Crecen obstáculos en el camino hacia una legislación de ciberseguridad en México
México es un favorito para los ciberdelincuentes en América Latina. La mitad de todos los ataques en la región recaen en el territorio mexicano en parte porque en el país no hay regulación ni legislación en materia de ciberseguridad.
El país se encuentra en la encrucijada de la ciberseguridad y el camino hacia una legislación efectiva que aún está lejos de ser claro. Las recientes propuestas de leyes de ciberseguridad en México han generado un intenso debate que plantea una serie de desafíos y preocupaciones, mientras que las organizaciones de ciberdelincuentes no paran de avanzar.
Y es que México ha emergido como un objetivo prioritario para los ciberdelincuentes en América Latina. El país enfrenta la mitad de todos los ciberataques en la región, lo que provoca pérdidas económicas significativas, estimadas en más de 8 mil millones de dólares, según el informe más reciente del Panorama Global de Amenazas de FortiGuard Labs.
Durante el primer semestre del año, el país se convirtió en el blanco de más de 14 mil millones de intentos de ciberataques. El reporte resalta que las organizaciones continúan operando en un estado reactivo debido a la creciente sofisticación de los actores maliciosos y el aumento de ataques dirigidos. Por lo tanto, el análisis constante del panorama de riesgos se vuelve esencial para anticipar posibles actividades amenazantes.
Hasta hoy México luce como un terreno fértil para los ciberdelincuentes. En el país no existe una obligación para reportar o denunciar incidentes relacionados con la ciberseguridad, lo que dificulta la obtención de datos y estadísticas precisas sobre incidentes y ciberdelitos. En muchos casos, las organizaciones y las personas afectadas optan por no reportar esta información ya sea por el temor de que perjudique su reputación o su prestigio, por la falta de conocimiento sobre cómo hacerlo, o la percepción de que no se resolverá de manera efectiva.
Incluso el surgimiento de nuevas tecnologías, como la Inteligencia Artificial, han beneficiado a los ciberdelincuentes, provocando una mayor vulnerabilidad. "No importa el país, industria o tamaño, los atacantes le ganan la batalla a las empresas utilizando IA, una herramienta que facilita los ataques", dijo Hugo Werner, Vicepresidente regional de Akamai para Latinoamérica -una empresa estadounidense de soluciones en cloud computing y seguridad-, durante una reunión con medios de comunicación.
Ante este panorama, han surgido propuestas para echar a andar la primera legislación de ciberseguridad en el país. Desde 2018 se han propuesto 11 iniciativas de leyes sobre ciberseguridad, pero ninguna ha llegado a concretarse. El legislador Javier López Casarín, del Partido Verde y presidente de la Comisión de Ciencia, Tecnología e Innovación en la Cámara de Diputados, presentó en abril una nueva iniciativa que propone un papel más activo de las fuerzas armadas en la atención de incidentes cibernéticos.
La propuesta de López Casarín también plantea la designación de un organismo encargado de recopilar información sobre incidentes, ciberataques y delitos cibernéticos que hayan ocurrido en organizaciones tanto públicas como privadas; con la intención de establecer puntos de referencia y ofrecer indicadores para orientar mejoras continuas en este campo. Sin embargo, la propuesta ha sido criticada por amenazar los derechos humanos y promover la militarización, frenando su avance.
La ciberseguridad, un mundo entero de posibilidades
La paralización legislativa para dar a luz leyes en materia de ciberseguridad también es reflejo de la complejidad del asunto. Werner, de Akamai, cataloga a la ciberseguridad como un "sector gigantesco". Alberto Friedmann, CEO en CODECO, experto en ciberseguridad, cree que la ciberseguridad va mas allá de una ley, porque la ciberseguridad es global.
Según Friedmann, hay tres ejes fundamentales: la seguridad pública, seguridad privada y seguridad nacional. “Hay muchos puntos donde se intersectan, pero son conceptos diferentes, por lo que hay que integrar correctamente a cada uno en el contexto adecuado”, dijo en entrevista. “Como la ciberseguridad es un elemento que nos afecta en todos los ámbitos de la vida, se intersecta con muchas leyes”.
“No es hacer por hacer, debe de escucharse a los diferentes legisladores y miembros de la sociedad tanto en el ramo público, privado, estatal, nacional e internacional con la finalidad de que sea una ley adecuada y que haya una convergencia correcta”, dijo Friedmann.
