La Estrategia Nacional de Ciberseguridad 2025–2028 presentada de forma confidencial en el Palacio de López, tras el hackeo de la cuenta de la red social X del Presidente de la República, busca frenar el asedio constante al ecosistema digital violentado en varias ocasiones hasta de forma irónica en contra del ministro responsable de las políticas públicas de este sector.
Este nuevo plan reemplaza al anterior (2017) y se estructura en siete ejes: gobernanza institucional, desarrollo de capacidades, protección de infraestructuras críticas, actualización normativa, cooperación internacional, educación digital ciudadana y capacidad de respuesta ante incidentes.
El especialista en ciberseguridad Miguel Ángel Gaspar, presidente de la Fundación Paraguay Ciberseguro, conversó con ABC Negocios sobre la implementación de este plan que busca garantizar la protección de infraestructuras críticas y mejorar la resiliencia del país frente a amenazas emergentes.
Nueva estrategia sin ley
Según el especialista, entre los avances de la estrategia está la adhesión al Convenio de Budapest sobre Ciberdelincuencia, lo cual alinea al país con los estándares internacionales en la materia.
El Ministerio de Tecnologías de la Información y Comunicación (Mitic) es el ente rector de la implementación, seguimiento y evaluación de esta hoja de ruta, en coordinación con organismos clave como el CERT-PY, los ministerios de Defensa e Interior, la Fiscalía de Delitos Informáticos, áreas de TI (Tecnologías de la Información) de entidades públicas y actores del sector privado a través de alianzas público-privadas.
Lea más: Grupo de hackers lanza advertencia al gobierno de Santi Peña
Sin embargo, para blindar el ecosistema digital nacional aún quedan pendientes varios cuerpos normativos que aporten en la protección y desarrollo de lo digital como, por ejemplo, la ley de ciberseguridad, ley de protección de datos personales, ley de transformación digital e IA, entre otros cuerpos legales que se ajusten a los avances tecnológicos trepidantes.
Antecedentes sobre ciberataques
Gaspar comenta que entre 2019 y 2024, el sector educativo reportó más de 2.300 incidentes cibernéticos, mientras que instituciones gubernamentales fueron blanco de casi 3.000 ataques.
En mayo de este año, se registró una ofensiva simultánea contra 18 entidades públicas, evidenciando el grado de organización de los ciberdelincuentes. El Ministerio de Salud y el de Agricultura también fueron víctimas de filtraciones de datos sensibles. En el sector privado, empresas como Tigo Business sufrieron ataques de ransomware durante 2024.
El experto estima que a nivel regional se observa que las pérdidas económicas por ciberataques se han duplicado en 2024 comparado con el año anterior, afectando especialmente al sector financiero y de telecomunicaciones.
Añade que los métodos más comunes incluyen ataques DDoS, ransomware, phishing, ingeniería social y exfiltración de datos. Si bien no hay evidencia pública confirmada de vínculos con el narcotráfico, la sofisticación de algunos ataques sugiere la intervención de grupos organizados con alto nivel de recursos.
Gaspar recordó cómo en junio 2025 la red social X (ex-Twitter) del presidente Santiago Peña fue hackeada, publicando mensajes falsos sobre adoptar bitcoin como moneda de curso legal y lanzar un fondo respaldado por BTC.
En mayo 2025 también ocurrió un ataque masivo de CyberTeam que comprometió sitios web de al menos 18 instituciones estatales (incluyendo Salud, Educación, Justicia, Presidencia, entre otros), con casos de defacement, accesos no autorizados y filtraciones de datos personales.
Mientras que, en junio de 2025, el Jurado de Enjuiciamiento de Magistrados (JEM) y el Pronasida fueron atacados, exponiendo datos sensibles de usuarios. Hackers exhibieron el incidente en X, y expertos urgieron una respuesta del Mitic.
Startups<b> </b>especializadas
El presidente de Paraguay Ciberseguro advierte también que la preparación frente a amenazas cibernéticas es desigual. Mientras los grandes conglomerados han avanzado en infraestructura y protocolos de seguridad, las pequeñas y medianas empresas siguen siendo vulnerables debido a la falta de inversión y conocimiento.
En este contexto, indica que el sector tecnológico paraguayo muestra signos alentadores con la aparición de startups especializadas en ciberseguridad, la expansión de servicios de consultoría y la colaboración con el sector académico. También se están impulsando programas de certificación y marcos regulatorios que fomenten la cooperación público-privada.
Lea más: Ciberataques van a seguir, admite el Mitic
No obstante, señala que las debilidades estructurales persisten: escasez de recursos humanos capacitados, presupuesto limitado, infraestructura obsoleta y un bajo nivel de educación digital generalizada. Según Gaspar, “es urgente incorporar formalmente la ciberseguridad en el currículo escolar”.
Ley de protección de datos en el olvido
De acuerdo al especialista, en Paraguay, la legislación vigente en materia de protección de datos sigue siendo limitada. Actualmente, la Ley 6534, que regula específicamente los datos crediticios, funciona de facto como norma de protección de datos personales.
La propuesta legislativa que sí apunta directamente a llenar este vacío ya cuenta con media sanción en la Cámara de Diputados. Según alega el técnico, si se concreta su aprobación y se implementa una reglamentación adecuada, podría convertirse en el marco legal que el país necesita desde hace tiempo. Para ello, será clave el trabajo conjunto entre sector privado, público, académico y sociedad civil.
Brechas de seguridad y amenazas internas
El país enfrenta hoy dos grandes brechas de seguridad: una generada a partir del 9 de mayo de este año, y otra proveniente de una megabase de datos recopilada por grupos criminales que contiene filtraciones de múltiples fuentes, incluyendo información de ciudadanos paraguayos.
Esta base está disponible públicamente y puede ser descargada por cualquier actor malintencionado, incluyendo organizaciones criminales como el PCC o el clan Rotela, tanto dentro como fuera de los centros penitenciarios.
Registro Civil y activos digitales sensibles
Gaspar explicó que otro punto crítico es el Registro Civil, cuya falta de conexión entre sedes descentralizadas genera no solo ineficiencia, sino también riesgos para la protección de los datos. “No solamente la digitalización, sino la protección de estos activos digitales sensibles es algo urgente”, advirtió el experto en ciberseguridad, quien relató que, incluso a nivel familiar, enfrentó problemas al inscribir a su hijo en una oficina que no estaba conectada con la base central del Registro.
Auditoría en procesos electorales y sistemas públicos
Respecto a la infraestructura sobre la que corre la documentación electrónica en Paraguay, dijo que depende del Mitic, y si bien se considera que cuenta con estándares de seguridad, aún se requiere mayor transparencia en los procesos. En el caso de las máquinas de votación electrónica, los cuestionamientos no se han disipado desde las elecciones anteriores.
Recalcó que el problema central es la falta de auditorías efectivas, que, tras un caso reciente, se comprobó que el software utilizado durante la elección era distinto en un 3% al que fue auditado previamente, una diferencia inaceptable desde el punto de vista técnico. “Todos los que trabajamos en seguridad sabemos que no existen infraestructuras inhackeables, pero sí deben ser auditables”, remarcó el experto.