Back to top
30 de Agosto del 2022
Historias
Lectura: 20 minutos
30 de Agosto del 2022
Manuel Novik
La utopía de la protección de datos digitales en Ecuador
0

Los operadores comerciales y telefónicos siguen manipulando los datos de los ecuatorianos en la impunidad. Una nueva ley todavía no ha logrado sancionar a las grandes empresas.  Fotomontaje: PlanV

 

Cada cierto tiempo los usuarios de telefonía móvil son víctimas de acoso por parte de grandes compañías. También están en riesgo de caer en estafas digitales que siguen perfeccionando sus métodos de engaño. Este portal se sumergió en las supuestas ofertas de trabajo que se ofrecen vía mensaje de texto. Consultamos a las autoridades sobre el control en la materia.


Las bases de datos siguen circulando en Ecuador sin el consentimiento de los titulares de la información. Nombres, números de cédula, direcciones de casa y trabajo, números de celular y hasta información sobre dónde se trabaja y cuánto se gana siguen circulando en un mercado negro. La creación de una Superintendencia para el control de esta información no logra concretarse y aún no se avanza en la designación del titular de la oficina. Mientras tanto, mensajes promocionales invaden las cuentas de Whatsapp de miles de personas en Ecuador.

Seguramente ha recibido mensajes en Whatsapp que ofrecen puestos de trabajo a tiempo parcial o completo. Avisos a nombre de grandes transnacionales que ofrecen ingresos de entre $20 y $500 por día. “Ha sido seleccionado para un trabajo muy simple, no hay límite de tiempo, se puede hacer desde casa”. Otros anuncios ofrecen aprender a ganar ingresos extra para compañías de tecnología con supuestas ganancias de hasta $4500 al mes.

La llegada de estos mensajes evidencia que los números de teléfono y otra información de los ecuatorianos circula por bases de datos sin control, a pesar de los anuncios del Gobierno anterior y de la legislación aprobada en esa época. La situación parece ser la misma: sigue el mercado negro e informal de datos en el país. Hicimos la prueba y nos contactamos con las supuestas ofertas de trabajo vía WhatsApp para conocer de qué se trata.

Algunos perfiles de los que envían este tipo de mensajes por Whatsapp muestran fotos de mujeres jóvenes. Otros ejecutivas con audífonos de call center. Obtuvimos respuesta de un perfil que se identifica como  “Amazon Amzchart”. La persona tiene un número ecuatoriano y nos pide nombre, edad y ocupación.

El trabajo que ofrece es el siguiente: “En AmzChart ayudamos a los comerciantes de Amazon a aumentar el volumen de sus tiendas y mejorar el ranking. Solo toma 1-3 minutos por transacción. Gana comisiones fácilmente”.

Según el mensaje,  una vez completada la transacción la plataforma devuelve los productos comprados y una comisión. Se piden transferencias desde $20 hasta $200 y comisiones acordes al monto. Se nos solicitó tener “abierta nuestra banca móvil”, para una vez realizada la transferencia obtener información de sus “muchos comerciantes asociados”. Así operan estas supuestas millonarias ofertas de trabajo:


PlanV se contactó con una de las supuestas ofertas de trabajo que llegan vía SMS. A nombre de grandes transnacionales llegan ofertas de negocios que ofrecen ganar miles de dólares por día. 

El supuesto trabajo consiste en hacer compras ficticias para proveedores de distintos productos en la plataforma. Cada compra ayudaría a los proveedores a obtener visibilidad en la página. Luego de cada transacción se recibiría una comisión. Según los mensajes que este portal intercambió las compras se devuelven, solo sería para ayudar a los “socios comerciales” a destacar en la plataforma. Aunque antes de todo este esquema se pide una transferencia inicial.


Las llamadas de operadoras telefónicas y empresas siguen llegando sin control a los usuarios. Se puede bloquear los números pero las empresas logran contactar a los usuarios con nuevas líneas. 

La ley no es el problema

Ecuador cuenta con la Ley Orgánica de Protección de Datos Personales desde mediados de 2021. La legislación fue construida desde distintos sectores de la sociedad y ha sido bien recibida por organismos internacionales.

La ONG Access Now posicionó al Ecuador como un régimen que está adoptando una “fuerte ley” en protección de datos. "Los responsables de la toma de decisiones en el país tuvieron en cuenta las aportaciones de las partes interesadas, incluida la sociedad civil, para elaborar una ley moderna", dice Access Now sobre el caso ecuatoriano.

En 2019 Ecuador sufrió una de las mayores filtraciones de datos en su historia. Una investigación de Vpnmentor descubrió una base de datos filtrada con datos de 20 millones de individuos, la mayoría en Ecuador. El equipo descubrió que la compañía ecuatoriana Novaestrat, que comercializaba públicamente las bases de datos, con propósitos comerciales y crediticios, mantenía un servidor inseguro en Miami.


