¿Hackeo al Registro Civil? La Ley de Protección de Datos establece 8 criterios para acceder a información personal
Frente a la denuncia de un hackeo masivo de datos personales de los ecuatorianos cedulados, la entidad que custodia esa base asegura que reforzó su protección.
14,8 millones de registros de datos y 10,6 millones de imágenes en alta definición de tarjetas de identidad nacional para posible biometría habrían sido hackeados de la base del Registro Civil, según denunció hoy la organización ciudadana Usuarios Digitales.
REVISE TAMBIÉN: Registro Civil niega filtración de datos e identidad de los ciudadanos, tras rumores de ataques cibernéticos
En respuesta, el Registro Civil emitió un comunicado. En él afirma que desde el lunes 4 de mayo, la entidad reforzó sus protocolos de seguridad de la información.
“Los análisis determinan que la información difundida no proviene de accesos directos a la infraestructura actual de la DGERCIC; por lo que se evalúan posibles fuentes externas, como registros históricos o integraciones con terceros”, explicó la entidad pública.
Y aclaró que en los últimos 2 años reforzó su sistema de seguridad virtual. Además, fortaleció procesos de identificación y análisis de patrones de tráfico.
De este modo, se bloquearon intentos que superan los 3,5 millones de ataques cibernéticos entre 2024 y 2025, a partir de este blindaje tecnológico.
REVISE TAMBIÉN: '¿En qué entidades bancarias se lava el dinero de criminales?': UAFE activa controles en Caso Encuentro
Los sistemas de seguridad detectaron y bloquearon las tentativas de ataque. Éstas fueron más frecuentes en momentos previos a procesos eleccionarios. Y provinieron de países como México, España, Venezuela, Colombia, Bélgica y Brasil, entre otros, según la entidad.
Un ataque previo, en 2024 , también fue denunciado por la organización Usuarios Digitales.
Este grupo técnico de la sociedad civil afirmó a mediados de noviembre de 2025 que “Ecuador tendría expuestos datos de más de 16 millones de usuarios de WhatsApp, siendo el puesto 38 entre 236 países con más usuarios en peligro”. Alfredo Velazco, director de esa entidad, explicó la magnitud de la amenaza, en entrevista con Vistazo por esos días.
Qué implica el hackeo de datos de WhatsApp
A nivel global, unos 3.500 millones de números de teléfonos pudieran extraerse a partir de la plataforma de WhatsApp. En Ecuador, del total vulnerable, casi la mitad incluye la fotografía de los titulares de esas cuentas. Y una cuarta parte, además, identifica a los usuarios po nr su nombre y revela su estado en esa plataforma.
El estudio, realizado por expertos de Austria, es una seria advertencia. “Si una estructura criminal accede a esa información las secuelas serían inimaginables, pensemos que Ecuador tiene un contexto de inseguridad muy específico”, insiste Velazco.
REVISE TAMBIÉN: SRI advierte sobre estafas digitales que usan su nombre para engañar a contribuyentes
En este caso, la responsabilidad de la protección de los datos no recae únicamente en los afectados, sino en los entes que custodian la información.
“No necesariamente hay riesgo por falta de cultura de protección, sino por falta de una respuesta tecnológica adecuada de quienes guardan esa información. Ya es hora de preocuparse de las instituciones que filtran bases de datos, por medio de funcionarios sin ética”, advierte el titular de Usuarios Digitales. Las grandes filtraciones se producen en el 99 por ciento de casos por fugas, más que por la acción ilegal de terceros o hackers, según sus registros.
Un caso que marcó precedente
Ocurrió en 2019. El 11 de septiembre, dos expertos en ciberseguridad de la firma vpnMentor, alertaron sobre una fuga de información que afectaba a casi toda la población ecuatoriana. Unas 18 Gigas (GB) de datos, incluyendo nombres completos, género, fecha, lugar de nacimiento, dirección, correo electrónico, teléfonos, estado civil y estudios, estaban alojadas en un servidor desprotegido, en Miami.
