Proponen mejores capacidades, regulación e infraestructura ante riesgos de ciberseguridad

Advierten sobre brechas y ausencia de marcos legales para enfrentar amenazas digitales en Guatemala. Ruta incluye inversión, cooperación internacional y desarrollo institucional.

Mauricio Álvarez

7 de abril de 2026

|

00:00h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

Los ataques cibernéticos han incrementado, frente a este panorama, expertos plantean reforzar marcos legales y construir estructuras resilientes para que instituciones en el país estén preparados. (Foto Prensa Libre: Freepik).

Durante el simposio de ciberseguridad: “Fortaleciendo la ciberseguridad en Guatemala: construcción de infraestructura digital resiliente frente a amenazas emergentes”, organizado este lunes por el Global Cooperation and Training Framework (GCTF), se abordó la importancia de reforzar la ciberseguridad en el país para prevenir ataques cibernéticos y fortalecer los mecanismos de defensa. 

De acuerdo con el Atlas de AGCS, el cibercrimen genera un costo anual estimado de US$445 mil millones para la economía mundial. Entre las principales economías afectadas se encuentran Estados Unidos (US$108 mil millones), Alemania (US$59 mil millones) y China (US$2 mil millones), entre otras.

En ese contexto, Pablo Barrera, fundador de ES Consulting y experto en ciberseguridad, señaló que “si el cibercrimen fuera un país, sería la tercera economía más grande del mundo”. Añadió que este fenómeno tiene una particularidad: “no necesariamente invierte en infraestructura, educación o tecnología como lo hacen los países, pero aún así genera un volumen económico comparable”.

LECTURAS RELACIONADAS

Guatemala enfrenta ciberataques cada vez más sofisticados sin un marco legal sólido

La mitad de los ciberataques en Guatemala van por la información personal y bancaria

Barrera explicó que el carácter transnacional del cibercrimen dificulta su persecución. “Es algo que tenemos que combatir de forma global, no solo con esfuerzos locales. El cibercrimen está en todo el mundo, puede haber bandas operando en Europa del Este, con gente del sudeste asiático, con actores locales en Guatemala y en Sudamérica”, indicó. 

En ese sentido, subrayó que “no existen actualmente leyes capaces de perseguirlos a todos al mismo tiempo en todos lados”. El experto mencionó que existen esfuerzos internacionales como el Convenio de Budapest, pero señaló que Guatemala aún no se ha adherido. “No hemos sacado una ley adecuada para podernos adherir, que es algo que debería suceder”, afirmó.

Brechas en ciberseguridad

Barrera indicó que uno de los principales retos es la falta de talento especializado. “No hay suficientes personas con conocimiento de seguridad en el mundo. Eso es una realidad”, afirmó, aunque destacó que Guatemala cuenta con capacidad de formación académica en el área.

También señaló que la mayoría de acciones en ciberseguridad son reactivas. “Las organizaciones se preocupan por la seguridad cuando ya les pasa algo”, explicó.

“Cuando hablamos de infraestructura tecnológica no es solo tener computadoras o internet, sino qué tan resiliente es esa infraestructura digital y tecnológica”, mencionó.

En términos de infraestructura, el país enfrenta limitaciones importantes. “Hay pocos data centers en el país; la conectividad por fibra óptica existe, pero no está extendida en todos los territorios, y las comunicaciones satelitales prácticamente no existen”, indicó.

Además, advirtió sobre la brecha tecnológica: “Nuestra brecha de infraestructura tecnológica es de más del 50%”, lo que ubica al país entre los que presentan rezagos en este ámbito.

Barrera señaló que los modelos tradicionales de seguridad han evolucionado. “Antes hablábamos de antivirus, firewall y algunos filtros. Hoy en día existen múltiples capas, productos y arquitecturas mucho más complejas”, explicó.

IA y “cero confianza”

En ese sentido, propuso migrar hacia modelos más avanzados, como la arquitectura de “cero confianza”. “Tengo cero confianza sobre mis usuarios. Tienen que identificarse y autenticarse en todo momento”, afirmó.

También destacó el papel de la inteligencia artificial. “Hay un antes y un después con los modelos de lenguaje y los agentes”, indicó. Además, mencionó que estas tecnologías pueden utilizarse para anticipar riesgos, como ya ocurre en la predicción climática en algunas regiones.

El experto advirtió sobre un “abismo financiero” en la inversión en infraestructura digital, especialmente en países en desarrollo. “Los capitales de riesgo no invierten en zonas vulnerables porque el riesgo es mayor”, explicó.

Asimismo, señaló la existencia de una asimetría tecnológica, ya que muchos países dependen de tecnología extranjera, y una desalineación institucional entre políticas públicas y necesidades reales. “Debe existir cooperación entre Estado, sector privado y otros países”, afirmó. Asimismo, añadió que “as políticas públicas deben alinearse con los estándares internacionales para poder competir.

Ruta para una estructura resiliente

• Paso 1. Mapeo de interdependencias: identificar proveedores críticos, puntos de flexibilidad sistemática y riesgos geopolíticos en la cadena de suministro.
• Paso 2. Desarrollar capacidades soberanas: priorizar nubes soberanas, IA localizada e infraestructura nacional redundante.
• Paso 3. Integrar riesgos climáticos: expandir la ciberseguridad para incluir la resiliencia física extrema y la protección de activos espaciales (satélites).
• Paso 4. Fomentar alianzas de supervisión integrada: utilizar International Financial Data Services (IFDS) y capital combinado para cofinanciar el riesgo tecnológico con el sector privado.

De acuerdo con Mike Asencio, director del programa de política cibernética en la Universidad Internacional de Florida, el fortalecimiento institucional debe desarrollarse en tres fases.

• La primera consiste en establecer control en un plazo aproximado de dos meses. “Se debe nombrar un coordinador nacional de ciberseguridad y definir los costos mínimos para los sistemas gubernamentales”, indicó.
• La segunda fase, con un horizonte de 12 a 24 meses, se enfoca en el desarrollo de capacidades. Esta incluye el lanzamiento de un programa nacional de fuerza laboral cibernética, la creación de mecanismos de coordinación de incidentes público-privados y el establecimiento de un marco de protección de infraestructura crítica.
• La tercera fase plantea un liderazgo regional en más de 24 meses, mediante la formalización de cooperación cibernética con países como Estados Unidos y Taiwán, la creación de un centro regional de capacitación y el apoyo a países vecinos en la respuesta a incidentes.

Asencio señaló que uno de los principales vacíos es la ausencia de un marco regulatorio centralizado. “Lo importante es contar con una ley que nos permita adherirnos a convenios internacionales y, sobre eso, construir”, explicó.

Añadió que, mientras esto ocurre, es posible adoptar estándares internacionales. “Se pueden utilizar marcos como el Cybersecurity Framework o la ISO 27001 sin necesidad de estar formalmente adheridos a un tratado, como el de Budapest”, indicó.

En cuanto a infraestructura crítica, enfatizó la necesidad de identificación previa. “No se puede proteger lo que no se ha identificado. Hay que determinar cuáles son las infraestructuras que permiten al país seguir funcionando y qué controles requieren”, señaló.

Guatemala enfrenta ciberataques cada vez más sofisticados sin un marco legal sólido

Estructuras criminales evolucionan hacia modelos digitales e híbridos, mientras los informes internacionales ubican al país entre los más expuestos de la región. 

Ana Lucía González

22 de marzo de 2026

|

08:00h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

Los ciberdelincuentes han aprendido a combinar el ransomware tradicional con la accesibilidad de los servicios en la nube. (Foto Prensa Libre: Freepik)

Un cliente en Guatemala recibió una llamada de su supuesto jefe, quien le pidió que realizara un pago urgente a una cuenta específica para cerrar un proyecto. El jefe afirmó que iba camino al aeropuerto y que no podía encargarse personalmente.

El cliente también recibió un correo electrónico de una cuenta comprometida, un mensaje de WhatsApp generado con inteligencia artificial y un mensaje de voz con la voz clonada del jefe. Todo coincidía y el cliente, sin percatarse de que nunca le habían avisado previamente, registró la cuenta y realizó el depósito. Posteriormente se supo que todo había sido creado con inteligencia artificial.

Este incidente llevó a la empresa a implementar nuevas políticas, como la doble validación para pagos y la preferencia por pagar multas antes que efectuar pagos urgentes, además de exigir un aviso previo de 48 horas para todos los pagos. El análisis forense reveló que hubo indicios previos de que alguien estaba revisando cuentas y conocía el comportamiento de los pagos, lo que sugiere que se trató de un ataque sofisticado.

El caso es real y lo narra Erick Sosa, director comercial de GBM y catedrático en tres universidades privadas del país, quien explica cómo ha evolucionado el riesgo de la inteligencia artificial y cómo deben prepararse las empresas.

El avance de la inteligencia artificial facilita ataques multicanal, al sincronizar correos electrónicos, mensajes de WhatsApp y mensajes de voz con información específica, lo que dificulta su detección. Esto complica las validaciones digitales, porque la inteligencia artificial puede clonar voces y videos, lo que hace los ataques más creíbles.

“Ahora los hackers, en lugar de atacar directamente a las empresas, lo hacen a través de las cadenas de suministro. Esto se logra identificando las relaciones de confianza y atacando a proveedores pequeños, para luego afectar a las empresas grandes”, explica Sosa.

Otra modalidad es lo que se conoce como “Shadow AI”, es decir, cuando los empleados utilizan herramientas de inteligencia artificial no aprobadas por la empresa, como ChatGPT, para tareas laborales. Sin embargo, al usar versiones gratuitas se entrega información privada de la empresa a los modelos de inteligencia artificial, que luego pueden ser entrenados con esa información.

“Esto puede ser explotado por la competencia o por atacantes. Un caso famoso fue el de Samsung, donde un programador subió código propietario a ChatGPT, lo que resultó en su despido y en la necesidad de cambiar el código”, relata.

En Guatemala los ataques cibernéticos son cada vez más sofisticados y, además, permanecen invisibilizados por la falta de denuncias formales. A este escenario se suma el desconocimiento ciudadano sobre cómo prevenir fraudes digitales y una estructura legal insuficiente para perseguir y sancionar estos ilícitos, lo que deja vulnerable a la mayoría de la población.

La dimensión del problema se refleja en indicadores internacionales. Según el Global Cybersecurity Index 2024 de la Unión Internacional de Telecomunicaciones, Guatemala obtuvo 39.99 puntos, uno de los puntajes más bajos de la región, en contraste con Costa Rica, que alcanzó 75.07. El índice evaluó cinco pilares estratégicos, de los cuales el eje técnico (3.7) y el legal (6.9) figuran entre los más bajos en capacidades institucionales y normativas.

A nivel regional, el Cyber Insights Report 2024 de Mastercard reportó que los ataques cibernéticos en Guatemala se incrementaron 200% respecto del año anterior, lo que posicionó al país entre los 10 con mayor exposición en Latinoamérica. Los ataques identificados como más frecuentes son el malware y el ransomware (58%), seguidos del denial of service (DoS) (9.9%) y el phishing (6.9%).

Los sectores más afectados son el financiero (19.3%), el industrial (16.8%), el tecnológico (7.9%) y el público (7.8%). Los principales objetivos son la información personal, financiera y corporativa.

Modelos más sofisticados

Los ciberdelincuentes han aprendido a combinar el ransomware tradicional con la accesibilidad de los servicios en la nube. El modelo Ransomware as a Service (RaaS) les ha permitido transformar la extorsión digital en una economía basada en suscripciones.

De acuerdo con el sitio de IBM, en el modelo RaaS los desarrolladores de ransomware crean herramientas robustas de malware y las alquilan a clientes o afiliados, quienes ejecutan los ataques. Los desarrolladores reciben entre el 20% y el 40% de las ganancias, mientras que los afiliados se quedan con el resto.

“Es un modelo que se aplica para grandes objetivos. Los costos son variables en una industria sofisticada y pueden comenzar desde US$10 mil hasta US$1 millón”, explica Arévalo.

Otros informes, como los de Kaspersky, estiman que Guatemala enfrenta 6.4 millones de intentos de phishing al año, el equivalente a 17 mil ataques diarios. Esto consolida este tipo de fraude como uno de los más rentables del cibercrimen, que suele ocurrir en el comercio electrónico.

Sin embargo, no existe una cuantificación consolidada de esta problemática a nivel nacional. La mayoría de datos proviene de proveedores de servicios que reportan únicamente lo que ocurre dentro de sus propias redes. A ello se suma que muchas corporaciones y entidades financieras optan por no presentar denuncias penales, pues priorizan la protección reputacional y resuelven los incidentes con recursos propios.

Esta situación contribuye a la percepción de Guatemala como un entorno atractivo para los ciberdelincuentes. “Por eso es complejo tener estadísticas”, afirma Freddy Arévalo, director de Transformación Tecnológica del Grupo Financiero Bantrab.

Esta limitada información pública también se evidencia en la falta de continuidad de iniciativas independientes como el Observatorio Guatemalteco de Delitos Informáticos (OGDI), que publicó estadísticas hasta el 2024. En ese informe se reportaron 583 alertas en el primer semestre de ese año, principalmente por publicidad falsa, ciberestafas y robo de identidad.

Fenómeno global

A escala global, la ciberdelincuencia representa una problemática significativa para los países. El costo mundial —en pérdidas— se estimó en alrededor de US$10.5 mil millones en el 2025, de acuerdo con el Official Cybercrime Report de Cybersecurity Ventures. Si esto se midiera como un país, el valor económico de esta industria ilícita sería comparable con el tamaño de la tercera economía mundial, detrás de Estados Unidos y China, y superaría incluso el tráfico de drogas. Su crecimiento acelerado ha llevado a catalogarla como un riesgo sistémico y el octavo riesgo global.

En paralelo, el crimen organizado transnacional evoluciona hacia un modelo híbrido en el que convergen la logística física, las infraestructuras digitales y las finanzas descentralizadas. En este contexto, el uso de criptomonedas ha transformado las dinámicas de lavado de dinero y la operatividad criminal en la región. En el 2024 se estimó que el volumen de transacciones ilícitas con criptoactivos alcanzó los US$51.3 mil millones, de acuerdo con el Crypto Crime Report 2025 de Chainalysis.

Robo tecnológico

Según la Oficina de las Naciones Unidas contra la Droga y el Delito (UNODC), el cibercrimen se define como “actos ilegales cometidos mediante el uso de tecnologías de la información y la comunicación, particularmente computadoras y redes, para obtener beneficios financieros, robar o manipular información o causar daños a individuos, organizaciones o gobiernos”.

Hoy, estructuras criminales como la MS-13, el Barrio 18 y otras organizaciones han evolucionado a la par de la tecnología, al punto de contar con recursos económicos para contratar expertos en encriptación y telecomunicaciones. Esto les permite efectuar ataques sofisticados mediante el uso de drones, cámaras de videovigilancia, comunicación por radio y redes sociales, entre otros recursos.

Para sus operaciones financieras utilizan criptomonedas enfocadas en la privacidad, como Monero (XMR), diseñadas para transacciones privadas y resistentes a la censura debido a la escasa trazabilidad que ofrecen. También emplean cuentas trampolín que transfieren fondos en cuestión de minutos, lo que dificulta las investigaciones.

Estudios de la Oficina de las Naciones Unidas contra la Droga y el Delito explican que los grandes esquemas de fraude digital funcionan a escala industrial mediante redes que incluyen lavadores de dinero, intermediarios financieros, operadores tecnológicos y proveedores de servicios ilícitos.

“Los delincuentes comunes del crimen organizado se han aliado con expertos tecnológicos. Los ataques son los mismos —extorsiones, secuestro de información—, pero ahora con tecnología, sea con la ayuda de informáticos locales o internacionales que pueden ubicarse en países de Europa del Este, Corea del Norte, China o Brasil”, explica Freddy Arévalo, quien ha asesorado a las autoridades del Ministerio Público, Ministerio de la Defensa, la Policía Nacional Civil (PNC) y la Superintendencia de Bancos (SIB) sobre cómo mejorar su protección.

Por su parte, Armando Monzón, investigador adjunto del Instituto Nacional de Ciberseguridad de Guatemala (Incibe), añade que otro punto vulnerable es la disponibilidad de bases de datos en internet a precios accesibles, donde la información personal de los guatemaltecos resulta de fácil acceso para los ciberdelincuentes.

LECTURAS RELACIONADAS

Estafas digitales en Guatemala: las redes y métodos que más afectan a los usuarios

Estafadores se hacen pasar por aerolíneas: MP explica cómo operan y da recomendaciones para evitar ser víctima

Falta cultura de denuncia

En los últimos dos años, el Departamento de Investigación de Ciberdelitos e Información Forense de la DEIC/PNC reporta que en el 2024 hubo un total de 2,407 denuncias de diversas tipologías cometidas mediante redes sociales, aplicaciones o servicios de mensajería. En el 2025 aumentaron a 2,741 y, en lo que va del 2026, se registran 298 casos.

Además, se efectuaron cinco operativos, 69 personas consignadas y 96 allanamientos en los dos últimos años.

El entonces viceministro de Tecnología del Ministerio de Gobernación, William Cameros —en funciones al momento de esta entrevista—, indicó que uno de los principales problemas en el país es la falta de denuncias, lo que dificulta determinar la dimensión y tipología de los ciberdelitos.

Indicó en esa oportunidad que esta cartera trabaja en coordinación con el Ministerio Público (MP), a través de la unidad de ciberdelito. Las denuncias son procesadas por la fiscalía y los casos pertinentes se remiten a la unidad para su seguimiento e investigación. Sin embargo, admite que la falta de cultura de denuncia sigue siendo el principal obstáculo, ya que muchas personas sienten vergüenza o temor de exponerse al denunciar.

A pesar de esta falta de denuncias, el Ministerio de Gobernación identifica que las estafas bancarias constituyen el principal riesgo, así como la evolución que han tenido, incluida la suplantación de identidad. Cameros asegura que los adultos mayores son un grupo particularmente afectado.

Desde el Mingob se impulsan dos estrategias clave. La primera es la investigación especializada por parte de la unidad de ciberdelito, en conjunto con cooperación institucional y el fortalecimiento tecnológico de esta dependencia, donde se prepara el lanzamiento de un asistente virtual que atienda las inquietudes de la ciudadanía. La segunda se centra en la prevención, mediante el impulso de un programa de “Cultura Digital”.

Inteligencia estratégica 

Desde el Ejecutivo, una de las políticas en seguridad cibernética fue el Acuerdo Gubernativo 200-2021, que creó de forma temporal el Comité Nacional de Seguridad Cibernética (Conciber) por un plazo de cuatro años y cuya vigencia terminó a finales del 2025. En este participaban nueve funcionarios con la función de asesorar al Consejo Nacional de Seguridad a través de la Secretaría de Inteligencia Estratégica del Estado (SIE). Sin embargo, sus decisiones no son vinculantes.

Uno de los asesores admite que, aunque ya no es un acuerdo vigente, continúan reuniéndose para definir el camino a seguir y renovar su mandato. Actualmente, los esfuerzos se encaminan hacia un Plan Nacional de Transformación Digital que dejaría atrás la Estrategia Nacional de Seguridad Cibernética del Ministerio de Gobernación del 2018.

En tanto, la comisionada presidencial de Gobierno Abierto y Electrónico (GAE), ingeniera en electrónica Wendy Miranda, coincide con Cameros en que el Estado aborda esta situación desde la investigación y la educación para la prevención. Asegura que la ciberseguridad es uno de los cuatro ejes habilitadores del Plan Nacional de Transformación Digital, en el cual la GAE participa dentro del plan liderado por la Secretaría correspondiente.

“Actualmente se trabaja en un catálogo de infraestructuras críticas para el funcionamiento seguro del país”, indica.

Sin embargo, reconoce cuatro desafíos para implementar un gobierno digital: la falta de un marco normativo, la alfabetización digital interna en el Estado, el miedo al cambio y la resistencia a que se reduzca la corrupción.

“Hay temor en el personal de que la tecnología reemplace puestos de trabajo o sustituya procesos y, por último, resistencia a que se reduzca la corrupción, pues la tecnología ayuda a transparentar procesos”.

La Fiscalía de Delitos Transnacionales del Ministerio Público no aportó información, a pesar de las solicitudes enviadas a la unidad de prensa y a la Oficina de Acceso a la Información, así como de varias llamadas que no fueron atendidas.

Tampoco se encuentra tipificado algún tipo de delito informático en el Tercer Informe Anual de Gestión, período 2024-2025, dentro del resumen de denuncias por tipo de delito de mayor incidencia y región.

Fortalecer marco legal

La falta de un marco legal sólido se convierte en el talón de Aquiles para el país, puesto que las instituciones no pueden perseguir estos delitos de forma efectiva.

Aunque la Constitución Política de la República garantiza esta protección en un sentido amplio (artículo 24), en materia penal únicamente los artículos 274 —destrucción de registros informáticos—, 294 y 295 —atentado contra los servicios de seguridad pública e interrupción o entorpecimiento de comunicaciones— del Código Penal establecen penas relacionadas con el uso de tecnología.

En el Legislativo hay cuatro iniciativas de ley que hasta el momento no han sido aprobadas o quedaron archivadas. La primera fue la iniciativa 4055, Ley de Delitos Informáticos, propuesta en el 2009, que buscaba sancionar delitos como la pornografía infantil y el terrorismo informático, entre otros.

La segunda es la iniciativa 5254, Ley contra la Ciberdelincuencia, propuesta en el 2017. La tercera es la iniciativa 5601, Ley de Prevención y Protección contra la Ciberdelincuencia, presentada en el 2019, que quedó archivada en el Congreso.

Por último, la iniciativa 6347, Ley de Ciberseguridad, presentada en el 2024 por los diputados Pablo Mendoza Franco, Christian Álvarez y Gustavo Cruz Montoya, recibió dictamen favorable de la Comisión de Seguridad Nacional. Quedó aprobada en primera lectura en septiembre del año pasado.

A pesar de que existe consenso sobre la necesidad de legislar en esta materia, analistas de cuatro tanques de pensamiento alertaron sobre esta iniciativa con fundamentos técnicos y jurídicos. La Mesa de Certeza Jurídica de Guatemala No Se Detiene, la Alianza por un Congreso Eficiente, la Alianza Técnica de Apoyo Legislativo (ATAL) y la firma de abogados Alta ampliaron sobre estos señalamientos en un reportaje publicado por Prensa Libre en septiembre del 2025.

Entre los principales cuestionamientos se mencionan vacíos legales como la militarización de la rectoría en ciberseguridad, la exclusión de actores civiles y sectoriales, un enfoque penal reactivo y no preventivo, así como la falta de transparencia y rendición de cuentas. Por ejemplo, se cuestiona “contemplar que las compras y contrataciones vinculadas a ciberseguridad se realicen bajo reserva con el argumento de proteger la seguridad nacional”. Todo esto genera un impacto negativo en el sector privado y en los derechos fundamentales, coincidieron los analistas.

“Es una debilidad importante, pues esta iniciativa busca fortalecer los vacíos legales, tipificar delitos en el Código Penal y permitiría la adhesión de Guatemala al Convenio de Budapest, la organización mundial más grande en la lucha contra el ciberdelito. Actualmente solo participamos como oyentes en este convenio, y la aprobación de una ley de ciberdelito es un requisito para su adhesión plena”, asegura el viceministro de Gobernación, Cameros.

Arévalo coincide en que la ausencia de legislación local no solo impide la ratificación de tratados internacionales, sino que también convierte al país en un territorio atractivo para los ciberdelitos. Atribuye este escaso avance a un “analfabetismo cibernético” por parte de los legisladores y a un temor derivado del desconocimiento sobre la materia.

Pablo Barrera, director de Estrategia & Seguridad, considera que al buscar una ley tan compleja esta termina por dejar de ser funcional. Recuerda que desde el 2009 han asesorado a diputados sobre estos temas y, hasta la fecha, no se ha logrado aprobar ninguna normativa.

Este vacío legal impide que Guatemala se adhiera al Convenio de Budapest, lo que facilitaría el intercambio de inteligencia y la colaboración internacional en materia de cibercrimen. “Hemos tenido incidentes que involucran servidores en Estados Unidos y no se pudo obtener información por la ausencia de un convenio de cooperación”, lamenta.

Atribuye el rezago en la aprobación de una ley de ciberseguridad a la ignorancia y al analfabetismo legislativo. “Se necesitan diputados que puedan guiar al país hacia el futuro en temas tecnológicos, en vez de discutir asuntos del pasado”, concluye.

Por su parte, en el Organismo Judicial se reportaron únicamente cinco sentencias condenatorias durante el periodo del 2020 al 2025 relacionadas con el delito de manipulación de información a nivel nacional. En detalle, una por manipulación de información (2024) y cuatro por manipulación de información en forma continuada (2022), de acuerdo con la Unidad de Acceso a la Información Pública de dicho organismo.

Bancos se blindan

Ante el vacío normativo, el sistema financiero ha optado por fortalecerse como grupo. Luis Cabrera es el vocero de la Comunidad Bancaria de Ciberseguridad (Bancert), formada en agosto del 2020 y que agrupa a entidades del sistema financiero, además de Neonet, la Cámara de Compensación de Guatemala (ICG), la Superintendencia de Bancos y la Asociación de Bancos de Guatemala (ABG). En total, unos 20 miembros.

Su visión es que al inicio la competencia entre los bancos dificultaba la colaboración; sin embargo, la creciente amenaza de ciberataques los obligó a compartir información, al comprender que en ciberseguridad no se puede competir. De esa manera se estableció un marco de confidencialidad para proteger el secreto bancario.

“Nos percatamos de que las bandas calendarizaban a cada entidad con las mismas técnicas”, explica. Esto llevó a que la ABG instruyera reunir a todos los oficiales de ciberseguridad de cada banco (CISO), donde Cabrera actualmente representa al grupo Bantrab.

Desde su experiencia, han identificado que los ataques de phishing dirigidos a los clientes son los más comunes. Estos buscan engañar a los usuarios para que entreguen información financiera y así obtener acceso mediante enlaces falsos.

LECTURAS RELACIONADAS

Aplicaciones de préstamo: riesgos de ciberseguridad, señales de fraude y cómo proteger sus datos

¿Por qué los estafadores exigen fotografías del DPI a sus víctimas?

“La ingeniería social —persuasión— es la técnica más utilizada”.

En cuanto a cifras, revela que en el 2023 hubo un repunte significativo de casos, con un promedio de entre 400 y 450 reportes mensuales. En el 2025 esta cifra disminuyó a unos 180 reportes mensuales, lo que sugiere un mayor control por parte de los bancos.

“De los montos expuestos, el 86% ha sido recuperado”.

De esa cuenta, la inversión en ciberseguridad en los bancos representa entre el 10% y el 15% del presupuesto de tecnología de cada entidad, con un aumento significativo a partir del 2023. Además, una regulación de la Superintendencia de Bancos (JM 91-2024) impulsó aún más esta inversión.

Confirma que por esa razón el costo de las pólizas de seguridad ha aumentado hasta un 150% entre el 2023 y el 2024, puesto que los riesgos cibernéticos se consideran cada vez más probables. Estas pólizas son institucionales y no cubren ataques individuales como el phishing, aclara.

Fortalecer instituciones

Mientras el crimen organizado adopta tecnología con rapidez, el Estado avanza con lentitud. Los especialistas coinciden en que la respuesta debe ser integral: educación digital desde el nivel primario, fortalecimiento institucional, cooperación regional e internacional y un marco legal sólido.

Ante esto, el viceministro de Gobernación y Tecnología tiene como meta específica fortalecer la unidad de Ciberdelito. Informó que prepara el lanzamiento de un asistente virtual para atender inquietudes de la ciudadanía, además de capacitación constante para los 40 especialistas que operan en este departamento.