El 16 de septiembre de 2019 las autoridades detuvieron a William Roberto G., representante legal de Novaestrat. Los investigadores decomisaron computadores, documentos y dispositivos electrónicos. Foto: Fiscalía General del Estado

Según Vpnmentor se filtraron desde datos cédulas hasta direcciones, desde datos de empleo hasta estados de cuenta del BIESS. Tras lo que se considera la mayor filtración de datos ecuatorianos, el presidente Moreno introdujo un proyecto de ley de protección de datos, que fue tramitado por la Comisión de Soberanía de la Asamblea Nacional.

Diversas organizaciones que participaron en el proceso del proyecto calificaron a la ley como  robusta y un referente para la región latinoamericana. Sin embargo, un estudio revela que ya son 157 países en el mundo con una ley de protección de datos. Pero dicha ley raramente cumple sus promesas.

Según Vpnmentor se filtraron desde datos cédulas hasta direcciones, desde datos de empleo hasta estados de cuenta del BIESS. Tras lo que se considera la mayor filtración de datos ecuatorianos, el presidente Moreno introdujo un proyecto de ley de protección de datos.

Los datos siguen circulando

Desde la aprobación de la Ley de Datos el 26 de mayo de 2021 se otorgaron dos años de transición para que las empresas se adecuen a los requerimientos. También se dispuso la creación de la Superintendencia de Datos Personales, que será la autoridad regulatoria. Alfredo Velazco, director de Usuarios Digitales, es uno de los veedores de la designación de la máxima autoridad de esa superintendencia. Velazco afirma que el proceso está estancado.

Alfredo Velazco es el director de Usuarios Digitales. Velazco estudió en la Universidad Católica de Santiago de Guayaquil.

Velazco recuerda que hace 20 años llegaban vía correo supuestas ofertas de trabajo como las que se ven hoy en día en los teléfonos. A pesar de que la venta de bases de datos está penalizada en el Ecuador, los datos de millones de usuarios siguen siendo manipulados por compañías que ofrecen servicios y obtienen los  datos sin  consentimiento de los titulares de la información.

Los casos de Novaestrat y Databook son solo dos casos que hicieron públicos porque dos informáticos encontraron que los datos estaban abiertos al acceso de cualquier personas que supiera de las páginas. Los casos fueron descubiertos en septiembre de 2019 por dos informáticos que se dedicaban a verificar la vulnerabilidad de las bases de datos. Databook habría utilizado la misma base de datos de Novaestrat, que contenía información de 20 millones de personas, en su mayoría ecuatorianos.

Velazco y otras fuentes consultadas recuerdan que pudieron consultar sus datos en una de estas plataformas y se dieron cuenta que su privacidad había sido vulnerada. Como Novaestrat y Databook pueden existir cientos de plataformas distintas que tengan procesos de seguridad más robustos sin que la población tenga como saberlo. “Novaestrat también hacía un cruce de parejas casadas y cuánto ganaban”, recalca Velazco. Todavía en el Gobierno de Lenin Moreno, la Comisión de Soberanía citó al entonces ministro de Telecomunicaciones, Andrés Michelena, quien se limitó a responsabilizar a funcionarios del gabinete de Correa por filtrar la información.

El modus operandi de estas empresas era, por ejemplo, la venta de membresías para saber el historial crediticio de potenciales clientes. Nunca se supo si hubo una sentencia en estos dos mediáticos casos. En su tiempo, la plataforma de Novaestrat fue dada de baja, mientras que Databook continuó operando con total impunidad mientras el caso ya había estallado.

El Estado también es sujeto de obligaciones

Pablo Solines es el presidente de la Asociación Ecuatoriana de Protección de Datos. Es Máster en Propiedad Intelectual y Nuevas Tecnologías.

Desde mayo de 2021 la Ley Orgánica de Protección de Datos entró en vigencia. Se otorgó un plazo de dos años para que las instituciones públicas y privadas se adecuen a lo que dicta la ley. Para Pablo Solines, presidente de la Asociación Ecuatoriana de Protección de Datos (AEPD), el periodo de gracia se ha “tergiversado”.

Solines cree que las instituciones no podrán emplear nuevos procesos de transparencia de un día para otro y no ha visto avances hasta la fecha en instituciones como el Registro de la Propiedad, Notarias, el IESS, el Registro Civil o la Agencia Nacional de Tránsito. “El Estado no solo es regulador sino también sujeto de obligaciones”, dice el jurista.

Las normas de la Unión Europea han sido el estandarte de protección de datos para el resto del mundo. Sus políticas han marcado las directrices para el derecho a la privacidad de los usuarios. Según Solines, desde que se aprobó el Reglamento General de Protección de Datos hace 4 años en la Unión Europea se han aplicado más de $1200 millones en multas y sanciones administrativas.

“En la Unión Europea no esperan que haya delitos, hacen controles aleatorios a las empresas”, dice Solines. La mayoría de estas sanciones han sido al sector tecnológico, aunque también se incluye a sectores hoteleros y de servicios.

Solines cree que las instituciones no podrán emplear nuevos procesos de transparencia de un día para otro y no ha visto avances hasta la fecha en instituciones como el Registro de la Propiedad, Notarias, el IESS, el Registro Civil o la Agencia Nacional de Tránsito. “El Estado no solo es regulador sino también sujeto de obligaciones”, dice el jurista.

“En mayo de 2023, en apenas nueve meses vamos a tener un régimen sancionador para quienes no cumplan con la norma. El que no haya una autoridad de control ni un reglamento ha relajado a la gente”, dice Solines. El abogado agrega que el 80% de aplicación es inmediata y no es necesaria la creación de la Superintendencia para empezar a exigir sus derechos.

El Código Integral Penal también estableció como delito el uso no autorizado de datos personales. Se pueden hacer denuncias por la vía civil, judicial o administrativa. Los usuarios pueden acudir a la ARCOTEL o la Defensoría del Pueblo si ven sus derechos vulnerados. En el papel hay leyes robustas.

Pero Solines advierte que el derecho a reivindicar los datos personales está supeditado a lo que los usuarios hagan y en donde lo hagan al navegar por internet. “Estamos acostumbrados a recibir llamadas, vivimos en una sociedad pasiva”, recalca.

Hicimos un barrido de los términos y condiciones de Facebook, Instagram y Tik Tok, tres de las aplicaciones más utilizadas en Ecuador y a nivel mundial. El hecho de utilizar estas aplicaciones es un consentimiento para que las empresas tengan acceso a una serie de datos personales. Estos son algunos de los datos más alarmantes a los que estas aplicaciones tienen acceso.

Meta - EE. UU. (Facebook, Instagram, Whatsapp):

  • Contenido que proporciones a través de nuestra función de cámara o la configuración de galería, o mediante nuestras configuraciones de voz.
  • Los mensajes que envías y recibes, incluido su contenido.
  • Apps y funciones que usas, y las acciones que realizas en ellas.
  • Compras u otras transacciones que realizas, incluida la información de tarjeta de crédito.
  • Proporcionamos los números de teléfono que figuran en tu libreta de contactos de forma habitual.
  • Recopilamos y usamos información de ubicación precisa de tu dispositivo cuando eliges usar opciones relacionadas con la ubicación.

Meta admite en sus políticas que hace revisiones automáticas y manuales para acceder al contenido de sus usuarios para “brindar una mejor experiencia”. De acuerdo con la legislación aplicable, si Meta vende su negocio podrá entregar los datos de los usuarios al nuevo dueño.


Foto: Pixabay

Tik Tok – China:

  • Compartimos sus datos con prestadores de servicios externos tales como prestadores de servicios de almacenamiento, socios comerciales, otras compañías del grupo, anunciantes, entre otros.
  • Información sobre su dispositivo: su dirección IP, agente de usuario, operadora de telefonía móvil, modelo del dispositivo, ritmos de pulsación de las teclas.
  • Si se conecta desde varios dispositivos, podremos utilizar la información de su perfil para identificar su actividad en todos los dispositivos.
  • Compartimos información con anunciantes externas para mostrar cuantos y cuales usuarios han visto o dado clic en un anuncio.
  • También podemos compartir su información con otros miembros, subsidiarias o afiliadas de nuestro grupo corporativo.
  • La información de los usuarios puede formar parte de los activos transmitidos en caso de venta del negocio.

Lo que dice Tik Tok es que puede tener acceso a todos los dispositivos, a pesar de que la aplicación esté instalada en solo uno de ellos. También admite que los datos de los usuarios son una mercancía que pueden usar para generar procesos de venta. Los datos de los usuarios están en Singapur y Estados Unidos.

Denuncias que quedan en el aire

Según ARCOTEL toda vulneración a los datos personales debe ser notificada dentro de los 5 días próximos de que haya ocurrido. Sin embargo, el organismo no indica soluciones prácticas para la protección de los usuarios.

Una de las soluciones que ofrece la ARCOTEL es la siguiente: “En cuanto a llamadas con fines comerciales no identificadas, la ciudadanía puede solicitar directamente, cuando recibe la llamada, que retiren su número de la base de datos. También puede hacer la solicitud directamente a la operadora, si se trata de llamadas para ofrecer servicios de telecomunicaciones”.

