Cinco años de ciberseguridad en Ecuador: una mirada a las tendencias 

Durante cinco años consecutivos, IT ahora ha levantado información clave sobre el estado de la ciberseguridad en el país, dialogando con líderes del sector privado, instituciones del gobierno y entidades del sector financiero popular y solidario. Este análisis permite identificar cómo han evolucionado las prioridades, los riesgos y las capacidades organizacionales frente a las ciberamenazas. 

Un elemento transversal en todos los estudios ha sido la necesidad de contar con una gestión más madura y estratégica de la seguridad, lo que incluye desde la definición de responsables hasta la adopción de planes de continuidad, políticas de monitoreo, respuesta ante incidentes y análisis de vulnerabilidades. En 2020, solo un 20% de las empresas encuestadas contaba con responsables diferenciados para seguridad de la información y ciberseguridad. Hoy, muchos avanzan hacia modelos híbridos o “on demand”, como el CISO as a Service. 

En cuanto a las amenazas, el phishing y los ataques tipo ransomware se han mantenido como las más preocupantes, aunque en los últimos años se ha visibilizado con más fuerza el riesgo proveniente de terceros, especialmente en sectores donde se comparten datos críticos con proveedores y socios estratégicos. En 2022, por ejemplo, el 70% de las entidades del SFPS no realizaba ninguna gestión con terceros. Esta cifra ha mejorado parcialmente, pero evidencia una brecha relevante. 

Otra constante es la falta de capacidades internas, tanto en términos de monitoreo como de talento especializado. Las organizaciones reportan dificultades para contratar perfiles capacitados y una creciente necesidad de habilidades blandas y técnicas en seguridad. Este punto se ha acentuado desde 2023, mostrando un alza sostenida en la percepción de brechas de habilidades. 

Por último, la relación entre negocio y ciberseguridad comienza a fortalecerse. En los últimos dos años se observa un aumento de la discusión de estos temas en juntas directivas y una intención mayor de alinear la inversión en ciberseguridad con los objetivos del negocio. Aun así, los niveles de madurez siguen estando por debajo del promedio de compañías globales, lo cual representa una oportunidad para avanzar hacia una ciberresiliencia más integral. 

1. Madurez organizacional

• Desde 2020 se evidenció que muchas empresas no contaban con responsables formales de ciberseguridad. En los años siguientes, el rol del CISO y los esquemas “as a Service” ganaron presencia y aún persiste la falta de gobernanza continua en juntas directivas. 

2. Inversión y alineación estratégica

• Se ha incrementado el uso de prácticas como la planificación de escenarios para respuesta a incidentes y la actualización de planes de seguridad. 

• Sin embargo, persiste una brecha en el uso de herramientas que permitan medir retorno de inversión (ROI) o realizar benchmarking con otras industrias. 

• En el sector privado, la inversión tiende a alinearse más con iniciativas puntuales que con estrategias de largo plazo. 

3. Talento y habilidades

• Desde 2022, las organizaciones comenzaron a reportar con mayor frecuencia la existencia de brechas en las habilidades del talento en ciberseguridad, una tendencia que se consolidó en el estudio 2024.  

• Las empresas identifican como principales vacíos técnicos el manejo de herramientas especializadas, la gestión de riesgos cibernéticos, el cumplimiento normativo y el diseño de arquitecturas seguras. 

• En el estudio de 2024, más del 60% de las entidades encuestadas identificaron la falta de capacidades técnicas y de gestión en los profesionales de ciberseguridad como una limitación crítica para avanzar en sus programas.  

4. Amenazas recurrentes

• Phishing y spearphishing han encabezado consistentemente la lista de amenazas más preocupantes en el 2022 

• A partir de 2022, se observa un aumento en la preocupación por la explotación de vulnerabilidades de terceros (proveedores, socios, servicios digitales). 

• Ransomware también ha sido una constante durante el 2023 y 2024, con impacto en múltiples sectores. 

• En 2024, se suma una alerta creciente por las vulnerabilidades en entornos de trabajo remoto y los ataques móviles. 

Presupuesto para ciberseguridad 

• A lo largo de los estudios, la asignación presupuestaria ha sido una barrera recurrente. Muchos líderes han manifestado no contar con recursos suficientes o no poder ejecutar el total del presupuesto aprobado. 

• En el informe 2022, solo el 37% de las entidades del SFPS hacían un control formal del cumplimiento del presupuesto asignado. 

• En el sector privado (2023–2024), aunque más empresas dicen contar con un presupuesto aprobado, muchas aún no lo alinean directamente con evaluaciones de madurez o ROI, lo que dificulta una inversión estratégica. 

• En 2024, la planeación de escenarios para incidentes fue la práctica más utilizada para justificar la inversión, con un 57% de adopción, lo cual muestra un paso hacia una gestión más proactiva. 

• La falta de ejecución del presupuesto, ya sea por trabas internas o falta de capacidades, también fue reportada como un desafío por al menos el 30% de las organizaciones. 

 

Protección de datos personales: de marco normativo a acción pendiente 

• Desde la aprobación de la Ley Orgánica de Protección de Datos Personales (LOPDP) en 2021, su mención ha ido ganando presencia en los estudios, especialmente en los sectores regulados como el financiero y gubernamental. 

• En el estudio del SFPS 2022, se dedicó un panel específico a analizar los retos para cumplir la LOPDP. Se destacó: 

• La falta de análisis de impacto al recolectar datos. 

• La necesidad de identificar y clasificar las bases de datos. 

• El reto de aplicar principios como el derecho al olvido y la portabilidad. 

• Las organizaciones señalaron que la gobernanza de datos sigue siendo incipiente, y que muchas responsabilidades todavía no están formalmente asignadas dentro de la estructura organizacional. 

• En sectores como el cooperativo y el público, los informes mostraron una preocupación por la exposición de datos a través de terceros sin controles adecuados, lo cual entra en conflicto con las exigencias de la Ley. 

• Aún hay desconocimiento operativo sobre el rol del DPO (Delegado de Protección de Datos) y su relación con las áreas de TI y legales, según lo mencionado en foros de discusión incluidos en los estudios 2021–2023.