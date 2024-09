Sea por abuso de confianza —cuando el fraude lo comete un familiar—, solicitar credenciales bajo información falsa por correo, llamadas o mensajería instantánea, o mediante engaños para capturar información de tarjetas de crédito, las modalidades de estafas electrónicas que afectan a los usuarios son cada vez más comunes.

El año pasado, un reporte de Inteligencia de Amenazas de Check Point Research, presentado en conjunto con Soluciones Seguras, alertaba que, en seis meses, en Guatemala se contabilizaron 6 mil 316 ataques: 2 mil 635 fueron a empresas y 3 mil 681 al Gobierno. El 92 % de dichos ataques cibernéticos ingresaron por correos electrónicos, en los cuales la víctima hizo clic en un enlace que contenía un programa maligno para secuestrar información.

Lo anterior es una alerta para que sectores, tanto privados como el mismo Gobierno, apremien la creación de una ley de ciberseguridad que mantenga el equilibrio de defensa institucional y, al mismo tiempo, proteja a los ciudadanos, indica Edie Cux, comisionado presidencial de Gobierno Abierto y Electrónico (GAE).

Según Cux, las acciones criminales para obtener información confidencial o tomar control de los dispositivos o aplicaciones —ya sea WhatsApp, correo electrónico o una llamada telefónica— aumentaron un 400 % desde el año pasado.

En la Comisión de Asuntos de Seguridad Nacional del Congreso de la República, desde febrero pasado, se discute la iniciativa 6347, Ley de Ciberseguridad. “Guatemala requiere una ley de cibercrimen que tipifique y sancione penalmente este tipo de acciones, además de una relacionada con la privacidad de los datos, para entonces hablar verdaderamente de ciberseguridad”, dice Cristian Álvarez, jefe de la bancada Compromiso, Renovación y Orden (Creo), quien, junto con su correligionario, el diputado José Mendoza, impulsa la referida propuesta de ley.

Poco respaldo legal

Hoy, si un guatemalteco busca presentar una denuncia por robo de datos financieros o de dinero por vías electrónicas, la ley solo le permite hacerlo por estafa menor.

“Primero es necesario contar con la regulación y la tipificación de los delitos para que puedan ser perseguidos y asignadas las sentencias. Esto se debe a que, en muchas ocasiones, el MP no puede actuar por falta de esa tipificación, y aunque se tenga fehacientemente a los responsables, no hay condena”, alerta German López, miembro de la Comunidad Bancaria de Ciberseguridad (Bancert).

Bancert es el grupo de oficiales de seguridad de la información (o CISO, por sus siglas en inglés, Chief Information Security Officer) de los bancos, perteneciente a la ABG (Asociación Bancaria de Guatemala).

“Al contar con una legislación, el MP podría iniciar investigaciones de los responsables de fraude electrónico y rastrear las redes. Esto serviría para advertir a los cibercriminales que se está actuando en su contra”, aclara el experto.

Desafío de la discusión

Tanto desde esa comisión legislativa como desde la Mesa de Transformación Digital, que está promoviendo la presidencia dentro del Comité de Modernización, se tiene claro que debe existir un equilibrio entre lo que puede ser ciberdefensa, ciberdelincuencia y el respeto a los derechos del usuario.

También se considera no interferir en la operación de empresas o instituciones durante una investigación para no afectar la economía. Se toma en cuenta que un ciberataque puede comprometer infraestructuras críticas, y que no se cuentan con suficientes recursos humanos y tecnológicos como país, comenta López.

“En esta propuesta de ley no se profundizan temas de privacidad de datos. De hecho, actualmente se están realizando mesas de trabajo para diferentes propuestas de ley; una de ellas es la de protección y privacidad de datos, que busca regular, además de los convenios internacionales relacionados con los derechos humanos, la privacidad de los datos e incluir los controles necesarios para protegerlos”, añade López.

Para Manfredo Marroquín, de Acción Ciudadana, todavía hay “muchos temas por discutir para que la ley a aprobar esté completa. Por ejemplo, la protección de datos personales y empresariales, ya que nada de esto está regulado”.

“Que el MP tome las evidencias es correcto, pero se debe considerar que las empresas tienen que seguir operando y no deberían verse afectadas por una investigación que implique el secuestro de dispositivos. Hay formas de hacer una investigación y un análisis forense de los sistemas sin necesidad de secuestrar equipo”, recomienda López. Para ello, añade, “el MP debe especializarse y contar con el apoyo de terceros que tengan las capacidades técnicas para hacer ese análisis forense”.

Marroquín opina que se deben utilizar legislaciones de otros países como referencia, que ya están vigentes y han recorrido un camino en la lucha contra la ciberdelincuencia.

