Lectura 7:00 min
Necesidades y tentaciones en la Estrategia de Ciberseguridad
Especialistas urgen a reformar y actualizar el marco legal vigente de México relacionado con las tecnologías de la información, como parte indispensable para caminar hacia una política pública de protección y defensa integral en el ecosistema digital.
En junio del 2016, el medio digital independiente Masde131.com fue víctima de un ataque cibernético que obligó a su equipo editorial a deshabilitar temporalmente el sitio. Detrás del ataque estaba una red de dispositivos comprometidos (botnet) que, controlados remotamente y sin el conocimiento del usuario, vulneraron la infraestructura de Masde131.com. Los expertos del colectivo Enjambre Digital detectaron que la botnet contaba con al menos 25,000 direcciones IP de todo el mundo.
Este tipo de ciberataques son agresiones contra la libertad de expresión. La asociación civil Artículo 19 documentó unas 72 agresiones contra la prensa en internet durante el 2016, de las cuales unos 16 casos fueron ataques informáticos que llegaron a inhabilitar sitios web por un tiempo determinado.
NOTICIA: Estrategia de Ciberseguridad debe ser obligatoria para todos
El marco legal vigente en México hace que denunciar e investigar un ataque cibernético sea una labor titánica, dijo Joel Gómez Treviño, presidente de la Academia Mexicana de Derecho Informático. Este es uno de los retos que deberán resolverse en la Estrategia Nacional de Ciberseguridad (ENCS), especialmente cuando uno de los principios rectores de esta política pública es la perspectiva de derechos humanos.
Todo lo que tiene que ver con código malicioso, a mi juicio, no está contemplado en la legislación mexicana: malware, desarrollo de virus o gusanos o el tema del secuestro de datos e información, los ataques de denegación de servicio (DDoS), el impedimento del buen funcionamiento de un sistema informático tampoco está contemplado como un delito en México , dijo Gómez Treviño.
Los delitos informáticos se encuentran tipificados en el Código Penal Federal en los artículos 211 (bis 1 al 5 y 7), 424 bis y 429; en la Ley General del Sistema Nacional de Seguridad Pública, Artículo 139; y en 21 legislaciones estatales. Pero no cuentan con la claridad necesaria para perseguir efectivamente el ciberdelito. ¿Qué sucede cuando alguien quiere perseguir a un criminal cibernético? Pues tienes que demostrarle al juez que la computadora estaba protegida. Cada perito te puede dar una definición distinta de computadora protegida por un mecanismo de seguridad y es uno de los principales problemas que tiene México en ese sentido. Y te pide que sea protegida para que sea delito. ¿Qué significa? Que si tu computadora no tenía password, o a los ojos del perito o del juez no estaba con un mecanismo de seguridad, significa que no hay delito , dijo Gómez Treviño.
Esta realidad no se refleja en los rankings usados por el gobierno mexicano para argumentar que el país ha avanzado en seguridad informática. En la edición más reciente del Índice de Ciberseguridad elaborado por la Unión Internacional de Telecomunicaciones (UIT), México se ubica como el país de América Latina más avanzado en temas de ciberseguridad y el tercero de todo el continente, por debajo de Canadá y Estados Unidos. A escala mundial lo ubica en el sitio 28 de 165. La UIT considera que México tiene un conjunto completo de legislación cibernética que abarca la criminalidad, la protección de datos, la privacidad de datos y las transacciones electrónicas .
Este ranking me parece que es vergonzoso en el sentido de que no se lo merece México y en ningún momento podría ostentarse como el país más ciberseguro de América Latina. Lo que seguramente no investigaron es que la Ley de Delitos Informáticos data de 1999. Tenemos una Ley con 18 años de antigüedad que está por demás obsoleta y nunca estuvo bien redactada. Tenemos un marco legal muy malo en materia de persecución a la ciberdelincuencia , dijo Gómez Treviño.
NOTICIA: ¿Qué es la Estrategia Nacional de Ciberseguridad?
