No permita que lo estafen

Guatemala enfrenta ciberataques cada vez más sofisticados sin un marco legal sólido

Sun, 22 Mar 2026 14:00:00 +0000

no permita que lo estafen

Guatemala enfrenta ciberataques cada vez más sofisticados sin un marco legal sólido

Estructuras criminales evolucionan hacia modelos digitales e híbridos, mientras los informes internacionales ubican al país entre los más expuestos de la región.

Ana Lucía González

22 de marzo de 2026

08:00h

Los ciberdelincuentes han aprendido a combinar el ransomware tradicional con la accesibilidad de los servicios en la nube. (Foto Prensa Libre: Freepik)

Un cliente en Guatemala recibió una llamada de su supuesto jefe, quien le pidió que realizara un pago urgente a una cuenta específica para cerrar un proyecto. El jefe afirmó que iba camino al aeropuerto y que no podía encargarse personalmente.

El cliente también recibió un correo electrónico de una cuenta comprometida, un mensaje de WhatsApp generado con inteligencia artificial y un mensaje de voz con la voz clonada del jefe. Todo coincidía y el cliente, sin percatarse de que nunca le habían avisado previamente, registró la cuenta y realizó el depósito. Posteriormente se supo que todo había sido creado con inteligencia artificial.

Este incidente llevó a la empresa a implementar nuevas políticas, como la doble validación para pagos y la preferencia por pagar multas antes que efectuar pagos urgentes, además de exigir un aviso previo de 48 horas para todos los pagos. El análisis forense reveló que hubo indicios previos de que alguien estaba revisando cuentas y conocía el comportamiento de los pagos, lo que sugiere que se trató de un ataque sofisticado.

El caso es real y lo narra Erick Sosa, director comercial de GBM y catedrático en tres universidades privadas del país, quien explica cómo ha evolucionado el riesgo de la inteligencia artificial y cómo deben prepararse las empresas.

El avance de la inteligencia artificial facilita ataques multicanal, al sincronizar correos electrónicos, mensajes de WhatsApp y mensajes de voz con información específica, lo que dificulta su detección. Esto complica las validaciones digitales, porque la inteligencia artificial puede clonar voces y videos, lo que hace los ataques más creíbles.

“Ahora los hackers, en lugar de atacar directamente a las empresas, lo hacen a través de las cadenas de suministro. Esto se logra identificando las relaciones de confianza y atacando a proveedores pequeños, para luego afectar a las empresas grandes”, explica Sosa.

Otra modalidad es lo que se conoce como “Shadow AI”, es decir, cuando los empleados utilizan herramientas de inteligencia artificial no aprobadas por la empresa, como ChatGPT, para tareas laborales. Sin embargo, al usar versiones gratuitas se entrega información privada de la empresa a los modelos de inteligencia artificial, que luego pueden ser entrenados con esa información.

“Esto puede ser explotado por la competencia o por atacantes. Un caso famoso fue el de Samsung, donde un programador subió código propietario a ChatGPT, lo que resultó en su despido y en la necesidad de cambiar el código”, relata.

En Guatemala los ataques cibernéticos son cada vez más sofisticados y, además, permanecen invisibilizados por la falta de denuncias formales. A este escenario se suma el desconocimiento ciudadano sobre cómo prevenir fraudes digitales y una estructura legal insuficiente para perseguir y sancionar estos ilícitos, lo que deja vulnerable a la mayoría de la población.

La dimensión del problema se refleja en indicadores internacionales. Según el Global Cybersecurity Index 2024 de la Unión Internacional de Telecomunicaciones, Guatemala obtuvo 39.99 puntos, uno de los puntajes más bajos de la región, en contraste con Costa Rica, que alcanzó 75.07. El índice evaluó cinco pilares estratégicos, de los cuales el eje técnico (3.7) y el legal (6.9) figuran entre los más bajos en capacidades institucionales y normativas.

A nivel regional, el Cyber Insights Report 2024 de Mastercard reportó que los ataques cibernéticos en Guatemala se incrementaron 200% respecto del año anterior, lo que posicionó al país entre los 10 con mayor exposición en Latinoamérica. Los ataques identificados como más frecuentes son el malware y el ransomware (58%), seguidos del denial of service (DoS) (9.9%) y el phishing (6.9%).

Los sectores más afectados son el financiero (19.3%), el industrial (16.8%), el tecnológico (7.9%) y el público (7.8%). Los principales objetivos son la información personal, financiera y corporativa.

Modelos más sofisticados

Los ciberdelincuentes han aprendido a combinar el ransomware tradicional con la accesibilidad de los servicios en la nube. El modelo Ransomware as a Service (RaaS) les ha permitido transformar la extorsión digital en una economía basada en suscripciones.

De acuerdo con el sitio de IBM, en el modelo RaaS los desarrolladores de ransomware crean herramientas robustas de malware y las alquilan a clientes o afiliados, quienes ejecutan los ataques. Los desarrolladores reciben entre el 20% y el 40% de las ganancias, mientras que los afiliados se quedan con el resto.

“Es un modelo que se aplica para grandes objetivos. Los costos son variables en una industria sofisticada y pueden comenzar desde US$10 mil hasta US$1 millón”, explica Arévalo.

Otros informes, como los de Kaspersky, estiman que Guatemala enfrenta 6.4 millones de intentos de phishing al año, el equivalente a 17 mil ataques diarios. Esto consolida este tipo de fraude como uno de los más rentables del cibercrimen, que suele ocurrir en el comercio electrónico.

Sin embargo, no existe una cuantificación consolidada de esta problemática a nivel nacional. La mayoría de datos proviene de proveedores de servicios que reportan únicamente lo que ocurre dentro de sus propias redes. A ello se suma que muchas corporaciones y entidades financieras optan por no presentar denuncias penales, pues priorizan la protección reputacional y resuelven los incidentes con recursos propios.

Esta situación contribuye a la percepción de Guatemala como un entorno atractivo para los ciberdelincuentes. “Por eso es complejo tener estadísticas”, afirma Freddy Arévalo, director de Transformación Tecnológica del Grupo Financiero Bantrab.

Esta limitada información pública también se evidencia en la falta de continuidad de iniciativas independientes como el Observatorio Guatemalteco de Delitos Informáticos (OGDI), que publicó estadísticas hasta el 2024. En ese informe se reportaron 583 alertas en el primer semestre de ese año, principalmente por publicidad falsa, ciberestafas y robo de identidad.

Fenómeno global

A escala global, la ciberdelincuencia representa una problemática significativa para los países. El costo mundial —en pérdidas— se estimó en alrededor de US$10.5 mil millones en el 2025, de acuerdo con el Official Cybercrime Report de Cybersecurity Ventures. Si esto se midiera como un país, el valor económico de esta industria ilícita sería comparable con el tamaño de la tercera economía mundial, detrás de Estados Unidos y China, y superaría incluso el tráfico de drogas. Su crecimiento acelerado ha llevado a catalogarla como un riesgo sistémico y el octavo riesgo global.

En paralelo, el crimen organizado transnacional evoluciona hacia un modelo híbrido en el que convergen la logística física, las infraestructuras digitales y las finanzas descentralizadas. En este contexto, el uso de criptomonedas ha transformado las dinámicas de lavado de dinero y la operatividad criminal en la región. En el 2024 se estimó que el volumen de transacciones ilícitas con criptoactivos alcanzó los US$51.3 mil millones, de acuerdo con el Crypto Crime Report 2025 de Chainalysis.

Robo tecnológico

Según la Oficina de las Naciones Unidas contra la Droga y el Delito (UNODC), el cibercrimen se define como “actos ilegales cometidos mediante el uso de tecnologías de la información y la comunicación, particularmente computadoras y redes, para obtener beneficios financieros, robar o manipular información o causar daños a individuos, organizaciones o gobiernos”.

Hoy, estructuras criminales como la MS-13, el Barrio 18 y otras organizaciones han evolucionado a la par de la tecnología, al punto de contar con recursos económicos para contratar expertos en encriptación y telecomunicaciones. Esto les permite efectuar ataques sofisticados mediante el uso de drones, cámaras de videovigilancia, comunicación por radio y redes sociales, entre otros recursos.

Para sus operaciones financieras utilizan criptomonedas enfocadas en la privacidad, como Monero (XMR), diseñadas para transacciones privadas y resistentes a la censura debido a la escasa trazabilidad que ofrecen. También emplean cuentas trampolín que transfieren fondos en cuestión de minutos, lo que dificulta las investigaciones.

Estudios de la Oficina de las Naciones Unidas contra la Droga y el Delito explican que los grandes esquemas de fraude digital funcionan a escala industrial mediante redes que incluyen lavadores de dinero, intermediarios financieros, operadores tecnológicos y proveedores de servicios ilícitos.

“Los delincuentes comunes del crimen organizado se han aliado con expertos tecnológicos. Los ataques son los mismos —extorsiones, secuestro de información—, pero ahora con tecnología, sea con la ayuda de informáticos locales o internacionales que pueden ubicarse en países de Europa del Este, Corea del Norte, China o Brasil”, explica Freddy Arévalo, quien ha asesorado a las autoridades del Ministerio Público, Ministerio de la Defensa, la Policía Nacional Civil (PNC) y la Superintendencia de Bancos (SIB) sobre cómo mejorar su protección.

Por su parte, Armando Monzón, investigador adjunto del Instituto Nacional de Ciberseguridad de Guatemala (Incibe), añade que otro punto vulnerable es la disponibilidad de bases de datos en internet a precios accesibles, donde la información personal de los guatemaltecos resulta de fácil acceso para los ciberdelincuentes.

LECTURAS RELACIONADAS

Estafas digitales en Guatemala: las redes y métodos que más afectan a los usuarios

Estafadores se hacen pasar por aerolíneas: MP explica cómo operan y da recomendaciones para evitar ser víctima

Falta cultura de denuncia

En los últimos dos años, el Departamento de Investigación de Ciberdelitos e Información Forense de la DEIC/PNC reporta que en el 2024 hubo un total de 2,407 denuncias de diversas tipologías cometidas mediante redes sociales, aplicaciones o servicios de mensajería. En el 2025 aumentaron a 2,741 y, en lo que va del 2026, se registran 298 casos.

Además, se efectuaron cinco operativos, 69 personas consignadas y 96 allanamientos en los dos últimos años.

El entonces viceministro de Tecnología del Ministerio de Gobernación, William Cameros —en funciones al momento de esta entrevista—, indicó que uno de los principales problemas en el país es la falta de denuncias, lo que dificulta determinar la dimensión y tipología de los ciberdelitos.

Indicó en esa oportunidad que esta cartera trabaja en coordinación con el Ministerio Público (MP), a través de la unidad de ciberdelito. Las denuncias son procesadas por la fiscalía y los casos pertinentes se remiten a la unidad para su seguimiento e investigación. Sin embargo, admite que la falta de cultura de denuncia sigue siendo el principal obstáculo, ya que muchas personas sienten vergüenza o temor de exponerse al denunciar.

A pesar de esta falta de denuncias, el Ministerio de Gobernación identifica que las estafas bancarias constituyen el principal riesgo, así como la evolución que han tenido, incluida la suplantación de identidad. Cameros asegura que los adultos mayores son un grupo particularmente afectado.

Desde el Mingob se impulsan dos estrategias clave. La primera es la investigación especializada por parte de la unidad de ciberdelito, en conjunto con cooperación institucional y el fortalecimiento tecnológico de esta dependencia, donde se prepara el lanzamiento de un asistente virtual que atienda las inquietudes de la ciudadanía. La segunda se centra en la prevención, mediante el impulso de un programa de “Cultura Digital”.

Inteligencia estratégica

Desde el Ejecutivo, una de las políticas en seguridad cibernética fue el Acuerdo Gubernativo 200-2021, que creó de forma temporal el Comité Nacional de Seguridad Cibernética (Conciber) por un plazo de cuatro años y cuya vigencia terminó a finales del 2025. En este participaban nueve funcionarios con la función de asesorar al Consejo Nacional de Seguridad a través de la Secretaría de Inteligencia Estratégica del Estado (SIE). Sin embargo, sus decisiones no son vinculantes.

Uno de los asesores admite que, aunque ya no es un acuerdo vigente, continúan reuniéndose para definir el camino a seguir y renovar su mandato. Actualmente, los esfuerzos se encaminan hacia un Plan Nacional de Transformación Digital que dejaría atrás la Estrategia Nacional de Seguridad Cibernética del Ministerio de Gobernación del 2018.

En tanto, la comisionada presidencial de Gobierno Abierto y Electrónico (GAE), ingeniera en electrónica Wendy Miranda, coincide con Cameros en que el Estado aborda esta situación desde la investigación y la educación para la prevención. Asegura que la ciberseguridad es uno de los cuatro ejes habilitadores del Plan Nacional de Transformación Digital, en el cual la GAE participa dentro del plan liderado por la Secretaría correspondiente.

“Actualmente se trabaja en un catálogo de infraestructuras críticas para el funcionamiento seguro del país”, indica.

Sin embargo, reconoce cuatro desafíos para implementar un gobierno digital: la falta de un marco normativo, la alfabetización digital interna en el Estado, el miedo al cambio y la resistencia a que se reduzca la corrupción.

“Hay temor en el personal de que la tecnología reemplace puestos de trabajo o sustituya procesos y, por último, resistencia a que se reduzca la corrupción, pues la tecnología ayuda a transparentar procesos”.

La Fiscalía de Delitos Transnacionales del Ministerio Público no aportó información, a pesar de las solicitudes enviadas a la unidad de prensa y a la Oficina de Acceso a la Información, así como de varias llamadas que no fueron atendidas.

Tampoco se encuentra tipificado algún tipo de delito informático en el Tercer Informe Anual de Gestión, período 2024-2025, dentro del resumen de denuncias por tipo de delito de mayor incidencia y región.

Fortalecer marco legal

La falta de un marco legal sólido se convierte en el talón de Aquiles para el país, puesto que las instituciones no pueden perseguir estos delitos de forma efectiva.

Aunque la Constitución Política de la República garantiza esta protección en un sentido amplio (artículo 24), en materia penal únicamente los artículos 274 —destrucción de registros informáticos—, 294 y 295 —atentado contra los servicios de seguridad pública e interrupción o entorpecimiento de comunicaciones— del Código Penal establecen penas relacionadas con el uso de tecnología.

En el Legislativo hay cuatro iniciativas de ley que hasta el momento no han sido aprobadas o quedaron archivadas. La primera fue la iniciativa 4055, Ley de Delitos Informáticos, propuesta en el 2009, que buscaba sancionar delitos como la pornografía infantil y el terrorismo informático, entre otros.

La segunda es la iniciativa 5254, Ley contra la Ciberdelincuencia, propuesta en el 2017. La tercera es la iniciativa 5601, Ley de Prevención y Protección contra la Ciberdelincuencia, presentada en el 2019, que quedó archivada en el Congreso.

Por último, la iniciativa 6347, Ley de Ciberseguridad, presentada en el 2024 por los diputados Pablo Mendoza Franco, Christian Álvarez y Gustavo Cruz Montoya, recibió dictamen favorable de la Comisión de Seguridad Nacional. Quedó aprobada en primera lectura en septiembre del año pasado.

A pesar de que existe consenso sobre la necesidad de legislar en esta materia, analistas de cuatro tanques de pensamiento alertaron sobre esta iniciativa con fundamentos técnicos y jurídicos. La Mesa de Certeza Jurídica de Guatemala No Se Detiene, la Alianza por un Congreso Eficiente, la Alianza Técnica de Apoyo Legislativo (ATAL) y la firma de abogados Alta ampliaron sobre estos señalamientos en un reportaje publicado por Prensa Libre en septiembre del 2025.

Entre los principales cuestionamientos se mencionan vacíos legales como la militarización de la rectoría en ciberseguridad, la exclusión de actores civiles y sectoriales, un enfoque penal reactivo y no preventivo, así como la falta de transparencia y rendición de cuentas. Por ejemplo, se cuestiona “contemplar que las compras y contrataciones vinculadas a ciberseguridad se realicen bajo reserva con el argumento de proteger la seguridad nacional”. Todo esto genera un impacto negativo en el sector privado y en los derechos fundamentales, coincidieron los analistas.

“Es una debilidad importante, pues esta iniciativa busca fortalecer los vacíos legales, tipificar delitos en el Código Penal y permitiría la adhesión de Guatemala al Convenio de Budapest, la organización mundial más grande en la lucha contra el ciberdelito. Actualmente solo participamos como oyentes en este convenio, y la aprobación de una ley de ciberdelito es un requisito para su adhesión plena”, asegura el viceministro de Gobernación, Cameros.

Arévalo coincide en que la ausencia de legislación local no solo impide la ratificación de tratados internacionales, sino que también convierte al país en un territorio atractivo para los ciberdelitos. Atribuye este escaso avance a un “analfabetismo cibernético” por parte de los legisladores y a un temor derivado del desconocimiento sobre la materia.

Pablo Barrera, director de Estrategia & Seguridad, considera que al buscar una ley tan compleja esta termina por dejar de ser funcional. Recuerda que desde el 2009 han asesorado a diputados sobre estos temas y, hasta la fecha, no se ha logrado aprobar ninguna normativa.

Este vacío legal impide que Guatemala se adhiera al Convenio de Budapest, lo que facilitaría el intercambio de inteligencia y la colaboración internacional en materia de cibercrimen. “Hemos tenido incidentes que involucran servidores en Estados Unidos y no se pudo obtener información por la ausencia de un convenio de cooperación”, lamenta.

Atribuye el rezago en la aprobación de una ley de ciberseguridad a la ignorancia y al analfabetismo legislativo. “Se necesitan diputados que puedan guiar al país hacia el futuro en temas tecnológicos, en vez de discutir asuntos del pasado”, concluye.

Por su parte, en el Organismo Judicial se reportaron únicamente cinco sentencias condenatorias durante el periodo del 2020 al 2025 relacionadas con el delito de manipulación de información a nivel nacional. En detalle, una por manipulación de información (2024) y cuatro por manipulación de información en forma continuada (2022), de acuerdo con la Unidad de Acceso a la Información Pública de dicho organismo.

Bancos se blindan

Ante el vacío normativo, el sistema financiero ha optado por fortalecerse como grupo. Luis Cabrera es el vocero de la Comunidad Bancaria de Ciberseguridad (Bancert), formada en agosto del 2020 y que agrupa a entidades del sistema financiero, además de Neonet, la Cámara de Compensación de Guatemala (ICG), la Superintendencia de Bancos y la Asociación de Bancos de Guatemala (ABG). En total, unos 20 miembros.

Su visión es que al inicio la competencia entre los bancos dificultaba la colaboración; sin embargo, la creciente amenaza de ciberataques los obligó a compartir información, al comprender que en ciberseguridad no se puede competir. De esa manera se estableció un marco de confidencialidad para proteger el secreto bancario.

“Nos percatamos de que las bandas calendarizaban a cada entidad con las mismas técnicas”, explica. Esto llevó a que la ABG instruyera reunir a todos los oficiales de ciberseguridad de cada banco (CISO), donde Cabrera actualmente representa al grupo Bantrab.

Desde su experiencia, han identificado que los ataques de phishing dirigidos a los clientes son los más comunes. Estos buscan engañar a los usuarios para que entreguen información financiera y así obtener acceso mediante enlaces falsos.

LECTURAS RELACIONADAS

Aplicaciones de préstamo: riesgos de ciberseguridad, señales de fraude y cómo proteger sus datos

¿Por qué los estafadores exigen fotografías del DPI a sus víctimas?

“La ingeniería social —persuasión— es la técnica más utilizada”.

En cuanto a cifras, revela que en el 2023 hubo un repunte significativo de casos, con un promedio de entre 400 y 450 reportes mensuales. En el 2025 esta cifra disminuyó a unos 180 reportes mensuales, lo que sugiere un mayor control por parte de los bancos.

“De los montos expuestos, el 86% ha sido recuperado”.

De esa cuenta, la inversión en ciberseguridad en los bancos representa entre el 10% y el 15% del presupuesto de tecnología de cada entidad, con un aumento significativo a partir del 2023. Además, una regulación de la Superintendencia de Bancos (JM 91-2024) impulsó aún más esta inversión.

Confirma que por esa razón el costo de las pólizas de seguridad ha aumentado hasta un 150% entre el 2023 y el 2024, puesto que los riesgos cibernéticos se consideran cada vez más probables. Estas pólizas son institucionales y no cubren ataques individuales como el phishing, aclara.

Fortalecer instituciones

Mientras el crimen organizado adopta tecnología con rapidez, el Estado avanza con lentitud. Los especialistas coinciden en que la respuesta debe ser integral: educación digital desde el nivel primario, fortalecimiento institucional, cooperación regional e internacional y un marco legal sólido.

Ante esto, el viceministro de Gobernación y Tecnología tiene como meta específica fortalecer la unidad de Ciberdelito. Informó que prepara el lanzamiento de un asistente virtual para atender inquietudes de la ciudadanía, además de capacitación constante para los 40 especialistas que operan en este departamento.

Además, impulsa el programa “Cultura Digital” para educar a los guatemaltecos sobre el uso seguro de la tecnología. Destaca la importancia de no proporcionar teléfonos a niños y de analizar la información que se recibe para evitar estafas. Este programa se desarrolla en conjunto con los ministerios de Educación y Cultura.

Por su lado, Monzón plantea propuestas que van desde la educación, mediante la implementación de formación desde el nivel primario. En materia de legislación sugiere crear un marco legal que permita tipificar estos delitos y brindar soporte institucional a los guatemaltecos. Finalmente, propone fortalecer la resiliencia para fomentar la capacidad de adaptación y recuperación ante ciberataques.

En tanto, Sosa recomienda mitigar estos riesgos desde el ámbito personal e institucional. Primero, mediante el uso de versiones pagadas de inteligencia artificial como Copilot, Gemini o ChatGPT, que garantizan que la información de entrenamiento permanece con el usuario y no se utiliza para entrenar el modelo.

“Copilot, por ejemplo, es seguro para usuarios de Office 365 porque accede al Office Graph, por lo que la información permanece dentro del dominio de la empresa”, indica.

Además, enfatiza la importancia del juicio crítico y el escepticismo de los usuarios. Ante mensajes o solicitudes urgentes, especialmente si involucran dinero, es crucial validar la información directamente con la persona involucrada, ya que la inteligencia artificial puede generar deepfakes de voz y video muy realistas.

“La urgencia es una táctica común para bajar las defensas y el juicio crítico de las personas”, advierte.

Cabrera resalta la necesidad de formar profesionales en este campo. “Se estima un déficit global de profesionales, con 1.7 millones de puestos vacantes en Latinoamérica. Ante la escasez de especialistas, los bancos han optado por formar a su propio personal”.

Desafío nacional

La respuesta ante el cibercrimen no solo debe ser tecnológica, sino también estratégica. Uno de estos ejes es el fortalecimiento de las políticas públicas. Cameros informó que se trabaja en una estrategia nacional de ciberseguridad que incluye compartir alertas tempranas, detectar patrones de fraude y establecer una red para bloquear cuentas y contenidos ilícitos.

“Se busca acelerar las investigaciones y fortalecer convenios con cuerpos policiales y acuerdos internacionales, como la red 24/7 del Convenio de Budapest, que procesa solicitudes de información de plataformas como Meta, Google y Telegram”, indica.

Desde la GAE, Miranda considera que se debe avanzar en la interoperabilidad del Estado para proteger datos y simplificar trámites, así como garantizar que la tecnología acompañe la modernización pública mediante un portal único y una identidad digital única.

“Se debe trabajar fuertemente en la gobernanza, pues aunque con tiempo y recursos todo es posible, se necesitan acuerdos para avanzar”, afirma.

En cuanto a la discusión sobre la necesidad de crear una unidad rectora nacional, Arévalo considera que la unión hace la fuerza. “Como parte del sistema financiero, no podemos pretender afrontar el cibercrimen ni como individuos ni como institución. Debe ser un esfuerzo de país y de región para promover agendas legislativas y diplomáticas”, propone.

En tanto, Luis Cabrera mantiene la esperanza en avances puntuales, como que finalmente quedó conformada la Comisión de Asuntos de Seguridad Nacional, liderada por el diputado Jorge Mario Villagrán.

“Esperamos que finalmente se pueda llevar al pleno para la tercera lectura, pero ya vamos tarde”, reconoció.

Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea.

Opinión: 4 decisiones urgentes de alta gerencia durante la guerra digital

Sun, 22 Mar 2026 13:30:00 +0000

no permita que lo estafen

Opinión: 4 decisiones urgentes de alta gerencia durante la guerra digital

Desde simulacros de ataque digital hasta la eliminación de contraseñas, las compañías deben fortalecer su defensa para operar con seguridad en la economía digital.

Marcelo De Santis

22 de marzo de 2026

07:30h

El eslabón débil hoy no es el cable de fibra óptica, sino el oído del empleado, a nivel de ciberseguridad. (Foto Prensa Libre: Freepik)

En mi camino como consultor e inversionista he aprendido que mi rol no es vender optimismo, sino gestionar la realidad. Cuando analizo el riesgo de una empresa —o decido dónde poner mi propio capital— prefiero dejar de lado el discurso de ventas y enfocarme en los datos reales.

Al final, es la única forma de separar el ruido del marketing de lo que en verdad ocurre en la operación. Con ese enfoque escribo este artículo.

En el contexto actual, Guatemala representa aproximadamente el 35% del PIB regional. En este escenario, fortalecer las capacidades en inteligencia artificial (IA) y ciberseguridad se ha convertido en una prioridad estratégica que requiere atención y acción inmediata.
Hoy el país se encuentra en un punto de inflexión: el auge del nearshoring está iniciando una transformación de Guatemala en un centro estratégico de servicios y manufactura para el mercado norteamericano.

Esta integración digital acelerada con cadenas de suministro globales exige estándares de seguridad de nivel mundial.

En este escenario de alta competitividad han aparecido los AI agents (agentes de IA). No debemos ver a estos agentes como simples chats de respuesta, sino como auténticos “empleados digitales autónomos”.

Son entidades de software a las que se les asigna una meta —como optimizar una cadena de suministro— y el agente decide por sí mismo qué correos enviar, qué bases de datos consultar y qué órdenes de compra generar.

Es eficiencia pura; pero, desplegada sin supervisión, representa un riesgo latente para cualquier junta directiva (Shumaker, 2026).

El panorama macro muestra un ecosistema comercial bajo un asedio sin precedentes.
De acuerdo con el más reciente Cyber Insights Report de Mastercard, los ciberataques en Guatemala experimentaron un alarmante aumento del 200% interanual, lo que posiciona al país como uno de los más vulnerables de Latinoamérica (Mastercard, 2025).

Ya no enfrentamos a hackers humanos que teclean manualmente, sino a algoritmos que buscan grietas y entran en nuestras redes y aplicaciones digitales a gran velocidad.

“Dark AI” y el Cibercrimen Profesionalizado

Para entender el riesgo en Guatemala debemos mirar el vecindario.

Según el reporte del 2025 de la OEA y el BID, Centroamérica vive una “revolución digital a medias”: hemos adoptado la conectividad, pero hemos ignorado la infraestructura de defensa (OEA/BID, 2025).

En el 2026, el concepto de dark AI ha pasado de la teoría a la práctica, lo que permite a los atacantes operar bajo el modelo de extortion as a service (EaaS). Esta profesionalización del crimen utiliza herramientas como el vishing (fraude por voz) y los deepfakes para crear lo que yo llamo “máscaras digitales perfectas”.

En términos de negocio, esto significa que el atacante ya no necesita vulnerar un sistema complejo si puede usar IA para imitar la voz de un director general en una llamada de WhatsApp y convencer a un gerente financiero de realizar una “transferencia de emergencia”.

El eslabón débil hoy no es el cable de fibra óptica, sino el oído del empleado (Cobalt, 2026).

El abismo de la gobernanza: contratación sin antecedentes

El dato más crítico proviene del Observatorio Guatemalteco de Delitos Informáticos (OGDI): el 63% de las empresas guatemaltecas están adoptando innovaciones con IA sin ningún tipo de gobernanza (OGDI, 2025).

Esto es el equivalente administrativo a contratar a cien empleados nuevos, entregarles llaves maestras de la oficina y acceso total a las cuentas bancarias sin siquiera pedirles su DPI o revisar sus antecedentes.

Adoptar IA sin una arquitectura de zero trust (confianza cero) es una negligencia operativa que ningún director debería permitir.

Para visualizarlo, piense en su empresa como un edificio de alta seguridad: en el modelo de seguridad antiguo, una vez que alguien pasaba la recepción podía caminar por todo el edificio.

En un entorno de zero trust, cada puerta interna tiene un escáner biométrico. No importa si usted ya está “dentro” de la red; cada vez que un proceso o una IA intenta abrir una gaveta digital o entrar en una base de datos, el sistema le exige una nueva prueba de identidad.

Bajo este modelo, el algoritmo solo puede ver la información mínima necesaria para su tarea actual, lo que protege el resto del patrimonio informativo de la empresa (Pillar Security, 2026).

La fragilidad del “traductor” digital

Si cruzamos el comportamiento empresarial guatemalteco con la telemetría global, el riesgo técnico se vuelve evidente.

El fenómeno del prompt injection —el uso de instrucciones de lenguaje natural diseñadas para “engañar” a la IA y saltarse sus filtros de seguridad— se ha incrementado en un 97% (Pillar Security, 2026).

Para que un agente de IA sea útil en una empresa guatemalteca debe conectarse a sus servidores. El puente técnico que permite esta conexión es el model context protocol (MCP).

Piense en el MCP como el “traductor oficial” entre el cerebro de la IA y los archivos confidenciales de su compañía. El problema crítico es que el 40% de estos traductores digitales presenta vulnerabilidades (Infosys, 2025).

Un atacante puede utilizar técnicas de tool poisoning (envenenamiento de herramientas), que es el equivalente a sobornar al traductor para que cambie el sentido de sus órdenes.

Usted podría decir: “Analiza estos gastos”, pero el traductor corrupto ordena a la IA: “Exporta estos datos a un servidor externo”.

De esta forma, el criminal ya no necesita derribar su firewall (filtro perimetral de tráfico); simplemente inicia una conversación aparentemente inofensiva con su IA de servicio al cliente y, mediante manipulación lingüística, la convence de entregar la base de datos de clientes por un “error de sistema” inexistente.

La IA como escudo de resiliencia activa

A pesar de estas amenazas, la IA también puede ser nuestra mejor inversión en defensa.

Para las empresas que buscan integrarse a los mercados globales del nearshoring, la active resilience (resiliencia activa) es el nuevo estándar de oro.

No se trata simplemente de tener un escudo estático, sino de contar con un sistema inmunológico vivo.

La resiliencia activa utiliza la IA para detectar anomalías en patrones de datos que un humano ignoraría, bloquear un ataque y crear “anticuerpos” digitales en milisegundos para que la operación comercial nunca se detenga (Índice Latinoamericano de IA, 2025).

Recomendaciones de ciberseguridad para la Alta Gerencia

Para navegar este entorno, propongo cuatro pilares de acción inmediata:

Ejecutar “AI Red Teaming“: No basta con comprar software. Debe contratar expertos para que realicen un “simulacro de incendio” digital, intentando engañar a sus propios agentes de IA antes de que un criminal lo haga.
Privilegio Mínimo y Sandboxing: Los agentes de IA deben operar en Sandboxes (Espacios de Experimentación). Es como darle a un niño crayones pero solo dejarlo pintar en una habitación con paredes lavables, si la IA comete un error o es comprometida, el daño queda confinado y no contamina el resto de la corporación.
Verificación “Out-of-Band”: Dado que el fraude por clonación de voz ha subido un 43% en la región (Mastercard, 2025), establezca una política de hierro: cualquier movimiento de capital requiere una confirmación por un canal físico o una palabra clave acordada previamente.
Adopción de Passkeys: Es hora de retirar las contraseñas tradicionales. Las Passkeys y las llaves físicas son inmunes a los ataques de suplantación de identidad que hoy logran burlar incluso a los ejecutivos más experimentados (Cobalt, 2026).

El costo de la inacción

La IA actúa como un multiplicador de fuerza extraordinario para la productividad, pero si se despliega sin gobernanza se convierte en el empleado interno más eficiente trabajando a favor del cibercrimen.

Al operar sin marcos de control, el 63% de las empresas en Guatemala está dejando al azar su activo más crítico: la credibilidad ante sus aliados internacionales y la viabilidad de su expansión hacia mercados globales.

La innovación solo es verdadera evolución cuando es sostenible.

Como líderes de la economía regional, nuestra labor no es solo integrar herramientas tecnológicas avanzadas, sino garantizar que estas sean la base de un crecimiento sólido, ordenado y, sobre todo, protegido.

Marcelo De Santis es consultor aliado en C-Suite Technology de Orange Group Guatemala y asesor estratégico en transformación con IA y liderazgo. Es autor y conferencista, CEO de The Ascent y creador de The Tech Series, una plataforma de conversaciones con líderes que exploran cómo la innovación se conecta con lo humano.

“Si el gobierno no se puede proteger de ciberataques, tampoco puede proteger al ciudadano”

Sun, 22 Mar 2026 13:00:00 +0000

no permita que lo estafen

“Si el gobierno no se puede proteger de ciberataques, tampoco puede proteger al ciudadano”

Ante un escenario creciente de ciberamenazas cada vez más sofisticadas, Girón advierte de la vulnerabilidad del país, de los ciudadanos y de la urgente necesidad de crear mecanismos para combatirlo.

Ana Lucía González

22 de marzo de 2026

07:00h

Expertos ven necesario formular y aprobar una ley contra el ciberdelito que tipifique conductas modernas como el acceso ilícito, interceptación de datos, fraude informático y el acoso cibernético. (Foto Prensa Libre: Freepik)

La tecnología es una de las principales herramientas para llevar a cabo actividades del crimen organizado.

Esta es la alerta que arroja Walter Girón, doctor en Seguridad Estratégica por la Universidad de San Carlos de Guatemala y exviceministro de Tecnologías de la Información, Ministerio de Gobernación (2016-2017).

“(Usan) herramientas como drones para vigilancia fronteriza y trasiego de drogas; sistemas de videovigilancia avanzada con Inteligencia artificial para el monitoreo de placas de vehículos que aportan detalle de sus movimientos en el territorio y de sus propietarios. Además (no es nuevo) el uso del espectro de radiofrecuencia, en comunicación encriptada en radio y redes encriptadas como Signal y Telegram” señala el experto.

Este es un extracto de la conversación que tuvo con Prensa Libre.

¿Qué ha cambiado en el manejo de fondos ilícitos?

Las estructuras se han sofisticado con expertos en compra, comercialización, manejo de plataformas de criptomonedas no rastreables en donde lavan muchísimo dinero. Se estimó que para finales del 2025 el uso ilícito de estos activos se incrementó hasta un 162% llegando a los US$154 mil millones, de acuerdo con informes globales.

¿Qué implica que estas monedas no tengan trazabilidad?

Para el crimen organizado no es buena idea usar Bitcoin o Ethereum por su trazabilidad virtual. Con base a tecnología de blockchain, se crearon monedas privadas como Monero que tienen una ruta invisible. Además, son “monedas estables” y su valor no depende de su cotización en bolsa, sino que tienen paridad con el dólar, lo que evita pérdidas.

A la par, se ha creado una industria de “lavado como servicio” (MaaS) masivo y altamente tecnificado. China es uno de los países que lidera esta práctica.

¿Qué sucede ante la falta de un marco legal , cuando solamente tenemos el Art. 274 del Código Penal?

El problema de fondo es que el país no tiene un marco regulatorio, ni la institucionalidad, tampoco estrategias, tecnología, o personal capacitado. El marco jurídico actual en ciberseguridad de infraestructuras críticas revela un panorama de carencia estructural, leyes dispersas y la urgente necesidad de una legislación integral que responda a las amenazas del siglo XXI. Por ejemplo, el país no cuenta con una ley específica que regule la ciberseguridad de forma explícita. Hay varias iniciativas de ley de ciberdelitos, pero ninguna ha cuajado. Es decir, se carece de un marco que garantice plenamente las tres características que debe reunir la información: confidencialidad, integridad y disponibilidad.

¿Qué significa este vacío legal como país?

La legislación actual es obsoleta y fragmentada, limitándose a normas adicionadas que no responden a la evolución tecnológica actual. Por ejemplo, la Constitución garantiza que el Estado brinda seguridad a sus ciudadanos. La Ley de Telecomunicaciones no garantiza la inviolabilidad de las comunicaciones, ni el Art 31 constitucional tampoco protege nuestros datos, ni su uso indebido.

Por su parte, el poder judicial no tiene las herramientas para combatir estas estructuras. No están tipificados los delitos, tampoco hay claridad en los procedimientos. Hay jueces que ponen en duda si un correo electrónico es una prueba válida. Incluso, al decomisar un celular o computadora, se desconoce cómo abordar la tecnología forense.

Esto nos hace muy vulnerables…

Somos un paraíso para los ciberdelincuentes. Para donde volteemos a ver pueden actuar con total impunidad. En el sector privado, la legislación en ciberseguridad debería proteger la propiedad intelectual, pero no lo tenemos.

En lo legal, ¿cuál es su análisis de la última iniciativa 6347?

Encuentro tres situaciones graves. Primero, las penas son exageradas, al punto que se manejan con más severidad que una violación sexual. Segundo, también confundieron tecnicismos como ciberdefensa de ciberseguridad, lo que otorga un sesgo de protagonismo al Ejército. La ciberseguridad debe ser civil e integral. Lo tercero, gravísimo, puede ser un arma de venganza comercial. Su contenido explícito indica que a una empresa le pueden suspender operaciones en el pais en caso resultara “sospechosa” de actividades de ciberdelincuencia.

Qué desafíos observa ante la falta de un marco legal y la necesidad de una política nacional de seguridad para fortalecer la institucionalidad del país.

Hay dos niveles. A nivel macro, el Estado está en peligro. No es exagerado, pero pone en peligro la democracia. Cuando vemos hacia donde han migrado los ataques cibernéticos tienden a debilitar las democracias en muchos países.

Segundo, el ciudadano está expuesto ya que si el Estado no puede proteger su información, tampoco puede hacerlo con la población que utiliza redes sociales y medios tecnológicos, ahora sumando la ola de la IA, en donde vienen dilemas éticos y nuevos delitos.

Tampoco el gobierno puede proteger infraestructuras críticas como la banca, telecomunicaciones, aparatos de seguridad, o comunicación confidencial. Si no se puede proteger a él mismo, por ende, no puede proteger al ciudadano.

No tenemos un marco jurídico adecuado, no tenemos una institucionalidad adecuada, carecemos de protocolos, y del personal capacitado para combatir estos delitos. Estamos expuestos como país y como personas.

¿Considera que la mejor ruta para asumir el liderazgo consiste en la creación de un Ministerio de Tecnología?

Primero, el Organismo Legislativo debería formular y aprobar una ley contra el ciberdelito que tipifique conductas modernas como el acceso ilícito, interceptación de datos, fraude informático y el acoso cibernético. Esta ley debería ir alineada con una herramienta internacional como el Convenio de Budapest. Luego que desde el Legislativo y el Ejecutivo se promueva que Guatemala se adhiera a este convenio.

En su momento contemplé la necesidad de crear un Ministerio de Tecnología. Ahora considero que es suficiente con un Consejo Nacional de Ciberseguridad, independiente y con dientes para actuar.

En su experiencia como Viceministro de Tecnología del MINGOB ¿qué avances tuvo con este Convenio?

Participé en el proceso cuando el Consejo de Europa invitó formalmente a Guatemala a adherirse al Convenio de Budapest, incluso hizo una excepción al no requerir una ley de ciberdelito previa. No se logró. Al extremo que la invitación, recibida alrededor del 2019, no fue aceptada. A la fecha el proceso continúa entrampado en el Congreso. Es ridículo.

La inteligencia artificial ya puede “estafar” a las personas: ¿puede una ley evitarlo?

Tue, 11 Feb 2025 12:00:00 +0000

no permita que lo estafen

La inteligencia artificial ya puede “estafar” a las personas: ¿puede una ley evitarlo?

Los ciberfraudes avanzan más rápido que las legislaciones dejando a los usuarios vulnerables. Expertos urgen una ley de seguridad cibernética en Guatemala que se actualice sin reformas que la frenen.

Enrique Canahui

11 de febrero de 2025

06:00h

Si una legislación nacional no cuenta con las ventanas exprés para actualizarse al mismo ritmo que la tecnología, los usuarios pueden quedar expuestos, aunque tengan una ley especializada. (Foto Prensa Libre: Freepik)

El phishing automatizado con IA es una poderosa técnica criminal que analiza redes sociales y correos electrónicos para personalizar mensajes fraudulentos con un alto nivel de persuasión. El malware basado en IA, por su parte. Puede modificar su código en tiempo real para evadir detección por sistemas de seguridad. Si una legislación nacional no cuenta con las ventanas exprés para actualizarse al mismo ritmo que la tecnología, los usuarios pueden quedar expuestos, aunque tengan una ley especializada.

Por eso, una de las principales discusiones entre expertos en ciberseguridad es cómo garantizar que una ley de ciberseguridad en Guatemala sea sostenible en el tiempo. La iniciativa 6347, que sigue pendiente de ser dictaminada en la Comisión de Asuntos de Seguridad Nacional del Congreso de la República, contempla este aspecto en su propuesta.

Un aspecto clave para evitar la obsolescencia es la capacitación del sector Justicia, el de Investigación, el Ejecutivo y otras entidades, para alinear criterios. “Si la ley es muy específica, puede quedar obsoleta porque la tecnología cambia continuamente, es muy dinámica”, señala Pablo Barrera, de la Comisión de Tecnología de la Asociación Guatemalteca de Exportadores (Agexport).

Lo más urgente es que, en el proceso de aprobación, la ley se adapte a nuevas tecnologías y métodos de fraude sin necesidad de reformas constantes, señala Germán López, miembro de la Comunidad Bancaria de Ciberseguridad (Bancert).

LECTURAS RELACIONADAS

¿Está preparado el país para un ciberataque a hospitales, plantas de energía y otros sectores?

¿Quién nos protege en línea? Hay 11 delitos cibernéticos que Guatemala podría crear y castigar

Añade la importancia de considerar alianzas con el sector privado –que a menudo lidera la incorporación de tecnologías emergentes–, y con la academia. Mantener comunicación constante con empresas tecnológicas y universidades permitiría identificar tendencias emergentes en ciberataques como los antes descritos.

Un super equipo anti-ataques

En este sentido, continúa el experto, la ley debe establecer principios fundamentales relativos a la protección de datos, la integridad de los sistemas y la colaboración público-privada, evitando tecnicismos que se pierdan vigencia. Una de las recomendaciones es crear un comité multidisciplinario que revise, periódicamente, los avances tecnológicos y recomiende ajustes o normativas complementarias.

En esta línea, el comité o consejo multidisciplinario podría estar conformado por expertos en ciberseguridad, tecnología y derecho, así como por representantes del sector privado, académicos y funcionarios del sistema judicial. “De hecho, ya existen algunas instancias que podrían apoyar en este sentido, como el Bancert o el Concyt, por mencionar algunas”, refiere Camilo Fernández, CEO de Devel Security.

Considerando que en la propuesta de ley 6347 se establece la creación del Centro de Seguridad Interinstitucional de Respuesta Técnica ante Incidentes Informáticos de Guatemala (CSIRT-GT) para atender incidentes cibernéticos, esta instancia también puede abordar el tema, agrega Fernández.

Su rol, señala, será monitorear y analizar tendencias globales en cibercrimen, así como proponer reformas o regulaciones complementarias en tiempo real. Además, se debe fomentar la adopción de normativas internacionales y mejores prácticas, como las del Convenio de Budapest, para garantizar que las disposiciones legales sean compatibles con estándares globales.

¿Una normativa dinámica?

Para Eli Faskha, CEO de Soluciones Seguras, si bien la iniciativa de ley incluye la creación de organismos especializados como el CSIRT-GT y el Comité Técnico en Ciberseguridad, que permitirá un monitoreo continuo de amenazas, es importante garantizar que la legislación cuente con un mecanismo ágil de actualización para responder rápidamente a la evolución de las nuevas tecnologías y métodos de fraude.

Entre las sugerencias que se analizan, prosigue Faskha, están la creación de normas complementarias dinámicas o reglamentos secundarios que puedan modificarse sin tanto protocolo legislativo, mediante decretos o resoluciones del Ejecutivo. Otra herramienta en línea con estas propuestas es incorporar la vigilancia tecnológica; es decir, que la ley debería requerir que las instituciones responsables de su aplicación, como el sistema de justicia, adopten sistemas de monitoreo continuo para detectar nuevas amenazas.

“Aunque no conocemos la última propuesta de la iniciativa 6347, sería ideal que contemple mecanismos específicos para mantenerse actualizada. Un artículo dentro de la ley podría establecer revisiones obligatorias cada cuatro años, asegurando su alineación con avances tecnológicos y tendencias globales”, puntualiza López.

De acuerdo con Barrera, este tipo de observaciones se hicieron llegar a los responsables de analizar la iniciativa en la comisión, por lo que esperan que hayan sido tomadas en cuenta. Por ello, recomiendan mantenerse vigilantes en el proceso de aprobación en el pleno y ser cautelosos con quienes sugieran o propongan modificaciones a la ley. Es clave que estas personas tengan la capacidad técnica y la experiencia necesarias, pues, al final, “una cosa es lo que entra en el Congreso y otra la que ellos decidan sacar” dice.

“Es adaptable”

De acuerdo con el diputado que presidió hasta 2024 la Comisión de Asuntos de Seguridad Nacional, Jorge Mario Villagrán la iniciativa de ley final 6347 es una ley técnica que responderá a las necesidades actuales y futuras del país. Es adaptable de manera que se puedan realizar acuerdos, reglamentos técnicos que eviten procesos legislativos largos.
Por medio del CSIRT-GT, se garantiza la adaptación a las tendencias tecnológicas del momento y la actualización que proponen los diferentes sectores conocedores del tema.

“Lo que se busca es actualizar leyes relacionadas con delitos cibernéticos. La normativa introduce conceptos flexibles que podrían permitir ajustes posteriores y la adecuada investigación y aplicación de la justicia. Actualmente, la adaptación depende de la capacidad del Organismo Judicial para interpretar las leyes existentes”, puntualiza Villagrán.

LECTURAS RELACIONADAS

Criptomonedas no están prohibidas ni autorizadas: ¿está en riesgo el usuario?

Gobierno carece de personal especializado para enfrentar ataques cibernéticos

Al hacer referencia en la ley a estándares internacionales, se evita la necesidad de actualizarla constantemente, ya que estos son revisados de forma periódica. “Por ejemplo, Guatemala, como miembro de la ISO, acepta sus estándares, por lo que no hay problema en hacer referencia a normas internacionales”, agrega Barrera.

Si la propuesta de ley 6347 está basada en el Convenio de Budapest tiene más posibilidades de ser acorde con el ámbito internacional. De esa manera, la propuesta define una serie de conceptos orientados a la protección de la información y tipifica varios delitos informáticos sin mencionar tecnologías específicas. “Esto hace que la ley sea válida en el tiempo, dado que su enfoque está en la protección de datos y la información electrónica almacenada o en tránsito”, refiere Marco Antonio To, director de la Maestría en Ciberseguridad de la Universidad Galileo.

Asimismo, con la aprobación de la ley, se podrán aprovechar otros convenios, como la resolución 74/247 de la ONU, sobre la “Lucha contra la utilización de las tecnologías de la información y las comunicaciones con fines delictivos”, indica Fernández.

Actualizar cada 4 años

Para López, se puede incluir una cláusula en la ley que obligue al Congreso a revisar su aplicación y efectividad periódicamente, cada cuatro años, por ejemplo, con la participación de expertos en ciberseguridad, académicos y representantes de la industria tecnológica. Esta revisión debería basarse en estadísticas sobre cibercrimen, informes de organismos internacionales como la Organización de Estados Americanos (OEA) o la Interpol, y tendencias locales que permitan ajustar la legislación a la realidad nacional.

En opinión del Dr. To, de la Universidad Galileo, la aprobación de esta ley representará un avance significativo, al crear el primer marco de ciberseguridad en el país, lo que acercará a Guatemala a legislaciones internacionales en la prevención de delitos informáticos.

El análisis de la iniciativa 6347, Ley sobre Ciberseguridad y Cibercrimen, por parte de la Comisión de Asuntos de Seguridad Nacional del Congreso de la República, inició en febrero de 2024. El propósito de dicha comisión era dictaminarla en septiembre, de modo que pudiera ser aprobada antes del cierre de la actividad legislativa el 30 de noviembre pasado, lo cual no ocurrió.

“La iniciativa quedó en la fase final de revisión por parte de los diputados miembros de la comisión. Actualmente, estamos a la espera de la toma de posesión de la nueva Junta Directiva del Congreso y de las asignaciones de las comisiones a los diputados para poder continuar con el trabajo”, indica el diputado Villagrán.

¿Qué queda pendiente?

Actualmente, no existe una ley en materia de ciberseguridad y cibercrimen. La iniciativa 6347 busca responder a esa necesidad y subsanar la laguna legal vigente. Entre las acciones que, a criterio de Bancert, deben considerarse al amparo de esta iniciativa están:

Desde el Legislativo:

Revisión y actualización periódica: Establecer revisiones obligatorias a cargo de una comisión técnica designada.
Enmiendas ágiles: Permitir ajustes técnicos sin necesidad de reformar toda la ley.

Desde el sistema de justicia:

Capacitación especializada: Invertir en la formación de jueces, fiscales y policías en investigación digital.
Uso de tecnología avanzada: Adoptar plataformas de análisis forense digital e inteligencia artificial para combatir delitos cibernéticos.
Cooperación internacional: Firmar acuerdos para acceder a recursos, formación y tecnología avanzada.

Además, la ley debe promover una cultura de ciberseguridad nacional que incluya:

Educación ciudadana: Campañas para prevenir fraudes digitales y phishing.
Protección a las PYMES: Incentivos para que adopten medidas de ciberseguridad.
Colaboración regional: Alianzas con otros países de Centroamérica para compartir información y buenas prácticas

Fuente: Bancert.

¿Está preparado el país para un ciberataque a hospitales, plantas de energía y otros sectores?

Tue, 28 Jan 2025 12:00:00 +0000

no permita que lo estafen

¿Está preparado el país para un ciberataque a hospitales, plantas de energía y otros sectores?

Una propuesta de ley busca blindar las infraestructuras críticas para homologar protocolos de respuesta ante eventuales ataques a los sistemas.

Enrique Canahui

28 de enero de 2025

06:00h

Las redes de telecomunicaciones y de tecnología no cuentan con un marco general de reglas claras y uniformes para protegerse contra ciberataques en el país. (Foto Prensa Libre: Freepik)

En Guatemala, las infraestructuras críticas –como hospitales, bancos, plantas de energía, sistemas de agua potable y hasta el tráfico aéreo–, no cuentan con reglas claras y uniformes para protegerse contra ciberataques. Aunque algunas empresas privadas han tomado medidas por su cuenta para reforzar su seguridad, no hay una ley que establezca mínimos obligatorios ni que fomente que estas instituciones trabajen juntas para enfrentar amenazas digitales. Esto deja expuestos servicios esenciales para todos.

Además, de acuerdo con la Comunidad Bancaria de Ciberseguridad (Bancert), la falta de cultura de ciberseguridad y de coordinación entre sectores públicos y privados aumenta la vulnerabilidad de los activos sujetos de ser protegidos ante ese tipo de eventualidades.
Actualmente, en la Comisión de Asuntos de Seguridad Nacional del Congreso de la República se encuentra en espera de análisis para su dictamen respectivo, la propuesta de Ley General de Infraestructura Crítica Nacional, presentada por el diputado Jorge Mario Villagrán Álvarez.

El catálogo de infraestructuras

Esta propuesta de ley permitirá la legalización de elaborar un catálogo de infraestructura crítica, el cual, de acuerdo con la experiencia de otros países, debe contener componentes esenciales que incluyen su definición, clasificación, identificación de activos específicos, métodos y criterios para evaluar los riesgos asociados con cada activo y sus vulnerabilidades.

A criterio del presidente de la Cámara de Industria de Guatemala, Raúl Bouscayrol, es una ley que debería agregar valor a la protección de la infraestructura crítica. Por consiguiente, considera que se deberá elaborar el dictamen de dicha iniciativa, así como la consulta que deberá realizar a los distintos sectores.

LECTURAS RELACIONADAS

¿Quién nos protege en línea? Hay 11 delitos cibernéticos que Guatemala podría crear y castigar

PNC podría perseguir a estafadores en línea con nueva unidad de ciberseguridad y ciberdelitos

“Tenemos conocimiento de la iniciativa, pero consideramos que hace falta divulgarla con los sectores involucrados y la conformación de mesas técnicas para el análisis, incluyendo al sector privado”, indica el representante del sector privado industrial, el cual agremia a los sectores de hidrocarburos y telecomunicaciones entre otros, cuyos activos son considerados críticos para la seguridad y economía de la nación.

Los criterios que se observan en la iniciativa, para determinar la gravedad derivada de un ataque en una infraestructura crítica, consideran el número de personas afectadas y posibles consecuencias a la salud pública; pérdidas económicas; impacto ambiental e impacto público social.

Identificación de activos

De acuerdo con Marc Asturias, VP de Mercadeo y Field CISO de Gobierno para América Latina, Caribe y Canadá en Fortinet, proteger las infraestructuras críticas de Guatemala es clave, pues forman la columna vertebral de la economía y la seguridad de la nación. Sectores como energía, telecomunicaciones, finanzas, salud y transporte son esenciales para el funcionamiento del país. “Las posibles consecuencias de un ataque exitoso a estos sectores, son nefastas y van desde pérdidas financieras y la interrupción de servicios esenciales hasta comprometer la seguridad nacional”, expone el experto.

En tal sentido, la iniciativa pendiente de ser analizada, se indica que la elaboración del Catálogo Nacional de Infraestructuras Críticas, los operadores críticos, según el sector estratégico que representan, deberán identificar las infraestructuras críticas que les corresponde según su actividad laboral, económica o productiva de los servicios esenciales para el funcionamiento del país.

LECTURAS RELACIONADAS

Las 12 recomendaciones para comprar de forma más segura en comercio electrónico y disminuir riesgos

Piden que ley de ciberseguridad respete el libre pensamiento al regular delitos y sanciones

Los actores que conforman el marco institucional del Sistema Nacional de Protección de Infraestructuras Críticas deberán elaborar el Plan Nacional respectivo, los planes estratégicos sectoriales, de seguridad de Operaciones Críticas y de Apoyo Operativo. Estos últimos deberán ser elaborados por el Ministerio de la Defensa (Mindef) y el Ministerio de Gobernación (Mingob), para poder ejecutar el plan de protección específico, apoyando con acciones de vigilancia, prevención, protección y reacción de forma complementaria con los operadores críticos, tanto a nivel individual como sectorial.

Por aparte, la Secretaría de Protección de Infraestructuras Críticas que depende del Consejo Nacional de Seguridad, como ente rector, deberá elaborar, revisar y actualizar el Plan Nacional respectivo.

Definir activos

Villagrán explica que, para que los activos sean considerados como infraestructura crítica, primero deben cumplir con la definición estipulada en la misma, como los activos esenciales de hidrocarburos, por ejemplo, para que sean de almacenamiento en puerto o centros de distribución.

En el caso de salud, un hospital es considerado como infraestructura crítica, pero no una ambulancia. En el caso de la movilidad, la infraestructura crítica es la red vial, semáforos que ordenan el tráfico. Por ejemplo, si un sistema de estos funciona por medio de la red de Internet, se vincula a la Ley de Ciberseguridad.

De igual manera, dice quien también fungía como presidente de la Comisión de Asuntos de Seguridad Nacional en 2024, una planta de agua figura como infraestructura crítica. Si su funcionamiento se automatiza por medio de tecnología digital, además de la Ley de Infraestructura Crítica, se involucra la Ley de Ciberseguridad.

Agrega que la Ley General de Infraestructura Crítica Nacional va a indicar qué es lo que se
tiene que proteger y cómo se tiene que proceder con esa protección. Luego las leyes de Ciberseguridad y de Protección de Datos van a completar ese conjunto de leyes.

Involucrar sectores

Como se ha indicado, expone Bouscayrol, es importante la socialización de la propuesta y el establecimiento de mesas técnicas que permitan el involucramiento del sector privado organizado, velando por el respeto a la propiedad privada y generando acciones que permitan el resguardo de infraestructura crítica ante eventos disruptivos.

Según la propuesta, para garantizar la protección de estos sectores se incluye la definición de infraestructura crítica que permite identificar ese tipo de activos esenciales como estratégicos para la seguridad nacional.

Para German López, quien forma parte de Bancert, es fundamental identificar qué activos tecnológicos y operativos son esenciales para el funcionamiento de cada sector. Por ejemplo, dice, en telecomunicaciones, los centros de datos y las redes troncales deben considerarse activos críticos. Así mismo, la capacitación constante es un gran aliado de esta propuesta. La resiliencia depende del conocimiento humano, por lo que se debe considerar la implementación de programas regulares de formación para empleados desde técnicos, hasta personal operativo. “Un error humano como abrir un correo de phishing, puede poner en riesgo una infraestructura completa”, subraya el entrevistado.

La propuesta considera infraestructuras críticas como todas las instalaciones físicas, redes, sistemas, equipos físicos y de Tecnología de la Información y cibernéticas, incluyendo servicios alojados en la nube –sean privados o públicos– que funcionan dentro del territorio nacional y de los cuales depende el funcionamiento de los servicios esenciales del país. Por su condición de “criticas”, si éstas fueran dañadas, se pondría en riesgo la seguridad y la economía de la nación.

“Consideramos importante apoyar la creación de esta ley. Proteger la infraestructura crítica del país tiene un impacto directo en la estabilidad económica y social. Estamos dispuestos a colaborar con el Congreso y otras instituciones para garantizar que la ley incluya perspectivas técnicas, operativas y de riesgos”, asegura López.

En nuestro sector, dice, “dependemos de telecomunicaciones y energía confiables para operar y la interrupción de estos servicios podría afectar a miles de usuarios, tanto financieros como empresariales”.

En la percepción de López, la Ley de Infraestructuras Críticas no debe verse únicamente como un marco legal, sino como un compromiso nacional hacia la resiliencia digital. Por consiguiente, la propuesta debería contemplar, la protección frente a amenazas emergentes, como la inteligencia artificial utilizada por atacantes para vulnerar sistemas; simulacros multinacionales. Es decir, considerar alianzas con países de la región para realizar simulacros de ciberataques que fortalezcan las capacidades locales.

“El avance en la ciberseguridad no solo protege las infraestructuras críticas, sino que fomenta la confianza en los sistemas tecnológicos, incentivando inversiones y mejorando la calidad de vida de todos los guatemaltecos”, expone el miembro de Bancert.

¿Quién nos protege en línea? Hay 11 delitos cibernéticos que Guatemala podría crear y castigar

Tue, 14 Jan 2025 12:00:00 +0000

no permita que lo estafen

¿Quién nos protege en línea? Hay 11 delitos cibernéticos que Guatemala podría crear y castigar

El 2025 podría ser el año en que se ratifique Convención de la ONU contra el Delito Cibernético, que busca penar el abuso sexual infantil, el fraude en línea y el lavado de dinero, entre otros temas.

Enrique Canahui y Ximena Fernández

14 de enero de 2025

06:00h

Los grupos de crimen organizado que se dedican a suplantar sitios de bancos y otras instiuciones para engañar usuarios podrían ser perseguidos con delitos puntuales. (Foto Prensa Libre: Freepick)

Un criminal le manda un correo electrónico con engaño diciendo que su banco bloqueó su cuenta. Un estudiante difunde imágenes íntimas de una compañera sin el consentimiento de esta última. Una persona altera una factura digital cambiando el monto de US$100 a US$1,000 para reclamar un reembolso mayor al que realmente corresponde. Estos tres casos se podrían tipificar como nuevos delitos, en su orden: Robo o fraude relacionados con un sistema de tecnología. Difusión no consentida de imágenes de carácter íntimo. Falsificación informática.

El pasado 24 de diciembre, la Asamblea General de la ONU adoptó en Hanoi la Convención contra el Delito Cibernético, el primer instrumento de justicia penal globalmente vinculante sobre ciberdelincuencia. El texto enmarca al menos una decena de delitos que los distintos países pueden incorporar a sus códigos penales o crear legislaciones nuevas.

LECTURAS RELACIONADAS

Estos son 8 ciberdelitos que se busca sancionar en Guatemala, sus multas y penas de cárcel

Criptomonedas no están prohibidas ni autorizadas: ¿está en riesgo el usuario?

El acuerdo busca, según el propio comunicado de la Organización de las Naciones Unidas, que los países se puedan apoyar cuando enfrentan hechos similares de alto calibre, el intercambio de pruebas, la protección de víctimas y la prevención de delitos, “respetando los derechos humanos en línea”. Al firmar el acuerdo, Philémon Yang, presidente de la Asamblea General, aseguró que este marco permitirá a los Estados “abordar delitos como el abuso sexual infantil, el fraude en línea y el lavado de dinero”.

La convención estará abierta para firma en 2025 durante una ceremonia oficial en Hanoi, Vietnam, y entrará en vigor 90 días después de ser ratificada por al menos 40 países.

“La ratificación es un paso clave, ya que marcaría el inicio de un marco normativo internacional para los estados miembros en la lucha contra el cibercrimen”, asegura Eli Faskha, CEO de la firma especializada en ciberseguridad, Soluciones Seguras.

Ciberseguridad en Guatemala

¿Cómo puede llegar un acuerdo de índole global a los marcos legales de cada país que desee integrarlo?

Según Carlos Ramiro Martinez, ministro de Relaciones Exteriores del Ministerio de Relaciones Exteriores (Minex), “este es un proceso que está todavía iniciando, por lo que Guatemala no ha firmado su ratificación ni se ha integrado a la Convención”. Añade que lo que se abrió fue el proceso para la firma del convenio y luego de alcanzar un número determinado de firmas, entrará en vigor para que cada Estado empiece su proceso de ratificación. Martinez explicó que el proceso de firmas estará abierto hasta el 31 de diciembre de 2026.

“A lo interno, cada país tiene sus diferencias en procedimiento y apego a la normativa internacional. Pero en general, todos los estados miembros adheridos a la Convención Internacional deberán seguir un proceso que incluye la firma y posterior ratificación del acuerdo”, complementa el experto costarricense en ciberseguridad, Juan Ignacio Zamora.

Guatemala, como país miembro, ya participa de estas discusiones en el seno de la organización internacional. “Esto es muy positivo, pero el país necesita contar con leyes que tipifiquen los delitos cibernéticos para alinearse con las exigencias de la Convención”, expone Amílcar de León, consultor en ciberseguridad de la firma Devel Group/Cyber Center.

De conformidad con el ordenamiento jurídico, el Organismo Ejecutivo debe realizar las diligencias legales necesarias para concretar la adhesión y finalmente, el Organismo Legislativo debe aprobarla. “Para su eficacia, debe emitirse una ley interna, como la Ley de Ciberseguridad por ejemplo”, agrega Raúl Pérez Bámaca, de la Fiscalía contra Delitos Transnacionales del Ministerio Público.

En el caso de Guatemala, según las fuentes consultadas al respecto, corresponde iniciar el proceso de envío a las instancias competentes a nivel nacional para obtener sus opiniones y dictámenes. Posteriormente, se eleva al despacho del presidente para su ratificación y publicación respectiva en el Diario Oficial.

El CEO de Soluciones Seguras hace ver que, entre otros aspectos, la ratificación también implica desarrollar y fortalecer capacidades técnicas y humanas en las instituciones encargadas de la ciberseguridad y la Justicia y capacitar jueces, fiscales y equipos técnicos en materia de cibercrimen.

Desafíos en la implementación

Este proyecto recalca la tipificación de varios delitos cibernéticos, lo cual genera la necesidad de que, cada uno de los países miembros deben trabajar en materia de regulaciones, crear un marco jurídico local que permita la tipificación de estos delitos. En los últimos 10 años, Guatemala ha tenido varias iniciativas de ley relacionadas con el Cibercrimen o Ciberseguridad, sin lograr concretarse.

“Actualmente, en el Congreso de la República se cuenta con una iniciativa de ley de Ciberseguridad (6347) en proceso de revisión, la cual, ha tenido una gran participación por diferentes sectores (privados, gubernamentales, CERT Bancario, entre otros)”, expone German López, miembro de la Comunidad Bancaria de Ciberseguridad (BanCert).

De acuerdo con el análisis del contenido del borrador acordado por el Comité Intergubernamental de la ONU, se puede observar que, con la adhesión, Guatemala se beneficia del acceso a redes globales de intercambio de información y asistencia técnica en investigaciones cibernéticas; mejora en la capacitación de las autoridades nacionales en la prevención y persecución de cibercrímenes. Así mismo, facilita la modernización de leyes nacionales para enfrentar amenazas globales y ayuda a combatir delitos como el fraude financiero, reduciendo el impacto negativo en ciudadanos y empresas, detalla López.

Por otro lado, agrega, hay desafíos por atender como la falta de recursos y personal capacitado, lo cual puede dificultar la aplicación efectiva de los compromisos. Su visión es que es necesario garantizar el equipo adecuado guardando el balance correcto entre seguridad y privacidad.

Alcances de la Convención

Esta Convención, dice la Misión Permanente de Guatemala, ofrece diversos beneficios a los estados miembro como Guatemala, al establecer un marco internacional para enfrentar las amenazas emergentes en el ciberespacio, proteger datos personales y los derechos a la privacidad.

La Convención podría ser útil para facilitar el acceso a asistencia técnica y capacitación, proteger los derechos humanos y aumentar la capacidad de los futuros miembros para enfrentar de manera más eficaz los creciente desafíos del ciberdelito.

“Sin normas internacionales que se hagan cumplir, las víctimas tienen pocas opciones de defenderse”, de ahí que el país sea interesado en adherirse a dicha Convención, subraya la información proporcionada por la Misión de Guatemala ante la ONU.

11 delitos cibernéticos establecidos en la Convención

Se extraen del capítulo 2 del texto, subtitulado Criminalización.

Acceso ilícito: Entrada deliberada y no autorizada a un sistema de tecnología de la información.
Interceptación ilícita: Captura no autorizada de datos no públicos transmitidos a través de tecnologías de la información.
Interferencia con datos electrónicos: Alteración, borrado, daño o supresión de datos electrónicos sin autorización.
Interferencia con sistemas de tecnología: Obstaculización deliberada del funcionamiento de un sistema mediante manipulación de datos.
Uso indebido de dispositivos: Producción, adquisición o distribución de herramientas diseñadas para cometer delitos tecnológicos.
Falsificación informática: Creación o modificación de datos electrónicos falsos con intención de usarlos como auténticos.
Robo o fraude informático: Manipulación deliberada de sistemas tecnológicos para causar perjuicio patrimonial.
Material relacionado con abusos sexuales de menores: Creación, distribución o posesión de material que muestre abusos sexuales a niños.
Blanqueo de producto del delito: Conversión o transferencia de bienes obtenidos ilícitamente para ocultar su origen.
Instigación o captación con fines sexuales contra menores: Uso de tecnologías para contactar menores con intenciones sexuales ilícitas.
Difusión no consentida de imágenes íntimas: Distribución de imágenes íntimas sin el consentimiento de la persona afectada.

FUENTE: Lucha contra la utilización de las tecnologías de la información y las comunicaciones con fines delictivos, Naciones Unidas

PNC podría perseguir a estafadores en línea con nueva unidad de ciberseguridad y ciberdelitos

Tue, 10 Dec 2024 12:00:00 +0000

no permita que lo estafen

PNC podría perseguir a estafadores en línea con nueva unidad de ciberseguridad y ciberdelitos

Reformas a ley de PNC ordenan crear dirección que facilitaría capturar a estafadores en línea, pero dependen de tipificación de delitos . Expertos recomiendan complementar capacidades con legislación específica y una unidad rectora en la materia.

Ximena Fernández

10 de diciembre de 2024

06:00h

Las reformas aprobadas en la Ley de la PNC ordenan diversas dependencias, entre las cuales se menciona una Dirección de Ciberseguridad y Ciberdelincuencia. (Foto Prensa Libre: Hemeroteca)

Las reformas aprobadas el pasado 27 de noviembre a la Ley de la Policía Nacional Civil (PNC) -que data de 1997- ordenan la creación de una Dirección de Ciberseguridad y Ciberdelincuencia adscrita a una nueva dirección que se creará en la entidad.

Victoria Palala, diputada por el Movimiento Semilla y una de las ponentes de la ley, explicó que se incorporó el tema de ciberseguridad dentro de la ley de la Policía Nacional Civil (PNC) sabiendo que, desde la Comisión de Asuntos de Seguridad Nacional, se está por conocer y dictaminar la iniciativa 6347, Ley de Ciberseguridad. “Consideramos importante empezar a abordar el tema y por eso es que esta nueva ley tiene incluido este apartado aunque aún no aprobamos una Ley de Ciberseguridad”, aclaró Palala.

La diputada argumentó que se integró el tema para crear una vinculación previa y dotar a la entidad de las herramientas y la estructura necesaria para garantizar la investigación de los casos que sucedan dentro del ciberespacio. Debido a esto, Palala mencionó que se dejó establecido ese departamento, el cual se hará cargo de investigar los ciberdelitos.

Palala señaló que la policía desde antes de la aprobación de las reformas, ya se encargaba de los delitos ocurridos a través del ciberespacio. No obstante, no se cuenta con la estructura para poder formalizar y tipificar de mejor manera los crímenes que puedan ocurrir dentro de este ambiente.

LECTURAS RELACIONADAS

Criptomonedas no están prohibidas ni autorizadas: ¿está en riesgo el usuario?

Tres bloques políticos buscan discutir si iniciativa sobre ciberseguridad es viable

El mayor promotor de las reformas a la ley de la PNC fue Nery Ramos, presidente del Congreso, quien en un primer intento fallido por aprobar la ley elaboró, junto a diputados de la Comisión de Asuntos de Seguridad Nacional, una nueva propuesta con los puntos de vista de diferentes bloques.

Nueva dirección encargada de ciberdelitos

Dentro de la ley aprobada por el congreso, en el artículo 18, se describe la creación de una Dirección General, la cual será calificada como el órgano de dirección de más alto nivel de la PNC. “La Dirección General de la Policía Nacional Civil, tendrá dependencias de control que serán las encargadas de supervisar, controlar, investigar y sancionar al personal de la Policía Nacional Civil, así como fiscalizar los procesos administrativos y operativos”, sentencia la ley.

Además de esto, se crean dos direcciones más: la Dirección General Adjunta Administrativa y la Dirección General Adjunta Operativa. Esta última se describe en el artículo 20 como el órgano “encargado de coadyuvar al director general en la planificación, administración, control, dirección y ejecución de las actividades operativas de la PNC”. Asimismo, tendrá adscritas diversas dependencias, entre las cuales se menciona una Dirección de Ciberseguridad y Ciberdelincuencia.

La Dirección General Adjunta Operativa estará a cargo de un director general adjunto operativo, quien tendrá el grado de comisario general superior y será nombrado por el ministro de Gobernación, a partir de una propuesta del Director General de la PNC.

La función del director deberá ser estipulada en un reglamento, el cual deberá dictaminar el funcionamiento de la estructura orgánica. Este reglamento deberá ser entregado en el plazo de un año, a partir del inicio de la vigencia de la ley. Mientras esto sucede, se seguirán aplicando los reglamentos actuales. Palala señaló que el proceso de incorporación que tendrá la PNC les brindará suficiente tiempo para aprobar la Ley de Ciberseguridad.

Para la creación de este reglamento, Helver Beltetón, director general adjunto de la PNC asegura que buscarán involucrar a diferentes sectores, tanto de la institución policial, como el sector privado y público. Además de esto, Beltetón aseguró que para el reglamento de la estructura organizativa se tendrá la opinión de expertos en la materia de inteligencia en temas policiales para formar parte de la creación de la sección de ciberdelitos.

¿Cómo actuaría la PNC?

Actualmente, la PNC cuenta con una subdirección general de investigación criminal y dentro de esta, se encuentra un departamento específico de ciberdelitos, expresó Beltetón. No obstante, a partir de la nueva ley se estará elevando la categoría de este tipo de delitos, convirtiendo el departamento en una subdirección propiamente para los crímenes ocurridos en el ciberespacio. Esto quiere decir que esta subdirección obtendrá más recursos logísticos, humanos y materiales que actualmente.

En la ley, explicó Beltetón, se indica que las direcciones como la de ciberdelitos estarán a cargo de un comisario general, por lo que se estará buscando a la persona que cumpla con los requisitos establecidos. Asimismo, dentro del documento interno que le da vida a una subdirección, Beltetón enfatizó en que quedará estructurada específicamente la subdirección de ciberdelitos.

Para la persecución de este tipo de delitos, Beltetón aseguró que se cuenta con una coordinación estratégica con la Fiscalía que está a cargo de los ciberdelitos del MP. Además de esto, señaló el director general adjunto, se tendrán cámaras en las patrullas, cámaras corporales y cursos internacionales para capacitar y fortalecer el tema de investigación de este tipo de delitos en específico, esto a partir de cooperaciones internacionales, según comunicó Beltetón.

Según Francisco Quezada, investigador asociado al Centro de Investigaciones Económicas Nacionales (Cien) en el área de Seguridad y Justicia, la PNC tiene, dentro de su división informática, el personal y equipo técnico para el control de los ciberdelitos. No obstante, Palala aseveró que el problema llega al intentar presentar la denuncia, puesto que no existe un delito tipificado y por lo tanto no se puede sancionar.

De hecho, el principal desafío es que, si un guatemalteco busca presentar una denuncia por robo de datos financieros o de dinero por vías electrónicas, la ley solo le permite hacerlo por estafa menor.

Quezada planteó que cuando se trata de delitos de esta índole, le corresponde al Ministerio Público (MP), por disposición legal, investigarlos. Y en ese caso, la PNC sería auxiliar del MP en la investigación de estos casos. “La referencia propiamente a PNC tiene que verse dentro del contexto de investigar los delitos y prevenirlos”, sostuvo el investigador.

“No debe ser solo la PNC”

German López, miembro de la Comunidad Bancaria de Ciberseguridad (Bancert), sugiere que es necesario evaluar si la estructura actual de la PNC está preparada para asumir esta responsabilidad. “La ciberseguridad requiere recursos especializados, tecnologías avanzadas y personal altamente capacitado en análisis de datos, programación y monitoreo digital, lo cual puede ser un desafío si no existe una infraestructura adecuada” indica.

Alerta que, si bien la PNC puede jugar un papel importante en la ciberseguridad, particularmente en la investigación y persecución de delitos cibernéticos, no debería ser la única entidad responsable. “La ciberseguridad es un campo complejo que abarca aspectos técnicos, educativos, normativos y de colaboración internacional, por lo que requiere una institución especializada o multisectorial” señala.

E insiste: “dejar toda la responsabilidad en manos de la PNC podría ser ineficiente y limitar el alcance de las políticas de ciberseguridad, ya que estas trascienden el ámbito policial y requieren un enfoque interdisciplinario y estratégico”.

Para López, el modelo ideal debe incluir:

Un ente central especializado: Crear una agencia nacional de ciberseguridad que coordine esfuerzos, establezca políticas públicas y actúe como punto de contacto con organismos internacionales.
Colaboración con la PNC: La PNC puede enfocar sus esfuerzos en la investigación de ciberdelitos, trabajando en conjunto con esta agencia especializada.
Participación del sector privado y académico: Las empresas y universidades tienen un rol clave en la investigación, desarrollo de tecnologías y educación sobre ciberseguridad.

Pocas capacidades para perseguir ciberdelitos

Ataque a la integridad de los datos y sistemas informáticos, falsificación informática, acceso ilícito o apropiación de la identidad ajena son algunos de los ciberdelitos que la nueva Ley de Ciberseguridad, pendiente de dictamen, procura normar por no existir en la legislación guatemalteca.

Este es apenas uno de los pasos que requiere el Estado para poder combatir todo tipo de estafas que se producen o se propagan por canales digitales. En una entrevista con Prensa Libre, Ismael Cifuentes y Sara Alonso, secretario técnico y subsecretaria técnica del Consejo Nacional de Seguridad, respectivamente, confirmaron que todas las entidades del Estado requieren de una estructura mínima de prevención, alerta, protección, respuesta y recuperación para lo cual requieren personal especializado en la materia.

Además de capacidades y recursos mínimos, indicaron que cada institución debe implementar procesos de formación y sensibilización en todo su personal y que la estructura mínima incluye investigación cibernética y análisis forense de la evidencia cibernética.

Según López, “en ausencia de una ley, el sector público y privado deben trabajar conjuntamente para establecer medidas que mitiguen riesgos y fortalezcan la confianza de los usuarios en los sistemas digitales. Una legislación específica, sin embargo, proporcionaría un marco unificado y obligatorio para todos los sectores”.

El consenso entre especialsitas apunta a que cada entidad debe contar, al menos, con un equipo de respuesta a incidentes, un oficial de seguridad de la información (CISO), un departamento de gestión de riesgos, uno de operaciones de seguridad, de inteligencia de amenazas especializados en investigación de programas malignos (malwares) y análisis forense y uno de capacitaciones.

Complementos a normas de ciberseguridad

Palala manifestó que, debido a la complejidad del tema de ciberseguridad, se busca crear un paquete de leyes complementarias. A partir de este paquete, Palala indicó que se tipificarán los delitos y les darán mayores herramientas a los entes de investigación y al ente de justicia para poder sancionar respectivamente estos delitos.

Para Quezada, las versiones que se encuentran en el Congreso en este momento les falta desarrollo, puesto que el punto de la ley debería ser el de facilitar la comunicación y persecución entre países. Esto, justificó Quezada, es debido a que los ciberdelitos no siempre provienen del ámbito nacional, sino desde países distintos.

Dentro de esta ley, Quezada expuso que deberían tomarse en cuenta tres puntos principales:

Los convenios que hay entre países para poderlos perseguir de manera global (como el de Budapest o el de Naciones Unidas)
Política de estado de defensa a partir de un ente responsable y participación interinstitucional.
Revisión de tipificación de delitos informáticos para actualizarlos al esquema de cómo se están presentando este tipo de ilícitos.

López concluye que lo ideal sería que este apartado estuviera desarrollado en una ley específica de ciberseguridad. “Esto permitiría establecer roles claros, asignar recursos adecuados y garantizar que todas las instituciones pertinentes colaboren de manera efectiva. Sin un enfoque integral, existe el riesgo de que las medidas queden desarticuladas” dijo.

Criptomonedas no están prohibidas ni autorizadas: ¿está en riesgo el usuario?

Tue, 26 Nov 2024 12:00:00 +0000

no permita que lo estafen

Criptomonedas no están prohibidas ni autorizadas: ¿está en riesgo el usuario?

Autoridades no tienen tecnología para rastrear trazabilidad de transacciones, advierten expertos y autoridades y recomiendan retomar debate sobre si procede reglamentar actividad.

Enrique Canahui

26 de noviembre de 2024

06:00h

Según los expertos, las stablecoins o monedas digitales respaldadas por reservas en quetzales u otra moneda estable, son una alternativa a las criptomonedas. (Foto Prensa Libre: Freepik)

Con excepción de El Salvador, que adoptó el bitcóin como moneda de curso legal en 2021, en el mundo no existe una regulación estándar para la negociación de criptomonedas.

En Guatemala, es cada persona individual o jurídica que decida invertir en este tipo de transacciones la que queda como responsable de sus propias acciones.

De acuerdo con la Superintendencia de Bancos, “conforme a la ley monetaria vigente del país, el Quetzal es la única moneda de curso legal en el territorio nacional. Las criptomonedas, como bitcóin, ethereum, ripple y otras similares, no están reconocidas y no cuentan con el respaldo correspondiente. Tampoco están autorizadas para ser utilizadas como medios de pago en Guatemala”.

“La gente quiere retornos fáciles y rápidos. Al no tener una regulación, existe el riesgo de que terceros o una empresa de criptomonedas deje de existir de la noche a la mañana y no hay ningún respaldo local que pueda dar trazabilidad y exigir que le devuelvan al usuario parte del dinero que invirtió”, comenta José Amado, gerente de la Práctica de Identidades Digitales de la firma, Sistemas Aplicativos (Sisap).

LECTURAS RELACIONADAS

Estos son 8 ciberdelitos que se busca sancionar en Guatemala, sus multas y penas de cárcel

Gobierno carece de personal especializado para enfrentar ataques cibernéticos

Así, el primer riesgo al que están expuestos los usuarios está asociado a la regulación, ya que, al no existir un marco legal específico, los bancos locales no ofrecen servicios como custodia de criptomonedas o cuentas de ahorro en activos digitales. Ante esta situación, los usuarios interesados recurren a plataformas internacionales, lo cual aumenta el riesgo de estafas y fraudes. A la “nebulosa” que rodea la trazabilidad de las transacciones en criptomonedas, se añade, según el experto, su origen y destino, que ha facilitado actividades ilícitas como la extorsión o el lavado de dinero. En tal sentido, la investigación y seguimiento es todo un reto para las autoridades.

Ni prohibida ni permitida

Si bien en Guatemala no está regulado explícitamente el uso y comercio de criptomonedas, tampoco está prohibido. En consecuencia, nada impide que personas y empresas compren, vendan o intercambien criptomonedas.

Para que ese tipo de divisa pueda ser utilizada como moneda de curso legal en Guatemala, sería necesario que el Congreso apruebe una legislación específica que regule su circulación, tratamiento fiscal y aceptación como medio de pago. Esta ley tendría que definir cómo se gravan las transacciones en criptomonedas y establecer reglas para su integración en la economía formal.

Para evitar la volatilidad en el mercado, la alternativa sería adoptar las stablecoins o monedas digitales respaldadas por reservas en quetzales u otra moneda estable.

Para que puedan ser una moneda aceptada, se necesitarían regulaciones que protejan a los usuarios y definan cómo proceder en caso de disputas. Además, la normativa debería estipular las responsabilidades de los comercios y consumidores en el manejo de estas transacciones.

La StableCoin, es un tipo de criptomoneda que tiene un respaldo por activos. Este respaldo puede ser completo o parcial. Dos ejemplos de Stable coin son USD Coin (USDC) y Pax Dollar (USDP), las cuales mantienen una paridad de 1 a 1 con el dólar americano, explica German López, miembro de la Comunidad Bancaria de Ciberseguridad (Bancert). En este caso, el gobierno guatemalteco podría implementar una normativa de licenciamiento para las plataformas de criptomonedas, lo que garantizaría que cumplan con criterios de seguridad, solvencia y transparencia. Esta regulación sería clave para que estas empresas operen de manera segura y transparente en el país.

Así mismo, es crucial que estas plataformas implementen procedimientos de verificación de identidad y denuncia de transacciones sospechosas para prevenir el lavado de dinero y financiar actividades ilícitas.

LECTURAS RELACIONADAS

Cómo operaba en redes sociales y WhatsApp red de supuestos estafadores desarticulada por PNC

¿Cómo protegerse de las estafas en línea ante el inicio de la temporada de fiestas de fin de año?

Además, la normativa podría requerir que las plataformas de criptomonedas presenten auditorías regulares para demostrar que tienen fondos suficientes para cubrir las obligaciones con sus clientes y que sus operaciones son seguras. Esto también vendría a proteger a los usuarios en caso de problemas de liquidez, concluye el diputado Jorge Mario Villagrán, presidente de la Comisión de Asuntos de Seguridad Nacional del Congreso de la República.

Denuncias sin progreso

El fiscal Raúl Pérez Bámaca, de la Fiscalía contra Delitos Transnacionales del Ministerio Público confirma que, en algunos casos, esa fiscalía ha iniciado con la investigación de denuncias de este tipo de hechos por su posible vinculación transnacional, sin embargo, al no poderse determinar el lugar de la comisión del delito, consecuentemente se ha procedido al archivo de las diligencias. Por lo que, a su criterio, las entidades financieras y las entidades públicas de regulación deben tomar acción inmediata.

La falta de leyes claras dificulta contar con una infraestructura regulatoria que detecte y frene esquemas fraudulentos, como los Ponzi o las falsas ICOs (Ofertas Iniciales de moneda, por sus siglas en inglés y los fraudes financieros que suelen involucrar promesas engañosas de altos rendimientos. Estas tipificaciones de engaño pueden afectar a inversores desprevenidos. Aquí, la educación financiera es clave para evitar caer en estos engaños, expone Villagrán.

Por ahora, el uso de criptomonedas a nivel mundial es muy bajo como medio de pago, es más utilizado por inversionistas que “apuestan” al cambio de precio de estas, por ejemplo, el bitcóin, donde asumen todos los riesgos. “Una alternativa en estudio a nivel mundial, es que los bancos centrales emitan su propia moneda digital”, dice Álvaro González Ricci, presidente del Banguat.

El jefe de la banca central agrega que a nivel mundial no hay consenso si este tipo de actividad debe regularse. En aquellos países donde esto ha proliferado, se han hecho cambios legales donde lo que se busca es la protección del usuario, fundamentalmente cuando se usan como medio de pago, pero no cuando son usadas como un instrumento de inversión especulativa.

Es un desafío tecnológico para cualquier empresa que dese utilizar criptomonedas, no solo para las entidades financieras. También hace falta una cultura “digital” dentro de la población para su aceptación. “En general, las criptomonedas no han proliferado como medio de pago, precisamente por la falta de costumbre o confianza en la población”, finaliza González Ricci.

¿Cómo operan los criptomercados?

En Guatemala, las empresas que operan con criptomonedas suelen ser plataformas de intercambio (exchanges), empresas de tecnología financiera (Fintech) y operadores internacionales de billeteras electrónicas o e-wallets. Sin embargo, como se dijo anteriormente, estas actividades no están reguladas bajo una ley específica en el país, indica López.

Algunas empresas del ecosistema Fintech que operan con soluciones de pago digital en Guatemala, han comenzado a ofrecer servicios de intercambio de criptomonedas. Y aunque estas empresas intentan cumplir con normativas internacionales de KYC (Conozca a su cliente) y AML (Antilavado de dinero), componentes fundamentales en la lucha contra el crimen financiero y la falta de legislación nacional las coloca en una situación de incertidumbre jurídica, señala Villagrán.

Agrega que, las autoridades enfrentan grandes desafíos al intentar rastrear transacciones que se realizan en las plataformas de blockchain o cadenas de bloques, las cuales utilizan las criptomonedas, ya que requieren de herramientas forenses avanzadas y de personal capacitado en análisis de esos activos digitales. Además, la naturaleza transnacional de las criptomonedas complica la cooperación internacional, especialmente si el país carece de tratados específicos para el intercambio de información en casos de cibercrimen.

Actualmente, la mayoría de los bancos del sistema financiero rechazan las criptomonedas directamente debido a esa falta de regulación específica. Sin embargo, algunos lo empiezan a hacer por medio de alianzas con Fintech, las cuales, actúan como puentes entre los servicios financieros tradicionales y el mundo de las criptomonedas.

En la experiencia de la Fintech INBESTGO, su equipo de cumplimiento trabaja directamente con sus homólogos de bancos aliados para la prevención de fraudes y lavado de dinero. Esto ha sido clave en el desarrollo del ecosistema en Guatemala indica David Aw. cofundador y CEO de la empresa en mención, pionera en este tipo de negociaciones.

¿Regulación específica para criptomonedas?

Aw explica que en esa plataforma han implementado estándares internacionales de cumplimiento, como políticas KYC y AML, incluso sin una regulación obligatoria local. Esto asegura que operen de manera transparente y responsable. Sin embargo, creen que una regulación adecuada es necesaria y beneficiosa para fomentar la confianza y la seguridad, tanto para los usuarios como para las empresas.

La normativa debe tener requisitos de licenciamiento para empresas cripto. Esto existe de forma privada con los bancos. Sin embargo, tenerlo claro agiliza este tipo de emprendimientos. De igual manera, debe contar con estándares de seguridad cibernética.

Y aunque en el país se discute lo relativo a la creación de una ley de ciberseguridad, los entrevistados coinciden en que, la legislación que regule el uso de las criptomonedas requiere de una normativa diferente. Esto porque la primera se centra en la defensa y la resiliencia de las redes y sistemas informáticos, mientras que la segunda se centra en los aspectos financieros y de comercio digital de estas tecnologías.

Señales de alerta con las criptomonedas

De acuerdo con las fuentes consultadas, las criptomonedas traen innovación, pero también conllevan riesgos que los usuarios deben conocer, como las estafas o esquemas fraudulentos, pérdida de claves privadas que puede llevar a la pérdida total de fondos, así como ciberataques o phishing; intentos de obtener acceso a cuentas o billeteras de usuarios. Hasta el momento, los operadores de justicia en el Estado de Guatemala no cuentan con equipos tecnológicos para seguir este tipo de activos.

Rendimientos exorbitantes: Ofertas que prometen ganancias atractivas, incluso del 200%, sobre todo rendimientos superiores al 80-90% ya son alarmantes.
Personajes excéntricos: Muestran autos lujosos, ropa de marcas costosas y un estilo ostentoso. Su objetivo es convencer a través de su imagen y aparentar éxito.
Ofertas “irresistibles”: Usan frases como: “Es el momento de comprar porque está en descuento”. Carecen de respaldo legal, documentación clara o listado en plataformas reconocidas.
Sitios web aparentemente legales: Diseñan páginas profesionales para aparentar confianza. Hay que tomar en cuenta que tener un sitio web, en apariencia, bien hecho, no garantiza seguridad ni autenticidad.

Fuente: Forbes México, Eloisa Cadenas, confundadora del primer stablecoin mexicano, PXO, CEO de Cryptofintech y profesora del doctorado de criptoactivos por la Universidad Nacional Autónoma de México (Unam)

Estos son 8 ciberdelitos que se busca sancionar en Guatemala, sus multas y penas de cárcel

Tue, 12 Nov 2024 12:00:00 +0000

no permita que lo estafen

Estos son 8 ciberdelitos que se busca sancionar en Guatemala, sus multas y penas de cárcel

Expertos recomiendan una revisión más profunda en cuanto a la parte jurídica de la Ley de Ciberseguridad, para que sea más concreta, pues hay verbos que no están bien definidos y, en la práctica litigante, pueden convertirse en vacíos legales o reiterarse con lo establecido.

Enrique Canahui

12 de noviembre de 2024

06:00h

Pese a que la comisión legislativa que analiza la Ley de Ciberseguridad dice que se hicieron las consultas pertinentes para tipificar los nuevos delitos, juristas tienen comentarios. (Foto Prensa Libre: Freepick)

En Guatemala, el Código Penal tipifica ciertos delitos informáticos, para los cuales, hay penas asignadas. Sin embargo, estos no corresponden a las modalidades de los ilícitos que se cometen utilizando redes o sistemas informáticos.

Esa ausencia es la que pretende suplir la iniciativa 6347, Ley de Ciberseguridad que la Comisión de Asuntos de Seguridad Nacional del Congreso de la República tiene en revisión previo a ser dictaminada para presentarla a discusión ante el pleno. Pero, en opinión de profesionales del derecho consultados por Prensa Libre, aún requiere de una revisión profunda desde el punto de vista penal.

Según esta propuesta, los profesionales del derecho pueden interpretar la proporcionalidad en función del tipo y la afectación del delito cometido, alineándose también con los estándares internacionales del Convenio de Budapest, el cual enfatiza la proporcionalidad en la persecución y sanción de ciberdelitos, especialmente cuando involucran el uso de tecnologías para afectar derechos fundamentales, dice el costarricense, Juan Ignacio Zamora Montes de Oca, máster en Derecho Informático.

“Se tipifican delitos existentes”

El objeto principal de la iniciativa 6347, entre otros según su Artículo 1, es “la tipificación de conductas delictivas, para prevenir erradicar y sancionar los ciberdelitos. Así mismo, se estipulan reglas procesales necesarias para incorporar los medios de prueba digitales que permitan la obtención de evidencias y pruebas electrónicas en el proceso penal, para una investigación eficaz y la cooperación interinstitucional e internacional en la materia”.

LECTURAS RELACIONADAS

Ciberseguridad: Qué es el convenio de Budapest y por qué se busca integrar a Guatemala

Piden que ley de ciberseguridad respete el libre pensamiento al regular delitos y sanciones

De acuerdo con ese planteamiento, la Ley de Ciberseguridad que se pretende aprobar en el Congreso de la República, estaría tipificando, como su nombre lo indica, los “ciberdelitos” o “delitos informáticos” que, específicamente no existen en la legislación del país.

En ese aspecto, los abogados entrevistados coinciden en que dicha tipificación tanto en la definición de las figuras delictivas como en las penas que se les asignan guardan concatenación con el Código Penal, aunque no necesitan hacerlo por el hecho de que cada ley es totalmente autónoma y cada país va gravando según su conveniencia y la naturaleza de lo que se quiere proteger.

Estos son algunos de los hechos ilícitos tipificados en el Título II, los cuales se basan en el número del salario mínimo vigente, para actividades no agrícolas.

Artículo 7. ACCESO ILÍCITO prisión de 4 a 6 años y multa de 20 (Q.72,691.80) a 200 (Q.726,918.00) salarios mínimos mensuales vigentes para actividades no agrícolas.

Artículo 8. INTERCEPTACION ILICITA prisión de 6 a 10 años multa desde 100 (Q.363,459.00) a 200 (Q.726,918.00) mínimos mensuales vigentes para actividades no agrícolas.

Artículo 9. ATAQUE A LA INTEGRIDAD DE LOS DATOS INFORMÁTICOS

Prisión será de 5 a 7 años y multa de 100 (Q.363,459.00) a 200 (Q.726,918.00) salarios mínimos mensuales vigentes para actividades no agrícolas.

Prisión será de 6 a 8 años y multa de 200 (Q.726,918.00) a 500 (1,817,296.50) salarios mínimos mensuales vigentes para actividades no agrícolas.

Artículo 10. ATAQUE A LA INTEGRIDAD DEL SISTEMA INFORMÁTICO

prisión de 6 a 9 años y multa de 100 (Q.363,459.00) a 300 (Q.1,090,377.90) salarios mínimos mensuales vigentes para actividades no agrícolas.

prisión 7 a 10 años y multa de 100 (Q.363,459.00) a 500 (1,817,296.50) salarios mínimos mensuales vigentes para actividades no agrícolas.

Artículo 11. FALSIFICACIÓN INFORMÁTICA. Prisión 2 a 6 años y multa de 20 (Q.72,691.80) a 200 (Q.726,918.00) salarios mínimos mensuales vigentes para actividades no agrícolas.

Artículo 12. APROPIACIÓN DE IDENTIDAD AJENA.

prisión de 3 a 6 años y multa de 40 (Q. 145,183.60) a 100 (Q.363,459.00) salarios mínimos mensuales vigentes para actividades no agrícolas.

prisión de 4 a 7 años y multa de 40 (Q. 145,183.60) a 200 (Q.726,918.00) salarios mínimos mensuales vigentes para actividades no agrícolas.

Artículo 13. ABUSO DE DISPOSITIVOS. prisión de 3 a 6 años y multa de 20 (Q.72,691.80) a 200 (Q.726,918.00) salarios mínimos mensuales vigentes para actividades no agrícolas.

Artículo 14. FRAUDE INFORMÁTICO. prisión de 4 a 8 años y multa de 100 (Q.363,459.00) a 300 (Q.1,090,377.90) salarios mínimos mensuales vigentes para actividades no agrícolas.

Fuente: Iniciativa de Ley 6347.

Derecho reparador o sancionador

Zamora refiere que la iniciativa 6347 propone procedimientos para la confiscación de activos obtenidos a través de actividades fraudulentas. En los artículos 24 y 25 se mencionan las medidas de recuperación de activos, instando a la colaboración interinstitucional e internacional para localizar y recuperar bienes mal habidos. Ambos se alinean al estándar internacional en el combate de ciberdelitos.

Si bien el Convenio de Budapest no fija montos ni penas exactas, en su Artículo 13, el mismo respalda la idea de penas efectivas y disuasorias. “Ambos documentos (la iniciativa 6347 como el Convenio), reflejan la importancia de adaptar las penas a la naturaleza y la severidad del delito, en función de su impacto en la seguridad pública”, indica Zamora.

Por otro lado, observa; “la iniciativa sugiere penas que podrían variar entre los 2 y 10 años de prisión dependiendo de la gravedad del ciberdelito, el impacto en la sociedad y la infraestructura crítica. Aquí es donde debe de tomarse en cuenta qué busca el Derecho Penal a nivel de Guatemala y del proceso, si pretende aplicar un derecho penal reparador o sancionador”, observa Zamora.

Para el abogado litigante César Calderón, los delitos contenidos en el proyecto de ley, así como los verbos que han puesto para cada delito, avanza la mayor cantidad de fenómeno criminológico cibernético. “Si en el futuro se inventa algo más, bastará con agregarle nominaciones adjetivos o verbos a la ley”, indica.

Hay que tomar en cuenta que ninguno de los delitos de esta iniciativa de ley puede ser considerado un delito menos grave, por lo que son competencia de los Juzgados de Primera Instancia. Por consiguiente, el procedimiento que deberá seguirse obligadamente es el penal común, expresa Abraham Girón, abogado penalista y consultor.

Observa que, con la creación de la figura de “Fraude informático” contenido en el artículo 14 de la iniciativa de ley, se impone una pena de 4 a 8 años; sin embargo, la redacción de ese artículo es confusa desde su punto de vista y podría representar un problema determinar cuándo se debería aplicar ese delito y cuando se aplica la estafa que se señala en el Código Penal, cuya penalización va de 6 meses a 4 años, por lo que es considerado como un delito menos grave y por lo tanto excarcelable.

¿Una ley de traspaso?

Según Girón, en lo que a la confiscación en particular se refiere, la iniciativa de ley no aporta nada diferente a lo ya regulado en la legislación procesal vigente, al punto que no hay un artículo en concreto que se refiera a esos elementos. “Remite al Código Procesal Penal, con lo que ni siquiera debieron regular tal tema en esa iniciativa”, subraya.

De acuerdo con el abogado y notario litigante Wellington Puac, a la iniciativa le falta mucho para que sea una ley técnica. “La ley es muy ambigua. Como abogados litigantes, vemos muchísimos vacíos que los defensores pueden utilizar para tener sentencias absolutorias, dando como resultado que las acciones queden impunes”.

Para Girón, “siendo la ley de ciberseguridad un tema que no se ha regulado en el país, sí requiere de una discusión profunda y merece una mayor revisión, porque precisamente la ciberseguridad debe iniciar con un sistema legal completo, claro y eficiente que permita la flexibilidad y agilidad que conlleva el mundo digital, debería de pensarse un poco en el “soft law”, como modalidad para proveerle eso a la regulación sobre ciberseguridad”, apunta.

LECTURAS RELACIONADAS

La ley que facilitaría perseguir a estafadores en línea en Guatemala

Buscan aprobar ley de ciberseguridad antes de que termine el año

“Ley debe ir más allá”

Por otro lado, si bien el Convenio de Budapest no fija montos ni penas exactas, su exposición en cuanto a los tipos penales que maneja, se lee más sencilla y clara, con respecto a cómo se plantea en la iniciativa de ley en proceso de aprobación. Esto es debido a que los convenios son guías directivas sobre las regulaciones mínimas que deben tener los Estados Parte. “En ese sentido, la iniciativa de ley debería arriesgarse a ir más allá en los mínimos propuestos en el Convenio y adecuarlo más a la realidad criminal que afronta el país en lo cibernético” apunta el abogado Girón.

Hace la observación de que ese Convenio tiene dos protocolos adicionales los cuales regulan diferentes aspectos. “Estos no son considerados por la iniciativa, por lo cual sería oportuno que, si se va a dar la aprobación de una ley en materia de ciberseguridad, se aproveche a efectuar una regulación general que aborde todos los aspectos relacionados al Convenio de Budapest”, expresa el jurista.

El abogado Puac, observa que en el Titulo II, de la iniciativa 6347 el cual regula los “Ciberdelitos”, lo que hay, son acciones (no hay omisiones), por lo tanto, son acciones dolosas, realizadas con intención de causar un daño, típicas, antijuridicas, culpables y punibles, reguladas con el fin de proteger y/o restaurar un bien jurídico que protege la legislación guatemalteca. Por consiguiente, a su criterio, con el fin de no gozar de medidas sustitutivas, la pena mínima de prisión debería ser de 6 años y la máxima de 15.

Por aparte el fiscal Raúl Pérez Bámaca, de la Fiscalía contra Delitos Transnacionales del Ministerio Público (MP), indica que se han discutido los elementos de las nuevas figuras delictivas contenidos en la iniciativa de ley y consideran que, al menos con la pena mínima de seis años de prisión, se tendrá la oportunidad de ejercer una persecución penal efectiva y eficaz para neutralizar el fenómeno criminal. De esa cuenta, los operadores de justicia ya no tendrán la excusa de obligar a fases conciliatorias o administrativas previas como sucede ahora.

Revisar regla de reparación digna

Para el abogado Calderón, al especificarse en la iniciativa de ley que las penas tienen de 4 a 6 años de cárcel, está indicando que al pasar de 5 años no va a ser excarcelable y que necesariamente el sentenciado va a ir a la cárcel hasta por 10 años.

Ahora, lo que va a variar, dice, es la multa, ya que aquí entran varios elementos y entre estos va la reparación digna. Si en la reparación digna la defraudación ha sido mediante informaciones contables, bancarios de empresas mercantiles y la pérdida es alta, así va a ser la reparación digna. Si se defraudaron Q5 millones, entonces va a ser tan exagerada como el monto que pudieron haberse apropiado mediante el ciber delito.

En ese aspecto, la reparación digna que se da en una de las últimas fases en el proceso penal está establecida en la iniciativa que la confiscación se hará en la investigación y estará en resguardo del MP. En tal sentido es necesario hacer una evaluación de un equipo multidisciplinario para verificar si el ente perseguidor tiene la capacidad de resguardar los datos, o la mora de investigación producirá más daños que el propio delito, advierte el abogado Puac.

Para el abogado litigante Miguel Balsells, el texto sobre cómo recuperar los datos de las personas que los supuestos ciberdelincuentes hayan obtenido por medio de actividades fraudulentas, no es muy específico.

Según Zamora, el Convenio de Budapest, en sus Artículos 14 y 19, establecen de manera general, mecanismos específicos para la preservación rápida de datos y la cooperación para la recuperación de activos ilícitos.

Descargo

En la Comisión de Asuntos de Seguridad Nacional, a cargo de analizar la iniciativa en cuestión, han recibido opiniones similares de otros profesionales a los que han consultado en ese procedimiento, las cuales “se han atendido y se han venido corrigiendo”, indica el diputado Jorge Mario Villagrán, presidente de dicha comisión.

“En dado caso, cuando es necesario, se han realizado las modificaciones respectivas, dependiendo de la temática y el fondo de la misma. Los comentarios observados se basan en la iniciativa original, tal cual se recibió en la Comisión y resuelven muchas de estas inquietudes emitidas” indica el diputado.

Añade que esos argumentos 2ya fueron procesados por el Ministerio Público y por jueces del Organismo Judicial “en donde están de acuerdo en que la tipificación del delito como está es la correcta. De ahí la discordancia de lo comentado con la realidad”.

“En la página Web del Organismo Legislativo está la iniciativa original 6347, la cual es la que llega a la Comisión. Ya la versión revisada por la Comisión no, porque esa versión revisada es la que se dictamina y es la que pasa a pleno para su lectura, ese es el procedimiento. Esa versión nunca se publica antes”, enfatiza el diputado Villagrán.

Consultado Diego Ronquillo, asesor legal del diputado José Pablo Mendoza, ponente de la iniciativa 6347, aclara que la Comisión de Asuntos de Seguridad Nacional “se encuentra analizando las penas para elevarlas según los principios de racionalidad, proporcionalidad y realidad del derecho penal”.

Añade que, en cuanto a los protocolos no considerados del Convenio de Budapest, “actualmente están en discusión de la Comisión, porque hay materias de los protocolos que ya están regulados en las leyes del país”.

“A diferencia del delito de estafa propia, el delito de fraude informático contempla como móvil del delito, el uso de las tecnologías de la información y las comunicaciones (Tics); asimismo, el bien jurídico tutelado es el activo patrimonial de las personas” defiende Ronquillo.

Ciberseguridad: Qué es el convenio de Budapest y por qué se busca integrar a Guatemala

Tue, 29 Oct 2024 12:00:00 +0000

no permita que lo estafen

Ciberseguridad: Qué es el convenio de Budapest y por qué se busca integrar a Guatemala

Tener acceso a recursos técnicos y financieros si el país es blanco de los ciberdelincuentes es el principal argumento de los promotores para adherir al país. El plazo límite es abril de 2025.

Enrique Canahui

29 de octubre de 2024

06:00h

Expertos en ciberseguridad confirman que quedarse fuera del Convenio de Budapest deja vulnerables a las empresas, el Estado y a los propios usuarios. Foto con fines ilustrativos. (Foto Prensa Libre: Freepik)

Cuando Costa Rica sufrió la interrupción de sus servicios críticos por un ataque cibernético a más de 30 de sus instituciones en abril de 2022, se acogió al Convenio de Budapest para recuperar sus sistemas afectados y acceder a fondos para los US$10 millones que le exigían los cibercriminales.

El gobierno de ese país no tuvo otra opción que pagar por recuperar los datos intervenidos. Posteriormente, reportó que más del 90% de los sistemas comprometidos en el seguro social se recuperaron, pero la restauración completa dejó costos y daños colaterales estimados en millones de dólares.

Este ataque evidenció la vulnerabilidad de la infraestructura digital en el ámbito gubernamental y la creciente amenaza de ciberataques. El Convenio de Budapest es un instrumento que incluye estándares internacionales mínimos y normativa de derecho internacional relacionada con el tema de ciberseguridad.

Sin ley de ciberdelitos

Guatemala está pendiente de aceptar y ratificar dicho convenio internacional, por no tener —todavía— una legislación homologada con los requisitos que le dan vida a ese instrumento. En la actualidad existe una iniciativa pendiente de dictamen en el Congreso, que es la 6347.

LECTURAS RELACIONADAS

Piden que ley de ciberseguridad respete el libre pensamiento al regular delitos y sanciones

Buscan aprobar ley de ciberseguridad antes de que termine el año

Adoptar una base legal, ampliamente aceptada internacionalmente como lo es el Convenio de Budapest, permite a los países avanzar más rápidamente en materia penal contra la ciberdelincuencia. “No aprovechar estos avances realizados por la comunidad internacional sería equivalente a “reinventar la rueda” en términos de legislación en ciberseguridad”, comenta Luis Cabrera, miembro de la Comunidad Bancaria de Ciberseguridad (BanCert).

De la aprobación de una ley como la contenida en la 6347 se desprendería,

además de la regulación, la creación de juzgados especializados en ciberdelitos. Sin estos, el Ministerio Público no puede presentarlos con esa figura y los jueces se ven en la tarea de tipificar los actos ilícitos en figuras que ya existen en la legislación común.

“Lo que hace Budapest, es tratar de que todos hablemos un mismo lenguaje a nivel internacional y que la figura del ciberdelito en el país donde ha ocurrido el incidente pueda ser homogenizada. Por eso, la regla general es que las penas tienen que ser similares”, indica Luis Morales, asesor de la Comisión de Asuntos de Seguridad del Congreso de la República.

Agrega que ser parte del convenio abriría las puertas al mundo con los países que ya están adheridos, considerando que este tipo de hechos ilícitos evolucionan constantemente y que los países, por sí solos, tardan más en desarrollar una aplicación que en ver cómo lo vulneran.

Para proteger esa infraestructura crítica del país, se hace precisa la ley de ciberseguridad, iniciativa que se analiza en el Congreso de la República, la cual incluye la parte del ciberdelito y ciberdefensa. Pero hace falta trabajar en la iniciativa sobre infraestructura crítica específicamente, así como en la de protección de datos. Esta última en fase de trabajo por parte del diputado ponente, José Pablo Mendoza, de la bancada Compromiso, renovación y orden (Creo).

¿Se puede prorrogar?

Sin embargo, para Edie Cux, titular de la Comisión presidencial de Gobierno Abierto y Electrónico (GAE) “no hay ningún tipo de restricción por parte del país, es algo que se ha hablado con el Ministerio de Relaciones Exteriores en que se pueda solicitar una prórroga sobre la invitación. En otras palabras, no hay que correr con la aprobación de una ley. Lo que sí hay que hacer es, si se va a normativizar, tienen que hacerse las consultas, consensuarse entre todos los organismos del Estado, incluso la banca que está más avanzada en ese tema y que efectivamente se vaya cumpliendo con los estándares para poderlo conversar”.

Si bien se puede esperar, e incluso hacer alianzas con otros instrumentos internacionales para la adopción de mejores prácticas y estándares en la ciberseguridad, Jorge Alfaro miembro de Bancert, considera que por medio del Convenio de Budapest “es más directo”, pues puede ayudar a las instituciones a fortalecer y proteger sus sistemas con información sensible de clientes o ciudadanos por medio de la confiabilidad, integridad y disponibilidad de estos.

El Minex confirmó que, “según el procedimiento general del Consejo de Europa, el propósito del período de validez de la invitación a la adhesión es que el Estado interesado tome las medidas necesarias para asegurar que su legislación nacional le permitirá la aplicación del Convenio”.

Añade que: “lo procedente será que, con base en los avances en las medidas que Guatemala vaya logrando para asegurar el cumplimiento de las obligaciones a ser asumidas al hacerse parte del Convenio de Budapest, se lleve a cabo el cabildeo necesario para gestionar una nueva invitación a Guatemala”.

Alfaro expone que la necesidad de implementación de nuevas normativas y la mejora de infraestructura podrían movilizar inversiones tanto del sector público como privado, fomentando el desarrollo de la industria local de ciberseguridad. “La adhesión puede estimular programas de educación y concienciación sobre ciberseguridad, tanto en el ámbito corporativo como en la ciudadanía, contribuyendo así a una cultura de seguridad más robusta”, complementa.

“Es fundamental que las instituciones gubernamentales privadas y académicas trabajen en conjunto para garantizar que la implementación del convenio sea efectiva y alineada con las necesidades del país. De esa forma, garantizar que las políticas implementadas no comprometan los derechos y libertades de la sociedad civil y los consumidores”, agrega German López, quien también integra la mesa de Bancert.

Próximos pasos

Desde el punto de vista penal, dice Cux, el Congreso de la República tendría que hacer la ponderación de la iniciativa con base en el Convenio de Budapest. La discusión de esa ponderación no es mínima: primero, hay que definir cuáles son los medios rectores, cuáles van a ser las penas, cuál es el bien jurídico tutelado o la afectación; si afecta a una base de datos o a un conjunto de personas. “Eso ayudaría a definir cuáles son delitos cibernéticos en Guatemala. Y es algo que debería de estar contemplado en la ley que se está proponiendo para evitar ajustes o reformas posteriores”, apunta el comisionado.

Por lo mismo, a su criterio, hay que ampliar más la conversación, hay expertos que pueden apoyar a crear una ley más fortalecida, consensuada y legitimada, lo cual es lo más correcto que se puede hacer. Incluso, dice, hace falta hacer un análisis de estándares comparados para viabilizar que la ley vaya coherente.

En ese aspecto, es necesario homologar la ley con los requisitos de la Convención de Budapest, pues una cosa es hacer la ley y otra, sí esta coincide o no con el contenido de dicho convenio, indica Secil de León, catedrático universitario y analista internacional.

Como decisión de país, en este caso, del Ejecutivo, el presidente por medio del Ministerio de Relaciones Exteriores tendría que solicitar el ingreso para ser parte de la convención. Una decisión que después, lo tiene que ratificar el Congreso. Ese es el procedimiento, “Hacer la ley no significa que automáticamente vamos a entrar a una convención ni solicitar ser parte de. Ese es otro trámite adicional”, subraya el jurista.

Al contar con la ley, se supone que Guatemala ya tendría avanzado un paso que es la homologación de los dos cuerpos legales. La convención tiene definiciones, conceptos y delitos que están tipificados y desarrollados. “En nuestra propuesta de ley tenemos que adherirnos a las definiciones, a los delitos, homologarlos. Si no coinciden, se tienen que hacer las reformas para que sea coherente con la convención internacional. Es algo que tiene que ir en la ley, no en el reglamento porque éste es sólo operativo”, advierte.

También hace la observación de que la ciberseguridad y la ciberdefensa son dos ámbitos distintos. En ese sentido, el Ejército ya creó un comando de Defensa en ciberseguridad. Lo que no se sabe es si en la iniciativa, se denomina al Ministerio de Gobernación como el ente responsable, pues según la Constitución Política de la República, Artículo 244, la seguridad y la defensa son temas del Ejército. Pero la firma de los Acuerdo de Paz lo dividió y al Ejército sólo le corresponde la defensa, mientras que la ciberseguridad, sería una responsabilidad de gobernación, del poder civil, detalla.

“Habría que ver, cómo están haciendo eso en la iniciativa de ley, porque en el mundo la ciberseguridad es un ámbito y la defensa es otro. Sólo en Guatemala, constitucionalmente el ejército cumple las dos funciones. Algo que, en los Acuerdos de Paz, están divididos”, apunta De León.

Enfatiza en la necesidad de crear una entidad rectora estatal, para que sea la que represente a Guatemala en el tema de la ciberseguridad frente a la convención internacional. “Algo que, en ocasión de la ley, es oportuno hacer, si se toma en cuenta que, ser parte de; la cooperación internacional viene a ser una vía para que países como los nuestros, tengan acceso a ese tipo de beneficios”.

Según Cabrera, adherirse al Convenio de Budapest es un paso necesario porque no hacerlo oportunamente, “deja vulnerables a los ciudadanos ante ciberataques, sin poder contar con las mejores prácticas jurídicas en esa materia”. De igual manera, añade, la población se quedaría sin los mecanismos de intercambio de información y herramientas de ciberdefensa y ciber resiliencia, comprometiendo la soberanía de nuestro ciberespacio.

¿Qué es el convenio de Budapest y cómo adherirse?

El convenio de Budapest es un esfuerzo colaborativo que implica el intercambio de información, experiencia y tecnología entre los países firmantes. Uno de estos mecanismos de intercambio es la red 24/7, en la cual cada país designa un punto de contacto localizable las 24 horas del día los siete días a la semana, con el fin de garantizar una asistencia inmediata para investigaciones sobre ciberdelitos, asesoramiento técnico, obtención de pruebas, suministro de información jurídica, entre otras ventajas, indica Cabrera de Bancert.

A la fecha más de 66 países se han adherido al convenio, entre ellos, varios de la región Latinoamericana como Costa Rica, Panamá, Argentina, Chile, Colombia y Paraguay. Hay otros invitados a hacerlo como en el caso de Guatemala, cuyo plazo para que lo haga, se vence en abril próximo.

Consultada la Dirección General de Asuntos Jurídicos, Tratados Internacionales y Traducciones del Ministerio de Relaciones Exteriores, indicó que el Convenio sobre la Ciberdelincuencia es un tratado del Consejo de Europa al que Guatemala solo puede acceder mediante adhesión, a través de una invitación del Comité de Ministros del Consejo de Europa, con el consentimiento unánime de los Estados Parte (Art. 37.1 del Convenio).

“El Ministerio de Relaciones Exteriores gestionó oportunamente ante la Unión Europea la invitación del Comité de Ministros del Consejo de Europa para la adhesión de Guatemala al Convenio. La decisión fue adoptada por el Comité el 22 de abril de 2020 y la invitación es válida por cinco (5) años a partir de entonces, hasta el 21 de abril de 2025” defiende la institución.

Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea.

Piden que ley de ciberseguridad respete el libre pensamiento al regular delitos y sanciones

Tue, 15 Oct 2024 12:00:00 +0000

no permita que lo estafen

Piden que ley de ciberseguridad respete el libre pensamiento al regular delitos y sanciones

Sectores de sociedad civil y expertos reconocen necesidad de normar ciberdelincuencia sin que proceso implique vulnerar libertad de expresión.

Enrique Canahui

15 de octubre de 2024

06:00h

La Comisión que analiza la ley también contempló crear la unidad de policía especializada en delitos electrónicos. (Foto Prensa Libre: Hemeroteca)

La nueva iniciativa de ley sobre ciberseguridad para perseguir delitos como las estafas en línea, la suplantación de identidad o el fraude electrónico debe evitar vulnerar la libre expresión, según especialistas del sector privado y de la sociedad civil.

