Posted on

Ciberseguridad en la República Dominicana: Amenazas, Avances y Desafíos Pendientes

ciber, ciberseguridad, hackers, inteligencia, contrainteligencia, amenaza cibernetica, C. Constantin Poindexter Salcedo, Republica Dominicana

Mi análisis del Informe de Ciberseguridad 2025 del BID-OEA y un chin de información de fuentes complementarias

La transformación digital de América Latina y el Caribe ha generado oportunidades económicas sin precedentes, pero también ha ampliado significativamente la superficie de ataque cibernético de la región. Según el Informe de Ciberseguridad 2025: Desafíos de Vulnerabilidad y Madurez para Cerrar las Brechas en América Latina y el Caribe, elaborado por el Banco Interamericano de Desarrollo (BID), el Comité Interamericano contra el Terrorismo de la Organización de los Estados Americanos (OEA-CICTE) y el Centro Global de Capacidad en Ciberseguridad de la Universidad de Oxford, la República Dominicana se encuentra entre los países caribeños con mayor madurez en ciberseguridad, junto con Jamaica y Trinidad y Tobago (BID y OEA-CICTE, 2025, pp. 89–93). No obstante, esta posición de relativo liderazgo regional no debe enmascarar las vulnerabilidades persistentes que enfrenta el país. He aquí mis pensamientos sobre las amenazas cibernéticas que confronta la República Dominicana, los pasos concretos que ha dado para fortalecer su postura de ciberseguridad y las áreas en las que sus esfuerzos han resultado insuficientes.

El panorama de amenazas cibernéticas

La República Dominicana enfrenta un panorama de amenazas cibernéticas diverso y en constante evolución. Según datos de FortiGuard Labs, el país registró aproximadamente 470 millones de intentos de ciberataques en el primer semestre de 2023, una cifra que, aunque sustancialmente menor a los cerca de 5.000 millones reportados en 2022, refleja la persistencia de actores maliciosos en el entorno digital dominicano (FortiGuard Labs, 2023). En el Índice Global de Cibercrimen, que abarca 93 países, la República Dominicana ocupa la posición 48 entre las naciones más atacadas (FortiGuard Labs, 2023).

Los ataques de ransomware constituyen una de las amenazas más graves. En agosto de 2022, el Instituto Agrario Dominicano (IAD) fue víctima de un ataque del grupo Quantum ransomware que cifró cuatro servidores físicos y ocho virtuales, comprometiendo bases de datos, correos electrónicos y aplicaciones críticas. Los atacantes exigieron un rescate de 600.000 dólares que la institución no pudo ni quiso pagar (BleepingComputer, 2022; The Record, 2022). Posteriormente, en 2023, el grupo Rhysida atacó la Dirección General de Migración, sustrayendo datos confidenciales del sistema migratorio del país (The Record, 2023). Estos incidentes no son aislados: entre 2020 y agosto de 2022, al menos 18 entidades públicas dominicanas fueron impactadas por ciberataques, incluyendo la Dirección General de Presupuesto y el Instituto Dominicano de Telecomunicaciones (FortiGuard Labs, 2023).

Más allá del ransomware, el país enfrenta campañas de phishing dirigidas al sector bancario, ataques de malware a infraestructuras gubernamentales y amenazas emergentes vinculadas a la inteligencia artificial. Tapia y Castanho (2023) documentan que en 2018 el Banco Central de la República Dominicana fue blanco de un ataque de ransomware que causó interrupciones significativas, y que en 2020 un hospital del Ministerio de Salud Pública sufrió un ataque similar que resultó en la pérdida de registros médicos de pacientes. El informe BID-OEA 2025 subraya que la adopción acelerada de la inteligencia artificial está transformando el panorama de amenazas, amplificando riesgos existentes y creando nuevas vulnerabilidades que requieren marcos de gobernanza actualizados (BID y OEA-CICTE, 2025, p. 11).