El director del Centro Iberoamericano para el Desarrollo e Investigación de la Ciberseguridad (CEIDIC), Luis Ramírez Trejo, reconoce que en México existe una severa falta de capacitación de las autoridades para iniciar y realizar averiguaciones por delitos informáticos. Tener un abogado especialista en materia de ciberdelitos es difícil. Desafortunadamente, en los esquemas educativos en materias de derecho, la parte que tiene que ver con delitos informáticos es optativa y muy pocos la toman. La mayoría de los abogados que sí saben ya están ocupados en una empresa y es muy difícil que los saques , dijo.
La ENCS tiene como uno de sus ejes el capacitar y desarrollar talento humano en materia de ciberseguridad. Pero Ramírez Trejo, quien ha capacitado a 22 policías cibernéticas del país, aseguró que no hay recursos ni condiciones para generar el talento necesario. Podemos tener la mejor ley del mundo, hecha por los mejores especialistas del planeta, pero si no tienes a gente capacitada en el país para entender, interpretar y ejecutar esa ley no sirve absolutamente de nada. No sólo falta mejorar la ley mexicana sino tener protocolos de investigación y tener autoridades capaces que entiendan del tema , dijo Gómez Treviño.
Las tentaciones
Los intentos de actualizar los marcos legislativos en materia de cibercrímenes en México no son alentadores. La iniciativa presentada en el Senado bautizada como la Ley Fayad del 2015 o intentos de legislaciones locales en Tamaulipas o en San Luis Potosí, con las que se pretendía castigar la creación y difusión de memes, revelan tentaciones de las autoridades por regular y controlar internet, más que proteger a usuarios, empresas y al propio gobierno.
NOTICIA: Estrategia Nacional de Ciberseguridad arranca con desconfianza por espionaje
Una legislación poco clara o incompleta puede llevar incluso a la criminalización de la investigación misma en ciberseguridad. Es vital mantener en observación las posibles modificaciones al marco normativo que tuviesen el potencial de impactar en el ejercicio de derechos humanos o en la propia investigación de incidentes de seguridad, que tengan como consecuencia o efecto la criminalización de quienes se dedican a estudiar y entender, por ejemplo, ataques informáticos , dijo Jacobo Nájera, investigador de Enjambre Digital.
Entre opacidad e incertidumbre
Este viernes concluye la consulta pública sobre el primer documento de trabajo de la ENCS. Si bien las versiones oficiales aseguran que se busca la participación tanto de las autoridades como de la industria, expertos y sociedad civil, lo cierto es que el gobierno mantuvo una discreta campaña de difusión tanto de este mecanismo de participación como de los foros organizados por la Organización de Estados Americanos. La participación de los diferentes actores quedó acotada a selección y deliberación de sus promotores , criticó Nájera.
Esto no abona a un escenario de credibilidad para el gobierno, luego de enfrentar acusaciones sobre un espionaje ilegal y sistemático en contra de la sociedad civil a través del uso del software malicioso Pegasus, desarrollado por la firma israelí NSO Group.
NOTICIA: Policía Federal quiere un Consejo Nacional de Ciberseguridad
El documento se da en un momento de nula transparencia por parte del gobierno mexicano con relación a la adquisición y uso de productos de vigilancia. (...) Destacan casos documentados del uso ilegal de estos productos contra activistas, periodistas y defensores de derechos humanos hasta este momento, con evidencia sólida no refutada por el Estado , dijo Nájera. Por el contrario la evidencia es coincidente con las compras gubernamentales y el uso documentado de estas tecnologías, por esfuerzos independientes desde sociedad civil y academia , agrega. El esbozo de la ENCS no plantea controles para la adquisición y uso de estas herramientas.
Gómez Treviño duda de que esta política pública que busca delinear la forma como los ciudadanos ejercen su ciudadanía, se desarrolla la economía digital y evolucionan las industrias y las ciudades vaya a salir bien librada en lo que resta del gobierno de Enrique Peña Nieto. No le auguro ningún éxito porque estamos a un año de que cambie el sexenio. Y con el cambio de sexenio, quede el partido político que quede, son personas distintas que no tienen el interés de continuar necesariamente con la Administración anterior , dijo.
erp