Las consultas a los expertos se dan en el contexto de el más reciente intento de promulgar una ley similar que terminó siendo archivada por el Congreso el pasado 1 de septiembre de 2022. En esa oportunidad, se archivó el Decreto Número 39-2022, que contenía la “Ley de Prevención y Protección contra la Ciberdelincuencia. La ley creaba figuras delictivas y adecuaba normas penales frente a delitos cibernéticos, pero recibió varias objeciones de diversos sectores por considerar que vulneraba la libertad de expresión y podría callar críticas contra funcionarios y políticos.

“Es la quinta vez que se intenta crear esta ley. Es un tema que tiene que ir de la mano con otras leyes adicionales como el ciberdelito, la de privacidad de los datos y la tipificación de los delitos”; indica Jorge Utrera, analista forense digital e investigador asesor de Sistemas Aplicativos (Sisap).

“Es importante aclarar que la iniciativa 6347, en discusión, no está en contra de la libre emisión del pensamiento. En ninguno de sus artículos se refiere a prohibición alguna en este aspecto. Lo que hace es perseguir delitos específicos, como una estafa por medio de herramientas digitales. Cuidamos mucho las palabras que contiene porque una mala interpretación puede botar su aprobación como sucedió en el 2022, al ser tergiversada la ley”, expone el diputado presidente de la Comisión de Asuntos de Seguridad Nacional del Congreso de la República, Jorge Mario Villagrán Álvarez.

Manfredo Marroquín, de Acción Ciudadana –que es el capítulo de Transparencia Internacional en Guatemala– recomienda una coordinación “muy efectiva” para que la ley no quede en letra muerta por la urgencia de aprobarla. “Ya tenemos la experiencia anterior, de esos “mamarrachos” que responden a intereses políticos y no a un interés nacional. Esa es una buena lección de lo que no se debe hacer”, recuerda.

LECTURAS RELACIONADAS

Gobierno carece de personal especializado para enfrentar ataques cibernéticos

La ley que facilitaría perseguir a estafadores en línea en Guatemala

Insumos para el accionar legal

Esta propuesta, dice Villagrán, contiene delitos específicos en temas de ciberseguridad que incluyen sanciones penales como económicas. Eso implica dotar de las herramientas legales necesarias, tanto al Ministerio Público (MP) como al Organismo Judicial (OJ) para que procedan automáticamente con las denuncias en materia de ciberdelitos que lleguen a sus manos.

Al convertirse en ley, se contempla la provisión de insumos a esos organismos para la creación de fiscalías como juzgados especializados que van a requerir personal capacitado previamente. En este caso, son las instituciones las que deciden, de acuerdo con su normativa interna, si pueden o no, hacerlo antes de que la ley exista y lo exija, comenta Luis Morales, asesor de la Comisión de Asuntos de Seguridad Nacional, quien sigue de cerca el proceso de ciberdefensa que se incluye en la iniciativa 6347. “En la iniciativa se consideran penas altas pues se busca que la normativa impulse un disuasivo para que la gente evite incurrir en este tipo de delitos”, agrega el asesor de la Comisión.

Consultada la Fiscalía contra Delitos Transnacionales del Ministerio Público, indica que los delitos que propone la ley hacen la diferencia entre los que ya existen y los enfocados en temas de ciberseguridad. Los nuevos tipos penales que contiene la iniciativa 6347, se basan en la convención de Budapest. Son los mismos tipos penales que se han conocido en por lo menos cinco iniciativas, incluyendo la actual en discusión.

La Fiscalía aclara que el marco de actuación del MP es constitucional, el cual está sometido a “controles de convencionalidad”. Por consiguiente, la presente iniciativa “no le puede otorgar herramientas de actuación que vulneren esos principios”.

Actualmente, prosigue la fiscalía, “al no existir un marco normativo que regule la comisión de ilícitos penales especiales para estos casos de supuestas estafas menores, la sociedad y los jueces los analizan como delitos menores graves, obligando, en cierto momento a, agotar procedimientos conciliatorios o etapas administrativas previas a poder deducir de primera mano, una responsabilidad penal, limitando al MP, el accionar con efectividad y eficacia, ya no digamos, para poder requerir información a otros países, cuando la persecución delictiva es de índole internacional. De ahí que, aún, existiendo la posible comisión de un delito que no está tipificado en la legislación, sea necesario contar con ese marco jurídico, para deducir responsabilidad penal a aquellas personas que se aprovechan de las TICs, para llevar a cabos hechos delictivos de esa índole”.

Policía especializada

Villagrán explica que, de acuerdo con la propuesta de ley, el procedimiento de investigación se divide en dos. Primero, tiene que haber una denuncia ante la Policía Nacional Civil (PNC) o el MP. El ente perseguidor debe determinar si únicamente ocurrió a nivel nacional y tiene que seguir su curso como tal, con investigación, sanciones, multas y todo lo que debe proceder.

Si tiene alcance internacional, con impacto económico, en el curso de investigación se involucra al Centro de Respuesta a Incidentes de Seguridad Informática de Guatemala (CSIRT); que es un equipo de expertos en seguridad de las tecnologías de información y comunicación encargado de prestar el apoyo necesario a entidades públicas y privadas para recuperar los sistemas. Mientras la investigación por parte del MP sigue su curso.
Obviamente, aquí se involucran más instituciones en coordinación con la cooperación internacional para dar con las personas detrás de ese delito. Para estas acciones es oportuna, entre otras ventajas, las alianzas y convenios internacionales.

Es por eso que, aprovechando la reforma de la Ley de la PNC, que está en tercera lectura en el Legislativo, la Comisión contempló crear la unidad de policía especializada dentro de la ley de ciberseguridad, indica el diputado presidente de la Comisión de Asuntos de Seguridad Nacional.

A lo anterior, el analista forense digital e investigador asesor de Sisap, comenta que.
“es una forma rápida de contar con un equipo de respuesta a incidentes solicitada por la ley. Cada institución debe tener una organización de departamentos con personal que reúna esas calidades y competencias”.

Los delitos por perseguir tipificados en la ley son acceso ilícito, interpretación ilícita, ataque a la integridad de datos informáticos, ataque a la integridad de los sistemas informáticos, falsificación informática, apropiación de identidad ajena, abuso, acceso no autorizado a dispositivos, fraude informático como tal y faltas a la obligación de propiedad intelectual mediante uso de tecnologías de información o, medios tecnológicos, así como el tema de pornografía infantil, asegura Villagrán.

LECTURAS RELACIONADAS

“El país requiere capacidades para la investigación criminal de ciberdelitos”

Buscan aprobar ley de ciberseguridad antes de que termine el año

Respaldo de información digital

De acuerdo con el procurador de Derechos Humanos José Alejandro Córdova, en el reglamento debe asegurarse de que las obligaciones impuestas a las empresas no afecten su operación diaria, como garantizar que no se implementen medidas que expongan a las empresas a vulnerabilidades adicionales o impongan cargas desproporcionadas.

Al respecto, la Fiscalía contra Delitos Transnacionales, subraya que proteger a los ciudadanos y su información, así como contrarrestar la actividad delictiva cometida por las organizaciones criminales, es el mandato legal que tiene el MP, el cual, por medio de esa fiscalía, ya ha abordado este tipo de crímenes informáticos, respetando, como siempre, el derecho a la privacidad y dignidad de las personas. De igual manera, que toda diligencia se hace con autorización judicial.

En ese contexto, de acuerdo con el presidente de la Comisión de Asuntos de Seguridad Nacional, uno de los cambios a la iniciativa 6347 tiene que ver con el artículo 22, que inicialmente daba potestad al MP de capturar los equipos en un caso delictivo, fuera en el ámbito público o privado. Si esto ocurriera, se podría interrumpir el curso de la productividad económica principalmente. En lugar de dicha captura, el procedimiento es realizar respaldos de los servidores o de los equipos que sea necesario. Con esa información de respaldo, las operaciones no se interrumpen.

Ese es un tema que fue analizado en la Comisión con especialistas de la Comunidad Bancaria de Ciberseguridad (Bancert) quienes plantearon la opción, pues se corría el riesgo de interrumpir la actividad económica del país a raíz de un proceso de investigación.

Para Marroquín, en el futuro inmediato van a haber más amenazas que pueden afectar la seguridad tanto de datos públicos como privados y Guatemala tiene que estar preparada para eso. “Debe haber un cuerpo legal que incluya a todas estas amenazas, pero también la creación de una institución que pueda rendir cuentas de cómo va la implementación de esta ley. Tiene que contar con presupuesto propio. No pueden asignarles tareas a todos los ministerios en esta área sin dotarlos de presupuesto y esa, es una parte que no tenemos claro cómo van a quedar plasmados en la ley”, subraya.

Protección ciudadana

En materia de investigación y persecución de ciberdelitos, la PDH recomienda un enfoque equilibrado que permita al MP combatir el cibercrimen sin vulnerar los derechos fundamentales. Cita en este caso, la importancia de garantías procesales que protejan tanto a los usuarios como a las empresas en el tema digital.

Por ejemplo, se debe contar con orden judicial para la recolección de datos y la obtención de evidencia, que garantice el derecho de privacidad. Además de aplicarse el principio de proporcionalidad para evitar que se convierta en una herramienta de vigilancia masiva, expone Córdova.

Por consiguiente, en opinión del PDH, “la inclusión de la sociedad civil en el proceso legislativo de una ley trascendental como ciberseguridad y cibercrimen es un derecho de participación pública y acceso a la información”.

Villagrán defiende que desde la Comisión se han hecho las consultas con profesionales del sector público –en el Ministerio de la Defensa Nacional, de Gobernación, el MP, y el OJ– así como del sector financiero, donde “la mayoría de los consultados son profesionales expertos certificados en la materia”.

La inclusión de la sociedad civil en el proceso legislativo de una ley trascendental como ciberseguridad y cibercrimen es un derecho de participación pública y acceso a la información, en la opinión de Córdova Herrera.

Para la Comisión, si bien puede haber personas individuales o entidades interesadas en conocer tanto el contenido de la ley como el proceso que se siguen para su pronta aprobación, como ciudadanos, estos se tienen que involucrar. “Cuando no se involucran, sucede que toman acciones sin conocimiento pleno. Si como ciudadano me interesan ciertas leyes, en la página del Congreso hay acceso a todas las iniciativas de ley. La Comisión está abierta a recibir todas las sugerencias y someterlas al análisis con las mesas de trabajo que tenemos con asesores de las bancadas representadas”, apunta Villagrán.

Lo importante al final de todo este proceso, es que la ciudadanía pueda estar de alguna manera protegida de robo de identidad, de una cuenta bancaria, de información personal. Que en todo caso se provea a las entidades del Estado de las herramientas suficientes para perseguir a las bandas de cibercriminales. “Hoy estamos desprotegidos totalmente, por lo que tiene que haber una ley fuerte en la defensa y en el ataque”, concluye Marroquín.

Gobierno carece de personal especializado para enfrentar ataques cibernéticos

Tue, 01 Oct 2024 12:00:00 +0000

no permita que lo estafen

Gobierno carece de personal especializado para enfrentar ataques cibernéticos

En un escenario en que se apruebe la ley contra la ciberdelincuencia en Guatemala, el reglamento debe definir presupuesto para infraestructura y recurso humano especializado.

Enrique Canahui

1 de octubre de 2024

06:00h

Algunos de los perfiles que pueda requerir el sector público pueden ser analistas de seguridad y ciberseguridad, analistas de programas malignos (malwares) y analistas forenses. (Foto Prensa Libre: Freepik)

A pesar de que entidades públicas han sido blanco del cibercrimen, en Guatemala no existe una obligación de tener un equipo de respuesta ante posibles ataques cibernéticos, lo que puede dejar expuestos datos sensibles para instituciones y para la población y, en un escenario extremo, hasta efectos en los servicios básicos.

El ataque más reciente fue al Ministerio de Educación en abril pasado. De igual manera ocurrieron incidentes contra el Ministerio de Finanzas Públicas –en diciembre 2023–, el Ministerio de Relaciones Exteriores –en octubre 2022– y la Superintendencia de Administración Tributaria –en 2021–.

Además del gobierno, el 40% de los ataques cibernéticos en 2023 fueron hacia empresas privadas que, también han sido blanco de ciberataques, según el Observatorio Guatemalteco de Delitos Informáticos (OGDI). Se estima que, en Guatemala, las organizaciones son atacadas en un promedio de 2 mil 419 veces por semana, una cifra que supera la media de 1 mil 581 ataques por organización en las Américas. La industria más impactada en el país es la banca, seguida por el sector educativo y el gobierno”, indica Eli Faskha, gerente general de Soluciones Seguras (SS).

Agrega que el programa maligno más común es Phorpiex. La lista incluye cuatro botnets, un troyano (Vidar) y un descargador (FakeUpdates). El incidente de ciberseguridad más recurrente es la divulgación de información, que afecta al 82% de las organizaciones.

LECTURAS RELACIONADAS

La ley que facilitaría perseguir a estafadores en línea en Guatemala

“No permita que lo estafen”: la alianza para combatir el fraude electrónico en Guatemala

Sin presupuesto asignado

Al no estar en vigencia una ley específica sobre ciberseguridad, no existe un presupuesto para que los entes gubernamentales lo destinen a luchar contra la ciberdelincuencia, por consiguiente, tampoco se puede determinar de cuánto se necesita invertir. Dicho presupuesto puede ser utilizado para la capacidad en cuanto a recursos humanos, obtener conocimiento, asesorías de madurez y soluciones para apoyar en monitorear y detectar patrones en el tema.

Existe consenso en que el reglamento de la ley, que es posterior a la aprobación, debe contemplar un análisis de brechas para identificar la situación actual de cómo se encuentra cada institución, tomando en cuenta regulaciones nacionales e internacionales.

En la Comisión de Asuntos de Seguridad Nacional del Congreso de la República, desde febrero pasado, se discute la iniciativa 6347, Ley de Ciberseguridad, que busca tipificar y sancionar penalmente las estafas electrónicas. Si se logra dictaminar, votar y aprobar, lo siguiente sería un reglamento que instrumentalice estos puntos relacionados con presupuesto y recursos humanos dentro de las instituciones gubernamentales.

De acuerdo con los especialistas consultados por Prensa Libre, cada entidad debe contar, al menos, con un equipo de respuesta a incidentes. A partir de ahí, iniciativas de ley como la 6347 proponen contar con un oficial de seguridad de la información (CISO), un departamento de gestión de riesgos, uno de operaciones de seguridad y uno de capacitaciones.

Algunos de los perfiles de especialistas para estos departamentos pueden ser analistas de seguridad y ciberseguridad, de inteligencia de amenazas especializados en investigación de programas malignos (malwares) y análisis forense, entre otras, expone Jorge Utrera, analista e investigador de la firma Sisap. Además, de que “en la ley debe indicarse quién debe ser el responsable de hacer ese análisis, en el reglamento se debe especificar cómo hacer la revisión”, subraya Utrera.

Estuardo Alegría, especialista en ciberseguridad y responsable de servicios profesionales a nivel regional de la misma firma Sisap, recuerda que, una vez publicada la ley, debe existir un tiempo transitorio para definir quién determina cuál es la infraestructura crítica del país y a quiénes aplica dicha normativa. “Es un período en que, de acuerdo con la experiencia de otros países, lleva de uno a tres años, dependiendo de la cantidad de entes regulados para desarrollar esa estrategia y un plan de acción”, explica el experto.

Dependiendo del nivel de madurez –que se refiere a la medición de experiencia o esfuerzos que ha hecho una organización en términos de ciberseguridad–, se puede determinar si una entidad es más o menos vulnerable a las amenazas de los cibercriminales. Es una referencia que debe consignarse en la ley, dice José Amado, responsable de la práctica de identidades digitales de la misma empresa.

Por dónde empezar

El plan para crear una estructura de ciberseguridad efectiva dentro de cada ministerio puede incluir la protección perimetral, antivirus, cifrado de datos y gestión de incidentes.

Esta estructura puede variar con relación a los sistemas que cada institución utilice y el tipo de información que procese. Según German López, oficial de la Comunidad Bancaria de Ciberseguridad (Bancert), de la Asociación Bancaria de Guatemala (ABG), se puede comenzar por los firewalls, la protección de los escritorios, los antivirus y el antiransomware (un software que previene que los ciberdelincuentes cifren los archivos de un usuario y lo extorsionen para recuperarlos), protección acceso con identidad y del correo electrónico como la presencia de web pública.

Estas estructuras deben ser acompañadas por personal que se dedique a una autoevaluación de seguridad. De ahí, lo esencial es contar con personal dedicado y experto para atender temas de ciberseguridad en redes, sistemas operativos, programación, bases de datos y herramientas de protección entre otros. Además, hay que considerar que estas especializaciones se pueden tener para servicios en centros de cómputo propio o en la nube, expone López.

Agrega que, en el caso del Organismo Judicial, es importante contar con capacitación en análisis forense digital y especialización en cibercrimen, incluyendo el tratamiento de evidencia, garantizando la cadena de custodia que se refiere a todos los cuidados que se deben tener con la evidencia: cómo debe ser levantada, quién lo hace y cómo la abordan.

Limitaciones regulatorias

Una limitante con la legislación actual es que, el anteproyecto del Presupuesto General de Gastos y Egresos de la Nación 2025-2026 –en fase de discusión–, solo incluye recursos para instituciones vinculantes con el tema, como la Secretaría Nacional de Ciencia y Tecnología a la que se le asignan Q34.9 millones; para Gobierno Abierto y Electrónico, Q135.1 millones; y para el Fondo de Innovación Tecnológica y Servicios Financieros a la Micro, Pequeña y Mediana Empresa a cargo de Ministerio de Economía, Q348.6 millones.

De acuerdo con la Dirección de Comunicación Social del Ministerio de Finanzas, cada entidad de gobierno cuenta entre sus dependencias con un presupuesto para Tecnologías de la Información que cada unidad ejecutora destina según sus necesidades informáticas.
Los renglones de gastos 186 y 328 que se denominan “servicios de informática y servicios computarizados”, así como de “equipo de cómputo”, es donde debe quedar registrado todo lo que las dependencias del Estado gastan en licencias y todo tipo de software y hardware respectivamente. Ahora “de todos los recursos que hay en esos renglones, cuánto destinan para temas de ciberseguridad, solo lo sabe cada entidad compradora”, explica Erick Coyoy, consultor de la Asociación de Investigación y Estudios Sociales (Asies) y exviceministro de la cartera de Finanzas Públicas.

Para llegar a una madurez de ciberseguridad, la perspectiva gubernamental va desde la educación, la inclusión digital y la conectividad. “Generada esta conciencia, vienen los instrumentos de regulación, de ordenamiento que son básicamente las políticas de gobierno que se están implementando y para ese camino estamos apuntando”, sugiere Edie Cux, comisionado presidencial de Gobierno Abierto y Electrónico (GAE).

Los entrevistados coinciden en que sin ley o no, todas las instituciones deben preocuparse por sus inversiones en ciberseguridad y por tener un programa de seguridad de la información que garantice los tres pilares importantes, como lo son confidencialidad, integridad y disponibilidad de la información, la cual se pueda proteger con los recursos que se destinan a este fin.

“El país requiere capacidades para la investigación criminal de ciberdelitos”

Tue, 01 Oct 2024 11:30:00 +0000

no permita que lo estafen

“El país requiere capacidades para la investigación criminal de ciberdelitos”

Técnicos expertos confirman que la estructura mínima para un departamento de ciberseguridad en el Estado incluye investigación y análisis forense de las evidencias cibernéticas.

