Ecuador enfrenta desafíos y avanza hacia una gestión preventiva en ciberseguridad

Por Harold Real Loor, Jefe de Seguridad de la Información, COAC 15 de Abril.

Durante los cinco años en los que se ha realizado la Encuesta Estado Actual de la Ciberseguridad en Ecuador, se han identificado tendencias que evidencian tanto desafíos como avances. Entre los principales hallazgos destaca el hecho de que muchas organizaciones aún no cuentan con responsables formales de ciberseguridad. Además, amenazas como el ransomware y el phishing se han mantenido entre las más frecuentes, lo que refuerza la necesidad de migrar de un enfoque reactivo hacia una estrategia preventiva y sostenida en el tiempo.

1. Estructuras organizacionales para una gestión efectiva del riesgo digital

Una gestión eficiente del riesgo digital requiere de una gobernanza formal que ubique al CISO (Chief Information Security Officer) en un nivel estratégico, con reporte directo al CEO o al directorio. Esta posición fortalece la capacidad de decisión del área de seguridad de la información y facilita su alineación con los objetivos del negocio.

El uso de marcos como el modelo de Tres líneas de defensa permite establecer roles y responsabilidades claras en el control interno y la gestión de riesgos:

• Primera línea: los dueños de procesos implementan y mantienen los controles.
• Segunda línea: los equipos de riesgo, seguridad y cumplimiento supervisan y validan esos controles.
• Tercera línea: auditoría interna evalúa de forma independiente la eficacia de los controles establecidos.

Complementar este esquema con un Comité de Seguridad de la Información —con participación de áreas como TI, legal, finanzas y talento humano— favorece una visión transversal y coordinada.

2. Persistencia de ransomware y phishing

El ransomware y el phishing siguen siendo vectores de ataque ampliamente utilizados por su alta rentabilidad y facilidad de ejecución, especialmente mediante esquemas como Ransomware as a Service (RaaS). Para reducir su impacto, es necesario adoptar una defensa en profundidad que incluya protección avanzada de endpoints, segmentación de red, autenticación multifactor (MFA) y detección basada en comportamiento.

Los programas de formación continua en ciberseguridad —como entrenamientos en reconocimiento de correos maliciosos, simulaciones de phishing y planes de respuesta con respaldos inmutables fuera de línea— han demostrado ser efectivos para disminuir la exposición al riesgo y acortar los tiempos de recuperación.

3. Estrategia preventiva

Una estrategia preventiva exige implementar marcos de gestión continua de exposición (CTEM), que convierten la identificación, evaluación y remediación de vulnerabilidades en un proceso constante.

La incorporación de inteligencia de amenazas y análisis predictivo permite anticipar campañas de ataque y adaptar los controles en tiempo real, fortaleciendo la capacidad de respuesta organizacional. Además, la aplicación de métricas de madurez —basadas en estándares como NIST o ISO/IEC 27001— y la realización periódica de ejercicios tipo red teaming y tabletop, aportan visibilidad y orientación a las acciones de mejora.

4.- A pesar de estos retos, Ecuador ha logrado avances relevantes en el fortalecimiento de su ecosistema de ciberseguridad, mediante estrategias e iniciativas como:

• Estrategia Nacional de Ciberseguridad 2022–2025: lanzada en agosto de 2022, establece seis líneas de acción: gobernanza, resiliencia, combate a la ciberdelincuencia, ciberdefensa, fortalecimiento de capacidades y cooperación internacional.
• Creación de EcuCERT como CSIRT nacional: junto al Comité Técnico de Ciberseguridad, ha mejorado la coordinación público-privada en la gestión de incidentes.
• Adhesión al Convenio de Budapest (GLACY E): desde 2022, Ecuador trabaja en la adecuación de su legislación para investigar y sancionar el cibercrimen en línea con estándares internacionales.
• Reformas al COIP en 2019 y 2021: incluyen delitos informáticos y violencia digital, fortaleciendo el marco legal ante nuevas amenazas.
• Desarrollo de talento: universidades e instituciones públicas han creado programas especializados en ciberseguridad, aunque persiste una brecha de profesionales capacitados.
• Participación en iniciativas internacionales como CYBER4DEV: respaldadas por el BID y la Unión Europea, han impulsado mejoras en capacidades técnicas y buenas prácticas institucionales.

Estos avances reflejan una mejora progresiva en la estructura y gestión de la ciberseguridad en el país. Si bien aún hay desafíos, como la escasez de talento especializado y la necesidad de incorporar una cultura de prevención más extendida, se ha establecido una base normativa, técnica y organizativa sobre la cual se pueden desarrollar capacidades más sólidas y sostenibles para enfrentar riesgos futuros.