La ciberseguridad es un problema político: José Cepeda

Más que un problema técnico, la ciberseguridad es un problema político, de acuerdo con el senador español José Cepeda, quien se encuentra en una gira por Costa Rica, República Dominicana y México para elaborar un informe sobre la seguridad del ciberespacio encargado por la Unión Interparlamentaria (IPU).   

Unas semanas después de que se hiciera público el hackeo a la Secretaría de la Defensa Nacional (Sedena) por parte del grupo Guacamaya, el senador del Partido Socialista Obrero Español (PSOE) y representante de la Unión Interparlamentaria se reunió con senadores mexicanos y otras autoridades, como la Agencia Digital de Innovación Pública (ADIP) de la Ciudad de México.  

La Unión Interparlamentaria es una organización que agrega a los parlamentos y congresos de 177 países del mundo. La IPU, según el senador Cepeda, sirve para que los parlamentarios reporten el trabajo que van realizando en el día a día para cumplir con los compromisos internacionales establecidos en asambleas como la de las Naciones Unidas.

En entrevista con El Economista, el senador José Cepeda habla sobre las razones de su visita a México, las propuestas que plantea en materia de ciberseguridad y sobre su reacción a la exfiltración de 6 terabytes de información a la Sedena por parte de un grupo de hacktivistas. 

─¿Cuáles son los motivos de su visita a la ciudad de México?

─Yo soy miembro de la Comisión de Paz y Seguridad Internacional de la Unión Interparlamentaria, que asesora a Naciones Unidas en temas fundamentales. Ahorita, la Unión Interparlamentaria me ha encargado a mí hacer un informe mundial sobre la ciberseguridad, porque además el secretario general de Naciones Unidas tiene previsto hacer una gran Cumbre Mundial sobre la ciberseguridad, a principios del año 2024. Entonces, ya está habiendo reuniones con representantes de todos los países de Naciones Unidas.

Yo formo parte en representación de la Unión Interparlamentaria en el modelo de diseño de una estructura global de ciberseguridad que dé una mínima cobertura a muchísimos países que casi no tienen infraestructura alguna en la materia. Estoy visitando muchos países donde ha podido existir algún tipo de ciberincidente y simplemente, lo que estoy haciendo es compartir con todos ellos el trabajo que estamos desarrollando a nivel mundial, para explicarles qué cosas estamos viendo en otro lugar en el mundo. 

Algo que me parece esencial es que cuando hablamos de ciberataques, cuando hablamos de ciberseguridad, en muchas ocasiones utilizamos palabras demasiado técnicas: “malware”, “ransomware”. Estamos hablando de sistemas, pero a la inmensa mayoría de los parlamentarios les suena muy lejano y precisamente, lo que queremos es explicar y hacer un poco de pedagogía en este sentido, porque la ciberseguridad no es un problema de los técnicos, es un problema político de primer orden. Cuando hay un ciberataque, los primeros afectados son millones de personas que de repente dejan de tener servicios públicos. En este sentido, es muy importante también concienciar a los parlamentos y a los parlamentarios acerca de que tienen que ir dando pasos en nuevas legislaciones en sus administraciones, con unidades especializadas que se dediquen a esta materia.

─¿Su visita es a aquellos países que ya han sufrido un ciberataque?

─No necesariamente, es verdad que posiblemente han sido países donde ha habido algún ciberincidente, pero la verdad es que está habiendo ciberataques diariamente en casi todo el mundo. Esto no es un problema de que unos países tengan más vulnerabilidades que otros. Cada uno pone los recursos que tiene a su disposición y algunos son más conscientes que otros. Te pongo un ejemplo: México posiblemente es un país que sí que es muy consciente de la realidad de la ciberdelincuencia y de los ciberataques y ha tenido ciberataques; quiero decir que con independencia de todo, nadie está exento de que esto pueda suceder.

Ayer, que tuve la oportunidad de estar reunidos con ellos, vi que los legisladores están avanzando en marcos legales desde hace ya años, diría yo. Y luego hay que reconocer, por ejemplo, que México también tiene algo muy importante: una estructura académica, con universidades tecnológicas muy especializadas. Por lo tanto, hay ingenieros de primer nivel. Pero ya te digo que no es un problema de un país, es un problema de colaboración entre todos los países.

─Llega usted a México en un momento bastante peculiar en materia de ciberseguridad. Recientemente, se anunció el hackeo a la Secretaría de la Defensa Nacional (Sedena) mexicana por parte del grupo Guacamaya, ¿cómo se ve este incidente desde su posición?

─Es un ciberincidente más, no es peculiar, porque habitualmente, los ciberdelincuentes suelen atacar infraestructuras críticas, donde hay grandes cantidades de datos y hablamos de posiblemente los sistemas de salud, los sistemas de seguridad, los sistemas de energía, pero también, otros sistemas como por ejemplo, aquellos que dotan de recursos básicos y fundamentales a los ciudadanos, como por ejemplo, el agua. 

Yo creo que son fórmulas que se utilizan al final para intentar poner en jaque a los gobiernos. México no es ninguna excepción, no tiene ninguna peculiaridad. Los ataques que ha recibido por parte de un grupo determinado, se han replicado en otros países. Yo creo que este puede ser un buen ejemplo de la importancia de la confianza y la cooperación internacional en esta materia.

─Los legisladores mexicanos han presentado diversas propuestas de regulación en materia de ciberseguridad, ¿las compartieron con usted?, ¿qué piensa de la regulación mexicana?

─No he podido entrar en detalle, tampoco me han facilitado la documentación. La verdad es que fue una reunión muy entrañable. Nos estuvieron explicando en detalle los pasos que van dando y la verdad, yo creo que están haciendo una labor ejemplar. 

De hecho, estaban trabajando con algunos de los parámetros que nosotros ya estamos abordando, por ejemplo, el Consejo de Europa ha hecho un convenio, el convenio Budapest 2, donde precisamente facilita a los jueces el poder actuar incluso de la mano de otros jueces en otros países. Yo creo que es un modelo que se puede exportar, pero varios de los parlamentarios y los senadores mexicanos ya estaban en ello.

─En materia legislativa, ¿qué papel juega hacer un presupuesto destinado específicamente a ciberseguridad?

─Todos los países, sobre todo después de la pandemia, han visto incrementados todos los proyectos de digitalización, no solamente de las administraciones sino desde el punto de vista de la vida diaria y cotidiana de los ciudadanos, que de repente han empezado a utilizar mucho más la tecnología. El gobierno también cada vez está invirtiendo más en diseños de digitalización en sus estructuras. Nosotros la recomendación que damos es que, de cada proyecto que se empiece a definir desde el punto de vista de la digitalización de algún servicio, hace falta tener en consideración un capítulo destinado especialmente a la ciberseguridad y desde el punto de vista presupuestario, estamos hablando del 15 al 20% del conjunto de ese proyecto nuevo que esté dedicado en exclusiva a la ciberseguridad, eso supone personal cualificado, eso supone instrumentos cualificados, eso supone incluso formación del profesional. En fin, colocar a la ciberseguridad como uno de los elementos troncales fundamentales de lo que es un proyecto de digitalización básico.

rodrigo.riquelme@eleconomista.mx