La inteligencia artificial ya puede “estafar” a las personas: ¿puede una ley evitarlo?

La inteligencia artificial ya puede “estafar” a las personas: ¿puede una ley evitarlo?

El phishing automatizado con IA es una poderosa técnica criminal que analiza redes sociales y correos electrónicos para personalizar mensajes fraudulentos con un alto nivel de persuasión. El malware basado en IA, por su parte. Puede modificar su código en tiempo real para evadir detección por sistemas de seguridad. Si una legislación nacional no cuenta con las ventanas exprés para actualizarse al mismo ritmo que la tecnología, los usuarios pueden quedar expuestos, aunque tengan una ley especializada.

Por eso, una de las principales discusiones entre expertos en ciberseguridad es cómo garantizar que una ley de ciberseguridad en Guatemala sea sostenible en el tiempo. La iniciativa 6347, que sigue pendiente de ser dictaminada en la Comisión de Asuntos de Seguridad Nacional del Congreso de la República, contempla este aspecto en su propuesta.

Un aspecto clave para evitar la obsolescencia es la capacitación del sector Justicia, el de Investigación, el Ejecutivo y otras entidades, para alinear criterios. “Si la ley es muy específica, puede quedar obsoleta porque la tecnología cambia continuamente, es muy dinámica”, señala Pablo Barrera, de la Comisión de Tecnología de la Asociación Guatemalteca de Exportadores (Agexport).

Lo más urgente es que, en el proceso de aprobación, la ley se adapte a nuevas tecnologías y métodos de fraude sin necesidad de reformas constantes, señala Germán López, miembro de la Comunidad Bancaria de Ciberseguridad (Bancert).

LECTURAS RELACIONADAS
¿Está preparado el país para un ciberataque a hospitales, plantas de energía y otros sectores?

¿Quién nos protege en línea? Hay 11 delitos cibernéticos que Guatemala podría crear y castigar

Añade la importancia de considerar alianzas con el sector privado –que a menudo lidera la incorporación de tecnologías emergentes–, y con la academia. Mantener comunicación constante con empresas tecnológicas y universidades permitiría identificar tendencias emergentes en ciberataques como los antes descritos.

Un super equipo anti-ataques

En este sentido, continúa el experto, la ley debe establecer principios fundamentales relativos a la protección de datos, la integridad de los sistemas y la colaboración público-privada, evitando tecnicismos que se pierdan vigencia. Una de las recomendaciones es crear un comité multidisciplinario que revise, periódicamente, los avances tecnológicos y recomiende ajustes o normativas complementarias.

En esta línea, el comité o consejo multidisciplinario podría estar conformado por expertos en ciberseguridad, tecnología y derecho, así como por representantes del sector privado, académicos y funcionarios del sistema judicial. “De hecho, ya existen algunas instancias que podrían apoyar en este sentido, como el Bancert o el Concyt, por mencionar algunas”, refiere Camilo Fernández, CEO de Devel Security.

Considerando que en la propuesta de ley 6347 se establece la creación del Centro de Seguridad Interinstitucional de Respuesta Técnica ante Incidentes Informáticos de Guatemala (CSIRT-GT) para atender incidentes cibernéticos, esta instancia también puede abordar el tema, agrega Fernández.

Su rol, señala, será monitorear y analizar tendencias globales en cibercrimen, así como proponer reformas o regulaciones complementarias en tiempo real. Además, se debe fomentar la adopción de normativas internacionales y mejores prácticas, como las del Convenio de Budapest, para garantizar que las disposiciones legales sean compatibles con estándares globales.

¿Una normativa dinámica?

Para Eli Faskha, CEO de Soluciones Seguras, si bien la iniciativa de ley incluye la creación de organismos especializados como el CSIRT-GT y el Comité Técnico en Ciberseguridad, que permitirá un monitoreo continuo de amenazas, es importante garantizar que la legislación cuente con un mecanismo ágil de actualización para responder rápidamente a la evolución de las nuevas tecnologías y métodos de fraude.

Entre las sugerencias que se analizan, prosigue Faskha, están la creación de normas complementarias dinámicas o reglamentos secundarios que puedan modificarse sin tanto protocolo legislativo, mediante decretos o resoluciones del Ejecutivo. Otra herramienta en línea con estas propuestas es incorporar la vigilancia tecnológica; es decir, que la ley debería requerir que las instituciones responsables de su aplicación, como el sistema de justicia, adopten sistemas de monitoreo continuo para detectar nuevas amenazas.

“Aunque no conocemos la última propuesta de la iniciativa 6347, sería ideal que contemple mecanismos específicos para mantenerse actualizada. Un artículo dentro de la ley podría establecer revisiones obligatorias cada cuatro años, asegurando su alineación con avances tecnológicos y tendencias globales”, puntualiza López.

De acuerdo con Barrera, este tipo de observaciones se hicieron llegar a los responsables de analizar la iniciativa en la comisión, por lo que esperan que hayan sido tomadas en cuenta. Por ello, recomiendan mantenerse vigilantes en el proceso de aprobación en el pleno y ser cautelosos con quienes sugieran o propongan modificaciones a la ley. Es clave que estas personas tengan la capacidad técnica y la experiencia necesarias, pues, al final, “una cosa es lo que entra en el Congreso y otra la que ellos decidan sacar” dice.

“Es adaptable”

De acuerdo con el diputado que presidió hasta 2024 la Comisión de Asuntos de Seguridad Nacional, Jorge Mario Villagrán la iniciativa de ley final 6347 es una ley técnica que responderá a las necesidades actuales y futuras del país. Es adaptable de manera que se puedan realizar acuerdos, reglamentos técnicos que eviten procesos legislativos largos.
Por medio del CSIRT-GT, se garantiza la adaptación a las tendencias tecnológicas del momento y la actualización que proponen los diferentes sectores conocedores del tema.

“Lo que se busca es actualizar leyes relacionadas con delitos cibernéticos. La normativa introduce conceptos flexibles que podrían permitir ajustes posteriores y la adecuada investigación y aplicación de la justicia. Actualmente, la adaptación depende de la capacidad del Organismo Judicial para interpretar las leyes existentes”, puntualiza Villagrán.

LECTURAS RELACIONADAS
Criptomonedas no están prohibidas ni autorizadas: ¿está en riesgo el usuario?

Gobierno carece de personal especializado para enfrentar ataques cibernéticos

Al hacer referencia en la ley a estándares internacionales, se evita la necesidad de actualizarla constantemente, ya que estos son revisados de forma periódica. “Por ejemplo, Guatemala, como miembro de la ISO, acepta sus estándares, por lo que no hay problema en hacer referencia a normas internacionales”, agrega Barrera.

Si la propuesta de ley 6347 está basada en el Convenio de Budapest tiene más posibilidades de ser acorde con el ámbito internacional. De esa manera, la propuesta define una serie de conceptos orientados a la protección de la información y tipifica varios delitos informáticos sin mencionar tecnologías específicas. “Esto hace que la ley sea válida en el tiempo, dado que su enfoque está en la protección de datos y la información electrónica almacenada o en tránsito”, refiere Marco Antonio To, director de la Maestría en Ciberseguridad de la Universidad Galileo.

Asimismo, con la aprobación de la ley, se podrán aprovechar otros convenios, como la resolución 74/247 de la ONU, sobre la “Lucha contra la utilización de las tecnologías de la información y las comunicaciones con fines delictivos”, indica Fernández.

Actualizar cada 4 años

Para López, se puede incluir una cláusula en la ley que obligue al Congreso a revisar su aplicación y efectividad periódicamente, cada cuatro años, por ejemplo, con la participación de expertos en ciberseguridad, académicos y representantes de la industria tecnológica. Esta revisión debería basarse en estadísticas sobre cibercrimen, informes de organismos internacionales como la Organización de Estados Americanos (OEA) o la Interpol, y tendencias locales que permitan ajustar la legislación a la realidad nacional.

En opinión del Dr. To, de la Universidad Galileo, la aprobación de esta ley representará un avance significativo, al crear el primer marco de ciberseguridad en el país, lo que acercará a Guatemala a legislaciones internacionales en la prevención de delitos informáticos.

El análisis de la iniciativa 6347, Ley sobre Ciberseguridad y Cibercrimen, por parte de la Comisión de Asuntos de Seguridad Nacional del Congreso de la República, inició en febrero de 2024. El propósito de dicha comisión era dictaminarla en septiembre, de modo que pudiera ser aprobada antes del cierre de la actividad legislativa el 30 de noviembre pasado, lo cual no ocurrió.

“La iniciativa quedó en la fase final de revisión por parte de los diputados miembros de la comisión. Actualmente, estamos a la espera de la toma de posesión de la nueva Junta Directiva del Congreso y de las asignaciones de las comisiones a los diputados para poder continuar con el trabajo”, indica el diputado Villagrán.

¿Qué queda pendiente?

Actualmente, no existe una ley en materia de ciberseguridad y cibercrimen. La iniciativa 6347 busca responder a esa necesidad y subsanar la laguna legal vigente. Entre las acciones que, a criterio de Bancert, deben considerarse al amparo de esta iniciativa están:

Desde el Legislativo:

Revisión y actualización periódica: Establecer revisiones obligatorias a cargo de una comisión técnica designada.

Enmiendas ágiles: Permitir ajustes técnicos sin necesidad de reformar toda la ley.

Desde el sistema de justicia:

Capacitación especializada: Invertir en la formación de jueces, fiscales y policías en investigación digital.

Uso de tecnología avanzada: Adoptar plataformas de análisis forense digital e inteligencia artificial para combatir delitos cibernéticos.

Cooperación internacional: Firmar acuerdos para acceder a recursos, formación y tecnología avanzada.

Además, la ley debe promover una cultura de ciberseguridad nacional que incluya:

Educación ciudadana: Campañas para prevenir fraudes digitales y phishing.

Protección a las PYMES: Incentivos para que adopten medidas de ciberseguridad.

Colaboración regional: Alianzas con otros países de Centroamérica para compartir información y buenas prácticas

Fuente: Bancert.

Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea.