“Guatemala no debería esperar a enfrentar una crisis nacional para actuar”

La ciberseguridad debe verse más allá de los tecnicismos y enfocarse en diseñar estrategias de seguridad, resiliencia y gestión de crisis. Esa es una de las premisas que sostiene Werner González, máster en Ciberseguridad y catedrático en la Universidad del Valle de Guatemala (UVG). 

Entre su experiencia profesional destaca el liderazgo de equipos de respuesta a incidentes cibernéticos, así como el diseño de infraestructuras seguras y resilientes para sectores estratégicos. Uno de los casos más relevants en los que participó fue la respuesta al ciberataque que afectó a Costa Rica en 2022, considerado uno de los incidentes de mayor impacto registrados en la región. 

¿Cuál es su diagnóstico ante los ataques cibernéticos que ocurrieron en diferentes instituciones del Estado entre abril y mayo pasados?

Los incidentes en instituciones públicas y entidades educativas —incluyendo afectaciones reportadas en sistemas de entidades como DIGECAM, el Ministerio de Trabajo, SAT, RENAP y algunas universidades públicas y privadas — evidencian una superficie digital vulnerable frente a amenazas globales avanzadas y altamente especializadas. 

A esto se suma la exposición constante de otras instituciones estratégicas como el Ministerio de Finanzas, el TSE, el INE y el Ministerio de Salud, entre otros, que por la naturaleza de la información y los servicios que gestionan constituyen objetivos de alto valor y son blanco recurrente de actores de amenazas persistentes.  

Estos ataques, que incluyen robo y exposición de información confidencial, interrupción de servicios críticos y explotación de sistemas expuestos, evidencian un entorno en donde las amenazas operan de forma automatizada y a gran escala.

¿Encuentra brechas entre la infraestructura del sector público y la del sector privado?

El país se enfrenta a las amenazas globales con capacidades desiguales entre los diferentes sectores. Por un lado, la banca y las telecomunicaciones tienen un nivel de madurez avanzado, debido a su regulación, la privacidad y la importancia de la información que manejan. En contraste, el sector público tiene una madurez con mucha oportunidad de desarrollo. 

Ante amenazas cada vez más sofisticadas, y a pesar de que existen diagnósticos desde el 2015, Guatemala carece de un catálogo de infraestructuras críticas. Se estudia, se plantea, ¿por qué no se llega a la acción?

Guatemala está dando pasos en la dirección correcta. La generación de iniciativas de ley de protección de infraestructuras críticas (6465) y la ley de ciberseguridad (6347),buscan implementar en el sector público una estrategia de protección para infraestructuras críticas que brindan servicios clave como salud, energía, comunicaciones, al crear un catálogo para identificarlas y protegerlas.

Sin embargo, el problema va más allá de la legislación. El éxito o fracaso depende de una implementación efectiva y sostenible en el tiempo, que llegue a establecer un ente rector con esa línea base de ciberseguridad que debe implementar cada institución para tener esa resiliencia ante las amenazas. El reto no es solo legislar, sino implementar correctamente estas iniciativas para ver resultados en acciones que sean madurables en el tiempo. 

¿Qué sucede en un país sin un marco legal que respalde y proteja estas infraestructuras?

La ausencia de un marco legal en materia de ciberseguridad y de una autoridad rectora puede derivar en crisis de alcance nacional, como el ocurrido en Costa Rica en 2022, durante el ataque atribuido al ransomware Conti. En ese momento, la protección de los servicios tecnológicos no había sido una prioridad del Estado.  

Fue un ataque de alto impacto que obligó a responder bajo una enorme presión y en condiciones críticas. Viví esa experiencia de primera mano al liderar uno de los equipos encargados de la respuesta a los incidentes. 

La cooperación internacional, particularmente de Estados Unidos y Corea del Sur, fue determinante para fortalecer las capacidades del país. A partir de esa crisis se impulsaron reformas legales y se consolidó una estructura centralizada de ciberseguridad y se desarrolló una estrategia nacional de ciberdefensa.  

Actualmente, el sistema se financia mediante recursos públicos y cooperación internacional, y Costa Rica cuenta con una de las posturas de seguridad más sólidas de la región. Es un ejemplo de cómo una crisis puede acelerar la maduración institucional. Por eso insisto en que el desafío no es únicamente tecnológico: requiere un abordaje legal, estratégico y de ejecución.

¿Qué presupuesto necesitaría el país para blindarse?

No lo sé, pero lo que puedo decirle es que invertir en ciberseguridad es más barato que reaccionar ante un incidente o crisis nacional. Es un tema de seguridad nacional y debe verse como un pilar de desarrollo. 

¿Cómo cambia el modelo de protección con una IA agéntica con autonomía, vs un Estado que camina lento?

La IA agéntica está cambiando las reglas del juego. Si bien la IA nos permite automatizar decisiones informadas a mayor velocidad; en ciberseguridad están sucediendo ataques dirigidos más veloces, intensos y difíciles de detectar. De allí que Guatemala enfrenta el reto de no tener la madurez en el uso de IA para ciberdefensa para  responder a este nivel de amenazas. 

Cada vez es más importante contar con un marco de ciberdefensa como prioridad de seguridad nacional. Comprender, además, que en el contexto bélico global, Centroamérica y El Caribe son un blanco de ataques cibernéticos por la alianza con Estados Unidos, lo que intensifica la cantidad de ataques dirigidos en la región.

¿Cuál es su lectura del escaso avance de las iniciativas de ciberseguridad en el Congreso, lo atribuye a intereses de algún sector en particular u otra razón?

Desconozco el contexto político, pero al final es de interés de todos los guatemaltecos. Sucedió algo similar en Costa Rica que estas iniciativas estaban detenidas por intereses políticos, pero luego de la crisis Conti, esto quedó en un segundo plano e hizo que el país reaccionara.

La idea es que no lleguemos a este punto en Guatemala. Algo que me preocupa de la Iniciativa 6465 de protección de activos críticos es que es muy general. La propuesta aborda la necesidad de un ente centralizado, rector de la estrategia nacional de seguridad, pero no profundiza en aspectos técnicos, como los estándares o tipos de controles a implementar, lo que podría llevar a una implementación débil, marcos de seguridad internacionales, respuesta a incidentes de seguridad (NIST) no se menciona. Faltó asesoría más profunda. 

Ante la debilidad técnica, ¿cuáles son los desafíos y avances en la formación de profesionales?

El talento existe. Guatemala está formando profesionales en ciberseguridad, buscamos formar fortalezas técnicas, pero también con una visión estratégica que permita diseñar tecnología, no solo implementarla, también gobernarla. Pero la oferta no cubre la demanda.

En cuanto a gobernanza, ¿qué tipo de institucionalidad recomendaría?

Las tres principales vulnerabilidades en la gobernanza en Guatemala son:

Primero, la falta de gobernanza central. El hecho de que cada sector público y privado implemente la ciberseguridad, según su propia agenda de inversión es un problema de raíz. Segundo, la ausencia de estándares mínimos internacionales definidos, como ISO 27001 o NIST (Instituto Nacional de Estándares y Tecnología),para instituciones públicas y privadas. Y tercero, la carencia de capacidades homologadas de monitoreo de seguridad y respuesta ante incidentes.

¿Cuál es su recomendación ante la reciente ola de ataques?

Guatemala debe reconocer que esta no es una amenaza futura ni aislada, sino una realidad activa y sostenida. Estamos frente a una presión constante en el ciberespacio que puede afectar directamente la continuidad de servicios esenciales, la confianza institucional y la estabilidad del país, en un contexto donde las capacidades de ciberdefensa son desiguales y, en muchos casos, insuficientes. 

Es urgente acelerar la aprobación de marcos legales como las iniciativas de ciberseguridad e infraestructura crítica, acompañarlas con inversión en capacidades reales de ciberdefensa y fortalecer la cooperación internacional para cerrar brechas frente a amenazas cada vez más sofisticadas. 

Guatemala no debería esperar a enfrentar una crisis nacional para actuar. La ciberseguridad debe asumirse como un pilar de seguridad nacional, porque en este contexto no actuar también es una decisión que pone en riesgo la seguridad de los guatemaltecos.

Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea.