Paraguay al desnudo frente a ciberataques

El ciber espionaje establecido por el gobierno brasilero sobre autoridades paraguayas, la venta de datos personales en la internet oscura, las leyes de protección que ya existen y lo que finalmente se hace -o se deja de hacer- en materia de protección ante ataques cibernéticos. ¿Cómo enfrenta el Estado paraguayo las nuevas formas de penetración de los datos públicos y personales?

Por Gustavo Reinoso (*)

Universo Online (UOL) es una empresa brasileña, proveedora de internet que también proporciona servicios de correo electrónico, red social, mensajería instantánea, y noticias en la web. Tiene su sede en la ciudad de San Paulo y está asociada a los medios Folha de San Paulo y Veija. UOL es la proveedora mayoritaria de internet de los brasileños, cubre un 63% del mercado del país vecino según estimaciones. Es la empresa más grande de su tipo de América Latina. En la víspera, este medio reveló que en el marco de las estratégicas negociaciones entre los gobiernos de Paraguay y Brasil, relativas a la tarifa y el anexo C del Tratado de Itaipú, la Agencia Brasileña de Inteligencia (ABIN) llevó adelante una “Acción de hackeo contra autoridades del gobierno paraguayo”. La ejecución del hackeo implicó la captura de datos de varios “objetivos” vinculados al gobiernos del Paraguay. Las fuentes del medio brasileño, agentes de la ABIN, cuyas identidades la crónica no revela, señalaron que fueron espiados autoridades y funcionarios paraguayos directamente relacionados con la negociación de la tarifas de represa binacional: “El Congreso, el Senado y la Presidencia de la República del Paraguay fueron invadidos (espiados)”.

La grave revelación se produce en el contexto de una investigación de la policía federal brasileña que afecta al que fuera director de la ABIN, durante la gobierno de Jair Bolsonaro, Alexandre Remagen, sospechado de incurrir en desvío de fondos.

Según los agentes de la ABIN, el operativo de espionaje fue autorizado por el antecesor de Remagen, el también bolsonarista, Victor Carneiro, quien soporta otra pesquisa policial-judicial por espiar, presuntamente, a líderes opositores, infiltrar movimientos y partidos políticos de oposición y participar en la supuesta trama golpista de militares para evitar la toma de posesión de Luiz Inácio Lula Da Silva, en enero de 2023.

Según fuentes de UOL, la operación de ciberespionaje continuó ya durante el actual gobierno brasileño con el visto bueno del actual director de ABIN, Luiz Fernando Correa.

Siempre según el medio de prensa digital del vecino país, la declaración de un agente de la inteligencia brasileña que participó en la operación de espionaje al gobierno paraguayo se remitió al Tribunal Superior Federal.

El primer funcionario del gobierno paraguayo en referirse a la incómoda noticia, en la mañana del 31/03/2025, fue el ministro de Industria y Comercio, quien también ocupa el cargo de integrante del Consejo de Administración de la Itaipú, Javier Giménez. Admitió que, de ser cierta la noticia, sería un “evento gravísimo”. Agregó que el gobierno paraguayo “tenía que ser prudente y escuchar la versión oficial del gobierno brasileño”, para finalizar que existe “mucho sentido de confianza entre el presidente Santiago Peña y su homólogo del Brasil Luiz Ignacio “Lula” da Silva”. Luego, poco antes del mediodía, nuestro frustrado aspirante a la secretaría general de la OEA, el canciller Rubén Ramírez Lezcano, declaró que “Paraguay no tiene ninguna evidencia de que Brasil haya atacado sus sistemas informáticos para obtener información” y agrego que “los organismos de inteligencia también están en comunicación con el Brasil y me informaron que va haber una aclaración respectiva del Brasil”.

Los responsables de las instancias estatales con competencia directa y particular en la materia, el ministro Gustavo Villate, del Ministerio de Tecnologías de la Información y la Comunicación (MITIC), cartera cuya una de sus competencias es proteger la información personal y gubernamental y organizar una política de seguridad tecnológica, y el ministro secretario ejecutivo, Marcos Alcaraz, responsable de la Secretaria Nacional de Inteligencia, ente que debe diseñar y aplicar la contrainteligencia del Estado, no efectuaron declaraciones.

Por medio de la nota a la prensa N° 146 de fecha 31/03/2025, la cancillería brasileña desmintió categóricamente que el gobierno del presidente Lula realice una acción de inteligencia, contra Paraguay, país del Mercosur con el que mantiene relaciones históricas de estrecha asociación. A renglón seguido señaló que si existió una acción de inteligencia durante el gobierno anterior (de Jair Bolsonaro) desde junio de 2022 hasta el 27 de marzo de 2023. La operación cesó ni bien la administración del nuevo gobierno brasileño tuvo conocimiento de su existencia, indicó la nota de prensa. En resumen, Lula se corre a un lado del espinoso tema y le echa toda la culpa a Bolsonaro.

