En Paraguay se trafican datos personales “con tremenda impunidad”

La subasta de nuestros datos personales en la oscura web dejó al descubierto la indefensión de personas, empresas e instituciones ante los traficantes. Al no existir una ley de protección de datos personales, en Paraguay todo se hace con “tremenda impunidad”, advierte el experto en derecho digital, el abogado Leonardo Gómez.

Como se ilustra en la portada de este artículo, un usuario de la red X publicó recientemente que en la dark web (oscura web) también llamado deppweb (web profunda), los datos personales de la población paraguaya estaban a la venta.

La oscura web es un lugar al que no se accede libremente con un navegador común. “Hay que tener un software especializado, donde el trafico está encriptado, por lo que se dificulta rastrear la ubicación e identidad de los usuarios”, asegura en entrevista con nuestro medio, Diana Valdez, directora del Centro de Respuestas ante Incidentes Cibernéticos del Ministerio de Tecnologías de la Información y Comunicación del Paraguay.

La subasta en la web oscura del registro de la población paraguaya, con domicilio, género y otros datos adicionales se pudieron haber filtrado del padrón que utilizan los partidos en las campañas electorales, sostiene Leonardo Gómez.

Por lo tanto, serían datos de las personas habilitadas a votar y no de toda la población como se sostiene en la misma subasta.

“Nos pusimos en contacto con organismos del gobierno. Ya son del año 2023. El mismo paquete de datos, no tenemos datos de que sea una supuesta filtración reciente”, asegura Diana Valdez.

Asume que, al abrir una investigación del caso, “vimos que la información tiene relación con cédula, nombre y fecha de nacimiento de los ciudadanos”.

Leonardo Gómez, experto en derecho digital.

Por su parte, Gómez Bérniga sostiene que es una práctica muy recurrente; que ha pasado con datos de la Policía, con el registro de vacuna del Ministerio de Salud Pública, probablemente con datos del Ejercito, pero que lo más rentable suele ser el chantaje a partir de la captura de los servidores de las empresas privadas.

Al secuestrar sus servidores, “chantejean con si no depositan tanto Bitcoin en determinada cuenta esa información será eliminada o filtrada, generando una responsabilidad en el deber de cuidado de los datos personales. En los países donde hay responsabilidad de protección de datos esto es catastrófico, les expone a acciones legales”, explica.

¿Qué pasa en Paraguay?

Al no haber una ley de protección de datos, entonces “hay una impunidad tremenda, en los actores públicos y en los actores privados”.

“No es la primera vez ni será la última”, dictamina el abogado especializado en seguridad cibernética.

Qué se hace desde el Estado

Diana Valdez, especialista en Ciberseguridad y Ciberdefensa Estratégica.

Según Valdez, nadie está exento de sufrir ciber ataques y que el centro a su cargo ofrece servicios gratuitos para atender, contener y analizar lo que puede ocurrir y lo que ha ocurrido. “Y recomendamos acciones para que esto no vaya a ocurrir”, esgrime.

Se debe actuar, al decir de Diana, como en el mundo físico, donde echar llaves, candados se torna hábito. “Así mismo se debe pensar en el mundo digital”.

Sostiene que el MITIC, desde el año 2019, ha puesto en marcha modelo de gobernanza de seguridad del Estado.

“Toda institución pública tiene que tener un responsable de seguridad. Emitimos un estándar con 20 controles y sub controles que garanticen cierta confiabilidad. Ofrecemos rectoría sobre normativas, también servicios y atención a incidentes”, explica.

“Si una institución reporta al centro, tenemos profesionales especializados para ayudar en la contención, en el análisis y en la aplicación de esquemas de seguridad”, asegura.

¿Y las personas?

La exposición de nuestros datos en el mundo virtual es permanente. Con los mismos datos disponibles en las redes se pueden crear perfiles falsos o estafar a la gente por wasap, llamadas telefónicas y otros medios. Y con datos más completos, como un padrón electoral, se puede ingresar a cuentas probando claves, con nombres, fecha de nacimiento, domicilios. Por eso, las claves de seguridad deben “ser robustas”, recomienda Diana.

Deben tener números, palabras, mayúsculas, minúsculas, asteriscos. Y así.

Ya no son tan nuevos los delitos “virtuales”. Se dan y se seguirán dando. En nuestra Constitución se establece que no existe “delito de prensa” si no delitos cometidos a través de la prensa. Si esto extrapolamos al campo de las nuevas plataformas de comunicación, la persecución penal debería ajustarse a los códigos penales existentes. Pero para especificar el delito, establecer las penas, “urge una ley de protección de datos”, concluye Leonardo Gómez.