Friedmann también destaca las posibles implicaciones de esta ley en la innovación y el desarrollo tecnológico: "Como consecuencia, también se podría sobrerregular. ¿Qué pasará con los nuevos descubrimientos, con la investigación, y el desarrollo tecnológico? Todo queda limitado y acotado. Hoy por hoy, que se está empezando a ver una gran inversión en México, creo que lo que debemos hacer es acoplarnos al concepto de Norteamérica, porque es un ente del cual dependemos".
En relación con los esfuerzos regionales en materia de ciberseguridad, Friedmann subrayó: "En el T-MEC se tienen ya integrados conceptos de ciberseguridad y México no puede implementar una ley que se contraponga, que no se sincroniza adecuadamente con estos conceptos. Necesitamos estar acoplados y prepararnos con legislación adecuada."
Al respecto, Kiyoshi Tsuru, presidente en TMI Abogados, destaca que la propuesta tiene un área de oportunidad en el tratado regional. “Tiene un enfoque basado en riesgos, que está en disonancia con el Tratado de Libre Comercio México, Estados Unidos y Canadá, por ejemplo en la cuestión de que se debe privilegiar que los servidores o los datos se encuentren en el territorio nacional en determinados casos", dijo Tsuru en entrevista. "Sí existe una contradicción”, añadió.
Hugo Werner, quien actualmente también participa de las discusiones en el Senado sobre la ley, señala que una de las mejores maneras en las que pueden amalgamarse las preocupaciones sobre ciberseguridad, no sería a través de una única Ley de Ciberseguridad. "Hacer una Ley de Ciberseguridad completa sería muy difícil. En vez de una ley, todas las regulaciones deberían de tener componentes de ciberseguridad. La ciberseguridad debería de estar presente en cada una de las regulaciones", señaló.
Sin embargo, las discusiones están considerando estrategias como la creación de una Alianza para IA, como una medida para abordar la preocupación en torno al surgimiento de esta tecnología y sus principales retos que involucran también la ciberseguridad.
La apertura y disposición serán clave
A medida que crecen las tensiones y preocupaciones en torno a la legislación de ciberseguridad en México, queda claro que el camino hacia su aprobación no será fácil. La falta de consenso entre diversos sectores y las preocupaciones sobre la protección de derechos humanos y la privacidad plantean desafíos significativos.
Friedmann destacó la falta de asesoría y apoyo de personas con experiencia y conocimiento en el medio, y destacó que para echar a andar una mejor propuesta, habría que tomar en cuenta a la academia y a expertos en ciberseguridad que aporten el conocimiento específico que se requiere. Para Werner, esta apertura ha tenido un buen inicio, sin embargo, aún falta por mejorar. "Se cuenta con la participación de diferentes actores importantes, como el INFOTEC, para escuchar los diferentes puntos de vista. Yo diría que va bien, pero aún le falta", mencionó.
Con todo, en la más reciente propuesta todavía hay interrogantes por resolver. Friedmann señaló la preocupación de que sea una ley federal o general: "Si se hace una ley federal se exime a los estados y municipios, y no se podrían perseguirse de forma directa para algunos municipios. Ese tipo de conceptos no están bien abordados ni definidos”.
“Es por eso que considero que es un mazacote, un revoltijo y el modelo no se visualiza correctamente. (...) Hay que hacerlo de manera equivalente, si no lo hacemos así, vamos a tener un fracaso de ley."
Entonces, ¿hasta cuándo veremos una legislación en cuestión de ciberseguridad en México? La respuesta no es clara. Dado que los sectores con una demanda destacada de servicios de ciberseguridad en México se encuentran el sector financiero, la administración pública, sanidad, entre otros, será importante reunir todas las perspectivas posibles para no eximir ninguna.
“Para amalgamar un modelo se necesitan escuchar muchos componentes, porque cada uno tiene su propio esquema, y mientras el Legislativo no tenga esa apertura, se podrá ver únicamente una imposición y eso (lleva) a un fracaso inminente”, opina Friedmann.
Hasta ahora, la propuesta en el Congreso continúa discutiéndose y mejorándose. Pero la ciberdelincuencia también se fortalece a gran velocidad con las nuevas tecnologías; de allí que el tiempo cuenta y mucho.
