En los últimos años, las filtraciones y la venta ilegal de datos personales se convirtieron en una amenaza global, afectando tanto a individuos como a instituciones. Paraguay no es la excepción, y ya ha registrado casos en los que bases de datos sensibles fueron expuestas o comercializadas en la dark web. Estos incidentes evidencian la vulnerabilidad de los sistemas de información y la creciente necesidad de fortalecer la ciberseguridad en el país.
Recientemente, el Centro de Respuestas a Incidentes Cibernéticos (CERT-PY), comunicó que se encuentra trabajando en la investigación relacionada a una reciente publicación en redes sociales sobre la presunta venta de datos personales de ciudadanos paraguayos.
Según la publicación del perfil de elhacker.ne en la red social X, un actor de amenazas ofrece datos personales de aproximadamente siete millones de ciudadanos paraguayos.
Sobre el punto, el Ministerio de Tecnologías de la Información y Comunicación (Mitic), aseguró que esta filtración podría estar vinculada con el ataque cibernético vinculando esta filtración con el ataque cibernético que sufrió el Tribunal Superior de Justicia Electoral (TSJE) en el año 2023. Según señalaron los datos extraídos podrían incluir información como números de cédula de identidad y domicilios, no así de cuentas bancarias.
Según señala el CERT-PY, desde la implementación de estas medidas, “no se han registrado eventos similares de fuga de información”, sin embargo, insta a la ciudadanía a mantenerse alerta ante posibles intentos de fraude, ya que los métodos utilizados por ciberdelincuentes pueden variar.
Cabe recordar además que en el año 2024 el Mitic y el Comando Sur de los Estados Unidos realizaron una revisión conjunta de ciberseguridad en las redes del gobierno paraguayo, donde se pudieron identificar filtraciones en sistemas gubernamentales.
Durante la revisión se identificó al actor de ciberespionaje Flax Typhoon, un grupo de la República Popular China con vínculos con el gobierno de la RPC, infiltrándose en los sistemas del gobierno paraguayo.
En aquella ocasión, el gobierno de Paraguay y el de Estados Unidos se comprometieron a seguir trabajando por fortalecer un sistema de seguridad para construir y robustecer el sistema nacional e internacional.
Miguel Ángel Gaspar, experto en ciberseguridad, aseguró respecto al último incidente que, la realidad digital, impulsada por la globalización y la digitalización de datos, se convierte en una amenaza aún más abarcativa que la realidad física.
Esto se da en un contexto en el que existen cada vez más actores malintencionados, como ciberdelincuentes o hackers. Cabe aclarar que no todos los hackers son delincuentes, pero hay quienes se dedican a detectar vulnerabilidades, lanzar ataques o engañar a las personas en el ciberespacio.
“En cuanto a la filtración de datos que estamos experimentando en Paraguay, todo indica que, ya sea por complicidad interna o por una intrusión externa, alguien logró acceder a ciertas bases de datos. Estas bases se organizan, empaquetan y venden en la dark web, para luego ofrecerse en la big web, que es una especie de mercado donde operan ciberdelincuentes, hackers y profesionales de seguridad”, explicó.
El martes 25 de marzo, se vio la primera alerta sobre un anuncio que contenía datos de ciudadanos paraguayos. Según el experto, con esto entran en juego varias cuestiones como: la protección de los datos de los ciudadanos y la necesidad de investigar a fondo el origen de la filtración, es decir, cómo ocurrió, cómo se perdió la información y qué medidas de mitigación se están tomando.
“Lo grave es que muchas personas piensan: «Yo no soy nadie ¿qué importa si mis datos están expuestos? No tengo nada que ocultar». Pero esa es una percepción equivocada. Cuando los ciberdelincuentes acceden a bases de datos reales y confiables, el delito más común es la suplantación de identidad mediante ingeniería social”, confirmó Miguel Gaspar.
CONSECUENCIAS DE LA FILTRACIÓN DE DATOS
Conforme señaló el experto en ciberseguridad, la gravedad de una filtración de esta magnitud de información, es que muchos de los ciberdelincuentes tienen acceso a datos clave que luego se utilizan para engañar a las víctimas mediante la suplantación de identidad.
Como ejemplo graficó una situación en la que un usuario recibe un mensaje de alguien que asegura ser funcionario del Ministerio de Salud y le brinda información sobre las vacunas contra el COVID que la persona tiene aplicadas y la fecha de las mismas, asegurando algún problema con las mismas, por lo que solicita a la víctima ingresar a un enlace para verificar los datos, haciendo que la persona caiga en la trampa.
“Al contar con información real sobre la persona, es mucho más fácil que esta caiga en la trampa. Por eso, la protección de los datos personales es fundamental, y los datos sensibles lo son aún más. Hoy buscamos que la población tome conciencia y que el Gobierno, en particular el Mitic, actúe de manera transparente”.
En esa línea afirmó que es sumamente importante que los entes encargados brinden un informe detallado sobre lo que está ocurriendo, además de implementar medidas concretas para evitar nuevas vulneraciones.
Otra de las consecuencias que acarrea este tipo de filtración, además de la suplantación de identidad, es que la ingeniería social compromete cuentas bancarias, propicia extorsiones y fraudes financieros, por lo que los delincuentes pueden adquirir créditos, electrodomésticos o bienes mediante datos robados.
“Hoy en día, muchas casas de crédito y tiendas permiten activar financiamiento simplemente enviando un mensaje por WhatsApp. Si un ciberdelincuente tiene mi cédula de identidad y mi firma digitalizada, puede acceder a un crédito y luego soy yo quien deberá demostrar que no realicé esas compras”, sostuvo Gaspar.
ESTRATEGIAS PARA FORTALECER LA CIBERSEGURIDAD
Teniendo en cuenta que Ministerio de Tecnologías de la Información y Comunicación (Mitic) emitió un comunicado informando que ya se lleva adelante una investigación activa para corroborar la filtración, Miguel Gaspar consideró que es necesario que los responsables de las instituciones encargadas hablen con sinceridad y transparencia sobre lo ocurrido para brindar confianza y tranquilidad a la población.
“Lo importante es que, en adelante, adoptemos buenas prácticas internacionales. Debemos exigir trazabilidad de nuestros datos. Si se filtran, tenemos derecho a saber qué ocurrió ¿De qué base provienen? ¿Quién los custodiaba? ¿Quién tenía acceso a ellos? Esta es una gran oportunidad para demostrar que podemos hacer las cosas bien”, manifestó.
Por otro lado, recomendó al Gobierno comenzar a implementar campañas de concienciación y capacitación masivas tanto en español y guaraní, enfocadas principalmente a los sectores más vulnerables, como los grupos de personas de la tercera edad.
Asimismo instó a evaluar con urgencia una ley de protección de datos personales. Sin embargo, cabe mencionar que contar con una ley no garantizará una protección inmediata, atendiendo a que todo el proceso de elaboración del proyecto, aprobación e implementación, podría llevar al menos unos tres años de trabajo.
“Mientras sigamos perdiendo el tiempo con discusiones superficiales, los delincuentes seguirán operando impunemente. Por eso, es necesario mantener una memoria activa sobre el valor de la información, y entender que juntos podemos impulsar a nuestros legisladores a tomar decisiones que realmente nos protejan”, refirió.
CÓMO PROTEGER DATOS PERSONALES
Finalmente, Miguel Gaspar citó unas recomendaciones para que las personas puedan proteger sus datos personales en este contexto. Para esto afirmó que lo más importante es usar siempre contraseñas robustas, idealmente habilitando el doble factor de autenticación en todas las cuentas posibles.
Otro aspecto clave para protegerse en internet según el experto es aplicar la «ley de confianza cero», es decir, no confiar en ningún enlace ni mensaje sospechoso, ni compartir información sensible con nadie a través de ningún medio.
También es importante invertir en herramientas de seguridad, como antivirus y firewalls, que permiten monitorear actividades sospechosas en los dispositivos. Por otro lado, evitar instalar aplicaciones piratas, ya que muchas contienen malware.
Mantener los dispositivos siempre actualizados es vital para la seguridad, así como evitar realizar transacciones bancarias usando una red de wifi pública. La capacitación en seguridad digital también se vuelve un aspecto clave.
Finalmente en caso de sospecha de vulneración de alguna información sensible, la ciudadanía puede realizar sus denuncias al correo electrónico abuse@cert.gov.py, para reportar cualquier irregularidad en materia de ciberseguridad.
