¿Está preparado el país para un ciberataque a hospitales, plantas de energía y otros sectores?
En Guatemala, las infraestructuras críticas –como hospitales, bancos, plantas de energía, sistemas de agua potable y hasta el tráfico aéreo–, no cuentan con reglas claras y uniformes para protegerse contra ciberataques. Aunque algunas empresas privadas han tomado medidas por su cuenta para reforzar su seguridad, no hay una ley que establezca mínimos obligatorios ni que fomente que estas instituciones trabajen juntas para enfrentar amenazas digitales. Esto deja expuestos servicios esenciales para todos.
Además, de acuerdo con la Comunidad Bancaria de Ciberseguridad (Bancert), la falta de cultura de ciberseguridad y de coordinación entre sectores públicos y privados aumenta la vulnerabilidad de los activos sujetos de ser protegidos ante ese tipo de eventualidades.
Actualmente, en la Comisión de Asuntos de Seguridad Nacional del Congreso de la República se encuentra en espera de análisis para su dictamen respectivo, la propuesta de Ley General de Infraestructura Crítica Nacional, presentada por el diputado Jorge Mario Villagrán Álvarez.
El catálogo de infraestructuras
Esta propuesta de ley permitirá la legalización de elaborar un catálogo de infraestructura crítica, el cual, de acuerdo con la experiencia de otros países, debe contener componentes esenciales que incluyen su definición, clasificación, identificación de activos específicos, métodos y criterios para evaluar los riesgos asociados con cada activo y sus vulnerabilidades.
A criterio del presidente de la Cámara de Industria de Guatemala, Raúl Bouscayrol, es una ley que debería agregar valor a la protección de la infraestructura crítica. Por consiguiente, considera que se deberá elaborar el dictamen de dicha iniciativa, así como la consulta que deberá realizar a los distintos sectores.
LECTURAS RELACIONADAS
¿Quién nos protege en línea? Hay 11 delitos cibernéticos que Guatemala podría crear y castigar
PNC podría perseguir a estafadores en línea con nueva unidad de ciberseguridad y ciberdelitos
“Tenemos conocimiento de la iniciativa, pero consideramos que hace falta divulgarla con los sectores involucrados y la conformación de mesas técnicas para el análisis, incluyendo al sector privado”, indica el representante del sector privado industrial, el cual agremia a los sectores de hidrocarburos y telecomunicaciones entre otros, cuyos activos son considerados críticos para la seguridad y economía de la nación.
Los criterios que se observan en la iniciativa, para determinar la gravedad derivada de un ataque en una infraestructura crítica, consideran el número de personas afectadas y posibles consecuencias a la salud pública; pérdidas económicas; impacto ambiental e impacto público social.
Identificación de activos
De acuerdo con Marc Asturias, VP de Mercadeo y Field CISO de Gobierno para América Latina, Caribe y Canadá en Fortinet, proteger las infraestructuras críticas de Guatemala es clave, pues forman la columna vertebral de la economía y la seguridad de la nación. Sectores como energía, telecomunicaciones, finanzas, salud y transporte son esenciales para el funcionamiento del país. “Las posibles consecuencias de un ataque exitoso a estos sectores, son nefastas y van desde pérdidas financieras y la interrupción de servicios esenciales hasta comprometer la seguridad nacional”, expone el experto.
En tal sentido, la iniciativa pendiente de ser analizada, se indica que la elaboración del Catálogo Nacional de Infraestructuras Críticas, los operadores críticos, según el sector estratégico que representan, deberán identificar las infraestructuras críticas que les corresponde según su actividad laboral, económica o productiva de los servicios esenciales para el funcionamiento del país.
LECTURAS RELACIONADAS
Las 12 recomendaciones para comprar de forma más segura en comercio electrónico y disminuir riesgos
Piden que ley de ciberseguridad respete el libre pensamiento al regular delitos y sanciones
Los actores que conforman el marco institucional del Sistema Nacional de Protección de Infraestructuras Críticas deberán elaborar el Plan Nacional respectivo, los planes estratégicos sectoriales, de seguridad de Operaciones Críticas y de Apoyo Operativo. Estos últimos deberán ser elaborados por el Ministerio de la Defensa (Mindef) y el Ministerio de Gobernación (Mingob), para poder ejecutar el plan de protección específico, apoyando con acciones de vigilancia, prevención, protección y reacción de forma complementaria con los operadores críticos, tanto a nivel individual como sectorial.
