La mitología griega nos legó una imagen que los siglos no han podido mejorar: el héroe invulnerable cuya única debilidad era, precisamente, aquello que nadie vigilaba. En ciberseguridad, el concepto persiste con una precisión casi obscena. El último informe DBIR 2026 de Verizon lo confirma sin rodeos: la explotación de vulnerabilidades ha superado al robo de credenciales como principal vector de brecha, representando el 31% de los incidentes globales. No es una estadística, es un diagnóstico.
El mundo digital muta a una velocidad que desafía a los marcos regulatorios más sofisticados. La inteligencia artificial, que prometía ser el escudo, es hoy también la lanza. Los actores maliciosos utilizan modelos generativos para automatizar campañas de phishing hiperpersonalizadas, acelerar el reconocimiento de infraestructuras y escalar ataques que antes requerían equipos humanos y semanas de preparación. Grupos como “ShinyHunters” o el llamado “Coinbase Cartel” operan con la sofisticación de empresas tecnológicas y la impunidad de quienes conocen las grietas jurisdiccionales entre países.
Paraguay no es un observador distante de este escenario. Es un participante involuntario y, en muchos casos, desarmado. Mientras el ecosistema financiero regional avanza en digitalización, con billeteras virtuales, banca móvil y pagos instantáneos, crece silenciosamente un vector de ataque que pocas veces llega a los titulares: el robo sistemático de cuentas bancarias. Las víctimas reportan accesos no autorizados, transferencias consumadas, préstamos que nunca solicitaron y cuentas vaciadas en minutos. La información disponible es escasa. Los mecanismos de respuesta, más escasos aún.
Y aquí aparece el talón de Aquiles institucional, ya que cuando ocurre un incidente de Phishing, hay bancos que tratan a la víctima como si hubiera sido cómplice de su propio perjuicio. Se le señala de haber “hecho clic donde no debía”, como si la ingeniería social que diseñó ese engaño no fuera obra de profesionales.
Las empresas, por su parte, postergan sistemáticamente la inversión en ciberseguridad. Las medidas se perciben como costosas y excesivas, hasta que el incidente ocurre y esas mismas medidas resultan insuficientes. El paradigma reactivo es una trampa cara.
La respuesta no puede seguir siendo voluntaria ni tardía; necesitamos asumir un enfoque de “confianza cero”, como principio rector, ya que ningún usuario, dispositivo, ni conexión son confiables por defecto. Pero también necesitamos ser capaces de ejercer una autodefensa digital informada, verificar remitentes, desconfiar de urgencias artificiales, activar la autenticación multifactor y entender que nuestros datos son un activo que otros ya valúan.
El Estado tiene la obligación de legislar con precisión técnica, proteger al ciudadano como víctima, no procesarlo como sospechoso y exigir a las empresas estándares mínimos de seguridad. Aquiles cayó porque nadie cuidó su talón. Nosotros aún estamos a tiempo de cuidar el nuestro.
“Los monstruos son reales, y los fantasmas también. Viven dentro de nosotros y, a veces, ganan”. Stephen King.
+595 981 573157
X: @MigueGaspar