Itaipú y la tarifa

En abril del año 2024, el Paraguay y Brasil, copropietarios de la Entidad Binacional Itaipú, acordaron una tarifa de 19,28 dólares americanos por KW/mes hasta el 31 de diciembre de 2026. Con posterioridad a esa fecha la tarifa solo será el costo de producción de energía. Paraguay se compromete a cambio a aumentar la contratación de potencia en un 10% cada año hasta el 31 de diciembre de 2026. Se acuerda que el Paraguay pueda vender su energía al mercado libre del Brasil. Ambas partes se comprometen a que, a la revisión del Anexo C, se otorgue al Paraguay la posibilidad de vender al mercado libre Brasil su energía no consumida.

No haré consideraciones sobre este acuerdo, presentado como gran victoria en su momento por el gobierno paraguayo. Lo relevante es determinar fuera de toda duda si durante su negociación existió espionaje brasileño o no y en caso afirmativo cual fue su incidencia en el resultado final. El interés nacional exige aclarar este crucial punto.

Con las nuevas herramientas tecnológicas, el espionaje cibernético se ha convertido en el boom del mercado y de los Estados fuertes.

Inaceptable debilidad e Indefensión

Según los detalles de la noticia, la ABIN utilizó en su ejecutoría contra los dispositivos informáticos del gobierno paraguayo un software de espionaje o Spyware llamado Cobalt Strike, estas herramientas informáticas son capaces de recopilar información de las computadoras donde se infiltran, trasmitiéndola a una terminal externa, obtener acceso no autorizado a los sistemas y comunicarse con otras terminales en tiempo real, registrar pulsaciones de teclas, realizar capturas de pantalla y descargar archivos, todo esto sin que la víctima del ciberataque pueda notar nada en su equipo o dispositivo electrónico o digital. Aunque la información periodística menciona a Chile o Panamá como lugares desde donde se efectúo el ataque, cabe señalar que tecnologías similares al VPN son susceptibles de ocultar la identidad y ubicación del usuario de internet y también de los hackers.

La ley N° 6207/2018 en su artículo 7° establece como una de las competencias del MITIC: “Establecer y gestionar políticas de protección de la información personal y gubernamental, y cultivar los conocimientos sobre la industria de seguridad de la información, para lo cual deberá establecer un sistema de organización de seguridad, proponer una política de seguridad a nivel nacional, y establecer un plan de integración de protección de información”. Así como: “Promover iniciativas que contribuyan a la construcción de un ecosistema digital seguro, confiable y resiliente, incluyendo el sector público, privado, academia y ciudadanía”.

El MITIC es la institución que lidera la esfera pública en ciberseguridad. Si en la actualidad se encuentra impedida de cumplir con su cometido por impedimentos técnicos o insuficiencia cualitativa en sus recursos humanos o ambas cosas, el tema reviste tal relevancia que debe ser materia de un exhaustivo debate público, que prologue la toma de las medidas correctivas necesarias.

Otra norma legal, la Ley N° 5241/2014, crea el Sistema Nacional de Inteligencia (SINEI), compuesto por un Consejo Nacional de Inteligencia, con la Secretaría Nacional de Inteligencia, dependiente de la Presidencia de la República como instancia rectora de las políticas estatales del ramo. Naturalmente, una de las funciones de los organismos de inteligencia nacional es crear contrainteligencia que la citada norma define como: “aquella parte de la inteligencia destinada a detectar, localizar y neutralizar las acciones de inteligencia desarrolladas por otros Estados o grupos nacionales o extranjeros, o sus agentes, que estén dirigidas contra la paz y seguridad del Estado, sus autoridades, la defensa nacional y/o el régimen democrático”.

Existen, en definitiva, las instancias estatales, las funciones fijadas por la ley y los funcionarios. Al parecer, lo que brilla por su ausencia es la capacidad e idoneidad para desempeñar las tareas que les corresponden.

Días atrás, operadores de ciberseguridad del ámbito privado alertaban la detección de la venta, en la internet oscura o darknet, ámbito del hampa digital global, de los datos personales de millones de ciudadanos paraguayos. Se presume que los datos se filtraron desde el TSJE, el Registro Civil de las Personas o la Policía Nacional. Si se confirma esto resulta infinita la cantidad de ilícitos de la que podemos ser víctimas todos los paraguayos. El caso de espionaje brasileño emerge como nueva demostración de nuestra inexcusable indefensión, con el agravante que atañe a los altos intereses de la nación. Los ciudadanos debemos exigir que se ponga fin a la negligencia, la incuria y la incapacidad y se tomen las decisiones que la gravedad de los hechos requiere.

Gustavo Reinoso, abogado, es articulista de nuestro medio y colaborador de Cooltural, revista de ABC Color y de otros medios.