Durante los últimos meses, diversas instituciones públicas y privadas del país fueron víctimas de hackeos, filtraciones de información y fallas en sus sistemas digitales. Uno de los primeros casos se reportó en la Dirección General de Control de Armas y Municiones (Digecam), donde fue sustraída información sensible de más de 18 mil usuarios.

Semanas después, el portal Tu Empleo, del Ministerio de Trabajo y Previsión Social (Mintrab), también registró una filtración de información. Asimismo, se reportaron incidentes en la Universidad de San Carlos de Guatemala (Usac), el Registro Nacional de las Personas (Renap) y la Superintendencia de Administración Tributaria (SAT).

Mientras tanto, Guatemala aún carece de una legislación específica para tipificar y perseguir delitos informáticos. En el Congreso permanece en discusión la iniciativa 6347, conocida como Ley de Ciberseguridad, presentada en el 2024 y pendiente de dictamen favorable de la comisión a donde fue remitida.

El proyecto de ley fue abordado durante el foro “¿Cómo debería regularse la seguridad cibernética en Guatemala?”, convocado por Guatevisión para Guatemala No Se Detiene, en el que participaron Jorge Mario Villagrán, diputado y presidente de la Comisión de Asuntos de Seguridad Nacional del Congreso; Victoria Palala, integrante de esa comisión; Karen Ortiz Solares, viceministra de Tecnologías de la Información y las Comunicaciones del Ministerio de Gobernación; y Erick Sosa, segundo vicepresidente de la Junta Directiva de AmCham Guatemala.

LECTURAS RELACIONADAS

“Se ha vuelto fácil cometer fraudes en Guatemala por falta de leyes que castiguen los ciberdelitos"

Urgen reforzar ciberseguridad a instituciones que manejan datos sensibles

Según Villagrán, la iniciativa permanece estancada debido a que existen diferencias respecto de la estructura de gobernanza que tendría el sistema nacional de ciberseguridad. “Estamos en la fase solo de arreglar la gobernanza de la ley, que en realidad es lo que nos ha tenido en una discusión amena”, afirmó.

Añadió que el desacuerdo no se encuentra en la necesidad de aprobar una legislación, sino en la definición de las instituciones que formarían parte del sistema y las funciones que asumiría cada una. “El único tema que tenemos y en el que todavía no estamos de acuerdo es en la gobernanza, pero lo estamos subsanando”, indicó.

Villagrán explicó que la ley contempla la creación de una instancia integrada por instituciones estatales y otros actores relacionados con la gestión de riesgos digitales. “Tenemos que crear un ente que sea el que tenga la gobernanza de la ley acompañado de otras instituciones, ministerios, iniciativa privada y otros sectores, porque esto no puede ser un ente solo”, indicó.

Según el diputado, determinar la participación de distintas instituciones dentro de la estructura de coordinación y definir la autoridad responsable es el asunto pendiente. “El presidente es el eje principal de la ley, pero tenemos que definir a los actores que están abajo. El Ministerio de la Defensa también entra y es un punto muy delicado porque todos creen que queremos militarizar la ley”, señaló.

La diputada Victoria Palala indicó que la gobernanza debe estar claramente definida para facilitar la aplicación de la normativa y el funcionamiento de las instituciones responsables. “Lo que necesitamos es una ley clara, operativa, con una gobernanza que respete los derechos de las personas y que permita a un Estado fuerte”, afirmó.

Desde el sector empresarial, Sosa señaló que el tema de gobernanza deberá alcanzar un acuerdo para avanzar con la normativa. “Creemos que va a llegar a buen puerto. No tenemos otra salida. Si queremos competir y operar debemos ponernos de acuerdo”, indicó.

¿Quién debe tener el liderazgo?

Para Villagrán, la conducción debe responder a una estructura estatal encabezada por el presidente de la República e integrada por las instituciones que actualmente forman parte del esquema de seguridad nacional del país.

Según explicó, debido a que la ciberseguridad involucra la protección de infraestructuras críticas, servicios esenciales y datos estratégicos, la coordinación debe mantenerse dentro de una cadena de mando claramente definida. “Para mí es el presidente de la República como comandante, acompañado por el Ministerio de Gobernación, Relaciones Exteriores, Defensa, Banco de Guatemala y otras instituciones que tienen un orden jerárquico vertical”, afirmó.

