ESET participó en el Legal Tech Summit

La nueva Ley de Ciberseguridad y Seguridad de la Información de El Salvador entró en vigencia a finales de noviembre de 2024

El Salvador, 21 de agosto de 2025. En el marco del Legal Tech Summit, auspiciado por el Proyecto ALICE LARDÉ, cofinanciado por la Unión Europea, la Organización de Estados Iberoamericanos (OEI) y la Escuela Superior de Economía y Negocios (ESEN), ESET, compañía líder en detección proactiva de amenazas, participó con la ponencia sobre la nueva Ley de Ciberseguridad y compartió también buenas prácticas para la protección de datos.

Precisamente, José Antonio González, gerente regional de riesgos de ESET para Centroamérica y República Dominicana, compartió su experiencia al respecto sobre lo que debe conocerse sobre la nueva normativa y cómo puede influir en las empresas. Además de las buenas prácticas para evitar fraudes, hackeos o robos de identidad empresarial.

En ese sentido, el Legal Tech Summit es un espacio diseñado para que las Industrias Culturales y Creativas (ICC) conozcan y comprendan las nuevas disposiciones legales que están transformando el entorno empresarial en El Salvador.

En un país donde más del 80 % de las ICC son microempresas, la digitalización no es solo una opción, es una oportunidad para crecer. Sin embargo, muchas de estas leyes y herramientas tecnológicas aún son poco conocidas en el sector. Este espacio fue una puerta de acceso al conocimiento práctico y a la conexión con expertos que pueden acompañar a las compañías en este camino.

“Los datos son el oro de este siglo, considerándolos un bien valioso no solo para empresas y organismos, sino también para cibercriminales que encuentran en ellos una fuente de riqueza en su explotación, por lo que contar con un marco legal que respalde y garantice la seguridad de esos datos cobra cada vez más importancia y relevancia en mundo que se vuelve cada vez más mucho más interconectado, digitalizado y virtualizado”, dijo González.

Para ESET, las principales preocupaciones en torno a la inteligencia artificial (IA) son la privacidad y la transparencia. La primera, porque el auge de estos sistemas implica la recopilación y procesamiento de grandes volúmenes de datos personales, lo que incrementa el riesgo de vulneraciones a este derecho. La segunda, porque la falta de claridad en su funcionamiento y en los procesos de toma de decisiones puede derivar en desigualdades y discriminación.

En Latinoamérica existen avances legislativos en varios países orientados a la actualización de las normativas y regulaciones para adaptarse rápidamente a los desafíos que imponen las nuevas tecnologías, en favor de garantizar los derechos y la protección de los datos de los ciudadanos.

En esa línea, el 23 de noviembre del año pasado, entró en vigencia la nueva Ley de Ciberseguridad y Seguridad de la Información en El Salvador, la primera de su naturaleza en Centroamérica, que busca garantizar la protección de los datos y sistemas informáticos que manejan las entidades estatales, así como las infraestructuras críticas del país.

La ley aplica a todos los órganos del gobierno, incluyendo sus dependencias, instituciones autónomas, autoridades municipales y cualquier entidad que administre recursos públicos, bienes del Estado o que tenga incidencia en infraestructuras críticas. Además, puede extenderse a ciertas entidades del sector privado, como aquellas que gestionan información pública o que interactúan con los sistemas críticos del país. Además, impone varias responsabilidades a los sujetos obligados, especialmente en lo que respecta a la implementación de sistemas y estrategias de ciberseguridad.

Entre las principales obligaciones destacan:

Gestión permanente de la ciberseguridad: Las entidades deberán implementar un sistema de gestión que permita identificar y mitigar los riesgos que puedan afectar la seguridad de sus sistemas informáticos, redes y equipos.
Elaboración de estrategias de seguridad: Deberán desarrollar estrategias de seguridad de la información alineadas con marcos nacionales e internacionales.
Planes de continuidad y revisión: Las entidades están obligadas a crear planes de continuidad operativa y ciberseguridad, los cuales deben ser aprobados por la autoridad competente y revisados periódicamente.
Simulacros y análisis continuos: Es necesario realizar simulacros y revisiones continuas para detectar vulnerabilidades en los sistemas y procesos que comprometan la seguridad de la información.
Respuestas a incidentes de ciberseguridad: Deberán tomar medidas inmediatas para prevenir, reportar y mitigar los incidentes relacionados con la ciberseguridad y la seguridad de la información.
Designación de responsables: Se establece la obligación de crear un área o designar responsables para la implementación y monitoreo de estas medidas de ciberseguridad, asegurando que tengan independencia y autoridad suficiente para ejecutar sus funciones.

Por otro lado, con la aprobación de esta ley, se crea la Agencia de Ciberseguridad del Estado, un organismo encargado de supervisar y aplicar las disposiciones de la ley. Esta agencia tendrá la responsabilidad de coordinar con las instituciones y garantizar el cumplimiento de los estándares de seguridad establecidos.