Ciberseguridad: Qué es el convenio de Budapest y por qué se busca integrar a Guatemala
Tener acceso a recursos técnicos y financieros si el país es blanco de los ciberdelincuentes es el principal argumento de los promotores para adherir al país. El plazo límite es abril de 2025.
Expertos en ciberseguridad confirman que quedarse fuera del Convenio de Budapest deja vulnerables a las empresas, el Estado y a los propios usuarios. Foto con fines ilustrativos. (Foto Prensa Libre: Freepik)
Cuando Costa Rica sufrió la interrupción de sus servicios críticos por un ataque cibernético a más de 30 de sus instituciones en abril de 2022, se acogió al Convenio de Budapest para recuperar sus sistemas afectados y acceder a fondos para los US$10 millones que le exigían los cibercriminales.
El gobierno de ese país no tuvo otra opción que pagar por recuperar los datos intervenidos. Posteriormente, reportó que más del 90% de los sistemas comprometidos en el seguro social se recuperaron, pero la restauración completa dejó costos y daños colaterales estimados en millones de dólares.
Este ataque evidenció la vulnerabilidad de la infraestructura digital en el ámbito gubernamental y la creciente amenaza de ciberataques. El Convenio de Budapest es un instrumento que incluye estándares internacionales mínimos y normativa de derecho internacional relacionada con el tema de ciberseguridad.
Sin ley de ciberdelitos
Guatemala está pendiente de aceptar y ratificar dicho convenio internacional, por no tener —todavía— una legislación homologada con los requisitos que le dan vida a ese instrumento. En la actualidad existe una iniciativa pendiente de dictamen en el Congreso, que es la 6347.
Adoptar una base legal, ampliamente aceptada internacionalmente como lo es el Convenio de Budapest, permite a los países avanzar más rápidamente en materia penal contra la ciberdelincuencia. “No aprovechar estos avances realizados por la comunidad internacional sería equivalente a “reinventar la rueda” en términos de legislación en ciberseguridad”, comenta Luis Cabrera, miembro de la Comunidad Bancaria de Ciberseguridad (BanCert).
De la aprobación de una ley como la contenida en la 6347 se desprendería,
además de la regulación, la creación de juzgados especializados en ciberdelitos. Sin estos, el Ministerio Público no puede presentarlos con esa figura y los jueces se ven en la tarea de tipificar los actos ilícitos en figuras que ya existen en la legislación común.
“Lo que hace Budapest, es tratar de que todos hablemos un mismo lenguaje a nivel internacional y que la figura del ciberdelito en el país donde ha ocurrido el incidente pueda ser homogenizada. Por eso, la regla general es que las penas tienen que ser similares”, indica Luis Morales, asesor de la Comisión de Asuntos de Seguridad del Congreso de la República.
Agrega que ser parte del convenio abriría las puertas al mundo con los países que ya están adheridos, considerando que este tipo de hechos ilícitos evolucionan constantemente y que los países, por sí solos, tardan más en desarrollar una aplicación que en ver cómo lo vulneran.
Para proteger esa infraestructura crítica del país, se hace precisa la ley de ciberseguridad, iniciativa que se analiza en el Congreso de la República, la cual incluye la parte del ciberdelito y ciberdefensa. Pero hace falta trabajar en la iniciativa sobre infraestructura crítica específicamente, así como en la de protección de datos. Esta última en fase de trabajo por parte del diputado ponente, José Pablo Mendoza, de la bancada Compromiso, renovación y orden (Creo).
¿Se puede prorrogar?
Sin embargo, para Edie Cux, titular de la Comisión presidencial de Gobierno Abierto y Electrónico (GAE) “no hay ningún tipo de restricción por parte del país, es algo que se ha hablado con el Ministerio de Relaciones Exteriores en que se pueda solicitar una prórroga sobre la invitación. En otras palabras, no hay que correr con la aprobación de una ley. Lo que sí hay que hacer es, si se va a normativizar, tienen que hacerse las consultas, consensuarse entre todos los organismos del Estado, incluso la banca que está más avanzada en ese tema y que efectivamente se vaya cumpliendo con los estándares para poderlo conversar”.
Si bien se puede esperar, e incluso hacer alianzas con otros instrumentos internacionales para la adopción de mejores prácticas y estándares en la ciberseguridad, Jorge Alfaro miembro de Bancert, considera que por medio del Convenio de Budapest “es más directo”, pues puede ayudar a las instituciones a fortalecer y proteger sus sistemas con información sensible de clientes o ciudadanos por medio de la confiabilidad, integridad y disponibilidad de estos.
El Minex confirmó que, “según el procedimiento general del Consejo de Europa, el propósito del período de validez de la invitación a la adhesión es que el Estado interesado tome las medidas necesarias para asegurar que su legislación nacional le permitirá la aplicación del Convenio”.
Añade que: “lo procedente será que, con base en los avances en las medidas que Guatemala vaya logrando para asegurar el cumplimiento de las obligaciones a ser asumidas al hacerse parte del Convenio de Budapest, se lleve a cabo el cabildeo necesario para gestionar una nueva invitación a Guatemala”.
Alfaro expone que la necesidad de implementación de nuevas normativas y la mejora de infraestructura podrían movilizar inversiones tanto del sector público como privado, fomentando el desarrollo de la industria local de ciberseguridad. “La adhesión puede estimular programas de educación y concienciación sobre ciberseguridad, tanto en el ámbito corporativo como en la ciudadanía, contribuyendo así a una cultura de seguridad más robusta”, complementa.
