Durante años, muchas empresas paraguayas vivieron bajo una falsa sensación de seguridad: la idea de que los ciberataques graves eran cosa de otros países o de grandes corporaciones. Los hechos de los últimos años desmintieron esa creencia de forma contundente. Paraguay se convirtió en un objetivo real y frecuente del ransomware —ese tipo de ataque que cifra los datos de una organización y exige un rescate para liberarlos— y las consecuencias fueron visibles para todo el país.
Según el Global Threat Landscape Report de Fortinet, en el primer semestre de 2025 Paraguay registró cientos de millones de intentos de ciberataque, y el sector gubernamental figuró entre los más apuntados. Pero las cifras abstractas dicen menos que los casos concretos. Repasemos los que marcaron un antes y un después.
El ataque a Tigo Business: el golpe que despertó al país
En enero de 2024, uno de los mayores proveedores de servicios de datos del país, Tigo Business Paraguay, sufrió un ataque de ransomware atribuido al grupo Black Hunt. El impacto fue significativo: según reportes oficiales de la Dirección de Tecnologías del Comando de las Fuerzas Militares, más de 300 empresas clientes se vieron afectadas, con backups, páginas web, correos electrónicos y almacenamiento en la nube comprometidos.
Entre las entidades reportadas como afectadas estuvo la propia Cancillería Nacional (Ministerio de Relaciones Exteriores), cuyo servicio fue posteriormente restablecido. Reportes de prensa mencionaron también a firmas del sector privado —como cadenas farmacéuticas y financieras— entre los clientes corporativos golpeados. El episodio llegó a activar una alerta de las Fuerzas Armadas y expuso una realidad incómoda: cuando cae un proveedor de infraestructura, caen con él decenas de negocios que dependían de sus servidores.
El caso Tigo mostró el riesgo de concentración: tercerizar tu infraestructura no terceriza tu riesgo. Si tu proveedor es comprometido, tu operación se detiene igual. La resiliencia —backups propios incluidos— sigue siendo responsabilidad de cada organización.
El incidente con datos del Estado (2025)
En junio de 2025, un grupo autodenominado Brigada Cyber PC afirmó haber vulnerado múltiples organismos del Estado paraguayo y exigió un rescate de aproximadamente USD 7,4 millones —cerca de un dólar por habitante—. El gobierno negó una brecha exitosa: sostuvo que no negocia con estos actores y afirmó que los datos filtrados provenían de incidentes anteriores. En efecto, cuando los atacantes publicaron la información el 13 de junio, el conjunto contenía 7,4 millones de registros, más que la población del país, lo que respaldó la versión de que se trataba de datos recopilados de brechas previas. La firma de ciberseguridad Resecurity había advertido con anticipación sobre la amenaza.
Más allá de la disputa sobre su alcance, el episodio dejó una enseñanza: los datos filtrados en un ataque no caducan. La información robada años atrás se recicla, se combina y se reutiliza en campañas posteriores.
El sector salud en la mira: cuando los sanatorios volvieron al papel
El caso más ilustrativo de por qué esto importa llegó en junio de 2026. Un ciberataque masivo de ransomware afectó los sistemas informáticos de varias empresas de seguros y medicina privada del país. Según reportes de prensa, entre las instituciones golpeadas estuvieron el Sanatorio Migone, el Grupo Británico y Reyva, cuyos datos confidenciales fueron cifrados por los atacantes.
El impacto fue tan concreto como simbólico: médicos y funcionarios tuvieron que volver a los registros en papel para garantizar la continuidad de la atención. Se vieron interrumpidos los sistemas de historias clínicas electrónicas, el agendamiento de turnos, la facturación y los canales de atención al asegurado. Las urgencias siguieron operando mediante protocolos de contingencia, y las instituciones emitieron comunicados informando a sus pacientes sobre la operación manual temporal.
La información potencialmente comprometida es de la más sensible que existe: antecedentes médicos, diagnósticos, datos personales de pacientes y autorizaciones de seguros. El sector salud es un blanco especialmente atractivo precisamente por eso — maneja datos críticos y no puede permitirse una interrupción de servicio, lo que lo vuelve más propenso a ceder ante la extorsión. El episodio reabrió en Paraguay el debate sobre la madurez de la ciberseguridad en instituciones que custodian información vital.
¿Por qué Paraguay, y por qué ahora?
El aumento de ataques no es casualidad. Confluyen varios factores:
- Digitalización acelerada: las empresas adoptaron tecnología y trasladaron operaciones a lo digital más rápido de lo que fortalecieron su seguridad.
- Superficie expuesta: muchos ataques aprovechan configuraciones débiles —accesos remotos (RDP) mal protegidos, sistemas sin actualizar, credenciales reutilizadas—.
- Ransomware como servicio: hoy atacar no requiere ser un experto; grupos organizados alquilan las herramientas, ampliando la cantidad de atacantes.
- Percepción de bajo riesgo: los atacantes saben que muchas organizaciones locales aún no invierten en defensa, lo que las convierte en objetivos rentables.
Cómo prevenir: de víctima probable a blanco difícil
La buena noticia es que la mayoría de estos ataques se previenen con disciplina, no con presupuestos millonarios. Las prioridades:
- Backups a prueba de ransomware: copias siguiendo la regla 3-2-1, con al menos una fuera de línea e inmutable. Y probadas restaurando de verdad. Es la diferencia entre recuperarse en horas o pagar un rescate.
- Autenticación multifactor (MFA): en todo acceso crítico. Neutraliza la mayoría de los ataques basados en credenciales robadas.
- Cerrar el acceso remoto expuesto: proteger o eliminar RDP abierto a internet, uno de los vectores de entrada más explotados.
- Actualizaciones al día: la mayoría de los ataques usan fallas ya conocidas y parcheadas.
- Segmentación de red: para que una brecha en un punto no se propague a toda la organización.
- Plan de respuesta a incidentes: escrito y ensayado antes de necesitarlo — a quién llamar, cómo aislar, cómo comunicar.
- Capacitación del personal: el phishing sigue siendo la puerta de entrada más común, y el usuario es la primera línea de defensa.
Estas medidas se potencian dentro de un modelo Zero Trust, donde ningún acceso se da por confiable. Para las pequeñas empresas, el punto de partida son los 7 controles esenciales de bajo costo y alto impacto.
Para llevar
- El ransomware ya golpeó a Paraguay de forma concreta: telecomunicaciones, Estado y salud entre los afectados.
- Tercerizar la infraestructura no terceriza el riesgo: la resiliencia es responsabilidad propia.
- Los datos filtrados se reciclan por años — proteger hoy también reduce el daño futuro.
- La prevención efectiva depende más de disciplina que de presupuesto: backups, MFA, cierre de RDP y parches.
- Ten un plan de respuesta escrito y ensayado antes de que ocurra el incidente.
Los casos de los últimos años deberían ser una llamada de atención para toda organización que opere en Paraguay. No importa el tamaño ni el rubro: si tienes datos que te importan, eres un objetivo potencial. La pregunta que todo directivo debería hacerse no es "¿nos podría pasar?", sino "si nos pasa mañana, ¿cuánto tardaríamos en recuperarnos?". La respuesta a esa pregunta se construye hoy, no durante el ataque.
Nota: los casos citados se basan en reportes públicos y de prensa, y en informes de firmas de ciberseguridad disponibles a la fecha de publicación. Los detalles y el alcance de cada incidente corresponden a la información difundida por esas fuentes.