Posted on

Ciberseguridad en la República Dominicana: Amenazas, Avances y Desafíos Pendientes

ciber, ciberseguridad, hackers, inteligencia, contrainteligencia, amenaza cibernetica, C. Constantin Poindexter Salcedo, Republica Dominicana

Mi análisis del Informe de Ciberseguridad 2025 del BID-OEA y un chin de información de fuentes complementarias

La transformación digital de América Latina y el Caribe ha generado oportunidades económicas sin precedentes, pero también ha ampliado significativamente la superficie de ataque cibernético de la región. Según el Informe de Ciberseguridad 2025: Desafíos de Vulnerabilidad y Madurez para Cerrar las Brechas en América Latina y el Caribe, elaborado por el Banco Interamericano de Desarrollo (BID), el Comité Interamericano contra el Terrorismo de la Organización de los Estados Americanos (OEA-CICTE) y el Centro Global de Capacidad en Ciberseguridad de la Universidad de Oxford, la República Dominicana se encuentra entre los países caribeños con mayor madurez en ciberseguridad, junto con Jamaica y Trinidad y Tobago (BID y OEA-CICTE, 2025, pp. 89–93). No obstante, esta posición de relativo liderazgo regional no debe enmascarar las vulnerabilidades persistentes que enfrenta el país. He aquí mis pensamientos sobre las amenazas cibernéticas que confronta la República Dominicana, los pasos concretos que ha dado para fortalecer su postura de ciberseguridad y las áreas en las que sus esfuerzos han resultado insuficientes.

El panorama de amenazas cibernéticas

La República Dominicana enfrenta un panorama de amenazas cibernéticas diverso y en constante evolución. Según datos de FortiGuard Labs, el país registró aproximadamente 470 millones de intentos de ciberataques en el primer semestre de 2023, una cifra que, aunque sustancialmente menor a los cerca de 5.000 millones reportados en 2022, refleja la persistencia de actores maliciosos en el entorno digital dominicano (FortiGuard Labs, 2023). En el Índice Global de Cibercrimen, que abarca 93 países, la República Dominicana ocupa la posición 48 entre las naciones más atacadas (FortiGuard Labs, 2023).

Los ataques de ransomware constituyen una de las amenazas más graves. En agosto de 2022, el Instituto Agrario Dominicano (IAD) fue víctima de un ataque del grupo Quantum ransomware que cifró cuatro servidores físicos y ocho virtuales, comprometiendo bases de datos, correos electrónicos y aplicaciones críticas. Los atacantes exigieron un rescate de 600.000 dólares que la institución no pudo ni quiso pagar (BleepingComputer, 2022; The Record, 2022). Posteriormente, en 2023, el grupo Rhysida atacó la Dirección General de Migración, sustrayendo datos confidenciales del sistema migratorio del país (The Record, 2023). Estos incidentes no son aislados: entre 2020 y agosto de 2022, al menos 18 entidades públicas dominicanas fueron impactadas por ciberataques, incluyendo la Dirección General de Presupuesto y el Instituto Dominicano de Telecomunicaciones (FortiGuard Labs, 2023).

Más allá del ransomware, el país enfrenta campañas de phishing dirigidas al sector bancario, ataques de malware a infraestructuras gubernamentales y amenazas emergentes vinculadas a la inteligencia artificial. Tapia y Castanho (2023) documentan que en 2018 el Banco Central de la República Dominicana fue blanco de un ataque de ransomware que causó interrupciones significativas, y que en 2020 un hospital del Ministerio de Salud Pública sufrió un ataque similar que resultó en la pérdida de registros médicos de pacientes. El informe BID-OEA 2025 subraya que la adopción acelerada de la inteligencia artificial está transformando el panorama de amenazas, amplificando riesgos existentes y creando nuevas vulnerabilidades que requieren marcos de gobernanza actualizados (BID y OEA-CICTE, 2025, p. 11).

Avances institucionales y estratégicos

A pesar de las amenazas, la República Dominicana ha demostrado un compromiso sostenido con el fortalecimiento de su ciberseguridad nacional. El informe BID-OEA 2025 documenta avances significativos en las cinco dimensiones del Modelo de Madurez de Capacidad en Ciberseguridad (CMM) entre 2020 y 2025.

En el plano estratégico, el país aprobó su primera Estrategia Nacional de Ciberseguridad (ENCS) mediante el Decreto 230-18, con cuatro pilares fundamentales: fortalecimiento del marco legal e institucional, protección de infraestructuras críticas, educación y cultura de ciberseguridad, y alianzas nacionales e internacionales (Consejo de Europa, 2023). Esta estrategia fue actualizada y extendida hasta 2030 mediante el Decreto 313-22, incorporando un Plan de Implementación 2022–2024 con seis objetivos clave, entre ellos el fortalecimiento de capacidades institucionales, la protección de infraestructuras críticas y el avance de la investigación en ciberseguridad (BID y OEA-CICTE, 2025, pp. 89–90).

