Fitch Ratings anunció este martes una mejora en la calificación crediticia de El Salvador, pasando de “CCC+” a “B-”. La decisión refleja una reducción en las necesidades de financiamiento del gobierno y una mayor flexibilidad financiera, facilitadas por el reciente acuerdo técnico con el Fondo Monetario Internacional (FMI).

El 18 de diciembre, el FMI reveló un acuerdo preliminar con el gobierno del presidente Nayib Bukele para un programa de asistencia financiera por $1,400 millones. Este convenio, sin embargo, está sujeto a la aprobación del Directorio Ejecutivo del FMI y al cumplimiento de ciertas condiciones, incluyendo reformas a la ley bitcoin.

El acuerdo propone que el uso de bitcoin sea voluntario en el sector privado y elimina la posibilidad de pagar impuestos con esta criptomoneda. Además, incluye un ajuste fiscal equivalente al 3.5 % del producto interno bruto (PIB) durante tres años, con un recorte inicial del 1.5 % programado para 2025.

Impacto económico y financiero

Fitch considera que el programa del FMI, junto con la reducción de deuda de corto plazo mediante la banca privada y los procesos de recompra de deuda, contribuirán a una mayor consolidación fiscal. Esto podría mejorar la confianza de los inversionistas y facilitar nuevas emisiones de deuda en el futuro.

A pesar de estos avances, Fitch estima que el déficit fiscal de 2024 cerrará en un 4.7 % del PIB. Este porcentaje incluye obligaciones del sistema de pensiones que el gobierno no incorporó desde mayo de 2023, tras una reforma. 

Además, los gastos gubernamentales han aumentado un 14 % debido a alzas salariales, intereses y gastos de capital.

Proyecciones y desafíos futuros

Para 2025, el presupuesto incluye un ajuste del balance general equivalente al 1.9 % del PIB, respaldado por importantes recortes en el gasto, como el congelamiento de salarios en el sector público, y mayores ingresos tributarios. 

Según Fitch, el objetivo del gobierno es cubrir todos los gastos corrientes con ingresos fiscales y limitar los préstamos a proyectos de inversión financiados por entidades multilaterales.

Sin embargo, la agencia advierte sobre posibles desafíos en la implementación de los recortes de gasto, así como en el manejo del creciente costo de endeudamiento. 

Fitch estima que la deuda pública cerrará en un 87.7 % del PIB en 2024, comparado con el 84.9 % de 2023, pero espera que este porcentaje comience a disminuir en 2026 gracias a los ajustes previstos.

Los ataques exitosos no vencen la tecnología, sino que aprovechan las debilidades humanas. Estrategias como el phishing, el spear phishing, la ingeniería social o las técnicas de suplantación de identidad rara vez requieren herramientas sofisticadas; lo que buscan es explotar la confianza, la curiosidad o el desconocimiento del individuo.

En los últimos años, la transformación digital ha revolucionado la forma en que las entidades públicas y privadas tratan sus datos. Esta modernización también ha expuesto al país a un panorama de riesgos cibernéticos sin precedentes. Los ataques dirigidos contra sistemas gubernamentales y entidades estratégicas han evidenciado la creciente vulnerabilidad de las infraestructuras críticas ante actores maliciosos, algunos con capacidades de ciberinteligencia avanzadas; este riesgo se expande hacia las empresas y el público en general y se concreta en vulneraciones diarias. (Arreola, 2019).

Nos enfrentamos a un entorno donde las amenazas incluyen al robo de información, el bloqueo de sistemas mediante ataques DDOS, ransomware, keyloggers, troyanos y campañas más sofisticadas, como el espionaje digital, la alteración de datos estratégicos y el debilitamiento de la confianza pública a través de la diseminación de información manipulada.

Estas acciones no son únicamente obra de actores individuales, sino que reflejan la coordinación de redes internacionales con fines económicos, políticos y, en ocasiones, ideológicos. Los ataques recientes han mostrado la existencia de brechas significativas en la protección de datos y sistemas, lo que subraya la necesidad de estrategias robustas que combinen tecnología avanzada con inteligencia humana (HUMINT).