Por aparte, la Secretaría de Protección de Infraestructuras Críticas que depende del Consejo Nacional de Seguridad, como ente rector, deberá elaborar, revisar y actualizar el Plan Nacional respectivo.
Definir activos
Villagrán explica que, para que los activos sean considerados como infraestructura crítica, primero deben cumplir con la definición estipulada en la misma, como los activos esenciales de hidrocarburos, por ejemplo, para que sean de almacenamiento en puerto o centros de distribución.
En el caso de salud, un hospital es considerado como infraestructura crítica, pero no una ambulancia. En el caso de la movilidad, la infraestructura crítica es la red vial, semáforos que ordenan el tráfico. Por ejemplo, si un sistema de estos funciona por medio de la red de Internet, se vincula a la Ley de Ciberseguridad.
De igual manera, dice quien también fungía como presidente de la Comisión de Asuntos de Seguridad Nacional en 2024, una planta de agua figura como infraestructura crítica. Si su funcionamiento se automatiza por medio de tecnología digital, además de la Ley de Infraestructura Crítica, se involucra la Ley de Ciberseguridad.
Agrega que la Ley General de Infraestructura Crítica Nacional va a indicar qué es lo que se
tiene que proteger y cómo se tiene que proceder con esa protección. Luego las leyes de Ciberseguridad y de Protección de Datos van a completar ese conjunto de leyes.
Involucrar sectores
Como se ha indicado, expone Bouscayrol, es importante la socialización de la propuesta y el establecimiento de mesas técnicas que permitan el involucramiento del sector privado organizado, velando por el respeto a la propiedad privada y generando acciones que permitan el resguardo de infraestructura crítica ante eventos disruptivos.
Según la propuesta, para garantizar la protección de estos sectores se incluye la definición de infraestructura crítica que permite identificar ese tipo de activos esenciales como estratégicos para la seguridad nacional.
Para German López, quien forma parte de Bancert, es fundamental identificar qué activos tecnológicos y operativos son esenciales para el funcionamiento de cada sector. Por ejemplo, dice, en telecomunicaciones, los centros de datos y las redes troncales deben considerarse activos críticos. Así mismo, la capacitación constante es un gran aliado de esta propuesta. La resiliencia depende del conocimiento humano, por lo que se debe considerar la implementación de programas regulares de formación para empleados desde técnicos, hasta personal operativo. “Un error humano como abrir un correo de phishing, puede poner en riesgo una infraestructura completa”, subraya el entrevistado.
La propuesta considera infraestructuras críticas como todas las instalaciones físicas, redes, sistemas, equipos físicos y de Tecnología de la Información y cibernéticas, incluyendo servicios alojados en la nube –sean privados o públicos– que funcionan dentro del territorio nacional y de los cuales depende el funcionamiento de los servicios esenciales del país. Por su condición de “criticas”, si éstas fueran dañadas, se pondría en riesgo la seguridad y la economía de la nación.
“Consideramos importante apoyar la creación de esta ley. Proteger la infraestructura crítica del país tiene un impacto directo en la estabilidad económica y social. Estamos dispuestos a colaborar con el Congreso y otras instituciones para garantizar que la ley incluya perspectivas técnicas, operativas y de riesgos”, asegura López.
En nuestro sector, dice, “dependemos de telecomunicaciones y energía confiables para operar y la interrupción de estos servicios podría afectar a miles de usuarios, tanto financieros como empresariales”.
En la percepción de López, la Ley de Infraestructuras Críticas no debe verse únicamente como un marco legal, sino como un compromiso nacional hacia la resiliencia digital. Por consiguiente, la propuesta debería contemplar, la protección frente a amenazas emergentes, como la inteligencia artificial utilizada por atacantes para vulnerar sistemas; simulacros multinacionales. Es decir, considerar alianzas con países de la región para realizar simulacros de ciberataques que fortalezcan las capacidades locales.
“El avance en la ciberseguridad no solo protege las infraestructuras críticas, sino que fomenta la confianza en los sistemas tecnológicos, incentivando inversiones y mejorando la calidad de vida de todos los guatemaltecos”, expone el miembro de Bancert.
Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea.
Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea.