Se alista el primer borrador de Ley Federal de Ciberseguridad en México. El esfuerzo surge en reacción al ciberataque del grupo hackeractivista Guacamaya, en lo que anunciaron fue el robo de seis terabytes de información de la Secretaría de Defensa Nacional (Sedena). El paquete de información incluyó reportes sobre el estado de salud del Presidente Andrés Manuel López Obrador y detalles de la operación 'Culiacanazo', una intervención militar frustrada por amenazas de los hermanos del Chapo Guzmán en 2018.
El último intento por legislar en materia de ciberseguridad se registró a inicios de 2021, pero la iniciativa de Moreno no prosperó al considerarse riesgosa para la libre expresión en medios sociales y plataformas digitales.
Para el presidente de la Comisión de Ciencia, Tecnología e Innovación, Javier López Casarín, el meollo central es tipificar los delitos “como ilícitos del fuero federal, y no del fuero común, como ocurre hasta ahora”. Esto permitiría enfrentarlos desde una estrategia de seguridad nacional.
El debate ya ronda sobre la necesidad de articular una Ley Federal o proceder con modificatorias a la normativa ya existente. A la fecha, el Código Penal Federal cuenta con el artículo 211 bis 2, el cual sanciona comportamientos como el cometido por el grupo Guacamaya.
“Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa”.
Así como a “quien sin autorización conozca, obtenga, copie o utilice información contenida en cualquier sistema, equipo o medio de almacenamiento informáticos de seguridad pública, protegido por algún medio de seguridad, se le impondrá pena de cuatro a diez años de prisión y multa de quinientos a mil días de salario mínimo general vigente en el Distrito Federal. Si el responsable es o hubiera sido servidor público en una institución de seguridad pública, se impondrá además, destitución e inhabilitación de cuatro a diez años para desempeñarse en otro empleo, puesto, cargo o comisión pública”.
No dejes de leer: Protección de datos: el sector energético frente a ciberataques
La Sedena fue advertida
En febrero de este año, la Auditoría Superior de la Federación (ASF) advirtió a la Sedena de las vulnerabilidades que registraba en sus controles. Luego de la Auditoría de Cumplimiento a Tecnologías de Información y Comunicaciones, la ASF emitió un documento de 38 páginas, identificado con el número 2020-0-071000-20-0068-2021, en el que se puede revisar los detalles.
“(Existen) deficiencias en la administración y operación de 18 de los 20 controles de Ciberseguridad para la infraestructura de hardware y software de la Secretaría, revisados conforme lo establecido en el documento ‘Center for Internet Security (CIS) Control IS Audit/Assurance Program’”, indica la publicación.
De acuerdo a la auditoría federal, entre el 2013 y 2019, la Sedena invirtió más de 125 millones de dólares en dos direcciones responsables del diseño y desarrollo de infraestructura tecnológica que salvaguarde la información. Se trata de la Dirección General de Informática y en la Dirección General de Transmisiones. Ambas debieron capacitar a los funcionarios de la Sedena y a su vez ésta solicitar pruebas y verificaciones operativas del servicio entregado.
“Para que la Secretaría de la Defensa Nacional en futuras contrataciones en materia de Tecnologías de Información y Telecomunicaciones (TIC) fortalezca los controles de supervisión, seguimiento y validación por parte de los administradores de contrato y personal autorizado para la supervisión y vigilancia del instrumento jurídico, realizando revisiones independientes a las efectuadas por el proveedor sobre los servicios prestados”, indica.
La ASF destaca la existencia de deficiencia en los controles de ciberdefensa a nivel de hardware y software de la Sedena, lo que pone en potencial riesgo la integridad, disponibilidad y confidencialidad de la información. Hace especial énfasis en la “falta supervisión y control en el seguimiento de entrega de servicios por parte del proveedor”, como causa de irregularidad en los contratos establecidos en materia de tecnologías de la información y comunicación (TIC).
Te recomendamos leer: Solana investiga vaciado de cerca de 8.000 billeteras virtuales
Iniciativas truncas e incompletas
El ímpetu para desarrollar un marco regulatorio y sancionatorio no solo se ha visto truncado a nivel de legislatura. Hace casi una década, la misma Secretaría de Defensa Nacional intentó crear un Centro de Operaciones del Ciberespacio (Cocem), pero su desarrollo tuvo avances intermitentes, entre menciones en documentos oficiales, como partidas presupuestales en el 2016 y 2020. Pero solo en el primer año registró una dotación de recursos que permitió, en ese entonces, conseguir instalaciones y personal. Su equipamiento, adquisición de plataformas y operaciones, en un plan que debía durar hasta el 2030, supuso en un punto un desembolso que supera los 22,5 millones de dólares.
La iniciativa de creación de una autoridad que centralice y vele por la ciberseguridad ha vuelto al debate. El proyecto de Ley Federal de Ciberseguridad está considerando 15 iniciativas que, hasta la fecha, permanecieron en pausa —12 planteadas por senadores y 3 por diputados federales —. La última de ellas fue presentado apenas días antes de que la filtración liderada por el grupo hackeractivista fuera alertada.
La propuesta es de autoría de Cristóbal Arias Solís, legislador de Morena. Se trata de un proyecto de decreto que plantea modificar la Ley General del Sistema Nacional de Seguridad Pública con el objetivo de crear un Centro Nacional de Seguridad Cibernética. A ello, añade, la reforma de la Constitución mexicana, puntualmente de sus artículos 6 y 73, con la finalidad de que el Estado garantice el derecho de acceder a las TIC de forma segura.
Otras propuestas recientes, son las de la senadora Jesús Lucía Trasviña Waldenrath (Morena), el senador Miguel Ángel Mancera (PRD) y el diputado Javier Salinas Narváez (Morena). Se sabe que del grupo de propuestas concertadas, casi la cuarta parte formulan una propuesta de Ley, las demás plantean modificaciones a la normativa existente.
La propuesta del senador Arias se suma a las 13 iniciativas de creación de leyes y reforma de artículos en materia de ciberseguridad que se han presentado ante el Congreso de la Unión. El senador Miguel Ángel Mancera, la senadora Jesús Lucía Trasviña Waldenrath y el diputado Javier Salinas Narváez están entre quienes presentaron más recientemente una propuesta para regular el ciberespacio mexicano.
Sobre estas tres últimas iniciativas, el Comité de Asuntos Regulatorios del Consejo de Expertos en Regulación y Ciberseguridad (CERC), ha realizado un análisis identificando vacíos e imprecisiones conceptuales en lo que respecta a las definiciones de ciberdelito, ciberamenaza y lo que configura un riesgo. En las tres propuestas se menciona la creación de una agencia, secretaría o plataforma nacional a cargo de la materia.
El CERC cuenta con 17 miembros multisector —público, privado, sociedad civil y academia— organizados en cuatro subcomités: Asuntos Regulatorios, Educación, Concientización y Elaboración de Documentos.
También te puede interesar: La adopción de las criptomonedas en el comercio electrónico
Hay un extremo relevante que no se asomo en la conferencia de prensa de AMLO, sobre el tema, la mañana siguiente al anuncio de la filtración. Se trata de la captura de datos personales de funcionarios públicos y particulares.
Sobre ello, se manifestó el Instituto Nacional de Transparencia (Inai), mediante un comunicado publicado en Twitter, ocho horas después de la presentación del presidente López Obrador. El texto advierte el suceso y el inicio de una investigación preliminar.
📄#INAIalMomento
— INAI (@INAImexico) September 30, 2022
Datos personales en riesgo de estar comprometidos por ataque cibernético a @SEDENAmx.
🔗https://t.co/XusGiyEgIT pic.twitter.com/dhE7flGnwF
}
Add new comment