Normalmente, las barreras de seguridad más efectivas suelen estar en el ámbito de la tecnología, ya sea a través de sofisticados firewalls, sistemas de detección de intrusos, inteligencia artificial o herramientas de encriptación avanzada. Sin embargo, esta creencia a menudo pasa por alto una realidad contundente: la capa 8, es decir, el ser humano, sigue siendo el punto más vulnerable y, paradójicamente, el más explotado en el espectro de ciberseguridad. (López, 2024).

Los ataques exitosos no vencen la tecnología, sino que aprovechan las debilidades humanas. Estrategias como el phishing, el spear phishing, la ingeniería social o las técnicas de suplantación de identidad rara vez requieren herramientas sofisticadas; lo que buscan es explotar la confianza, la curiosidad o el desconocimiento del individuo. Un correo malicioso abierto, una contraseña compartida, descuidos en redes sociales o incluso una conversación aparentemente inocente, son suficientes para abrir las puertas a ataques devastadores. (Gian, 2018).

Por esta razón, el enfoque en ciberseguridad debe trascender el hardware y el software, poniendo énfasis en el fortalecimiento de la capa 8. Esto implica educar, capacitar y sensibilizar a las personas para que no solo reconozcan las amenazas, sino que también desarrollen habilidades críticas para neutralizarlas.

Implica construir una cultura de ciberseguridad donde cada persona, desde el usuario más básico hasta el ejecutivo más experimentado, comprenda su papel y responsabilidad en la defensa de la información y se conviertan en «activos de seguridad». De este modo, la seguridad deja de ser únicamente una cuestión técnica y se convierte en un esfuerzo colaborativo, con el humano como el primer eslabón en una cadena de protección verdaderamente robusta. Aquí es donde los protocolos HUMINT se convierten en un pilar clave. (Wilson, 2020).

Estos protocolos requieren un enfoque sistemático que combine habilidades humanas, procedimientos técnicos y un sólido marco ético; incluyendo un profundo conocimiento cultural y psicológico del entorno. Para comenzar, es esencial definir objetivos claros que alineen la recopilación de inteligencia humana con las necesidades específicas de ciberseguridad, como la prevención de ataques de ingeniería social, la detección de amenazas internas o el rastreo de actores maliciosos en entornos digitales. La selección y capacitación del personal es un paso crítico, ya que el equipo HUMINT debe incluir profesionales capacitados en análisis de comportamiento, negociación y ciberseguridad, además de contar con formación en técnicas avanzadas de recopilación y manejo de información confidencial.

La gestión de fuentes humanas es otro pilar fundamental, incluye identificar, evaluar y mantener relaciones con insiders, informantes o colaboradores externos que puedan proporcionar información relevante. Para recopilar datos, los protocolos HUMINT deben apoyarse en entrevistas estructuradas, observación directa, infiltración en comunidades digitales y encuestas internas diseñadas cuidadosamente para no comprometer la privacidad ni generar desconfianza. Asimismo, la integración de HUMINT con herramientas tecnológicas de ciberseguridad, como sistemas de análisis de patrones y alertas automatizadas, permite validar y enriquecer la información obtenida.

El análisis y procesamiento de la información recolectada es clave para convertirla en inteligencia accionable; contrastar datos mediante triangulación, identificar patrones sospechosos y generar reportes útiles para la toma de decisiones. Todo el proceso debe desarrollarse dentro de un marco ético y legal, respetando regulaciones como el GDPR y asegurando la confidencialidad de las fuentes. Finalmente, los protocolos deben evaluarse y mejorarse continuamente mediante auditorías y ajustes estratégicos, garantizando que la organización esté preparada para enfrentar amenazas emergentes. Al adoptar este enfoque integral, las organizaciones pueden fortalecer su capacidad para anticipar y mitigar riesgos, convirtiendo al factor humano de una debilidad potencial en un pilar clave de la ciberseguridad.