Además, impulsa el programa “Cultura Digital” para educar a los guatemaltecos sobre el uso seguro de la tecnología. Destaca la importancia de no proporcionar teléfonos a niños y de analizar la información que se recibe para evitar estafas. Este programa se desarrolla en conjunto con los ministerios de Educación y Cultura.

Por su lado, Monzón plantea propuestas que van desde la educación, mediante la implementación de formación desde el nivel primario. En materia de legislación sugiere crear un marco legal que permita tipificar estos delitos y brindar soporte institucional a los guatemaltecos. Finalmente, propone fortalecer la resiliencia para fomentar la capacidad de adaptación y recuperación ante ciberataques.

En tanto, Sosa recomienda mitigar estos riesgos desde el ámbito personal e institucional. Primero, mediante el uso de versiones pagadas de inteligencia artificial como Copilot, Gemini o ChatGPT, que garantizan que la información de entrenamiento permanece con el usuario y no se utiliza para entrenar el modelo.

“Copilot, por ejemplo, es seguro para usuarios de Office 365 porque accede al Office Graph, por lo que la información permanece dentro del dominio de la empresa”, indica.

Además, enfatiza la importancia del juicio crítico y el escepticismo de los usuarios. Ante mensajes o solicitudes urgentes, especialmente si involucran dinero, es crucial validar la información directamente con la persona involucrada, ya que la inteligencia artificial puede generar deepfakes de voz y video muy realistas.

“La urgencia es una táctica común para bajar las defensas y el juicio crítico de las personas”, advierte.

Cabrera resalta la necesidad de formar profesionales en este campo. “Se estima un déficit global de profesionales, con 1.7 millones de puestos vacantes en Latinoamérica. Ante la escasez de especialistas, los bancos han optado por formar a su propio personal”.

Desafío nacional 

La respuesta ante el cibercrimen no solo debe ser tecnológica, sino también estratégica. Uno de estos ejes es el fortalecimiento de las políticas públicas. Cameros informó que se trabaja en una estrategia nacional de ciberseguridad que incluye compartir alertas tempranas, detectar patrones de fraude y establecer una red para bloquear cuentas y contenidos ilícitos.

“Se busca acelerar las investigaciones y fortalecer convenios con cuerpos policiales y acuerdos internacionales, como la red 24/7 del Convenio de Budapest, que procesa solicitudes de información de plataformas como Meta, Google y Telegram”, indica.

Desde la GAE, Miranda considera que se debe avanzar en la interoperabilidad del Estado para proteger datos y simplificar trámites, así como garantizar que la tecnología acompañe la modernización pública mediante un portal único y una identidad digital única.

“Se debe trabajar fuertemente en la gobernanza, pues aunque con tiempo y recursos todo es posible, se necesitan acuerdos para avanzar”, afirma.

En cuanto a la discusión sobre la necesidad de crear una unidad rectora nacional, Arévalo considera que la unión hace la fuerza. “Como parte del sistema financiero, no podemos pretender afrontar el cibercrimen ni como individuos ni como institución. Debe ser un esfuerzo de país y de región para promover agendas legislativas y diplomáticas”, propone.

En tanto, Luis Cabrera mantiene la esperanza en avances puntuales, como que finalmente quedó conformada la Comisión de Asuntos de Seguridad Nacional, liderada por el diputado Jorge Mario Villagrán.

“Esperamos que finalmente se pueda llevar al pleno para la tercera lectura, pero ya vamos tarde”, reconoció.

Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea.

La mitad de los ciberataques en Guatemala van por la información personal y bancaria

El país registró un aumento superior al 200% en intentos de ataques durante el 2025 y ocupa el puesto 112 de 150 en un índice global de ciberseguridad, según datos del sector financiero.

Mauricio Álvarez

12 de marzo de 2026

|

15:56h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

Guatemala registró un aumento del 200% en ciberataques en 2025. La información que suelen buscar es la personal y bancaria. (Foto Prensa Libre: Freepick).

En Guatemala, los ataques cibernéticos se han convertido en una amenaza creciente para instituciones públicas, empresas y usuarios. Según datos presentados este jueves por especialistas del sector financiero, cerca de la mitad de los ataques registrados en el país tiene como objetivo obtener información personal o financiera de los clientes.

La información fue presentada durante el lanzamiento del Modelo de Gobernanza de Ciberseguridad para el Sector Financiero Guatemalteco, organizado por la Asociación Bancaria de Guatemala (ABG), en el que participaron autoridades financieras, representantes del sistema bancario y especialistas de la empresa Mastercard, encargados del estudio.

De acuerdo con los datos presentados, Guatemala registró un incremento superior al 200% en eventos de ciberataques durante el 2025. Los especialistas explicaron que estas cifras no significan que todos los ataques se hayan materializado, sino que corresponden a intentos de vulneración detectados por los sistemas de seguridad de las organizaciones, que buscan identificar posibles brechas para ingresar a redes o sistemas informáticos.

En este contexto, Guatemala se ubica en la posición 112 de 150 países en el Global Cyber Index, un indicador internacional que evalúa el nivel de preparación de los países en materia de políticas, estrategias y capacidades institucionales en ciberseguridad. Según los especialistas, este tipo de indicadores permite identificar brechas y áreas de mejora para fortalecer la resiliencia digital de los países.

LECTURAS RELACIONADAS

Ley de ciberseguridad: “Es una ley penal en blanco que no clarifica lo que se quiere sancionar”

Estos son los nuevos ciberdelitos que se castigarían en Guatemala con penas hasta de 30 años

A nivel global, el impacto económico de la ciberdelincuencia también continúa en aumento. Durante la presentación se citó que el costo de los ataques cibernéticos superó los US$10.5 billones en el 2025 (trillones en inglés), una cifra que refleja la magnitud que ha alcanzado este fenómeno en la economía mundial.

El presidente del Banco de Guatemala (Banguat), Álvaro González Ricci, explicó que el volumen de recursos que mueve este tipo de delitos permite dimensionar su impacto a escala internacional.

“Si nosotros miramos el tamaño de los delitos cibernéticos y lo comparáramos con la economía de diferentes países, estaríamos en tercer lugar, atrás de Estados Unidos y China. Lo que está pasando con la ciberseguridad es algo que claramente es mucho menos costoso prevenir que afrontar las consecuencias de un ataque cibernético”, afirmó.

Los sectores más atacados en el país

Los datos presentados muestran que el sector financiero concentra el 19.3% de los ataques detectados en Guatemala, lo que lo convierte en el sector con mayor proporción de incidentes registrados. De acuerdo con los especialistas, esto se debe en gran medida al volumen de información financiera y personal que manejan las instituciones bancarias y al papel que desempeñan dentro de la infraestructura económica del país.

Después del sector financiero, el sector público concentra el 16.8% de los ataques, seguido del sector tecnológico, con 7.9%, y del sector transporte, con 7.8%. El 48.2% restante corresponde a otros sectores económicos que también han sido objetivo de intentos de vulneración en el país.

Carlos Villalba, especialista de Mastercard, explicó que los grupos criminales suelen dirigir sus ataques hacia sectores considerados estratégicos para el funcionamiento de un país. Según indicó, estos sectores concentran información valiosa y operan sistemas críticos que pueden ser utilizados para generar ganancias ilícitas.

“Los atacantes siempre van a buscar un objetivo. Puede ser económico o simplemente por cumplir un objetivo, pero hoy en día está muy orientado hacia beneficios económicos. Buscan cómo vulnerar una organización, cómo monetizar la información que puedan robar o cómo causar fraude a la organización”, señaló.

Villalba agregó que este tipo de ataques suele dirigirse hacia instituciones que forman parte de la infraestructura crítica de un país, como los sistemas financieros, tecnológicos o gubernamentales, debido a que concentran información sensible y operaciones clave para la economía.

Información personal y financiera

Los datos detallan cuáles son los activos más buscados por los ciberdelincuentes cuando intentan vulnerar sistemas informáticos. De acuerdo con las cifras presentadas, la información personal de los clientes representa el 32% de los objetivos de ataque, mientras que la información financiera concentra el 22%; en conjunto, superan el 50%.

A estos se suman los servicios digitales, con el 18%, y otros activos, que representan el 28% restante. Según los especialistas, esta información puede ser utilizada posteriormente para cometer fraudes, realizar suplantaciones de identidad o comercializar los datos en redes dedicadas a actividades ilícitas.

Villalba explicó que los grupos criminales buscan distintos tipos de información que posteriormente puede ser monetizada o utilizada para generar accesos a cuentas o sistemas financieros. “Dentro de los objetivos que observamos a nivel de las capacidades de inteligencia está obtener información de clientes que luego puede ser comercializada, obtener información financiera a nivel de transacciones, apoderarse de cuentas o de información financiera y afectar los servicios de negocio”, explicó.

También se indicó que los delincuentes informáticos utilizan diferentes herramientas para intentar vulnerar los sistemas de las organizaciones. Entre las modalidades más comunes se encuentran el malware y el ransomware, dos tipos de ataques que en conjunto representan más del 58% de los incidentes detectados en la región.

Asimismo, señalaron que este tipo de ataques puede generar impactos significativos en las operaciones de las organizaciones afectadas. En el caso del ransomware, los sistemas pueden quedar bloqueados hasta que se pague un rescate para recuperar la información o restablecer el funcionamiento de los servicios.

“Muchas organizaciones, al verse presionadas por no tener la operación, deciden pagar a los atacantes para poder recuperar la información. Son ataques que no generan alta exposición para los grupos criminales porque simplemente los lanzan y observan qué entidades pueden caer dentro de ese ataque”, explicó Villalba.

El especialista también indicó que los ciberataques pueden afectar directamente la continuidad operativa de las organizaciones, debido a que los sistemas digitales se han convertido en el núcleo del funcionamiento de muchas instituciones. “Siempre que exista un ciberataque, muchos de esos ataques pueden parar completamente la operación de una organización. Si no se atiende correctamente, un ciberataque puede ir al corazón del negocio, que es la información, y detener completamente esa operación”, añadió.

Coordinación y leyes actualizadas

Representantes del sector financiero señalaron que la respuesta ante los ciberataques requiere coordinación entre distintas instituciones del país, así como marcos regulatorios que acompañen el proceso de digitalización de los servicios financieros. El presidente de la ABG, Enrique Rodríguez Mahr, indicó que la presentación del Modelo de Gobernanza de Ciberseguridad busca impulsar un trabajo conjunto entre las instituciones del sector.

“Si no estábamos conscientes de esta necesidad de trabajar colaborativamente, efectivamente era ignorancia; pero ahora que estamos conscientes, el no hacerlo se vuelve negligencia. Creo que es un compromiso de todos fortalecer nuestro sistema financiero, darle estabilidad, darle seguridad y hacerlo más resiliente”, expresó.

González Ricci indicó que desde el banco central se han desarrollado acciones para fortalecer la prevención ante incidentes informáticos y que estas medidas también requieren coordinación con el resto del sistema financiero.“En Banguat se creó un departamento de ciberseguridad para poder evitar cualquier ataque, prevenir cualquier incidente; pero esto no es algo de una sola institución: tiene que estar claramente la parte privada y la parte pública”, señaló.

También hizo un llamado a los diputados para avanzar en la aprobación de iniciativas que se encuentran en discusión en el Congreso, entre ellas la iniciativa 6593, conocida como Ley Integral contra el Lavado de Dinero u Otros Activos. “Un llamado a que se apruebe la iniciativa de ley, a que este proyecto se vuelva decreto. Los tiempos de implementación de lo que requiere esta ley toman tiempo: no solo es aprobarla; hay que reglamentarla y hacer ciertos ajustes”, indicó.

Agregó que el país mantiene compromisos internacionales en materia de prevención del lavado de dinero y que el cumplimiento de estas medidas es evaluado por organismos regionales como el Grupo de Acción Financiera de Latinoamérica (GAFILAT). “Lo que no queremos es que venga y vea que Guatemala no ha cumplido con hacer esos cambios, porque claramente nos pudieran incluir en una lista gris, lo cual sería nefasto para el país”, mencionó.

En esa misma línea, el superintendente de la Superintendencia de Bancos (SIB), Saulo De León Durán, señaló que la actualización del marco legal permitiría fortalecer las capacidades del país para prevenir y perseguir estos delitos. “Estoy convencido de que las bancadas y los diputados en lo individual saben que es muy importante modernizar la ley de prevención del lavado de dinero en Guatemala. Esto nos va a subir de nivel y nos va a estandarizar para poder prevenir y reprimir el lavado de dinero”, afirmó.

Rodríguez Mahr también señaló que la aprobación de esta iniciativa es relevante para el sistema financiero. “Son leyes que verdaderamente necesita el país si queremos seguir aspirando a ser un país de grado de inversión. Ambas son importantes para darle certeza al sector financiero”, indicó.

Guatemala

|

Suscriptores

Disputas políticas enredan revisión de iniciativa de ciberseguridad

Mientras algunos diputados insisten en aprobar la iniciativa con el dictamen actual, otros sectores proponen devolverla a comisión para incorporar ajustes técnicos y definir con claridad la gobernanza, entre otros temas.

Pavel Gerardo Vega

18 de noviembre de 2025

|

00:07h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

La Comisión de Seguridad del Congreso emitió el dictamen favorable de la iniciativa de Ley de Ciberseguridad. (Foto Prensa Libre: Congreso)

La aprobación de la Ley de Ciberseguridad se ha convertido en un punto de fricción entre distintos actores políticos y privados. La iniciativa 6347, que ya pasó por segunda lectura, enfrenta cuestionamientos sobre su gobernanza, la participación del Ministerio de la Defensa y la tipificación de delitos, aunque también cuenta con respaldo internacional y de sectores privados que consideran urgente contar con un marco legal para enfrentar ataques cibernéticos.

Para el diputado Jorge Villagrán, presidente de la Comisión de Seguridad, la ley ha sido objeto de desinformación y oposición interesada. “Las críticas están contaminadas de un montón de cosas que no deben hacerse, porque hay muchos intereses económicos ahí puestos. Esa se va a pasar y se va a pasar a tercera lectura, tenemos que pasarla durante la semana”, afirmó el parlamentario a mediados de octubre.

Villagrán subraya que la iniciativa no solo fue trabajada por los diputados, sino también por el sector privado, el Ministerio Público, el Organismo Judicial y convenios internacionales, como el de Budapest.

La nueva versión, defiende, es prácticamente una ley distinta que incorpora el 80% de las modificaciones necesarias para su funcionalidad. El congresista se refiere a que la comisión identificó falencias en la iniciativa presentada el año pasado por los diputados José Mendoza, Cristian Álvarez y Gustavo Cruz.

La discusión política se intensifica ante la propuesta del oficialismo de involucrar al Ejecutivo en la revisión y modificación del proyecto. La diputada de Semilla e integrante de la Comisión de Seguridad, Victoria Palala, considera que devolver la iniciativa a esa instancia permitiría incorporar, de manera estructurada, los aportes de las distintas entidades públicas, incluida la Secretaría de Inteligencia Estratégica (SIE), y así garantizar un consenso amplio.

“Ha generado mucha especulación. Para no perder una iniciativa tan importante para el país, lo más conveniente es devolverla a comisión de trabajo, para que pueda ser dictaminada de nuevo y que podamos salir con un producto en el que todos los sectores involucrados se sientan tranquilos”, detalló.

LECTURAS RELACIONADAS

Congreso convoca a la Comisión de Postulación para el TSE 2026-2032

Diputados aprueban ley para que usuarios conserven su número telefónico al cambiar de compañía de servicio  

En busca de equilibrio

Palala enfatiza que la intención es construir un dictamen más integral, que incluya infraestructura crítica, protección de datos y una definición clara de la gobernanza del Centro de Respuesta a Incidentes de Seguridad Informática de Guatemala (CSIRT, por sus siglas en inglés), y que garantice un equilibrio entre seguridad y derechos constitucionales.

Palala asegura que la secretaria privada de la Presidencia, Ana Glenda Tager, lideraría la armonización de las propuestas entre instituciones del Ejecutivo. Una fuente consultada apunta que el Gobierno cuenta con la asesoría de un organismo internacional para rediseñar la iniciativa planteada por el Congreso, con énfasis en estándares internacionales.

La Secretaría Privada informó que el Ejecutivo trabaja en un conjunto de observaciones y recomendaciones técnicas a la ley de ciberseguridad, elaboradas con el apoyo de expertos internacionales y el análisis de la Mesa de Transformación Digital.

Asimismo, mantiene canales de comunicación para dialogar con la comisión del Congreso encargada del tema y con otros sectores sociales interesados.

Frente a esta propuesta, Villagrán muestra indiferencia por la intención del oficialismo de participar en el ajuste de la ley, y deja en claro que la devolución a comisión no está en sus planes. “No, no la vamos a devolver a la comisión”, insiste.

Resta importancia a las objeciones

Para Villagrán, las objeciones presentadas por algunos sectores y por parte del Ejecutivo son secundarias frente al dictamen consensuado con sector privado, convenios internacionales y expertos técnicos. “A nosotros no nos importa lo que el Ejecutivo diga, pues somos órganos diferentes. El Ejecutivo no ha dicho nada, al menos a nosotros”, señala.

El presidente de la comisión agrega que entidades del Ejecutivo, como la SIE, el Comité Nacional de Seguridad Cibernética (CONCIBER) y la Dirección General de Inteligencia Civil (DIGICI), participaron en el Foro de Transformación Digital para conocer los detalles de la propuesta. “No estuvieron en la comisión, pero sí la conocieron. Sí la revisaron. Ahora que no vengan con que la desconocen. Mire lo que les está pasando, ni deberíamos tomarlos en cuenta para nada”, espeta.

Guatemala no se detiene ha sido una de las instituciones más críticas del dictamen presentado por la Comisión de Seguridad. La postura de Ana Antillón, coordinadora del Eje de Certeza Jurídica de esa organización, resulta compatible con la visión de Palala sobre las modificaciones.

Antillón reconoce que la iniciativa necesita ajustes técnicos para fortalecer la gobernanza del CSIRT y la estructura de los delitos, de manera que el sistema de ciberseguridad funcione eficazmente y respete los derechos de la ciudadanía.

Aunque su organización respalda la rapidez en la aprobación, coincide en que la participación de las entidades del Ejecutivo puede enriquecer el dictamen y ofrecer un producto más equilibrado y eficiente. “Sí tenemos puntos de encuentro. Es necesario definir roles claros entre entidades públicas y privadas, equilibrando la ciberdefensa con la gestión civil y la prevención de ciberdelitos”, apuntó.

LECTURAS RELACIONADAS

Cuáles serán los efectos de que la mara Salvatrucha sea designada como organización terrorista por EE. UU.

Las luces y sombras de la ley antipandillas que declara terroristas a los mareros en Guatemala

La presión internacional también ha marcado la dinámica de la discusión. Según Villagrán, la embajada de Estados Unidos revisó la iniciativa y expresó su aprobación, un gesto que él interpreta como un respaldo a la celeridad del trámite. “La embajada de los Estados Unidos la chequeó, la vio, me dijo: ‘miren, está perfecto’”, asevera el diputado. Sin embargo, una fuente revela que las posturas encontradas entre actores políticos y técnicos matizaron la posición del personal diplomático. Por lo tanto, algunos aspectos también están en revisión.

Discusiones pendientes

La disputa se centra, además, en el papel del Ministerio de la Defensa. Villagrán insiste en que la ley no otorga facultades de espionaje y que la participación militar se limita a funciones de ciberdefensa, mientras que la administración civil y el sector privado tendrán acceso al CSIRT nacional para responder ante ataques. En contraste, Palala busca que la seguridad civil tenga preponderancia en la coordinación del sistema y que la propuesta refleje un enfoque de seguridad democrática más amplio. Antillón coincide en que es necesario definir roles claros entre las partes involucradas.

Un elemento recurrente es la relación entre la ley y los intereses del sector privado. Villagrán sugiere que algunos actores económicos temen perder contratos y oportunidades con la existencia de un CSIRT estatal, mientras que Antillón asegura que la intención es fortalecer la infraestructura de ciberseguridad del país y abrir espacios de inversión, sin privilegiar a empresas específicas. “No se trata de cerrar un mercado, sino de abrirlo”, explica.

A pesar de que existen consensos sobre la importancia de regular la ciberseguridad, la iniciativa está atravesada por tensiones críticas entre sectores privados, el oficialismo y la oposición en el Congreso. A partir de estas objeciones, los actores involucrados buscan resolver las ambigüedades que todavía presenta el dictamen.

Villagrán, por ejemplo, defiende la votación en su sala de trabajo, pero anuncia que están desarrollando otra iniciativa para proponer un manejo más amplio del asunto. “Queríamos crear una superintendencia, pero algunos diputados se opusieron por el costo. La próxima semana vamos a presentar otra iniciativa sobre Infraestructura Crítica. Esa debe ser la que gobierne todo lo que es ciberseguridad, protección de datos, comercio electrónico, inteligencia artificial, etc.”, adelanta.

Antillón considera que, tras la segunda revisión, la propuesta no se aprobaría en el actual período legislativo, sino hasta el 2026, y cree que la agilidad de las votaciones responde al beneplácito de la embajada estadounidense. La diputada Palala es optimista respecto de los tiempos. Desde su perspectiva, las modificaciones estarán listas para que a finales del 2025 exista otro dictamen favorable. Mientras tanto, Villagrán persiste en continuar con la tercera lectura y, en todo caso, aprobar enmiendas de curul.

Lea también: El reto clave de la nueva Junta Directiva del Congreso: alcanzar consensos

5 ciberdelitos cuya redacción podría dejar impune a estafadores digitales, según expertos 

Experta en temas penales ve mala redacción y ambigüedades legales sobre inteligencia artificial en la Ley de Ciberseguridadd que se discute, y que podrían dejar impunes a estafadores digitales.

Ximena Fernández

14 de octubre de 2025

|

06:00h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

Ley de ciberseguridad podría dejar de lado la prevención civil. Para enmendarlo, es necesario contar con diálogos entre diferentes actores. (Foto Prensa Libre: Freepik)

La apropiación de identidad ajena, la falsificación informática y el abuso de dispositivos son algunos de los ciberdelitos incluidos en la Ley de Ciberseguridad que no benefician del todo al usuario. Esta situación podría desembocar en la impunidad de ciertos delitos o generar confusión al momento de aplicar la norma, según Marta Paola de la Cruz Bianchi, directora legal de Novales Abogados.

La iniciativa 6347, conocida también como Ley de Ciberseguridad, recibió críticas después de haber superado la primera y segunda lectura en el pleno. Sin embargo, los expertos consideran que aún podría corregirse para mejorar la seguridad de todos.

Para lograr enmiendas y garantizar mayor protección a los usuarios guatemaltecos, es necesario que se promueva un diálogo entre el sector público, la academia y los actores privados. “Nadie va a pelear con la ciberseguridad. Pero es preocupante que, bajo su sombra, se estén creando una serie de instituciones nuevas y facultades cuestionables”, advirtió un especialista de un bufete que analizó la ley pero que prefirió no ser mencionado.

LECTURAS RELACIONADAS

“No es si habrá o no ciberataques, sino cómo nos vamos a recuperar cuando ocurran”

Iniciativa de ciberdelitos está infectada con virus

Los cinco delitos mal tipificados

El principal problema en la tipificación de delitos contemplados en la iniciativa es la mala redacción y su desactualización frente a los avances tecnológicos actuales, según De la Cruz.

Para De la Cruz, los delitos incluidos en la ley fueron redactados de forma repetitiva, ambigua o sin considerar todos los casos posibles, lo que podría perjudicar a los ciudadanos que resulten vulnerados por delincuentes cibernéticos.

“Una cosa es que aparezca que esté vigente una norma y otra cosa es que pueda ser ejecutada de forma adecuada”, señala De la Cruz.

Entre los ciberdelitos contemplados en la ley, De la Cruz menciona cinco de especial importancia para la seguridad de los usuarios y cuya deficiente redacción podría generar perjuicios.

1. Apropiación de identidad ajena

Este delito sanciona la acción de suplantar la identidad de otra persona en internet. No obstante, no contempla las consecuencias jurídicas de los actos cometidos por el delincuente mientras usurpaba dicha identidad. Esto implica que, si una persona estafa a otra utilizando el nombre de alguien más, el único delito sancionable sería la suplantación, y no la estafa, ya que esta, al haberse cometido por medios digitales, no está tipificada en el Código Penal, según De la Cruz.

Para mejorar este artículo, es necesario ampliar su redacción e incluir las consecuencias derivadas de los delitos vinculados con la suplantación, como la estafa cibernética, destaca De la Cruz.

2. Falsificación informática

La redacción de este delito es limitada. De la Cruz señala que el artículo solo menciona los verbos “introducir, alterar, capturar, borrar o suprimir”, por lo que excluye nuevas formas de manipulación digital vinculadas con la evolución tecnológica, como el uso de inteligencia artificial.

“Si el delincuente realiza cualquier otro tipo de acción que no esté entre esos verbos, ya no podríamos incluirlo en el delito de falsificación informática”, argumenta De la Cruz. Esto significa que, si alguien es víctima de manipulación digital mediante otras formas, no podría denunciar formalmente el delito.

3. Ataque a la integridad de los sistemas informáticos

Este delito, según la iniciativa, solo contempla ciertas formas de acceso a sistemas de información, lo que excluye otros mecanismos posibles. En particular, no considera que estos ataques puedan ejecutarse mediante inteligencia artificial.

La abogada señala que este tipo de intrusión no necesariamente es cometido por personas físicas. Al no incluir a sistemas automatizados, el delito podría quedar impune.

4. Abuso de dispositivos

Este artículo repite en su mayor parte la redacción y los verbos del delito anterior, de fraude informático, lo que genera confusión al momento de aplicar la norma o investigar el caso, ya que no se distingue con claridad de qué delito se trata, señala De la Cruz.

Cada delito, según la experta, debería contar con verbos propios, redacción específica y formas claras de comisión, para evitar ambigüedades en su interpretación.

LECTURAS RELACIONADAS

Ley de ciberseguridad: “Es una ley penal en blanco que no clarifica lo que se quiere sancionar”

Ley de Ciberseguridad: Expertos alertan sobre control militar, opacidad y vacíos legales en dictamen

5. Fraude informático

Este delito no está desarrollado ni adaptado a la realidad actual de las estafas digitales. Para la abogada, la normativa no ofrece una protección adecuada a las personas potencialmente afectadas, ya que necesita una actualización conforme a las necesidades de la población guatemalteca.

Asimismo, advierte que Guatemala carece de herramientas informáticas suficientes para llevar a cabo las investigaciones penales requeridas en este tipo de delitos.

Otros problemas

Por otra parte, la ley se enfoca principalmente en la seguridad nacional, lo que deja desprotegidos a los usuarios más vulnerables, como los niños, adultos mayores y pequeñas empresas. Sigfrido Lee, investigador asociado al CIEN, señala que las grandes compañías cuentan con recursos para contratar ciberseguridad privada, mientras que los sectores más frágiles necesitan una red de protección más amplia.

La seguridad nacional no equivale a la seguridad civil, explica Lee, quien advierte que, al asignar a una entidad militar la responsabilidad de dar seguimiento a los ciberdelitos, la protección no será abordada desde una perspectiva ciudadana.

Además, la ley no garantiza la protección de datos sensibles como la correspondencia, los documentos o cualquier comunicación digital. “Creo que es importantísimo que en cualquiera de estas dos situaciones, sea ciberseguridad o ciberdefensa, se respete esto”, subraya el especialista de una firma de abogados.