Institucionalmente, el Centro Nacional de Ciberseguridad (CNCS), creado como dependencia del Ministerio de la Presidencia, coordina los esfuerzos nacionales consultando activamente con los sectores público y privado, la academia y la sociedad civil. En 2024, el CNCS fue integrado al Departamento Nacional de Investigaciones, donde se incorporó al iSOC para el intercambio de inteligencia sobre amenazas, desarrollando capacidades de monitoreo, detección y respuesta a incidentes a través de su Centro de Operaciones de Seguridad (BID y OEA-CICTE, 2025, p. 89). Además, el CNCS adoptó soluciones de Microsoft, incluyendo Dynamics 365, Azure Sentinel y Azure Data Explorer, logrando que el proceso de gestión de incidentes fuera cuatro veces más rápido que al inicio de su implementación (Microsoft, 2023).

En el ámbito legal, la Ley 53-07 sobre Crímenes y Delitos de Alta Tecnología cubre la mayoría de las infracciones contempladas en la Convención de Budapest, de la cual la República Dominicana fue el primer país de América Latina y el Caribe en ratificar, en febrero de 2013 (Consejo de Europa, 2023). El Decreto 685-22 sobre Protección de Infraestructuras Críticas Nacionales obliga a los operadores a reportar incidentes dentro de un plazo de 24 horas (BID y OEA-CICTE, 2025, p. 89). La Ley 172-13 de Protección de Datos Personales establece el régimen de tratamiento de datos, aunque con limitaciones significativas que se discutirán más adelante.

En materia de cooperación internacional, el país participa activamente en el Comité Ad Hoc de las Naciones Unidas sobre Cibercrimen, la Iniciativa Contra el Ransomware (CRI), los programas GLACY+ y GLACY-e del Consejo de Europa, y fue recientemente seleccionado como miembro de la Junta Directiva del Foro de Equipos de Respuesta a Incidentes de Seguridad (FIRST) (BID y OEA-CICTE, 2025, p. 90). Asimismo, el país alberga el Centro de Capacidad Cibernética LAC4 para América Latina y el Caribe, un hub regional de ciberseguridad con apoyo de la Unión Europea (BID y OEA-CICTE, 2025, p. 90).

En educación y capacitación, instituciones como INTEC, UNPHU e ITLA ofrecen programas de maestría y tecnicatura en ciberseguridad, y el CNCS realiza campañas mensuales de concientización sobre temas como la autenticación multifactor y la participación de mujeres en ciberseguridad (BID y OEA-CICTE, 2025, pp. 89–90). La inversión total en proyectos estratégicos de desarrollo digital con el BID supera los 200 millones de dólares (BID y OEA-CICTE, 2025, p. 89).

Deficiencias y desafíos pendientes

No obstante los avances que he descrito, el análisis del informe BID-OEA 2025 y de fuentes complementarias revela áreas críticas en las que la República Dominicana ha fallado en actuar con la celeridad o profundidad necesarias.

La deficiencia más notable es la ausencia de una ley integral de ciberseguridad. Aunque existe un proyecto de ley de gestión de ciberseguridad que ha pasado dos lecturas en el Senado, este aún no ha sido programado para discusión en la Cámara de Diputados (FortiGuard Labs, 2023). La regulación vigente descansa fundamentalmente en decretos ejecutivos, lo que genera fragilidad jurídica, pues un decreto puede ser derogado por el siguiente gobierno sin intervención legislativa. La firma legal Troncoso y Cáceres (2023) señala que, pese a los esfuerzos por crear un ciberespacio seguro durante más de quince años, el país necesita fortalecer significativamente su capacidad para enfrentar ciberamenazas mediante instrumentos legislativos formales.

En materia de protección de datos personales, la Ley 172-13 presenta vacíos significativos. Según Victoria (2024), esta ley tiene un enfoque completamente análogo que no ha tomado en cuenta que el flujo de datos personales se centra hoy en el mundo digital. No existe una autoridad supervisora o reguladora dedicada exclusivamente a la protección de datos: la Superintendencia de Bancos solo supervisa las infracciones por parte de los burós de crédito, dejando al resto del ecosistema digital sin supervisión adecuada (DLA Piper, 2025). La revisión de proyectos de ley que buscan alinear la normativa dominicana con instrumentos internacionales como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea sigue pendiente.

Las matrices de madurez del informe BID-OEA 2025 revelan otras debilidades específicas. En la Dimensión 1 (Política y Estrategia), la coordinación en respuesta a incidentes y el modo de operación de los CSIRT muestran estancamiento en niveles formativos. En la Dimensión 2 (Cultura y Sociedad), la confianza de los usuarios en los servicios de comercio electrónico y gobierno electrónico no alcanza los niveles más avanzados. En la Dimensión 5 (Estándares y Tecnologías), la calidad del software, el seguro cibernético y la divulgación responsable de vulnerabilidades se encuentran en etapas incipientes (BID y OEA-CICTE, 2025, pp. 91–93). Ninguna dimensión ha alcanzado el nivel “Dinámico”, el más alto del modelo CMM (ICT Pulse, 2026).

