Las fisuras de los sistemas de vigilancia en Ecuador

Las faltas de regulaciones a los sistemas de vigilancia del Estado ecuatoriano vulneran a la población. A pesar de que en 2021 entró en vigencia la Ley de Protección de Datos Personales, no existen las condiciones para aplicarla. La información personal de la ciudadanía está en riesgo.

25 de febrero de 2024

Por Rafael Bonifaz / @rbonifaz*

El uso de la tecnología afecta la manera en la que funcionamos como sociedad. Por un lado, nos trae ventajas prácticas evidentes, pero también trae problemas como la invasión a la privacidad o la exposición a ataques digitales.

Mientras dependemos cada vez más del correo electrónico, las redes sociales y las aplicaciones de chat, se hace cada vez más difícil evitar participar en estos espacios. Aun así, podemos elegir cómo será nuestra participación y, hasta cierto punto, qué información entregaremos sobre nuestras vidas.

En materia de privacidad, son muchas las preocupaciones sobre el acceso a nuestra información que entregamos a las grandes empresas tecnológicas. Sin embargo, hay un ente del que no podemos escapar y que tiene en su poder mucha información sobre nosotros: el Estado.

Que el Estado tenga nuestros datos no es malo, en principio. Si en Ecuador no tenemos un número de cédula, no existimos. Si tenemos un empleo formal, nuestros datos son compartidos con en el Instituto Ecuatoriano de Seguridad Social (IESS). Las instancias de acceso a distinto tipo de información personal se multiplican. El acceso y procesamiento de nuestros datos personales por parte del Estado se hace necesario para brindarnos servicios esenciales.

Pero, sin los adecuados controles, ese acceso se puede prestar para graves abusos. Si bien ya contamos con la Ley de Protección de Datos Personales, esta todavía no se puede aplicar, y con la llegada de las tecnologías se permite un acceso –directo o indirecto– a datos aún más sensibles sobre nuestra vida privada. Por ejemplo, si llevamos un teléfono celular, el Estado ecuatoriano puede conocer nuestra ubicación.

El acceso sin controles a este tipo de información por parte de fuerzas policiales es un motivo de preocupación, más aún por el potencial riesgo de que esa información caiga en manos del crimen organizado.

El 18 de diciembre de 2023, la fiscal general, Diana Salazar, fue entrevistada en Teleamazonas para hablar sobre el caso Metástasis, que revela vínculos del narcotráfico con funcionarios e instituciones del Estado. Se le preguntó a la fiscal si de los chats del narcotraficante Leandro Norero -que son parte medular del proceso- se pueden obtener indicios para saber quién dio la orden para matar al excandidato presidencial Fernando Villavicencio, y la fiscal aclaró que los chats corresponden a un período de entre mayo y octubre de 2022, un año antes de que el crimen tuviera lugar. Explicó, además, que Xavier Jordán -un personaje que lleva a cuestas un amplio historial delictivo y que es también investigado por la Fiscalía- le pidió a Norero seguir a Villavicencio. Ese seguimiento incluiría información sobre las actividades de Villavicencio, como fotos de su domicilio, de personas cercanas, y su ubicación. Específicamente dijo Salazar: “Lo más alarmante es que mucha de la información a la que accede Leandro Norero es producto de las bases de datos de la función pública. Por ejemplo, del sistema de ubicación del ECU-911 le envían la ubicación del teléfono celular [de Villavicencio].”

El 9 de agosto de 2023, Villavicencio fue asesinado por sicarios, en medio de la campaña electoral para los comicios del 20 de agosto.

El rastro sangriento de la vigilancia omnipresente

¿Cómo podía el ECU-911 acceder a la ubicación de Fernando Villavicencio? Los funcionarios de esta entidad estatal pueden conocer la ubicación de un teléfono celular basados en la distancia entre un dispositivo y las torres de comunicación o, incluso, en muchos casos, pueden acceder a la información del GPS del teléfono. Estos procedimientos deberían estar bajo el control de la Agencia de Regulación y Control de las Telecomunicaciones (Arcotel). Esto resultaría muy útil para atender emergencias como un accidente de tránsito o un hecho delictivo, pues permitiría enviar la ayuda necesaria con rapidez, para capturar delincuentes o actuar oportunamente en casos de secuestros. Todos estos fines son legítimos.

Pero, ¿qué pasaría si la información de ubicación cae en malas manos? De todas las opciones, narcotraficantes con la capacidad de contratar sicarios constituyen uno de los peores escenarios. Y según las declaraciones de la Fiscal, este sería uno de los escenarios más probables. Si bien no sabemos todavía si esta información se utilizó para asesinar a Villavicencio, sin lugar a dudas habría resultado muy útil para los criminales que lo atacaron.

Debido a la denuncia de la Fiscalía, Bolívar Tello, director del ECU-911, fue convocado a la Asamblea Nacional. En su comparecencia, afirmó que a escala nacional, 520 personas tienen acceso al sistema Mobile Locator, que usa el ECU-911, y confesó que incluso él ha sido víctima de vigilancia por parte de dos funcionarios de la institución que él dirige.

