Ley de Ciberseguridad en México; una propuesta sin sustento técnico

Una investigación de R3D: Red en Defensa de los Derechos Digitales, hecha en febrero de 2024, reveló que el Centro de Operaciones del Ciberespacio (C.O.C.), una unidad dependiente de la Subjefatura de Inteligencia del Estado Mayor Conjunto de la Defensa Nacional, realizaba actividades de monitoreo de personas usuarias de redes sociales que hacen publicaciones críticas hacia las Fuerzas Armadas o al gobierno federal, sin contar un marco legal que dé sustento a dichas acciones y por ello una ley que contemple a este ente como regulador, sería un error para los derechos digitales en México.

Y parte de la preocupación de la organización estaba en la falta de marco legal y técnico de la propuesta de López Casarín. Posteriormente, el 27 de febrero, la diputada Juanita Guerra presentó una nueva iniciativa para expedir la Ley General de Ciberseguridad, misma que quedó en el tintero una vez más, y recientemente llegó la propuesta de la senadora Alejandra Lagunes.

La iniciativa busca establecer un marco legal integral para garantizar la ciberseguridad en México, abordando la protección de las infraestructuras críticas y la información sensible en el entorno digital. Aunque fue un documento en el que trabajaron especialistas en derechos digitales, siguen existiendo ciertas preocupaciones en torno a las dependencias que se encargarían de vigilar estas regulaciones.

Uno de los aspectos que más destaca es que el Consejo de Seguridad Nacional de México será el que registrará los delitos cibernéticos. Sin embargo, este ente tiene su enfoque principal en la seguridad pública y la defensa nacional. Su experiencia técnica en ciberseguridad podría estar más limitada en comparación con organismos especializados en tecnología y telecomunicaciones, como la Secretaría de Comunicaciones y Transportes (SCT) o el Instituto Federal de Telecomunicaciones (IFT).

De acuerdo con Belfor García, viceministro de transformación digital de Colombia, uno de los problemas que tuvieron a la hora de crear la normativa de ciberseguridad fue no tener un ente técnico especializado, y justo crear una normativa muy unida a las oficinas de seguridad pública.

“Tuvimos que establecer una nueva oficina especializada en tecnologías de la información, donde se pudieran generar normativas e investigaciones en torno a este tipo de delitos”, señaló el funcionario en la Cyber Security Week de Kaspersky.

Uno de los puntos que García señala como primordial es el de crear más educación digital, pese a ello la propuesta de Lagunes no presta mucha atención en este tema, solo hace énfasis en la promoción de la cultura de ciberseguridad, incluyendo la difusión de políticas en un lenguaje accesible para la población en general.

Dentro de los puntos que destaca en esta nueva iniciativa está la creación del Sistema Nacional de Ciberseguridad que sería el encargado de coordinar las políticas públicas en materia de ciberseguridad, incluyendo la participación de diferentes niveles de gobierno y sectores privados. Se establecerían mecanismos de cooperación entre las instituciones públicas y privadas, con énfasis en la protección de infraestructuras críticas.

Esto último cobra sentido ante el incremento de ciberataques que se vive en la región, como fue hace unos años el caso de Pipeline en Estados Unidos.

Fabio Assolini, director del equipo global de investigación y análisis de América Latina en Kaspersky, señaló que los gobiernos además son de los flancos más populares para los cibercriminales y existen tres principales vulneraciones que los afectan: detener servicios, robar datos y ser espiados.

Según datos de la firma de seguridad, el 21.47% de los ataques de malware que se viven en México están dirigidos a instituciones gubernamentales, por lo que lo ideal es que existan entes independientes que puedan revisar este tipo de ciberataques, los analicen y se creen regulaciones en cooperación con gobierno, industria privada y sociedad.