“Es fundamental que las instituciones gubernamentales privadas y académicas trabajen en conjunto para garantizar que la implementación del convenio sea efectiva y alineada con las necesidades del país. De esa forma, garantizar que las políticas implementadas no comprometan los derechos y libertades de la sociedad civil y los consumidores”, agrega German López, quien también integra la mesa de Bancert.
Próximos pasos
Desde el punto de vista penal, dice Cux, el Congreso de la República tendría que hacer la ponderación de la iniciativa con base en el Convenio de Budapest. La discusión de esa ponderación no es mínima: primero, hay que definir cuáles son los medios rectores, cuáles van a ser las penas, cuál es el bien jurídico tutelado o la afectación; si afecta a una base de datos o a un conjunto de personas. “Eso ayudaría a definir cuáles son delitos cibernéticos en Guatemala. Y es algo que debería de estar contemplado en la ley que se está proponiendo para evitar ajustes o reformas posteriores”, apunta el comisionado.
Por lo mismo, a su criterio, hay que ampliar más la conversación, hay expertos que pueden apoyar a crear una ley más fortalecida, consensuada y legitimada, lo cual es lo más correcto que se puede hacer. Incluso, dice, hace falta hacer un análisis de estándares comparados para viabilizar que la ley vaya coherente.
En ese aspecto, es necesario homologar la ley con los requisitos de la Convención de Budapest, pues una cosa es hacer la ley y otra, sí esta coincide o no con el contenido de dicho convenio, indica Secil de León, catedrático universitario y analista internacional.
Como decisión de país, en este caso, del Ejecutivo, el presidente por medio del Ministerio de Relaciones Exteriores tendría que solicitar el ingreso para ser parte de la convención. Una decisión que después, lo tiene que ratificar el Congreso. Ese es el procedimiento, “Hacer la ley no significa que automáticamente vamos a entrar a una convención ni solicitar ser parte de. Ese es otro trámite adicional”, subraya el jurista.
Al contar con la ley, se supone que Guatemala ya tendría avanzado un paso que es la homologación de los dos cuerpos legales. La convención tiene definiciones, conceptos y delitos que están tipificados y desarrollados. “En nuestra propuesta de ley tenemos que adherirnos a las definiciones, a los delitos, homologarlos. Si no coinciden, se tienen que hacer las reformas para que sea coherente con la convención internacional. Es algo que tiene que ir en la ley, no en el reglamento porque éste es sólo operativo”, advierte.
También hace la observación de que la ciberseguridad y la ciberdefensa son dos ámbitos distintos. En ese sentido, el Ejército ya creó un comando de Defensa en ciberseguridad. Lo que no se sabe es si en la iniciativa, se denomina al Ministerio de Gobernación como el ente responsable, pues según la Constitución Política de la República, Artículo 244, la seguridad y la defensa son temas del Ejército. Pero la firma de los Acuerdo de Paz lo dividió y al Ejército sólo le corresponde la defensa, mientras que la ciberseguridad, sería una responsabilidad de gobernación, del poder civil, detalla.
“Habría que ver, cómo están haciendo eso en la iniciativa de ley, porque en el mundo la ciberseguridad es un ámbito y la defensa es otro. Sólo en Guatemala, constitucionalmente el ejército cumple las dos funciones. Algo que, en los Acuerdos de Paz, están divididos”, apunta De León.
Enfatiza en la necesidad de crear una entidad rectora estatal, para que sea la que represente a Guatemala en el tema de la ciberseguridad frente a la convención internacional. “Algo que, en ocasión de la ley, es oportuno hacer, si se toma en cuenta que, ser parte de; la cooperación internacional viene a ser una vía para que países como los nuestros, tengan acceso a ese tipo de beneficios”.
Según Cabrera, adherirse al Convenio de Budapest es un paso necesario porque no hacerlo oportunamente, “deja vulnerables a los ciudadanos ante ciberataques, sin poder contar con las mejores prácticas jurídicas en esa materia”. De igual manera, añade, la población se quedaría sin los mecanismos de intercambio de información y herramientas de ciberdefensa y ciber resiliencia, comprometiendo la soberanía de nuestro ciberespacio.
¿Qué es el convenio de Budapest y cómo adherirse?
El convenio de Budapest es un esfuerzo colaborativo que implica el intercambio de información, experiencia y tecnología entre los países firmantes. Uno de estos mecanismos de intercambio es la red 24/7, en la cual cada país designa un punto de contacto localizable las 24 horas del día los siete días a la semana, con el fin de garantizar una asistencia inmediata para investigaciones sobre ciberdelitos, asesoramiento técnico, obtención de pruebas, suministro de información jurídica, entre otras ventajas, indica Cabrera de Bancert.
A la fecha más de 66 países se han adherido al convenio, entre ellos, varios de la región Latinoamericana como Costa Rica, Panamá, Argentina, Chile, Colombia y Paraguay. Hay otros invitados a hacerlo como en el caso de Guatemala, cuyo plazo para que lo haga, se vence en abril próximo.
Consultada la Dirección General de Asuntos Jurídicos, Tratados Internacionales y Traducciones del Ministerio de Relaciones Exteriores, indicó que el Convenio sobre la Ciberdelincuencia es un tratado del Consejo de Europa al que Guatemala solo puede acceder mediante adhesión, a través de una invitación del Comité de Ministros del Consejo de Europa, con el consentimiento unánime de los Estados Parte (Art. 37.1 del Convenio).
“El Ministerio de Relaciones Exteriores gestionó oportunamente ante la Unión Europea la invitación del Comité de Ministros del Consejo de Europa para la adhesión de Guatemala al Convenio. La decisión fue adoptada por el Comité el 22 de abril de 2020 y la invitación es válida por cinco (5) años a partir de entonces, hasta el 21 de abril de 2025” defiende la institución.
Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea.