Paraguay ya sufrió ciberataques chinos y su defensa tiene 13 años
Paraguay tiene CERT-PY desde 2012 y ratificó el Convenio de Budapest. Pero en 2024 hackers chinos infiltraron el gobierno y en 2025 un ataque paralizó 18 agencias públicas.
En 2012, Paraguay creó su Centro de Respuesta a Incidentes de Seguridad Informática. Lo llamó CERT-PY. Trece años después, en julio de 2026, el gobierno de Estados Unidos y el gobierno de Paraguay emitieron una declaración conjunta denunciando que actores cibernéticos vinculados a China habían comprometido sistemas informáticos del gobierno paraguayo. No era la primera vez. En 2024, el grupo Flax Typhoon —asociado a la inteligencia china— ya había infiltrado redes gubernamentales paraguayas. En junio de 2025, un ataque de ransomware a un proveedor del Estado expuso millones de registros de ciudadanos y paralizó 18 agencias públicas.
Paraguay tiene un centro de ciberseguridad. Tiene una estrategia nacional aprobada por decreto. Ratificó el Convenio de Budapest contra el cibercrimen. Y sin embargo, en los últimos dos años fue atacado por una potencia extranjera, sufrió la mayor filtración de datos de su historia y mantiene congelada la negociación más importante de su política energética por un caso de espionaje. Este artículo mide la distancia entre la defensa que Paraguay dice tener y la que realmente necesita.
Lo que Paraguay ya construyó (y no es poco)
CERT-PY fue creado el 30 de noviembre de 2012, depende del Ministerio de Tecnologías de la Información y Comunicación, y está dirigido por Diana Valdez. Opera como el CSIRT nacional —el equipo de respuesta a incidentes de seguridad informática— y mantiene un centro de operaciones de seguridad gubernamental activo. Publica boletines diarios de vulnerabilidades, audita sistemas web del Estado y realiza ejercicios de simulación de ciberataques con instituciones públicas. Su presupuesto y tamaño de equipo no son públicos.
En mayo de 2025, el Poder Ejecutivo aprobó por Decreto 3900 la Estrategia Nacional de Ciberseguridad 2025-2028, elaborada con apoyo de la Organización de los Estados Americanos. Es la primera estrategia formal de ciberseguridad en la historia del país. Establece diagnósticos, prioridades y líneas de acción. Llegó once años después de que el centro de respuesta a incidentes empezara a operar.
Paraguay ratificó el Convenio de Budapest sobre cibercrimen —el principal instrumento internacional de cooperación contra delitos informáticos— y tiene la obligación de mantener un punto de contacto disponible las 24 horas para asistencia internacional. No tiene una ley específica de delitos informáticos. No tiene una ley integral de protección de datos personales en vigor —la Ley 7593/2025 fue promulgada pero entra en vigencia en noviembre de 2027, como analizamos en detalle en nuestro artículo sobre protección de datos—. Su marco de ciberseguridad opera principalmente mediante resoluciones del MITIC que obligan a las instituciones públicas a reportar incidentes y adoptar controles de seguridad.
En el contexto latinoamericano, Paraguay está rezagado. Uruguay —un país con la mitad de la población paraguaya— tiene una estrategia nacional de ciberseguridad que cubre hasta 2030 y su agencia de gobierno digital, AGESIC, es considerada un modelo regional. Brasil opera uno de los CSIRT nacionales más grandes de América Latina, acreditado por el Foro Internacional de Equipos de Respuesta a Incidentes. Argentina mantiene un comando conjunto de ciberdefensa dentro de sus fuerzas armadas. Paraguay, en comparación, tiene un equipo funcionando desde una dirección dentro del ministerio de tecnología.
Los ataques que ya ocurrieron
La cronología de incidentes recientes es más densa de lo que la infraestructura de defensa sugiere.
En 2024, el grupo Flax Typhoon —un actor de amenazas persistentes avanzadas vinculado por agencias de inteligencia occidentales al Ministerio de Seguridad del Estado de China— infiltró sistemas informáticos del gobierno paraguayo. La técnica fue clásica: spear-phishing dirigido a funcionarios con acceso a redes sensibles, explotación de vulnerabilidades sin parche y movimiento lateral dentro de la red una vez obtenido el acceso inicial. El objetivo no fue el robo de datos masivo sino la persistencia: permanecer dentro de los sistemas el mayor tiempo posible sin ser detectado.
En abril de 2025, la Agencia Brasileña de Inteligencia fue acusada de espiar a funcionarios paraguayos involucrados en la negociación del Anexo C de Itaipú. Paraguay suspendió indefinidamente todas las negociaciones con Brasil, un escenario que analizamos en profundidad en el contexto del Anexo C de Itaipú. El caso expuso algo más grave que la tensión diplomática: reveló que actores estatales —aliados o adversarios— consideran a Paraguay un objetivo legítimo de operaciones de inteligencia ofensiva, y que la capacidad paraguaya de detectar esas operaciones es limitada.
En junio de 2025, un ataque de ransomware contra un proveedor de servicios tecnológicos del Estado paraguayo paralizó los sistemas de al menos 18 agencias gubernamentales. Los atacantes cifraron datos y exigieron un rescate millonario. Millones de registros de ciudadanos quedaron expuestos y las instituciones afectadas operaron sin acceso a sus sistemas de gestión durante días.
En julio de 2026, Estados Unidos y Paraguay emitieron una declaración conjunta denunciando “operaciones cibernéticas maliciosas chinas” contra sistemas del gobierno paraguayo. El comunicado mencionaba explícitamente a actores vinculados a la República Popular China y señalaba que las operaciones estaban dirigidas a infraestructura gubernamental crítica.
Lo que cuesta defenderse (y lo que cuesta no hacerlo)
El costo de construir una defensa cibernética básica para un país del tamaño de Paraguay es sorprendentemente bajo. Estonia —el país más digitalizado del mundo y uno de los más atacados— invierte aproximadamente el 0,05% de su PIB en ciberseguridad nacional. Para Paraguay, eso equivaldría a unos 22 millones de dólares al año. La estimación más optimista del gasto actual paraguayo en ciberseguridad lo ubica entre 2 y 5 millones de dólares, casi todo concentrado en el presupuesto operativo de CERT-PY y la infraestructura de red del MITIC.
El costo de no defenderse es más difícil de medir pero más grande. El ataque de ransomware de 2021 contra el Colonial Pipeline en Estados Unidos —un solo gasoducto— paralizó el suministro de combustible en la costa este durante días y costó 4,4 millones de dólares en rescate. La vulnerabilidad que los atacantes explotaron fue una sola contraseña de VPN sin autenticación de doble factor. En 2022, el gobierno de Costa Rica declaró una emergencia nacional después de que el grupo Conti desplegara ransomware contra 27 instituciones públicas. Las pérdidas se estimaron en 125 millones de dólares. Paraguay no es Costa Rica, pero comparte la misma vulnerabilidad estructural: instituciones con presupuestos de seguridad informática que dependen de la diligencia de un administrador de sistemas y la suerte de que nadie haya decidido atacarlas todavía.
En mayo de 2025, Letonia —un país báltico de 1,8 millones de habitantes con una de las infraestructuras digitales más avanzadas de Europa— sufrió un ciberataque masivo que comprometió sistemas gubernamentales. La investigación posterior determinó que el vector de entrada fue una credencial robada a un proveedor externo. El patrón se repite: la cadena de suministro digital es el eslabón más débil, y Paraguay —que depende de proveedores tecnológicos externos para su infraestructura de gobierno digital, su centro de datos estatal y su nube soberana— tiene exactamente el mismo perfil de riesgo.
Lo que Paraguay debería hacer antes del próximo ataque
Paraguay no necesita un comando de ciberdefensa militar. Necesita cuatro cosas que son baratas y que no dependen de tecnología que no exista.
La primera es visibilidad. CERT-PY tiene la capacidad técnica de monitorear la red del Estado, pero necesita un mandato legal que obligue a todas las instituciones públicas —no solo a las que voluntariamente aceptan— a reportar incidentes en tiempo real y a implementar controles mínimos. La Estrategia Nacional de Ciberseguridad 2025-2028 existe. Lo que falta son los dientes legales para hacerla obligatoria.
La segunda es autenticación. El ataque al Colonial Pipeline se habría prevenido con autenticación de doble factor. La filtración de Letonia empezó con una credencial robada. La mayoría de los ataques exitosos contra gobiernos en 2026 siguen explotando el mismo vector que en 2016: contraseñas débiles o reutilizadas. Implementar autenticación de doble factor en todos los sistemas del gobierno paraguayo costaría menos de un millón de dólares y eliminaría el vector de ataque más común.
La tercera es segmentación. Si un atacante compromete el sistema de una municipalidad, no debería poder moverse lateralmente hacia el sistema de la ANDE o del Ministerio de Hacienda. La red del Estado paraguayo necesita ser segmentada de manera que un incidente en una institución no se convierta en un incidente nacional. El ataque de junio de 2025 —que afectó a 18 agencias desde un solo proveedor— es la prueba de que esa segmentación no existe.
La cuarta es la ley de delitos informáticos. Paraguay ratificó el Convenio de Budapest pero no tipificó en su código penal las conductas que el convenio obliga a perseguir. Sin una ley de delitos informáticos, un fiscal paraguayo que recibe una denuncia por intrusión en sistemas no tiene un tipo penal claro para imputar. Es un vacío que vuelve inocua la ratificación del tratado.
Paraguay está construyendo centros de datos de inteligencia artificial que van a almacenar información de empresas y gobiernos extranjeros. Está digitalizando su administración pública. Está atrayendo inversión en infraestructura tecnológica que depende de la confianza en la seguridad de los sistemas. Nada de eso es sostenible si un atacante puede entrar a la red del Estado con una contraseña robada. La ciberseguridad no es un gasto. Es el costo de hacer negocios en el siglo XXI.
Leé el análisis completo sobre geopolítica y regulación en la guía de inteligencia artificial en Paraguay.
Fuentes
- MITIC — CERT-PY — boletines, SOC gubernamental, Estrategia Nacional de Ciberseguridad 2025-2028
- Wikipedia — Paraguay and the Budapest Convention — ratificación, obligaciones
- Wikipedia — Colonial Pipeline ransomware attack — vector de ataque, costo
- Sophos — The State of Ransomware 2026 — estadísticas globales
- ISC2 — Cybersecurity Workforce Study 2025 — brecha de talento global
- El País — “Paraguay convoca al embajador de Brasil por un caso de espionaje” (abril 2025)
- Declaración conjunta EEUU-Paraguay — Operaciones cibernéticas chinas (10 julio 2026)
- Wikipedia — 2022 Costa Rica ransomware attack — emergencia nacional, costo