Avances institucionales y estratégicos

A pesar de las amenazas, la República Dominicana ha demostrado un compromiso sostenido con el fortalecimiento de su ciberseguridad nacional. El informe BID-OEA 2025 documenta avances significativos en las cinco dimensiones del Modelo de Madurez de Capacidad en Ciberseguridad (CMM) entre 2020 y 2025.

En el plano estratégico, el país aprobó su primera Estrategia Nacional de Ciberseguridad (ENCS) mediante el Decreto 230-18, con cuatro pilares fundamentales: fortalecimiento del marco legal e institucional, protección de infraestructuras críticas, educación y cultura de ciberseguridad, y alianzas nacionales e internacionales (Consejo de Europa, 2023). Esta estrategia fue actualizada y extendida hasta 2030 mediante el Decreto 313-22, incorporando un Plan de Implementación 2022–2024 con seis objetivos clave, entre ellos el fortalecimiento de capacidades institucionales, la protección de infraestructuras críticas y el avance de la investigación en ciberseguridad (BID y OEA-CICTE, 2025, pp. 89–90).

Institucionalmente, el Centro Nacional de Ciberseguridad (CNCS), creado como dependencia del Ministerio de la Presidencia, coordina los esfuerzos nacionales consultando activamente con los sectores público y privado, la academia y la sociedad civil. En 2024, el CNCS fue integrado al Departamento Nacional de Investigaciones, donde se incorporó al iSOC para el intercambio de inteligencia sobre amenazas, desarrollando capacidades de monitoreo, detección y respuesta a incidentes a través de su Centro de Operaciones de Seguridad (BID y OEA-CICTE, 2025, p. 89). Además, el CNCS adoptó soluciones de Microsoft, incluyendo Dynamics 365, Azure Sentinel y Azure Data Explorer, logrando que el proceso de gestión de incidentes fuera cuatro veces más rápido que al inicio de su implementación (Microsoft, 2023).

En el ámbito legal, la Ley 53-07 sobre Crímenes y Delitos de Alta Tecnología cubre la mayoría de las infracciones contempladas en la Convención de Budapest, de la cual la República Dominicana fue el primer país de América Latina y el Caribe en ratificar, en febrero de 2013 (Consejo de Europa, 2023). El Decreto 685-22 sobre Protección de Infraestructuras Críticas Nacionales obliga a los operadores a reportar incidentes dentro de un plazo de 24 horas (BID y OEA-CICTE, 2025, p. 89). La Ley 172-13 de Protección de Datos Personales establece el régimen de tratamiento de datos, aunque con limitaciones significativas que se discutirán más adelante.

En materia de cooperación internacional, el país participa activamente en el Comité Ad Hoc de las Naciones Unidas sobre Cibercrimen, la Iniciativa Contra el Ransomware (CRI), los programas GLACY+ y GLACY-e del Consejo de Europa, y fue recientemente seleccionado como miembro de la Junta Directiva del Foro de Equipos de Respuesta a Incidentes de Seguridad (FIRST) (BID y OEA-CICTE, 2025, p. 90). Asimismo, el país alberga el Centro de Capacidad Cibernética LAC4 para América Latina y el Caribe, un hub regional de ciberseguridad con apoyo de la Unión Europea (BID y OEA-CICTE, 2025, p. 90).

En educación y capacitación, instituciones como INTEC, UNPHU e ITLA ofrecen programas de maestría y tecnicatura en ciberseguridad, y el CNCS realiza campañas mensuales de concientización sobre temas como la autenticación multifactor y la participación de mujeres en ciberseguridad (BID y OEA-CICTE, 2025, pp. 89–90). La inversión total en proyectos estratégicos de desarrollo digital con el BID supera los 200 millones de dólares (BID y OEA-CICTE, 2025, p. 89).

Deficiencias y desafíos pendientes

No obstante los avances que he descrito, el análisis del informe BID-OEA 2025 y de fuentes complementarias revela áreas críticas en las que la República Dominicana ha fallado en actuar con la celeridad o profundidad necesarias.

