A medida que el mundo se vuelve más interconectado gracias a los avances en las TIC’s, el panorama de la ciberseguridad también se vuelve más complejo. En la última década, el acceso a las TIC’s y la adopción digital aumentaron significativamente, especialmente en áreas rurales y previamente desatendidas, que pasó de un 68% en 2022 a un 74% en 2023.
Según datos de CAF (2024), la brecha digital alcanzó en el 2022 a más del 64% de la población rural de América Latina y el Caribe y el 40% de los hogares urbanos con menores ingresos.
Con la mejora en el acceso a las tecnologías de la información, llega también una gran afluencia de usuarios que carecen de habilidades necesarias en alfabetización digital y ciberseguridad, situación que amplía la superficie de ataque para actores maliciosos, creando vulnerabilidades.
En ese aspecto, cabe destacar que solo en el año 2023, FortiGuard Labs -organización de investigación e inteligencia de amenazas de Fortinet-, bloqueó 2,4 billones de intentos de vulnerabilidad y 3 billones de entregas de malware a nivel global.
CONTEXTO LOCAL
De acuerdo con el Mitic, en Paraguay hay una notable mejora en el uso de internet. El porcentaje de usuarios aumentó del 74,7% en 2022 al 78,1% en 2023. En el área rural, el incremento fue significativo, pasando del 63,2% al 68,2%, lo que indica un avance en la inclusión digital en zonas menos conectadas.
En los últimos años, nuestro país se enfrentó a un creciente número de amenazas cibernéticas, mientras el panorama de amenazas evoluciona constantemente, presentando nuevos desafíos.
De acuerdo con el último modelo de madurez de capacidades de seguridad cibernética de la OEA y el BID, Paraguay presenta un progreso leve en la madurez de sus capacidades de protección, detección y respuesta ante incidentes.
En este contexto, la Estrategia Nacional de Ciberseguridad 2024 – 2028, impulsada por el Mitic, pretende ser una hoja de ruta actualizada y ambiciosa para fortalecer la resiliencia digital del país.
Este plan identifica la necesidad de fortalecer los roles y atribuciones referentes a ciberseguridad y protección de la información, no sólo en cuanto a capacidad de respuesta a incidentes, sino también a formación y concienciación, protección de infraestructuras críticas, seguridad en la administración pública, capacidad de investigación y persecución de la ciberdelincuencia y coordinación nacional.
En este marco, cabe recordar que en las últimas semanas, el Ministerio de Tecnologías de la Información y Comunicación, identificó y logró la mitigación de una infiltración cibernética en los sistemas digitales del gobierno paraguayo.
De acuerdo con los datos del Mitic, los ciberataques son “una constante”, con más de 300 eventos reportados en instituciones públicas solo en lo que va de 2024. Sin embargo, el último incidente reportado se trató de un caso de “vulneración silenciosa”, cuyo objetivo era capturar información sensible, principalmente comunicaciones diplomáticas y gubernamentales estratégicas.
En la oportunidad, la identificación de la amenaza fue realizada por la institución, en colaboración del Comando Sur de los Estados Unidos, lo que permitió neutralizar de manera efectiva el ataque y mejorar las capacidades técnicas y estratégicas en ciberseguridad.
CIBERATAQUES
De acuerdo con Jorge Durand, product owner encargado de la protección de los datos en el Banco de Crédito del Perú, con amplia experiencia en ciberseguridad, en la actualidad, las principales amenazas digitales a nivel mundial, corresponden a ciberataques a cadenas de suministros, phishing, infraestructura cloud y data sensible mediante malware principalmente de tipo ransomware.
Respecto a los sectores mayormente vulnerables, resalta que los ciberdelincuentes tienen una serie de motivaciones pero la principal, es el beneficio económico. “En ese aspecto, un objetivo atractivo son las empresas financieras, ya que al vulnerarlas les permitiría favorecer financieramente”.
“Ahora bien, esto no exime el hecho de que empresas de otro sector también puedan ser atacados ya que los ciberdelincuentes tienen como incentivo el reconocimiento, develando información gubernamental que favorece o no, a cierto grupo de la población, dependiendo del contexto”, explica.
En el marco del contexto local reciente, el experto asegura que, es sumamente importante que las empresas e instituciones adopten la filosofía “Zero trust” o confianza cero, que implica no confiar en los usuarios o dispositivos de una organización de manera que se verifiquen continuamente los accesos”, menciona.
Otro aspecto destacado a su opinión, es la seguridad en capas, que implica establecer controles de seguridad desde el ámbito más externo, es decir, fuera del perímetro de red de la organización, hasta la parte más interna de la misma.
Esto implica además, fomentar una cultura de ciberseguridad en las organizaciones más allá de lo técnico, teniendo en cuenta que en la cadena de ciberseguridad hay un eslabón débil, que está asociado al colaborador o usuario final.
“Los ciberdelincuentes usan phishing para intentar engañar a sus víctimas con la finalidad de obtener datos sensibles para posteriormente capitalizarlos a favor de los atacantes y en perjuicio de los usuarios finales”, resalta Durand.
Al mismo tiempo enfatiza -en relación a la alianza realizada entre el Mitic y el Comando Sur de los Estados Unidos-, que la cooperación en internacional en términos de inteligencia, permite el intercambio de información relevante sobre amenazas comunes para combatir los ataques informáticos, dar respuestas y contención ante incidentes de ciberseguridad.
RETOS PARA PARAGUAY
A partir de las evaluaciones realizadas por el Mitic antes de 2024, en el marco del proceso de actualización de la Estrategia Nacional de Ciberseguridad, se identificaron siete principales problemáticas en ciberseguridad en el país.
El primer reto se basa en la mejora continua en la coordinación de la gobernanza de ciberseguridad. Paraguay enfrenta desafíos en su gobernanza de ciberseguridad debido a la falta de cadencia de una articulación estratégica que impide el desarrollo de políticas coherentes y efectivas.
El segundo desafío son los recursos financieros limitados y la asignación ineficiente de presupuesto en ciberseguridad, lo que resulta en una inversión insuficiente y el presupuesto asignado no siempre se destina a las áreas más críticas, afectando la capacidad del país para fortalecer su infraestructura y respuesta cibernética.
Asimismo, el proyecto destaca que Paraguay carece de un marco normativo integral y actualizado en materia de ciberseguridad, por lo que la falta de definiciones claras y un marco técnico sólido dificulta el cumplimiento de estándares internacionales y nacionales.
Por otro lado, la ausencia de estandarización en infraestructura y de adopción de tecnologías emergentes; además de la diversidad y obsolescencia en el hardware y software utilizados por entidades públicas y privadas generan vulnerabilidades y dificultan la implementación de medidas de seguridad coherentes.
La protección de la infraestructura crítica en el país todavía es insuficiente debido a la falta de planes efectivos de gestión de crisis. No existen procedimientos establecidos para el reporte y divulgación de incidentes cibernéticos, ni un adecuado intercambio de información entre entidades. Las debilidades en la lucha contra el cibercrimen y gestión de evidencia digital, también son un problema crítico.
Otro de los retos más resaltantes es la escasez de talento humano especializado y de habilidades en ciberseguridad en Paraguay. Las oportunidades de educación, capacitación y formación en este campo son limitadas, lo que conduce a una baja concienciación sobre la importancia en todos los niveles.
Respecto a este último punto, Jorge Durand asegura que la capacitación continua en ciberseguridad para colaboradores de instituciones públicas y privadas juega un papel crucial para la protección contra amenazas cibernéticas.
“Hay una carrera permanente entre los atacantes y quienes defendemos la infraestructura crítica de las organizaciones. Ambos buscamos estar a la vanguardia de la tecnología con fines diferentes. Esta carrera es injusta para los que defendemos, ya que debemos cerrar absolutamente todas las brechas de ciberseguridad, mientras ellos solo necesitan una para perpetrar su ataque”.
Según su valoración, las organizaciones deben impulsar programas de formación que incluyan normativas y estándares internacionales como la ISO 27001 y 27032, que contienen aspectos sobre los sistemas de gestión de la seguridad de la información y la ciberseguridad, respectivamente.
Durand afirma además que los ciberatacantes están en constante actualización, perfeccionando sus técnicas y apalancándose en la inteligencia artificial. “En ese sentido, los que protegemos los activos críticos de las organizaciones no podemos quedarnos atrás. Debemos estar en igualdad de condiciones o en un nivel técnico superior a los ciberdelincuentes”, concluye.
