Descuido de la Ciberseguridad: un autogol
Claudia Schatan

De qué se trata

94 opiniones • veces leído

En la legislación mexicana, aún no existe una definición de “cibercrimen” ni de “ciberseguridad” y no se han adoptado normas internacionales enfocadas a los delitos cibernéticos.

Lectura: ( Palabras)

El descubrimiento de la inmensa filtración desde los servidores de la Secretaría de Defensa (SEDENA) –6 terabytes con información militar recopilada a lo largo de la última década– que realizó el grupo de hackers “Guacamaya” ha creado un escándalo mayúsculo. Este efecto continuará en la medida en que vaya revelándose el tenor de los más de 4 millones de mensajes de correo y otros contenidos que están conociéndose. Si bien nos podemos alegrar de que pruebas de corrupción, infiltración del narco en cuerpos de seguridad nacional y otras trasgresiones al estado de derecho salgan a la luz y se puedan perseguir delitos si hubiera voluntad política para ello, hay que estar alertas de lo que estos actos de hackeo pueden significar para toda la sociedad.

La vulnerabilidad a la que está expuesta la población y las instituciones en México en términos de ataques cibernéticos es enorme: en 2021 hubo 156.000 millones de intentos de ciberataques y en el primer semestre de 2022 el número de intentos fue de 85.000 millones. El país es el segundo más ciber-atacado de América Latina. En años pasados ha habido ciberataques importantes a Pemex, ISSSTE, SEP, la Lotería Nacional y a la Plataforma Nacional de Transparencia, entre otras, además de aquellos dirigidos a una enorme cantidad de otras empresas públicas y privadas. Estas acciones pueden llegar a paralizar servicios e infraestructura crítica y empresas e instituciones públicas pueden perder enormes cantidades de dinero al ser secuestrados o al paralizarse sus operaciones vía estos embates. Otras transgresiones graves han sido, por ejemplo, la publicación en mercado ilegal (Darkweb) del padrón electoral; el espionaje realizado con base en el software Pegasus contra personajes del sector político, del sector económico y a periodistas, entre otros.

A estas alturas, está claro que la digitalización y la interconectividad se han acelerado enormemente en el mundo, y lo han hecho a un paso más rápido a partir de la aparición de la pandemia pues la comunicación virtual se volvió indispensable en muchos ámbitos sociales y económicos. A nivel global se estima que se conectan 127 nuevos dispositivos al Internet cada segundo. Cuanto más se amplía el ciberespacio, más terreno fértil se crea para la delincuencia en las redes y mayor debe ser el esfuerzo que realicen los países – sector público y sector privado – para blindarse contra los ciberataques. México, en 2022 ocupaba el lugar 85 entre 160 países en el Índice Nacional de Ciber Seguridad (INCS, por sus siglas en inglés), un sitio nada presumible.

Aunque todos los países están expuestos al cibercrimen, hay distintos grados de preparación para enfrentarlo y México tiene insuficientes instrumentos legales, técnicos y personal especializado para hacerlo.

En 2017 se presentó una Estrategia Nacional de Ciberseguridad del gobierno mexicano (con la colaboración de la OEA) cuyo contenido sigue líneas muy generales y no llegó a concretarse en la previa administración. En el presente gobierno, iniciado en 2018, no se ha adoptado medidas para implementar tal estrategia mencionada ni se ha creado una nueva. Existen once propuestas de cambio en la legislación en el Congreso cuyo fin es reforzar la ciberseguridad, de las cuales cuatro proponen crear una ley específica para ello, que daría lugar a la creación de una entidad encargada exclusivamente a esta importante tarea (por ejemplo, una Fiscalía Especializada en Delincuencia Cibernética), entre otras importantes iniciativas. 

mexico descuido ciberseguridad

Por el momento, los instrumentos legales con que cuenta México contra los ciberataques están dispersos y son incompletos. El Código Penal Federal regula y penaliza varias ciber- transgresiones: Piratería; Phishing (fraude realizado a través del engaño y manipulación de una persona); infección de sistemas informáticos con malware (incluidos ransomware, spyware, gusanos, troyanos y virus), el cual no está tipificado como delito en sí pero puede aplicársele las penas de la piratería; posesión o uso de hardware, software u otras herramientas utilizadas para cometer delitos cibernéticos (puede perseguírseles de forma similar al delito de piratería); robo de identidad o fraude de identidad (se rige por lo establecido por la Ley de Instituciones de Crédito); robo electrónico (similar al anterior). Existe, también, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares que “exige a los controladores de datos la implementación de medidas de seguridad administrativas, físicas y técnicas para proteger los datos personales contra pérdida, robo o uso no autorizado y deben informar a los interesados de cualquier violación de seguridad” (Ciberseguridad), pero la capacidad de aplicar esta ley por parte de la institución encargada de ello, es decir, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), tiene una capacidad limitada para ejercer esta responsabilidad.

