En un escenario en que se apruebe la ley contra la ciberdelincuencia en Guatemala, el reglamento debe definir presupuesto para infraestructura y recurso humano especializado.
A pesar de que entidades públicas han sido blanco del cibercrimen, en Guatemala no existe una obligación de tener un equipo de respuesta ante posibles ataques cibernéticos, lo que puede dejar expuestos datos sensibles para instituciones y para la población y, en un escenario extremo, hasta efectos en los servicios básicos.
El ataque más reciente fue al Ministerio de Educación en abril pasado. De igual manera ocurrieron incidentes contra el Ministerio de Finanzas Públicas –en diciembre 2023–, el Ministerio de Relaciones Exteriores –en octubre 2022– y la Superintendencia de Administración Tributaria –en 2021–.
Además del gobierno, el 40% de los ataques cibernéticos en 2023 fueron hacia empresas privadas que, también han sido blanco de ciberataques, según el Observatorio Guatemalteco de Delitos Informáticos (OGDI). Se estima que, en Guatemala, las organizaciones son atacadas en un promedio de 2 mil 419 veces por semana, una cifra que supera la media de 1 mil 581 ataques por organización en las Américas. La industria más impactada en el país es la banca, seguida por el sector educativo y el gobierno”, indica Eli Faskha, gerente general de Soluciones Seguras (SS).
Agrega que el programa maligno más común es Phorpiex. La lista incluye cuatro botnets, un troyano (Vidar) y un descargador (FakeUpdates). El incidente de ciberseguridad más recurrente es la divulgación de información, que afecta al 82% de las organizaciones.
Sin presupuesto asignado
Al no estar en vigencia una ley específica sobre ciberseguridad, no existe un presupuesto para que los entes gubernamentales lo destinen a luchar contra la ciberdelincuencia, por consiguiente, tampoco se puede determinar de cuánto se necesita invertir. Dicho presupuesto puede ser utilizado para la capacidad en cuanto a recursos humanos, obtener conocimiento, asesorías de madurez y soluciones para apoyar en monitorear y detectar patrones en el tema.
Existe consenso en que el reglamento de la ley, que es posterior a la aprobación, debe contemplar un análisis de brechas para identificar la situación actual de cómo se encuentra cada institución, tomando en cuenta regulaciones nacionales e internacionales.
En la Comisión de Asuntos de Seguridad Nacional del Congreso de la República, desde febrero pasado, se discute la iniciativa 6347, Ley de Ciberseguridad, que busca tipificar y sancionar penalmente las estafas electrónicas. Si se logra dictaminar, votar y aprobar, lo siguiente sería un reglamento que instrumentalice estos puntos relacionados con presupuesto y recursos humanos dentro de las instituciones gubernamentales.
De acuerdo con los especialistas consultados por Prensa Libre, cada entidad debe contar, al menos, con un equipo de respuesta a incidentes. A partir de ahí, iniciativas de ley como la 6347 proponen contar con un oficial de seguridad de la información (CISO), un departamento de gestión de riesgos, uno de operaciones de seguridad y uno de capacitaciones.
Algunos de los perfiles de especialistas para estos departamentos pueden ser analistas de seguridad y ciberseguridad, de inteligencia de amenazas especializados en investigación de programas malignos (malwares) y análisis forense, entre otras, expone Jorge Utrera, analista e investigador de la firma Sisap. Además, de que “en la ley debe indicarse quién debe ser el responsable de hacer ese análisis, en el reglamento se debe especificar cómo hacer la revisión”, subraya Utrera.
Estuardo Alegría, especialista en ciberseguridad y responsable de servicios profesionales a nivel regional de la misma firma Sisap, recuerda que, una vez publicada la ley, debe existir un tiempo transitorio para definir quién determina cuál es la infraestructura crítica del país y a quiénes aplica dicha normativa. “Es un período en que, de acuerdo con la experiencia de otros países, lleva de uno a tres años, dependiendo de la cantidad de entes regulados para desarrollar esa estrategia y un plan de acción”, explica el experto.
