El BCP y la DNIT alertan sobre intentos de phishing, pero expertos en ciberseguridad exigen campañas de prevención proactivas para proteger a la ciudadanía de fraudes hiperrealistas impulsados por inteligencia artificial.
Table of contents [Show]
La digitalización de los servicios financieros y administrativos ha traído enormes beneficios, pero también nuevos desafíos en materia de ciberseguridad. En Paraguay, el Banco Central del Paraguay (BCP) y la Dirección Nacional de Impuestos Tributarios (DNIT) emitieron recientemente alertas sobre intentos de phishing, un tipo de estafa digital que busca suplantar la identidad de instituciones oficiales para obtener información confidencial de los ciudadanos.
Sin embargo, especialistas en seguridad informática han señalado que la reacción de las entidades es insuficiente y tardía, destacando la falta de campañas de concienciación preventivas y un enfoque más proactivo para combatir el fraude digital.
El phishing es una de las formas más comunes de ciberdelito, en la que delincuentes envían correos electrónicos, mensajes de texto o enlaces fraudulentos que aparentan provenir de fuentes legítimas, como bancos o entidades gubernamentales. El objetivo es engañar a los usuarios para que ingresen credenciales, datos bancarios o información personal, que luego es utilizada para cometer fraudes financieros.
En los últimos meses, usuarios en Paraguay han recibido correos electrónicos falsos que aparentaban ser enviados por el BCP y la DNIT. Estos mensajes contenían enlaces que dirigían a sitios web fraudulentos con el propósito de robar información o instalar software malicioso en los dispositivos de los usuarios.
La reacción de ambas entidades fue emitir comunicados de advertencia instando a la ciudadanía a no hacer clic en enlaces sospechosos y a verificar siempre la autenticidad de los correos electrónicos que reciben.
A pesar de estas advertencias, expertos en ciberseguridad consideran que la respuesta de las instituciones es reactiva y poco efectiva. Miguel Ángel Gaspar, especialista en seguridad informática, expresó su preocupación por la falta de campañas educativas que permitan a los ciudadanos identificar y evitar estas estafas antes de caer en ellas.
"Lo importante es la docencia. Eso es lo que está faltando de parte del Banco Central y de las instituciones del Estado. Y hablo de docencia en castellano y en guaraní, porque somos un país de dos idiomas", enfatizó Gaspar.
El experto advirtió que las amenazas de phishing están evolucionando rápidamente, especialmente con el uso de inteligencia artificial. Según informes de las principales firmas de ciberseguridad a nivel mundial, 2025 será el año de las estafas hiperrealistas, donde herramientas de IA permitirán falsificar no solo correos electrónicos y sitios web, sino también voces y rostros en videos.
"La suplantación de identidad alcanzará niveles hiperrealistas gracias a la IA. No sería extraño que pronto aparezcan aplicaciones fraudulentas en tiendas oficiales como Play Store, haciéndose pasar por entidades legítimas con el propósito de robar datos", explicó Gaspar.
Gaspar enfatizó que el Ministerio de Tecnología de la Información y Comunicación (Mitic) tiene un papel fundamental en la educación y prevención de delitos informáticos, pero hasta el momento no ha implementado estrategias eficientes de comunicación sobre ciberseguridad.
"Estamos mal con el proceso comunicativo hacia la sociedad. Los procesos son reactivos, las campañas llegan tarde y no tenemos un observatorio nacional que nos permita estar al día con estas amenazas", afirmó.
También criticó al Banco Central del Paraguay (BCP) por no adoptar medidas más estrictas en materia de protección al usuario. En la Unión Europea, los bancos pueden ser sancionados si no implementan mecanismos adecuados para prevenir fraudes de phishing. En cambio, en Paraguay, las instituciones bancarias solo emiten advertencias sin asumir responsabilidades concretas.
"En otros países, cuando un usuario es víctima de phishing, la legislación también sanciona a los bancos como corresponsables. Aquí aún nos falta mucho camino por recorrer", sostuvo Gaspar.
Tras los recientes intentos de phishing, el BCP emitió una serie de recomendaciones a la ciudadanía:
✅ Evitar hacer clic en enlaces desconocidos en correos electrónicos y mensajes sospechosos.
✅ No responder a comunicaciones que soliciten información confidencial.
✅ Verificar la autenticidad de los enlaces antes de hacer clic en ellos.
✅ Informar a las áreas de seguridad informática de empresas o entidades financieras ante cualquier irregularidad.
✅ Utilizar servicios en línea de verificación de seguridad.
Si bien estas recomendaciones son válidas, los especialistas sostienen que se requiere un esfuerzo mucho mayor por parte del gobierno para proteger a la población y minimizar los riesgos.
Otro factor clave en la vulnerabilidad de los ciudadanos frente a ciberataques es la ausencia de una Ley de Protección de Datos Personales en Paraguay. Actualmente, solo existe la Ley de Protección de Datos Crediticios, pero no una legislación integral que regule el uso, almacenamiento y seguridad de la información personal.
"El Ministerio de Educación y Ciencias (MEC) debería incluir la ciberseguridad en la educación básica. Necesitamos enseñar desde una edad temprana cómo proteger los datos y navegar de manera segura en internet", recomendó Gaspar.
Uno de los intentos de phishing más recientes en Paraguay involucró el uso del membrete de la antigua Subsecretaría de Estado de Tributación (SET).
Los estafadores enviaron falsas notificaciones de pago con sellos del Poder Judicial y el BCP, firmadas por un supuesto funcionario de nombre Gustavo Cuevas. El documento exigía un pago millonario por mora, pero contenía errores ortográficos y formatos incorrectos, lo que permitió que algunos usuarios detectaran la estafa a tiempo.
La DNIT respondió desmintiendo la autenticidad del documento y recomendó a los ciudadanos verificar cualquier notificación tributaria llamando al 021 729 7000.
Ever Otazú, gerente general de Impuestos Internos, reconoció que el presupuesto limitado para campañas de comunicación impide que la DNIT realice una difusión masiva de estos casos.
"Emitimos comunicados oficiales y los incluimos en nuestros programas de capacitación, pero siempre chocamos con la falta de recursos para campañas en medios masivos", explicó.
Agradecemos la inspiración brindada por Diario 5 Días en el desarrollo de esta noticia, lo que nos permitió ampliar la información y proporcionar un análisis más detallado para nuestros lectores.