La coordinación entre agencias gubernamentales sigue siendo un desafío persistente. Como señala un análisis de LinkedIn (2018), las agencias estatales y el sector público dominicano históricamente han fallado en coordinar sus esfuerzos de ciberseguridad. Aunque el CNCS ha mejorado esta situación, la integración efectiva entre todas las entidades públicas, el sector privado y la sociedad civil sigue siendo una tarea inconclusa. La falta de un mercado robusto de ciberseguridad y la limitada adopción de seguros cibernéticos reflejan una brecha entre la política declarada y la práctica empresarial.

Lo que más me concierne es la escasez de profesionales capacitados en ciberseguridad. Es un desafío compartido con toda la región, pero particularmente agudo en un país insular que compite con partes más grandes por el talento disponible. Sí, existen programas académicos, pero la demanda supera significativamente la oferta, y la investigación e innovación en ciberseguridad permanecen en etapas tempranas de desarrollo (BID y OEA-CICTE, 2025, p. 92).

La República Dominicana ha logrado posicionarse como uno de los países con mayor madurez en ciberseguridad del Caribe. Gozamos del respaldo de una estrategia nacional actualizada, un centro de ciberseguridad operativo, un marco legal básico contra el cibercrimen y una activa participación en foros internacionales. Sin embargo, la ausencia de una ley integral de ciberseguridad aprobada por el poder legislativo, las deficiencias en la protección de datos personales, la limitada adopción de estándares avanzados por parte del sector privado y la escasez de capital humano especializado constituyen vulnerabilidades que los actores maliciosos pueden y han explotado con consecuencias significativas. El camino hacia una ciberseguridad verdaderamente robusta exige que nuestro Estado trascienda el nivel de los decretos ejecutivos y las estrategias declarativas para consolidar un ecosistema de ciberseguridad respaldado por legislación vinculante, instituciones supervisoras autónomas e inversión sostenida en capital humano e innovación tecnológica.

C. Constantin Poindexter Salcedo, M.A. en Inteligencia, Certificado de Posgrado en Contrainteligencia, J.D., certificación CISA/NCISS OSINT, Certificación U.S. DoD/DoS BFFOC, Dipl. Diplomacia Global, Dipl. Derechos Humanos por USIDHR

Referencias bibliográficas

  • Banco Interamericano de Desarrollo y OEA-CICTE. (2025). 2025 Cybersecurity Report: Vulnerability and Maturity Challenges to Bridging the Gaps in Latin America and the Caribbean. Washington, D.C.: BID. https://publications.iadb.org/en/2025-cybersecurity-report
  • BleepingComputer. (2022, septiembre 6). Quantum ransomware attack disrupts govt agency in Dominican Republic. BleepingComputer. https://www.bleepingcomputer.com/news/security/quantum-ransomware-attack-disrupts-govt-agency-in-dominican-republic/
  • Consejo de Europa. (2023). Dominican Republic – Octopus Cybercrime Community. https://www.coe.int/en/web/octopus/-/dominican-republic
  • Digital Watch Observatory. (2025). Dominican Republic’s national cybersecurity strategy 2030. https://dig.watch/resource/dominican-republics-national-cybersecurity-strategy-2030
  • DLA Piper. (2025). Data Protection Laws of the World: Dominican Republic. https://www.dlapiperdataprotection.com/?t=law&c=DO
  • FortiGuard Labs. (2023). Global Threat Panorama in Latin America (H1 2023). Citado en Dominican Today, 13 de octubre de 2023. https://dominicantoday.com/dr/economy/2023/10/13/dominican-republic-receives-fewer-cyber-attacks-this-year-compared-to-2022/
  • ICT Pulse. (2026, enero 9). Snapshot: 2025 update of cybersecurity maturity in the Caribbean. https://ict-pulse.com/2026/01/snapshot-2025-update-of-cybersecurity-maturity-in-the-caribbean/
  • Microsoft. (2023). Dominican Republic repels cyberattacks with help from Microsoft Dynamics 365 and Microsoft Azure. Microsoft Customer Stories. https://www.microsoft.com/en/customers/story/1800793600315556707-cncs-azure-data-explorer-en-dominican-republic
  • Morillo Suriel Abogados. (2025). Data protection in the Dominican Republic. https://morillosurielabogados.com/en/data-protection-in-the-dominican-republic/
  • Positive Technologies. (2025). Cybersecurity threatscape for Latin America and the Caribbean: 2023–2024. https://global.ptsecurity.com/en/research/analytics/cybersecurity-threatscape-for-latin-america-and-the-caribbean-2023-2024/
  • Tapia, J. y Castanho, R. (2023). Cybersecurity and Geopolitics in the Dominican Republic: Threats, Policies and Future Prospects. Dutch Journal of Finance and Management, 6(1). https://doi.org/10.55267/djfm/13421
  • The Record. (2022, agosto 30). Dominican Republic refuses to pay ransom after attack on agrarian institute. Recorded Future News. https://therecord.media/dominican-republic-refuses-to-pay-ransom-after-attack-on-agrarian-institute
  • The Record. (2023, octubre 4). Rhysida ransomware gang claims attacks on governments in Portugal, Dominican Republic. Recorded Future News. https://therecord.media/rhysida-ransomware-gang-attacks-on-portugal-dominican-republic-governments
  • Troncoso y Cáceres. (2023). Law Project on Cybersecurity. https://troncoso-caceres.com/en/blog/law-project-on-cybersecurity/
  • Victoria, A. (2024, septiembre 6). Data Protection & Cybersecurity: The Need for a New Data Protection Law. ECIJA. https://ecija.com/en/sala-de-prensa/data-protection-cybersecurity-aristides/
Posted on