Este colaborador también advierte que los ataques cibernéticos, aunque puedan originarse fuera del país, pueden ejecutarse mediante infiltraciones en servidores locales. Esta situación podría ser utilizada como pretexto para acceder a dichos servidores con el fin de investigar, poniendo en riesgo información sensible.

Soluciones

Si estos problemas no se corrigen, los ciudadanos guatemaltecos tendrán una falsa sensación de protección. En su lugar, el analista advierte que el país contará únicamente con un ente investigador con amplias facultades, pero sin capacidad real de prevenir la comisión de delitos.

Un país inseguro implica la pérdida de inversiones que podrían traducirse en más y mejores empleos para la población. Lee señala que este será uno de los costos más altos, ya que los inversionistas no percibirán a Guatemala como un lugar con garantías mínimas de seguridad.

“No es si habrá o no ciberataques, sino cómo nos vamos a recuperar cuando ocurran”

Experto del Cien Sigfrido Lee ve gobernanza débil en la ley de ciberseguridad que se discute en el Congreso, además de criticar la reserva total en adquisiciones que establece y la desproporción en las penas, que incluso superan las aplicadas a delitos contra la vida.

Ximena Fernández

1 de octubre de 2025

|

05:00h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

El énfasis punitivo desplaza la prevención y la coordinación interinstitucional, factores clave frente a ataques cibernéticos son claves, según analistas de la ley de ciberseguridad. (Foto Prensa Libre: Freepik)

Cuatro grupos de expertos advirtieron que el dictamen de la Iniciativa 6347, Ley de Ciberseguridad, presenta riesgos por tener un modelo centrado en seguridad nacional, militarización y opacidad en la fiscalización. En este contexto, Sigfrido Lee, analista investigador de Alianza por un Congreso Eficiente —uno de los tanques que publicó su análisis— amplió a Prensa Libre puntos que preocupan desde la sociedad civil la regulación que se busca aprobar.

La iniciativa ya superó la primera y segunda lectura en el flujo legislativo en el Congreso de la República.

Otros organismos que se pronunciaron fueron la Mesa de Certeza Jurídica de la Iniciativa Guatemala No Se Detiene, la Alianza Técnica de Apoyo al Legislativo (ATAL) y el bufete de abogados ALTA. Señalan que la gobernanza propuesta carece de coordinación clara entre instituciones y excluye a la sociedad civil, la academia y al sector privado, lo que debilita la legitimidad del ente rector y aleja la iniciativa de las buenas prácticas internacionales.

Este es un extracto de la conversación que Lee tuvo con Prensa Libre, en la que indica que uno de los temas que preocupa es la falta de protocolos en la estructura macro del texto.

LECTURAS RELACIONADAS

Ley de Ciberseguridad: Expertos alertan sobre control militar, opacidad y vacíos legales en dictamen

Ley de Ciberseguridad debería regresar a la Comisión

¿Qué implicaciones ven en que el Ministerio de Defensa tenga un rol permanente en la ciberdefensa por encima de una autoridad civil que se ha visto en otros sectores?

El problema es bastante complicado. No se trata solo de la injerencia de la parte militar sobre la civil, sino también del abandono completo de esta última, porque la ciberseguridad únicamente se está viendo como un problema de seguridad nacional.

No es únicamente la subordinación de la seguridad civil a la seguridad de fronteras o militar, sino también el descuido hacia la seguridad ciudadana al no considerarla debidamente.

Lo primero es hacer una revisión profunda de la gobernanza de la ciberseguridad. Actualmente está muy parcializada y no se encuentra explicada con claridad. Por eso sugerimos que este proyecto regrese a la comisión respectiva para ser discutido y que se aborde integralmente la gobernanza, tomando en cuenta los distintos matices que implica la ciberseguridad.

¿Y cuáles considera que podrían ser esos matices o esos puntos clave que podrían incluirse?

Todo lo que es la seguridad civil. Por ejemplo, cómo se va a proteger a las poblaciones civiles en la medida en que cada vez se incorporan más en la digitalización. Ese es un tema muy importante: la prevención y el seguimiento a situaciones civiles de vulnerabilidad en ciberseguridad.

Otra de las críticas que se ha visto en los últimos días es sobre las adquisiciones bajo reserva, ya que la ley lo permite. ¿Qué riesgos observa usted a partir de esta disposición?

Entendemos que en estos temas de ciberseguridad deben existir ciertas reservas en la implementación de muchos protocolos. Sin embargo, que todas las adquisiciones sean libres tampoco corresponde. Ahora resulta que hasta la compra de escritorios de estas instituciones está bajo reserva. Creo que ahí se excedieron en la cobertura de esas excepciones.

Aunque compartimos que debe haber ciertas excepciones para la divulgación de información sensible, estas tienen que estar mucho mejor reguladas de lo que están actualmente. Aquí simplemente se excedieron en el alcance de esas excepciones.

¿Qué tipo de controles de auditoría o supervisión considera usted necesarios para que estas compras puedan mantener esta transparencia?

No hay ninguna excepción; simplemente todas sus compras quedan exceptuadas. Muchas instituciones del gobierno ya mantienen bajo reserva buena parte de sus temas de ciberseguridad, pero aun así siguen siendo debidamente fiscalizadas.

La SAT y la Superintendencia de Bancos, por ejemplo, tienen fuertes medidas de ciberseguridad que afectan a muchos actores al mismo tiempo. Manejan con mucha reserva gran parte de esta información, pero esto no los hace exentos de una debida fiscalización.

¿Cuáles considera que pueden ser los controles de auditoría o supervisión que pueden utilizarse dentro de esta ley?

Lo que hay que aclarar bien es qué está exento y qué no lo está. No es que todo quede exento. No es que la compra de una computadora o de equipo, o la adquisición de software, quede fuera de fiscalización. Eso tampoco. Lo que sí corresponde es buscar mejores prácticas en cuanto a la reserva de información, sin dejarlo como si todo quedara totalmente exento. Existen buenas prácticas en este tema, no solo a nivel mundial, sino que incluso en Guatemala se pueden identificar muchas de ellas.

¿Cuáles considera que deberían ser estas obligaciones preventivas mínimas que debería asumir el Estado para garantizar una verdadera política de prevención en ciberseguridad?

Hay varios puntos. Estamos de acuerdo en que se aborde la tipificación de estos delitos, pero en esa tipificación ya se cometen varios errores. El primero es que muchos delitos todavía no quedan lo suficientemente bien definidos.

El segundo es un exceso de persecución penal que va contra principios reconocidos por la Constitución y por el derecho internacional en cuanto a la proporcionalidad de los castigos. Pensar que castigos más duros harán mejor la situación no es correcto; no se trata de eso.

En cuanto a prevención, es importante avanzar en el establecimiento de buenas prácticas y en contar con la institucionalidad que garantice su implementación en materia de ciberseguridad. Muchas veces esto depende más de una buena coordinación interinstitucional que de una persecución penal, lo cual requiere esquemas sólidos de gobernanza. Aquí vemos cómo todo se acumula hacia ese primer gran problema: la debilidad de gobernanza que se ha señalado.

¿Cuáles son esas buenas prácticas de las que se ha hablado?

Una de las mejores prácticas es compartir información. Cuando ocurre un ataque, generalmente las personas o instituciones se sienten avergonzadas. Lo que debe hacerse es compartir que eso está sucediendo, cómo sucede y desde dónde ocurre, para que los demás actores en el ecosistema puedan prepararse y defenderse de ataques que tienden a masificarse. Ese es un tema muy importante, que requiere compartir información y contar con una buena gobernanza.

Otra buena práctica son los protocolos de recuperación ante un ciberataque. La cuestión no es si habrá o no ataques, sino cómo nos vamos a recuperar cuando ocurran. Para ello se necesitan protocolos claros de resguardo de información, reinicio de operaciones y mecanismos para no interrumpir la continuidad. Y en la propuesta actual no se observa un espacio en el que esto se esté contemplando.

Además de establecer estos protocolos, ¿cómo recomienda que debe ser el seguimiento a esta implementación?

Hay distintos niveles de responsabilidad que deben aclararse: temas nacionales, locales y sectoriales. Es precisamente esa coordinación la que se necesita para atender todos estos aspectos. Mucho depende también del seguimiento y de las responsabilidades que se asuman en cada etapa. La pregunta clave es: ¿quién asume qué en cada etapa? Esto es muy importante.

Gran parte de ello debe trasladarse a los reglamentos, pero tiene que quedar definido en la estructura organizacional, la cual no vemos claramente identificada en este marco legal. Lo que buscamos es que se fortalezca, y por eso insistimos en revisar a fondo la estructura de gobernanza que plantea esta legislación.

En caso de que esta ley se regrese a comisión para una reevaluación, ¿cuáles serían las enmiendas prioritarias?

Realmente hay que hacer una revisión completa de la ley. La gobernanza es un tema muy importante y, además, deben revisarse las consecuencias penales que se están proponiendo. Ese marco penal tiene bastantes debilidades y es necesario evaluarlo.

¿Cuál sería una mejor forma de poder desarrollar las consecuencias penales?

El problema es que no todas las figuras penales que se tipifican están suficientemente desarrolladas y se incumple con el principio de proporcionalidad de las penas. Se trata de delitos patrimoniales, no de delitos contra la vida, y en muchos casos las sanciones incluso superan a las previstas para delitos contra la vida.

certeza jurídica

|

Suscriptores

Ley de ciberseguridad: “Es una ley penal en blanco que no clarifica lo que se quiere sancionar”

Según Ana Antillón, de Guatemala No Se Detiene, la Ley de Ciberseguridad que discute el Congreso no define cuál es la conducta que se sanciona en el Código Penal. Si un caso llega a tribunales, la justicia no podrá aplicarse correctamente por falta de precisión en los textos, explica.

Ximena Fernández

30 de septiembre de 2025

|

05:00h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

Según expertos como Ana Antillón. es necesario revisar las penas de la Ley de Ciberseguridad, ya que algunas podrían resultar "excesivamente altas". (Foto Prensa Libre: Freepik)

Cuatro grupos de expertos advirtieron que el dictamen de la Iniciativa 6347, Ley de Ciberseguridad, presenta riesgos por tener un modelo centrado en seguridad nacional, militarización y opacidad en la fiscalización. En este contexto, Ana Isabel Antillón, de la mesa de Certeza Jurídica de Guatemala No Se Detiene —uno de los centros que publicó su análisis— amplió a Prensa Libre puntos que preocupan desde la sociedad civil la regulación que se busca aprobar.

La iniciativa podría ser conocida en tercera lectura este martes 30 de septiembre en el pleno del Congreso de la República.

Otros organismos que se pronunciaron fueron la Alianza por un Congreso Eficiente, la Alianza Técnica de Apoyo al Legislativo (ATAL) y el bufete de abogados ALTA. Señalan que la gobernanza propuesta carece de coordinación clara entre instituciones y excluye a la sociedad civil, la academia y al sector privado, lo que debilita la legitimidad del ente rector y aleja la iniciativa de las buenas prácticas internacionales.

Este es un extracto de la conversación que Antillón tuvo con Prensa Libre, quien aboga por revisar penas y conceptos de los ciberdelitos que tipifica el dictamen.

LECTURAS RELACIONADAS

Ley de Ciberseguridad: Expertos alertan sobre control militar, opacidad y vacíos legales en dictamen

Estos son los nuevos ciberdelitos que se castigarían en Guatemala con penas hasta de 30 años

¿Cuáles son los vacíos que ven a nivel de certeza jurídica en el texto de Ley de Ciberseguridad?

Hemos identificado algunos desafíos en el texto de la ley respecto a su concepción y estructura sobre cómo debe llevarse a cabo la ciberseguridad, partiendo del órgano de coordinación.

Encontramos que las entidades encargadas de coordinar acciones de prevención de ataques cibernéticos suelen ser de carácter civil o con gobernanza mixta, es decir, con participación del sector público, privado y de la sociedad civil, porque es un tema que involucra a todos. Muchas de las infraestructuras digitales relevantes para estos procesos pertenecen al sector privado.

Por otro lado, la normativa también incluye los denominados ciberdelitos, es decir, delitos cometidos en el ciberespacio. La forma en que están regulados actualmente amerita una revisión, pues deberían abordarse como reformas al Código Penal. Además de enfocar la redacción en ese sentido, es necesario revisar las penas, ya que algunas podrían resultar excesivamente altas y generar desproporción, como ya lo han señalado ciertos centros especializados.

Asimismo, la redacción hace referencia a otros delitos contemplados en el Código Penal que no concuerdan. Incluso, uno de los artículos mencionados ya fue declarado inconstitucional por la Corte de Constitucionalidad.

¿Cuáles considera que deben ser los mecanismos de control ciudadano?

La efectiva rendición de cuentas, si se maneja desde un marco de seguridad nacional, no es viable, porque la información quedaría siempre como reservada, aun cuando cierta parte de ella es útil para las entidades de la sociedad civil. Esa información permite conocer de dónde provienen los ataques y preparar a instituciones, sector privado, empresas y organizaciones para responder, ya que también pueden ser víctimas. En consecuencia, el proceso de rendición de cuentas ante el Congreso de la República se dificultaría en cierto nivel. Claro está, hay asuntos que son de seguridad nacional y que la Constitución protege.

Sin embargo, sí existe un nivel de información que debería manejarse y al cual la población puede tener acceso. Otro aspecto preocupante es el de las compras públicas, que también se consideran de carácter reservado.

Para usted, ¿qué tipo de modelo de autoridad de ciberseguridad sería más adecuado para Guatemala, tomando en cuenta las experiencias de otros países?   

El tema de la gobernanza es, en general, una decisión política que debe asumir el país. Sin embargo, es una discusión en la que deben participar distintas entidades: la academia, el sector privado, las organizaciones de la sociedad civil y, por supuesto, las instituciones públicas.

Desde nuestra perspectiva, podría adoptarse un modelo que dependa, por ejemplo, de un Ministerio de Gobernación. No obstante, nos sentimos más cómodos con la creación de una nueva entidad autónoma que lleve este control. También podría ubicarse en otro ministerio, siempre que exista un consejo con participación de los actores mencionados. La academia, en particular, tiene hoy mucho que aportar: universidades con carreras, estudios y publicaciones sobre el tema. En Guatemala, la academia tiene un valor importante y debería ser parte de la toma de decisiones.

Otro aspecto que se ha criticado bastante en esta ley, y que usted misma mencionaba, es el de las compras públicas bajo reserva. ¿Cuáles son los problemas o los principales retos que podrían enfrentarse a partir de tener las compras públicas bajo reserva?  

Se puede conocer que se está adquiriendo cierto tipo de tecnología, pero las características específicas son las que se vuelven reservadas. No todo el proceso de compra, sino únicamente las especificaciones técnicas. De lo contrario, no habría manera de saber qué tipo de software o hardware se está comprando, ni tampoco a quién o a qué país se adquiere esa tecnología.

Las compras pueden ir desde computadoras hasta software muy sofisticado. En ese sentido, considero que deberían establecerse criterios claros para definir qué adquisiciones corresponden realmente a seguridad nacional.

Para efectos de las compras, la propia Ley de Contrataciones del Estado debería contemplar estas características. Actualmente, por ejemplo, el Ejército compra sin estar sujeto a reservas. Por ello, es necesario precisar en qué casos una compra puede catalogarse como de seguridad nacional y quién tiene la potestad de hacer esa clasificación.

¿Cómo considera que podrían redactarse de mejor manera estos tipos penales para que respeten la ley que se tenía con anterioridad?

Como país debemos fortalecer la asistencia técnica legislativa de calidad para los diputados, facilitándoles ejercicios de derecho comparado y mostrando cómo otros países aplican estas normas. Existen convenios internacionales que contemplan este tipo de delitos y sería útil reflexionar sobre su redacción, pensando en una verdadera política criminal. Guatemala cuenta con expertos en derecho penal que pueden ayudar a redactar tipos penales más precisos y evitar leyes penales en blanco, como sucede en la propuesta actual. En delitos como propiedad intelectual, abuso sexual o pornografía infantil, se hace referencia a otras normas, sin definir en el propio texto cuál es la conducta delictiva.

En cuanto a prevención, una de las críticas recurrentes es que la ley se centra en sancionar una vez cometido el delito, pero no establece un régimen preventivo. Para ello, es necesario invertir en formación y desarrollo de capital humano, así como fortalecer equipos técnicos en las instituciones. También deben realizarse ejercicios controlados que pongan a prueba los sistemas, identifiquen debilidades y permitan ajustes, además de establecer protocolos y estándares mínimos que las instituciones deben cumplir para mantenerse alertas ante posibles ataques.

La generación de boletines sobre tecnologías y orígenes de los ataques es fundamental. Asimismo, debería contemplarse la aplicación de sanciones administrativas si no se cumplen los protocolos establecidos. De esa manera, se cerrarían los espacios que facilitan la comisión de delitos cibernéticos. Y, si estos ocurren, entraría en vigor la parte sancionatoria ya prevista como reformas al Código Penal.

¿Cuáles son los delitos, o analizando la tipificación de ciberdelitos que se menciona en la ley que usted considera que tal vez podrían redactarse de una mejor manera?  

Todos los delitos necesitan una revisión de redacción para mejorarse e incorporarse con mayor claridad. Sin embargo, me preocupan especialmente dos artículos. El artículo 13, que se refiere a los delitos de propiedad intelectual, establece un aumento de las penas, pero remite directamente a la ley de propiedad intelectual. Por eso insisto en que es una ley penal en blanco: no define en el propio texto cuál es la conducta que se sanciona en el Código Penal. Este es muy específico, y necesitamos tipificar con claridad la conducta que se desea sancionar. De lo contrario, cuando llegue a tribunales, la justicia no podrá aplicarse correctamente por falta de precisión en los textos.

El otro es el artículo 14, sobre pornografía infantil. Señala que cuando se utilizan sistemas informáticos o tecnologías de la información para cometer delitos tipificados en ciertos artículos del Código Penal, se aplican sanciones. Sin embargo, hace referencia, por ejemplo, al artículo 196, que ya fue declarado inconstitucional dentro del expediente 1021-2002.

Ese tipo de situaciones se encuentran en el dictamen, por lo que se requiere una revisión completa de toda la normativa.

¿Considera necesario que se regrese esta propuesta de ley a comisión para su reevaluación y ajustes necesarios?

Creo que la mejor forma de hacer una discusión más detallada, como le mencionaba, tomando en cuenta los aportes de diversas entidades, sería facilitar el retorno del dictamen a la comisión.

Ley de Ciberseguridad: Expertos alertan sobre control militar, opacidad y vacíos legales en dictamen

Analistas advierten que el dictamen de la iniciativa 6347, Ley de Ciberseguridad, podría afectar derechos fundamentales, carece de mecanismos preventivos y puede debilitar la confianza en el entorno digital.

Juan Manuel Fernández C.

26 de septiembre de 2025

|

13:20h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

En la segunda mitad de septiembre la iniciativa sobre ciberseguridad ya superó la primera lectura en el flujo legislativo. (Foto Prensa Libre: Daniel Samayoa)

Cuatro análisis de tanques de pensamiento distintos, uno de la Mesa de Certeza Jurídica de la Iniciativa Guatemala No Se Detiene; otro de la Alianza por un Congreso Eficiente (que integra organismos como el Cien y Guatemala Visible), la Alianza Técnica de Apoyo al Legislativo (ATAL) y otro de la firma de abogados ALTA, emitieron esta semana análisis técnico y jurídico sobre la Iniciativa de Ley 6347, conocida como Ley de Ciberseguridad.

El análisis se basa en el dictamen con modificaciones de la Comisión de Asuntos de Seguridad Nacional del 26 de agosto del 2025. La iniciativa en estos momentos se encuentra en segunda lectura en el Congreso de la República. 

La iniciativa 6347 contempla penas desde los seis años de prisión, la creación del Centro de Respuesta a Incidentes de Seguridad Informática de Guatemala (C-SIRT-GT) y de una fiscalía especializada en ciberdelincuencia para la investigación penal, formulación de requerimientos y el litigio de los delitos contemplados en el ámbito digital.

“Contraproducente” y con “vacíos legales”

A pesar de que los centros de análisis coinciden en la necesidad de tener una regulación en la materia, también diagnostican alertas de que su aprobación “sin ajustes técnicos significativos podría provocar efectos contraproducentes, como vacíos legales, penalización excesiva y vulneraciones al principio de legalidad” según la Alianza por un Congreso Eficiente. Continúa el texto: “la iniciativa carece de una estrategia de gobernanza cibernética al superponer responsabilidades sin una coordinación clara entre las instituciones. La falta de esta estrategia implica la inexistencia de un ecosistema de formación y garantía de la debida aplicación de la presente ley”.

LECTURAS RELACIONADAS

Estos son los nuevos ciberdelitos que se castigarían en Guatemala con penas hasta de 30 años

Ley de Ciberseguridad debería regresar a la Comisión

Otras preocupaciones apuntan a la militarización de la rectoría de la ciberseguridad en Guatemala, la “exclusión de sociedad civil, academia y empresas” de la discusión deficiencias técnicas y legales en tipos penales y opacidad en la implementación.

“El texto presenta deficiencias estructurales y conceptuales que lo alejan de las buenas prácticas internacionales recomendadas por organismos como la Unión Internacional de Telecomunicaciones (UIT), la Unión Europea y la Organización de Estados Americanos (OEA)” señala Guatemala No Se Detiene.

Para la firma de abogados ALTA, “la Iniciativa regula de manera aislada la ciberseguridad sin abordar de forma conjunta la protección de datos, la gestión de infraestructuras críticas y la transformación digital” y añade que “un marco incompleto coloca a Guatemala en desventaja competitiva frente a países que sí han desarrollado legislaciones integrales en estas materias”.

Mientras que ATAL, –una alianza formada por Fundación 2020, Cacif y FUNDESA– solicitó al Congreso, por medio de un comunicado que la Iniciativa 6347 “regrese a la Comisión correspondiente para ser revisada y corregida. Guatemala necesita una ley moderna y equilibrada, que brinde seguridad a los ciudadanos, confianza a las empresas, y que fortalezca nuestra institucionalidad democrática con transparencia, inclusión y apego al Estado de Derecho”.

Este es un resumen de los puntos que preocupan a los especialistas que se pronunciaron.

Militarización de la rectoría de la ciberseguridad

“El Dictamen 6347 no garantiza la independencia funcional y técnica del órgano rector de ciberseguridad, ya que sitúa al Centro de Respuesta a Incidentes de Seguridad Informática de Guatemala (CSIRT-GT) como órgano técnico del Consejo Nacional de Seguridad (CNS). Por su parte otorga al Ministerio de la Defensa Nacional un rol protagónico, con facultades permanentes para actuar en el ciberespacio. Incluso contempla la posibilidad de ejecutar acciones ofensivas en el ciberespacio que corresponden asignarse a otro cuerpo normativo”, indica Guatemala No Se Detiene.

Mientras que el bufete ALTA considera que “la norma no define con precisión en qué momento una situación de crisis puede catalogarse como una amenaza a la seguridad nacional o a la soberanía del país que justifique la participación militar. Esta ausencia de parámetros claros puede generar incertidumbre respecto del alcance de la intervención y de los mecanismos de coordinación con el sector privado, en especial en lo relacionado con el acceso a infraestructura tecnológica y a datos estratégicos

Esto lo refuerza el análisis de la Alianza por un Congreso Eficiente, que indica que “el artículo 33, sobre funciones para la ciberdefensa, atenta contra el artículo 43 de la Constitución al no establecer una diferenciación clara entre infraestructuras críticas de carácter gubernamental o privado. Se faculta al Ministerio de la Defensa para actuar permanentemente en acciones para la ciberdefensa promoviendo así su intervención sobre las infraestructuras privadas. Asimismo, el inciso f) del artículo en mención establece que el presidente de la República determinará la coordinación “con los centros de Respuesta a Incidentes de Seguridad Informática CSIRT’s internacionales, sectoriales e institucionales públicos y privados (…)”. Ambos preceptos vulneran la libertad de industria”.

Exclusión de actores civiles y sectoriales

Según Guatemala No Se Detiene, el dictamen 6347 propone que el CSIRT-GT funcione como órgano técnico bajo el Consejo Nacional de Seguridad, “una instancia dominada por actores de seguridad e inteligencia, con limitada representación de otros sectores. Este diseño contrasta con las experiencias internacionales en las que la autoridad de ciberseguridad es de carácter civil y multisectorial. Por ejemplo, en Chile la Agencia Nacional de Ciberseguridad incorpora a representantes del sector privado y de la academia en su consejo asesor; en Uruguay, la AGESIC articula la coordinación entre entidades estatales, empresas y sociedad civil; y en Estonia, la RIA trabaja de forma permanente con el sector privado a través del CERT-EE”.

ALTA indica que “más preocupante aún es que el diseño institucional excluye a la sociedad civil y al sector empresarial del ente rector, lo que impide que quienes generan, gestionan y resguardan la mayor parte de la infraestructura tecnológica tengan voz en la definición de políticas de ciberseguridad”.

Y añade que “esta falta de un modelo multisectorial —que en estándares internacionales es clave para la gobernanza en ciberseguridad— no solo debilita la legitimidad del CSIRT-GT, sino que también proyecta un escenario en el que la ciberseguridad puede transformarse en un mecanismo de control unilateral”.

“El dictamen concentra la rectoría en el Consejo Nacional de Seguridad y otorga un rol únicamente a las entidades de esa área del gobierno, marginando la participación civil y multisectorial. Ello se aparta de las buenas prácticas internacionales que privilegian la conducción civil y la inclusión de actores sociales relevantes” señala el análisis de ATAL.

LECTURAS RELACIONADAS

Una agencia para defenderse de ataques digitales y 3 propuestas más de ciberseguridad

8 trabajos en ciberseguridad que Guatemala necesita, cuánto pagan y dónde estudiar

Enfoque reactivo penal, no preventivo

Para Guatemala No Se Detiene, “el dictamen concentra sus medidas en reformas penales y agravantes para delitos informáticos, lo que significa que la acción del Estado se activa principalmente después de consumado el delito. No prevé un régimen administrativo preventivo con obligaciones de notificación temprana, planes de seguridad obligatorios para operadores de servicios esenciales, ni sanciones proporcionales para incumplimientos”.

Según ALTA, “al no promover programas estatales de educación digital, protocolos de cooperación temprana ni estándares mínimos de seguridad, las empresas quedan solas en la gestión preventiva y solo entran en juego cuando un incidente ya ocurrió, asumiendo así costos más altos de cumplimiento y recuperación, mayor exposición a riesgos reputacionales y legales, y una falta de certeza institucional que dificulta planificar estrategias de ciberseguridad a largo plazo. En consecuencia, la regulación proyectada traslada el peso de la ciberseguridad al sector privado, privilegiando la sanción en lugar de la prevención, lo que aumenta la inseguridad jurídica y la incertidumbre empresarial”.

Para ATAL, la propuesta se limita a reformas penales, sin establecer mecanismos preventivos, de supervisión y cooperación temprana que reduzcan riesgos y costos de incidentes

Por ejemplo, según Alianza por un Congreso Eficiente, algunos tipos penales definidos en la iniciativa presentan ambigüedades que comprometen el principio de legalidad penal, como lo establece el artículo 17 constitucional y el artículo 7 de la Convención Americana sobre Derechos Humanos.

Este es un listado de valoraciones que hace la organización por artículo:

• El artículo 6, sobre interceptación ilícita, contempla una autodefinición para definir el delito lo cual es antitécnico y no permite inferir con precisión cuál es el bien jurídico tutelado.

• El artículo 7, Ataque a la integridad de los datos informáticos, cumple en general con los estándares del Convenio de Budapest, pero requiere una cláusula de exclusión para no sancionar errores técnicos o intervenciones legítimas.

