Los países latinoamericanos han experimentado en años recientes una veloz transformación digital que afecta a todos los aspectos de la vida de los ciudadanos y a todos los sectores económicos. Pero, como consecuencia, se ha incrementado la ciberdelincuencia, provocando una situación de riesgo generalizado que ha tomado casi por sorpresa a una región desprevenida. Eso sí, la paradoja que afronta Latinoamérica es la misma que la del resto del planeta: conforme los gobiernos, las empresas y los individuos se ponen al día tecnológicamente, las amenazas de ciberseguridad aumentan en paralelo.
Belisario Contreras, exdirector del programa de ciberseguridad de la Organización de los Estados Americanos, resume así la situación: «Numerosos países de América Latina han desarrollado estrategias nacionales de ciberseguridad, pero muy pocos han asignado recursos para implementar las acciones descritas en dichos planes. Además, los Estados deben aumentar su preparación y respuesta y considerar la implementación de agencias nacionales de ciberseguridad. Por ejemplo, países como Brasil y Colombia ya están comenzando a proponer el establecimiento de agencias nacionales de ciberseguridad independientes que reporten directamente a la Presidencia de la República. Esto debería ser algo que otras economías de la región empiecen a considerar».
Conexión a Internet
No obstante, antes abordar de lleno la ciberseguridad latinoamericana, es necesario conocer el índice de ciudadanos que están conectados a la Red. En concreto, la tasa de penetración de Internet en la región a principios de 2023 se estimó en un 75 por ciento (la población de América Latina y el Caribe es de 662 millones de habitantes, según los últimos datos de Naciones Unidas), superando el promedio mundial en 10 puntos. Sin embargo, en países como Argentina, esta tasa es del 87 por ciento, en Brasil del 84 y en México del 77. Además, el desglose geográfico de la región indica que el continente latinoamericano tiene un porcentaje de uso de Internet del 81 por ciento, siendo en América Central del 75 y en el Caribe del 68.
Pero la digitalización de la región conlleva no solo generalizar el acceso a Internet, sino también a expandir la cultura digital, integrando las nuevas tecnologías en la vida diaria de los ciudadanos: desde la banca móvil y las compras en línea hasta la progresiva normalización de la tecnología doméstica inteligente. Aproximadamente un 66 por ciento de la población adulta de América Latina compra online; promedio que superan Argentina, Brasil, Chile y Colombia, con un 80 por ciento de sus habitantes realizando transacciones digitales de manera habitual.
De hecho, el comercio electrónico está creciendo en la región. Incluso los analistas financieros calculan que el volumen ha aumentado un 27 por ciento en 2023, superando los 500.000 millones de dólares.
Amenazas a la ciberseguridad de Latinoamérica
Todos estos datos, unido al bajo nivel de concienciación de los usuarios sobre los peligros que asolan en la Red, hace que, durante el año 2022, la ciberdelincuencia en América Latina y el Caribe aumentara un 600 por ciento, acumulando un 12 por ciento de los delitos digitales del planeta y registrando 360.000 millones de intentos de ciberataques.
El país que ocupa el primer lugar es México (187.000 millones de ataques), seguido de Brasil (103.000 millones), Colombia (20.000 millones) y Perú (15.000 millones).
De hecho, la cibercriminalidad en estos cuatro países rebasa el 45 por ciento del total de la región latinoamericana, tal y como afirma un informe publicado en 2023 por Fortinet.
En cuanto al comportamiento del cibercrimen en Latinoamérica, su objetivo principal lo constituye el sector privado; en especial desde el aumento del teletrabajo en 2020 (1). El segundo lugar lo ocupan el sector público, específicamente los organismos de distribución de servicios y recursos nacionales; y, en menor medida, las instituciones militares.
Según la multinacional tecnológica Tivit, las metas son el beneficio económico (33%), la denegación de servicio (31%) y el robo de datos (22%).
Y respecto a las modalidades de ciberataque más comunes, el phishing (suplantación de identidad) encabeza la lista, junto a los man in the middle y los ataques de denegación de servicio.
El sector privado es el objetivo principal del cibercrimen en América Latina, en especial desde el aumento del teletrabajo en 2020
Organismos e instituciones
Por todo ello, la Administración Pública lleva trabajando en esta materia desde hace incluso décadas. Es el caso de la Organización de Estados Americanos (OEA), que representa, desde su creación en 1948, el nivel más alto de integración regional del continente americano, ya que Estados Unidos y Canadá están entre sus 35 miembros (2).
A finales de 1990, esta organización panamericana ya contaba con un Grupo de Trabajo sobre Delitos Informáticos, y en 2004 lanzó su Estrategia de Seguridad Cibernética. Esta propuesta tuvo como precedente inmediato el Comité Interamericano contra el Terrorismo, que ese mismo año anunció su misión de coordinar la actividad de la propia OEA contra el ciberterrorismo.
En 2016 se lanzó el Programa de Seguridad Cibernética, encargado de gestionar el intercambio de inteligencia, especialistas, información y alertas relacionadas con la seguridad cibernética entre los países miembros.
Adicionalmente, en 2016 se fundó también el Observatorio de Ciberseguridad, un proyecto conjunto de la OEA y el Banco Interamericano de Desarrollo. Esta institución permite medir y verificar el nivel de desarrollo de las medidas de ciberseguridad en los países miembros, proporcionando orientación y estándares de evolución y definiendo criterios comunes para el progreso mediante el Modelo de Madurez de la Capacidad de Ciberseguridad.
A nivel regional, las instituciones y marcos regulatorios son el Grupo de la Agenda Digital (Mercosur y Alianza del Pacífico, 2017) y la Estrategia Digital Regional (Sistema de Integración Centroamericana, 2015).
Por otro lado, se encuentra el Foro Iberoamericano de Ciberdefensa (FIC), cuyo objetivo es promover el apoyo mutuo en la formación de personal, fomentar la participación mediante jornadas e iniciativas y establecer procedimientos de apoyo en investigación, desarrollo e innovación.
El Foro se fundó el 27 de mayo de 2016 en Madrid, durante la reunión de las delegaciones de ciberdefensa de Argentina, Brasil, Chile, Colombia, Ecuador, México, Paraguay, Perú y España. Y actualmente es Brasil quien ocupa la presidencia.
Ciberseguridad en Latinoamérica: CSIRT
En cuanto al establecimiento de equipos nacionales de respuesta a incidentes de seguridad informática (CSIRT, por sus siglas en inglés), cabe destacar la labor de CSIRTAmericas, la red de CSIRT gubernamentales de los Estados miembros de la OEA, lanzada en 2016. Los 20 países latinoamericanos miembros con al menos un CSIRT son Argentina, Barbados, Bolivia, Brasil, Bahamas, Chile, Colombia, Costa Rica, República Dominicana, Ecuador, Guatemala, Guyana, Jamaica, México, Panamá, Perú, Paraguay, Surinam, Trinidad y Tobago y Uruguay. Aunque cabe destacar que Estados Unidos y Canadá también forman parte del elenco.
No obstante, la entidad maneja un total de 47 CSIRT, porque varios países tienen más de uno: Argentina (7), Colombia (7), Perú (5), Chile (3), Ecuador (3), México (3), República Dominicana (2) y Uruguay (2).
Perspectiva geográfica
Pese a esto, la ciberseguridad en América Latina se desenvuelve en un escenario con destacadas diferencias subregionales. Según los informes de la OEA y el Banco Interamericano, los países del cono sur presentan el nivel más alto en las cinco dimensiones del Modelo de Madurez de la Capacidad de Ciberseguridad (comprendidas por las etapas inicial, formativa, establecida, estratégica y dinámica).
En el grupo andino, el promedio de madurez es apenas formativo, mientras que en Centroamérica y México fluctúa entre el inicial y el formativo según la dimensión.
Por su parte, el nivel de madurez del Caribe en todas las dimensiones está entre inicial y formativo. Sin embargo, es arriesgado generalizar, ya que cada país tiene sus propias particularidades.
Madurez de la ciberseguridad en Latinoamérica
En definitiva, podría afirmarse a grandes rasgos que los países que componen el territorio latinoamericano se dividen en dos grupos según su madurez en ciberseguridad.
- Países más maduros:
Los países latinoamericanos que se han adelantado en establecer programas nacionales para estimular el desarrollo de la economía digital son Brasil, Argentina, México, Colombia, Chile, Perú y Costa Rica. Estas estrategias tienen como objetivo integrar nuevas tecnologías en todos los sectores, principalmente optimizando los servicios gubernamentales y desarrollando el comercio electrónico y los pagos digitales.
Según diversas evaluaciones, como el Índice de Desarrollo del Gobierno Electrónico y el Índice de Madurez GovTech, los servicios digitales institucionales de la mayoría de los países de la región tienen niveles altos de operatividad.
De ellos, los que tienen más de un equipo de respuesta ante emergencias informáticas son Argentina y Colombia, con siete cada uno; Perú con cinco; México, Chile y Ecuador con tres; y República Dominicana y Uruguay con dos.