SIGNAL: Una plataforma segura para profesionales de inteligencia, contrainteligencia, y lo será aún más en la era cuántica

SIGNAL, inteligencia, espionaje, contrainteligencia, contraespionaje, ciber, ciberseguridad, espia, C. Constantin Poindexter Salcedo, DNI, J2, CNI

Signal bien merece su reputación en comunidades de inteligencia, contrainteligencia e investigación por una razón práctica. A mí me encanta, y a usted también le debería gustar. La herramienta fue diseñada partiendo de supuestos adversariales que se alinean con el targeting real de activos en el terreno. Esos supuestos incluyen recolección a nivel estatal, interceptación encubierta y muchas veces ilegal, compromiso del endpoint, robo de credenciales y retención masiva de datos por largo tiempo para explotación futura. Signal no es mensajería convencional a la que luego se le “añadió” seguridad. Es un conjunto integrado de protocolos para acuerdo de claves, evolución de claves por mensaje y recuperación tras compromiso, sustentado en especificaciones abiertas y un endurecimiento criptográfico continuo.

Desde la perspectiva de un profesional de inteligencia, Signal es convincente porque está diseñado para mantenerse resiliente incluso bajo fallas parciales. Si un atacante “gana una batalla” capturando una clave, clonando un dispositivo por un rato o grabando tráfico durante años, Signal busca evitar que esa victoria puntual se convierta en acceso estratégico y duradero. Ese modelo de contención del daño encaja con prioridades de contrainteligencia: limitar el radio de impacto, reducir el tiempo de permanencia del adversario y forzarle esfuerzos repetidos que aumentan la probabilidad de detección.

El Double Ratchet y las claves por mensaje que limitan el daño

En el centro de la confidencialidad de mensajes en Signal está el algoritmo Double Ratchet, diseñado por Trevor Perrin y Moxie Marlinspike (Perrin and Marlinspike, 2025). En términos operacionales, el Double Ratchet importa porque entrega propiedades que se alinean con la realidad del tradecraft.

La “forward secrecy” (secreto hacia adelante) asegura que comprometer una clave actual no revele el contenido de mensajes anteriores. Los adversarios, de manera rutinaria, recolectan ciphertext en volumen y luego buscan un punto único de apalancamiento para descifrar más adelante mediante incautación de dispositivos, acceso interno, malware o procesos legales. La forward secrecy frustra esa estrategia al garantizar que el tráfico capturado anteriormente no se convierta en una “cosecha” de inteligencia en el futuro si una clave se expone después (Perrin y Marlinspike, 2025).

La “post-compromise security” (recuperación tras intrusión) aborda un escenario que los practicantes de inteligencia planifican: el compromiso temporal de un dispositivo. Inspecciones fronterizas, robo oportunista, acceso coercitivo o un implante de corta duración pueden ocurrir. El Double Ratchet incluye actualizaciones periódicas de Diffie-Hellman que inyectan entropía fresca, mientras su ratchet simétrico deriva nuevas claves de mensaje de manera continua. Una vez termina la ventana de compromiso, las claves de mensajes posteriores se vuelven criptográficamente inalcanzables para el atacante, siempre que ya no mantenga persistencia en el endpoint (Perrin and Marlinspike, 2025). Esto no es mercadeo exagerado: es una evolución disciplinada de claves que priva a servicios de inteligencia adversarios y a espías corporativos del uso indefinido de material de claves robado.

Aquí la lógica de respuesta a incidentes cambia: un compromiso breve no implica automáticamente exposición permanente de todo el historial y el futuro. En cambio, el atacante debe sostener persistencia para conservar visibilidad. Eso eleva la carga operativa y aumenta el riesgo de detección.

