En los últimos años, Paraguay ha dado pasos firmes hacia la consolidación de su ciberseguridad nacional. Un claro ejemplo de ello es la transformación institucional reflejada en la nueva Estrategia Nacional de Ciberseguridad 2025–2028, que marca un antes y un después en relación con el Plan Nacional de Ciberseguridad 2017. Esta evolución no solo representa un cambio de enfoque, sino también un fortalecimiento del Ministerio de Tecnologías de la Información y Comunicación (MITIC) como eje articulador de la seguridad digital del país.
En 2017, el plan presentaba falencias estructurales importantes. MITIC tenía el rol de coordinación a través de la Comisión Nacional de Ciberseguridad, sin estructura operativa consolidada. Carecía de una autoridad técnica formal, lo que derivaba en una coordinación dispersa y sin ejecución clara. Además, no existía una estructura organizativa dedicada a la ciberseguridad dentro del MITIC, ni un modelo de gobernanza que involucrara a todas las instituciones del Estado. La ausencia de métricas, un enfoque limitado en formación y la débil articulación con el sector privado dejaban al país vulnerable ante amenazas crecientes.
Estas debilidades han sido abordadas de forma integral en la estrategia 2025–2028 que fue aprobada por Decreto 3900/25 de fecha 22/05/2025. El MITIC se consolida como la autoridad nacional en ciberseguridad, liderando la formulación y ejecución de políticas públicas, y coordinando acciones con diversos sectores para fortalecer la resiliencia digital del país. Se creó la Dirección General de Ciberseguridad y Protección de la Información dentro del MITIC, se reforzó el rol del CERT-PY como órgano operativo ante incidentes, y se aprobó un modelo de gobernanza de seguridad que descentraliza responsabilidades en todas las instituciones públicas. Además, se implementan programas de capacitación, campañas de concienciación y cooperación internacional, junto con un enfoque normativo que incluye reformas legales clave.
¿Se incluyeron los comentarios de TEDIC en la versión final?
Durante el 2024, el MITIC, a través de la DGCPI y el CERT-PY, lideró un proceso participativo para actualizar la Estrategia Nacional de Ciberseguridad 2025–2028, con apoyo de la OEA. Se llevaron a cabo múltiples mesas de trabajo con más de 250 participantes de distintos sectores. En ese marco, TEDIC participó activamente en dos reuniones presenciales y virtuales, presentó observaciones al borrador y tuvo una reunión posterior para explicar las observaciones, señalando puntos clave sobre gobernanza, protección de derechos y fortalecimiento de la estrategia nacional. Sin embargo, los siguientes puntos que son considerados fundamentales para una mirada integral no fueron incluidos:
1) Gobernanza de Ciberseguridad con enfoque integral
Uno de los ejes principales señalados por TEDIC fue la necesidad de una gobernanza más inclusiva, transversal y con enfoque interinstitucional, que refleje mejor la complejidad del ecosistema digital en Paraguay.
Entre los aportes realizados, TEDIC subrayó que si bien el documento proponía una arquitectura de gobernanza más robusta que la de 2017, esta aún presentaba limitaciones importantes. En particular, se observó una ausencia notoria de instituciones clave del Estado en el diseño y la implementación de políticas de ciberseguridad. La estrategia no contempla de manera explícita ni operativa la participación de actores como el Ministerio de Salud Pública, el Ministerio de la Mujer, la Secretaría de la Niñez y Adolescencia, o la Dirección de Derechos Humanos del Ministerio del Interior.
Esta omisión no es menor. En un contexto donde la ciberseguridad impacta directamente en derechos sensibles —como el acceso a la salud, la protección frente a la violencia digital de género, o la seguridad de menores en línea—, dejar fuera a estas instituciones limita la capacidad del Estado de formular políticas públicas verdaderamente integrales. TEDIC propuso que estos actores formen parte permanente de las mesas de coordinación, tanto en la fase de implementación como en la evaluación y ajuste de las acciones estratégicas.
2) Mecanismos de trabajo con las múltiples partes interesadas (sociedad civil, academia, empresas, comunidad técnica)
La estrategia publicada mantiene un enfoque mayormente técnico y centrado en infraestructura crítica y respuesta a incidentes. Aunque menciona la importancia del enfoque «centrado en el ser humano» y la necesidad de coordinación, no se especifica cómo ni en qué espacios participarán instituciones que representan a sectores sociales clave. Tampoco se describen mecanismos concretos de articulación con la sociedad civil o la academia, más allá de una declaración general de apertura a múltiples partes interesadas.
