El activo más valioso del Gobierno y de las empresas paraguayas son sus datos que viajan por cables submarinos y se almacena en centros de datos y nubes invisibles. Sin embargo, este vertiginoso salto a la digitalización ha dejado un flanco expuesto: la ciberseguridad.
El reciente informe del Banco Interamericano de Desarrollo (BD) y la Organización de Estados Americanos, de finales de 2025, lanza una advertencia: si bien la madurez en ciberseguridad en la región ha mejorado desde 2020, los ciberataques también se han potenciado, y en mayor medida para los sectores de la administración pública, la salud y educación.
Paraguay y sus vecinos enfrentan una nueva generación de amenazas potenciadas por la inteligencia artificial (IA) que ponen en jaque el negocio.
Radiografía de la región
El informe, elaborado bajo el Modelo de Madurez de Capacidad en Ciberseguridad para Naciones (CMM) de la Universidad de Oxford, señala que América Latina ha dejado de ignorar el problema.
No obstante, el diagnóstico para el ecosistema empresarial paraguayo es claro: la velocidad de la amenaza supera a la velocidad de la inversión.
De acuerdo con el informe, en la región hay un crecimiento de creación de estrategias nacionales de ciberseguridad. En Paraguay, el impulso de la Estrategia Nacional de Ciberseguridad 2025-2028 es un paso institucional necesario, pero el BID y la OEA subrayan que la brecha técnica sigue siendo el mayor talón de Aquiles.
“La revolución digital está transformando las economías, pero también conlleva riesgos que pueden borrar años de crecimiento en cuestión de minutos”, destaca Paula Acosta, jefa de Capacidad Institucional del BID.
Amenaza latente
A nivel global, el cibercrimen se alimenta de aproximadamente el 1,5% del PIB mundial, según el estudio del Banco Mundial de 2024, tomando en cuenta que hay 5.450 millones de personas conectadas a internet y 18.000 millones de dispositivos de internet de las cosas.
Según el Banco Mundial el cibercrimen tiene tasa de crecimiento anual del 21%, con mayor intensidad en América Latina y el Caribe (25%), y en los países de ingreso mediano alto, quedando fuera de las estadísticas un 40% de los ciberincidentes que no se denuncian.
Traducido a la economía local, un ataque de ransomware a una cooperativa o a una exportadora no solo representa el costo del rescate (que no se recomienda pagar), sino la parálisis operativa que puede costar millones de dólares por día.
¿IA: aliada o caballo de troya?
Uno de los puntos más complejos del informe del BID y la OEA es el impacto de la IA y el 2026 ha comenzado con una certeza inquietante: el 87% de los líderes empresariales teme que la IA facilite ataques más atractivos.
Para el empresario, esto significa que el correo de “phishing” mal redactado ha evolucionado. Hoy, los atacantes utilizan modelos de lenguaje para crear comunicaciones perfectas, e incluso deepfakes de voz que imitan a voces solicitando transferencias urgentes.
El informe alerta que la IA ha “democratizado” el cibercrimen, permitiendo que actores con pocos conocimientos técnicos ejecuten ataques de alta precisión.
Las 5 dimensiones del desafío
1. Política y estrategia
No basta con tener un antivirus. El informe sugiere que las empresas deben integrar la ciberseguridad en su gobierno corporativo, es una responsabilidad del CEO y la Junta Directiva.
2. Cultura
El eslabón más débil sigue siendo el humano. La falta de una cultura digital es un riesgo latente, solo las organizaciones que invierten en capacitación continua logran reducir significativamente su superficie de ataque.
3. Educación
Existe una escasez crítica de talento especializado. Paraguay compite por expertos que son tentados por salarios desde el exterior. El informe hace un llamado a las alianzas público-privadas para fomentar carreras técnicas en seguridad digital.
4. Marcos jurídicos
Aunque Paraguay ha avanzado en leyes, el informe BID-OEA señala que la cooperación transfronteriza es vital.
5. Tecnología
La adopción de estándares internacionales (como las normas ISO 27001) sigue siendo baja en las pymes paraguayas. El informe subraya que la falta de inversión en seguridad de infraestructuras críticas (electricidad, agua, telecomunicaciones) es un riesgo sistémico para todo el sector privado.