• El artículo 8 no exige una afectación grave para sancionar la obstaculización de sistemas, lo que podría penalizar fallos menores o pruebas autorizadas. Se recomienda exigir resultado significativo.

• El artículo 11, relativo al fraude informático, debería reforzar el componente técnico (manipulación de datos/sistemas) y no solo métodos como la ingeniería social.

• El artículo 12 sobre abuso de dispositivos es confuso. Mezcla conductas dolosas con técnicas legítimas utilizadas con fines investigativos o profesionales.

• No se contempla la figura de tentativa ni complicidad, exigida por el artículo 11 del Convenio. Esto podría generar ambigüedad interpretativa en la aplicación del derecho penal.

• El artículo 13 sobre propiedad intelectual no crea un tipo penal autónomo, sino que solo agrava las penas ya existentes, lo cual es insuficiente para cumplir con el estándar internacional.

• La derogatoria de los artículos 274 A-G del Código Penal no va acompañada de sustituciones equivalentes, generando vacíos en delitos como piratería de software o distribución de malware.

• Las penas previstas en la iniciativa son desproporcionadas, llegando a suponer incluso sanciones por homicidio culposo o robo, sin considerar daño real o ánimo delictivo.

• En cuanto al artículo 36 de la iniciativa que demanda crear una fiscalía especializada para la investigación de los delitos contenidos en la presente ley, parecería colisionar con el artículo 251 de la Constitución Política de la República de Guatemala, relativo a la función autónoma del Ministerio Público.

Falta de transparencia y de rendición de cuentas

El Dictamen de la iniciativa 6347 “contempla que las compras y contrataciones vinculadas a ciberseguridad se realicen bajo carácter reservado, con el argumento de proteger la seguridad nacional. Si bien ciertos aspectos técnicos pueden justificar confidencialidad, la reserva generalizada de adquisiciones públicas genera riesgos de corrupción, sobrecostos y falta de auditoría, debilitando la legitimidad de la política de ciberseguridad” según la mesa de Certeza Jurídica de Guatemala No Se Detiene.

De acuerdo con el análisis de ALTA, “para el sector empresarial, esto se traduce en riesgos de distorsión de la competencia, al permitir que contratos relevantes se otorguen sin procesos abiertos ni fiscalización efectiva, lo que desalienta la participación de oferentes y reduce la innovación en el mercado. La ausencia de transparencia y la amplitud de la reserva pueden erosionar la confianza de inversionistas nacionales e internacionales, al proyectar un entorno de discrecionalidad en las compras públicas”.

Mientras que el boletín de Alianza por un Congreso Eficiente, señala que “respecto al artículo 47 de la iniciativa relativo a la compra de equipo para ciberseguridad y ciberdefensa, se establece que para las adquisiciones de bienes, equipos, sistemas o tecnologías destinadas a la ciberseguridad y ciberdefensa deberán realizarse bajo reserva en virtud de su carácter estratégico y por estar vinculadas a la seguridad nacional. Sin embargo, la disposición normativa no especifica si va destinada al sector público o privado, dado que este cuerpo normativo no hace distingo”.

Añade que “se estaría transgrediendo la legislación en materia de adquisiciones aspectos como la “reserva” y la “confidencialidad” por el contrario el artículo 30 constitucional establece que todos los actos de la administración son públicos”.

Según ATAL, “el dictamen contempla que el nuevo ente regulador rinda informes únicamente al Consejo Nacional de Seguridad, en carácter reservado. También dispone que adquisiciones en ciberseguridad se realicen bajo confidencialidad generalizada, lo que incrementa riesgos de opacidad y corrupción”.

Impacto negativo en sector privado y derechos fundamentales

Para Guatemala no se Detiene “esta falta de claridad puede traducirse en duplicidad de obligaciones, procesos poco transparentes y dudas sobre la protección de la información sensible que las empresas entreguen a las instituciones del Estado, lo que afectaría directamente la confianza de clientes, inversionistas y socios internacionales en el entorno digital guatemalteco”.

“A ello se suma que el texto no contempla un régimen administrativo preventivo que establezca obligaciones claras de gestión de riesgos, plazos de notificación y sanciones proporcionales. Esto dejaría a las empresas sin una guía normativa para fortalecer sus capacidades de seguridad de forma anticipada, obligándolas a actuar solo una vez producido el ataque, con el consecuente aumento de la vulnerabilidad y de las pérdidas económicas” continúa.

Y para ALTA, “el artículo 17 de la Iniciativa, en su redacción actual, plantea ciertas preocupaciones jurídicas y económicas para las empresas y en general personas jurídicas, al establecer un régimen de responsabilidad penal amplio para las personas jurídicas que podría entrar en tensión con los principios de legalidad y culpabilidad reconocidos en los artículos 12 y 17 de la Constitución Política de la República y en los artículos 1 y 38 del Código Penal”.

ATAL coincide en que “disposiciones como el artículo 17 amplían la responsabilidad penal de personas jurídicas, en conexión con la Ley contra la Delincuencia Organizada, generando incertidumbre operativa y financiera que puede afectar la inversión y la competitividad”.

Estos son los nuevos ciberdelitos que se castigarían en Guatemala con penas hasta de 30 años

La iniciativa 6347 sobre ciberseguridad recibió dictamen favorable y contempla penas desde los seis años de prisión, la creación de un centro de respuesta a incidentes y apoyo internacional en caso de ciberataques.

Ximena Fernández

26 de agosto de 2025

|

17:27h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

La iniciativa de ley de ciberseguridad fue dictaminada el martes 26 de agosto y busca tipificar 13 delitos. (Foto Prensa Libre: Freepik)

La iniciativa de ley 6347 de ciberseguridad, que recibió dictamen favorable este 26 de agosto por parte de la Comisión de Asuntos de Seguridad Nacional del Congreso, propone tipificar y reforzar once delitos.

Según Ana Antillón, coordinadora de la mesa de Certeza Jurídica de Guatemala No Se Detiene, el país ha estado rezagado en materia legislativa relacionada con la transformación digital, especialmente en aspectos como la protección de datos e información.

Mario Menéndez, asesor de la comisión, explicó que todos los delitos incluidos en la propuesta son nuevos, aunque algunos se asemejan a tipos penales existentes, con la diferencia de que están vinculados al entorno digital.

Jorge Mario Villagrán, presidente de dicha comisión, informó que las penas para estos delitos oscilarán entre seis y 30 años de prisión. No obstante, Menéndez advirtió que, debido a la acumulación de delitos de esta índole, los jueces podrían imponer penas mayores.

Según el dictamen, se destaca la creación de una fiscalía especializada en Ciberdelincuencia, esta competencia será la encargada de la investigación penal, formulación de requerimientos y el litigio de los delitos contemplados en el ámbito digital. Asimismo, la red 24/7, señala José Pablo Mendoza, diputado ponente de la iniciativa, es una ventanilla específica que tendría el Ministerio Público, especializada y exclusivamente para atender a los delitos cibernéticos.

LECTURAS RELACIONADAS

Fintech en Guatemala: 5 profesiones que buscan las aplicaciones que manejan dinero

Gobierno insiste: acuerdo con EE. UU. es de seguridad, no de tercer país seguro

Delitos propuestos en la iniciativa de ley de ciberseguridad

Según el documento de la iniciativa de ley, los delitos que serían tipificados como “ciberdelitos” son los siguientes:

• Artículo 5. Acceso ilícito: Quien acceda sin autorización a todo o a una parte de un sistema informático y cuando el acceso se realice infringiendo medidas de seguridad o con la intención de robar datos informáticos.
• Artículo 6. Interceptación ilícita: Quien sin autorización intercepte datos informáticos.
• Artículo 7. Ataque a la integridad de los datos informáticos: Quien sin autorización oculte, dañe, borre, deteriore o suprima datos informáticos.
• Artículo 8. Ataque a la integridad del sistema informático: Quien ataque interrumpa u obstaculice el funcionamiento normal de un sistema informático o sistemas que utilicen la información y la comunicación.
• Artículo 9. Falsificación informática: Quien altere, borre o suprima datos o registros informáticos. Además a quien genere datos no auténticos para que sean tomados o utilizados como auténticos. Este delito puede costar hasta 30 años de cárcel si resulta en pérdidas económicas que interfieran o ataquen la integridad de los sistemas informáticos que afecten servicios esenciales, infraestructuras críticas o la seguridad nacional. 
• Artículo 10. Apropiación de identidad ajena: Quien sin autorización y sin utilizar cualquier forma, medio, técnicas de ingeniería social, usurpe, falsifique, adopte o suplante la identidad de otra persona individual o jurídica.
• Artículo 11. Fraude informático: Quien sin autorización produce daño, perjuicio o defraudación en su patrimonio mediante la introducción, alteración o supresión de datos informáticos o realice cualquier interferencia en el funcionamiento de un sistema informático. 
• Artículo 12. Abuso de dispositivos: Quien produzca, venda, obtenga para su utilización, posea, importe, difunda o ponga en disposición cualquier dispositivo, programa informático, aplicaciones o sistema informático concebidos o adaptados principalmente para la comisión de cualquiera de los delitos previstos con anterioridad o contraseñas, códigos de acceso o datos informáticos similares que permitan el acceso a parte o todo un sistema informático, cree, utilice o transfiera de un dispositivo a otro los códigos de identificación y acceso al servicio o sistema informático. 
• Artículo 13. Delitos de la propiedad intelectual, derechos de autor, propiedad industrial y delitos informáticos: A quienes cometan delitos establecidos en leyes como: Ley de propiedad Industrial, Ley de Derechos de Autor y Derechos Conexos y los contenidos en el título VI del Código Penal, a una escala comercial y por medio de un sistema informático, se les aumentará la pena en una cuarta parte. 
• Artículo 14. Pornografía infantil: Cuando se utilicen sistemas informáticos para cometer los delitos tipificados en los artículos 173 bis, 174, 188, 189, 190, 192, 195 bis, 195 ter y 196 del decreto 17-73, las penas se aumentrán en conformidad con lo establecido en el artículo 195 Quinquies del Código penal. 
• Artículo 15. Uso ilegal de bloqueadores o inhibidores de señal: Comete el delito quien opere equipos que bloqueen, cancelen o anulen las señales de telefonía celular, radiocomunicación, transmisión de datos o imágen,  con el fin de cometer acciones ilícitas. 

Los delitos cuentan con una sentencia mínima de seis años y máxima de ocho. No obstante, debido a situaciones puntuales, las penas pueden aumentar hasta 10 años, dependiendo del delito. 

Según lo establecido en el proyecto de ley, las personas individuales tendrán que enfrentar las penas establecidas en la ley. No obstante, las personas jurídicas, si fueron utilizadas para realizar un ilícito de la presente ley, se les impondrá una multa de Q100 mil hasta Q300 mil, dependiendo de la gravedad de las circunstancias.

Pilares de la iniciativa de ley de ciberseguridad

Carlos Cuéllar, miembro de Bancert (en inglés, Banking Computer Emergency Response Team, o la plataforma de ciberseguridad de la comunidad bancaria de Guatemala), indicó que anteriormente la legislación en materia de ciberseguridad era ambigua, por lo que fue necesario ajustarla y alinearla con los estándares internacionales establecidos por el Convenio de Budapest. Cuéllar añadió que el objetivo de contar con una ley marco es facilitar el apoyo internacional en caso de crisis cibernéticas.

Mendoza, explicó que esta se sustenta en tres pilares fundamentales: la tipificación de delitos con sus respectivas penas de prisión, la creación del Centro de Respuesta a Incidentes de Seguridad Informática de Guatemala (C-SIRT-GT) y el establecimiento de una red 24/7.

LECTURAS RELACIONADAS

Vamos al grano | “Recibir un whatsapp con un trabajo falso ya es un ciberataque”

Guatemala bajo asedio digital: la ciberseguridad no puede esperar

Según el dictamen, el C-SIRT-GT sería la entidad responsable de la detección, análisis, gestión y respuesta ante incidentes de ciberseguridad en todo el territorio nacional. Además, tendría a su cargo el monitoreo permanente para atender incidentes cibernéticos, garantizar la continuidad operativa y el rendimiento de la red, así como brindar servicios proactivos y reactivos en materia de seguridad informática.

Antillón, indicó que esta institución deberá contar con equipos especializados en la atención de ataques cibernéticos. Agregó que cada entidad deberá tener su propio centro de respuesta a incidentes, algunos de carácter sectorial.

Próximos pasos para la aprobación de la ley

Villagrán afirmó que solicitarán a la junta directiva del Congreso que la iniciativa de ley sea conocida en el pleno el martes de la próxima semana.

Por su parte, el diputado José Pablo Mendoza indicó que el dictamen fue respaldado por tres bancadas distintas, lo que, en su opinión, facilitará los acuerdos y consensos necesarios para su aprobación.

Antillón, advirtió que, aunque se trata de una norma urgente, la ley contempla un plazo de entre 90 y 120 días tras su aprobación para establecer la institucionalidad pública y preparar a las entidades responsables para su implementación.

Del mismo modo, Cuéllar aseguró que la ley tiene carácter de urgencia nacional, ya que, además de tipificar los delitos, permitirá darles seguimiento y aplicar las sanciones correspondientes.

Nota del editor: Se actualizó la lista de delitos y sus tipificaciones con el texto final de la Iniciativa de Ley, que completa la información del dictamen.

Vamos al grano | “Recibir un whatsapp con un trabajo falso ya es un ciberataque”

Experto alerta en capítulo de videopódcast que si Guatemala no apresura decisiones como tener una institución que lidere la ciberseguridad y reglas claras, el país es terreno fértil para los ciberdelincuentes. “No es solo el ataque, es cómo me recupero después del ataque” dice.

Juan Manuel Fernández C.

26 de junio de 2025

|

11:43h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

Una estafa por whatsapp puede ser considerada un ataque cibernético. (Foto Prensa Libre: Freepok)

“Hace ya varios años al sistema de justicia de Colombia le pusieron una bomba y destruyeron todos los archivos. Fue una pesadilla. Hoy no necesito una bomba para hacerlo. Hoy lo puedo hacer con un virus. Con una intervención tecnológica. Eso es un ataque masivo”.

Con este ejemplo, Sigfrido Lee, analista económico del Cien, reveló la urgencia de tener mejores instrumentos regulatorios en Guatemala contra la ciberdelincuencia. En una conversación fluida de 20 minutos, Laysa Palomo, conductora del videopódcast Vamos al grano, de Guatemala No Se Detiene, reflexionaron sobre los pasos que debe dar Guatemala en este paso.

Vamos al grano en 5 puntos

Dentro de la conversación, destacaron cinco puntos:

• El gobierno es un eslabón débil en el ecosistema digital: Muchas instituciones públicas no han desarrollado sus propios sistemas ni protocolos de ciberseguridad, lo que deja vulnerables incluso a los usuarios protegidos por sistemas privados.
• Guatemala ya ha sufrido ciberataques relevantes: El Ministerio de Finanzas fue blanco de un ataque fuerte hace unos años. Sin embargo, no existe un sistema adecuado de respuesta, recuperación o denuncia ciudadana ante estos hechos.
• No basta con leyes punitivas; se requiere prevención, resiliencia e infraestructura: La legislación existente se enfoca en tipificar delitos, pero se necesita también invertir en protección de infraestructuras críticas, continuidad de operaciones, y protocolos de recuperación post-ataque.
• El país necesita actualizar urgentemente su política de ciberseguridad: La actual data del 2017 y fue aprobada en 2019, lo cual es obsoleto considerando la velocidad del avance tecnológico, especialmente con la llegada de la inteligencia artificial.
• Urge crear institucionalidad con autoridad, recursos y rectoría clara: Se necesita una entidad nacional que asuma la responsabilidad sobre la ciberseguridad, establezca protocolos, articule al ecosistema y permita denunciar y mitigar ataques. Actualmente, ninguna institución lo hace de manera efectiva.

Puede reproducir aquí en video la conversación completa:

O en nuestro canal de Spotify:

Vamos al Grano es un videopódcast producido en alianza entre Prensa Libre y Guatemala No Se Detiene.

Una agencia para defenderse de ataques digitales y 3 propuestas más de ciberseguridad

Guatemala no tiene una autoridad ni un centro de respuesta a incidentes especializado en ciberamenazas, por lo que se preparan iniciativas legales para sobrellevar esas eventualidades.

Juan Manuel Fernández C. y Ximena Santiago

5 de junio de 2025

|

06:00h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

La iniciativa de ley sobre ciberseguridad e infraestructuras críticas espera dictamen. Implica crear un centro de respuesta y una secretaría

Aunque se descartó que fuera un ciberataque, en abril de 2025 España y Portugal sufrieron un apagón eléctrico masivo que activó los mecanismos de respuesta a nivel nacional. Estos centros coordinan la respuesta a incidentes en sectores estratégicos como energía, transporte, banca, salud y telecomunicaciones.

En Guatemala, en este momento no existe un centro de respuesta con estándares internacionales, aunque en estos momentos se trabaja un paquete de tres iniciativas de ley que busca acelerar la reglamentación que persigue a los estafadores en línea y a los cibercriminales que atacan a escala nacional.

“No podemos tener infraestructuras críticas comprometidas”, sentencia Jorge Mario Villagrán, diputado presidente de la Comisión de Asuntos de Seguridad Nacional del Congreso de la República durante un foro transmitido por Guatevisión dentro de la alianza con Guatemala No Se Detiene.

La preocupación del panel de expertos se centró en que en Guatemala no existe un marco normativo uniforme que obligue a hospitales, centrales eléctricas, redes de agua o al control del tráfico aéreo a adoptar estándares mínimos de ciberseguridad.

“Hoy nadie nos defiende, porque no tenemos un marco regulatorio que nos haga perseguir los ciberdelitos… muy pronto vamos a tener un marco legal en el cual podemos trabajar para protección de los ciberdelitos” dice Villagrán.

Particularmente se refirió al paquete de iniciativas que incluye la 6347, Ley de Ciberseguridad; la relativa a infraestructuras críticas, y la de protección de datos. Todas están a la espera de dictamen para iniciar su camino en el pleno legislativo.

En el foro, transmitido el pasado 2 de junio por Guatevisión –y disponible en YouTube–, también participaron Amílcar de León, experto privado en ciberseguridad, y María Zaghi, comercializadora de CampusTec y representante del Observatorio de Tecnología. El conversatorio fue moderado por el periodista Guillermo Velarde.

Vea aquí el foro completo:

Las propuestas incluyen puntos específicos que podrían cambiar la forma en la que Guatemala se defiende de los cibercriminales.

Un catálogo infraestructuras críticas

Según De León, “en Guatemala no contamos con un listado de qué es una infraestructura crítica o cuáles son, por ejemplo, el sector financiero, el azucarero, el cafetalero”. Sin embargo, añadió que unidades como la Policía Nacional Civil, el Ministerio Público o el Instituto Nacional de Ciencias Forenses (Inacif) han creado dependencias especializadas ante el aumento de incidencias.

Entretanto, los expertos abogaron por que Guatemala cuente, por primera vez, con reglas claras y un sistema coordinado para proteger sus servicios más vitales de las amenazas cibernéticas.

Dicha ley sentaría las bases legales para crear un catálogo oficial de infraestructura crítica, definir y clasificar qué tipo de instalaciones y sistemas deben incluirse e identificar activos concretos que, de ser comprometidos, pondrían en jaque al país. Además, establecería métodos y criterios para evaluar riesgos y vulnerabilidades de cada elemento.

“Tenemos el ejemplo del sitio arqueológico Xayá-Pixcayá, que en 2023 sufrió un ataque, y de la hidroeléctrica Chixoy, que ha sido blanco de intentos. No podemos tener infraestructuras críticas comprometidas”, complementa Villagrán.

LECTURAS RELACIONADAS

¿Está preparado el país para un ciberataque a hospitales, plantas de energía y otros sectores?

Qué hará el centro de “respuesta a emergencias informáticas” que propone la Ley de Ciberseguridad

Añade que cada ministerio debería elaborar un catálogo de lo que considera sus activos críticos. “La ley contempla que estos catálogos no serán públicos para evitar que los ciberdelincuentes tengan acceso a la información”.

Su visión es que las cámaras también deben señalar cuáles son sus empresas críticas. “Debemos tener muchísimo cuidado con esa parte porque se puede creer que se está tratando de invadir la propiedad privada, pero no es así”, asegura.

Además de ríos, subsuelos o yacimientos minerales, que pueden ser considerados como infraestructuras críticas naturales, en Guatemala se han identificado otras como hospitales, puentes, aeropuertos, carreteras, puertos, aduanas, depósitos de combustible y centrales hidroeléctricas, que cada órgano del Ejecutivo debería categorizar de manera institucional.

Un centro de respuesta a incidentes

Para Zaghi, en esta etapa de discusión es importante coordinar lo que llama una “gobernanza inclusiva” y “descentralizada”, quizás apoyada en tecnologías como blockchain.

Según Villagrán, la ley contempla la fundación de una Secretaría de Infraestructuras Críticas dentro del Consejo Nacional de Seguridad, con autonomía para coordinar a todos los actores involucrados en la estrategia de ciberseguridad.

“Anualmente se registran más de 360 mil millones de intentos de ataques solo en Latinoamérica, según De León. Aquí estamos hablando solo de Guatemala. ¿Cuántos de estos llegan a ser efectivos? Hay un déficit de profesionales de más de 4 millones en el mundo. Entonces, no es solamente una cuestión de decir que existe o no una ley”.

En este marco, los panelistas también coincidieron en la necesidad de crear institucionalidad alrededor de la ciberseguridad y la ciberdefensa. En primer lugar, con la secretaría autónoma que mencionaba Villagrán, y en segundo, con lo que se conoce en inglés como un centro de respuesta a incidentes, o CSIRT (Computer Security Incident Response Team).

Según una definición solicitada por Prensa Libre al equipo de Comunicación de Villagrán, este centro “contará con las facultades para dirigir y coordinar la respuesta a incidentes de seguridad informática con instituciones públicas y privadas; sean estos relativos a la ciberseguridad y ciberdefensa del Estado de Guatemala”.

“El problema que tenemos es dónde lo vamos a colocar –el centro de respuesta–, porque la gobernanza es una parte muy importante del sistema de seguridad no solo nacional, sino que de toda Guatemala”, dice Villagrán.

La propuesta debe establecer la institucionalidad, principios y normativa general que permitirán estructurar, regular y coordinar las acciones de ciberseguridad de los diferentes organismos del Estado y particulares.

De León aporta que “España tiene siete CSIRT especializados; (pero) nuestro objetivo debe ser, primero, contar con un CSIRT robusto y luego descentralizar”. Para Villagrán, también el centro de respuesta debe ser autónomo, con participación público-privada y “sin politización”.

Ciberdelitos definidos

“En donde tuvimos un poco de más retraso fue en los ciberdelitos, que requería mucho trabajo de cómo tipificarlos. La ley va a estar un poco dura en lo que respecta a las penas, y evitar que sean de esas de que usted salga de prisión con un pago, porque si no los jueces se van a ir por lo más fácil”, informa.

De León complementa que existen en el Código Penal “algunos pocos artículos que no hablan de cibercrimen ni de ciberseguridad, pero es lo que tenemos hoy”. Por ejemplo, agrega, “la extorsión es un delito que ya está tipificado, solamente que hoy en día lo tenemos ejecutado con herramientas digitales, lo que ya crea el nuevo término de ciberextorsión”.

La Convención de la ONU contra el Delito Cibernético establece por lo menos una decena de nuevos ciberdelitos, que van desde el robo o fraude relacionados con un sistema de tecnología hasta la difusión no consentida de imágenes de carácter íntimo o la falsificación informática. La lista la continúan violaciones como la instigación con fines sexuales contra menores o la interceptación ilícita de datos no públicos transmitidos a través de diversas tecnologías.

“Los que están detrás del ataque no están en Guatemala, y eso complica la situación enormemente porque, a diferencia de un crimen convencional, en donde tenemos un arma homicida en una escena del crimen, acá no sabemos en qué parte del mundo se puede encontrar a la persona que está detrás de la computadora haciendo el ataque”.

Según el equipo de comunicación de Villagrán, ya se completó la revisión de la mayoría de los puntos referentes a la iniciativa de ley de ciberseguridad, a excepción del apartado de ciberdelitos y gobernanza. Estiman que, en un mes, se contaría con el dictamen de la ley, no obstante, señalan que este podría retrasarse por motivos de agenda y reuniones.

Cooperación internacional

El experto De León es enfático en que Guatemala necesita del apoyo internacional. “No hay país que pueda independientemente con un ataque donde estamos hablando de que cuatro, cinco, seis países se unen con un ejército de cibercriminales para atacar una víctima”.

En este sentido, Villagrán informó que Guatemala renovó su suscripción al Convenio de Budapest el 12 de abril y tiene tres años más para alinearse.

El Convenio de Budapest es un instrumento que incluye estándares internacionales mínimos y normativa de derecho internacional relacionada con el tema de ciberseguridad.

“Es clave la cooperación público-privada e internacional (Convenio de Budapest). Sin regulación local no podemos formalizar un CSIRT ni hacer efectivo el convenio”, añade De León.

Paralelamente, está pendiente la socialización de las iniciativas mencionadas y su trámite para dictamen.

Encuentre más de Guatemala No Se Detiene en nuestros canales de video de Prensa Libre y Guatevisión, un contenido en alianza enfocado en periodismo de soluciones.

La inteligencia artificial ya puede “estafar” a las personas: ¿puede una ley evitarlo?

Los ciberfraudes avanzan más rápido que las legislaciones dejando a los usuarios vulnerables. Expertos urgen una ley de seguridad cibernética en Guatemala que se actualice sin reformas que la frenen.

Enrique Canahui

11 de febrero de 2025

|

06:00h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

Si una legislación nacional no cuenta con las ventanas exprés para actualizarse al mismo ritmo que la tecnología, los usuarios pueden quedar expuestos, aunque tengan una ley especializada. (Foto Prensa Libre: Freepik)

El phishing automatizado con IA es una poderosa técnica criminal que analiza redes sociales y correos electrónicos para personalizar mensajes fraudulentos con un alto nivel de persuasión. El malware basado en IA, por su parte. Puede modificar su código en tiempo real para evadir detección por sistemas de seguridad. Si una legislación nacional no cuenta con las ventanas exprés para actualizarse al mismo ritmo que la tecnología, los usuarios pueden quedar expuestos, aunque tengan una ley especializada.

Por eso, una de las principales discusiones entre expertos en ciberseguridad es cómo garantizar que una ley de ciberseguridad en Guatemala sea sostenible en el tiempo. La iniciativa 6347, que sigue pendiente de ser dictaminada en la Comisión de Asuntos de Seguridad Nacional del Congreso de la República, contempla este aspecto en su propuesta.

Un aspecto clave para evitar la obsolescencia es la capacitación del sector Justicia, el de Investigación, el Ejecutivo y otras entidades, para alinear criterios. “Si la ley es muy específica, puede quedar obsoleta porque la tecnología cambia continuamente, es muy dinámica”, señala Pablo Barrera, de la Comisión de Tecnología de la Asociación Guatemalteca de Exportadores (Agexport).

Lo más urgente es que, en el proceso de aprobación, la ley se adapte a nuevas tecnologías y métodos de fraude sin necesidad de reformas constantes, señala Germán López, miembro de la Comunidad Bancaria de Ciberseguridad (Bancert).

LECTURAS RELACIONADAS

¿Está preparado el país para un ciberataque a hospitales, plantas de energía y otros sectores?

¿Quién nos protege en línea? Hay 11 delitos cibernéticos que Guatemala podría crear y castigar

Añade la importancia de considerar alianzas con el sector privado –que a menudo lidera la incorporación de tecnologías emergentes–, y con la academia. Mantener comunicación constante con empresas tecnológicas y universidades permitiría identificar tendencias emergentes en ciberataques como los antes descritos.

Un super equipo anti-ataques

En este sentido, continúa el experto, la ley debe establecer principios fundamentales relativos a la protección de datos, la integridad de los sistemas y la colaboración público-privada, evitando tecnicismos que se pierdan vigencia. Una de las recomendaciones es crear un comité multidisciplinario que revise, periódicamente, los avances tecnológicos y recomiende ajustes o normativas complementarias.

En esta línea, el comité o consejo multidisciplinario podría estar conformado por expertos en ciberseguridad, tecnología y derecho, así como por representantes del sector privado, académicos y funcionarios del sistema judicial. “De hecho, ya existen algunas instancias que podrían apoyar en este sentido, como el Bancert o el Concyt, por mencionar algunas”, refiere Camilo Fernández, CEO de Devel Security.

Considerando que en la propuesta de ley 6347 se establece la creación del Centro de Seguridad Interinstitucional de Respuesta Técnica ante Incidentes Informáticos de Guatemala (CSIRT-GT) para atender incidentes cibernéticos, esta instancia también puede abordar el tema, agrega Fernández.

Su rol, señala, será monitorear y analizar tendencias globales en cibercrimen, así como proponer reformas o regulaciones complementarias en tiempo real. Además, se debe fomentar la adopción de normativas internacionales y mejores prácticas, como las del Convenio de Budapest, para garantizar que las disposiciones legales sean compatibles con estándares globales.

¿Una normativa dinámica?

Para Eli Faskha, CEO de Soluciones Seguras, si bien la iniciativa de ley incluye la creación de organismos especializados como el CSIRT-GT y el Comité Técnico en Ciberseguridad, que permitirá un monitoreo continuo de amenazas, es importante garantizar que la legislación cuente con un mecanismo ágil de actualización para responder rápidamente a la evolución de las nuevas tecnologías y métodos de fraude.

Entre las sugerencias que se analizan, prosigue Faskha, están la creación de normas complementarias dinámicas o reglamentos secundarios que puedan modificarse sin tanto protocolo legislativo, mediante decretos o resoluciones del Ejecutivo. Otra herramienta en línea con estas propuestas es incorporar la vigilancia tecnológica; es decir, que la ley debería requerir que las instituciones responsables de su aplicación, como el sistema de justicia, adopten sistemas de monitoreo continuo para detectar nuevas amenazas.

“Aunque no conocemos la última propuesta de la iniciativa 6347, sería ideal que contemple mecanismos específicos para mantenerse actualizada. Un artículo dentro de la ley podría establecer revisiones obligatorias cada cuatro años, asegurando su alineación con avances tecnológicos y tendencias globales”, puntualiza López.

De acuerdo con Barrera, este tipo de observaciones se hicieron llegar a los responsables de analizar la iniciativa en la comisión, por lo que esperan que hayan sido tomadas en cuenta. Por ello, recomiendan mantenerse vigilantes en el proceso de aprobación en el pleno y ser cautelosos con quienes sugieran o propongan modificaciones a la ley. Es clave que estas personas tengan la capacidad técnica y la experiencia necesarias, pues, al final, “una cosa es lo que entra en el Congreso y otra la que ellos decidan sacar” dice.

“Es adaptable”

De acuerdo con el diputado que presidió hasta 2024 la Comisión de Asuntos de Seguridad Nacional, Jorge Mario Villagrán la iniciativa de ley final 6347 es una ley técnica que responderá a las necesidades actuales y futuras del país. Es adaptable de manera que se puedan realizar acuerdos, reglamentos técnicos que eviten procesos legislativos largos.
Por medio del CSIRT-GT, se garantiza la adaptación a las tendencias tecnológicas del momento y la actualización que proponen los diferentes sectores conocedores del tema.

“Lo que se busca es actualizar leyes relacionadas con delitos cibernéticos. La normativa introduce conceptos flexibles que podrían permitir ajustes posteriores y la adecuada investigación y aplicación de la justicia. Actualmente, la adaptación depende de la capacidad del Organismo Judicial para interpretar las leyes existentes”, puntualiza Villagrán.

LECTURAS RELACIONADAS

Criptomonedas no están prohibidas ni autorizadas: ¿está en riesgo el usuario?

Gobierno carece de personal especializado para enfrentar ataques cibernéticos

Al hacer referencia en la ley a estándares internacionales, se evita la necesidad de actualizarla constantemente, ya que estos son revisados de forma periódica. “Por ejemplo, Guatemala, como miembro de la ISO, acepta sus estándares, por lo que no hay problema en hacer referencia a normas internacionales”, agrega Barrera.

Si la propuesta de ley 6347 está basada en el Convenio de Budapest tiene más posibilidades de ser acorde con el ámbito internacional. De esa manera, la propuesta define una serie de conceptos orientados a la protección de la información y tipifica varios delitos informáticos sin mencionar tecnologías específicas. “Esto hace que la ley sea válida en el tiempo, dado que su enfoque está en la protección de datos y la información electrónica almacenada o en tránsito”, refiere Marco Antonio To, director de la Maestría en Ciberseguridad de la Universidad Galileo.

Asimismo, con la aprobación de la ley, se podrán aprovechar otros convenios, como la resolución 74/247 de la ONU, sobre la “Lucha contra la utilización de las tecnologías de la información y las comunicaciones con fines delictivos”, indica Fernández.

Actualizar cada 4 años

Para López, se puede incluir una cláusula en la ley que obligue al Congreso a revisar su aplicación y efectividad periódicamente, cada cuatro años, por ejemplo, con la participación de expertos en ciberseguridad, académicos y representantes de la industria tecnológica. Esta revisión debería basarse en estadísticas sobre cibercrimen, informes de organismos internacionales como la Organización de Estados Americanos (OEA) o la Interpol, y tendencias locales que permitan ajustar la legislación a la realidad nacional.

En opinión del Dr. To, de la Universidad Galileo, la aprobación de esta ley representará un avance significativo, al crear el primer marco de ciberseguridad en el país, lo que acercará a Guatemala a legislaciones internacionales en la prevención de delitos informáticos.

El análisis de la iniciativa 6347, Ley sobre Ciberseguridad y Cibercrimen, por parte de la Comisión de Asuntos de Seguridad Nacional del Congreso de la República, inició en febrero de 2024. El propósito de dicha comisión era dictaminarla en septiembre, de modo que pudiera ser aprobada antes del cierre de la actividad legislativa el 30 de noviembre pasado, lo cual no ocurrió.

“La iniciativa quedó en la fase final de revisión por parte de los diputados miembros de la comisión. Actualmente, estamos a la espera de la toma de posesión de la nueva Junta Directiva del Congreso y de las asignaciones de las comisiones a los diputados para poder continuar con el trabajo”, indica el diputado Villagrán.

¿Qué queda pendiente?

Actualmente, no existe una ley en materia de ciberseguridad y cibercrimen. La iniciativa 6347 busca responder a esa necesidad y subsanar la laguna legal vigente. Entre las acciones que, a criterio de Bancert, deben considerarse al amparo de esta iniciativa están:

Desde el Legislativo:

• Revisión y actualización periódica: Establecer revisiones obligatorias a cargo de una comisión técnica designada.
• Enmiendas ágiles: Permitir ajustes técnicos sin necesidad de reformar toda la ley.

Desde el sistema de justicia:

• Capacitación especializada: Invertir en la formación de jueces, fiscales y policías en investigación digital.
• Uso de tecnología avanzada: Adoptar plataformas de análisis forense digital e inteligencia artificial para combatir delitos cibernéticos.
• Cooperación internacional: Firmar acuerdos para acceder a recursos, formación y tecnología avanzada.

Además, la ley debe promover una cultura de ciberseguridad nacional que incluya:

• Educación ciudadana: Campañas para prevenir fraudes digitales y phishing.
• Protección a las PYMES: Incentivos para que adopten medidas de ciberseguridad.
• Colaboración regional: Alianzas con otros países de Centroamérica para compartir información y buenas prácticas

Fuente: Bancert.

Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea.

¿Está preparado el país para un ciberataque a hospitales, plantas de energía y otros sectores?

Una propuesta de ley busca blindar las infraestructuras críticas para homologar protocolos de respuesta ante eventuales ataques a los sistemas.

Enrique Canahui

28 de enero de 2025

|

06:00h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

Las redes de telecomunicaciones y de tecnología no cuentan con un marco general de reglas claras y uniformes para protegerse contra ciberataques en el país. (Foto Prensa Libre: Freepik)

En Guatemala, las infraestructuras críticas –como hospitales, bancos, plantas de energía, sistemas de agua potable y hasta el tráfico aéreo–, no cuentan con reglas claras y uniformes para protegerse contra ciberataques. Aunque algunas empresas privadas han tomado medidas por su cuenta para reforzar su seguridad, no hay una ley que establezca mínimos obligatorios ni que fomente que estas instituciones trabajen juntas para enfrentar amenazas digitales. Esto deja expuestos servicios esenciales para todos.

Además, de acuerdo con la Comunidad Bancaria de Ciberseguridad (Bancert), la falta de cultura de ciberseguridad y de coordinación entre sectores públicos y privados aumenta la vulnerabilidad de los activos sujetos de ser protegidos ante ese tipo de eventualidades.
Actualmente, en la Comisión de Asuntos de Seguridad Nacional del Congreso de la República se encuentra en espera de análisis para su dictamen respectivo, la propuesta de Ley General de Infraestructura Crítica Nacional, presentada por el diputado Jorge Mario Villagrán Álvarez.

El catálogo de infraestructuras

Esta propuesta de ley permitirá la legalización de elaborar un catálogo de infraestructura crítica, el cual, de acuerdo con la experiencia de otros países, debe contener componentes esenciales que incluyen su definición, clasificación, identificación de activos específicos, métodos y criterios para evaluar los riesgos asociados con cada activo y sus vulnerabilidades.

A criterio del presidente de la Cámara de Industria de Guatemala, Raúl Bouscayrol, es una ley que debería agregar valor a la protección de la infraestructura crítica. Por consiguiente, considera que se deberá elaborar el dictamen de dicha iniciativa, así como la consulta que deberá realizar a los distintos sectores.

LECTURAS RELACIONADAS

¿Quién nos protege en línea? Hay 11 delitos cibernéticos que Guatemala podría crear y castigar

PNC podría perseguir a estafadores en línea con nueva unidad de ciberseguridad y ciberdelitos

“Tenemos conocimiento de la iniciativa, pero consideramos que hace falta divulgarla con los sectores involucrados y la conformación de mesas técnicas para el análisis, incluyendo al sector privado”, indica el representante del sector privado industrial, el cual agremia a los sectores de hidrocarburos y telecomunicaciones entre otros, cuyos activos son considerados críticos para la seguridad y economía de la nación.

Los criterios que se observan en la iniciativa, para determinar la gravedad derivada de un ataque en una infraestructura crítica, consideran el número de personas afectadas y posibles consecuencias a la salud pública; pérdidas económicas; impacto ambiental e impacto público social.

Identificación de activos

De acuerdo con Marc Asturias, VP de Mercadeo y Field CISO de Gobierno para América Latina, Caribe y Canadá en Fortinet, proteger las infraestructuras críticas de Guatemala es clave, pues forman la columna vertebral de la economía y la seguridad de la nación. Sectores como energía, telecomunicaciones, finanzas, salud y transporte son esenciales para el funcionamiento del país. “Las posibles consecuencias de un ataque exitoso a estos sectores, son nefastas y van desde pérdidas financieras y la interrupción de servicios esenciales hasta comprometer la seguridad nacional”, expone el experto.

En tal sentido, la iniciativa pendiente de ser analizada, se indica que la elaboración del Catálogo Nacional de Infraestructuras Críticas, los operadores críticos, según el sector estratégico que representan, deberán identificar las infraestructuras críticas que les corresponde según su actividad laboral, económica o productiva de los servicios esenciales para el funcionamiento del país.

LECTURAS RELACIONADAS

Las 12 recomendaciones para comprar de forma más segura en comercio electrónico y disminuir riesgos

Piden que ley de ciberseguridad respete el libre pensamiento al regular delitos y sanciones

Los actores que conforman el marco institucional del Sistema Nacional de Protección de Infraestructuras Críticas deberán elaborar el Plan Nacional respectivo, los planes estratégicos sectoriales, de seguridad de Operaciones Críticas y de Apoyo Operativo. Estos últimos deberán ser elaborados por el Ministerio de la Defensa (Mindef) y el Ministerio de Gobernación (Mingob), para poder ejecutar el plan de protección específico, apoyando con acciones de vigilancia, prevención, protección y reacción de forma complementaria con los operadores críticos, tanto a nivel individual como sectorial.

Por aparte, la Secretaría de Protección de Infraestructuras Críticas que depende del Consejo Nacional de Seguridad, como ente rector, deberá elaborar, revisar y actualizar el Plan Nacional respectivo.

Definir activos

Villagrán explica que, para que los activos sean considerados como infraestructura crítica, primero deben cumplir con la definición estipulada en la misma, como los activos esenciales de hidrocarburos, por ejemplo, para que sean de almacenamiento en puerto o centros de distribución.

En el caso de salud, un hospital es considerado como infraestructura crítica, pero no una ambulancia. En el caso de la movilidad, la infraestructura crítica es la red vial, semáforos que ordenan el tráfico. Por ejemplo, si un sistema de estos funciona por medio de la red de Internet, se vincula a la Ley de Ciberseguridad.

De igual manera, dice quien también fungía como presidente de la Comisión de Asuntos de Seguridad Nacional en 2024, una planta de agua figura como infraestructura crítica. Si su funcionamiento se automatiza por medio de tecnología digital, además de la Ley de Infraestructura Crítica, se involucra la Ley de Ciberseguridad.

Agrega que la Ley General de Infraestructura Crítica Nacional va a indicar qué es lo que se
tiene que proteger y cómo se tiene que proceder con esa protección. Luego las leyes de Ciberseguridad y de Protección de Datos van a completar ese conjunto de leyes.

Involucrar sectores

Como se ha indicado, expone Bouscayrol, es importante la socialización de la propuesta y el establecimiento de mesas técnicas que permitan el involucramiento del sector privado organizado, velando por el respeto a la propiedad privada y generando acciones que permitan el resguardo de infraestructura crítica ante eventos disruptivos.

Según la propuesta, para garantizar la protección de estos sectores se incluye la definición de infraestructura crítica que permite identificar ese tipo de activos esenciales como estratégicos para la seguridad nacional.

Para German López, quien forma parte de Bancert, es fundamental identificar qué activos tecnológicos y operativos son esenciales para el funcionamiento de cada sector. Por ejemplo, dice, en telecomunicaciones, los centros de datos y las redes troncales deben considerarse activos críticos. Así mismo, la capacitación constante es un gran aliado de esta propuesta. La resiliencia depende del conocimiento humano, por lo que se debe considerar la implementación de programas regulares de formación para empleados desde técnicos, hasta personal operativo. “Un error humano como abrir un correo de phishing, puede poner en riesgo una infraestructura completa”, subraya el entrevistado.

La propuesta considera infraestructuras críticas como todas las instalaciones físicas, redes, sistemas, equipos físicos y de Tecnología de la Información y cibernéticas, incluyendo servicios alojados en la nube –sean privados o públicos– que funcionan dentro del territorio nacional y de los cuales depende el funcionamiento de los servicios esenciales del país. Por su condición de “criticas”, si éstas fueran dañadas, se pondría en riesgo la seguridad y la economía de la nación.

“Consideramos importante apoyar la creación de esta ley. Proteger la infraestructura crítica del país tiene un impacto directo en la estabilidad económica y social. Estamos dispuestos a colaborar con el Congreso y otras instituciones para garantizar que la ley incluya perspectivas técnicas, operativas y de riesgos”, asegura López.

En nuestro sector, dice, “dependemos de telecomunicaciones y energía confiables para operar y la interrupción de estos servicios podría afectar a miles de usuarios, tanto financieros como empresariales”.

En la percepción de López, la Ley de Infraestructuras Críticas no debe verse únicamente como un marco legal, sino como un compromiso nacional hacia la resiliencia digital. Por consiguiente, la propuesta debería contemplar, la protección frente a amenazas emergentes, como la inteligencia artificial utilizada por atacantes para vulnerar sistemas; simulacros multinacionales. Es decir, considerar alianzas con países de la región para realizar simulacros de ciberataques que fortalezcan las capacidades locales.

“El avance en la ciberseguridad no solo protege las infraestructuras críticas, sino que fomenta la confianza en los sistemas tecnológicos, incentivando inversiones y mejorando la calidad de vida de todos los guatemaltecos”, expone el miembro de Bancert.

Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea.

¿Quién nos protege en línea? Hay 11 delitos cibernéticos que Guatemala podría crear y castigar

El 2025 podría ser el año en que se ratifique Convención de la ONU contra el Delito Cibernético, que busca penar el abuso sexual infantil, el fraude en línea y el lavado de dinero, entre otros temas.

Enrique Canahui y Ximena Fernández

14 de enero de 2025

|

06:00h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

Los grupos de crimen organizado que se dedican a suplantar sitios de bancos y otras instiuciones para engañar usuarios podrían ser perseguidos con delitos puntuales. (Foto Prensa Libre: Freepick)

Un criminal le manda un correo electrónico con engaño diciendo que su banco bloqueó su cuenta. Un estudiante difunde imágenes íntimas de una compañera sin el consentimiento de esta última. Una persona altera una factura digital cambiando el monto de US$100 a US$1,000 para reclamar un reembolso mayor al que realmente corresponde. Estos tres casos se podrían tipificar como nuevos delitos, en su orden: Robo o fraude relacionados con un sistema de tecnología. Difusión no consentida de imágenes de carácter íntimo. Falsificación informática.  

El pasado 24 de diciembre, la Asamblea General de la ONU adoptó en Hanoi la Convención contra el Delito Cibernético, el primer instrumento de justicia penal globalmente vinculante sobre ciberdelincuencia. El texto enmarca al menos una decena de delitos que los distintos países pueden incorporar a sus códigos penales o crear legislaciones nuevas.

LECTURAS RELACIONADAS

Estos son 8 ciberdelitos que se busca sancionar en Guatemala, sus multas y penas de cárcel

Criptomonedas no están prohibidas ni autorizadas: ¿está en riesgo el usuario?

El acuerdo busca, según el propio comunicado de la Organización de las Naciones Unidas, que los países se puedan apoyar cuando enfrentan hechos similares de alto calibre, el intercambio de pruebas, la protección de víctimas y la prevención de delitos, “respetando los derechos humanos en línea”. Al firmar el acuerdo, Philémon Yang, presidente de la Asamblea General, aseguró que este marco permitirá a los Estados “abordar delitos como el abuso sexual infantil, el fraude en línea y el lavado de dinero”. 

La convención estará abierta para firma en 2025 durante una ceremonia oficial en Hanoi, Vietnam, y entrará en vigor 90 días después de ser ratificada por al menos 40 países.  

“La ratificación es un paso clave, ya que marcaría el inicio de un marco normativo internacional para los estados miembros en la lucha contra el cibercrimen”, asegura Eli Faskha, CEO de la firma especializada en ciberseguridad, Soluciones Seguras.

Ciberseguridad en Guatemala

¿Cómo puede llegar un acuerdo de índole global a los marcos legales de cada país que desee integrarlo?

Según Carlos Ramiro Martinez, ministro de Relaciones Exteriores del Ministerio de Relaciones Exteriores (Minex), “este es un proceso que está todavía iniciando, por lo que Guatemala no ha firmado su ratificación ni se ha integrado a la Convención”. Añade que lo que se abrió fue el proceso para la firma del convenio y luego de alcanzar un número determinado de firmas, entrará en vigor para que cada Estado empiece su proceso de ratificación. Martinez explicó que el proceso de firmas estará abierto hasta el 31 de diciembre de 2026.

“A lo interno, cada país tiene sus diferencias en procedimiento y apego a la normativa internacional. Pero en general, todos los estados miembros adheridos a la Convención Internacional deberán seguir un proceso que incluye la firma y posterior ratificación del acuerdo”, complementa el experto costarricense en ciberseguridad, Juan Ignacio Zamora.

Guatemala, como país miembro, ya participa de estas discusiones en el seno de la organización internacional. “Esto es muy positivo, pero el país necesita contar con leyes que tipifiquen los delitos cibernéticos para alinearse con las exigencias de la Convención”, expone Amílcar de León, consultor en ciberseguridad de la firma Devel Group/Cyber Center.

De conformidad con el ordenamiento jurídico, el Organismo Ejecutivo debe realizar las diligencias legales necesarias para concretar la adhesión y finalmente, el Organismo Legislativo debe aprobarla. “Para su eficacia, debe emitirse una ley interna, como la Ley de Ciberseguridad por ejemplo”, agrega Raúl Pérez Bámaca, de la Fiscalía contra Delitos Transnacionales del Ministerio Público.

En el caso de Guatemala, según las fuentes consultadas al respecto, corresponde iniciar el proceso de envío a las instancias competentes a nivel nacional para obtener sus opiniones y dictámenes. Posteriormente, se eleva al despacho del presidente para su ratificación y publicación respectiva en el Diario Oficial.

El CEO de Soluciones Seguras hace ver que, entre otros aspectos, la ratificación también implica desarrollar y fortalecer capacidades técnicas y humanas en las instituciones encargadas de la ciberseguridad y la Justicia y capacitar jueces, fiscales y equipos técnicos en materia de cibercrimen.

Desafíos en la implementación

Este proyecto recalca la tipificación de varios delitos cibernéticos, lo cual genera la necesidad de que, cada uno de los países miembros deben trabajar en materia de regulaciones, crear un marco jurídico local que permita la tipificación de estos delitos. En los últimos 10 años, Guatemala ha tenido varias iniciativas de ley relacionadas con el Cibercrimen o Ciberseguridad, sin lograr concretarse.

“Actualmente, en el Congreso de la República se cuenta con una iniciativa de ley de Ciberseguridad (6347) en proceso de revisión, la cual, ha tenido una gran participación por diferentes sectores (privados, gubernamentales, CERT Bancario, entre otros)”, expone German López, miembro de la Comunidad Bancaria de Ciberseguridad (BanCert).

De acuerdo con el análisis del contenido del borrador acordado por el Comité Intergubernamental de la ONU, se puede observar que, con la adhesión, Guatemala se beneficia del acceso a redes globales de intercambio de información y asistencia técnica en investigaciones cibernéticas; mejora en la capacitación de las autoridades nacionales en la prevención y persecución de cibercrímenes. Así mismo, facilita la modernización de leyes nacionales para enfrentar amenazas globales y ayuda a combatir delitos como el fraude financiero, reduciendo el impacto negativo en ciudadanos y empresas, detalla López.

Por otro lado, agrega, hay desafíos por atender como la falta de recursos y personal capacitado, lo cual puede dificultar la aplicación efectiva de los compromisos. Su visión es que es necesario garantizar el equipo adecuado guardando el balance correcto entre seguridad y  privacidad.

Alcances de la Convención

Esta Convención, dice la Misión Permanente de Guatemala, ofrece diversos beneficios a los estados miembro como Guatemala, al establecer un marco internacional para enfrentar las amenazas emergentes en el ciberespacio, proteger datos personales y los derechos a la privacidad.

La Convención podría ser útil para facilitar el acceso a asistencia técnica y capacitación, proteger los derechos humanos y aumentar la capacidad de los futuros miembros para enfrentar de manera más eficaz los creciente desafíos del ciberdelito.

“Sin normas internacionales que se hagan cumplir, las víctimas tienen pocas opciones de defenderse”, de ahí que el país sea interesado en adherirse a dicha Convención, subraya la información proporcionada por la Misión de Guatemala ante la ONU.

11 delitos cibernéticos establecidos en la Convención

Se extraen del capítulo 2 del texto, subtitulado Criminalización.  

• Acceso ilícito: Entrada deliberada y no autorizada a un sistema de tecnología de la información.
• Interceptación ilícita: Captura no autorizada de datos no públicos transmitidos a través de tecnologías de la información.
• Interferencia con datos electrónicos: Alteración, borrado, daño o supresión de datos electrónicos sin autorización.
• Interferencia con sistemas de tecnología: Obstaculización deliberada del funcionamiento de un sistema mediante manipulación de datos.
• Uso indebido de dispositivos: Producción, adquisición o distribución de herramientas diseñadas para cometer delitos tecnológicos.
• Falsificación informática: Creación o modificación de datos electrónicos falsos con intención de usarlos como auténticos.
• Robo o fraude informático: Manipulación deliberada de sistemas tecnológicos para causar perjuicio patrimonial.
• Material relacionado con abusos sexuales de menores: Creación, distribución o posesión de material que muestre abusos sexuales a niños.
• Blanqueo de producto del delito: Conversión o transferencia de bienes obtenidos ilícitamente para ocultar su origen.
• Instigación o captación con fines sexuales contra menores:  Uso de tecnologías para contactar menores con intenciones sexuales ilícitas.
• Difusión no consentida de imágenes íntimas: Distribución de imágenes íntimas sin el consentimiento de la persona afectada.

FUENTE: Lucha contra la utilización de las tecnologías de la información y las comunicaciones con fines delictivos, Naciones Unidas

Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea.

Qué hará el centro de “respuesta a emergencias informáticas” que propone la Ley de Ciberseguridad

A partir de cambios dentro de la Ley de Ciberseguridad, se incluirá un nuevo ente que funcionará como una especie de comando, encargado de dirigir y coordinar la respuesta a incidentes de seguridad informática.

Ximena Fernández

13 de enero de 2025

|

06:00h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

Nueva versión de Ley de Ciberseguridad creará un centro que regulará acciones para la protección informática. (foto Prensa Libre: Freepik)

La iniciativa de ley de Ciberseguridad que se encuentra pendiente de discusión en el Congreso propone la creación de un Centro de Seguridad Interinstitucional de Respuesta Técnica ante Incidentes Informáticos de Guatemala (CSIRT-GT), según confirma Jorge Villagrán, presidente de la Comisión de Asuntos de Seguridad Nacional durante el 2024. Por su lado, Germán López, miembro de la Comunidad Bancaria de Ciberseguridad (Bancert), en Guatemala no existe aún un organismo encargado de responder a ataques dentro de la web.   

Desde febrero de 2024, en la Comisión de Asuntos de Seguridad Nacional del Congreso, se discute la iniciativa 6347, Ley de Ciberseguridad. No obstante, varios integrantes de esta Comisión advirtieron el año pasado que la ley no era del todo viable. Victoria Palala, de la grupo de diputados de Semilla explica que la iniciativa contiene puntos que deben adaptarse al contexto nacional. 

Para Villagrán, la iniciativa original no contaba con ninguna falla y el cambio que se observa en la nueva versión de la Ley de Ciberseguridad es la creación de un Centro de Seguridad Interinstitucional de Respuesta Técnica ante Incidentes Informáticos de Guatemala (CSRT-GT). 

López externó que la creación de este centro es oportuna y esencial para Guatemala. “Actualmente existen ataques cibernéticos de diversa índole y no existe un organismo centralizado que coordine la respuesta, fomente la prevención y garantice la resiliencia del país ante esas amenazas”, mencionó López.

LECTURAS RELACIONADAS

PNC podría perseguir a estafadores en línea con nueva unidad de ciberseguridad y ciberdelitos

Estos son 8 ciberdelitos que se busca sancionar en Guatemala, sus multas y penas de cárcel

¿Qué es este nuevo centro? 