No obstante, el legislador indicó que la estructura también debe incluir una figura ejecutiva encargada de coordinar y tomar decisiones cuando ocurra un incidente de seguridad. “Tiene que haber una persona que tome las decisiones porque si no, en lo que nos ponemos de acuerdo todos los que estamos abajo, nos terminan de hackear”, señaló.

Por su parte, la diputada Palala sostuvo que la estrategia debe mantenerse bajo conducción civil y enmarcarse dentro del modelo de seguridad democrática establecido en la Constitución y en la legislación nacional.

Explicó que la participación de instituciones relacionadas con la seguridad no implica que deba trasladarse al ámbito militar. “Nuestro enfoque de seguridad nacional es una seguridad democrática que respete los derechos de los guatemaltecos, por eso creemos que deben estar en manos civiles, tal cual está hoy planteado”, afirmó.

La viceministra Ortiz consideró que la ciberseguridad debe abordarse principalmente desde el ámbito de la seguridad interior y no necesariamente bajo conducción militar. “No debemos militarizar todos los aspectos por creer que el Ministerio de la Defensa es el que tiene la solución”, indicó.

La funcionaria también planteó la necesidad de incorporar dentro del esquema de gobernanza a representantes de la sociedad civil y de la academia, con el objetivo de ampliar las capacidades técnicas y especializadas que requiere la gestión de riesgos digitales.

Desde el sector empresarial, Sosa manifestó que la gobernanza debería recaer en un organismo mixto integrado por representantes con capacidad de coordinarse con otras instituciones. “Con representación de la sociedad civil, el Estado, la academia y, para casos muy sofisticados que escalen rápidamente, posiblemente también los militares”, afirmó.

Señaló que la discusión sobre quién debe administrar el sistema no debe desplazar la atención sobre el desarrollo de capacidades para prevenir, detectar y responder a incidentes de ciberseguridad. “Más allá de quién la administre, son las capacidades técnicas las que van a poder protegernos o no”, expresó.

Lo que necesita el ente rector

Otro de los asuntos abordados durante el foro fue cuáles deberían ser las capacidades mínimas de la institución encargada de coordinar la prevención y respuesta ante incidentes informáticos.

Para Ortiz, deberá contar con infraestructura tecnológica que permita monitorear permanentemente los sistemas de las instituciones públicas y detectar posibles amenazas de manera oportuna. “Debe tener una infraestructura importante para tener sensores en todas las instituciones y poder hacer el monitoreo de la seguridad”, afirmó.

La funcionaria señaló que, además de las herramientas tecnológicas, la institución requerirá personal especializado en ciberseguridad, infraestructura digital y análisis de riesgos, así como recursos presupuestarios suficientes. “Tiene que contar con profesionales expertos en ciberseguridad e infraestructura. También tiene que tener un presupuesto importante asignado”, indicó.

Ortiz explicó que uno de los desafíos para el Estado consiste en atraer y retener personal especializado en un área donde los profesionales suelen ser altamente demandados por el sector privado. “Los expertos en materia de ciberseguridad en la iniciativa privada tienen salarios muy grandes y el Estado no siempre puede darse el lujo de poder pagar”, señaló.

Según la viceministra, las capacidades del ente rector no deben limitarse a la detección de amenazas. También deberá contar con mecanismos que permitan responder cuando un ataque esté en desarrollo o represente un riesgo inminente para los sistemas afectados.

“Muchas veces solo tomamos en cuenta la detección o prevención, pero qué hacemos cuando el ataque ya es inminente, cómo reaccionamos y cuál es la capacidad que tenemos para desplegar a las personas adecuadas para protegernos”, explicó.

Añadió que la institución deberá disponer de protocolos de actuación y mecanismos que permitan tomar decisiones frente a incidentes que afecten infraestructura crítica o servicios esenciales. “Deberíamos tener no solo una infraestructura adecuada, sino también mecanismos que nos permitan tomar acciones claras, contundentes y, sobre todo, rápidas”, mencionó.

Contar con mecanismos legales

Palala indicó que una legislación específica en materia de ciberseguridad tendría implicaciones que van más allá de los sistemas tecnológicos, debido a que involucra actividades económicas, financieras y la protección de datos personales. “Debemos proteger el comercio digital, las transferencias bancarias y la identidad de los guatemaltecos”, señaló.

Agregó que la ciberseguridad debe entenderse como un componente de la seguridad nacional y no únicamente como un asunto tecnológico. Según explicó, la normativa también debería incorporar medidas preventivas. “No estamos hablando únicamente de un Estado punitivo, sino también preventivo. Aquí estamos hablando incluso de educación digital”, afirmó.

