La protección del ciberespacio en México está fragmentada

La defensa y protección del ciberespacio en México recae en varias dependencias gubernamentales. El CERT MX de la Guardia Nacional, el Inai y el departamento de Tecnologías de la Información de cada dependencia están entre quienes deben proteger las redes y los datos que utiliza y transmite la ciudadanía mexicana.

Al menos hasta 2021, existía en la administración pública mexicana federal la obligación de sujetarse al Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones y de Seguridad de la Información (MAAGTICSI), un manual sobre el uso de las tecnologías que debía ser adoptado por todas las dependencias del gobierno federal.

Con la entrada en vigor del “Acuerdo por el que se emiten las políticas y disposiciones para impulsar el uso y aprovechamiento de la informática” en septiembre de 2021, cada dependencia debe tener su propio Marco de Gestión de Seguridad de la Información (MSGI), que debieron haber creado antes de marzo de 2022. 

Anahiby Becerril, especialista en ciberseguridad del Instituto de Investigaciones Jurídicas de la UNAM, cree que debe existir una coordinación de los distintos esfuerzos que realizan las dependencias de la administración pública para defender el ciberespacio mexicano. El nuevo modelo también obliga a las dependencias a defender su seguridad cibernética pero de forma independiente.

Lo importante es la coordinación de esfuerzos y la comunicación entre los participantes que nos permita tener un sistema robusto de ciberseguridad que nos ayude a prevenir o a enfrentar a los ciberataques o a los disidentes”, dijo Becerril en entrevista. 

De acuerdo con la investigadora, el objetivo de la comunidad de ciberseguridad en México es alcanzar esa coordinación: una en la que participe el gobierno, pero también participe el sector privado, la academia, el sector técnico y organizaciones no gubernamentales. 

“Varios trabajamos para que así pueda ser, pero también es un tema de voluntades, dijo.

Las policías cibernéticas, otro ejemplo de autoridad en ciberseguridad que tiene labores de orientación a la ciudadanía, denuncia, capacitación y persecución a los delitos cometidos en el ciberespacio comparte cierta responsabilidad con entidades del sector privado en la protección y defensa del ciberespacio mexicano y con otras varias instituciones más, de acuerdo con la especialista.   

“Por un lado tenemos a la Guardia Nacional que administra el CERT MX, el cual dentro de sus atribuciones está el monitorear la red pública de internet, pero también hay otras dependencias que concurren en esta labor, como el Inai, que protege los datos personales tanto en el mundo físico como en el mundo digital. Eso lo tenemos fragmentado”, dijo Becerril. 

Para Jonathan López Torres, abogado de CyberUs, la estructura de coordinación de la defensa del ciberespacio en México debe ser básica y debe aprovechar la naturaleza de las propias instituciones. El especialista introduce otra perspectiva de la fragmentación de las responsabilidades de protección del ciberespacio.

“Mientras que las policías cibernéticas, que en México dependen de las secretarías de Seguridad Pública estatales y de la Guardia Nacional, observan al ciberespacio mexicano desde el punto de vista de la seguridad pública, las encargadas de la materia penal son las fiscalías y los ministerios públicos”, dijo. 

Las fiscalías, sobre todo las estatales, son las que deben llevar a cabo las investigaciones sobre incidentes de seguridad de la información como el hackeo a la Secretaría de la Defensa Nacional por parte del grupo Guacamaya.

rodrigo.riquelme@eleconomista.mx

kg