Según una definición proporcionada por el equipo de comunicación de Villagrán, este centro contará con las facultades para dirigir y coordinar la respuesta a incidentes de seguridad informática con instituciones públicas y privadas; sean estos relativos a la ciberseguridad y ciberdefensa del Estado de Guatemala. 

Además de esto, el centro tendría como objetivo establecer la institucionalidad, principios y normativa general que permitirá estructurar, regular y coordinar las acciones de ciberseguridad de los diferentes organismos del Estado y particulares. Asimismo, buscará regular los actos que devengan de operaciones de ciberguerra que atenten contra la soberanía del Estado por medio de la ciberdefensa.

López argumentó que un centro de esta índole podría funcionar como un “comando central” y propuso ejemplos como México y Colombia, lugares en donde los equipos de respuesta a emergencias cibernéticas (CERTs), han sido cruciales para contener ataques masivos. 

Para López, un centro como el que busca crear la ley debería tener al menos las siguientes características clave: 

1. Coordinación interinstitucional: Este debería facilitar la cooperación entre el sector público, el privado y la academia. 
2. Capacidades de respuesta rápida: Debería contar con un equipo especializado en responder a incidentes en tiempo real. Este equipo a su vez, debería contar con expertos en análisis forense digital, inteligencia de amenazas  y remedición de incidentes. 
3. Educación y sensibilización: El centro debería liderar campañas de concienciación para ciudadanos y empresas para promover buenas prácticas como el uso de contraseñas fuertes, actualización de software e identificación de correos fraudulentos.
4. Marco legal y regulatorio: Para la efectividad del centro, este debe operar dentro de un marco legal sólido, tal como una ley de ciberseguridad que defina responsabilidades, sanciones y procedimientos. 
5. Infraestructura tecnológica: El centro debería contar con tecnología avanzada para monitorear y analizar amenazas cibernéticas, tales como sistemas de inteligencia artificial que detecten comportamientos anómalos.  

Por último, López señaló que el centro debería contar con un enfoque inclusivo y orientado a construir confianza entre los ciudadanos.  

Tratados internacionales y ambiente político 

Villagrán aseguró que el ambiente político es ideal puesto que se trata de una iniciativa nacional y de varios sectores del país. “Si no se cuenta con una ley de este tipo el país quedaría rezagado en temas tecnológicos no solo a nivel nacional sino también a nivel mundial por no contar con las garantías suficientes para proteger la infraestructura, al usuario y a los intermediarios”. 

Además de esto, cabe recalcar que Guatemala aún se encuentra pendiente de aceptar y ratificar el Convenio de Budapest.

Hector Aldana, diputado de la bancada Vamos por una Guatemala Diferente (Vamos), durante una entrevista a Prensa Libre, declaró que, independientemente del Convenio de Budapest, es necesaria la creación de un marco normativo del ciberespacio en el país.

PNC podría perseguir a estafadores en línea con nueva unidad de ciberseguridad y ciberdelitos

Reformas a ley de PNC ordenan crear dirección que facilitaría capturar a estafadores en línea, pero dependen de tipificación de delitos . Expertos recomiendan complementar capacidades con legislación específica y una unidad rectora en la materia.

Ximena Fernández

10 de diciembre de 2024

|

06:00h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

Las reformas aprobadas en la Ley de la PNC ordenan diversas dependencias, entre las cuales se menciona una Dirección de Ciberseguridad y Ciberdelincuencia. (Foto Prensa Libre: Hemeroteca)

Las reformas aprobadas el pasado 27 de noviembre a la Ley de la Policía Nacional Civil (PNC) -que data de 1997- ordenan la creación de una Dirección de Ciberseguridad y Ciberdelincuencia adscrita a una nueva dirección que se creará en la entidad. 

Victoria Palala, diputada por el Movimiento Semilla y una de las ponentes de la ley, explicó que se incorporó el tema de ciberseguridad dentro de la ley de la Policía Nacional Civil (PNC) sabiendo que, desde la Comisión de Asuntos de Seguridad Nacional, se está por conocer y dictaminar la iniciativa 6347, Ley de Ciberseguridad. “Consideramos importante empezar a abordar el tema y por eso es que esta nueva ley tiene incluido este apartado aunque aún no aprobamos una Ley de Ciberseguridad”, aclaró Palala.

La diputada argumentó que se integró el tema para crear una vinculación previa y dotar a la entidad de las herramientas y la estructura necesaria para garantizar la investigación de los casos que sucedan dentro del ciberespacio. Debido a esto, Palala mencionó que se dejó establecido ese departamento, el cual se hará cargo de investigar los ciberdelitos. 

Palala señaló que la policía desde antes de la aprobación de las reformas, ya se encargaba de los delitos ocurridos a través del ciberespacio. No obstante, no se cuenta con la estructura para poder formalizar y tipificar de mejor manera los crímenes que puedan ocurrir dentro de este ambiente. 

LECTURAS RELACIONADAS

Criptomonedas no están prohibidas ni autorizadas: ¿está en riesgo el usuario?

Tres bloques políticos buscan discutir si iniciativa sobre ciberseguridad es viable 

El mayor promotor de las reformas a la ley de la PNC fue Nery Ramos, presidente del Congreso, quien en un primer intento fallido por aprobar la ley elaboró, junto a diputados de la Comisión de Asuntos de Seguridad Nacional, una nueva propuesta con los puntos de vista de diferentes bloques.

Nueva dirección encargada de ciberdelitos 

Dentro de la ley aprobada por el congreso, en el artículo 18, se describe la creación de una Dirección General, la cual será calificada como el órgano de dirección de más alto nivel de la PNC. “La Dirección General de la Policía Nacional Civil, tendrá dependencias de control que serán las encargadas de supervisar, controlar, investigar y sancionar al personal de la Policía Nacional Civil, así como fiscalizar los procesos administrativos y operativos”, sentencia la ley. 

Además de esto, se crean dos direcciones más: la Dirección General Adjunta Administrativa y la Dirección General Adjunta Operativa. Esta última se describe en el artículo 20 como el órgano “encargado de coadyuvar al director general en la planificación, administración, control, dirección y ejecución de las actividades operativas de la PNC”. Asimismo, tendrá adscritas diversas dependencias, entre las cuales se menciona una Dirección de Ciberseguridad y Ciberdelincuencia.

La Dirección General Adjunta Operativa estará a cargo de un director general adjunto operativo, quien tendrá el grado de comisario general superior y será nombrado por el ministro de Gobernación, a partir de una propuesta del Director General de la PNC. 

La función del director deberá ser estipulada en un reglamento, el cual deberá dictaminar el funcionamiento de la estructura orgánica. Este reglamento deberá ser entregado en el plazo de un año, a partir del inicio de la vigencia de la ley.  Mientras esto sucede, se seguirán aplicando los reglamentos actuales. Palala señaló que el proceso de incorporación que tendrá la PNC les brindará suficiente tiempo para aprobar la Ley de Ciberseguridad. 

Para la creación de este reglamento, Helver Beltetón, director general adjunto de la PNC asegura que buscarán involucrar a diferentes sectores, tanto de la institución policial, como el sector privado y público. Además de esto, Beltetón aseguró que para el reglamento de la estructura organizativa se tendrá la opinión de expertos en la materia de inteligencia en temas policiales para formar parte de la creación de la sección de ciberdelitos.

¿Cómo actuaría la PNC?

Actualmente, la PNC cuenta con una subdirección general de investigación criminal y dentro de esta, se encuentra un departamento específico de ciberdelitos, expresó Beltetón. No obstante, a partir de la nueva ley se estará elevando la categoría de este tipo de delitos, convirtiendo el departamento en una subdirección propiamente para los crímenes ocurridos en el ciberespacio. Esto quiere decir que esta subdirección obtendrá más recursos logísticos, humanos y materiales que actualmente.

En la ley, explicó Beltetón, se indica que las direcciones como la de ciberdelitos estarán a cargo de un comisario general, por lo que se estará buscando a la persona que cumpla con los requisitos establecidos. Asimismo, dentro del documento interno que le da vida a una subdirección, Beltetón enfatizó en que quedará estructurada específicamente la subdirección de ciberdelitos.

Para la persecución de este tipo de delitos, Beltetón aseguró que se cuenta con una coordinación estratégica con la Fiscalía que está a cargo de los ciberdelitos del MP. Además de esto, señaló el director general adjunto, se tendrán cámaras en las patrullas, cámaras corporales y cursos internacionales para capacitar y fortalecer el tema de investigación de este tipo de delitos en específico, esto a partir de cooperaciones internacionales, según comunicó Beltetón.

Según Francisco Quezada, investigador asociado al Centro de Investigaciones Económicas Nacionales (Cien) en el área de Seguridad y Justicia, la PNC tiene, dentro de su división informática, el personal y equipo técnico para el control de los ciberdelitos. No obstante, Palala aseveró que el problema llega al intentar presentar la denuncia, puesto que no existe un delito tipificado y por lo tanto no se puede sancionar. 

De hecho, el principal desafío es que, si un guatemalteco busca presentar una denuncia por robo de datos financieros o de dinero por vías electrónicas, la ley solo le permite hacerlo por estafa menor.

Quezada planteó que cuando se trata de delitos de esta índole, le corresponde al Ministerio Público (MP), por disposición legal, investigarlos. Y en ese caso, la PNC sería auxiliar del MP en la investigación de estos casos. “La referencia propiamente a PNC tiene que verse dentro del contexto de investigar los delitos y prevenirlos”, sostuvo el investigador. 

“No debe ser solo la PNC”

German López, miembro de la Comunidad Bancaria de Ciberseguridad (Bancert), sugiere que es necesario evaluar si la estructura actual de la PNC está preparada para asumir esta responsabilidad. “La ciberseguridad requiere recursos especializados, tecnologías avanzadas y personal altamente capacitado en análisis de datos, programación y monitoreo digital, lo cual puede ser un desafío si no existe una infraestructura adecuada” indica.

Alerta que, si bien la PNC puede jugar un papel importante en la ciberseguridad, particularmente en la investigación y persecución de delitos cibernéticos, no debería ser la única entidad responsable. “La ciberseguridad es un campo complejo que abarca aspectos técnicos, educativos, normativos y de colaboración internacional, por lo que requiere una institución especializada o multisectorial” señala.

E insiste: “dejar toda la responsabilidad en manos de la PNC podría ser ineficiente y limitar el alcance de las políticas de ciberseguridad, ya que estas trascienden el ámbito policial y requieren un enfoque interdisciplinario y estratégico”.

Para López, el modelo ideal debe incluir:

1. Un ente central especializado: Crear una agencia nacional de ciberseguridad que coordine esfuerzos, establezca políticas públicas y actúe como punto de contacto con organismos internacionales.
2. Colaboración con la PNC: La PNC puede enfocar sus esfuerzos en la investigación de ciberdelitos, trabajando en conjunto con esta agencia especializada.
3. Participación del sector privado y académico: Las empresas y universidades tienen un rol clave en la investigación, desarrollo de tecnologías y educación sobre ciberseguridad.

Pocas capacidades para perseguir ciberdelitos

Ataque a la integridad de los datos y sistemas informáticos, falsificación informática, acceso ilícito o apropiación de la identidad ajena son algunos de los ciberdelitos que la nueva Ley de Ciberseguridad, pendiente de dictamen, procura normar por no existir en la legislación guatemalteca.

Este es apenas uno de los pasos que requiere el Estado para poder combatir todo tipo de estafas que se producen o se propagan por canales digitales. En una entrevista con Prensa Libre, Ismael Cifuentes y Sara Alonso, secretario técnico y subsecretaria técnica del Consejo Nacional de Seguridad, respectivamente, confirmaron que todas las entidades del Estado requieren de una estructura mínima de prevención, alerta, protección, respuesta y recuperación para lo cual requieren personal especializado en la materia.

Además de capacidades y recursos mínimos, indicaron que cada institución debe implementar procesos de formación y sensibilización en todo su personal y que la estructura mínima incluye investigación cibernética y análisis forense de la evidencia cibernética.

Según López, “en ausencia de una ley, el sector público y privado deben trabajar conjuntamente para establecer medidas que mitiguen riesgos y fortalezcan la confianza de los usuarios en los sistemas digitales. Una legislación específica, sin embargo, proporcionaría un marco unificado y obligatorio para todos los sectores”.

El consenso entre especialsitas apunta a que cada entidad debe contar, al menos, con un equipo de respuesta a incidentes, un oficial de seguridad de la información (CISO), un departamento de gestión de riesgos, uno de operaciones de seguridad, de inteligencia de amenazas especializados en investigación de programas malignos (malwares) y análisis forense y uno de capacitaciones.

Complementos a normas de ciberseguridad

Palala manifestó que, debido a la complejidad del tema de ciberseguridad, se busca crear un paquete de leyes complementarias. A partir de este paquete, Palala indicó que se tipificarán los delitos y les darán mayores herramientas a los entes de investigación y al ente de justicia para poder sancionar respectivamente estos delitos. 

Para Quezada, las versiones que se encuentran en el Congreso en este momento les falta desarrollo, puesto que el punto de la ley debería ser el de facilitar la comunicación y persecución entre países. Esto, justificó Quezada, es debido a que los ciberdelitos no siempre provienen del ámbito nacional, sino desde países distintos.

Dentro de esta ley, Quezada expuso que deberían tomarse en cuenta tres puntos principales: 

1. Los convenios que hay entre países para poderlos perseguir de manera global (como el de Budapest o el de Naciones Unidas) 
2. Política de estado de defensa a partir de un ente responsable y participación interinstitucional. 
3. Revisión de tipificación de delitos informáticos para actualizarlos al esquema de cómo se están presentando este tipo de ilícitos. 

López concluye que lo ideal sería que este apartado estuviera desarrollado en una ley específica de ciberseguridad. “Esto permitiría establecer roles claros, asignar recursos adecuados y garantizar que todas las instituciones pertinentes colaboren de manera efectiva. Sin un enfoque integral, existe el riesgo de que las medidas queden desarticuladas” dijo.

Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea.

Tres bloques políticos buscan discutir si iniciativa sobre ciberseguridad es viable 

Uno de los puntos centrales es que para la funcionalidad de la iniciativa de Ley de Ciberseguridad es necesario un ente regulador en temas de ciberespacio, definición de ciberdelitos y penalizaciones a atacantes.

Ximena Fernández

25 de noviembre de 2024

|

05:03h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

La iniciativa de ley de Ciberseguridad sigue sin ser dictaminada en el Congreso. (Foto Prensa Libre: Freepik)

La iniciativa 6345, Ley de Ciberseguridad aún requiere más análisis antes de poder ser dictaminada por la Comisión de Asuntos de Seguridad Nacional, aseguraron Victoria Palala, diputada por el movimiento Semilla, Héctor Aldana, diputado de la bancada Vamos por una Guatemala Diferente (Vamos) y Sandra Jovel, del partido Valor. A muy poco de que cierre el período ordinario del primer año de la actual legislatura, Palala argumentó que buscarán el dictamen favorable de la iniciativa antes de fin de año.

Palala puntualizó que la iniciativa de ley de ciberseguridad actualmente no es del todo viable, ya que todavía contiene puntos que deben adaptarse al contexto nacional. No obstante, señaló que existe disposición para hacer avanzar esta ley. “Hemos platicado con las instituciones de seguridad del Ejecutivo y hay aportes que ellos nos han hecho llegar para poder dictaminar esta ley”, afirmó la diputada.

La diputada mencionó que la intención de la Comisión es dejar dictaminada esta iniciativa de ley antes de que los nuevos integrantes tomen posesión a inicios del próximo año. Indicó que, luego de esto, la propuesta comenzaría su camino en el pleno con la esperanza de ser aprobada para ingresar al Convenio de Budapest y evitar que el país quede fuera de esa “gran sombrilla internacional”.

Por otro lado, Aldana señaló que es complejo tener esta ley dictaminada este año, ya que es necesario analizar los temas técnicos y jurídicos de forma exhaustiva. “Debemos entender el ciberespacio y lo cambiante que puede ser”, puntualizó el diputado, quien agregó que se deben crear tipos penales para abarcar todos los posibles ataques, tanto desde la óptica privada como pública.

LECTURAS RELACIONADAS

Estos son 8 ciberdelitos que se busca sancionar en Guatemala, sus multas y penas de cárcel

Ciberseguridad: Qué es el convenio de Budapest y por qué se busca integrar a Guatemala

Según el equipo de comunicación de Jorge Villagrán, presidente de la Comisión de Asuntos de Seguridad Nacional, la iniciativa de ley se encuentra actualmente en revisión por parte de los diputados artículo por artículo, para la aclaración de temas y la redacción final. Añadieron que estas reuniones suelen realizarse una o dos veces por semana.

Lo que se necesita para que sea viable

Germán López, miembro de la Comunidad Bancaria de Ciberseguridad (Bancert), planteó que, para que la Ley de Ciberseguridad sea factible y funcional, debe contener ciertos puntos: tipificación de ciberdelitos, asignación de responsables en temas de ciberseguridad dentro del gobierno y obligaciones tanto del sector privado como público para la implementación de medidas y controles de prevención, así como penalizaciones inconmutables ante los ciberdelitos. Asimismo, López expuso que se deben definir y proteger las infraestructuras críticas.

Aldana señala que estos puntos son los que se deben estructurar de mejor manera y que es necesario definir los delitos informáticos y realizar un empalme con la comunidad internacional. “Recordemos que no todos los ataques provienen del mismo país”, precisó el diputado.

Además, Aldana argumentó que la ciberseguridad podría centrarse en un enfoque preventivo, pero que también se debe considerar el momento en el que ocurra un ataque. El diputado mencionó, asimismo, el tema del “cibercrimen” o “ciberdelincuencia”, en el que se busca la persecución de los responsables de ataques informáticos.

Para Jovel, estos términos son los que deben distinguirse y tener claridad sobre lo que es “ciberseguridad” y “ciberdelincuencia”. La diputada aseguró que la ley tiene aspectos positivos, no obstante, se debe trabajar para que el dictamen contemple ciertos aspectos que podrían haberse omitido en la ley original. 

Un ente encargado

López indicó que otro punto esencial para la funcionalidad de esta ley es la creación de un CERT nacional. Un CERT, según una definición de la Universidad Autónoma de Madrid, es “un equipo de personas dedicado a prevenir, detectar y responder eficazmente a los incidentes de seguridad que puedan materializarse sobre los sistemas informáticos”.

La diputada de Semilla expresó que aún se debate quién debería encargarse de la protección de datos en general. Palala mencionó que, por el momento, las dos opciones son el Ministerio de Defensa y la Secretaría Técnica del Consejo Nacional de Seguridad.

Por otro lado, Aldana informó que buscan crear un cuerpo normativo específico para asuntos del ciberespacio que contemple la ciberseguridad, el cibercrimen y los objetivos de los ataques que se puedan enfrentar.

LECTURAS RELACIONADAS

Piden que ley de ciberseguridad respete el libre pensamiento al regular delitos y sanciones

Buscan aprobar ley de ciberseguridad antes de que termine el año 

Palala puntualizó que también están en conversaciones con el Organismo Judicial y el Ministerio Público (MP), ya que estos entes también necesitan herramientas de investigación y sanción de los delitos relacionados con este tema. “Estamos buscando activamente para tener un dictamen con una iniciativa fuerte que pueda pasar en el pleno lo antes posible”, aseguró. Aldana señaló que dictaminar esta ley antes de fin de año es “complicado”.

Acceso a capacidades

Costa Rica, en 2022, fue víctima de un grupo de ciberterroristas, relató López, quien señaló que, a raíz de este problema, el país tuvo pérdidas por aproximadamente US$30 millones y tuvo que recurrir al apoyo de Estados Unidos, Israel y España. Según López, si esto ocurriera en Guatemala, los mecanismos serían más complicados y demorarían más. “En un ciberataque de esas magnitudes, el tiempo es un factor clave”, enfatizó.

Para López, el ingreso del país al Convenio de Budapest representaría un avance significativo para la ciberseguridad nacional, ya que se contaría con un marco global que facilite la cooperación y el desarrollo de capacidades”, argumentó López.

Aldana aclaró que, independientemente del Convenio de Budapest, es necesaria la creación de un marco normativo del ciberespacio en el país. Destacó que están trabajando en base a lo que establece el convenio para que, cuando el Ejecutivo decida formar parte de este, ya se cuente con dichos marcos normativos.

LECTURAS RELACIONADAS

Cinco maneras como los grupos criminales en América Latina utilizan la Inteligencia Artificial para delinquir (y qué puedes hacer para protegerte)

Gobierno carece de personal especializado para enfrentar ataques cibernéticos

Dos leyes más

Palala recalcó la amplitud del tema mencionando las leyes de Protección de Datos e Infraestructura Crítica. La diputada sugirió que esta ley podría ser una “sombrilla” más extensa, en lugar de tres iniciativas distintas. Añade que en el pleno se solicitó retirar la iniciativa de Protección de Datos, ya que esta abarca solo un aspecto pequeño y no todo lo que engloba la seguridad cibernética.

El equipo de comunicación de Villagrán señaló que estas dos nuevas iniciativas no se han leído aún en el pleno para ser asignadas a una comisión, por lo que su aprobación junto con la de ciberseguridad es poco probable.

Estos son 8 ciberdelitos que se busca sancionar en Guatemala, sus multas y penas de cárcel

Expertos recomiendan una revisión más profunda en cuanto a la parte jurídica de la Ley de Ciberseguridad, para que sea más concreta, pues hay verbos que no están bien definidos y, en la práctica litigante, pueden convertirse en vacíos legales o reiterarse con lo establecido.

Enrique Canahui

12 de noviembre de 2024

|

06:00h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

Pese a que la comisión legislativa que analiza la Ley de Ciberseguridad dice que se hicieron las consultas pertinentes para tipificar los nuevos delitos, juristas tienen comentarios. (Foto Prensa Libre: Freepick)

En Guatemala, el Código Penal tipifica ciertos delitos informáticos, para los cuales, hay penas asignadas. Sin embargo, estos no corresponden a las modalidades de los ilícitos que se cometen utilizando redes o sistemas informáticos.  

Esa ausencia es la que pretende suplir la iniciativa 6347, Ley de Ciberseguridad que la Comisión de Asuntos de Seguridad Nacional del Congreso de la República tiene en revisión previo a ser dictaminada para presentarla a discusión ante el pleno. Pero, en opinión de profesionales del derecho consultados por Prensa Libre, aún requiere de una revisión profunda desde el punto de vista penal.

Según esta propuesta, los profesionales del derecho pueden interpretar la proporcionalidad en función del tipo y la afectación del delito cometido, alineándose también con los estándares internacionales del Convenio de Budapest, el cual enfatiza la proporcionalidad en la persecución y sanción de ciberdelitos, especialmente cuando involucran el uso de tecnologías para afectar derechos fundamentales, dice el costarricense, Juan Ignacio Zamora Montes de Oca, máster en Derecho Informático.

“Se tipifican delitos existentes”

El objeto principal de la iniciativa 6347, entre otros según su Artículo 1, es “la tipificación de conductas delictivas, para prevenir erradicar y sancionar los ciberdelitos. Así mismo, se estipulan reglas procesales necesarias para incorporar los medios de prueba digitales que permitan la obtención de evidencias y pruebas electrónicas en el proceso penal, para una investigación eficaz y la cooperación interinstitucional e internacional en la materia”.

LECTURAS RELACIONADAS

Ciberseguridad: Qué es el convenio de Budapest y por qué se busca integrar a Guatemala

Piden que ley de ciberseguridad respete el libre pensamiento al regular delitos y sanciones

De acuerdo con ese planteamiento, la Ley de Ciberseguridad que se pretende aprobar en el Congreso de la República, estaría tipificando, como su nombre lo indica, los “ciberdelitos” o “delitos informáticos” que, específicamente no existen en la legislación del país.

En ese aspecto, los abogados entrevistados coinciden en que dicha tipificación tanto en la definición de las figuras delictivas como en las penas que se les asignan guardan concatenación con el Código Penal, aunque no necesitan hacerlo por el hecho de que cada ley es totalmente autónoma y cada país va gravando según su conveniencia y la naturaleza de lo que se quiere proteger.

Estos son algunos de los hechos ilícitos tipificados en el Título II, los cuales se basan en el número del salario mínimo vigente, para actividades no agrícolas.

• Artículo 7. ACCESO ILÍCITO prisión de 4 a 6 años y multa de 20 (Q.72,691.80) a 200 (Q.726,918.00) salarios mínimos mensuales vigentes para actividades no agrícolas.

• Artículo 8. INTERCEPTACION ILICITA prisión de 6 a 10 años multa desde 100 (Q.363,459.00) a 200 (Q.726,918.00) mínimos mensuales vigentes para actividades no agrícolas.

• Artículo 9. ATAQUE A LA INTEGRIDAD DE LOS DATOS INFORMÁTICOS

Prisión será de 5 a 7 años y multa de 100 (Q.363,459.00) a 200 (Q.726,918.00) salarios mínimos mensuales vigentes para actividades no agrícolas.

Prisión será de 6 a 8 años y multa de 200 (Q.726,918.00) a 500 (1,817,296.50) salarios mínimos mensuales vigentes para actividades no agrícolas.

• Artículo 10. ATAQUE A LA INTEGRIDAD DEL SISTEMA INFORMÁTICO

prisión de 6 a 9 años y multa de 100 (Q.363,459.00) a 300 (Q.1,090,377.90) salarios mínimos mensuales vigentes para actividades no agrícolas.

prisión 7 a 10 años y multa de 100 (Q.363,459.00) a 500 (1,817,296.50) salarios mínimos mensuales vigentes para actividades no agrícolas.

• Artículo 11. FALSIFICACIÓN INFORMÁTICA. Prisión 2 a 6 años y multa de 20 (Q.72,691.80) a 200 (Q.726,918.00) salarios mínimos mensuales vigentes para actividades no agrícolas.

• Artículo 12. APROPIACIÓN DE IDENTIDAD AJENA.

prisión de 3 a 6 años y multa de 40 (Q. 145,183.60) a 100 (Q.363,459.00) salarios mínimos mensuales vigentes para actividades no agrícolas.

prisión de 4 a 7 años y multa de 40 (Q. 145,183.60) a 200 (Q.726,918.00) salarios mínimos mensuales vigentes para actividades no agrícolas.

• Artículo 13. ABUSO DE DISPOSITIVOS. prisión de 3 a 6 años y multa de 20 (Q.72,691.80) a 200 (Q.726,918.00) salarios mínimos mensuales vigentes para actividades no agrícolas.

• Artículo 14. FRAUDE INFORMÁTICO. prisión de 4 a 8 años y multa de 100 (Q.363,459.00) a 300 (Q.1,090,377.90) salarios mínimos mensuales vigentes para actividades no agrícolas.

Fuente: Iniciativa de Ley 6347.

Derecho reparador o sancionador

Zamora refiere que la iniciativa 6347 propone procedimientos para la confiscación de activos obtenidos a través de actividades fraudulentas. En los artículos 24 y 25 se mencionan las medidas de recuperación de activos, instando a la colaboración interinstitucional e internacional para localizar y recuperar bienes mal habidos. Ambos se alinean al estándar internacional en el combate de ciberdelitos.

Si bien el Convenio de Budapest no fija montos ni penas exactas, en su Artículo 13, el mismo respalda la idea de penas efectivas y disuasorias. “Ambos documentos (la iniciativa 6347 como el Convenio), reflejan la importancia de adaptar las penas a la naturaleza y la severidad del delito, en función de su impacto en la seguridad pública”, indica Zamora.

Por otro lado, observa; “la iniciativa sugiere penas que podrían variar entre los 2 y 10 años de prisión dependiendo de la gravedad del ciberdelito, el impacto en la sociedad y la infraestructura crítica. Aquí es donde debe de tomarse en cuenta qué busca el Derecho Penal a nivel de Guatemala y del proceso, si pretende aplicar un derecho penal reparador o sancionador”, observa Zamora.

Para el abogado litigante César Calderón, los delitos contenidos en el proyecto de ley, así como los verbos que han puesto para cada delito, avanza la mayor cantidad de fenómeno criminológico cibernético. “Si en el futuro se inventa algo más, bastará con agregarle nominaciones adjetivos o verbos a la ley”, indica.

Hay que tomar en cuenta que ninguno de los delitos de esta iniciativa de ley puede ser considerado un delito menos grave, por lo que son competencia de los Juzgados de Primera Instancia. Por consiguiente, el procedimiento que deberá seguirse obligadamente es el penal común, expresa Abraham Girón, abogado penalista y consultor.

Observa que, con la creación de la figura de “Fraude informático” contenido en el artículo 14 de la iniciativa de ley, se impone una pena de 4 a 8 años; sin embargo, la redacción de ese artículo es confusa desde su punto de vista y podría representar un problema determinar cuándo se debería aplicar ese delito y cuando se aplica la estafa que se señala en el Código Penal, cuya penalización va de 6 meses a 4 años, por lo que es considerado como un delito menos grave y por lo tanto excarcelable.

¿Una ley de traspaso?

Según Girón, en lo que a la confiscación en particular se refiere, la iniciativa de ley no aporta nada diferente a lo ya regulado en la legislación procesal vigente, al punto que no hay un artículo en concreto que se refiera a esos elementos. “Remite al Código Procesal Penal, con lo que ni siquiera debieron regular tal tema en esa iniciativa”, subraya.

De acuerdo con el abogado y notario litigante Wellington Puac, a la iniciativa le falta mucho para que sea una ley técnica. “La ley es muy ambigua. Como abogados litigantes, vemos muchísimos vacíos que los defensores pueden utilizar para tener sentencias absolutorias, dando como resultado que las acciones queden impunes”.

Para Girón, “siendo la ley de ciberseguridad un tema que no se ha regulado en el país, sí requiere de una discusión profunda y merece una mayor revisión, porque precisamente la ciberseguridad debe iniciar con un sistema legal completo, claro y eficiente que permita la flexibilidad y agilidad que conlleva el mundo digital, debería de pensarse un poco en el “soft law”, como modalidad para proveerle eso a la regulación sobre ciberseguridad”, apunta.

LECTURAS RELACIONADAS

La ley que facilitaría perseguir a estafadores en línea en Guatemala

Buscan aprobar ley de ciberseguridad antes de que termine el año 

“Ley debe ir más allá”

Por otro lado, si bien el Convenio de Budapest no fija montos ni penas exactas, su exposición en cuanto a los tipos penales que maneja, se lee más sencilla y clara, con respecto a cómo se plantea en la iniciativa de ley en proceso de aprobación. Esto es debido a que los convenios son guías directivas sobre las regulaciones mínimas que deben tener los Estados Parte. “En ese sentido, la iniciativa de ley debería arriesgarse a ir más allá en los mínimos propuestos en el Convenio y adecuarlo más a la realidad criminal que afronta el país en lo cibernético” apunta el abogado Girón.

Hace la observación de que ese Convenio tiene dos protocolos adicionales los cuales regulan diferentes aspectos. “Estos no son considerados por la iniciativa, por lo cual sería oportuno que, si se va a dar la aprobación de una ley en materia de ciberseguridad, se aproveche a efectuar una regulación general que aborde todos los aspectos relacionados al Convenio de Budapest”, expresa el jurista.

El abogado Puac, observa que en el Titulo II, de la iniciativa 6347 el cual regula los “Ciberdelitos”, lo que hay, son acciones (no hay omisiones), por lo tanto, son acciones dolosas, realizadas con intención de causar un daño, típicas, antijuridicas, culpables y punibles, reguladas con el fin de proteger y/o restaurar un bien jurídico que protege la legislación guatemalteca. Por consiguiente, a su criterio, con el fin de no gozar de medidas sustitutivas, la pena mínima de prisión debería ser de 6 años y la máxima de 15.

Por aparte el fiscal Raúl Pérez Bámaca, de la Fiscalía contra Delitos Transnacionales del Ministerio Público (MP), indica que se han discutido los elementos de las nuevas figuras delictivas contenidos en la iniciativa de ley y consideran que, al menos con la pena mínima de seis años de prisión, se tendrá la oportunidad de ejercer una persecución penal efectiva y eficaz para neutralizar el fenómeno criminal. De esa cuenta, los operadores de justicia ya no tendrán la excusa de obligar a fases conciliatorias o administrativas previas como sucede ahora.

Revisar regla de reparación digna

Para el abogado Calderón, al especificarse en la iniciativa de ley que las penas tienen de 4 a 6 años de cárcel, está indicando que al pasar de 5 años no va a ser excarcelable y que necesariamente el sentenciado va a ir a la cárcel hasta por 10 años.

Ahora, lo que va a variar, dice, es la multa, ya que aquí entran varios elementos y entre estos va la reparación digna. Si en la reparación digna la defraudación ha sido mediante informaciones contables, bancarios de empresas mercantiles y la pérdida es alta, así va a ser la reparación digna. Si se defraudaron Q5 millones, entonces va a ser tan exagerada como el monto que pudieron haberse apropiado mediante el ciber delito.

En ese aspecto, la reparación digna que se da en una de las últimas fases en el proceso penal está establecida en la iniciativa que la confiscación se hará en la investigación y estará en resguardo del MP. En tal sentido es necesario hacer una evaluación de un equipo multidisciplinario para verificar si el ente perseguidor tiene la capacidad de resguardar los datos, o la mora de investigación producirá más daños que el propio delito, advierte el abogado Puac.

Para el abogado litigante Miguel Balsells, el texto sobre cómo recuperar los datos de las personas que los supuestos ciberdelincuentes hayan obtenido por medio de actividades fraudulentas, no es muy específico.

Según Zamora, el Convenio de Budapest, en sus Artículos 14 y 19, establecen de manera general, mecanismos específicos para la preservación rápida de datos y la cooperación para la recuperación de activos ilícitos.

Descargo

En la Comisión de Asuntos de Seguridad Nacional, a cargo de analizar la iniciativa en cuestión, han recibido opiniones similares de otros profesionales a los que han consultado en ese procedimiento, las cuales “se han atendido y se han venido corrigiendo”, indica el diputado Jorge Mario Villagrán, presidente de dicha comisión.

“En dado caso, cuando es necesario, se han realizado las modificaciones respectivas, dependiendo de la temática y el fondo de la misma. Los comentarios observados se basan en la iniciativa original, tal cual se recibió en la Comisión y resuelven muchas de estas inquietudes emitidas” indica el diputado.

Añade que esos argumentos 2ya fueron procesados por el Ministerio Público y por jueces del Organismo Judicial “en donde están de acuerdo en que la tipificación del delito como está es la correcta. De ahí la discordancia de lo comentado con la realidad”.

“En la página Web del Organismo Legislativo está la iniciativa original 6347, la cual es la que llega a la Comisión. Ya la versión revisada por la Comisión no, porque esa versión revisada es la que se dictamina y es la que pasa a pleno para su lectura, ese es el procedimiento. Esa versión nunca se publica antes”, enfatiza el diputado Villagrán.

Consultado Diego Ronquillo, asesor legal del diputado José Pablo Mendoza, ponente de la iniciativa 6347, aclara que la Comisión de Asuntos de Seguridad Nacional “se encuentra analizando las penas para elevarlas según los principios de racionalidad, proporcionalidad y realidad del derecho penal”.

Añade que, en cuanto a los protocolos no considerados del Convenio de Budapest, “actualmente están en discusión de la Comisión, porque hay materias de los protocolos que ya están regulados en las leyes del país”.

“A diferencia del delito de estafa propia, el delito de fraude informático contempla como móvil del delito, el uso de las tecnologías de la información y las comunicaciones (Tics); asimismo, el bien jurídico tutelado es el activo patrimonial de las personas” defiende Ronquillo.

Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea.

Ciberseguridad: Qué es el convenio de Budapest y por qué se busca integrar a Guatemala

Tener acceso a recursos técnicos y financieros si el país es blanco de los ciberdelincuentes es el principal argumento de los promotores para adherir al país. El plazo límite es abril de 2025.

Enrique Canahui

29 de octubre de 2024

|

06:00h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

Expertos en ciberseguridad confirman que quedarse fuera del Convenio de Budapest deja vulnerables a las empresas, el Estado y a los propios usuarios. Foto con fines ilustrativos. (Foto Prensa Libre: Freepik)

Cuando Costa Rica sufrió la interrupción de sus servicios críticos por un ataque cibernético a más de 30 de sus instituciones en abril de 2022, se acogió al Convenio de Budapest para recuperar sus sistemas afectados y acceder a fondos para los US$10 millones que le exigían los cibercriminales.

El gobierno de ese país no tuvo otra opción que pagar por recuperar los datos intervenidos. Posteriormente, reportó que más del 90% de los sistemas comprometidos en el seguro social se recuperaron, pero la restauración completa dejó costos y daños colaterales estimados en millones de dólares.

Este ataque evidenció la vulnerabilidad de la infraestructura digital en el ámbito gubernamental y la creciente amenaza de ciberataques. El Convenio de Budapest es un instrumento que incluye estándares internacionales mínimos y normativa de derecho internacional relacionada con el tema de ciberseguridad.   

Sin ley de ciberdelitos

Guatemala está pendiente de aceptar y ratificar dicho convenio internacional, por no tener —todavía— una legislación homologada con los requisitos que le dan vida a ese instrumento. En la actualidad existe una iniciativa pendiente de dictamen en el Congreso, que es la 6347.

LECTURAS RELACIONADAS

Piden que ley de ciberseguridad respete el libre pensamiento al regular delitos y sanciones

Buscan aprobar ley de ciberseguridad antes de que termine el año 

Adoptar una base legal, ampliamente aceptada internacionalmente como lo es el Convenio de Budapest, permite a los países avanzar más rápidamente en materia penal contra la ciberdelincuencia. “No aprovechar estos avances realizados por la comunidad internacional sería equivalente a “reinventar la rueda” en términos de legislación en ciberseguridad”, comenta Luis Cabrera, miembro de la Comunidad Bancaria de Ciberseguridad (BanCert).

De la aprobación de una ley como la contenida en la 6347 se desprendería,

además de la regulación, la creación de juzgados especializados en ciberdelitos. Sin estos, el Ministerio Público no puede presentarlos con esa figura y los jueces se ven en la tarea de tipificar los actos ilícitos en figuras que ya existen en la legislación común.  

“Lo que hace Budapest, es tratar de que todos hablemos un mismo lenguaje a nivel internacional y que la figura del ciberdelito en el país donde ha ocurrido el incidente pueda ser homogenizada. Por eso, la regla general es que las penas tienen que ser similares”, indica Luis Morales, asesor de la Comisión de Asuntos de Seguridad del Congreso de la República.

Agrega que ser parte del convenio abriría las puertas al mundo con los países que ya están adheridos, considerando que este tipo de hechos ilícitos evolucionan constantemente y que los países, por sí solos, tardan más en desarrollar una aplicación que en ver cómo lo vulneran.  

Para proteger esa infraestructura crítica del país, se hace precisa la ley de ciberseguridad, iniciativa que se analiza en el Congreso de la República, la cual incluye la parte del ciberdelito y ciberdefensa. Pero hace falta trabajar en la iniciativa sobre infraestructura crítica específicamente, así como en la de protección de datos. Esta última en fase de trabajo por parte del diputado ponente, José Pablo Mendoza, de la bancada Compromiso, renovación y orden (Creo).

¿Se puede prorrogar?

Sin embargo, para Edie Cux, titular de la Comisión presidencial de Gobierno Abierto y Electrónico (GAE) “no hay ningún tipo de restricción por parte del país, es algo que se ha hablado con el Ministerio de Relaciones Exteriores en que se pueda solicitar una prórroga sobre la invitación. En otras palabras, no hay que correr con la aprobación de una ley. Lo que sí hay que hacer es, si se va a normativizar, tienen que hacerse las consultas, consensuarse entre todos los organismos del Estado, incluso la banca que está más avanzada en ese tema y que efectivamente se vaya cumpliendo con los estándares para poderlo conversar”.

Si bien se puede esperar, e incluso hacer alianzas con otros instrumentos internacionales para la adopción de mejores prácticas y estándares en la ciberseguridad, Jorge Alfaro miembro de Bancert, considera que por medio del Convenio de Budapest “es más directo”, pues puede ayudar a las instituciones a fortalecer y proteger sus sistemas con información sensible de clientes o ciudadanos por medio de la confiabilidad, integridad y disponibilidad de estos.

El Minex confirmó que, “según el procedimiento general del Consejo de Europa, el propósito del período de validez de la invitación a la adhesión es que el Estado interesado tome las medidas necesarias para asegurar que su legislación nacional le permitirá la aplicación del Convenio”. 

Añade que: “lo procedente será que, con base en los avances en las medidas que Guatemala vaya logrando para asegurar el cumplimiento de las obligaciones a ser asumidas al hacerse parte del Convenio de Budapest, se lleve a cabo el cabildeo necesario para gestionar una nueva invitación a Guatemala”.

Alfaro expone que la necesidad de implementación de nuevas normativas y la mejora de infraestructura podrían movilizar inversiones tanto del sector público como privado, fomentando el desarrollo de la industria local de ciberseguridad. “La adhesión puede estimular programas de educación y concienciación sobre ciberseguridad, tanto en el ámbito corporativo como en la ciudadanía, contribuyendo así a una cultura de seguridad más robusta”, complementa.

“Es fundamental que las instituciones gubernamentales privadas y académicas trabajen en conjunto para garantizar que la implementación del convenio sea efectiva y alineada con las necesidades del país. De esa forma, garantizar que las políticas implementadas no comprometan los derechos y libertades de la sociedad civil y los consumidores”, agrega German López, quien también integra la mesa de Bancert.

Próximos pasos

Desde el punto de vista penal, dice Cux, el Congreso de la República tendría que hacer la ponderación de la iniciativa con base en el Convenio de Budapest. La discusión de esa ponderación no es mínima: primero, hay que definir cuáles son los medios rectores, cuáles van a ser las penas, cuál es el bien jurídico tutelado o la afectación; si afecta a una base de datos o a un conjunto de personas. “Eso ayudaría a definir cuáles son delitos cibernéticos en Guatemala. Y es algo que debería de estar contemplado en la ley que se está proponiendo para evitar ajustes o reformas posteriores”, apunta el comisionado.

Por lo mismo, a su criterio, hay que ampliar más la conversación, hay expertos que pueden apoyar a crear una ley más fortalecida, consensuada y legitimada, lo cual es lo más correcto que se puede hacer. Incluso, dice, hace falta hacer un análisis de estándares comparados para viabilizar que la ley vaya coherente.

En ese aspecto, es necesario homologar la ley con los requisitos de la Convención de Budapest, pues una cosa es hacer la ley y otra, sí esta coincide o no con el contenido de dicho convenio, indica Secil de León, catedrático universitario y analista internacional.

Como decisión de país, en este caso, del Ejecutivo, el presidente por medio del Ministerio de Relaciones Exteriores tendría que solicitar el ingreso para ser parte de la convención. Una decisión que después, lo tiene que ratificar el Congreso. Ese es el procedimiento, “Hacer la ley no significa que automáticamente vamos a entrar a una convención ni solicitar ser parte de. Ese es otro trámite adicional”, subraya el jurista.

Al contar con la ley, se supone que Guatemala ya tendría avanzado un paso que es la homologación de los dos cuerpos legales. La convención tiene definiciones, conceptos y delitos que están tipificados y desarrollados. “En nuestra propuesta de ley tenemos que adherirnos a las definiciones, a los delitos, homologarlos. Si no coinciden, se tienen que hacer las reformas para que sea coherente con la convención internacional. Es algo que tiene que ir en la ley, no en el reglamento porque éste es sólo operativo”, advierte.

También hace la observación de que la ciberseguridad y la ciberdefensa son dos ámbitos distintos. En ese sentido, el Ejército ya creó un comando de Defensa en ciberseguridad. Lo que no se sabe es si en la iniciativa, se denomina al Ministerio de Gobernación como el ente responsable, pues según la Constitución Política de la República, Artículo 244, la seguridad y la defensa son temas del Ejército. Pero la firma de los Acuerdo de Paz lo dividió y al Ejército sólo le corresponde la defensa, mientras que la ciberseguridad, sería una responsabilidad de gobernación, del poder civil, detalla.

“Habría que ver, cómo están haciendo eso en la iniciativa de ley, porque en el mundo la ciberseguridad es un ámbito y la defensa es otro. Sólo en Guatemala, constitucionalmente el ejército cumple las dos funciones. Algo que, en los Acuerdos de Paz, están divididos”, apunta De León.

Enfatiza en la necesidad de crear una entidad rectora estatal, para que sea la que represente a Guatemala en el tema de la ciberseguridad frente a la convención internacional. “Algo que, en ocasión de la ley, es oportuno hacer, si se toma en cuenta que, ser parte de; la cooperación internacional viene a ser una vía para que países como los nuestros, tengan acceso a ese tipo de beneficios”.

Según Cabrera, adherirse al Convenio de Budapest es un paso necesario porque no hacerlo oportunamente, “deja vulnerables a los ciudadanos ante ciberataques, sin poder contar con las mejores prácticas jurídicas en esa materia”. De igual manera, añade, la población se quedaría sin los mecanismos de intercambio de información y herramientas de ciberdefensa y ciber resiliencia, comprometiendo la soberanía de nuestro ciberespacio.

¿Qué es el convenio de Budapest y cómo adherirse?

El convenio de Budapest es un esfuerzo colaborativo que implica el intercambio de información, experiencia y tecnología entre los países firmantes. Uno de estos mecanismos de intercambio es la red 24/7, en la cual cada país designa un punto de contacto localizable las 24 horas del día los siete días a la semana, con el fin de garantizar una asistencia inmediata para investigaciones sobre ciberdelitos, asesoramiento técnico, obtención de pruebas, suministro de información jurídica, entre otras ventajas, indica Cabrera de Bancert.

A la fecha más de 66 países se han adherido al convenio, entre ellos, varios de la región Latinoamericana como Costa Rica, Panamá, Argentina, Chile, Colombia y Paraguay. Hay otros invitados a hacerlo como en el caso de Guatemala, cuyo plazo para que lo haga, se vence en abril próximo.

Consultada la Dirección General de Asuntos Jurídicos, Tratados Internacionales y Traducciones del Ministerio de Relaciones Exteriores, indicó que el Convenio sobre la Ciberdelincuencia es un tratado del Consejo de Europa al que Guatemala solo puede acceder mediante adhesión, a través de una invitación del Comité de Ministros del Consejo de Europa, con el consentimiento unánime de los Estados Parte (Art. 37.1 del Convenio).

“El Ministerio de Relaciones Exteriores gestionó oportunamente ante la Unión Europea la invitación del Comité de Ministros del Consejo de Europa para la adhesión de Guatemala al Convenio.  La decisión fue adoptada por el Comité el 22 de abril de 2020 y la invitación es válida por cinco (5) años a partir de entonces, hasta el 21 de abril de 2025” defiende la institución.

Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea.

Piden que ley de ciberseguridad respete el libre pensamiento al regular delitos y sanciones

Sectores de sociedad civil y expertos reconocen necesidad de normar ciberdelincuencia sin que proceso implique vulnerar libertad de expresión.

Enrique Canahui

15 de octubre de 2024

|

06:00h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

La Comisión que analiza la ley también contempló crear la unidad de policía especializada en delitos electrónicos. (Foto Prensa Libre: Hemeroteca)

La nueva iniciativa de ley sobre ciberseguridad para perseguir delitos como las estafas en línea, la suplantación de identidad o el fraude electrónico debe evitar vulnerar la libre expresión, según especialistas del sector privado y de la sociedad civil.

Las consultas a los expertos se dan en el contexto de el más reciente intento de promulgar una ley similar que terminó siendo archivada por el Congreso el pasado 1 de septiembre de 2022. En esa oportunidad, se archivó el Decreto Número 39-2022, que contenía la “Ley de Prevención y Protección contra la Ciberdelincuencia. La ley creaba figuras delictivas y adecuaba normas penales frente a delitos cibernéticos, pero recibió varias objeciones de diversos sectores por considerar que vulneraba la libertad de expresión y podría callar críticas contra funcionarios y políticos.

“Es la quinta vez que se intenta crear esta ley. Es un tema que tiene que ir de la mano con otras leyes adicionales como el ciberdelito, la de privacidad de los datos y la tipificación de los delitos”; indica Jorge Utrera, analista forense digital e investigador asesor de Sistemas Aplicativos (Sisap).

“Es importante aclarar que la iniciativa 6347, en discusión, no está en contra de la libre emisión del pensamiento. En ninguno de sus artículos se refiere a prohibición alguna en este aspecto. Lo que hace es perseguir delitos específicos, como una estafa por medio de herramientas digitales. Cuidamos mucho las palabras que contiene porque una mala interpretación puede botar su aprobación como sucedió en el 2022, al ser tergiversada la ley”, expone el diputado presidente de la Comisión de Asuntos de Seguridad Nacional del Congreso de la República, Jorge Mario Villagrán Álvarez.

Manfredo Marroquín, de Acción Ciudadana –que es el capítulo de Transparencia Internacional en Guatemala– recomienda una coordinación “muy efectiva” para que la ley no quede en letra muerta por la urgencia de aprobarla. “Ya tenemos la experiencia anterior, de esos “mamarrachos” que responden a intereses políticos y no a un interés nacional. Esa es una buena lección de lo que no se debe hacer”, recuerda.

LECTURAS RELACIONADAS

Gobierno carece de personal especializado para enfrentar ataques cibernéticos

La ley que facilitaría perseguir a estafadores en línea en Guatemala

Insumos para el accionar legal

Esta propuesta, dice Villagrán, contiene delitos específicos en temas de ciberseguridad que incluyen sanciones penales como económicas. Eso implica dotar de las herramientas legales necesarias, tanto al Ministerio Público (MP) como al Organismo Judicial (OJ) para que procedan automáticamente con las denuncias en materia de ciberdelitos que lleguen a sus manos.

Al convertirse en ley, se contempla la provisión de insumos a esos organismos para la creación de fiscalías como juzgados especializados que van a requerir personal capacitado previamente. En este caso, son las instituciones las que deciden, de acuerdo con su normativa interna, si pueden o no, hacerlo antes de que la ley exista y lo exija, comenta Luis Morales, asesor de la Comisión de Asuntos de Seguridad Nacional, quien sigue de cerca el proceso de ciberdefensa que se incluye en la iniciativa 6347. “En la iniciativa se consideran penas altas pues se busca que la normativa impulse un disuasivo para que la gente evite incurrir en este tipo de delitos”, agrega el asesor de la Comisión.

Consultada la Fiscalía contra Delitos Transnacionales del Ministerio Público, indica que los delitos que propone la ley hacen la diferencia entre los que ya existen y los enfocados en temas de ciberseguridad. Los nuevos tipos penales que contiene la iniciativa 6347, se basan en la convención de Budapest. Son los mismos tipos penales que se han conocido en por lo menos cinco iniciativas, incluyendo la actual en discusión.

La Fiscalía aclara que el marco de actuación del MP es constitucional, el cual está sometido a “controles de convencionalidad”. Por consiguiente, la presente iniciativa “no le puede otorgar herramientas de actuación que vulneren esos principios”.

Actualmente, prosigue la fiscalía, “al no existir un marco normativo que regule la comisión de ilícitos penales especiales para estos casos de supuestas estafas menores, la sociedad y los jueces los analizan como delitos menores graves, obligando, en cierto momento a, agotar procedimientos conciliatorios o etapas administrativas previas a poder deducir de primera mano, una responsabilidad penal, limitando al MP, el accionar con efectividad y eficacia, ya no digamos, para poder requerir información a otros países, cuando la persecución delictiva es de índole internacional. De ahí que, aún, existiendo la posible comisión de un delito que no está tipificado en la legislación, sea necesario contar con ese marco jurídico, para deducir responsabilidad penal a aquellas personas que se aprovechan de las TICs, para llevar a cabos hechos delictivos de esa índole”.

Policía especializada

Villagrán explica que, de acuerdo con la propuesta de ley, el procedimiento de investigación se divide en dos. Primero, tiene que haber una denuncia ante la Policía Nacional Civil (PNC) o el MP. El ente perseguidor debe determinar si únicamente ocurrió a nivel nacional y tiene que seguir su curso como tal, con investigación, sanciones, multas y todo lo que debe proceder.

Si tiene alcance internacional, con impacto económico, en el curso de investigación se involucra al Centro de Respuesta a Incidentes de Seguridad Informática de Guatemala (CSIRT); que es un equipo de expertos en seguridad de las tecnologías de información y comunicación encargado de prestar el apoyo necesario a entidades públicas y privadas para recuperar los sistemas. Mientras la investigación por parte del MP sigue su curso.
Obviamente, aquí se involucran más instituciones en coordinación con la cooperación internacional para dar con las personas detrás de ese delito. Para estas acciones es oportuna, entre otras ventajas, las alianzas y convenios internacionales.

Es por eso que, aprovechando la reforma de la Ley de la PNC, que está en tercera lectura en el Legislativo, la Comisión contempló crear la unidad de policía especializada dentro de la ley de ciberseguridad, indica el diputado presidente de la Comisión de Asuntos de Seguridad Nacional.

A lo anterior, el analista forense digital e investigador asesor de Sisap, comenta que.
“es una forma rápida de contar con un equipo de respuesta a incidentes solicitada por la ley. Cada institución debe tener una organización de departamentos con personal que reúna esas calidades y competencias”.

Los delitos por perseguir tipificados en la ley son acceso ilícito, interpretación ilícita, ataque a la integridad de datos informáticos, ataque a la integridad de los sistemas informáticos, falsificación informática, apropiación de identidad ajena, abuso, acceso no autorizado a dispositivos, fraude informático como tal y faltas a la obligación de propiedad intelectual mediante uso de tecnologías de información o, medios tecnológicos, así como el tema de pornografía infantil, asegura Villagrán.

LECTURAS RELACIONADAS

“El país requiere capacidades para la investigación criminal de ciberdelitos”

Buscan aprobar ley de ciberseguridad antes de que termine el año 

Respaldo de información digital

De acuerdo con el procurador de Derechos Humanos José Alejandro Córdova, en el reglamento debe asegurarse de que las obligaciones impuestas a las empresas no afecten su operación diaria, como garantizar que no se implementen medidas que expongan a las empresas a vulnerabilidades adicionales o impongan cargas desproporcionadas.

Al respecto, la Fiscalía contra Delitos Transnacionales, subraya que proteger a los ciudadanos y su información, así como contrarrestar la actividad delictiva cometida por las organizaciones criminales, es el mandato legal que tiene el MP, el cual, por medio de esa fiscalía, ya ha abordado este tipo de crímenes informáticos, respetando, como siempre, el derecho a la privacidad y dignidad de las personas. De igual manera, que toda diligencia se hace con autorización judicial.

En ese contexto, de acuerdo con el presidente de la Comisión de Asuntos de Seguridad Nacional, uno de los cambios a la iniciativa 6347 tiene que ver con el artículo 22, que inicialmente daba potestad al MP de capturar los equipos en un caso delictivo, fuera en el ámbito público o privado. Si esto ocurriera, se podría interrumpir el curso de la productividad económica principalmente. En lugar de dicha captura, el procedimiento es realizar respaldos de los servidores o de los equipos que sea necesario. Con esa información de respaldo, las operaciones no se interrumpen.

Ese es un tema que fue analizado en la Comisión con especialistas de la Comunidad Bancaria de Ciberseguridad (Bancert) quienes plantearon la opción, pues se corría el riesgo de interrumpir la actividad económica del país a raíz de un proceso de investigación.

Para Marroquín, en el futuro inmediato van a haber más amenazas que pueden afectar la seguridad tanto de datos públicos como privados y Guatemala tiene que estar preparada para eso. “Debe haber un cuerpo legal que incluya a todas estas amenazas, pero también la creación de una institución que pueda rendir cuentas de cómo va la implementación de esta ley. Tiene que contar con presupuesto propio. No pueden asignarles tareas a todos los ministerios en esta área sin dotarlos de presupuesto y esa, es una parte que no tenemos claro cómo van a quedar plasmados en la ley”, subraya.

Protección ciudadana

En materia de investigación y persecución de ciberdelitos, la PDH recomienda un enfoque equilibrado que permita al MP combatir el cibercrimen sin vulnerar los derechos fundamentales. Cita en este caso, la importancia de garantías procesales que protejan tanto a los usuarios como a las empresas en el tema digital.

Por ejemplo, se debe contar con orden judicial para la recolección de datos y la obtención de evidencia, que garantice el derecho de privacidad. Además de aplicarse el principio de proporcionalidad para evitar que se convierta en una herramienta de vigilancia masiva, expone Córdova.

Por consiguiente, en opinión del PDH, “la inclusión de la sociedad civil en el proceso legislativo de una ley trascendental como ciberseguridad y cibercrimen es un derecho de participación pública y acceso a la información”.

Villagrán defiende que desde la Comisión se han hecho las consultas con profesionales del sector público –en el Ministerio de la Defensa Nacional, de Gobernación, el MP, y el OJ– así como del sector financiero, donde “la mayoría de los consultados son profesionales expertos certificados en la materia”.

La inclusión de la sociedad civil en el proceso legislativo de una ley trascendental como ciberseguridad y cibercrimen es un derecho de participación pública y acceso a la información, en la opinión de Córdova Herrera.

Para la Comisión, si bien puede haber personas individuales o entidades interesadas en conocer tanto el contenido de la ley como el proceso que se siguen para su pronta aprobación, como ciudadanos, estos se tienen que involucrar. “Cuando no se involucran, sucede que toman acciones sin conocimiento pleno. Si como ciudadano me interesan ciertas leyes, en la página del Congreso hay acceso a todas las iniciativas de ley. La Comisión está abierta a recibir todas las sugerencias y someterlas al análisis con las mesas de trabajo que tenemos con asesores de las bancadas representadas”, apunta Villagrán.

Lo importante al final de todo este proceso, es que la ciudadanía pueda estar de alguna manera protegida de robo de identidad, de una cuenta bancaria, de información personal. Que en todo caso se provea a las entidades del Estado de las herramientas suficientes para perseguir a las bandas de cibercriminales. “Hoy estamos desprotegidos totalmente, por lo que tiene que haber una ley fuerte en la defensa y en el ataque”, concluye Marroquín.

Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea. 

Buscan aprobar ley de ciberseguridad antes de que termine el año 

Pese a ajustada agenda del Congreso, diputados ponentes y de la Comisión de Asuntos de Seguridad Nacional ven posibilidades de que la iniciativa se discuta y vote a finales de este año o inicios del otro, dados los plazos que establece el convenio de Budapest, clave para la cooperación en el tema.

Ximena Fernández

2 de octubre de 2024

|

05:00h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

La agenda del Congreso se encuentra cargada en lo que queda de sesiones ordinarias, con elección de cortes, de junta directiva y discusión de presupuesto. (Foto Prensa Libre: Emilio Chang)

Pese a que no se ha asignado presupuesto específico para ciberseguridad en el ejercicio fiscal de 2025, diputados ven posibilidades de que se discuta este año la iniciativa 6347, sobre el mismo tema. Guatemala no cuenta en la actualidad con una regulación especializada para perseguir la ciberdelincuencia.

Jorge Mario Villagrán, presidente de la Comisión de Asuntos de Seguridad Nacional, que tiene a cargo la iniciativa, puntualizó que se han realizado estudios a la misma para contar con una base sólida y dictaminarla, por lo que ve “posible” que se logre aprobar antes de que se termine el presente año. 

Manfredo Marroquín, de la organización fiscalizadora de transparencia Acción Ciudadana, aseveró que la ley ha sido motivo de discusión pero “no tanto como se debería, debido a temas como la elección de cortes, la aprobación del presupuesto y la negociación de la nueva junta directiva del Congreso”. Antes de aprobarla, cree que es importante el análisis de la ley con diferentes actores expertos en el tema.

Según Marroquín, Guatemala se encuentra desprotegida dentro del ciberespacio, por lo que una conversación al respecto es importante en el tanto se respeten tanto la libertad de expresión como el acceso a información pública. “Es necesario realizar más conversaciones sobre el tema antes de emitir una decisión ante el pleno” insiste.

LECTURAS RELACIONADAS

La ley que facilitaría perseguir a estafadores en línea en Guatemala

Gobierno carece de personal especializado para enfrentar ataques cibernéticos

Excluidos de foros internacionales  

Cristian Álvarez, diputado de la bancada Creo y ponente de la iniciativa, argumenta que se procura crear una ley de protección de datos y catalogar las delincuencias realizadas a través del mundo cibernético como un delito en Guatemala, como el robo de identidad y de información personal en redes sociales. Añade que se espera compartir información de ciberataques hacia el estado, para que, a partir de un centro estatal, se tenga más seguridad al divulgar la manera en la que los delincuentes operan. 

No obstante, mientras que la ley no se apruebe, Guatemala no podrá formar parte de foros a nivel mundial que especifican la necesidad de contar con este tipo de regulaciones. Tal es el caso del convenio de Budapest, mencionó José Pablo Mendoza, diputado de Creo y ponente de la ley. Explica que ese acuerdo internacional dio un plazo hasta el 2025 para que el país pueda integrarse. Este foro trata sobre la ciberdelincuencia y, según Álvarez, es necesario incluir a Guatemala para no perder el conocimiento que tienen otros países con más experiencia en el tema. 

“Guatemala no es un país que sea ejemplo de vanguardia tecnológica”, expresó Marroquín, quien argumentó que a partir de esto, es necesario aprender sobre países más actualizados en este tipo de temas. A pesar de sus reservas en los puntos de discusión, Marroquín expresó que la ley debería ser categorizada como de “urgencia nacional” para poder hacer la aprobación lo antes posible. Mendoza indica que se ha trabajado el tema desde el 25 de septiembre en la comisión designada, por lo que, explicó, la ley debería aprobarse este año o a inicios del siguiente.

Villagrán aseguró que, desde la comisión, están analizando a profundidad la ley para no perder los alcances que esta puede llegar a tener. “El convenio de Budapest es un mecanismo que nos permitirá pertenecer a una red de apoyo de organizaciones expertas en ciberseguridad a nivel mundial”, indica el presidente de la comisión, quien también dijo que una ley alineada con las normas internacionales podría mejorar la integración de empresas extranjeras y abriría nuevos mercados para Guatemala. 

Inversión extranjera 

Además del riesgo de no ingresar a este tipo de foros, Guatemala también puede perder oportunidades a nivel de inversión, debido a la falta de seguridad, precisó Álvarez. Villagrán expresó que una ley de ciberseguridad podría mejorar significativamente la atracción de inversión extranjera, puesto que, según el jefe de la comisión, las empresas suelen evitar a los países propensos a los cibercrímenes.

Según Villagrán, un marco legal en ciberseguridad ayudaría a garantizar a las empresas que, tanto sus datos como operaciones se encuentran resguardados de ciberataques. Esto mejoraría la confianza y seguridad para los inversores, quienes verían una reducción de los riesgos asociados a invertir en el país. La ley de Ciberseguridad, argumentó Villagrán, también ayudaría a proteger la propiedad intelectual de las empresas extranjeras, lo cual es un punto importante para empresas tecnológicas, manufactura y sectores de investigación y desarrollo. 

La economía, de manera digital contaría con un entorno seguro y confiable, siguió Villagran, quien aseguró que el crecimiento de las fintech y el comercio tecnológico puede generar confianza en el entorno digital, atrayendo, a su vez, a inversores de estos sectores. Villagrán concluyó que una ley de ciberseguridad podría reducir los ataques a infraestructuras críticas, lo cual representaría menores costos a las empresas.

Marroquín argumentó que para el desarrollo de esta ley se necesitan recursos, los cuales, aún no han sido definidos, según Mendoza. “Si no hablamos de recursos, estamos hablando de letra muerta”, expresó Marroquín, quien mencionó que dentro del nuevo proyecto de presupuesto para 2025, debería haber una sección para financiar esta nueva ley. “No obstante, por el momento, no hay ninguna” señaló.

Amenazas y denuncias

Según el Observatorio Guatemalteco de Delitos Informáticos (OGDI), se registraron, hasta julio del 2024, 583 alertas de crímenes cometidos a través del campo cibernético. Durante el primer semestre de este año, el OGDI, resaltó que, de 583 alertas de ciberdelincuencia, 117 eran denuncias por ciberestafa. Asimismo, el OGDI registró el robo de identidad, las ciberamenazas y voces clonadas por la Inteligencia Artificial como principales delitos en el país. 

Álvarez asegura que la ley de ciberseguridad es esencial, tomando en cuenta que entidades de gobierno han sido víctimas de ciberdelitos. El jefe de bancada afirmó que el Mineduc es una de las entidades que presenciaron un ciberdelito, exponiendo los datos de los maestros que buscaban su jubilación y que se encuentran en suspensión de pagos. De igual manera, el diputado de Creo expresó que, con la ley de simplificación de trámites, es importante resguardar los datos de los ciudadanos que ahora estarán en plataformas virtuales. 

Gobierno carece de personal especializado para enfrentar ataques cibernéticos

En un escenario en que se apruebe la ley contra la ciberdelincuencia en Guatemala, el reglamento debe definir presupuesto para infraestructura y recurso humano especializado.

Enrique Canahui

1 de octubre de 2024

|

06:00h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

Algunos de los perfiles que pueda requerir el sector público pueden ser analistas de seguridad y ciberseguridad, analistas de programas malignos (malwares) y analistas forenses. (Foto Prensa Libre: Freepik)

A pesar de que entidades públicas han sido blanco del cibercrimen, en Guatemala no existe una obligación de tener un equipo de respuesta ante posibles ataques cibernéticos, lo que puede dejar expuestos datos sensibles para instituciones y para la población y, en un escenario extremo, hasta efectos en los servicios básicos.

El ataque más reciente fue al Ministerio de Educación en abril pasado. De igual manera ocurrieron incidentes contra el Ministerio de Finanzas Públicas –en diciembre 2023–, el Ministerio de Relaciones Exteriores –en octubre 2022– y la Superintendencia de Administración Tributaria –en 2021–.

Además del gobierno, el 40% de los ataques cibernéticos en 2023 fueron hacia empresas privadas que, también han sido blanco de ciberataques, según el Observatorio Guatemalteco de Delitos Informáticos (OGDI). Se estima que, en Guatemala, las organizaciones son atacadas en un promedio de 2 mil 419 veces por semana, una cifra que supera la media de 1 mil 581 ataques por organización en las Américas. La industria más impactada en el país es la banca, seguida por el sector educativo y el gobierno”, indica Eli Faskha, gerente general de Soluciones Seguras (SS).

Agrega que el programa maligno más común es Phorpiex. La lista incluye cuatro botnets, un troyano (Vidar) y un descargador (FakeUpdates). El incidente de ciberseguridad más recurrente es la divulgación de información, que afecta al 82% de las organizaciones.

LECTURAS RELACIONADAS

La ley que facilitaría perseguir a estafadores en línea en Guatemala

“No permita que lo estafen”: la alianza para combatir el fraude electrónico en Guatemala 

Sin presupuesto asignado

Al no estar en vigencia una ley específica sobre ciberseguridad, no existe un presupuesto para que los entes gubernamentales lo destinen a luchar contra la ciberdelincuencia, por consiguiente, tampoco se puede determinar de cuánto se necesita invertir. Dicho presupuesto puede ser utilizado para la capacidad en cuanto a recursos humanos, obtener conocimiento, asesorías de madurez y soluciones para apoyar en monitorear y detectar patrones en el tema.

Existe consenso en que el reglamento de la ley, que es posterior a la aprobación, debe contemplar un análisis de brechas para identificar la situación actual de cómo se encuentra cada institución, tomando en cuenta regulaciones nacionales e internacionales.

En la Comisión de Asuntos de Seguridad Nacional del Congreso de la República, desde febrero pasado, se discute la iniciativa 6347, Ley de Ciberseguridad, que busca tipificar y sancionar penalmente las estafas electrónicas. Si se logra dictaminar, votar y aprobar, lo siguiente sería un reglamento que instrumentalice estos puntos relacionados con presupuesto y recursos humanos dentro de las instituciones gubernamentales.

De acuerdo con los especialistas consultados por Prensa Libre, cada entidad debe contar, al menos, con un equipo de respuesta a incidentes. A partir de ahí, iniciativas de ley como la 6347 proponen contar con un oficial de seguridad de la información (CISO), un departamento de gestión de riesgos, uno de operaciones de seguridad y uno de capacitaciones.

Algunos de los perfiles de especialistas para estos departamentos pueden ser analistas de seguridad y ciberseguridad, de inteligencia de amenazas especializados en investigación de programas malignos (malwares) y análisis forense, entre otras, expone Jorge Utrera, analista e investigador de la firma Sisap. Además, de que “en la ley debe indicarse quién debe ser el responsable de hacer ese análisis, en el reglamento se debe especificar cómo hacer la revisión”, subraya Utrera.

Estuardo Alegría, especialista en ciberseguridad y responsable de servicios profesionales a nivel regional de la misma firma Sisap, recuerda que, una vez publicada la ley, debe existir un tiempo transitorio para definir quién determina cuál es la infraestructura crítica del país y a quiénes aplica dicha normativa. “Es un período en que, de acuerdo con la experiencia de otros países, lleva de uno a tres años, dependiendo de la cantidad de entes regulados para desarrollar esa estrategia y un plan de acción”, explica el experto.

Dependiendo del nivel de madurez –que se refiere a la medición de experiencia o esfuerzos que ha hecho una organización en términos de ciberseguridad–, se puede determinar si una entidad es más o menos vulnerable a las amenazas de los cibercriminales. Es una referencia que debe consignarse en la ley, dice José Amado, responsable de la práctica de identidades digitales de la misma empresa.

Por dónde empezar

El plan para crear una estructura de ciberseguridad efectiva dentro de cada ministerio puede incluir la protección perimetral, antivirus, cifrado de datos y gestión de incidentes.

Esta estructura puede variar con relación a los sistemas que cada institución utilice y el tipo de información que procese. Según German López, oficial de la Comunidad Bancaria de Ciberseguridad (Bancert), de la Asociación Bancaria de Guatemala (ABG), se puede comenzar por los firewalls, la protección de los escritorios, los antivirus y el antiransomware (un software que previene que los ciberdelincuentes cifren los archivos de un usuario y lo extorsionen para recuperarlos), protección acceso con identidad y del correo electrónico como la presencia de web pública.

Estas estructuras deben ser acompañadas por personal que se dedique a una autoevaluación de seguridad. De ahí, lo esencial es contar con personal dedicado y experto para atender temas de ciberseguridad en redes, sistemas operativos, programación, bases de datos y herramientas de protección entre otros. Además, hay que considerar que estas especializaciones se pueden tener para servicios en centros de cómputo propio o en la nube, expone López.

Agrega que, en el caso del Organismo Judicial, es importante contar con capacitación en análisis forense digital y especialización en cibercrimen, incluyendo el tratamiento de evidencia, garantizando la cadena de custodia que se refiere a todos los cuidados que se deben tener con la evidencia: cómo debe ser levantada, quién lo hace y cómo la abordan.

Limitaciones regulatorias

Una limitante con la legislación actual es que, el anteproyecto del Presupuesto General de Gastos y Egresos de la Nación 2025-2026 –en fase de discusión–, solo incluye recursos para instituciones vinculantes con el tema, como la Secretaría Nacional de Ciencia y Tecnología a la que se le asignan Q34.9 millones; para Gobierno Abierto y Electrónico, Q135.1 millones; y para el Fondo de Innovación Tecnológica y Servicios Financieros a la Micro, Pequeña y Mediana Empresa a cargo de Ministerio de Economía, Q348.6 millones.

De acuerdo con la Dirección de Comunicación Social del Ministerio de Finanzas, cada entidad de gobierno cuenta entre sus dependencias con un presupuesto para Tecnologías de la Información que cada unidad ejecutora destina según sus necesidades informáticas.
Los renglones de gastos 186 y 328 que se denominan “servicios de informática y servicios computarizados”, así como de “equipo de cómputo”, es donde debe quedar registrado todo lo que las dependencias del Estado gastan en licencias y todo tipo de software y hardware respectivamente. Ahora “de todos los recursos que hay en esos renglones, cuánto destinan para temas de ciberseguridad, solo lo sabe cada entidad compradora”, explica Erick Coyoy, consultor de la Asociación de Investigación y Estudios Sociales (Asies) y exviceministro de la cartera de Finanzas Públicas.

Para llegar a una madurez de ciberseguridad, la perspectiva gubernamental va desde la educación, la inclusión digital y la conectividad. “Generada esta conciencia, vienen los instrumentos de regulación, de ordenamiento que son básicamente las políticas de gobierno que se están implementando y para ese camino estamos apuntando”, sugiere Edie Cux, comisionado presidencial de Gobierno Abierto y Electrónico (GAE).

Los entrevistados coinciden en que sin ley o no, todas las instituciones deben preocuparse por sus inversiones en ciberseguridad y por tener un programa de seguridad de la información que garantice los tres pilares importantes, como lo son confidencialidad, integridad y disponibilidad de la información, la cual se pueda proteger con los recursos que se destinan a este fin.

Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea. 

La ley que facilitaría perseguir a estafadores en línea en Guatemala

Pese a la necesidad de una regulación de ciberdelincuencia en Guatemala, expertos demandan a diputados una discusión abierta con los sectores y garantizar la protección de datos personales y empresariales.

Enrique Canahui

17 de septiembre de 2024

|

06:00h

Compartir en Facebook

Compartir en X

Compartir en LinkedIn

Compartir en Whatsapp

Copiar enlace

Guardar artículo

Las acciones criminales para obtener información confidencial o tomar control de los dispositivos o aplicaciones —ya sea WhatsApp, correo electrónico o una llamada telefónica— aumentaron un 400 % desde el año pasado.

Sea por abuso de confianza —cuando el fraude lo comete un familiar—, solicitar credenciales bajo información falsa por correo, llamadas o mensajería instantánea, o mediante engaños para capturar información de tarjetas de crédito, las modalidades de estafas electrónicas que afectan a los usuarios son cada vez más comunes.

El año pasado, un reporte de Inteligencia de Amenazas de Check Point Research, presentado en conjunto con Soluciones Seguras, alertaba que, en seis meses, en Guatemala se contabilizaron 6 mil 316 ataques: 2 mil 635 fueron a empresas y 3 mil 681 al Gobierno. El 92 % de dichos ataques cibernéticos ingresaron por correos electrónicos, en los cuales la víctima hizo clic en un enlace que contenía un programa maligno para secuestrar información.

Lo anterior es una alerta para que sectores, tanto privados como el mismo Gobierno, apremien la creación de una ley de ciberseguridad que mantenga el equilibrio de defensa institucional y, al mismo tiempo, proteja a los ciudadanos, indica Edie Cux, comisionado presidencial de Gobierno Abierto y Electrónico (GAE).

Según Cux, las acciones criminales para obtener información confidencial o tomar control de los dispositivos o aplicaciones —ya sea WhatsApp, correo electrónico o una llamada telefónica— aumentaron un 400 % desde el año pasado.

En la Comisión de Asuntos de Seguridad Nacional del Congreso de la República, desde febrero pasado, se discute la iniciativa 6347, Ley de Ciberseguridad. “Guatemala requiere una ley de cibercrimen que tipifique y sancione penalmente este tipo de acciones, además de una relacionada con la privacidad de los datos, para entonces hablar verdaderamente de ciberseguridad”, dice Cristian Álvarez, jefe de la bancada Compromiso, Renovación y Orden (Creo), quien, junto con su correligionario, el diputado José Mendoza, impulsa la referida propuesta de ley.

Poco respaldo legal

Hoy, si un guatemalteco busca presentar una denuncia por robo de datos financieros o de dinero por vías electrónicas, la ley solo le permite hacerlo por estafa menor.

“Primero es necesario contar con la regulación y la tipificación de los delitos para que puedan ser perseguidos y asignadas las sentencias. Esto se debe a que, en muchas ocasiones, el MP no puede actuar por falta de esa tipificación, y aunque se tenga fehacientemente a los responsables, no hay condena”, alerta German López, miembro de la Comunidad Bancaria de Ciberseguridad (Bancert).

Bancert es el grupo de oficiales de seguridad de la información (o CISO, por sus siglas en inglés, Chief Information Security Officer) de los bancos, perteneciente a la ABG (Asociación Bancaria de Guatemala).

“Al contar con una legislación, el MP podría iniciar investigaciones de los responsables de fraude electrónico y rastrear las redes. Esto serviría para advertir a los cibercriminales que se está actuando en su contra”, aclara el experto.

Desafío de la discusión

Tanto desde esa comisión legislativa como desde la Mesa de Transformación Digital, que está promoviendo la presidencia dentro del Comité de Modernización, se tiene claro que debe existir un equilibrio entre lo que puede ser ciberdefensa, ciberdelincuencia y el respeto a los derechos del usuario.

También se considera no interferir en la operación de empresas o instituciones durante una investigación para no afectar la economía. Se toma en cuenta que un ciberataque puede comprometer infraestructuras críticas, y que no se cuentan con suficientes recursos humanos y tecnológicos como país, comenta López.

“En esta propuesta de ley no se profundizan temas de privacidad de datos. De hecho, actualmente se están realizando mesas de trabajo para diferentes propuestas de ley; una de ellas es la de protección y privacidad de datos, que busca regular, además de los convenios internacionales relacionados con los derechos humanos, la privacidad de los datos e incluir los controles necesarios para protegerlos”, añade López.

Para Manfredo Marroquín, de Acción Ciudadana, todavía hay “muchos temas por discutir para que la ley a aprobar esté completa. Por ejemplo, la protección de datos personales y empresariales, ya que nada de esto está regulado”.

“Que el MP tome las evidencias es correcto, pero se debe considerar que las empresas tienen que seguir operando y no deberían verse afectadas por una investigación que implique el secuestro de dispositivos. Hay formas de hacer una investigación y un análisis forense de los sistemas sin necesidad de secuestrar equipo”, recomienda López. Para ello, añade, “el MP debe especializarse y contar con el apoyo de terceros que tengan las capacidades técnicas para hacer ese análisis forense”.

Marroquín opina que se deben utilizar legislaciones de otros países como referencia, que ya están vigentes y han recorrido un camino en la lucha contra la ciberdelincuencia.

Además de la regulación chilena, existen otros modelos como los de Colombia y España, países que tienen más tiempo tratando ciberdelitos y cuentan con personal capacitado en instancias gubernamentales. De igual manera, tienen una estrategia bien definida de ciberdefensa y ciberseguridad que sirve de marco para otros países o instituciones, agrega López.

No obstante, los avances en consultas y revisiones, a la fecha hace falta mayor divulgación sobre lo que se pretende dictaminar. Para Marroquín, se deben involucrar sectores académicos, tecnológicos, expertos, y el mismo sector privado, pues muchos aspectos de la ciberseguridad tienen que ver con los mercados, que cada vez más operan en plataformas tecnológicas.

Aspectos clave a fortalecer

Si la ley entra en vigor, instituciones como el Ministerio Público (MP) y el Organismo Judicial (OJ) deberán tomar acciones relacionadas con la demanda de justicia y preparar, respectivamente, a fiscales y jueces especializados en ciberseguridad y cibercrimen, apunta el diputado Álvarez.

Por ello, es importante que la iniciativa sea bien discutida para crear un instrumento sólido que sirva, en primer lugar, a Guatemala y, como segunda prioridad, permita la apertura a acuerdos y convenios internacionales de cooperación. Uno de ellos es el Convenio de Budapest, el primer tratado internacional sobre delitos cometidos a través de internet y otras redes informáticas, cuyo plazo para adherirse vence en abril próximo.

En caso de no lograrlo, existe la opción de adherirse a un mecanismo similar por parte de la Organización de las Naciones Unidas, que está en implementación.

Más allá de esto, la necesidad de contar con una ley de ciberseguridad y cibercrimen es urgente, ya que los donantes internacionales y los inversionistas extranjeros suelen vincular sus inversiones con la existencia de una Ley de Ciberseguridad que los proteja. Estas son algunas de las aristas que deben analizarse, explica David Osorio, director de la Comisión de Gobierno Abierto y Electrónico (GAE).

Quedaría pendiente legislar sobre la protección de datos, el comercio electrónico y la inteligencia artificial.

Carrera a contrarreloj

Para el diputado presidente de la comisión respectiva, la iniciativa 6347 cumple con todos los requisitos en materia de cooperación nacional e internacional, avalados por diferentes instancias, como el Ministerio de la Defensa, el Ministerio de Gobernación, el Ministerio Público (MP), jueces del Organismo Judicial (OJ) y la Comunidad Bancaria de Ciberseguridad (Bancert). Además, han tenido acercamientos con el Centro de Estudios de Defensa Hemisférica William J. Perry, de Estados Unidos.

Que la iniciativa sea aprobada pronto o no en el pleno dependerá de la agenda legislativa que acuerde la junta de jefes de bloque.

En el caso de un ataque a Guatemala, similar al que sufrió Costa Rica en 2022 contra su infraestructura crítica, que le costó US$250 millones, particularmente en el sector de salud, la cooperación con organismos internacionales, como el Convenio de Budapest, sería un alivio para enfrentar ese tipo de amenazas latentes. “Hay que recordar que, en un ciberataque de esas magnitudes, el tiempo es un factor clave”, advierte López, de Bancert.

Qué podría incluir la Ley de Ciberdelitos

Lo deseable en el contenido de la iniciativa de ley 6347 es la tipificación de delitos cibernéticos, como el acceso ilícito a sistemas informáticos, los ataques a la banca virtual, el robo de identidad y el fraude informático, así como la creación del Centro de Seguridad Interinstitucional de respuesta técnica ante incidentes informáticos.

También se plantea la implementación de un Comité Técnico en Ciberdefensa y Ciberseguridad, integrado por varias instituciones estatales, y la creación de la Red de Asistencia Mutua Contra Delitos Informáticos.

Además, se propone la asignación de responsables en temas de ciberseguridad dentro del gobierno, la obligación de los diferentes sectores públicos y privados de implementar medidas o controles para prevenir ciberataques, y la adopción de controles mínimos alineados a un estándar aceptable, como los del Instituto Nacional de Estándares y Tecnología (NIST), agencia del gobierno de Estados Unidos encargada de desarrollar y promover normas, medidas y tecnologías para mejorar la seguridad y la competitividad económica.

Asimismo, se prevén sanciones o penalizaciones inconmutables ante ciberdelitos, que sirvan realmente de ejemplo o precedente; la responsabilidad tanto del sector público como del privado en la educación y concientización en todos los niveles; la definición y protección de infraestructuras críticas; la creación del Computer Emergency Response Team (CERT), un equipo especializado en la prevención, detección y respuesta eficaz a los incidentes de seguridad del país, y la colaboración entre diferentes sectores.

Fuente: Bancert/ABG

Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea.