En los últimos años, Ecuador ha registrado un incremento sostenido de ciberataques, con un crecimiento del 4,9 % solo en 2024.[1] Esta tendencia ha colocado al país como uno de los más vulnerables de la región andina, siendo superado sólo por Colombia y Perú. Las amenazas más frecuentes incluyen ataques de ransomware, ingeniería social, malware y accesos no autorizados a sistemas críticos, afectando a entidades del sector financiero, gubernamental y sanitario.
El marco normativo actual ofrece herramientas puntuales para enfrentar esta realidad. El Código Orgánico Integral Penal (COIP), en su sección tercera, tipifica los delitos informáticos y abarca conductas como interceptación ilegal de datos, ataque a la integridad de sistemas informáticos y fraude digital. Por su parte, la Ley Orgánica de Protección de Datos Personales (LOPDP), en vigor desde 2021, establece directrices claras para la recolección, tratamiento y almacenamiento de datos, así como obligaciones específicas en cuanto al deber de implementar medidas de seguridad apropiadas al riesgo.
Además, la Política Nacional de Ciberseguridad, emitida mediante Acuerdo Ministerial No. 006-2021, establece ciertos lineamientos estratégicos orientados a fortalecer las capacidades del Estado frente a amenazas tecnológicas, fomentar la cooperación interinstitucional y promover una cultura nacional de ciberseguridad. No obstante, pese a este marco político y legal, la respuesta normativa aún resulta insuficiente frente a la magnitud y evolución de los ataques. Aunque se encuentra en trámite en la Asamblea Nacional un proyecto de Ley Orgánica de Ciberseguridad, versiones previas mostraban falta de claridad técnica y escasa articulación con el marco legal vigente. A partir de julio de 2025, la Comisión de Seguridad de la Asamblea Nacional ha impulsado un nuevo texto más alineado con estándares internacionales y con principios constitucionales aplicables, como el de legalidad, proporcionalidad y debida diligencia.[2]
La necesidad de robustecer la ciberseguridad no sólo es responsabilidad del sector privado. Los sistemas informáticos del Estado, a través de los cuales se prestan servicios públicos esenciales como salud, justicia, educación, seguridad, energía y agua potable también son blanco constante de amenazas. Resulta fundamental recordar que muchos de estos servicios están directamente vinculados con derechos reconocidos como fundamentales, el acceso al agua, a la electricidad, a la conectividad y a la información no sólo son bienes públicos, sino condiciones habilitantes del ejercicio de derechos fundamentales. En un escenario que ya no parece lejano ni ficticio, un ciberataque coordinado, podría comprometer la red de distribución de energía eléctrica o el sistema de bombeo de agua potable, dejando a millones de ciudadanos, incluidas empresas, hospitales y escuelas, sin servicios básicos, generando un colapso institucional comparable hasta al de una guerra. La pregunta de fondo es, ¿qué niveles de seguridad manejan actualmente los sistemas públicos para evitar este tipo de catástrofes? ¿Existen auditorías técnicas permanentes?
Este panorama plantea obligaciones importantes también para el sector privado. Más allá del cumplimiento formal de la LOPDP, resulta indispensable adoptar estándares internacionales, establecer planes de respuesta ante incidentes, capacitar al personal en seguridad digital y generar registros de trazabilidad. Estas acciones fortalecen la prevención técnica y reducen la exposición ante responsabilidades civiles, administrativas o incluso penales, derivadas de filtraciones o negligencias en la custodia de información. La gestión del riesgo cibernético debe ser parte integral del gobierno corporativo.
En conclusión, la ciberseguridad se ha convertido en una dimensión esencial del compliance jurídico en Ecuador. La resiliencia digital no se logra únicamente con normas, requiere compromiso institucional, inversión en infraestructura, auditorías reales y una cultura organizacional orientada a la protección de sistemas críticos. Defender el acceso a servicios públicos esenciales es también defender los derechos humanos frente al nuevo campo de batalla digital.[3]
La información aquí publicada no supone ningún consejo o asesoría legal particular, siendo su función meramente informativa.
[1] IT Ahora, “Ecuador experimentó un crecimiento del 4,9 % en amenazas cibernéticas”, 20 de febrero de 2025. Disponible en: https://itahora.com/2025/02/20/ecuador-experimento-un-crecimiento-del-49-en-amenazas
[2] El Diario, “Comisión Legislativa aprueba informe clave para Ley de Ciberseguridad”, 25 de julio de 2025. Disponible en: https://www.eldiario.ec/comision-legislativa-aprueba-informe-clave-para-ley-de-ciberseguridad-20250725
[3] Imagen de Pete Linforth en Pixabay