Aunque tradicionalmente estos protocolos han estado más asociados con entidades gubernamentales e inteligencia estatal, las empresas pueden y deben aplicar protocolos HUMINT adaptados a su contexto, especialmente si enfrentan riesgos significativos de ciberseguridad. La adopción por parte de empresas privadas depende de sus necesidades, recursos y del marco ético y legal bajo el cual operan y pueden concentrarse en los siguientes elementos:

Prevención de amenazas internas (Insider Threats):
Identificación de empleados descontentos o vulnerables que puedan filtrar información sensible o colaborar con actores externos. Esto incluye la implementación de canales de comunicación confidenciales y entrevistas estratégicas.

Protección contra ataques de ingeniería social:
Los atacantes a menudo usan ingeniería social para obtener acceso a sistemas empresariales. Un protocolo HUMINT puede ayudar a las empresas a comprender cómo operan estos actores y a educar a los empleados sobre los riesgos.
Investigación de ciberamenazas externas:

Empresas en sectores críticos, como tecnología, finanzas o infraestructura, pueden emplear HUMINT para infiltrarse en foros de la dark web donde se comercian datos robados o se planean ataques específicos.

Evaluación de socios y proveedores:
Evaluar riesgos asociados con terceros que manejan datos sensibles o acceden a los sistemas empresariales.
Recopilación de inteligencia competitiva ética:
Sin cruzar líneas legales o éticas, las empresas pueden utilizar HUMINT para entender tendencias de la industria y anticiparse a los movimientos de la competencia.

Así, la integración de HUMINT en estrategias de ciberseguridad representa una oportunidad para fortalecer la protección de activos digitales y humanos en un entorno cada vez más vulnerable; pero, implica retos relacionados con la confidencialidad y seguridad de las fuentes humanas, debiendo respetar los principios de transparencia, consentimiento informado y propósito legítimo en el tratamiento de datos.

Bibliografía:
Arreola García, A. (2019). Ciberseguridad: ¿Por qué es importante para todos?. Ciudad de México: Siglo XXI Editores.
Giant, N. (2018). Ciberseguridad para la i-generación: Usos y riesgos de las redes sociales y sus aplicaciones. Madrid: Narcea Ediciones.
Wilson, O. (2020). Intelligence Gathering: Front Line HUMINT Considerations (Hostile Environment Risk Management).

Karla Patricia Alas | Socia y Managing Partner de Estudio Kapadu Tech and Law Firm

A partir de ahora, El Salvador cuenta con el mecanismo legal y la institucionalidad, que definirá líneas de acción, y políticas de protección para estructurar, regular, auditar y fiscalizar las medidas de ciberseguridad en poder de las instituciones estatales que son en primera medida, los organismos obligados a cumplir y velar por lo establecido en la ley.

El pasado mes de noviembre de 2024, fueron aprobadas dos iniciativas de ley, por parte de la Asamblea Legislativa, que, hasta entonces, era una tarea pendiente para El Salvador y me refiero a la Ley de Ciberseguridad y Seguridad de la información, así como la Ley de Protección de Datos Personales, ya ambas publicadas en el Diario Oficial de fecha 15 de Noviembre de este 2024 y por lo tanto ya leyes de la República pues entraron en vigencia, 8 días después de su publicación.

En este artículo me referiré a la nueva Ley de Ciberseguridad, con la que se espera alcanzar un hito fundamental, en el esfuerzo que nuestro país estará haciendo para asegurar la infraestructura crítica de la información, así como la mejora, la coordinación, prevención y respuesta ante incidentes de ciberseguridad.

Hasta antes esto, era frecuente escuchar algunas fallas y brechas de seguridad de la información que están afectando a instituciones del Estado. Cierto o no, ha habido mucha especulación sobre el tema, y con ello aumento de zozobra, incertidumbre, malestar y miedo, ya que por qué no decirlo, son sentimientos latentes ante una población desprotegida hasta entonces, por la falta de regulación, ya que la información hoy por hoy es un intangible demasiado valioso y costoso en recuperar.