¿Quién vigila al vigilante? ¿Cómo podemos sentirnos seguros si el mismo director del ECU-911 es víctima de la vigilancia de su propia institución?

Los hechos recientes y la declaración de Tello evidencian algunos de los riesgos más extremos que conlleva sostener un sistema de vigilancia centralizado.

Mucho más que un caso aislado

No es la primera vez que se escucha sobre los abusos del ECU-911. En un reportaje publicado por el New York Times en 2019, se le preguntó a Jorge Costa, director de la extinta Secretaría Nacional de Inteligencia (Senaín) en 2018, si las cámaras del ECU-911 eran utilizadas para espiar a los ciudadanos, y Costa respondió que el ECU-911 no pertenecía a los sistemas de inteligencia nacionales. Sin embargo, más adelante, admitió que la Senaín sí tenía acceso a las cámaras del ECU-911, en particular, en Quito.

¿Sabían las y los ciudadanos ecuatorianos que la agencia nacional de inteligencia de entonces tenía acceso a las cámaras del sistema nacional de vigilancia?

¿Son los sistemas del ECU-911 los únicos que carecen de controles adecuados para proteger la información de las y los ciudadanos?

El 2 de enero de 2024, el excandidato presidencial Jan Topic publicó en su cuenta de X capturas de pantallas de lo que parece ser un sistema de la Policía Nacional. ¿Por qué un excandidato tiene acceso a esas capturas de pantalla?

El día de ayer, día de inicio de año y lleno de esperanza para los ecuatorianos, resultó ser uno de los días mas sangrientos de nuestra historia. 50 asesinatos en 24 horas. 50. El doble que el promedio diario anualizado e indignantemente, augurio de nuestro futuro…

Les soy… pic.twitter.com/g7S5Jkua4P
— Jan T. Topić (@jantopicecuador) January 2, 2024

El mismo Topic, antes de ser candidato a la Presidencia, publicó en X un hilo con imágenes de vigilancia que habrían sido tomadas en el paso fronterizo de Rumichaca. El hilo venía acompañado con la siguiente frase: “Dado que nosotros no esperamos a la burocracia, gracias a la donación de una empresa, este miércoles mandamos a instalar cámaras con analítica en Rumichaca. Los resultados impactan.”

¿Cómo tuvo Topic acceso a esas cámaras? ¿Eran cámaras donadas al Estado para apoyar con el control fronterizo?, o ¿eran cámaras instaladas por una empresa privada en un lugar estratégico para el Estado ecuatoriano?

Que la información de las y los ciudadanos ecuatorianos sea expuesta abiertamente ante personas que no deberían tener acceso a ella es algo que se ha convertido en la norma.

En 2019 una falla de seguridad de la empresa Novaestrat expuso los datos de 17 millones de ecuatorianos a Internet sin ninguna protección. La falta de seguridad por parte de esta empresa no fue lo más grave, sino el hecho de que los datos de personas ecuatorianas terminaron en manos de una empresa privada que los utilizaba para hacer dinero sin ningún tipo de control. Todo esto ocurrió sin nuestro consentimiento.

Podríamos seguir enumerando casos registrados de filtraciones o vulneraciones de datos personales de ecuatorianos por parte del Estado, pero no es ese el objetivo de este artículo.

Ya sea por seguridad o por brindar un servicio público, un Estado necesita acceder a información personal de su población. Si estos datos son manejados con responsabilidad, pueden ser beneficiosos para la ciudadanía, de lo contrario, todos corremos un alto riesgo.

El caso de Novaestrat, en 2019, debió levantar una alerta suficiente para que la ciudadanía se tome en serio la protección de datos personales, pero apenas fue un escándalo fugaz que enseguida pasó al olvido.

El caso del ECU-911 y el posible acceso a la ubicación de Fernando Villavicencio por parte de sicarios o del narcotráfico es algo que debería escandalizarnos y no morir en ese mismo olvido.

Es urgente que se investigue el uso y abuso de las herramientas de vigilancia del Estado. No es posible confiar en una agencia estatal cuyo director ha reconocido que ha sido vigilado, una agencia que incluso podría ser utilizada por sicarios.

Pero, sobre todo, necesitamos una ciudadanía informada que se cuestione los riesgos de las tecnologías de vigilancia en manos equivocadas, más allá de los beneficios inmediatos que pudieran ofrecernos.

Esperemos que pronto la Superintendencia de Protección de Datos haga su trabajo y preste especial atención a entidades tan importantes para la seguridad ciudadana y nacional como el ECU-911.

*^{Rafael Bonifaz es ingeniero en sistemas por la Universidad San Francisco de Quito y máster en Seguridad Informática por la Universidad de Buenos Aires. Ha trabajado durante cerca de dos décadas en la defensa de derechos digitales y actualmente es líder del Programa Latinoamericano de Seguridad y Resiliencia Digital de la organización Derechos Digitales.}