El tema de la ciberseguridad vuelve a estar en el centro del debate en el Congreso. Esto, luego de los ataques cibernéticos contra distintas entidades e instituciones estatales ocurridos desde mediados de abril, que comenzaron con el hackeo a la Dirección General de Control de Armas y Municiones (Digecam). Según expertos en ciberseguridad, estos hechos dejaron al descubierto las deficiencias en los controles y la falta de seguridad en el resguardo de datos e información sensible a cargo de esas instituciones.

El pasado 14 de abril estaba previsto que la iniciativa de ley 6347, que propone la creación de la Ley de Ciberseguridad, fuera conocida en tercer debate en el hemiciclo.

No obstante, el segundo vicepresidente del Legislativo, Elmer Palencia, planteó una moción privilegiada para que la iniciativa fuera retirada de la agenda y regresara a las comisiones de Asuntos de Seguridad Nacional y de Economía. Palencia señaló en esa ocasión varias debilidades en el dictamen, como un diseño institucional poco claro, ya que, para el efecto, se requiere un ente autónomo con capacidad técnica y suficientes recursos, entre otras inconsistencias.

Las comisiones legislativas que emitieron en conjunto el dictamen de la iniciativa 6347 continúan con el análisis para emitir un nuevo dictamen, ahora por separado, con las enmiendas correspondientes.

Nueva propuesta

Ante las inconsistencias que, según los congresistas, fueron detectadas en la iniciativa 6347, diputados del bloque Visión con Valores (Viva) presentaron una nueva propuesta de ley relacionada con la ciberseguridad.

La iniciativa 6771, presentada por ese bloque legislativo, propone la creación de la Ley del Sistema Nacional de Ciberseguridad y Sanción de los Ciberdelitos. La propuesta fue incluida entre las iniciativas que serán remitidas a comisión durante la primera sesión extraordinaria que se efectuará en el Congreso el próximo 2 de junio.

La iniciativa cuenta con 76 artículos, entre los cuales se estipula la creación del Sistema Nacional de Ciberseguridad para la reducción de riesgos cibernéticos e informáticos, cuyo ente rector será el Ministerio de Gobernación. También propone la inclusión y protección de las entidades autónomas y descentralizadas del Estado, así como de las municipalidades.

Según indicó el diputado Edin de Jesús Mejía, jefe del bloque Viva, el principal objetivo es establecer un marco jurídico integral para proteger al país frente a amenazas digitales, fraudes y ataques informáticos, así como sancionar los ciberdelitos.

“Los guatemaltecos debemos estar confiados y seguros de que nuestros datos en las instituciones del estado deben estar resguardados. Díganse esto, Renap, Tribunal Supremo Electoral, quienes hacen sus trámites ante la Digecam, que fue una de sus instituciones afectadas”, afirmó el congresista.

Aspectos que aborda la iniciativa

La iniciativa de ley, que aún está pendiente de ser asignada a una comisión para su estudio y dictamen, establece varios aspectos, entre los que destacan:

• Establecer un marco jurídico para la ciberseguridad en Guatemala
• Regular la gestión del riesgo cibernético, prevención y respuesta a incidentes
• Aplicar la ley a órganos del Estado, entidades descentralizadas, autónomas y municipalidades
• Crear el Sistema Nacional de Ciberseguridad
• Designar al Ministerio de Gobernación como rector e integrador del sistema
• Crear un Órgano Nacional de Ciberseguridad, que será la instancia técnica encargada de coordinar, supervisar y actualizar políticas nacionales en la materia
• Tipificar y sancionar ciberdelitos en el Código Penal, incluida la pornografía infantil

“Se sancionan varios delitos cibernéticos como la pornografía infantil. Hoy en día hay muchas personas que hacen uso de niños y que hoy no son sancionados en Guatemala. Por esa razón la diferencia de nuestra ley es la que está definiendo qué es la ciberseguridad y cuál es el delito en la ciberseguridad acá en Guatemala”, afirmó Mejía, en relación con los aspectos que difieren de la iniciativa 6347.

No obstante, enfatizó que para establecer penas de cárcel deberán hacerse las modificaciones correspondientes al Código Procesal Penal, cuando la propuesta sea analizada en comisión.

En cuanto al contenido de la propuesta de ley 6771 presentada por el bloque Viva, los integrantes de la Comisión de la Defensa prefirieron no opinar, ya que esta aún no ha sido remitida a alguna comisión, por lo que desconocen sus detalles y contenido.

Continúa en análisis

En cuanto a la iniciativa 6347 sobre la Ley de Ciberseguridad,continúa bajo análisis de la Comisión de Asuntos de Seguridad Nacional con la finalidad de emitir un nuevo dictamen.

El diputado Jorge Mario Villagrán, presidente de esa comisión legislativa, planteó a los diputados integrantes y asesores que “se amplié el diálogo de la mesa técnica de asesores” y que también sean citadas las autoridades encargadas de la atención y seguridad de los ciudadanos. Además, pidió invitar nuevamente a “expertos en temas de ciberdefensa y ataques a sistemas informáticos con la finalidad de discutir de manera amplia la iniciativa de ley de ciberseguridad”.

El presidente de la comisión también indicó que, con el objetivo de mejorar la ley, se han recibido sugerencias de entidades nacionales e internacionales, como la Unión Europea, Estados Unidos y la Superintendencia de Bancos (SIB).

En la última reunión de la comisión, que se realizó de forma híbrida, participó Hugo Cervantes, experto de la SIB en ciberdefensa, ciberdelitos y ataques a sistemas informáticos. Analizó con los diputados el secuestro de pruebas digitales, estipulado en el artículo 198 bis del Código Procesal Penal, relacionado con sanciones y penas de prisión para quienes cometen delitos cibernéticos.

Durante la reunión explicó que, cuando ocurre un delito cibernético, como un ataque a una institución o la extracción ilegal de datos, “es muy importante seguir los protocolos especializados para recolectar y proteger las pruebas digitales”, como copias de información y registros de servidores, “que si no se hace correctamente esas pruebas pueden perderse o ser inválidas”.

Según la SIB, si la Policía o los técnicos en investigación no siguen los pasos correctos para rescatar archivos y registros del ataque, esos datos no servirán como prueba en un juicio. En este sentido, el artículo 198 bis busca establecer reglas claras para proteger y resguardar esas pruebas digitales, aspecto que debe ser tomado en cuenta por la Comisión de Seguridad Nacional al momento de elaborar el nuevo dictamen.