Pocos días después, el ministerio de Telecomunicaciones explicaba que una empresa de servicios domiciliada en Ecuador había obtenido de manera ilegal una base de datos y la había alojado en un servidor en esa ciudad de EE.UU.
No se trató de un hackeo, sino de robo de información, por parte de dos exfuncionarios públicos que durante la revolución ciudadana accedieron a data sensible. Se sabe que accedieron a al menos cuatro bases distintas, entre ellas, del banco de la seguridad social y del registro civil. Aparecían nombres de recién nacidos, inclusive.
REVISE TAMBIÉN: SRI advierte sobre estafas digitales que usan su nombre para engañar a contribuyentes
El hecho motivó la creación de una comisión especial investigadora. Sin embargo, ante la ausencia de la Ley de Protección de Datos -aún no estaba vigente en 2019- quedó impune.
La conmoción aceleró el envío urgente de la ley, que se venía trabajando desde 2017. Este texto llegó a la Asamblea en 2019, según explica Lorena Naranjo, jurista, experta e impulsora de la iniciativa legal.
Ella dirigía en esa época la Dirección Nacional de Registro de Datos Públicos, Dinardap. “Durante dos años la entidad que dirigí elaboró el anteproyecto de ley de protección de datos, con 60 mesas técnicas que convocaron a instituciones públicas y privadas, academia y otros actores, para tener un contenido adecuado a la normativa y a la realidad ecuatoriana”.
Su tesis doctoral se enfocó en el proyecto de ley. El texto quedó pendiente de debate en la Asamblea Nacional. Como telón de fondo, el país cambió de gobierno en 2021.
Ese mismo año, otros episodios volvieron a crear preocupación. La empresa pública de telecomunicaciones sufrió un ataque informático. Una institución financiera privada también fue atacada.
REVISE TAMBIÉN: Puntaje crediticio en Ecuador 2026: cómo funciona el sistema del Buró de Crédito
El marco legal frente a la protección de datos está vigente
Los datos personales pueden ser obtenidos por ocho razones, que la ley define como los pilares que legitiman el acceso y la tenencia de información: cuando la ley lo permite, por orden judicial; por interés público; por interés vital; por temas contractuales; por interés legítimo; por fuentes accesibles al público y por el consentimiento de las personas que constan en una base.
“La Ley obliga a enfrentar la necesidad de proteger datos de nuestros clientes, desde el sector privado, y de los ciudadanos, desde el sector público”, explicó en entrevista, semanas atrás, Manuel Jacho Chávez, intendente general de Regulación de Protección de Datos Personales y superintendente encargado.
La entidad empezó a funcionar el último trimestre de 2024. Aunque había requerido dos millones de dólares para iniciar sus funciones, recibió el equivalente a la tercera parte. Empezó su labor con 33 funcionarios. Para 2025, el presupuesto asignado subió a 1,5 millones de dólares.
“El desafío es hacer entender a la sociedad que tiene que hacer una redefinición en el manejo de datos, normalmente la actividad de protección se considera como una carga y un gasto”, explicaba el superintendente encargado a Vistazo. “Quien trata datos debe tener una base de legitimación para acceso, uso y conservación de esa información”.
La normativa trata de regular un desarrollo tecnológico, pero la tecnología es dinámica y cambia todo el tiempo. Un ejemplo: una empresa privada pagaba a ciudadanos para registrar datos biométricos, en concreto, el reconocimiento del iris. Esto sin contar con los avances de la inteligencia artificial que se basa, precisamente, en información que consta en megabases de datos.
REVISE TAMBIÉN: ¿Qué hacer si te demandan por no pagar tus deudas en Ecuador en 2026? Guía legal actualizada
Los custodios de la información pública tienen responsabilidad
¿Le ha pasado que recibe una llamada a su número de celular y le ofrecen un servicio o un producto que usted no requiere ni está buscando?
Este hecho pudiera considerarse una vulneración a su derecho a la protección de sus datos. Usted puede pedir tres cosas: que le informen de dónde obtuvieron su contacto, que le muestren su consentimiento para haberlo contactado; y, que le borren de la base de datos de la entidad de la cual usted recibe la llamada.
“Si alguien detecta que sus datos se usan sin su consentimiento debe reportarlo a la Superintentencia de Protección de Datos Personales, para iniciar un procedimiento”, según el superintendente encargado. Sin embargo, primero debe realizar el trámite ante la entidad que está usando información en forma ilegítima. Según la SPDP, a fines de 2025, se registraron 271 denuncias, 55 en sustanciación y 132 pendientes. Además, se iniciaron siete procedimientos administrativos sancionatorios, de los cuales seis están en fase de sustanciación. Para atender la demanda la entidad requiere 107 personas, el aumento estaba contemplado para meses posteriores. “La entidad está encargada de tutelar los derechos de 18 millones de ecuatorianos; su autonomía le da un rol fundamental”.
Un estudio revelador sobre datos personales muestra vacíos
Un informe emitido por el área de derechos digitales de la Fundación Ciudadanía y Desarrollo detecta que la cultura de protección de datos en el país es limitada.
Según Andrés Reyes, uno de los responsables de la investigación, el estudio abordó un análisis de marco normativo e institucional, y la aplicación de políticas públicas. Y además se enfocó en grupos vulnerables y de atención prioritaria, población GLBTI y pobladores de la Amazonía.
Desde la vigencia de la Constitución de 2008, explica, rige el derecho a la protección de datos personales, lo que incluye derechos complementarios, como el derecho a la educación digital.
“La gente no sabe la importancia de sus derechos, no sabe qué puede hacer cuando un tercero accede a su información, a dónde debe acudir cuando ha sido vulnerado su derecho a la protección de sus datos”.
A través de técnicas de grupos focales, identificaron que los grupos vulnerables como la población GLBTI es susceptible al riesgo de discriminación al exponerse información sensible, como su estado de salud.
En el caso de pobladores amazónicos, activistas y defensores de los derechos humanos y de la naturaleza se ven expuestos a amenazas contra su integridad, al revelarse datos como sus direcciones personales u otra información a través de sus redes sociales.
Cómo protegerse ante la amenaza de los ciberdelitos
“No hay una cultura consolidada de protección de datos en Ecuador por parte de las personas”, advierte el presidente de la Asociación de Bancos Privados, Marco Antonio Rodríguez.
“Yo no voy gritando por la calle mi número de cédula, ese mismo cuidado debo tener con mis datos en el mundo digital”. Y cita dos ejemplos puntuales. La facilidad con la que las personas llenan boletos para supuestos sorteos, consignando todos sus datos, sin leer la letra pequeña que, al final de ese papel, establece que esa información pudiera ser entregada a terceras personas. Y la forma en que los visitantes entregan su información personal para acceder a lugares públicos.
Rodríguez aclara que el sistema financiero ecuatoriano aplica reserva y sigilo a la información que maneja, desde hace la legislación bancaria emitida en 1994. “Los sistemas de gestión de seguridad de información se apegan a estándares internacionales y establecen la obligación de preservar la información aplicando tres principios básicos: confidencialidad, integridad y disponibilidad. Esto significa que la información está protegida para que no acceda cualquier persona, pero está disponible para el cliente”.
Alerta, sin embargo, que nuevas formas de fraude informático aprovechan las debilidades del cliente para perjudicarlo.
El phishing es un ciberataque que se realiza a través de correos electrónicos fraudulentos. Simulan pertenecer a una entidad bancaria o una institución formal.
Usualmente, piden que la persona dé un clic en un enlace. Al hacerlo se instala un virus troyano que roba los usuarios y contraseñas. “Esta modalidad viene mutando a otra, el smishing. A través de mensajes de texto (sms) le advierten que se van a caducar las millas, al dar clic en un enlace pasa lo mismo, se instala un virus que roba las claves”.
“Como el principal elemento del fraude es que el delincuente entra con las credenciales y las claves de un cliente, el banco no tiene forma de saber que no es el cliente el que entró”. La Asociación empezó campañas para informar de estos riesgos.
.png)
.png)