Pero no hay una certeza de que los datos realmente sean removidos de las bases de datos. La Agencia tampoco ofrece mecanismos para dar seguimiento a estos reclamos. Por otro lado, la ARCOTEL dispone de una plataforma para denuncias.

La Superintendencia de Control de Mercado hizo un exhorto para que ARCOTEL transparente el proceso de llamadas de operadores comerciales a usuarios. La Agencia implementó una política de reconocimiento de llamadas de venta directa, publicitarias o proselitistas realizadas en operadoras. Las tres principales operadoras del país iniciaron el proceso. Son llamadas que aparecen en el teléfono del usuario como “FINANZAS”, “TURISMO” o “VENTA”.

A través del reconocimiento de estos cuatro sectores, la ciudadanía puede saber con anticipación sobre 2248 números registrados bajo estos rubros hasta 2022. De ese total 1503 son números del sector finanzas, 15 de turismo y 337 de ventas.

Más allá de esta medida, la ARCOTEL no confirmó si se manejan otros mecanismos sancionatorios a favor de la privacidad de los usuarios. La institución realizó 19 inspecciones y 34 acciones preventivas. De ella no resultó ninguna acción sancionatoria. Pero la ciudadanía tampoco parece muy preocupada por el tema. Entre 2020 y lo que va del 2022, ARCOTEL recibió 185 reclamos de llamadas sin autorización a nivel nacional.

Este 2022, de 869 delegaciones que recibió la Unidad de Ciberdelitos de la Policía 362 fueron por apropiación fraudulenta de datos. Estas delegaciones las envía la Fiscalía. Por violación a la intimidad solo hubo 81 casos.

El Ministerio de Telecomunicaciones (MINTEL) tampoco asume el peso del problema. Según el ministerio, “los ciudadanos actualmente pueden acudir a la entidad sea público o privada y presentar sus peticiones y reclamos para ejercer sus derechos de acceso”. Pero el MINTEL no informó si los ciudadanos acuden a estas instancias, tampoco el número de casos exitosos de protección de datos.

Este 2022, de 869 delegaciones que recibió la Unidad de Ciberdelitos de la Policía 362 fueron por apropiación fraudulenta de datos. Estas delegaciones las envía la Fiscalía. Por violación a la intimidad solo hubo 81 casos.

Las instituciones rectoras en la materia “se pasan la pelota”. El MINTEL argumenta que el Plan de Creación de Oportunidades de Lasso permite a las instituciones digitalizarse y transparentar sus procesos. Pero según el presidente de la AEPD, Pablo Solines, ninguna tiene el mínimo interés por ello. El jurista confirmó que las instituciones públicas no han actualizado sus procesos. El MINTEL se limita a declarar que en el Ecuador existen los mecanismos jurídicos, pero no hay información sobre la eficiencia en mecanismos sancionatorios.

Sin embargo, en las campañas en redes sociales y la página web del MINTEL se ven estos slogans, “estamos trabajando por la protección de datos”. Preguntamos, entre otros temas, que están haciendo por reducir las llamadas invasivas y sin el consentimiento de los usuarios. La respuesta del MINTEL: “pueden presentar su queja ante ARCOTEL”. Hicimos la misma pregunta a ARCOTEL, su respuesta: “nosotros solo recibimos información luego de una denuncia, no trabajamos en la prevención”.

El Estado tiene como política pública la interoperabilidad digital entre sus instituciones, cuyo proceso está encabezado por el MINTEL. Los expertos consultados por este portal dieron cuenta de que las instituciones no están haciendo los esfuerzos por transicionar a una era digital transparente. Algo que concuerda con el informe de Transparencia Internacional, que ubica al Ecuador como un país con alto índice de percepción de corrupción.

GALERÍA
La utopía de la protección de datos digitales en Ecuador
 


[CO MEN TA RIOS]

[LEA TAM BIÉN]

Fraudes digitales: cuenteros y estafadores operan con redes sociales
Manuel Novik
El destino de una polémica empresa de criptomonedas, de Ambato, mantiene en vilo a miles
Redacción Plan V
La peor filtración de datos en la historia del Ecuador al descubierto
Redacción Plan V
Ecuador en el mapa mundial de las tropas cibernéticas
Susana Morán

[MÁS LEÍ DAS]

"Memoria para Jorge": la puja judicial para sacar a Glas de la cárcel y dejar limpio al “jefe”
Redacción Plan V
Carlos Pólit: ¿cuáles son las condenas que pide EEUU y su defensa para el excontralor?
Redacción Plan V
En el reino del lavado: por qué Ecuador no puede (ni quiere) atacar este delito
Redacción Plan V
Caso Odebrecht: 50.000 dólares para "purificar" al exvicepresidente Jorge Glas
Redacción Plan V