Nótese que en la legislación mexicana, aún no existe una definición de “cibercrimen” ni de “ciberseguridad” y no se han adoptado normas internacionales enfocadas a los delitos cibernéticos, como mencionado. Además, “No se requiere que las organizaciones tengan un conjunto mínimo de medidas de seguridad cibernética, ni están obligados a informar incidentes a las autoridades, lo que hace que la recolección de estadísticas sobre ciberataques sea muy difícil” (Ciberseguridad), y la respuesta a ellas también sea escasa. Una nueva ley de ciberseguridad en Estados Unidos (2022), por ejemplo, requiere que las entidades que sufran incidentes cibernéticos informen sobre ellos durante las 72 horas posteriores a que les conste que han ocurrido y para los secuestros, los afectados tienen 24 horas para hacerlo después de haberlos pagado.

La necesidad de contar con un mejor marco regulador y legal de ciberseguridad es un imperativo sobre todo por la amenaza creciente que los ataques cibernéticos significan para la población, las instituciones y las empresas en México, pero también porque el país ha asumido compromisos importantes en este sentido, como el que se establece en el Artículo 19.15 del Tratado México, Estados Unidos y Canadá (T-MEC), en el que “Las Partes reconocen que las amenazas a la ciberseguridad menoscaban la confianza en el comercio digital. Por consiguiente, las Partes procurarán: I. Desarrollar las capacidades de sus respectivas entidades nacionales responsables de la respuesta a incidentes de ciberseguridad; y II. Fortalecer los mecanismos de colaboración existentes para cooperar en identificar y mitigar las intrusiones maliciosas …….”

Otra gran limitación que se experimenta a nivel mundial para hacer frente a los ciberataques es la escasez de personal entrenado para ello. Un estudio calculaba un faltante de 2.7 millones de personas con la calificación requerida en ciberseguridad en el mundo en 2022. En México había un faltante de 260,000 personas para ocupar puestos en ciberseguridad. El problema es bastante generalizado, si se considera que la carencia de este personal era de 441,000 en Brasil y de 377,000 en Estados Unidos (2022). Esto significa que los gobiernos y el sector privado tienen que estimular la capacitación en ciberseguridad de los trabajadores y la expansión de enseñanza universitaria y técnica en estos temas.

Un documento de la consultora McKinsey sobre “… como pueden los gobiernos combatir los riesgos cada vez más intensos de ciberseguridad” resume bastante bien los pasos que los gobiernos deben tomar en ciberseguridad, en gran parte mencionados arriba. Sugiere (1) la necesidad de contar con una agencia especializada en ciberseguridad, que tenga la responsabilidad de liderar la agenda de ciberseguridad de todo el país, “que proteja la infraestructura crítica del país, que movilice la respuesta a los incidentes cibernéticos, que defina estándares de ciberseguridad mejore la conciencia de la ciberseguridad de la ciudadanía, y desarrolle las capacidades en el tema de ciberseguridad entre los profesionistas….”; (2) Contar con un Programa de protección de infraestructura crítica del país. Las mejores prácticas de los países estudiados por McKinsey consideran sectores como energía (petróleo, gas, energía nuclear), transporte, infraestructura digital, instituciones de salud, servicios como agua, como los más importantes de proteger contra estos ataques. (3) Cada país necesita tener respuestas a posibles incidente cibernéticos a nivel nacional y un plan de recuperación de ellos. El país debe tener mecanismos claros y eficaces para que personas y empresas puedan reportar con rapidez los ataques que sufran, pero además tiene que ser proactivo y; tener una vigilancia en Internet para detectar y contrarrestar posibles ataques antes de que ocurran para lo que necesitan contar con la inteligencia cibernética necesaria. (4) Un marco legal adecuado para respaldar la ciberseguridad. Las pautas dispuestas por la Convención de Budapest sobre el crimen cibernético, que es un tratado internacional que rige las leyes cibernéticas acordadas por 60 países, serían de gran utilidad para México porque le ayudaría a tipificar los delitos en ciberseguridad y adecuar sus leyes actuales para poder perseguirlos. Varios países latinoamericanos ya lo han suscrito este acuerdo, pero México es sólo observador en la Convención.

Más columnas del autor:
Todas las columnas Columnas de

Deja un comentario

Lo que opinan nuestros lectores a la fecha