A partir de ahora, El Salvador cuenta con el mecanismo legal y la institucionalidad, que definirá líneas de acción, y políticas de protección para estructurar, regular, auditar y fiscalizar las medidas de ciberseguridad en poder de las instituciones estatales que son en primera medida, los organismos obligados a cumplir y velar por lo establecido en la ley.
Y en efecto, la ley debía definir por lo menos, los principios con los cuales estructurar, regular y coordinar las acciones de ciberseguridad y así prevenir las actividades relacionadas a la ciberdelincuencia.

¿Quiénes son en consecuencia los entes obligados a cumplir con la ley?

Son todos los órganos de gobierno, sus dependencias y las instituciones oficiales autónomas las municipales. Pero será obligada cualquier entidad u organismo, independientemente de su forma naturaleza o situación jurídica mediante las cuales se administran recursos públicos, bienes del estado o ejecuten actos de administración pública en general y que posean incidencia en la infraestructura crítica del Estado, incluyendo a todos los servidores públicos dentro o fuera del territorio de la República y las personas que elaboran en entidades ya mencionadas.

Importante esta aclaración porque pareciera que lo privado queda totalmente ajeno a esto, sin embargo, es ilógico pensar de esta forma. Y por ello no podemos decir que esta ley no impacta, pues nadie está exento de un incidente informático hoy día, y menos podemos alegar ignorancia de ley, y lo que sí es factible, es que una brecha de seguridad puede llegar por cualquier frente, ya sea desde una broma, una curiosidad, o con premeditación, alevosía y ventaja.

La ley considera como recursos públicos para este tópico, aquellos fondos procedentes de convenios o tratados internacionales con otros países u organismos que determinen requisitos en materia de ciberseguridad, y para es necesario implementar normativas, protocolos, lineamientos estándares y criterios técnicos que cuenten con el reconocimiento de la industria, ya sea por sus aportes a la estandarización del rubro en cuestión o que cuenten con experiencia probada a nivel internacional, siempre que esté demostrada la funcionalidad eficiencia y beneficio de dicho requerimientos o estándares en materia de ciberseguridad y seguridad de la información.

De ahí que es determinante contar con socios estratégicos, o implementar buenas prácticas que dentro de la industria de la seguridad de la información se han ejecutado y tener alianzas con terceros expertos, siendo ello clave para la consecución de este fin.
Si notamos el alcance es gigante, y otros países como por ejemplo Chile, al momento de definir sus políticas y marcos regulatorios se definieron servicios esenciales y operadores de importancia vital públicos y privados, así como se han analizado y considerado otros posibles afectados, para que el riesgo de incumplimiento sea lo menos posible.

¿Quién será la Agencia de Ciberseguridad del Estado?

Surge la necesidad de crear al ente regulador, a ser ejercido por la Agencia de Ciberseguridad del Estado, quien tendrá la obligación de garantizar la seguridad informática de los ciudadanos.
La Agencia de Ciberseguridad del Estado (en adelante ACE), será una dependencia del Estado con diferentes y variadas funciones entre ellas:

• Elaborar la política de ciberseguridad y seguridad de la información de la Nación que contiene los lineamientos y planes de acción.
• Emitir normas protocolos lineamientos estándares y criterios técnicos tanto generales como específicos basados en buenas prácticas y marcos de referencia internacional en materia de ciberseguridad
• Implementar programas de acción para responder ante amenazas o incidentes de seguridad que involucran a los sujetos obligados.
• Requerir a las entidades obligadas donde estas se hayan visto afectadas en sus sistemas informáticos equipos o infraestructuras por un incidente de ciberseguridad y ejecutará las acciones que sean necesarias para el cumplimiento de sus fines.
• 
  Surge a partir de este momento la atribución de crear un registro Nacional de amenazas e incidentes, así como calificar mediante resolución fundamentada a los operadores de infraestructuras críticas y someterlo a ratificación del Presidente de la República.
• 
  La ACE podrá retirar la calificación de los operadores de infraestructuras críticas si no cumplen con sus funciones y someterlo a ratificación del Presidente, así como podrá requerir a las entidades obligadas, que entreguen a los potenciales afectados o autoridades de investigación, información veraz sobre lo ocurrido y diseñar o implementar planes y campañas de formación ciudadana para fortalecer los pilares de la ciberseguridad.
• 
  Todo lo anterior en concordancia con la Política de Ciberseguridad y Seguridad de Información de la Nación, por ello deberá elaborar normativas, protocolos lineamientos estándares y criterios técnicos tanto generales como específicos en materia de ciberseguridad a más tardar 90 días contados a partir de la vigencia de la ley.
• 
  Además, la ACE, creará e implementará los programas de acción necesarios para responder ante las amenazas o incidentes de ciberseguridad y seguridad de la información que involucren a los sujetos obligados por la presente ley. De la misma manera, la entidad creará y administrará un Registro Nacional de Amenazas e Incidentes de Ciberseguridad.
• 
  La ACE puede tomar medidas adicionales y ordenar al infractor que adopte aquellas que fueran necesarias para restablecer la legalidad e incluso puede imponer multas coercitivas.
  La ACE tendrá un Director General y un Director de Ciberseguridad y Seguridad de la Información y las dependencias o unidades administrativas que establezca su reglamento interno y éste último al ser nombrado, asistirá al Director General en el ejercicio de sus atribuciones y facultades, en cumplimiento de la ley.
• 
  El patrimonio de la ACE será constituido por recursos que el Estado le dé, las asignaciones que anualmente se establezcan en presupuestos especiales, recursos que reciba en virtud de programas de asistencia de gobiernos u organismos nacionales e internacionales, bienes muebles e inmuebles que adquiera a cualquier título y estará sujeto a la fiscalización de la Corte de Cuentas de la República.
• 
  La ley no es muy grande, pero define inicialmente, los principios rectores, infracciones y sanciones en caso de incumplimiento, el procedimiento sancionador que se estará promoviendo en estos casos. Vale decir que las sanciones e infracciones definidas en la ley, prescribirán a los 5 años.
  Contar con una ley no es suficiente y son necesarias muchas iniciativas, pero aplaudo el hecho de que tengamos por fin un primer esfuerzo y de ahí que, los actores inmersos estos temas, debemos apoyar, ya que sumándolos todos, hacemos ciberseguridad.

El año 2024 ha sido trascendental para AFP CONFIA, pues fue el escenario de su evolución. Su imagen corporativa renovada reafirmó su liderazgo, su compromiso con la excelencia y su enfoque en brindar soluciones innovadoras a sus clientes. Bajo el lema “CONFIA siempre en tu futuro”, la compañía consolidó su posición como líder en el sector previsional salvadoreño.
“Esta transformación refleja nuestro firme compromiso con la excelencia y el servicio. Como parte del Grupo Financiero Atlántida, con una plataforma tecnológica renovada y el respaldo de un equipo altamente capacitado, reafirmamos la convicción y dedicación de cuidar el presente, mientras construimos, junto a nuestros afiliados, un futuro sólido y seguro. Este será nuestro principal enfoque en 2025”, aseguró René Hernández, Director de Comunicaciones y Mercadeo de AFP CONFIA.

Una imagen renovada para un futuro sólido
Este año, AFP CONFIA dio un paso importante al presentar su renovada imagen corporativa, un cambio visual que refleja su compromiso con la evolución, la excelencia y la innovación. Basada en tres pilares fundamentales: confianza, cercanía y compromiso, la Administradora modernizó su presencia en el mercado, y consiguió resaltar la adaptabilidad y visión de futuro de la empresa.
Además, con este cambio, CONFIA reafirmó su liderazgo en el sector previsional y su dedicación a construir un futuro sólido para sus afiliados, manteniendo siempre un enfoque centrado en la calidad del servicio y la satisfacción del cliente.

1. Confianza: respaldo por 26 años de liderazgo
   Con una trayectoria de más de 26 años en el sector previsional, la empresa ha sido un referente en El Salvador y la región, gestionando el mayor fondo de pensiones de Centroamérica y el Caribe. Esta confianza se fortalece aún más con su pertenencia al Grupo Financiero Atlántida, una organización financiera con más de 111 años de experiencia y un sólido liderazgo. El compromiso de CONFIA de cuidar el futuro de sus más de 1.8 millones de afiliados queda reflejado en cada aspecto de la renovación de su marca.
2. Cercanía: con un enfoque cada vez más cercano al cliente
   El segundo pilar es la cercanía, un valor esencial que impulsa la conexión directa y personal con los afiliados y pensionados. La nueva imagen refleja este esfuerzo por brindar un servicio más cercano, basado en la atención personalizada y la proximidad en las relaciones. CONFIA ha transformado la manera en que interactúa con sus clientes mediante la adopción de soluciones digitales, permitiendo a los afiliados realizar trámites de manera ágil, segura y desde cualquier lugar, a través de canales como la AFP CONFIA APP, mensajería instantánea y un renovado sitio web.
3. Compromiso: con un equipo altamente capacitado y una visión de futuro
   El tercer pilar es el compromiso, que se manifiesta en el equipo profesional de CONFIA, siempre preparado para ofrecer un servicio excepcional. La renovación de la imagen también refleja el enfoque de la empresa en la capacitación continua de su personal, asegurando que los colaboradores estén a la vanguardia en temas de inversión y gestión de fondos de pensiones. El ambiente laboral positivo y colaborativo fomenta la innovación y el desarrollo profesional, lo que se traduce en un servicio de alta calidad y soluciones personalizadas para los clientes.
   CONFIA reafirma su propósito de seguir construyendo un futuro sólido y seguro para sus afiliados, garantizando un servicio de excelencia y manteniendo su liderazgo en el sector previsional.
   Para conocer más sobre CONFIA, visita www.confia.com o búscalos en sus redes sociales como AFP CONFIA. Conoce más sobre Grupo Financiero Atlántida en www.grupofinancieroatlantida.com

El Salvador experimentó un notable incremento en la llegada de turistas durante las festividades de fin de año. Según el Ministerio de Turismo (Mitur), entre el 21 y el 31 de diciembre de 2024, el país recibió a 172,000 visitantes internacionales, lo que representa un aumento del 46 % en comparación con el mismo periodo de 2023, cuando fueron 110,000 los turistas que arribaron al país.
Este aumento refleja una tendencia positiva para el sector turístico de El Salvador. En términos generales, en 2024 el país alcanzó la cifra récord de 3,956,794 turistas internacionales, lo que significó un incremento de 582,615 visitantes más que en 2023, cuando la cifra fue de 3,374,179.
De los turistas que llegaron en diciembre de 2024, un 34 % provino de Estados Unidos, y otro 34% de Guatemala, principalmente para disfrutar de las celebraciones navideñas y de fin de año en el país. Además, el 18 % de los visitantes llegaron desde Honduras y un 14 % desde otras partes del mundo.
La mayoría de los turistas (60 %) optó por ingresar al país por vía terrestre, mientras que el 40 % restante utilizó el transporte aéreo.
Estos datos reflejan la preferencia por las rutas terrestres, especialmente entre los visitantes procedentes de los países vecinos como Guatemala y Honduras.
El impacto del turismo se sintió también en los principales destinos del país.
Durante la última semana de diciembre, alrededor de 1.4 millones de personas visitaron parques nacionales y playas salvadoreñas.
De este total, 696,000 personas recorrieron el Centro Histórico de San Salvador, 326,000 disfrutaron de otros sitios turísticos públicos, 212,000 se dirigieron a las playas, 155,000 exploraron sitios culturales y 14,000 visitaron áreas naturales protegidas.
En cuanto a los sitios más concurridos, el Complejo Turístico del Puerto de La Libertad fue el lugar más visitado, seguido por la Biblioteca Nacional de El Salvador (Binaes), ubicada en el Centro Histórico de San Salvador. En tercer lugar se ubicó Sunset Park, en La Libertad. Otros lugares destacados fueron el Parque Natural Cerro Verde, en Santa Ana, y el Parque Natural Balboa, en Los Planes de Renderos, San Salvador.