Dependiendo del nivel de madurez –que se refiere a la medición de experiencia o esfuerzos que ha hecho una organización en términos de ciberseguridad–, se puede determinar si una entidad es más o menos vulnerable a las amenazas de los cibercriminales. Es una referencia que debe consignarse en la ley, dice José Amado, responsable de la práctica de identidades digitales de la misma empresa.
Por dónde empezar
El plan para crear una estructura de ciberseguridad efectiva dentro de cada ministerio puede incluir la protección perimetral, antivirus, cifrado de datos y gestión de incidentes.
Esta estructura puede variar con relación a los sistemas que cada institución utilice y el tipo de información que procese. Según German López, oficial de la Comunidad Bancaria de Ciberseguridad (Bancert), de la Asociación Bancaria de Guatemala (ABG), se puede comenzar por los firewalls, la protección de los escritorios, los antivirus y el antiransomware (un software que previene que los ciberdelincuentes cifren los archivos de un usuario y lo extorsionen para recuperarlos), protección acceso con identidad y del correo electrónico como la presencia de web pública.
Estas estructuras deben ser acompañadas por personal que se dedique a una autoevaluación de seguridad. De ahí, lo esencial es contar con personal dedicado y experto para atender temas de ciberseguridad en redes, sistemas operativos, programación, bases de datos y herramientas de protección entre otros. Además, hay que considerar que estas especializaciones se pueden tener para servicios en centros de cómputo propio o en la nube, expone López.
Agrega que, en el caso del Organismo Judicial, es importante contar con capacitación en análisis forense digital y especialización en cibercrimen, incluyendo el tratamiento de evidencia, garantizando la cadena de custodia que se refie
Limitaciones regulatorias
Una limitante con la legislación actual es que, el anteproyecto del Presupuesto General de Gastos y Egresos de la Nación 2025-2026 –en fase de discusión–, solo incluye recursos para instituciones vinculantes con el tema, como la Secretaría Nacional de Ciencia y Tecnología a la que se le asignan Q34.9 millones; para Gobierno Abierto y Electrónico, Q135.1 millones; y para el Fondo de Innovación Tecnológica y Servicios Financieros a la Micro, Pequeña y Mediana Empresa a cargo de Ministerio de Economía, Q348.6 millones.
De acuerdo con la Dirección de Comunicación Social del Ministerio de Finanzas, cada entidad de gobierno cuenta entre sus dependencias con un presupuesto para Tecnologías de la Información que cada unidad ejecutora destina según sus necesidades informáticas.
Los renglones de gastos 186 y 328 que se denominan “servicios de informática y servicios computarizados”, así como de “equipo de cómputo”, es donde debe quedar registrado todo lo que las dependencias del Estado gastan en licencias y todo tipo de software y hardware respectivamente. Ahora “de todos los recursos que hay en esos renglones, cuánto destinan para temas de ciberseguridad, solo lo sabe cada entidad compradora”, explica Erick Coyoy, consultor de la Asociación de Investigación y Estudios Sociales (Asies) y exviceministro de la cartera de Finanzas Públicas.
Para llegar a una madurez de ciberseguridad, la perspectiva gubernamental va desde la educación, la inclusión digital y la conectividad. “Generada esta conciencia, vienen los instrumentos de regulación, de ordenamiento que son básicamente las políticas de gobierno que se están implementando y para ese camino estamos apuntando”, sugiere Edie Cux, comisionado presidencial de Gobierno Abierto y Electrónico (GAE).
Los entrevistados coinciden en que sin ley o no, todas las instituciones deben preocuparse por sus inversiones en ciberseguridad y por tener un programa de seguridad de la información que garantice los tres pilares importantes, como lo son confidencialidad, integridad y disponibilidad de la información, la cual se pueda proteger con los recursos que se destinan a este fin.
Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea.