La iniciativa de ciberseguridad: ¿Una solución real para proteger a usuarios y libertades, o un camino hacia la militarización y la censura?

Durante el primer semestre de 2022, México sufrió 85 mil millones de intentos de ciberataques, lo que representó un incremento del 40%, con relación al mismo periodo en 2021, y que México sea el primer lugar en América Latina en sufrir este mal. En ese contexto, el pasado 25 de abril, el Diputado Javier López Casarín presentó en el Congreso de la Unión una Iniciativa de la Ley de Ciberseguridad, que, tendría por fin atender los riesgos y proteger los activos de los usuarios en el “ciber entorno”. Sin embargo, estos objetivos no se ven claramente reflejados en el contenido de la iniciativa. De hecho, organizaciones de la sociedad civil, como Artículo 19 y la Red en Defensa de los Derechos Digitales (R3R) advierten que, de aprobarse, dicha ley implicaría riesgos graves a los derechos humanos en el entorno digital, la promoción de la militarización en el ciberespacio, y serias deficiencias que la convertirían en una norma sumamente peligrosa.

Para dimensionar el fenómeno que afecta a entes públicos y privados, algunos de las más recientes afectaciones incluyen: 1. El ataque al sistema financiero de pagos electrónicos interbancarios (SPEI), donde se acreditó un robo de 300 millones de pesos (mayo 2018) 2. Ataque a Petróleos Mexicanos por un ransomware (Doppel Paymer) que afectó al 5% de sus computadoras y vulneró 60 áreas (noviembre 2019) de la empresa. 3. Ataque a servidores de la Secretaría de Economía (febrero 2020). 4. Afectaciones a los sistemas de cómputo de la Secretaría del Trabajo y Previsión Social (marzo 2020). 5. Ataque a los sistemas del Instituto Nacional de Migración (abril 2020). 6. Ciberataque a la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros por parte del grupo Anonymous (julio 2020). 7. Ataque al Banco de México (julio 2020) 8. Hackeo a la Lotería Nacional por el grupo ruso Avaddon (junio 2021). 9. Afectación de 12 empresas del sector industrial y manufacturero por parte del grupo delincuencial BlackCat (abril 2022) 10. Afectación de empresas en CDMX, Veracruz, Hidalgo, Sinaloa, Querétaro y Nuevo León por el grupo LAPSUS (junio 2022). 11. Daños a los sistemas de la fábrica Foxconn México por el grupo ruso Lockbit (junio 2022). 12. Robo de información del Buró de Crédito del historial crediticio de decenas de miles de personas del año 2016 (febrero 2023).

La iniciativa de ley propone crear la Agencia Nacional de Ciberseguridad –que dependería directamente del titular del Ejecutivo Federal–, que coordinaría el desarrollo, implementación, evaluación, actualización y mejora continua de la Estrategia Nacional de Ciberseguridad; generaría un Registro de Centros de Respuesta a Incidentes Cibernéticos Públicos y Privados; establecería esquemas de cooperación con organismos internacionales y autoridades extranjeras; y facilitaría la “denuncia ciudadana”.

A juicio de los expertos, la iniciativa tiene muchas deficiencias, pero lo que más preocupa es la gama de tipos penales que, sin derogar ninguno de los existentes en el Código Penal Federal, generarían redundancias innecesarias y peligrosas, que podrían incrementar los riesgos de censura y persecución a la población. La propuesta de Ley sería, además, insuficiente para prevenir, detectar y remediar las intervenciones ilegales de comunicaciones privadas que, sabemos, han sido llevadas a cabo por autoridades en México en contra del conocimiento y los derechos de la población, con un énfasis en periodistas, personas defensoras de derechos humanos, víctimas de la inseguridad y hasta funcionarios públicos de alto nivel del actual Ejecutivo Federal.

En España, por ejemplo, de manera distinta, se creó el Instituto Nacional de Ciberseguridad de España (INCIBE), organismo dependiente de la Secretaría de Estado para el Avance Digital del Ministerio de Economía y Empresa, que pone énfasis en la política cibernética y en la legislación española en el enfoque de competitividad.