X3DH y PQXDH: el giro contra “cosecha ahora, descifra después”

Históricamente, Signal utilizó X3DH (Extended Triple Diffie-Hellman) para el establecimiento asíncrono de sesiones, algo vital en entornos móviles donde los destinatarios suelen estar offline. X3DH emplea claves de identidad de largo plazo y prekeys firmadas para autenticación, preservando a la vez forward secrecy y propiedades de negabilidad (Marlinspike and Perrin, 2016).

El panorama de riesgo estratégico cambió con la plausibilidad de computación cuántica criptográficamente relevante. La amenaza no es solo el descifrado futuro en tiempo real; es el modelo “harvest now/decrypt later”: intercepción masiva hoy con la expectativa de que avances futuros, incluida la capacidad cuántica, permitan abrir tráfico almacenado. Signal respondió introduciendo PQXDH (“Post Quantum Extended Diffie Hellman”), reemplazando el setup de sesión por una construcción híbrida que combina Diffie-Hellman clásico de curva elíptica (X25519) y un mecanismo post-cuántico de encapsulación de claves derivado de CRYSTALS-Kyber (Signal, 2024a). La implicación operacional es directa: el adversario tendría que romper tanto el componente clásico como el componente postcuántico para reconstruir el secreto compartido (Signal, 2024a).

Este establecimiento híbrido refleja ingeniería conservadora, muy típica de entornos de alta amenaza: migrar temprano, evitar cortes bruscos y no depender de un único primitivo nuevo. Esto también importa porque el componente post-cuántico corresponde a lo que NIST estandarizó como ML-KEM, derivado de CRYSTALS-Kyber, en FIPS 203 (NIST, 2024a; NIST, 2024b). La estandarización del NIST no garantiza invulnerabilidad, pero sí aumenta la confianza en que el primitivo ha sido escrutado y está siendo adoptado como línea base para entornos de alta seguridad.

Signal, además, hace una aclaración crucial en sus materiales sobre PQXDH: PQXDH aporta forward secrecy post-cuántica, mientras que la autenticación mutua en la revisión actual permanece anclada en supuestos clásicos (Signal, 2024b). Para los practicantes, esa precisión es valiosa porque define exactamente qué es post-cuántico hoy y qué no.

SPQR y el ratcheting poscuántico para operaciones de larga duración

El establecimiento de sesión es solo una parte del problema del ciclo de vida. Un recolector capaz puede grabar tráfico por periodos prolongados. Si la capacidad cuántica aparece más adelante, la pregunta es si la evolución continua de claves sigue siendo segura contra descifrado futuro. La introducción por parte de Signal del Sparse Post Quantum Ratchet (SPQR) atiende esa continuidad al añadir resiliencia postcuántica al mecanismo de ratcheting en sí (Signal, 2025).

SPQR extiende el protocolo para que no solo el handshake inicial, sino también las actualizaciones posteriores de claves, incorporen propiedades resistentes a cuántica, preservando forward secrecy y post-compromise security (Signal, 2025). Para profesionales de inteligencia esto es determinante, porque las relaciones operacionales suelen ser de largo aliento: activos y handlers, fuentes de investigación y coordinación entre equipos pueden durar meses o años. Un protocolo que solo endurece el handshake ayuda, pero uno que endurece el rekeying continuo encaja mejor con el modelo adversarial real de recolección persistente.

Trabajo académico ha analizado la evolución de X3DH a PQXDH dentro del movimiento de Signal hacia seguridad post-cuántica y enmarca PQXDH como mitigación del riesgo “cosecha ahora, descifra después” a escala (Katsumata et al., 2025). Ese enfoque cuadra con la gestión de riesgos en inteligencia: la confidencialidad se evalúa frente a adversarios pacientes, bien financiados y con horizonte estratégico.

Análisis formal, especificaciones abiertas y por qué esto importa operativamente

El practicante debe ser escéptico ante afirmaciones de seguridad que no soporten revisión externa. La suite de protocolos de Signal se beneficia de especificaciones públicas y escrutinio criptográfico sostenido. Un análisis formal ampliamente citado modela las propiedades de seguridad centrales del protocolo y examina en detalle su diseño basado en ratchets (Cohn Gordon et al., 2017). Ningún protocolo está “probado” contra cada modo de falla del mundo real. Sin embargo, métodos formales y análisis revisados por pares reducen la probabilidad de que debilidades estructurales permanezcan ocultas. Operacionalmente, esto se traduce en confiabilidad: cuando usted depende de una herramienta para trabajo sensible, evalúa si las afirmaciones son verificables, si los modos de falla están documentados y si las mejoras pueden validarse.

