El congreso de Ecuador aprobó la Ley de Ciberseguridad y ordenó formación obligatoria en el sistema educativo

El congreso de Ecuador aprobó la Ley Orgánica para el Fortalecimiento de la Ciberseguridad, una norma que busca establecer un marco integral para la prevención, detección y respuesta frente a incidentes en el ciberespacio y que, entre otras disposiciones, obliga a escuelas, colegios y universidades a implementar programas de formación en seguridad digital, ciberseguridad y protección de datos personales.

El proyecto fue tramitado por la Comisión Especializada Permanente de Soberanía, Integración y Seguridad Integral, que presentó el informe para segundo debate el 30 de enero de 2026. En ese documento se detalla el proceso legislativo, que incluyó la unificación de iniciativas previas sobre ciberseguridad y protección digital, así como la recepción de observaciones de asambleístas, entidades públicas, sector privado, academia y expertos en derecho digital e informática.

Durante el tratamiento en comisión se recogieron aportes de instituciones como la Corporación Nacional de Telecomunicaciones (CNT), la Superintendencia de Bancos, la Superintendencia de Protección de Datos Personales, la Superintendencia de Economía Popular y Solidaria, así como de especialistas en ciberseguridad y derecho digital. Entre los temas más debatidos estuvieron la definición de infraestructura crítica digital, el alcance de las obligaciones para el sector privado, la coordinación interinstitucional y el régimen de notificación de incidentes.

La ley establece la creación y fortalecimiento de instancias de coordinación nacional para la gestión de incidentes informáticos, incluyendo la articulación entre el ente rector en transformación digital, los equipos de respuesta a incidentes (CSIRT) y las entidades responsables de la defensa y la seguridad interna. El objetivo es pasar de una gestión fragmentada a una respuesta estratégica y coordinada ante ataques que puedan afectar servicios esenciales, datos personales o infraestructuras críticas.

Uno de los ejes centrales de la norma es la incorporación del enfoque preventivo. En ese marco, se dispone que las instituciones educativas, desde el nivel escolar hasta el universitario, desarrollen programas y contenidos orientados a la formación en seguridad digital, ciberseguridad y protección de datos personales. La medida responde a los diagnósticos expuestos durante el debate legislativo, en los que se advirtió que una parte significativa de los incidentes se origina en errores humanos, desconocimiento de riesgos o malas prácticas en el manejo de la información.

Según las intervenciones recogidas por la Comisión, la capacitación temprana en riesgos digitales, suplantación de identidad, protección de credenciales y uso seguro de plataformas electrónicas es considerada un componente clave para reducir la vulnerabilidad del país frente a amenazas como el ransomware, el phishing y otros ataques informáticos. En esa línea, la norma busca que la educación en ciberseguridad no se limite a la formación técnica especializada, sino que se integre como competencia transversal en el sistema educativo.

El texto aprobado también incorpora principios como la neutralidad tecnológica, la proporcionalidad y la resiliencia, alineados con estándares internacionales como las normas ISO 27000 y marcos de referencia como NIST. Además, se prevé la obligación de notificar incidentes de seguridad dentro de plazos determinados, con el fin de activar protocolos de respuesta temprana y evitar la propagación de ataques que puedan comprometer servicios públicos o datos sensibles.

En el ámbito institucional, la ley delimita responsabilidades entre el ente rector en transformación digital y los organismos de control sectoriales, como la Superintendencia de Bancos o la autoridad de protección de datos, para evitar superposición de competencias. Asimismo, contempla la elaboración de un catálogo nacional de infraestructura crítica digital y la adopción de estándares mínimos de seguridad en entidades públicas y operadores estratégicos.

El debate también abordó la necesidad de fortalecer la cooperación internacional, en coherencia con compromisos como el Convenio de Budapest sobre ciberdelincuencia, y de consolidar redes de intercambio de información sobre amenazas, tanto a nivel regional como global.