Palala sostuvo que la tipificación de delitos informáticos permitiría establecer mecanismos legales para la protección de grupos vulnerables y de la información personal de los ciudadanos. “Una regulación clara con delitos claramente tipificados nos va a permitir proteger a la niñez, proteger a la juventud y proteger la identidad de los guatemaltecos”, indicó.

Asimismo, señaló que la ciberseguridad podría incorporarse como un componente adicional dentro del Sistema Nacional de Seguridad, junto con los ámbitos de seguridad interior, seguridad exterior, inteligencia y gestión de riesgos. “Debería pasar a ser el quinto elemento que ve todo el sistema nacional de seguridad que está bajo el mando del presidente de la República”, explicó.

Ortiz coincidió en la necesidad de fortalecer el marco normativo para responder a los desafíos que plantean los delitos informáticos y las vulneraciones de derechos en entornos digitales. “Siempre que tengamos derechos vulnerados debe haber una consecuencia penal o jurídica para las personas que infrinjan o restrinjan esos derechos”, afirmó.

Según la funcionaria, la legislación sobre ciberseguridad debe complementarse con otras normativas, entre ellas una ley de protección de datos personales, debido a que los riesgos asociados a la seguridad digital involucran distintos ámbitos de la actividad pública y privada. “La ciberseguridad no es única; es transnacional y es transversal. Por eso es importante que exista un marco regulatorio robusto para poder castigar”, indicó.

Cooperación internacional

Según explicó el diputado Villagrán, la propuesta se encuentra estructurada sobre cinco componentes principales que han sido discutidos dentro de la Comisión de Asuntos de Seguridad Nacional del Congreso. Estos son la tipificación de delitos informáticos, gobernanza centralizada y técnica, reglas procesales para la investigación, cooperación nacional e internacional y protección de infraestructuras críticas y servicios esenciales.

Villagrán señaló que la propuesta busca responder a un contexto en el que los delitos relacionados con tecnologías de la información trascienden las fronteras nacionales y requieren mecanismos especializados para su investigación y persecución. “Guatemala ya no está solo para decir que tenemos delitos informáticos. Guatemala ya tiene delitos transnacionales”, afirmó.

Por su parte, la diputada Palala destacó la importancia de incorporar mecanismos de cooperación internacional debido a que muchos de los ataques informáticos se originan fuera del territorio nacional. “Estos son delitos transnacionales que ya no los solventamos solos. Los ataques vienen de fuera y lo que necesitamos es ese marco que nos permita cooperar e intercambiar información”, señaló.

Ortiz indicó que la regulación también debe contemplar el fortalecimiento de las instituciones encargadas de investigar y judicializar este tipo de delitos. “El Ministerio Público (MP) y la Policía Nacional Civil (PNC) cuentan con unidades especializadas, pero no se encuentran fortalecidos y tampoco tienen herramientas técnicas para hacerlo”, afirmó.

La viceministra Ortiz agregó que uno de los principales desafíos radica en que gran parte de la infraestructura utilizada para cometer delitos informáticos se encuentra fuera del país. “Cuando se cometen estos delitos, los servidores se encuentran en otro país y no tenemos marcos como el Convenio de Budapest que nos permitan el intercambio inmediato de la información”, indicó.

Según la funcionaria, la adhesión a instrumentos internacionales de cooperación permitiría obtener evidencia digital de forma más ágil y facilitar su incorporación en procesos judiciales. “Si no tenemos mecanismos como el Convenio de Budapest, nos encontramos con las manos atadas”, señaló.

Sosa coincidió en la necesidad de contar con mecanismos internacionales que permitan coordinar acciones con otros países cuando los delitos trascienden las fronteras nacionales. “El Convenio de Budapest es una forma correcta de adherirnos a un marco que nos permita obtener no solo información, sino también tomar acciones en un país diferente al nuestro”, afirmó.

Añadió que sin estos mecanismos las autoridades pueden detectar incidentes, pero enfrentan mayores dificultades para desarrollar investigaciones o ejecutar acciones contra los responsables. “Vamos a empezar a detectarlos, porque es lo que hemos estado haciendo actualmente, pero investigar y tomar acción va a ser sumamente complicado sin estos mecanismos”, explicó.

Encuentre más de Guatemala No Se Detiene en nuestros canales de video de Prensa Libre y Guatevisión, un contenido en alianza enfocado en periodismo de soluciones.