En cambio, en México, el enfoque está -aparentemente- orientado a la seguridad. Desde esta lógica, representantes de la iniciativa privada, asociaciones civiles y académicas, se dieron cita en un Parlamento Abierto para recabar opiniones que se sumarían a la iniciativa de Ley, y para solicitar que en una política de ciberseguridad se incluya una perspectiva global y transfronteriza, con un ángulo más preventivo que punitivo, y de respeto a los derechos humanos. Destacaron aspectos que no están contenidos en la iniciativa, por ejemplo, un llamado a que la ciberseguridad esté incluida como un concepto transversal que no caiga en sobrerregulación, y que, en cambio, se articule correctamente con ámbitos como el económico, en materia de incentivos a la inversión; y con el educativo, para reforzar la prevención y el impacto social.

Expertos y organizaciones civiles señalan los riesgos que la iniciativa establece contra la libertad de expresión, la privacidad y la protección de datos personales. La organización Artículo 19, asegura que la propuesta revela un profundo desconocimiento de las nociones básicas de derechos humanos en la economía digital, y también del funcionamiento de las tecnologías. A partir del análisis de la iniciativa destacan las siguientes preocupaciones:

1. Militarización de la ciberseguridad: la iniciativa faculta a la Secretaría de la Defensa Nacional y a la Secretaría de Marina a “monitorear” y llevar a cabo “operaciones militares” en el “ciberespacio”, sin definir con precisión el tipo de actividades que podrían llevar a cabo las fuerzas armadas, bajo qué procedimientos y con qué salvaguardas. Esto conlleva el riesgo de que los militares profundicen en tareas ilegales de vigilancia, espionaje e intervención de comunicaciones privadas de la población. Claramente la iniciativa va en contra de la normativa internacional al no incluir contrapesos que limitaran a quienes realizarían dichas actividades.
2. Censura en Internet. La iniciativa pretende facultar a la “Agencia Nacional de Ciberseguridad”, a la Guardia Nacional, a la Fiscalía General de la República y a autoridades judiciales a ordenar “dar de baja” direcciones IP, dominios y sitios de Internet de manera discrecional, sin establecer ningún tipo de procedimiento o salvaguarda. Estas medidas son abiertamente inconstitucionales, pues constituyen medidas de censura prohibidas por la Constitución y los tratados internacionales en materia de derechos humanos.
3. Invasiones a la privacidad. Además de las facultades de “monitoreo” y de realización de “operaciones militares en el ciberespacio” que la iniciativa pretende otorgar a las fuerzas armadas, el texto contempla otras facultades y obligaciones que amenazan la privacidad de la población, que incluyen la facultad que se pretende otorgar a la “Agencia Nacional de Ciberseguridad” para “fortalecer actividades de inteligencia” o las obligaciones que se impone a los particulares a entregar cualquier información que le sea requerida a autoridades, sin definir con claridad los procedimientos, requisitos y salvaguardas en contra de abusos.
4. Enfoque punitivo. Los tipos penales contemplados en la iniciativa poseen términos amplios, vagos e imprecisos que implican la posible criminalización de conductas legítimas con el riesgo de violentar el derecho a la libertad de expresión; por ejemplo, en el artículo 78, la propuesta criminaliza la producción de contenidos digitales que “inciten” a la “hostilidad” o “desinformen a la población” sin aportar criterios y definiciones de esos conceptos.
5. Técnica legislativa poco clara. La iniciativa posee múltiples redacciones que harán imposible su implementación. Por ejemplo, se pretende crear un “Registro Nacional de Proveedores de Tecnología para la Intervención de Comunicaciones Privadas”, sin embargo, la definición de “Tecnología para la Intervención de Comunicaciones Privadas” es tan amplia que prácticamente cualquier dispositivo o software común sería considerado como tal. Inclusive, esta definición podría implicar la comisión de delitos por parte de personas usuarias o de empresas comercializadoras de tecnologías digitales comunes. Esto claramente atenta contra la certidumbre jurídica para las inversiones.

Por todo lo anterior, es muy importante que esta iniciativa sea ampliamente discutida y analizada con expertos y la sociedad civil debido a los impactos que tendría. Lo deseable sería que el proceso legislativo fuera verdaderamente inclusivo, serio, y enfocado en garantizar de manera efectiva el acceso a derechos y la protección de los datos en el entorno digital con un enfoque de seguridad pero también de competitividad. La ciberseguridad es de importancia toral en la economía y sociedad actuales, su regulación no debe ser consecuencia de ocurrencias o conveniencias lejanas al interés público, más bien debe servir para proteger a los usuarios y para establecer condiciones favorables a la innovación y a la inversión.