Estrategia Nacional de Ciberseguridad: gobierno bajo ataque

Un ataque cibernético de denegación de servicio (DDoS) mantuvo en jaque al sitio gob.mx durante 45 minutos en junio de 2016. Esta plataforma aspira a ser una ventanilla única de la comunicación del gobierno federal con la ciudadanía y un concentrador de todos los trámites y servicios disponibles para la población. El daño no fue significativo ocurrió un domingo a las ocho de la noche pero para el gobierno significó una vulneración a la infraestructura crítica con alto potencial de afectación.

Fue un ataque de gran envergadura que sí vulneró la infraestructura durante este periodo de tiempo. Tenemos que resaltar la relevancia y la importancia de esta infraestructura en línea cuando tenemos entre medio millón y un millón de mexicanos visitándola al día. Ya involucra un daño patrimonial, un daño directo o indirecto a los mexicanos , dijo el miércoles 2 de agosto Víctor Lagunes Soto Ruiz, Jefe de la Unidad de Innovación y Estrategia Tecnológica de la Presidencia de la República, en una entrevista con El Economista.

NOTICIA: ¿Qué es la Estrategia Nacional de Ciberseguridad?

Gob.mx no es la primera plataforma digital de la Administración Pública que ha sido blanco de ataques. Entre 2011 y 2012, el sitio de la Secretaría de Gobernación sufrió afectaciones producto de ciberataques y, hace un par de meses, la firma de ciberseguridad Arbor Networks informó que había detectado malware espía en la infraestructura del gobierno.

Los riesgos potenciales de un ataque informático que comprometa la información de los usuarios o incluso la integridad de los ciudadanos, al afectar infraestructura crítica energética, de salud o transporte, comienzan a figurar en los radares del gobierno.

Alrededor del mundo, ciberataques en Estonia (2007), Irán (2010), Arabia Saudí (2011), Alemania (2014), Ucrania (2015) y Estados Unidos (2016) han aprovechado vulnerabilidades de las infraestructuras críticas de petróleo y gas, del sistema financiero o del sistema de salud para perpetrar ataques informáticos capaces de crear daños físicos. México no está exento de las amenazas cibernéticas, y para afrontarlas el gobierno quiere sentar las bases en una política pública, la Estrategia Nacional de Ciberseguridad (ENCS).

No es un tema de si va a suceder sino de cuándo va a suceder, cómo estamos preparados para enfrentar el tema, para poder continuar operando y para poder recuperar la infraestructura lo más rápido posible. Y esto es un cambio de paradigma que tenemos que empezar a platicar, empezar a operar y empezar a preparar para cuando suceda un ataque como fue el ransomware WannaCry. Tenemos que fortalecer el protocolo y hay una necesidad muy clara de actuar mejor y reaccionar mejor , dijo Lagunes.

NOTICIA: WannaCry, llamado de urgencia para Estrategia Nacional de Ciberseguridad

A escala estatal y municipal, las instituciones de gobierno también están bajo constantes ataques, aunque esta situación pasa inadvertida por las propias autoridades, ya sea que no detectan que son atacadas o lo mantienen en la opacidad. La propuesta de la ENCS de Presidencia establece que, a excepción del Ejecutivo Federal, la adopción de esta política pública será voluntaria y cooperativa .

Los gobiernos estatales y municipales están siendo atacados. A veces no nos enteramos porque no tienen la responsabilidad para publicarlo; no existe una regulación donde tengan que decir que fueron hackeados, sin embargo están siendo fuertemente atacados , dijo Jorge Miranda, director de Ventas Regionales de la firma de ciberseguridad Fortinet.

Una tarea para el próximo gobierno

La creación de una política pública en materia de ciberseguridad está estipulada en el Programa para la Seguridad Nacional 2014-2018, promulgada por el Ejecutivo Federal el 30 de abril del 2014. En julio de este año, el gobierno federal publicó el primer documento de trabajo para diseñar la ENCS y lo sometió a consulta abierta hasta el 11 de agosto.

NOTICIA: Policía Federal quiere un Consejo Nacional de Ciberseguridad

Este primer documento de 13 páginas esboza los aspectos básicos para el diseño de esta política pública. El borrador prevé la construcción de la ENCS durante el 2017 y de las bases para su implementación a lo largo del 2018. De fondo carga una complejidad alta, partiendo desde la homologación de procesos de acción y respuesta en ciberataques a escalas federal, estatal y municipal; hasta los cambios legislativos para la investigación, tipificación y persecución del cibercrimen. Este escenario complica que la ENCS sea concretada en el último año de la administración de Enrique Peña Nieto.

En el mejor de los casos (se realizará) el fortalecimiento y la propuesta del documento de Ley para la mejora del marco legislativo. Pero si no se puede lograr eso este año, se va a dejar una base estudiada y diagnosticada, basada en información para el próximo año, y que puede suceder mucho mejor como una propuesta para el primer año de gobierno de la siguiente Administración si es que viene ya encapsulada en una agencia especializada para diagnosticar y proteger las infraestructuras de gobierno, para proteger mejor a la ciudadanía , dijo Lagunes.

El caso #GobiernoEspía

Consultado sobre el espionaje en contra de periodistas, activistas y sociedad civil, realizado mediante herramientas de uso exclusivo del gobierno, Lagunes defendió que se trata de supuestos hasta que las investigaciones demuestren lo contrario. Insistió en que la vigilancia y las instancias de seguridad nacional operan sobre un estado de derecho .

Lagunes quiere evitar cualquier quebranto en los trabajos de diseño de la nueva política pública de ciebrseguridad, como ya sucedió con la Alianza para el Gobierno Abierto (AGA), pues reconoce que es imprescindible la cooperación entre todos los actores interesados.

Lagunes se dijo abierto a continuar con los diálogos y analizar propuestas de la sociedad civil, incluyendo las organizaciones Artículo 19, SocialTic o la Red en Defensa de los Derechos Digitales (R3D), y debatir abiertamente la inclusión de esta temática en la ENCS. Aún así, la posición del gobierno se mantiene hacia el rechazo en la transparencia y control de las herramientas y las prácticas de vigilancia electrónica, al menos dentro de esta política pública. La parte operativa no se puede transparentar en todo momento porque se vulneraría la misma operación que tiene que ser ejecutada en secrecía. Finalmente así es como se hacen investigaciones de grupos cibercriminales, grupos hackers, etcétera. El caso específico del supuesto espionaje y monitoreo todavía está en supuesto , dijo.

Más capacidades militares

La ENCS tiene un enfoque preventivo y colaborativo, aseguró Lagunes. Reconoció que el desarrollo de las capacidades en ciberseguridad resulta fundamental y esto incluye a la milicia mexicana. Los esfuerzos previos han carecido de presupuesto. En el Presupuesto de Egresos de la Federación para el 2017, la Sedena solicitó 533.2 millones de pesos para arrancar un Centro de Operaciones del Ciberespacio, pero no le fue asignado ningún recurso para la iniciativa.

El objetivo del proyecto de inversión ‘Construcción del Centro de Operaciones del Ciberespacio’, el cual fue cancelado, consideraba llevar a cabo acciones relativas a la ciberdefensa ante amenazas y/o ataques provenientes del ciberespacio, en los sistemas informáticos y de comunicaciones del Ejército y Fuerza Aérea mexicanos, sin que especificara la responsabilidad de la ciberseguridad a nivel nacional , explicó la Secretaría de la Defensa Nacional (Sedena) a El Economista a través de una solicitud de transparencia.

NOTICIA: Día de Internet con un Estado mexicano débil en ciberseguridad

Lagunes dijo que este tipo de proyectos deben ser implementados a largo plazo, aunque reconoció la importancia de crear un equipo de trabajo que fortalezca las acciones y las actividades de la División Científica de la Policía Federal . No reveló si el tema de ciberseguridad será elevado a un tema de armada y defensa nacional, pero hizo patentes las intenciones de sentar las bases para que el próximo gobierno invierta en el desarrollo de tecnología militar.

Lo complicado está en que no desarrollamos tecnología militarizada, de defensa en el área cibernética. La tenemos que adquirir e integrar a nuestros sistemas. Trabajamos muy de cerca con Estados Unidos, con Canadá, con Israel, con Reino Unido, con Alemania para la implementación de nuestros sistemas. En nuestro parecer, debemos asumir que somos blanco de ataque también , dijo Lagunes.

julio.sanchez@eleconomista.mx

erp