Metadatos, “Sealed Sender” y el rol del tradecraft

La confidencialidad del contenido es solo una parte de la seguridad en inteligencia. Los metadatos pueden ser decisivos: quién habla con quién, cuándo y con qué frecuencia puede producir inferencias dañinas. Sealed Sender de Signal fue diseñado para reducir la información del remitente visible al servicio durante la entrega del mensaje (Wired Staff, 2018). Investigación académica examina Sealed Sender y propone mejoras, además de discutir metadatos a nivel de red como la exposición de direcciones IP y las implicaciones para herramientas de anonimato (Martiny et al., 2021). Otro trabajo discute riesgos de análisis de tráfico que pueden persistir en entornos de grupos incluso cuando la identidad del remitente se oculta parcialmente (Brigham and Hopper, 2023).

La conclusión para el operador es clara: Signal mejora de manera material la seguridad del contenido y reduce ciertas exposiciones de metadatos. No elimina la necesidad de medidas de seguridad operacional. Dependiendo del perfil de misión, esas medidas pueden incluir endpoints endurecidos, manejo estricto de dispositivos, minimización de exposición de identificadores y protecciones de red consistentes con la ley y la política aplicables.

Por qué la trayectoria de SIGNAL es creíble en la transición cuántica

El enfoque de Signal hacia la transición cuántica refleja una postura de ingeniería creíble: migrar lo suficientemente temprano para amortiguar el riesgo “cosecha ahora, descifra después”; adoptar diseños híbridos para reducir la dependencia de un sólo supuesto; y extender garantías postcuánticas más allá del handshake hacia la evolución continua de claves (Signal, 2024a; Signal, 2025). La alineación con la dirección estandarizada por NIST para el establecimiento de claves también apoya la mantenibilidad a largo plazo y la interoperabilidad del ecosistema (NIST, 2024a; NIST, 2025). Desde la perspectiva de un practicante de inteligencia, el argumento central no es que Signal sea irrompible. El punto es que Signal está diseñado para limitar el daño, recuperarse tras un compromiso y anticipar amenazas estratégicas de descifrado. Está construido para un entorno hostil que se mueve hacia una realidad postcuántica.

Y lo digo sin rodeos ni disparates, Meta no hace nada de esto. FB Messenger y WhatsApp dejan huecos graves en la ciberseguridad porque el enfoque de Meta es la monetización del mecanismo de mensajería, no comunicaciones verdaderamente “a prueba” de adversarios. Úselos bajo su propio riesgo.

~ C. Constantin Poindexter, MA en Inteligencia, Certificado de Posgrado en Contrainteligencia, JD, certificación CISA/NCISS OSINT, certificación DoD/DoS BFFOC

Bibliografía

  • Brigham, Eric, and Nicholas Hopper. 2023. “Poster: No Safety in Numbers: Traffic Analysis of Sealed Sender Groups in Signal.” arXiv preprint.
  • Cohn Gordon, Katriel, Cas Cremers, Benjamin Dowling, Luke Garratt, and Douglas Stebila. 2017. “A Formal Security Analysis of the Signal Messaging Protocol.” Proceedings of the IEEE European Symposium on Security and Privacy.
  • Katsumata, Shota, et al. 2025. “X3DH, PQXDH to Fully Post Quantum with Deniable Ring.” Proceedings of the USENIX Security Symposium.
  • Marlinspike, Moxie, and Trevor Perrin. 2016. “The X3DH Key Agreement Protocol.” Signal Protocol Specification.
  • National Institute of Standards and Technology. 2024a. “NIST Releases First 3 Finalized Post Quantum Encryption Standards.” NIST News Release.
  • National Institute of Standards and Technology. 2024b. FIPS 203. “Module Lattice Based Key Encapsulation Mechanism Standard, ML KEM.” U.S. Department of Commerce.
  • National Institute of Standards and Technology. 2025. “Post Quantum Cryptography Standardization.” NIST Computer Security Resource Center.
  • Perrin, Trevor, and Moxie Marlinspike. 2025. “The Double Ratchet Algorithm.” Signal Protocol Specification.
  • Signal. 2024a. “Quantum Resistance and the Signal Protocol.” Signal Blog.
  • Signal. 2024b. “The PQXDH Key Agreement Protocol.” Signal Protocol Specification.
  • Signal. 2025. “Signal Protocol and Post Quantum Ratchets, SPQR.” Signal Blog.
  • Wired Staff. 2018. “Signal Has a Clever New Way to Shield Your Identity.” Wired Magazine.
Posted on

Logros del CNCS y Posición Frente a sus Pares

Ciberseguridad República Dominicana, ciber, ciberseguridad, contramedidas, C. Constantin Poindexter;

El fortalecimiento de la ciberseguridad nacional se ha convertido en una prioridad estratégica para los Estados en la era digital. En este contexto, el Centro Nacional de Ciberseguridad (CNCS) de la República Dominicana ha logrado consolidarse como una institución líder en el Caribe y América Latina. Desde su creación, y particularmente durante el período 2020-2024, el CNCS ha implementado una política pública integral que articula la prevención, la respuesta a incidentes, la cooperación interinstitucional y la formación de capacidades técnicas y ciudadanas. Aquí observo algunos de los logros más relevantes del CNCS, su posicionamiento frente a sus pares regionales y plantea estrategias para fortalecer su papel como servicio de ciberseguridad más robusto y efectivo. Lo siguiente NO es de índole “clasificado”,

