El debate sobre la necesidad de robustecer el marco normativo de protección de datos y la ciberseguridad en Paraguay se instaló, luego del ataque informático que sufrió la empresa de telefonía Tigo. El país cuenta con un Plan Nacional de Ciberseguridad desde el 2017, sin embargo, se desconocen las acciones concretas que se han implementado para garantizar la seguridad de las personas en el entorno digital.
El ataque informático a la empresa Tigo fue difundido inicialmente por la Fundación Paraguay Ciberseguro, que reportó un ataque de ransomware, que consiste en el secuestro y cifrado de datos hospedados en el host. Desde la Fundación se informó que unas 300 empresas, como farmacias y de venta de electrodomésticos, además de instituciones públicas como el propio Ministerio de Relaciones Exteriores fueron afectadas.
Sin embargo, recién varios días después, la empresa de telefonía Tigo reconoció y comunicó públicamente que registró un incidente de ciberseguridad. A través de un comunicado, la firma expresó que están trabajando con un soporte de expertos técnicos para lograr la recuperación de los servicios afectados, logrando un progreso favorable.
La firma Tigo ofrece como servicios la colocación en la nube de copias de seguridad de datos, administración de comercio electrónico, intranet y extranet, solución de hospedajes y copias de seguridad en la nube, data center, y gestión de datos entre servidores de producción y backup.
Miguel Ángel Gaspar, experto informático de la Fundación Paraguay Ciberseguro manifestó que habrían unos 300 servidores afectados, según lo que comentaron los encargados de seguridad de las empresas. Mientras que desde Tigo, indicaron que el incidente afectó a un grupo limitado de clientes corporativos, sin mencionar una cantidad exacta o estimada.
“Lo que sí es evidente, es que hay muchas empresas que han parado sus funciones, que tenían sus servicios ahí y ahora no tienen nada, no tienen datos, están encriptados los datos y piden rescate. Otro riesgo es que los datos puedan ser analizados y vendidos al mercado negro”, afirmó Gaspar, en entrevista con el diario Última Hora.
Desafíos para la ciberseguridad en Paraguay
En términos de ciberseguridad, en Paraguay existe el Centro de Respuestas a Incidentes Cibernéticos (CERT-PY), que es el ente responsable de la gestión de los incidentes de seguridad en sistemas informáticos en las que estén involucradas redes o infraestructuras del país. El Cert-py depende del Ministerio de Tecnologías de la Información y Comunicación (MITIC). Cuando se reportó el incidente en la telefonía Tigo, el Cert-Py no se pronunció al respecto oficialmente.
Eduardo Carrillo, codirector de TEDIC -organización de la sociedad civil dedicada a la promoción y defensa de los derechos humanos en el entorno digital en Paraguay- expresó en una entrevista al canal C9N, que el país necesita un marco normativo robusto de protección, ya que la tecnología es actualmente transversal en la vida de las personas. “El marco legal actual es insuficiente para dar garantías”, afirmó.
Recordó que existe el proyecto de Ley integral de protección de datos personales, impulsado por una coalición de organizaciones de la sociedad civil que buscan la protección de datos personales. Esta propuesta legislativa está en el Congreso Nacional y busca reglamentar cómo las infraestructuras digitales de actores públicos o privados se construyen y gestionan los datos.
Carrillo también recordó la existencia del Plan Nacional de Ciberseguridad, que Paraguay desarrolló en 2016 y que entró en vigencia en 2017. “Lo que no queda claro es cómo el plan está siendo implementado, es una preocupación legítimamente, debe ser letra viva”, mencionó.
Más información: Mis datos, mis derechos: Urge una ley de protección de datos personales