El dictamen 01-2025 de la Comisión de Seguridad Nacional del Congreso de la República, de la iniciativa 6347 que dispone aprobar la Ley de Ciberseguridad, tiene serios errores no solo técnicos, sino de principios, que podrían ser peligrosos, abriendo la puerta a compras de sistema de tecnología que fomenten la corrupción, la inteligencia artificial opaca, o incluso la compra de programas a países que podrían comprometer el futuro diplomático, vulnerando la capacidad productiva y social. Esta iniciativa fue aprobada en primer debate; sin embargo, es preciso que pueda regresar a la Comisión, para hacerle cambios que son necesarios, para no comprometer la capacidad institucional del país.

Todos sabemos la importancia de contar con una Ley de Ciberseguridad, no solo para proteger a la población de delitos graves de ataques cibernéticos, sino como bien lo establecen expertos de AWS y otras fuentes como el Banco Mundial o el BID, contar con la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado, y entre estos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad y establecer las atribuciones u obligaciones de los organismos del Estado.

Sin embargo, un análisis de la Mesa de Certeza Jurídica de la iniciativa Guatemala No se Detiene ha establecido el peligro de que se apruebe el dictamen de la iniciativa 6347, Ley de Ciberseguridad, tal cual está, debido a que propone que la respuesta a los incidentes cibernéticos se organice en torno a un Centro de Respuesta a Incidentes de Seguridad Informática de Guatemala (Csirt-GT), adscrito al Consejo Nacional de Seguridad (CNS), con un rol central del Ministerio de la Defensa Nacional en la conducción y ejecución de medidas, incluso de carácter ofensivo en el ciberespacio. Su enfoque se concentra en la tipificación y endurecimiento de delitos informáticos mediante reformas al Código Penal y en la creación de una red 24/7 en el Ministerio Público, para atender solicitudes internacionales de cooperación.

A diferencia de otros marcos comparados de ciberseguridad civil, el dictamen carece de un ente autónomo y multisectorial que garantice la transparencia, la prevención y la integración de la ciberseguridad con las políticas de transformación digital y de protección de datos.

Los comentarios fueron presentados a la Comisión y lastimosamente no se hicieron los cambios necesarios. La iniciativa tiene un predominio de un enfoque de seguridad nacional con preeminencia del componente de defensa, no garantiza la independencia funcional y técnica del órgano rector de ciberseguridad, ya que sitúa al Csirt-GT como órgano técnico del CNS. Por su parte, otorga al Ministerio de la Defensa Nacional un rol protagónico, con facultades permanentes para actuar en el ciberespacio.

Países democráticos como Chile, España, Alemania, Francia, Estados Unidos, Estonia, así como Uruguay y Costa Rica, han optado por una rectoría civil en ciberseguridad, reservando la intervención militar solo para escenarios excepcionales de defensa nacional. El modelo que dejó el dictamen de la Ley de Ciberseguridad en Guatemala solo se ve en países como China, Rusia, Irán o Corea del Norte.

El dictamen de la Ley de Ciberseguridad también excluye a actores civiles y multisectoriales en la rectoría de la ciberseguridad, deja ausente un régimen administrativo preventivo y carece de mecanismos de transparencia y rendición de cuentas.