I. Consolidación del CNCS como autoridad nacional en ciberseguridad

Desde 2020, el CNCS ha establecido una estructura dual: la Dirección de Respuesta a Incidentes Cibernéticos (CSIRT-RD) y la Dirección de Coordinación de Estrategias. El rendimiento (imagen aquí adjunto) es meritorio. Según las cifras PUBLICAS, . . . El CSIRT-RD ha gestionado más de 500 alertas de seguridad, detectado más de 900 millones de intentos de ataque y compartido más de 2,000 indicadores de compromiso (IOC) con instituciones nacionales e internacionales (CNCS, 2024). En cuanto a la gestión de incidentes, se han atendido más de 1,600 casos, de los cuales 600 corresponden a instituciones gubernamentales. Estas cifras, que reflejan un aumento sostenido en la capacidad de detección y respuesta, representan un avance considerable para un país en vías de consolidar su ecosistema digital.

En el ámbito del análisis técnico, el CNCS ha realizado más de 500 evaluaciones de vulnerabilidades, identificando 2,300 hallazgos asociados con 347 vulnerabilidades y exposiciones comunes (CVE) (CNCS, 2024). Este volumen de trabajo técnico es comparable con centros nacionales de ciberseguridad de economías intermedias, lo que muestra un nivel de madurez institucional notable en el Caribe. La combinación de detección temprana, análisis técnico y cooperación activa coloca al CNCS como un referente regional.

II. Desarrollo de capacidades institucionales y cooperación interinstitucional

El CNCS no solo ha enfocado su labor en la respuesta técnica, sino también en la madurez organizacional de las instituciones públicas. A través de su Plataforma de Evaluación de Nivel de Madurez, ha priorizado 45 instituciones, permitiendo medir el grado de preparación en materia de ciberseguridad y planificar intervenciones específicas (CNCS, 2024). En paralelo, la Dirección de Coordinación de Estrategias ha promovido la cooperación nacional e internacional con más de 40 instituciones gubernamentales, firmando 101 acuerdos y memorandos de entendimiento (MOU).

Las campañas de comunicación del CNCS han alcanzado más de dos millones de cuentas en redes sociales, logrando concienciar a la ciudadanía sobre prácticas seguras en entornos digitales. Estas iniciativas, orientadas a la cultura de la ciberseguridad, demuestran una comprensión avanzada del principio de “seguridad por diseño social”, donde la formación del usuario final es tan importante como la infraestructura técnica.

III. Capacitación y profesionalización del talento en ciberseguridad

Uno de los pilares del éxito del CNCS ha sido la creación de capacidades humanas. En colaboración con la Academia Cisco, el Instituto Tecnológico de Las Américas (ITLA) y Fortinet, el CNCS ha capacitado a más de 540 personas, incluyendo profesionales del sector público y privado (CNCS, 2024). Además, se han impartido 16 cursos técnicos especializados y 3 entrenamientos internacionales dirigidos a sectores críticos como el marítimo y el sanitario. Estas acciones posicionan al CNCS como un catalizador del talento cibernético en la región.

Los programas de concienciación ciudadana también han tenido un impacto significativo. Durante 2024, el CNCS desarrolló 12 campañas de sensibilización que alcanzaron a más de 2,000 participantes, con 800 personas inscritas formalmente en el programa nacional de capacitación ciudadana (CNCS, 2024). Esta estrategia evidencia una política pública que combina la seguridad técnica con la educación digital, alineándose con las mejores prácticas internacionales establecidas por la Unión Internacional de Telecomunicaciones (UIT, 2024).

IV. Comparación regional y posicionamiento

La comparación con otros países latinoamericanos permite ubicar objetivamente el desempeño dominicano. En 2024, el CSIRT Panamá reportó 1,312 incidentes, siendo el phishing y el fraude digital los más frecuentes (CSIRT Panamá, 2024). En contraste, el CNCS de la República Dominicana registró 1,600 casos en cinco años, lo que equivale a un promedio anual de unos 320 casos. Si bien Panamá presenta una mayor densidad de reportes, ello se explica por la amplitud de su red de monitoreo intersectorial.

En Colombia, el Centro Cibernético Policial registró 59,033 denuncias de delitos informáticos en 2023, y el sector privado estimó 12,000 millones de intentos de ataque ese mismo año (CCIT, 2023). Estos números, en gran medida resultado del tamaño poblacional y la economía digital de Colombia, superan los de la República Dominicana en términos absolutos, pero confirman que el volumen de 900 millones de intentos detectados por el CNCS es proporcional y consistente con su escala nacional.