Sector financiero y agro, blancos predilectos
En el contexto local, el sector bancario paraguayo es el que más ha invertido. Sin embargo, el informe advierte sobre el “efecto cascada”. Las grandes entidades están protegidas, pero sus proveedores suelen ser la puerta trasera de entrada a los ataques.
Por otro lado, el agrobusiness, motor de la economía nacional, está entrando en la era del IoT (Internet de las Cosas). Silos inteligentes, maquinaria conectada y sistemas de riego automatizados son ahora vectores de ataque. Un hackeo a la cadena de suministro agrícola podría comprometer la gestión empresarial.
Estrategias prevención
1. Auditoría: evaluar la capacidad de respuesta y recuperación.
2. Presupuesto: destinar entre el 10% y el 15% del presupuesto de TI a seguridad.
3. Seguridad por diseño: al implementar nuevas tecnologías (como cobros vía QR o plataformas e-commerce), la seguridad debe estar integrada desde el día uno.
4. Colaboración: compartir información sobre amenazas.
Un ataque que costó el 2,4% del PIB de Costa Rica
En 2022, Costa Rica experimentó un ataque que paralizó a 20 instituciones del Estado. Este incidente de casi dos meses fue la razón para declarar la primera emergencia nacional de la historia a causa de un ataque cibernético.
El golpe digital dejó inactivos sistemas cruciales para el país y tuvo un impacto económico estimado del 2,4% del producto interno bruto (PIB).
Paraguay se ubica en el Nivel T3 según la UIT
El informe del Índice Global de Ciberseguridad (GCI), de la Unión Internacional de Telecomunicaciones de las Naciones Unidas (UIT), en su quinta edición, ubica a Paraguay en el Nivel T3, lo que refleja un compromiso y un marco institucional en crecimiento en materia de seguridad digital.
Con un desempeño destacado en aspectos legales y organizativos, el país se posiciona como un actor con bases firmes, aunque con desafíos pendientes en la implementación técnica.
Fortalezas
El análisis de los cinco pilares evaluados por la UIT muestra que Paraguay ha logrado avances en su estructura normativa. El pilar de Medidas Legales es el punto más fuerte del país, alcanzando una puntuación de 17,81 sobre 20. Esto indica que el país cuenta con legislaciones actualizadas para enfrentar el cibercrimen y regular la protección de datos.
En Medidas Organizacionales (17,66) y en Medidas de Cooperación (16,8) sobresalen áreas de “fortaleza relativa”. Estos puntajes sugieren una coordinación efectiva entre instituciones gubernamentales y una disposición activa para colaborar internacionalmente en la mitigación de amenazas cibernéticas.
Punto débil: capacidad técnica
A pesar de los avances institucionales, el gráfico revela una brecha importante en la ejecución práctica. El pilar de Medidas Técnicas es el área con el desempeño más bajo, registrando apenas 8,47 sobre 20.
Esta cifra sitúa a las capacidades técnicas como la principal área de potencial de crecimiento. El informe sugiere que si bien existen leyes y organizaciones, el país aún debe invertir en herramientas tecnológicas de defensa, centros de respuesta a incidentes (CERT/CSIRT) con mayores capacidades y sistemas de monitoreo más robustos para proteger la infraestructura crítica.
Hacia el siguiente nivel
Para escalar a los niveles de “Avanzado” (T2) o “Referente” (T1), el país deberá centrar sus esfuerzos en dos frentes claves señalados por el GCI:
1. Desarrollo de capacidades: fomentar la educación, la formación de profesionales especializados y la concienciación ciudadana.
2. Inversión tecnológica: cerrar la brecha en el pilar técnico para igualar su robustez legal.
En comparación con el promedio de la región de las Américas (representado en el gráfico de radar de la UIT), Paraguay muestra un desempeño superior en lo legal y organizativo, pero se mantiene por debajo en la implementación técnica, lo que marca la hoja de ruta para las políticas públicas digitales de los próximos años.