Enrique Canahui

1 de octubre de 2024

05:30h

Según especialistas, la estructura mínima para tener un equipo de respuesta a ciberdelitos incluye investigación y análisis forense de la evidencia cibernética. (Foto Prensa Libre: Freepik)

En Guatemala se discute una ley para perseguir delitos cibernéticos y tener una estrategia de país ante esta amenaza trasnacional. Sin embargo, si la ley se llega a aprobar requerirá de reglamentos que faciliten a las instituciones operar lo que manda la normativa, como por ejemplo, el establecimiento de recursos técnicos y financieros específicos para esta modalidad.
Ismael Cifuentes y Sara Alonso, secretario técnico y subsecretaria técnica del Consejo Nacional de Seguridad, respectivamente, respondieron a las consultas de Prensa Libre sobre el tema y confirmaron que ya existen planes y políticas, sobre todo en instituciones como Gobernación y Defensa. Este es un extracto de las consultas.

Mientras se discute una ley que dé instrumentos para combatir el crimen organizado transnacional en cuanto a estafas electrónicas, ¿considera que las instituciones deben empezar a presupuestar recursos en ciberseguridad?
La ciberseguridad y la ciberdefensa deben ser una responsabilidad de toda la sociedad. Las instituciones del Estado deben sentar las bases para garantizar los niveles más altos de prevención y respuesta para reducir los riesgos de ataques cibernéticos. Esto incluye una adecuada planificación de recursos el marco del proceso de modernización del Ejecutivo que incluye impulsar la transformación digital y el gobierno electrónico. Cada entidad del ejecutivo ya tiene planes. El Ministerio de Gobernación y el de Defensa son los más adelantados.

El Ministerio de Gobernación tiene un cuarto viceministerio encargado de asuntos cibernéticos, el seguimiento actual a la Ley de ciberseguridad, la actividad constante desde 2024 del Comité de Ciberseguridad (Conciber) y la creación este año del Departamento de Investigación de Ciberdelitos e Información Forense.

Este departamento tiene como funciones elaborar y dirigir la estrategia de investigación criminal de hechos delictivos cometidos a través de las Tecnologías de la Información y Comunicación, también, diseñar el diagnóstico y plan de trabajo del departamento, dirigir, supervisar, controlar y evaluar las acciones y procedimientos pertinentes, además establecer coordinaciones con otras dependencias públicas y privadas, ante emergencias informáticas.

Se han recibido 27 capacitaciones en temas de ciberseguridad en las cuales se ha formado a entre 150 a 200 personas de la Policía Nacional Civil, el Ministerio Público y el Organismo Judicial.

En el caso del Ministerio de la Defensa, se creó este año la Brigada de Comunicaciones con un Batallón de Seguridad Cibernética, Informática y Transmisiones Militares.

LECTURAS RELACIONADAS

La ley que facilitaría perseguir a estafadores en línea en Guatemala

“No permita que lo estafen”: la alianza para combatir el fraude electrónico en Guatemala

¿Cuál es la propuesta de presupuesto a la ciberseguridad para 2025 y cuál sería el estimado que necesita la dependencia para combatir las estafas en línea?
Cada institución planifica considerando aspectos de ciberseguridad puesto que es uno de los ejes de la nueva Política Nacional de Seguridad, que, aunque será lanzada el próximo 7 de noviembre, son lineamientos que los ministerios ya tenían desde la toma de posesión del 14 de enero de 2024, puesto que se vienen planificando desde el período de transición de gobierno de 2023.

¿Qué tipo de tecnologías necesita el Estado para blindar sus sistemas y servidores ante ataques maliciosos?
Actualmente se hace una evaluación de diferentes opciones tecnológicas que permitan la protección de las infraestructuras críticas del país. El Ministerio de la Defensa posee sistemas propios de defensa contra ataques cibernéticos, creados por ingenieros militares del propio ministerio.

¿Cuál es la estructura mínima que requiere el Ministerio y cuáles son los perfiles del personal a cargo de velar por la ciberseguridad en sus respectivas dependencias?
Todas las entidades del Estado requieren de una estructura mínima de prevención, alerta, protección, respuesta y recuperación para lo cual requieren personal especializado en la materia. Sin embargo, además de esas capacidades y recursos mínimos, cada institución debe implementar procesos de formación y sensibilización en todo su personal para desarrollar una cultura de ciberseguridad con énfasis preventivo. La estructura mínima incluye investigación cibernética y análisis forense de la evidencia cibernética.

¿Cuáles son las fuentes de capacitación recomendables para que el Gobierno incorpore en la formación de personal responsable de la ciberseguridad?
Tanto el ministerio de la Defensa Nacional como el de Gobernación cuentan con capacidades operativas que se comparten con otras instituciones a través de formación al personal. También el Instituto Nacional de Estudios Estratégicos en Seguridad, INEES, ofrece cursos para el personal de diferentes instituciones del Ejecutivo. La cooperación internacional, por ejemplo, el programa LAC4 de la Unión Europea al cual recientemente Guatemala se ha adherido, ofrece una diversidad de programas de formación especializada en donde se comparten capacidades y experiencias internacionales en materia de ciberseguridad.

Particularmente en el Organismo Ejecutivo y el Organismo Judicial, ¿qué tipo de entrenamiento necesita el futuro personal especializado en el tema de ciberseguridad?
Todos los temas relacionados con ciberseguridad requieren altos niveles de especialización técnica. Las principales áreas en las que el desarrollo de capacidades se debe centrar incluyen la prevención (incluida la cultura de ciberseguridad), la protección, respuesta y recuperación frente a ataques cibernéticos. La alerta temprana es también un área de importancia sobre la cual se deben desarrollar capacidades. La investigación criminal de los ciberdelitos y la ciberinteligencia son áreas que también requieren desarrollo de capacidades en el país.

La ley que facilitaría perseguir a estafadores en línea en Guatemala

Tue, 17 Sep 2024 12:00:00 +0000

no permita que lo estafen

La ley que facilitaría perseguir a estafadores en línea en Guatemala

Pese a la necesidad de una regulación de ciberdelincuencia en Guatemala, expertos demandan a diputados una discusión abierta con los sectores y garantizar la protección de datos personales y empresariales.

Enrique Canahui

17 de septiembre de 2024

06:00h

Las acciones criminales para obtener información confidencial o tomar control de los dispositivos o aplicaciones —ya sea WhatsApp, correo electrónico o una llamada telefónica— aumentaron un 400 % desde el año pasado.

Sea por abuso de confianza —cuando el fraude lo comete un familiar—, solicitar credenciales bajo información falsa por correo, llamadas o mensajería instantánea, o mediante engaños para capturar información de tarjetas de crédito, las modalidades de estafas electrónicas que afectan a los usuarios son cada vez más comunes.

El año pasado, un reporte de Inteligencia de Amenazas de Check Point Research, presentado en conjunto con Soluciones Seguras, alertaba que, en seis meses, en Guatemala se contabilizaron 6 mil 316 ataques: 2 mil 635 fueron a empresas y 3 mil 681 al Gobierno. El 92 % de dichos ataques cibernéticos ingresaron por correos electrónicos, en los cuales la víctima hizo clic en un enlace que contenía un programa maligno para secuestrar información.

Lo anterior es una alerta para que sectores, tanto privados como el mismo Gobierno, apremien la creación de una ley de ciberseguridad que mantenga el equilibrio de defensa institucional y, al mismo tiempo, proteja a los ciudadanos, indica Edie Cux, comisionado presidencial de Gobierno Abierto y Electrónico (GAE).

Según Cux, las acciones criminales para obtener información confidencial o tomar control de los dispositivos o aplicaciones —ya sea WhatsApp, correo electrónico o una llamada telefónica— aumentaron un 400 % desde el año pasado.

En la Comisión de Asuntos de Seguridad Nacional del Congreso de la República, desde febrero pasado, se discute la iniciativa 6347, Ley de Ciberseguridad. “Guatemala requiere una ley de cibercrimen que tipifique y sancione penalmente este tipo de acciones, además de una relacionada con la privacidad de los datos, para entonces hablar verdaderamente de ciberseguridad”, dice Cristian Álvarez, jefe de la bancada Compromiso, Renovación y Orden (Creo), quien, junto con su correligionario, el diputado José Mendoza, impulsa la referida propuesta de ley.

Poco respaldo legal

Hoy, si un guatemalteco busca presentar una denuncia por robo de datos financieros o de dinero por vías electrónicas, la ley solo le permite hacerlo por estafa menor.

“Primero es necesario contar con la regulación y la tipificación de los delitos para que puedan ser perseguidos y asignadas las sentencias. Esto se debe a que, en muchas ocasiones, el MP no puede actuar por falta de esa tipificación, y aunque se tenga fehacientemente a los responsables, no hay condena”, alerta German López, miembro de la Comunidad Bancaria de Ciberseguridad (Bancert).

Bancert es el grupo de oficiales de seguridad de la información (o CISO, por sus siglas en inglés, Chief Information Security Officer) de los bancos, perteneciente a la ABG (Asociación Bancaria de Guatemala).

“Al contar con una legislación, el MP podría iniciar investigaciones de los responsables de fraude electrónico y rastrear las redes. Esto serviría para advertir a los cibercriminales que se está actuando en su contra”, aclara el experto.

Desafío de la discusión

Tanto desde esa comisión legislativa como desde la Mesa de Transformación Digital, que está promoviendo la presidencia dentro del Comité de Modernización, se tiene claro que debe existir un equilibrio entre lo que puede ser ciberdefensa, ciberdelincuencia y el respeto a los derechos del usuario.

También se considera no interferir en la operación de empresas o instituciones durante una investigación para no afectar la economía. Se toma en cuenta que un ciberataque puede comprometer infraestructuras críticas, y que no se cuentan con suficientes recursos humanos y tecnológicos como país, comenta López.

“En esta propuesta de ley no se profundizan temas de privacidad de datos. De hecho, actualmente se están realizando mesas de trabajo para diferentes propuestas de ley; una de ellas es la de protección y privacidad de datos, que busca regular, además de los convenios internacionales relacionados con los derechos humanos, la privacidad de los datos e incluir los controles necesarios para protegerlos”, añade López.

Para Manfredo Marroquín, de Acción Ciudadana, todavía hay “muchos temas por discutir para que la ley a aprobar esté completa. Por ejemplo, la protección de datos personales y empresariales, ya que nada de esto está regulado”.

“Que el MP tome las evidencias es correcto, pero se debe considerar que las empresas tienen que seguir operando y no deberían verse afectadas por una investigación que implique el secuestro de dispositivos. Hay formas de hacer una investigación y un análisis forense de los sistemas sin necesidad de secuestrar equipo”, recomienda López. Para ello, añade, “el MP debe especializarse y contar con el apoyo de terceros que tengan las capacidades técnicas para hacer ese análisis forense”.

Marroquín opina que se deben utilizar legislaciones de otros países como referencia, que ya están vigentes y han recorrido un camino en la lucha contra la ciberdelincuencia.

Además de la regulación chilena, existen otros modelos como los de Colombia y España, países que tienen más tiempo tratando ciberdelitos y cuentan con personal capacitado en instancias gubernamentales. De igual manera, tienen una estrategia bien definida de ciberdefensa y ciberseguridad que sirve de marco para otros países o instituciones, agrega López.

No obstante, los avances en consultas y revisiones, a la fecha hace falta mayor divulgación sobre lo que se pretende dictaminar. Para Marroquín, se deben involucrar sectores académicos, tecnológicos, expertos, y el mismo sector privado, pues muchos aspectos de la ciberseguridad tienen que ver con los mercados, que cada vez más operan en plataformas tecnológicas.

Aspectos clave a fortalecer

Si la ley entra en vigor, instituciones como el Ministerio Público (MP) y el Organismo Judicial (OJ) deberán tomar acciones relacionadas con la demanda de justicia y preparar, respectivamente, a fiscales y jueces especializados en ciberseguridad y cibercrimen, apunta el diputado Álvarez.

Por ello, es importante que la iniciativa sea bien discutida para crear un instrumento sólido que sirva, en primer lugar, a Guatemala y, como segunda prioridad, permita la apertura a acuerdos y convenios internacionales de cooperación. Uno de ellos es el Convenio de Budapest, el primer tratado internacional sobre delitos cometidos a través de internet y otras redes informáticas, cuyo plazo para adherirse vence en abril próximo.

En caso de no lograrlo, existe la opción de adherirse a un mecanismo similar por parte de la Organización de las Naciones Unidas, que está en implementación.

Más allá de esto, la necesidad de contar con una ley de ciberseguridad y cibercrimen es urgente, ya que los donantes internacionales y los inversionistas extranjeros suelen vincular sus inversiones con la existencia de una Ley de Ciberseguridad que los proteja. Estas son algunas de las aristas que deben analizarse, explica David Osorio, director de la Comisión de Gobierno Abierto y Electrónico (GAE).

Quedaría pendiente legislar sobre la protección de datos, el comercio electrónico y la inteligencia artificial.

Carrera a contrarreloj

Para el diputado presidente de la comisión respectiva, la iniciativa 6347 cumple con todos los requisitos en materia de cooperación nacional e internacional, avalados por diferentes instancias, como el Ministerio de la Defensa, el Ministerio de Gobernación, el Ministerio Público (MP), jueces del Organismo Judicial (OJ) y la Comunidad Bancaria de Ciberseguridad (Bancert). Además, han tenido acercamientos con el Centro de Estudios de Defensa Hemisférica William J. Perry, de Estados Unidos.

Que la iniciativa sea aprobada pronto o no en el pleno dependerá de la agenda legislativa que acuerde la junta de jefes de bloque.

En el caso de un ataque a Guatemala, similar al que sufrió Costa Rica en 2022 contra su infraestructura crítica, que le costó US$250 millones, particularmente en el sector de salud, la cooperación con organismos internacionales, como el Convenio de Budapest, sería un alivio para enfrentar ese tipo de amenazas latentes. “Hay que recordar que, en un ciberataque de esas magnitudes, el tiempo es un factor clave”, advierte López, de Bancert.

Qué podría incluir la Ley de Ciberdelitos

Lo deseable en el contenido de la iniciativa de ley 6347 es la tipificación de delitos cibernéticos, como el acceso ilícito a sistemas informáticos, los ataques a la banca virtual, el robo de identidad y el fraude informático, así como la creación del Centro de Seguridad Interinstitucional de respuesta técnica ante incidentes informáticos.

También se plantea la implementación de un Comité Técnico en Ciberdefensa y Ciberseguridad, integrado por varias instituciones estatales, y la creación de la Red de Asistencia Mutua Contra Delitos Informáticos.

Además, se propone la asignación de responsables en temas de ciberseguridad dentro del gobierno, la obligación de los diferentes sectores públicos y privados de implementar medidas o controles para prevenir ciberataques, y la adopción de controles mínimos alineados a un estándar aceptable, como los del Instituto Nacional de Estándares y Tecnología (NIST), agencia del gobierno de Estados Unidos encargada de desarrollar y promover normas, medidas y tecnologías para mejorar la seguridad y la competitividad económica.

Asimismo, se prevén sanciones o penalizaciones inconmutables ante ciberdelitos, que sirvan realmente de ejemplo o precedente; la responsabilidad tanto del sector público como del privado en la educación y concientización en todos los niveles; la definición y protección de infraestructuras críticas; la creación del Computer Emergency Response Team (CERT), un equipo especializado en la prevención, detección y respuesta eficaz a los incidentes de seguridad del país, y la colaboración entre diferentes sectores.

Fuente: Bancert/ABG

“No permita que lo estafen”: la alianza para combatir el fraude electrónico en Guatemala

Mon, 16 Sep 2024 14:00:00 +0000

estafas en línea

“No permita que lo estafen”: la alianza para combatir el fraude electrónico en Guatemala

La propuesta de periodismo de soluciones entre Prensa Libre, Guatevisión y la Asociación Bancaria de Guatemala llama a crear conciencia sobre el creciente riesgo del robo de datos y de dinero por canales electrónicos.

Juan Manuel Fernández C.

16 de septiembre de 2024

08:00h

El proyecto de contenidos contará con tres pilares que incluyen crear conciencia, educar y ser útiles, y finalmente, informar e incidir.

Durante el 2024, las autoridades guatemaltecas han alertado sobre criminales que incluyen a ciudadanos en grupos de WhatsApp o Telegram sin su consentimiento, donde, con engaños, ofrecen trabajos remotos que requieren llenar formularios.

Este intento de hurto es solo una de las múltiples formas que el crimen organizado utiliza a diario para vulnerar los datos y las cuentas bancarias de ciudadanos que, sin la información y la educación adecuadas, son víctimas de este tipo de delitos.

A estas modalidades se suman otras como el phishing (engaño por medios electrónicos para suplantar identidad), la clonación de tarjetas o carding (información vendida en la red oscura para cometer fraudes), el SIM swapping (usurpación de identidad para robar el chip del usuario) y el robo de información a través del extravío de dispositivos electrónicos, lo que enciende las alarmas de todos los usuarios de los servicios financieros. Según cifras de la Comisión Presidencial de Gobierno Abierto y Electrónico (GAE), las acciones por estas amenazas han aumentado un 400% este año.

“No permita que lo estafen”: Pilares del plan

Como parte de su misión como medios de comunicación por la búsqueda de la verdad y ofrecer contenido de valor a sus usuarios, Prensa Libre y Guatevisión lanzan una alianza editorial con la Asociación Bancaria de Guatemala (ABG) bajo el nombre “No permita que lo estafen”.

Esta alianza de comunicación consiste en un completo plan de contenidos en múltiples canales que un equipo especializado en producción periodística y audiovisual ejecutará durante ocho meses, iniciando el 17 de septiembre de 2024.

El plan contará con tres pilares que incluyen crear conciencia, educar y ser útiles, y finalmente, informar e incidir.

En el pilar de crear conciencia, se llevará a cabo una campaña publicitaria en múltiples medios: spots de radio, televisión, piezas de prensa escrita y difusión por canales digitales, que busca transmitir un sentido de urgencia en el usuario mediante mensajes publicitarios persuasivos e impactantes sobre el tema.

Un segundo pilar enfocado en educar y ser útiles contará con la producción de historias en formato de videoclip, con el retrato de víctimas o familiares reales con un enfoque didáctico y un llamado a la acción para construir una cultura de usuarios de servicios financieros más conscientes e informados.

Mientras que en el pilar informar e incidir se dará cobertura periodística exclusiva enfocada en la necesidad de regular y tipificar los delitos que tienen que ver con el fraude electrónico en Guatemala, para que los ciudadanos estén más protegidos ante este tipo de amenazas.

Equipo dedicado y especializado

Para cumplir con toda esta cobertura multicanal para nuestras audiencias, se ha integrado un equipo especializado y dedicado a la producción de contenidos, que incluye productores, reporteros, editores, camarógrafos y equipo de set, entre otros, con el fin de ofrecer un servicio de información completo a los públicos que servimos.

En el caso de “No permita que lo estafen”, desde las páginas noticiosas se profundizará en la problemática del fraude electrónico a nivel nacional, indagando qué herramientas deberían existir en el ámbito jurídico, político y empresarial para proteger a los guatemaltecos. Todo esto se desarrollará con un método periodístico serio y respaldado por expertos con credibilidad y balance informativo.

De igual forma, todos los contenidos dentro de esta alianza irán debidamente identificados, como un compromiso de transparencia con nuestros lectores.

Es una misión de los equipos de Prensa Libre y Guatevisión cubrir aquellas políticas públicas que son relevantes, urgentes y contundentes para liberar el potencial de Guatemala y marcar una diferencia en el ámbito económico y sociopolítico de los ciudadanos.