Expertos urgen una estrategia nacional para proteger la información pública.
OTRAS NOTAS: Ministerio de la Defensa confirma vulneración de datos en Digecam
Las recientes vulneraciones a sitios electrónicos y sistemas informáticos de instituciones públicas han puesto en evidencia las debilidades que enfrenta Guatemala en materia de ciberseguridad.
En los últimos meses, diversas entidades estatales han confirmado ataques cibernéticos, entre ellos la Dirección General de Control de Armas y Municiones, el Laboratorio Nacional de Salud y el Ministerio de Trabajo.
Asimismo, se ha alertado de vulneraciones en otras instituciones públicas como el Ministerio de Finanzas Públicas, la Superintendencia de Administración Tributaria y el Registro Nacional de las Personas, que al final no han desmentido ni confirmado la exfiltración de datos.
Esta situación ha abierto el debate sobre el nivel de preparación del Estado para prevenir, responder y recuperarse de ataques informáticos cada vez más sofisticados.
La ingeniera en sistemas y docente universitaria, Julia Marielos Argueta Revolorio, consideró que existen dos vulnerabilidades principales que exponen a las instituciones públicas.
La primera es la ausencia de mecanismos robustos para controlar el acceso a la infraestructura tecnológica, como servidores, computadoras y redes de comunicación.
La segunda es la falta de una adecuada segregación de funciones, situación que permite que empleados con años de servicio acumulen permisos y accesos que ya no corresponden a sus responsabilidades actuales.
La experta dijo que el uso de contraseñas débiles y la reutilización de las mismas credenciales en diferentes plataformas facilitan el trabajo de los ciberdelincuentes. Indicó "una vez que un atacante logra obtener el usuario y contraseña de un empleado, puede ingresar a las redes internas de las instituciones y desarrollar ataques escalonados para ampliar su acceso a información y sistemas críticos".
En ese contexto, afirmó que las principales debilidades de las instituciones están en que "no hay un control robusto de accesos y no hay una adecuada segregación de funciones o de acceso a la información".
LEA MÁS: Mintrab confirma ciberataque, pero evita hablar sobre datos extraídos
Argueta también señaló que el factor humano constituye una de las principales debilidades en materia de seguridad digital. A su criterio, las instituciones deben fomentar una cultura de ciberseguridad que involucre a todo el personal, independientemente de su cargo.
"La empresa o la entidad, en este caso, va a ser tan segura como su eslabón más débil. Y su eslabón más débil se traduce en la persona que tiene menos sensibilidad o menos capacitación respecto a ciberseguridad", afirmó la ingeniera.
La especialista agregó que la protección de la información no depende únicamente de la tecnología, sino también de las prácticas diarias de los colaboradores y de la conciencia sobre el valor de los datos que manejan.
En cuanto a la información que resulta más atractiva para los ciberdelincuentes, la ingeniera indicó que las credenciales de acceso, la información personal y las bases de datos financieras o médicas representan activos de gran valor.
Explicó que los datos pueden ser utilizados para cometer fraudes, extorsiones o generar beneficios económicos ilícitos. "La información es un activo. Cuando tú la empiezas a ver como un activo, entiendes que ese activo tiene un valor intrínseco y ese valor se vuelve más grande de acuerdo al uso que tú le des", indicó la experta.
Carlos Boche, director del Departamento de Ingeniería Eléctrica y Telecomunicaciones de la Universidad Rafael Landívar, sostuvo que los ataques cibernéticos en Guatemala no son un fenómeno reciente.
Explicó que ahora parece que ocurren más seguido, no porque así sea, sino porque "son más visibles debido a la creciente dependencia de la tecnología".
A su juicio, "el país no está listo" para enfrentar este tipo de amenazas, pese a que el uso de herramientas digitales se ha expandido de manera acelerada en el sector público y privado.
LEA TAMBIÉN: ¡Alerta por hackeos! SAT y Renap aseguran que no sufrieron ataques cibernéticos
Boche consideró que el Estado debe concentrar sus esfuerzos en tres ejes fundamentales: infraestructura, inversión y estrategia y señaló que gran parte de la infraestructura tecnológica es obsoleta y requiere modernización, además de que existe una falta de inversión en equipos, herramientas de monitoreo y personal especializado.
También advirtió sobre la limitada capacidad de respuesta ante incidentes de seguridad y la ausencia de una estrategia institucional de protección digital. "Nos va a pasar, el problema es que estamos preparados para cuando pase", afirmó el especialista.
El académico añadió que cualquier institución pública debería implementar medidas mínimas como mantener actualizado el software, renovar equipos obsoletos y fortalecer la capacitación del personal.
A su criterio, las personas continúan siendo el principal punto de vulnerabilidad. "Podemos tener el equipo más actualizado, pero si la gente no está consciente de su rol, de lo peligroso que puede ser abrir un correo o abrir un enlace, por gusto voy a tener el mejor equipo del mercado", remarcó el experto.
Ambos especialistas coinciden en que Guatemala enfrenta un problema estructural de ciberseguridad y que los incidentes recientes no deben interpretarse como hechos aislados.
Argueta considera que el país carece de un marco legal específico para regular el ciberdelito y establecer responsabilidades ante la exposición de datos de los ciudadanos.
"Creo que como país no podemos tomar esto como un hecho aislado, porque no lo es. Sin duda alguna es una clara advertencia de que hoy no estamos preparados", expresó la ingeniera.
LEA ADEMÁS: ¡Ataques cibernéticos al Gobierno! Arévalo reconoce rezago de seguridad
Boche comparte ese diagnóstico y afirma que las amenazas informáticas forman parte de una realidad global. "Es generalizado, no es un hecho aislado. Somos parte de un sistema, al tener un contacto con una tecnología, ya somos vulnerables. Es nuestro nuevo estilo de vida digital al que estamos afrontando", concluyó el académico.
Ambos coinciden en que el fortalecimiento de la ciberseguridad del Estado requiere modernizar la infraestructura tecnológica, invertir en personal especializado, establecer una estrategia nacional coordinada y desarrollar un marco normativo que permita al país responder de manera más efectiva ante las amenazas digitales.
Reconocen rezago
En declaraciones anteriores, el presidente Bernardo Arévalo reconoció que el país enfrenta rezagos estructurales en materia de ciberseguridad y señaló que el país mantiene una condición de vulnerabilidad debido a la falta de atención histórica a este tema.
"Lo que sucede es que nosotros tenemos una posición como país vulnerable que se deriva del hecho de que el tema de la ciberseguridad nunca se le ha puesto ninguna atención", afirmó el gobernante.
Indicó que esta situación responde a años de desarrollo de sistemas tecnológicos sin el debido fortalecimiento de mecanismos de protección. "Tenemos muchísimos años en los que se ha venido ya trabajando en todo el desarrollo del sistema cibernético sin que se le ponga atención al tema de ciberseguridad", declaró el presidente.
Asimismo, el Organismo Ejecutivo informó que contempla una serie de acciones para fortalecer la protección de las instituciones públicas frente a ataques cibernéticos que se darán en el marco del Plan de Transformación Digital que incluye la implementación del Sistema Nacional de Ciberseguridad, confirmó la Secretaría de Comunicación Social de la Presidencia.
LEA MÁS: Gobierno activa plan de ciberseguridad tras ataques a Digecam y Laboratorio Nacional
Según la Secretaría como parte de la estrategia, el presidente Arévalo instruyó al Ministerio de la Defensa Nacional la elaboración de un catálogo de infraestructuras críticas que servirá como base para la identificación de dichas infraestructuras y posterior resguardo ante posibles amenazas digitales.
La Secretaría precisó que las acciones se desarrollan de manera progresiva y cuentan con el respaldo de cooperación internacional especializada.
Asimismo, indicó que cada institución deberá incorporar los recursos necesarios dentro de sus propios presupuestos para fortalecer sus capacidades en esta materia, con miras a una ampliación estratégica prevista para el ejercicio fiscal 2027.