En el Caribe, Trinidad y Tobago reportó apenas 205 ciberataques exitosos entre 2019 y 2024 (TT-CSIRT, 2024), mientras que Costa Rica, tras el ataque de ransomware de 2022, ha mantenido una estrategia de recuperación y resiliencia sin publicar datos comparables (OAS, 2023). A la luz de estas cifras, la República Dominicana se sitúa entre los países con capacidad técnica media-alta, destacando especialmente por su transparencia de datos y la implementación de plataformas de notificación y verificación, algo que no todos los países de la región han logrado.

El Índice Global de Ciberseguridad (GCI) de la UIT (2024) ubica a la República Dominicana en una categoría intermedia de madurez (“Tier 3”), junto a países como Panamá y Costa Rica, y por delante de varias naciones caribeñas menores. Este posicionamiento confirma que el país ha alcanzado un nivel de consolidación técnica y organizativa respetable, aunque con oportunidades de mejora en la integración de marcos normativos y la profesionalización avanzada del sector.

V. Estrategias y tácticas para fortalecer el servicio nacional de ciberseguridad

Para evolucionar hacia un servicio de ciberseguridad más robusto y efectivo, el CNCS podría adoptar una estrategia de tres ejes: integración normativa, fortalecimiento técnico y cooperación internacional ampliada.

Integración normativa y estandarización de métricas.
El CNCS podría alinear sus procedimientos de reporte con marcos internacionales como el National Institute of Standards and Technology Cybersecurity Framework (NIST-CSF) y los Incident Response Standards de FIRST. La creación de un modelo de reporte público anual, con series históricas estandarizadas, facilitaría la comparación regional y permitiría medir la efectividad de políticas sectoriales (NIST, 2022).

Fortalecimiento técnico y automatización.
El desarrollo de sistemas de inteligencia de amenazas (Threat Intelligence) basados en aprendizaje automático podría aumentar la capacidad predictiva del CSIRT-RD. Asimismo, expandir la cobertura de sensores de monitoreo a infraestructuras críticas —energía, salud, transporte y finanzas— reforzaría la detección temprana y la coordinación interinstitucional.

Cooperación y diplomacia cibernética.
Aumentar la colaboración con organismos multilaterales (OEA, UIT, BID) y con redes como CaribCERT permitiría compartir indicadores de compromiso en tiempo real y fortalecer la resiliencia regional ante amenazas transfronterizas. “Intelligence Liasion” con las agencias de inteligencia y contrainteligencia es, del mismo modo, imperativo. Un enfoque, centrado en la diplomacia cibernética, ampliaría la proyección internacional del CNCS y contribuiría al fortalecimiento colectivo del Caribe y “más allá”. Ciber-actores/ciberdelicuentes no conocen fronteras.

El Centro Nacional de Ciberseguridad de la República Dominicana ha demostrado un avance tangible en materia de gobernanza digital, gestión de incidentes, cooperación institucional y formación ciudadana. Los datos disponibles evidencian una estructura madura y en expansión, comparable con países latinoamericanos de mayor tamaño y con un liderazgo visible en el Caribe. Aunque persisten desafíos —como la estandarización de indicadores y la profundización de la cooperación técnica internacional—, los logros alcanzados entre 2020 y 2024 reflejan una política pública coherente y sostenible.

El CNCS, mediante la integración de marcos internacionales, el uso de inteligencia automatizada y la expansión de alianzas estratégicas, puede consolidarse como un referente regional de ciberseguridad. En un entorno global donde la seguridad digital se ha convertido en un pilar del desarrollo económico y la soberanía tecnológica, la República Dominicana está posicionada para ejercer un liderazgo ejemplar en el Caribe y América Latina.

~ C. Constantin Poindexter, M.A. en Inteligencia, Certificado de Posgrado en Contrainteligencia, J.D., certificación CISA/NCISS OSINT, Certificación DoD/DoS BFFOC

Referencias

CCIT. (2023). Informe sobre ciberseguridad en Colombia 2023. Cámara Colombiana de Informática y Telecomunicaciones.
CNCS. (2024). Informe de resultados 2020-2024. Centro Nacional de Ciberseguridad, República Dominicana.
CSIRT Panamá. (2024). Reporte anual de incidentes 2024. Gobierno de Panamá.
NIST. (2022). Framework for Improving Critical Infrastructure Cybersecurity (Version 2.0). National Institute of Standards and Technology.
OAS. (2023). Cybersecurity Capacity Review: Costa Rica Post-Ransomware Assessment. Organización de los Estados Americanos.
TT-CSIRT. (2024). National Cybersecurity Report 2019-2024. Trinidad and Tobago Cyber Security Incident Response Team.
UIT. (2024). Global Cybersecurity Index 2024. Unión Internacional de Telecomunicaciones.