La deficiencia más notable es la ausencia de una ley integral de ciberseguridad. Aunque existe un proyecto de ley de gestión de ciberseguridad que ha pasado dos lecturas en el Senado, este aún no ha sido programado para discusión en la Cámara de Diputados (FortiGuard Labs, 2023). La regulación vigente descansa fundamentalmente en decretos ejecutivos, lo que genera fragilidad jurídica, pues un decreto puede ser derogado por el siguiente gobierno sin intervención legislativa. La firma legal Troncoso y Cáceres (2023) señala que, pese a los esfuerzos por crear un ciberespacio seguro durante más de quince años, el país necesita fortalecer significativamente su capacidad para enfrentar ciberamenazas mediante instrumentos legislativos formales.

En materia de protección de datos personales, la Ley 172-13 presenta vacíos significativos. Según Victoria (2024), esta ley tiene un enfoque completamente análogo que no ha tomado en cuenta que el flujo de datos personales se centra hoy en el mundo digital. No existe una autoridad supervisora o reguladora dedicada exclusivamente a la protección de datos: la Superintendencia de Bancos solo supervisa las infracciones por parte de los burós de crédito, dejando al resto del ecosistema digital sin supervisión adecuada (DLA Piper, 2025). La revisión de proyectos de ley que buscan alinear la normativa dominicana con instrumentos internacionales como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea sigue pendiente.

Las matrices de madurez del informe BID-OEA 2025 revelan otras debilidades específicas. En la Dimensión 1 (Política y Estrategia), la coordinación en respuesta a incidentes y el modo de operación de los CSIRT muestran estancamiento en niveles formativos. En la Dimensión 2 (Cultura y Sociedad), la confianza de los usuarios en los servicios de comercio electrónico y gobierno electrónico no alcanza los niveles más avanzados. En la Dimensión 5 (Estándares y Tecnologías), la calidad del software, el seguro cibernético y la divulgación responsable de vulnerabilidades se encuentran en etapas incipientes (BID y OEA-CICTE, 2025, pp. 91–93). Ninguna dimensión ha alcanzado el nivel “Dinámico”, el más alto del modelo CMM (ICT Pulse, 2026).

La coordinación entre agencias gubernamentales sigue siendo un desafío persistente. Como señala un análisis de LinkedIn (2018), las agencias estatales y el sector público dominicano históricamente han fallado en coordinar sus esfuerzos de ciberseguridad. Aunque el CNCS ha mejorado esta situación, la integración efectiva entre todas las entidades públicas, el sector privado y la sociedad civil sigue siendo una tarea inconclusa. La falta de un mercado robusto de ciberseguridad y la limitada adopción de seguros cibernéticos reflejan una brecha entre la política declarada y la práctica empresarial.

Lo que más me concierne es la escasez de profesionales capacitados en ciberseguridad. Es un desafío compartido con toda la región, pero particularmente agudo en un país insular que compite con partes más grandes por el talento disponible. Sí, existen programas académicos, pero la demanda supera significativamente la oferta, y la investigación e innovación en ciberseguridad permanecen en etapas tempranas de desarrollo (BID y OEA-CICTE, 2025, p. 92).

La República Dominicana ha logrado posicionarse como uno de los países con mayor madurez en ciberseguridad del Caribe. Gozamos del respaldo de una estrategia nacional actualizada, un centro de ciberseguridad operativo, un marco legal básico contra el cibercrimen y una activa participación en foros internacionales. Sin embargo, la ausencia de una ley integral de ciberseguridad aprobada por el poder legislativo, las deficiencias en la protección de datos personales, la limitada adopción de estándares avanzados por parte del sector privado y la escasez de capital humano especializado constituyen vulnerabilidades que los actores maliciosos pueden y han explotado con consecuencias significativas. El camino hacia una ciberseguridad verdaderamente robusta exige que nuestro Estado trascienda el nivel de los decretos ejecutivos y las estrategias declarativas para consolidar un ecosistema de ciberseguridad respaldado por legislación vinculante, instituciones supervisoras autónomas e inversión sostenida en capital humano e innovación tecnológica.

C. Constantin Poindexter Salcedo, M.A. en Inteligencia, Certificado de Posgrado en Contrainteligencia, J.D., certificación CISA/NCISS OSINT, Certificación U.S. DoD/DoS BFFOC, Dipl. Diplomacia Global, Dipl. Derechos Humanos por USIDHR

Referencias bibliográficas

  • Banco Interamericano de Desarrollo y OEA-CICTE. (2025). 2025 Cybersecurity Report: Vulnerability and Maturity Challenges to Bridging the Gaps in Latin America and the Caribbean. Washington, D.C.: BID. https://publications.iadb.org/en/2025-cybersecurity-report
  • BleepingComputer. (2022, septiembre 6). Quantum ransomware attack disrupts govt agency in Dominican Republic. BleepingComputer. https://www.bleepingcomputer.com/news/security/quantum-ransomware-attack-disrupts-govt-agency-in-dominican-republic/
  • Consejo de Europa. (2023). Dominican Republic – Octopus Cybercrime Community. https://www.coe.int/en/web/octopus/-/dominican-republic
  • Digital Watch Observatory. (2025). Dominican Republic’s national cybersecurity strategy 2030. https://dig.watch/resource/dominican-republics-national-cybersecurity-strategy-2030
  • DLA Piper. (2025). Data Protection Laws of the World: Dominican Republic. https://www.dlapiperdataprotection.com/?t=law&c=DO
  • FortiGuard Labs. (2023). Global Threat Panorama in Latin America (H1 2023). Citado en Dominican Today, 13 de octubre de 2023. https://dominicantoday.com/dr/economy/2023/10/13/dominican-republic-receives-fewer-cyber-attacks-this-year-compared-to-2022/
  • ICT Pulse. (2026, enero 9). Snapshot: 2025 update of cybersecurity maturity in the Caribbean. https://ict-pulse.com/2026/01/snapshot-2025-update-of-cybersecurity-maturity-in-the-caribbean/
  • Microsoft. (2023). Dominican Republic repels cyberattacks with help from Microsoft Dynamics 365 and Microsoft Azure. Microsoft Customer Stories. https://www.microsoft.com/en/customers/story/1800793600315556707-cncs-azure-data-explorer-en-dominican-republic
  • Morillo Suriel Abogados. (2025). Data protection in the Dominican Republic. https://morillosurielabogados.com/en/data-protection-in-the-dominican-republic/
  • Positive Technologies. (2025). Cybersecurity threatscape for Latin America and the Caribbean: 2023–2024. https://global.ptsecurity.com/en/research/analytics/cybersecurity-threatscape-for-latin-america-and-the-caribbean-2023-2024/
  • Tapia, J. y Castanho, R. (2023). Cybersecurity and Geopolitics in the Dominican Republic: Threats, Policies and Future Prospects. Dutch Journal of Finance and Management, 6(1). https://doi.org/10.55267/djfm/13421
  • The Record. (2022, agosto 30). Dominican Republic refuses to pay ransom after attack on agrarian institute. Recorded Future News. https://therecord.media/dominican-republic-refuses-to-pay-ransom-after-attack-on-agrarian-institute
  • The Record. (2023, octubre 4). Rhysida ransomware gang claims attacks on governments in Portugal, Dominican Republic. Recorded Future News. https://therecord.media/rhysida-ransomware-gang-attacks-on-portugal-dominican-republic-governments
  • Troncoso y Cáceres. (2023). Law Project on Cybersecurity. https://troncoso-caceres.com/en/blog/law-project-on-cybersecurity/
  • Victoria, A. (2024, septiembre 6). Data Protection & Cybersecurity: The Need for a New Data Protection Law. ECIJA. https://ecija.com/en/sala-de-prensa/data-protection-cybersecurity-aristides/