Además de la regulación chilena, existen otros modelos como los de Colombia y España, países que tienen más tiempo tratando ciberdelitos y cuentan con personal capacitado en instancias gubernamentales. De igual manera, tienen una estrategia bien definida de ciberdefensa y ciberseguridad que sirve de marco para otros países o instituciones, agrega López.

No obstante, los avances en consultas y revisiones, a la fecha hace falta mayor divulgación sobre lo que se pretende dictaminar. Para Marroquín, se deben involucrar sectores académicos, tecnológicos, expertos, y el mismo sector privado, pues muchos aspectos de la ciberseguridad tienen que ver con los mercados, que cada vez más operan en plataformas tecnológicas.

Aspectos clave a fortalecer

Si la ley entra en vigor, instituciones como el Ministerio Público (MP) y el Organismo Judicial (OJ) deberán tomar acciones relacionadas con la demanda de justicia y preparar, respectivamente, a fiscales y jueces especializados en ciberseguridad y cibercrimen, apunta el diputado Álvarez.

Por ello, es importante que la iniciativa sea bien discutida para crear un instrumento sólido que sirva, en primer lugar, a Guatemala y, como segunda prioridad, permita la apertura a acuerdos y convenios internacionales de cooperación. Uno de ellos es el Convenio de Budapest, el primer tratado internacional sobre delitos cometidos a través de internet y otras redes informáticas, cuyo plazo para adherirse vence en abril próximo.

En caso de no lograrlo, existe la opción de adherirse a un mecanismo similar por parte de la Organización de las Naciones Unidas, que está en implementación.

Más allá de esto, la necesidad de contar con una ley de ciberseguridad y cibercrimen es urgente, ya que los donantes internacionales y los inversionistas extranjeros suelen vincular sus inversiones con la existencia de una Ley de Ciberseguridad que los proteja. Estas son algunas de las aristas que deben analizarse, explica David Osorio, director de la Comisión de Gobierno Abierto y Electrónico (GAE).

Quedaría pendiente legislar sobre la protección de datos, el comercio electrónico y la inteligencia artificial.

Carrera a contrarreloj

Para el diputado presidente de la comisión respectiva, la iniciativa 6347 cumple con todos los requisitos en materia de cooperación nacional e internacional, avalados por diferentes instancias, como el Ministerio de la Defensa, el Ministerio de Gobernación, el Ministerio Público (MP), jueces del Organismo Judicial (OJ) y la Comunidad Bancaria de Ciberseguridad (Bancert). Además, han tenido acercamientos con el Centro de Estudios de Defensa Hemisférica William J. Perry, de Estados Unidos.

Que la iniciativa sea aprobada pronto o no en el pleno dependerá de la agenda legislativa que acuerde la junta de jefes de bloque.

En el caso de un ataque a Guatemala, similar al que sufrió Costa Rica en 2022 contra su infraestructura crítica, que le costó US$250 millones, particularmente en el sector de salud, la cooperación con organismos internacionales, como el Convenio de Budapest, sería un alivio para enfrentar ese tipo de amenazas latentes. “Hay que recordar que, en un ciberataque de esas magnitudes, el tiempo es un factor clave”, advierte López, de Bancert.

Qué podría incluir la Ley de Ciberdelitos

Lo deseable en el contenido de la iniciativa de ley 6347 es la tipificación de delitos cibernéticos, como el acceso ilícito a sistemas informáticos, los ataques a la banca virtual, el robo de identidad y el fraude informático, así como la creación del Centro de Seguridad Interinstitucional de respuesta técnica ante incidentes informáticos.

También se plantea la implementación de un Comité Técnico en Ciberdefensa y Ciberseguridad, integrado por varias instituciones estatales, y la creación de la Red de Asistencia Mutua Contra Delitos Informáticos.

Además, se propone la asignación de responsables en temas de ciberseguridad dentro del gobierno, la obligación de los diferentes sectores públicos y privados de implementar medidas o controles para prevenir ciberataques, y la adopción de controles mínimos alineados a un estándar aceptable, como los del Instituto Nacional de Estándares y Tecnología (NIST), agencia del gobierno de Estados Unidos encargada de desarrollar y promover normas, medidas y tecnologías para mejorar la seguridad y la competitividad económica.

Asimismo, se prevén sanciones o penalizaciones inconmutables ante ciberdelitos, que sirvan realmente de ejemplo o precedente; la responsabilidad tanto del sector público como del privado en la educación y concientización en todos los niveles; la definición y protección de infraestructuras críticas; la creación del Computer Emergency Response Team (CERT), un equipo especializado en la prevención, detección y respuesta eficaz a los incidentes de seguridad del país, y la colaboración entre diferentes sectores.

Fuente: Bancert/ABG

