal prestación y el funcionamiento de la infraestructura crítica y servicios esenciales. Así mismo, algunos de estos actores (delincuentes cibernéticos, Estados naciones, corporaciones, funcionarios y empleados) están en condiciones de obtener, encriptar y eliminar información; impedir accesos y, de este modo, generar afectaciones a la sociedad en su conjunto.