El 26 de marzo de este año, inició en Paraguay una ola de hackeos a diversas páginas de entidades públicas de este país. Los primeros sitios atacados fueron el Tribunal Superior de Justicia Electoral (TSJE) y el Registro del Estado Civil, con estos los ciberdelincuentes obtuvieron los datos personales de 7 millones de paraguayos.
Desde ese momento y hasta este 30 de junio, se ha identificado a tres grupos de hackers (CyberTeam, Leaker y Brigada Cyber PC) que han saboteado las páginas de la Presidencia de la República, el Tribunal Electoral Partidario (TEP) de la Asociación Nacional Republicana (ANR), Gabinete Civil, Portal de Información Pública, Secretaría Nacional de Deportes, Cámara de Diputados, las direcciones de Meteorología y la Fuerza Aérea, Administración Nacional de Puertos y Repatriados, Secretaría Nacional de Cultura y de los ministerios de Justicia, Salud, Niñez, Ambiente y de Obras Públicas, entre varios otros públicos y también privados. La cifra es alarmante: Entre el 9 de mayo y el 26 de junio, el Gobierno de Paraguay sufrió 27 ciberataques.
Desde que estos ataques empezaron, el ministro de Tecnologías de la Información y Comunicación (Mitic), Gustavo Villate, ha admitido que los portales de diversas entidades públicas han sido vulnerados y los datos personales de los usuarios filtrados, pero que el Centro de Respuesta a Incidentes de Seguridad Informática de Paraguay (CERT-PY, ente adscrito al Mitic) activó cada vez sus protocolos de actuación para contener los ataques e identificar las vulnerabilidades de cada sitio. También señaló que muchos de los ataques están relacionados con prácticas de los usuarios que considera “inadmisibles”, como tener contraseñas débiles, abrir enlaces sospechosos y no verificar cuál es el remitente de los mensajes y correos electrónicos recibidos.
Es decir, la “responsabilidad” recayó en la ciudadanía, más que en tener protocolos débiles de protección en toda la red digital gubernamental, y puede que esta conclusión no sea tan sacada al vuelo, ya que el Ministro se autoevaluó el 26 de junio y calificó públicamente a su gestión como “excelente”, desde su punto de vista, claro está. Por cierto, cuando CyberTeam, aparentemente brasileños y los hackers más activos en las vulneraciones a entidades paraguayas, ingresaron al sitio del Partido Colorado (ANR) el mismo día que Villate denominó “excelente” a su gestión, no solo dejaron fuera de servicio la página sino que tuitearon sobre esto y la supuesta excelencia del trabajo del Ministro a modo de burla.
Asociación Nacional Republicana, Partido Colorado - Paraguay
— CyberTeam (@cyberteam2009) June 26, 2025
Pasó un mes y volvimos a hackear. La seguridad sigue siendo excelente en nuestra opinión. ¡Risa! 😄
site:https://t.co/8Xgkje1lGj#CyberTeam #Hacked pic.twitter.com/Nz9EVoB310
Mientras el Ministro de Información y Comunicación lidia con las debilidades del ciberespacio nacional, el presidente Santiago Peña calificó las acciones de los piratas informáticos como “una guerra”, pero no de armas sino cibernética, en la que están “atrapados” –o se convirtieron en objetivos– por ser aliados y defensores de los gobiernos de Israel y Taiwán. Para el Primer Mandatario, los ataques del trío de colectivos de hackers son más el síntoma de un problema mundial que de la ausencia de mecanismos de defensa de su nación.
Esta es una batalla que se está librando; en algunos países se libra con armas, como es la guerra que hoy azota a Ucrania y Rusia, o lo que está ocurriendo en el Medio Oriente, y hay otras batallas que son en el campo tecnológico; entonces, Paraguay, por la posición que ha tenido en diferentes temas, como la defensa de Israel, la defensa de Taiwán, eso nos ha expuesto a tener ataques, dijo.
Las propuestas
Paraguay a duras penas tiene una Ley de Protección de Datos Personales Crediticios (Ley N° 6534/20), pero no una ley de protección de datos personales per se. Actualmente, el proyecto de ley de Protección de Datos Personales en Paraguay fue aprobado por la Cámara de Diputados, el 5 de junio, y remitido a la Cámara de Senadores, para su segundo trámite constitucional, que tiene hasta el 5 de septiembre de este año para pronunciarse al respecto.
En medio de este desierto legislativo, y de las constantes vulneraciones que decenas de sitios paraguayos ha sufrido desde marzo, un grupo de miembros del Mitic (entre quienes estuvo Villate) y de la unidad de Delitos Informáticos de la Policía Nacional, además de expertos en la materia, se reunieron este 1° de julio para debatir sobre la ciberseguridad nacional y, reiteraron que los ataques han sido responsabilidad de la ciudadanía (a la que calificó como la primera línea de defensa), que aún no se ha adaptado a las dinámicas de seguridad apropiadas para el ciberespacio.
Pero el Ministro no solo habló de las cargas que recaen en los paraguayos sino que también resaltó que la ciberseguridad nacional depende de que tanto la infraestructura como las bases de datos estén alineados a protocolos de seguridad más eficientes; por este motivo, –prometió– que el Mitic trabajará en el fortalecimiento de la ciberseguridad gubernamental e iniciará el trabajo de monitorear que todos los portales institucionales cumplan con los requisitos mínimos de seguridad en línea.
Mientras Villate delinea el plan de acción del Mitic y la Estrategia Nacional de Ciberseguridad 2025–2028, oficializada mediante el Decreto Nº 3900 del Poder Ejecutivo, el Congreso Nacional presentó dos proyectos de ley: el Proyecto-176400, de Ciberseguridad, Protección de Datos y Prevención de Ciberdelitos (ingresado el 12 de mayo), y el Proyecto-177382 de Ciberseguridad y Protección del Ciberespacio Paraguayo (ingresado el 28 de mayo).
Recomendamos: Piratería digital: ¿Dónde se desdibuja la línea entre equilibrio de derechos y negocio millonario?
El primero tiene por objeto establecer un marco jurídico integral de ciberseguridad para la protección de infraestructuras críticas, datos personales, redes y sistemas, así como prevenir y sancionar ciberataques y ciberdelitos. Su estructura institucional contempla la creación de la Agencia Nacional de Ciberseguridad (ANC), como organismo autárquico y encargado de coordinar las políticas de prevención, monitoreo, respuesta y resiliencia en materia de ciberseguridad. A este se suma también en la estructura el Centro de Respuesta a Incidentes Cibernéticos (CERT-PY), dependiente de la ANC, y el Comité Nacional de Ciberseguridad, como asesor permanente.
El segundo busca establecer el primer marco jurídico integral para la ciberseguridad, la protección del ciberespacio y la soberanía digital nacional. A grandes rasgos, el Proyecto-177382, que tipifica y clasifica infracciones administrativas, prevé varios cambios:
- La creación de la Dirección Nacional de Ciberseguridad (DNCI, dependiente del Ministerio de Defensa Nacional), como ente rector.
- La creación del Consejo Nacional de Ciberseguridad, como ente consultivo y de coordinación de alto nivel.
- La imposición de obligaciones específicas a las instituciones y prestadores de servicios públicos y operadores de infraestructura crítica, como:
- La implementación de políticas y procedimientos de ciberseguridad alineados con la DNCI.
- Evaluaciones periódicas de riesgos y vulnerabilidades.
- Promoción de políticas de educación, concienciación y capacitación.
- Adopción de medidas de protección de datos y sistemas.
- La imposición de un régimen sancionatorio que incluirá multas, apercibimientos y suspensión o revocación de licencias, entre otras medidas, para las entidades que no cumplan con las obligaciones establecidas por la DNCI.
Más del tema: Ante los ciberataques: ¿Cuánto han avanzado las leyes en América Latina en protección de datos?
Consultado sobre si esta ley de Ciberseguridad y Protección del Ciberespacio Paraguayo avanza en la exigencia de un mayor resguardo de la información personal, Juan Bautista Fiorio, socio de Fiorio, Cardozo & Alvarado Law Firm, señaló que lo hace de manera indirecta, puesto que su foco está en la protección del ciberespacio, más que en los datos personales. Además, no establece derechos explícitos de los titulares ni un régimen específico de protección de datos sino que promueve medidas técnicas y organizativas similares al RGPD europeo, pero sin incluir elementos de gobernanza ni derechos individuales como exige el RGPD. La propuesta de ley paraguaya tiene, en resumen, un enfoque más técnico y defensivo a un sistema que, aunque verá reforzadas sus capacidades estatales con la aprobación de la Ley aún podría ser –a su criterio– frágil ante amenazas complejas y persistentes.
En materia de servicios digitales y tecnología de la información gestionada por terceros, el Proyecto-177382 incluye explícitamente a empresas privadas que presten servicios públicos o gestionan infraestructuras críticas así como a los sistemas que operan o afectan el espacio aéreo, “lo que lo hace más amplio técnicamente”, resalta Fiorio, quien considera que muchas de las empresas y entidades paraguayas no están –a día de hoy– preparadas para cumplir con los aspectos de prevención, detección, respuesta, investigación y persecución de ciberdelitos, capacitación y cultura de ciberseguridad debido a que la mayoría del sector privado carece de programas preventivos, personal capacitado y respuesta efectiva. “Este proyecto demandará inversiones y adaptaciones normativas significativas”, apuntó.
Montserrat Puente, asociada sénior de FERRERE y líder de la práctica de PI y derecho regulatorio en Paraguay, recalcó que los proyectos de ley suponen un avance en la exigencia de un mayor resguardo de la información personal, tanto en materia de ciberseguridad, como en materia de protección de datos personales. Para ella, este avance se manifiesta en la incorporación de obligaciones expresas para responsables y encargados del tratamiento, en el reconocimiento de derechos del titular de los datos y en la creación de autoridades competentes para la supervisión y sanción de incumplimientos.
No te pierdas: Ley de Ciberseguridad en Chile, ¿cómo impacta a las empresas?
Si bien estos proyectos aún están en etapa de estudio, resulta sumamente auspicioso que el Congreso esté abordando una agenda largamente postergada. Considerando que el marco normativo vigente es fragmentado o inexistente en aspectos clave, estas iniciativas representan un paso necesario para fortalecer la protección de la información personal y adecuar el ordenamiento jurídico a las exigencias del entorno digital contemporáneo, indicó.
Para la abogada es importante apuntar que, si bien los proyectos impulsados en Paraguay no se ajustan plenamente a lo que exigen legislaciones como la de la Unión Europea, sí tienen como referencia buenas prácticas internacionales y, sobre todo, responden a una lógica nacional, con estructuras institucionales más centralizadas y un abordaje orientado a sentar bases mínimas, en función de las necesidades y capacidades actuales. “Por tanto, más que replicar el modelo europeo, Paraguay está avanzando en la construcción de un marco propio.”
Respecto al nivel de preparación de las empresas y entidades paraguayas, estos proyectos son evidencia de que muchas organizaciones todavía no comprenden que la ciberseguridad no es solo una cuestión de cumplimiento normativo, sino un elemento esencial para su supervivencia “y, en el caso de las entidades del Estado, para la protección efectiva de los ciudadanos y la estabilidad institucional”, dijo Puente, quien además considera que el impulso normativo en curso ofrece una oportunidad clave para alinear capacidades reales con las exigencias legales que se avecinan, y transitar hacia un ecosistema digital más seguro y resiliente.
Podrías leer: Misoginia en línea, los avances en la regulación de algoritmos
No todos lo ven con positividad
A pesar de que ambos expertos citados ven con buenos ojos estas propuestas legislativas, que –recordemos– están enmarcadas en la Estrategia Nacional de Ciberseguridad 2025–2028, la Asociación de Tecnología, Educación, Desarrollo, Investigación y Comunicación (Tedic) apunta que repensar la ciberseguridad debe hacerse teniendo a las personas como foco, en vez del castigo, que es como en general, en su criterio, se concibió la Estrategia. Para ellos, la seguridad digital no puede limitarse a proteger infraestructuras o perseguir a los ciberdelincuentes bajo una lógica punitivista sino que debe aspirar a construir un entorno digital libre de violencia, inclusivo, seguro y justo.
…el concepto de ciberseguridad debe dejar de ser reactivo y coercitivo, y convertirse en una herramienta para garantizar el ejercicio pleno de derechos humanos en entornos digitales. La seguridad digital debe proteger a las personas más que a los sistemas; debe prevenir el daño antes que castigarlo, y debe incluir activamente a sectores históricamente excluidos en su diseño y gobernanza, declararon antes de resaltar que consideran que la Estrategia Nacional de Ciberseguridad no incorpora esta visión de forma integral.
El Tedic considera que el Proyecto de Ley de Ciberseguridad, Protección de Datos y Prevención de Ciberdelitos y el de Ciberseguridad y Protección del Ciberespacio Paraguayo no muestran signos claros de articulación o coordinación porque fueron concebidos sin diagnósticos previos, estudios de derecho comparado ni participación de organizaciones especializadas y académicas, el sector privado y la sociedad civil lo que los convierte, en su base, en propuestas fragmentadas que, además, carecen de armonización con otras normativas actuales y otras pendientes, como la Ley de Protección de Datos Personales, que el Congreso aún discute.
Para la organización, estas leyes de ciberseguridad no pueden abordarse de manera aislada sino que deben ser parte de un ecosistema legal que incluya normativas complementarias como la Ley de Protección de Datos Personales, sobre gobernanza de datos, la Ley de Acceso a la Información Pública (que indican debe actualizarse) y un régimen legal sobre infraestructuras críticas.
Aún así, el panorama actual puede verse bajo una luz alentadora porque, como indica Montserrat Puente, Paraguay ha dado pasos significativos en materia de ciberseguridad con la adopción de la Estrategia Nacional de Ciberseguridad 2025–2028 y la introducción de los proyectos 176400 y 177382 que reflejan una voluntad clara de fortalecer la institucionalidad y responder a los desafíos del entorno digital mientras apuntan hacia la consolidación de un ecosistema digital “más resiliente”.
}
Add new comment