Esto representa una oportunidad perdida para fortalecer la legitimidad y eficacia de la estrategia. Una gobernanza inclusiva no solo garantiza mayor diversidad de perspectivas, sino también una mejor capacidad de respuesta ante amenazas complejas, como la violencia de género facilitada por la tecnología, los ataques a infraestructuras hospitalarias, o los riesgos a la privacidad de niños, niñas y adolescentes. La exclusión de estos sectores limita la posibilidad de formular políticas públicas integrales, diseñadas no solo para proteger sistemas, sino también para proteger personas.
3) Desequilibrio entre un enfoque preventivo y punitivo
La advertencia de TEDIC sobre el enfoque alarmista y punitivista en el tratamiento de los riesgos digitales es problemático. Muchas medidas propuestas en el borrador —y mantenidas en el documento final— están centradas en el fortalecimiento jurídico, la penalización de conductas y la protección de infraestructuras, sin acompañarse de políticas robustas de educación digital, alfabetización crítica ni mecanismos de protección temprana para personas y colectivos vulnerables.
TEDIC argumentó que este sesgo hacia lo punitivo puede derivar en sobrerreacciones legales que vulneren derechos fundamentales, especialmente cuando no existen salvaguardas claras para evitar abusos en el monitoreo o en la persecución de ciertos delitos informáticos. En sus comentarios, puso como ejemplo la posibilidad de que medidas técnicas dirigidas a prevenir el cibercrimen se usen de manera desproporcionada contra personas defensoras de derechos humanos, activistas, periodistas o usuarios comunes que operan en contextos de baja educación digital.
Repensar la ciberseguridad: hacia una estrategia centrada en las personas y no en el castigo
Uno de los aportes más urgentes y valiosos que TEDIC hizo durante el proceso de revisión de la Estrategia Nacional de Ciberseguridad 2025–2028 fue la necesidad de repensar el concepto mismo de ciberseguridad desde una mirada positiva y centrada en las personas. Lamentablemente, esto no se incluyó. La seguridad digital no puede limitarse a proteger infraestructuras o perseguir delitos informáticos bajo una lógica militarizada o punitivista. Por el contrario, debe aspirar a construir un entorno digital libre de violencia, inclusivo, seguro y justo para todas las personas.
Esto implica reconocer que las amenazas a la seguridad digital no provienen únicamente de actores externos como hackers o ciberdelincuentes anónimos. En muchos casos, la violencia digital está profundamente enraizada en relaciones de poder y desigualdad cotidianas: una expareja que espía, hostiga o difunde imágenes íntimas sin consentimiento; casos de ciberacoso escolar que destruyen la autoestima de niñas, niños y adolescentes; prácticas sistemáticas de vigilancia estatal sin orden judicial ni controles democráticos; o empresas tecnológicas que diseñan sistemas invasivos sin tomar en cuenta los derechos y necesidades reales de las personas.
En ese sentido, el concepto de ciberseguridad debe dejar de ser reactivo y coercitivo, y convertirse en una herramienta para garantizar el ejercicio pleno de derechos humanos en entornos digitales. La seguridad digital debe proteger a las personas más que a los sistemas; debe prevenir el daño antes que castigarlo, y debe incluir activamente a sectores históricamente excluidos —como mujeres, personas LGBTQIA+, infancias, comunidades indígenas, personas con discapacidad— en su diseño y gobernanza.
Lamentablemente, la Estrategia Nacional de Ciberseguridad publicada por el MITIC aún no incorpora esta visión de forma integral. Aunque se mencionan principios generales como el enfoque “centrado en el ser humano”, en la práctica se mantiene una lógica donde lo técnico y lo penal dominan la narrativa. Se habla de fortalecer marcos jurídicos, criminalizar conductas, proteger infraestructuras críticas y aumentar la capacidad estatal de control; pero se dice muy poco —o nada— sobre cómo garantizar entornos seguros para quienes sufren violencia digital desde sus propios hogares, aulas, trabajos o comunidades.
La ciberseguridad no puede construirse sin cuidado, ni puede funcionar sin empatía. Exige una transformación profunda que coloque en el centro a la dignidad humana, los derechos digitales y la justicia social. Esto implica también cambiar quiénes toman las decisiones: no basta con técnicos e instituciones de seguridad; deben estar sentados en la mesa los ministerios de Salud, Mujer, Niñez, Educación y Derechos Humanos, junto con organizaciones sociales, comunidades técnicas, docentes, madres, niñas y personas usuarias comunes.
Una ciberseguridad verdaderamente democrática no solo bloquea amenazas: también habilita libertades, crea confianza y reduce las desigualdades. Y sobre todo, no criminaliza a quienes participan del mundo digital, sino que los acompaña, los cuida y los empodera.
Re(x)sistentes a la deshumanización digital: TEDIC y la regulación de armas autónomas en el día internacional de los derechos humanos 
Ciberseguridad en nuestras propias palabras – Online