Aunque se descartó que fuera un ciberataque, en abril de 2025 España y Portugal sufrieron un apagón eléctrico masivo que activó los mecanismos de respuesta a nivel nacional. Estos centros coordinan la respuesta a incidentes en sectores estratégicos como energía, transporte, banca, salud y telecomunicaciones.

En Guatemala, en este momento no existe un centro de respuesta con estándares internacionales, aunque en estos momentos se trabaja un paquete de tres iniciativas de ley que busca acelerar la reglamentación que persigue a los estafadores en línea y a los cibercriminales que atacan a escala nacional.

“No podemos tener infraestructuras críticas comprometidas”, sentencia Jorge Mario Villagrán, diputado presidente de la Comisión de Asuntos de Seguridad Nacional del Congreso de la República durante un foro transmitido por Guatevisión dentro de la alianza con Guatemala No Se Detiene.

La preocupación del panel de expertos se centró en que en Guatemala no existe un marco normativo uniforme que obligue a hospitales, centrales eléctricas, redes de agua o al control del tráfico aéreo a adoptar estándares mínimos de ciberseguridad.

“Hoy nadie nos defiende, porque no tenemos un marco regulatorio que nos haga perseguir los ciberdelitos… muy pronto vamos a tener un marco legal en el cual podemos trabajar para protección de los ciberdelitos” dice Villagrán.

Particularmente se refirió al paquete de iniciativas que incluye la 6347, Ley de Ciberseguridad; la relativa a infraestructuras críticas, y la de protección de datos. Todas están a la espera de dictamen para iniciar su camino en el pleno legislativo.

En el foro, transmitido el pasado 2 de junio por Guatevisión –y disponible en YouTube–, también participaron Amílcar de León, experto privado en ciberseguridad, y María Zaghi, comercializadora de CampusTec y representante del Observatorio de Tecnología. El conversatorio fue moderado por el periodista Guillermo Velarde.

Vea aquí el foro completo:

Las propuestas incluyen puntos específicos que podrían cambiar la forma en la que Guatemala se defiende de los cibercriminales.

Un catálogo infraestructuras críticas

Según De León, “en Guatemala no contamos con un listado de qué es una infraestructura crítica o cuáles son, por ejemplo, el sector financiero, el azucarero, el cafetalero”. Sin embargo, añadió que unidades como la Policía Nacional Civil, el Ministerio Público o el Instituto Nacional de Ciencias Forenses (Inacif) han creado dependencias especializadas ante el aumento de incidencias.

Entretanto, los expertos abogaron por que Guatemala cuente, por primera vez, con reglas claras y un sistema coordinado para proteger sus servicios más vitales de las amenazas cibernéticas.

Dicha ley sentaría las bases legales para crear un catálogo oficial de infraestructura crítica, definir y clasificar qué tipo de instalaciones y sistemas deben incluirse e identificar activos concretos que, de ser comprometidos, pondrían en jaque al país. Además, establecería métodos y criterios para evaluar riesgos y vulnerabilidades de cada elemento.

“Tenemos el ejemplo del sitio arqueológico Xayá-Pixcayá, que en 2023 sufrió un ataque, y de la hidroeléctrica Chixoy, que ha sido blanco de intentos. No podemos tener infraestructuras críticas comprometidas”, complementa Villagrán.

Añade que cada ministerio debería elaborar un catálogo de lo que considera sus activos críticos. “La ley contempla que estos catálogos no serán públicos para evitar que los ciberdelincuentes tengan acceso a la información”.

Su visión es que las cámaras también deben señalar cuáles son sus empresas críticas. “Debemos tener muchísimo cuidado con esa parte porque se puede creer que se está tratando de invadir la propiedad privada, pero no es así”, asegura.

Además de ríos, subsuelos o yacimientos minerales, que pueden ser considerados como infraestructuras críticas naturales, en Guatemala se han identificado otras como hospitales, puentes, aeropuertos, carreteras, puertos, aduanas, depósitos de combustible y centrales hidroeléctricas, que cada órgano del Ejecutivo debería categorizar de manera institucional.

Un centro de respuesta a incidentes

Para Zaghi, en esta etapa de discusión es importante coordinar lo que llama una “gobernanza inclusiva” y “descentralizada”, quizás apoyada en tecnologías como blockchain.

Según Villagrán, la ley contempla la fundación de una Secretaría de Infraestructuras Críticas dentro del Consejo Nacional de Seguridad, con autonomía para coordinar a todos los actores involucrados en la estrategia de ciberseguridad.

“Anualmente se registran más de 360 mil millones de intentos de ataques solo en Latinoamérica, según De León. Aquí estamos hablando solo de Guatemala. ¿Cuántos de estos llegan a ser efectivos? Hay un déficit de profesionales de más de 4 millones en el mundo. Entonces, no es solamente una cuestión de decir que existe o no una ley”.

En este marco, los panelistas también coincidieron en la necesidad de crear institucionalidad alrededor de la ciberseguridad y la ciberdefensa. En primer lugar, con la secretaría autónoma que mencionaba Villagrán, y en segundo, con lo que se conoce en inglés como un centro de respuesta a incidentes, o CSIRT (Computer Security Incident Response Team).

Según una definición solicitada por Prensa Libre al equipo de Comunicación de Villagrán, este centro “contará con las facultades para dirigir y coordinar la respuesta a incidentes de seguridad informática con instituciones públicas y privadas; sean estos relativos a la ciberseguridad y ciberdefensa del Estado de Guatemala”.

“El problema que tenemos es dónde lo vamos a colocar –el centro de respuesta–, porque la gobernanza es una parte muy importante del sistema de seguridad no solo nacional, sino que de toda Guatemala”, dice Villagrán.

La propuesta debe establecer la institucionalidad, principios y normativa general que permitirán estructurar, regular y coordinar las acciones de ciberseguridad de los diferentes organismos del Estado y particulares.

De León aporta que “España tiene siete CSIRT especializados; (pero) nuestro objetivo debe ser, primero, contar con un CSIRT robusto y luego descentralizar”. Para Villagrán, también el centro de respuesta debe ser autónomo, con participación público-privada y “sin politización”.

Ciberdelitos definidos

“En donde tuvimos un poco de más retraso fue en los ciberdelitos, que requería mucho trabajo de cómo tipificarlos. La ley va a estar un poco dura en lo que respecta a las penas, y evitar que sean de esas de que usted salga de prisión con un pago, porque si no los jueces se van a ir por lo más fácil”, informa.

De León complementa que existen en el Código Penal “algunos pocos artículos que no hablan de cibercrimen ni de ciberseguridad, pero es lo que tenemos hoy”. Por ejemplo, agrega, “la extorsión es un delito que ya está tipificado, solamente que hoy en día lo tenemos ejecutado con herramientas digitales, lo que ya crea el nuevo término de ciberextorsión”.

La Convención de la ONU contra el Delito Cibernético establece por lo menos una decena de nuevos ciberdelitos, que van desde el robo o fraude relacionados con un sistema de tecnología hasta la difusión no consentida de imágenes de carácter íntimo o la falsificación informática. La lista la continúan violaciones como la instigación con fines sexuales contra menores o la interceptación ilícita de datos no públicos transmitidos a través de diversas tecnologías.

“Los que están detrás del ataque no están en Guatemala, y eso complica la situación enormemente porque, a diferencia de un crimen convencional, en donde tenemos un arma homicida en una escena del crimen, acá no sabemos en qué parte del mundo se puede encontrar a la persona que está detrás de la computadora haciendo el ataque”.

Según el equipo de comunicación de Villagrán, ya se completó la revisión de la mayoría de los puntos referentes a la iniciativa de ley de ciberseguridad, a excepción del apartado de ciberdelitos y gobernanza. Estiman que, en un mes, se contaría con el dictamen de la ley, no obstante, señalan que este podría retrasarse por motivos de agenda y reuniones.

Cooperación internacional

El experto De León es enfático en que Guatemala necesita del apoyo internacional. “No hay país que pueda independientemente con un ataque donde estamos hablando de que cuatro, cinco, seis países se unen con un ejército de cibercriminales para atacar una víctima”.

En este sentido, Villagrán informó que Guatemala renovó su suscripción al Convenio de Budapest el 12 de abril y tiene tres años más para alinearse.

El Convenio de Budapest es un instrumento que incluye estándares internacionales mínimos y normativa de derecho internacional relacionada con el tema de ciberseguridad.

“Es clave la cooperación público-privada e internacional (Convenio de Budapest). Sin regulación local no podemos formalizar un CSIRT ni hacer efectivo el convenio”, añade De León.

Paralelamente, está pendiente la socialización de las iniciativas mencionadas y su trámite para dictamen.

Encuentre más de Guatemala No Se Detiene en nuestros canales de video de Prensa Libre y Guatevisión, un contenido en alianza enfocado en periodismo de soluciones.