Países como Brasil, Colombia, Chile y México son, a su vez, líderes latinoamericanos en impulsar la capacitación institucional, incluyendo el desarrollo de leyes, políticas y regulaciones de ciberseguridad. También poseen una mayor experiencia en el sector privado, principalmente en el ámbito financiero. Pero Argentina, República Dominicana, Ecuador, Panamá y Perú también están haciendo esfuerzos importantes para implantar una regulación cibernética eficaz.
- Países más inmaduros:
Un estudio de 2020 del BID y la OEA identificó la falta de capital humano como un factor principal de la inmadurez digital de los países latinoamericanos menos tecnologizados. Los gobiernos correspondientes podrían vincular los programas educativos nacionales con las perspectivas laborales, animando a los universitarios recién licenciados a lanzar proyectos de ciberseguridad, como iniciativas conjuntas con instituciones públicas en todos los niveles de la Administración. Eso sí, se puede afirmar con rotundidad que la región es joven y emprendedora, y que cuenta con carreras universitarias competitivas. Una coyuntura que debería guiarse hacia el desarrollo y la gestión de capacidades en el sector cíber.
Por otro lado, pese a contar con un nivel de digitalización generalmente alto o aceptable, numerosos países latinoamericanos todavía carecen de infraestructuras verdaderamente funcionales y marcos legislativos suficientes para combatir el delito cibernético. Es el caso de Bolivia, Cuba, Ecuador, El Salvador, Guatemala, Haití, Honduras, Nicaragua, Panamá, Paraguay y Venezuela, por citar solo algunos.
Los problemas de ciberseguridad en América Latina se deben a la falta de estándares y regulaciones claras, la escasez de profesionales calificados, la falta de una cultura de seguridad de la información entre los usuarios y los recursos limitados para invertir en tecnologías de seguridad. Todo lo cual hace que la región sea especialmente vulnerable a las ciberamenazas. No obstante, estos países están trabajando duramente con el objetivo de mejorar su ciberseguridad.
La falta de capital humano es un factor principal de la inmadurez digital de los países latinoamericanos menos tecnologizados
En cuanto a los países sin CSIRT, Antigua y Barbuda estaría montando un Laboratorio Regional de Investigaciones Cibernéticas; Cuba tiene el Centro de Seguridad del Ciberespacio; Bahamas, una Estrategia Nacional de Ciberseguridad, dependiente del Ministerio de Seguridad, anunciada en 2014 pero sin avances significativos desde entonces; Belice una Estrategia Nacional de Ciberseguridad 2020-2023 anunciada en 2019; Granada un CSIRT, pero no aparece listado en CSIRTAmericas; Haití una Estrategia Nacional de Seguridad, aunque no implementada de manera completa; Honduras, la Ley Nacional de Ciberseguridad y Medidas de Protección en Internet y Redes Sociales de 2023; Nicaragua, la Estrategia Nacional de Seguridad 2020-2025; Saint Kitts and Nevis, un Plan Estratégico Nacional TIC; Santa Lucía forma parte de un plan fundado por el Banco Mundial para establecer un equipo de respuesta a incidentes cibernéticos para la Organización de Estados del Caribe Oriental; y San Vicente y las Granadinas, una Estrategia y Plan de Acción Nacional de TIC.
Como se puede comprobar, a diferencia de Europa (con normativas como el Reglamento General de Protección de Datos o la Directiva NIS 2, entre otras), en América Latina la regulación de la ciberseguridad es específica de cada país. Pero en este grupo de Estados más inmaduros, las leyes son anticuadas y generalmente enfocadas hacia la reacción, no la prevención. Esto, sumado a la falta de entidades públicas de ciberseguridad potentes −y a la debilidad de los organismos estatales existentes− permite cometer delitos digitales sin castigos o condenas significantes, convirtiendo a Latinoamérica en un destino predilecto para la ciberdelincuencia mundial.
Referencias
- Fortinet / FortiGuard Labs (2023). Fortinet informa que América Latina fue el objetivo de más de 360 mil millones de intentos de ciberataques en 2022. Newsroom de Fortinet.
- Cuba es país miembro, pero su gobierno está excluido de participar en la toma de decisiones de la OEA, dada su incompatibilidad con los principios democráticos de la organización.
Fuentes principales
- Birchner, D.A. (5 de octubre de 2023). Current panorama of cyber security in Latin America: threats and possibilities. Istituto Analisi Relazioni Internazionali.
- Positive Technologies (21 de diciembre de 2023). Cybersecurity threatscape for Latin America and the Caribbean: 2022–2023. Positive Technologies.
- Cyber Policy Portal
- Vega, J. (15 de marzo de 2023). El sector de ciberseguridad en América Latina: apuntes para leer un mapa del Estado en construcción. Instituto Elcano.
Archivado en:
