Ecuador 2026: el ciberataque silencioso que el sector financiero no reporta

En julio de 2021, la Corporación Nacional de Telecomunicaciones (CNT) — empresa pública, columna vertebral del internet del país — fue víctima del ransomware operado por el grupo RansomEXX. Fue un evento documentado: los atacantes filtraron contratos, datos administrativos y reportes financieros internos. Tomó semanas restaurar servicios. La conversación pública duró pocos días; la conversación interna del sector financiero, mucho más.

Lo que aprendimos no fue un caso aislado. Fue un espejo. Y lo que vemos en ese espejo en 2026, cinco años después, es incómodo: las mismas brechas estructurales siguen abiertas, ahora con atacantes más sofisticados y un sector financiero que aprendió a reportar menos.

La pérdida que no aparece en los balances

El fraude bancario en Ecuador tiene una característica peculiar: rara vez aparece como "pérdida por fraude" en los estados financieros públicos. Aparece como "otros gastos operativos", como "provisiones", o simplemente no aparece — porque el cliente perdió, no la institución.

Cuando un cliente cae víctima de un fraude por suplantación, la mayoría de bancos ecuatorianos aplica una versión de la misma lógica: "la transacción fue autorizada con sus credenciales, por lo tanto el cliente es responsable". Legalmente defendible, comercialmente entendible, éticamente discutible. Y operativamente convenient: la pérdida sale del balance del banco y va al del cliente.

Pero esa pérdida existe. Solo está reubicada.

SIM swap: el vector que nadie quiere nombrar

El SIM swap es el ataque donde el delincuente convence al operador móvil de reasignar la línea telefónica de la víctima a una SIM en su posesión. A partir de ahí, intercepta SMS de validación, cambia contraseñas de email y banca, y vacía cuentas en minutos.

En Ecuador, los tres principales operadores móviles (Claro, Movistar, CNT) han tenido casos documentados de SIM swap. La metodología es conocida: el atacante se presenta en un centro de servicio con una identificación falsa o usa un canal interno comprometido. Las verificaciones de identidad son inconsistentes, los empleados rotan, y la presión por atender rápido suele ganarle a la verificación rigurosa.

Lo que nadie quiere decir en voz alta es esto: mientras los bancos sigan dependiendo del SMS como segundo factor de autenticación, dependen de la seguridad del operador móvil — que está fuera de su control.

Y mientras tanto, la implementación de alternativas (passkeys, WebAuthn, push notifications de la app del banco) avanza lentamente. ¿Por qué? Por las mismas razones de siempre: costo de migración, segmento de clientes sin smartphone moderno, miedo a romper la experiencia de usuario.

La fatiga de LOPDP

La Ley Orgánica de Protección de Datos Personales del Ecuador entró en vigor en 2021 y comenzó a aplicarse formalmente en 2023. En el papel, es comparable con GDPR. En la práctica, vivimos lo que algunos llaman "compliance theater": la apariencia de cumplimiento sin la sustancia.

Algunas verdades incómodas que hemos visto en consultorías reales:

• Una mayoría de instituciones financieras tiene un DPO designado en el papel, pero esa persona tiene también otras 3 responsabilidades operativas. No es DPO, es "DPO entre otras cosas".
• El Registro de Actividades de Tratamiento (RAT) — obligación explícita de la ley — existe como un documento de 2021 que nadie ha actualizado.
• Los procesos de respuesta a solicitudes ARCO funcionan en teoría. En la práctica, varios bancos siguen sin tener un canal dedicado y los plazos legales se incumplen sistemáticamente.
• Las brechas se "evalúan internamente" antes de decidir si reportar. Y muchas veces, no se reportan. El umbral de "qué es reportable" se interpreta convenientemente alto.

La Superintendencia de Protección de Datos comenzó a aplicar sanciones reales. Pero el ratio de sanciones vs incumplimientos reales sigue siendo bajo — porque los incumplimientos no se reportan, y la Superintendencia no tiene capacidad operativa para auditar a las 200+ instituciones financieras del país.

La cultura del silencio

Cuando un banco mediano de Ecuador tiene un incidente de ciberseguridad — un ransomware contenido, una intrusión detectada, un acceso indebido — su reflejo no es notificar. Es minimizar.

Las razones son entendibles: reputación, fuga de clientes, presión regulatoria, costo de comunicación. Pero el efecto sistémico es destructivo. Si los bancos no comparten amenazas, cada uno enfrenta cada ataque como si fuera el primero. El atacante itera; la defensa, no.

En LATAM, los bancos no comparten threat intelligence con la profundidad con la que lo hacen en EE.UU. o Europa. Y el costo de esa diferencia es real, medible, y se paga todos los meses.

Existen esfuerzos — la AsoBanca tiene mesas técnicas, la Superintendencia de Bancos emite circulares — pero la cultura de compartir incidentes específicos para que otros aprendan sigue siendo embrionaria.

Lo que están haciendo los que sí responden

No todo es sombrío. De los 35+ bancos y cooperativas que hemos visto operar en los últimos años, hay un subgrupo que está respondiendo seriamente. Lo notamos por cuatro prácticas:

1. Tienen un CISO real, no un CTO disfrazado. La ciberseguridad tiene línea de reporte directa al directorio, no al COO.
2. Miden y comparten métricas internas. MTTD, MTTR, tasa de falsos positivos, eventos contenidos. No solo "cumplimos auditoría".
3. Invierten en threat intelligence dedicada. Sea internamente o con un proveedor especializado, monitorean foros, dark web, Telegram. Saben qué se cocina contra ellos antes de que llegue.
4. Practican respuesta a incidentes con tabletops reales. Al menos dos veces al año, con liderazgo C-Level presente. Sin esa preparación, los primeros 30 minutos de un incidente real son caos.

Ese subgrupo no es público. No se vanagloria. Pero es el que está protegiendo lo que el resto va a tener que defender en los próximos años.

Por qué importa este congreso

El 5to Congreso de Ciberseguridad y Protección de Datos que organizamos los días 19 y 20 de Noviembre de 2026 en Quito existe por una razón simple: las conversaciones que necesita el sector no están sucediendo en otros foros.

No vamos a hablar de productos. Vamos a hablar de lo que está pasando en la trinchera operativa. Las cuentas mula que están dispersando, los SIM swap que están conectándose con phishing dirigido, los modelos de IA generativa que están haciendo deepfakes convincentes para fraude bancario. Y vamos a hablar bajo Chatham House Rule — porque sólo así la gente comparte lo que importa.

Si tu institución todavía no asistió, este podría ser el año. Y si tu institución ha sido víctima de algo que no se reportó — bienvenida a la conversación. No estás sola.