Sí existe un consenso entre expertos y legisladores, el cual se menciona tanto en entrevistas directas como en foros especializados: México requiere consolidarse en ciberseguridad, desde contar con una ley en la materia hasta tener un centro especializado.
También lo ha mencionado así la actual administración gubernamental, como una de sus 100 promesas clave.
Luego de que tomó el mando la presidenta Claudia Sheinbaum Pardo el pasado 1 de octubre, enumeró lo que se podría considerar los puntos fundamentales de su gobierno. Es la promesa 34 la que interesa para fines de este artículo.
En resumen, este apartado habla de la consolidación del programa espacial mexicano, el desarrollo de semiconductores y la producción de litio, pero también de un centro de ciberseguridad e inteligencia artificial (IA).
“Será tecnología hecha en México por mexicanas y mexicanos”, refirió Sheinbaum Pardo aquel día.
Para Ernesto Ibarra Sánchez, líder de la Alianza México CiberSeguro, organización que este octubre realizó la primera edición del Foro Nacional de Ciberseguridad, es necesario “apresurar” el paso.
“La mejor forma de tener el pulso sobre cómo está México es a partir de que se constituya la gobernanza de ciberseguridad y de que tengamos una agencia o una entidad que lidere, así como cuando el conjunto de actores (industria, academia y sociedad civil) se siente en la mesa para aportar la experiencia, los datos y las cifras”, precisa.
Para la exsenadora Alejandra Lagunes, quien impulsó una ley federal de ciberseguridad, el tema está sobrediagnosticado. Es por eso que llama a la acción inmediata.
“Estamos en un punto de inflexión (…) Lo que hagamos o no hoy impactará la vida de millones, cambiará la vida de generaciones”.
Lagunes añade que ya pasó más de una década sin un marco normativo en ciberseguridad, uno que no solo proteja a la infraestructura crítica de México, sino a la ciudadanía.
En el mismo sentido, el senador Luis Donaldo Colosio Riojas, presidente de la Comisión de Derechos Digitales, indica que el asunto no debe ceñirse únicamente a la protección de infraestructuras: “También debe tener como eje central el poder salvaguardar la dignidad y los derechos de las personas en el entorno digital”.
Los desafíos de una regulación
¿La creación de una ley de ciberseguridaden México resolvería las problemáticas actuales en el segmento? Para los especialistas, sí, aunque resalta el número de intentos al respecto.
Ivonne Muñoz, directora y fundadora de IT Lawyers SC, expone que en total se han presentado 24 iniciativas en materia de ciberseguridad (aunque otros expertos hablan de casi 30), 20 de las cuales han sido propuestas de modificación de otras normas legales, en tanto que cuatro, promesas para crear una ley de ciberseguridad.
El 83% de las iniciativas vinculadas a la materia se ha quedado congelado en su cámara de origen, formula la también abogada especializada en la disciplina.
“Hay demasiadas propuestas en distintos sentidos. El panorama no está armonizado, no está homologado. Cada legislador está proponiendo desde los intereses o desde el entendimiento que hay en su área legislativa”, profundiza Muñoz.
A su parecer, el actual escenario no le brinda al país un panorama halagüeño. Todo parece indicar que los legisladores no han volteado a ver un punto importante antes de la creación de una ley efectiva hasta la fecha: la educación en temas de ciberseguridad.
“Solo es posible crear leyes mejores cuando se entiende el problema, su origen y qué hacer para combatirlo”, añade Fabio Assolini, director del equipo global de Investigación y Análisis para América Latina en Kaspersky.
Ambos coinciden en que, sin una educación sobre qué es la ciberseguridad y todo lo que implica, poco se puede avanzar.
“Lo más importante es hacer entender al ciudadano a qué nos referimos con el tema que se legisla. Legislar no significa decir ‘tenemos un problema y hay que regularlo para que, cuando suceda, se pueda sancionar’. Los ciudadanos finales, las compañías e incluso las empresas de gobierno tienen que entender de qué se trata”, resume Muñoz.
Protección digital para las personas
Los expertos abogan por una protección digital integral, que se considere como una figura que proteja a las personas, empresas públicas, empresas privadas y a la infraestructura crítica.
“La base de la transformación digital es la ciberseguridad y la confianza digital. Por eso es tan urgente que podamos tener una ley, un marco regulatorio que proteja no solamente a las infraestructuras críticas, también a la sociedad en general”, agrega Lagunes, quien también es la fundadora de la Alianza Nacional de Inteligencia Artificial (ANIA).
Sobre la creación de un centro de ciberseguridad en el sexenio gubernamental que inicia, podría cambiar de manera importante el panorama de México en la materia, siempre y cuando este se comprometa a llevar un acercamiento, guías, políticas y recomendaciones sobre el asunto en conjunto con otras entidades.
“De esta forma, con el esfuerzo y la suma del conocimiento, tanto de quienes investigan y monitorean como de quienes asesoramos, creo que el centro podría dar resultados interesantes para el país y con el fin de promover un marco jurídico”, resalta Muñoz, de IT Lawyers SC.
Otro punto importante, y que no se ha considerado en la creación de una ley de ciberseguridad efectiva en el país, es tomar en consideración el propio contexto que vive el país.
“Tenemos una estrategia nacional de ciberseguridad, pero es una copia de otros países. Lo que necesitamos es una estrategia hecha por nacionales, por los expertos que estamos aquí viviendo la realidad de México en este tema”, destacó Muñoz en el panel “Panorama de la ciberseguridad en México”, organizado por Infosecurity México este octubre.
Lo anterior no significa no analizar lo que están haciendo otros territorios en el área e incluso la integración del país a tratados internacionales.
“Mi llamado es que se haga una política de estado en el tema de ciberseguridad, una que esté claramente en las estrategias prioritarias como una transversal. Por otro lado, desde el poder legislativo, (es relevante) que se acelere adherirnos al Convenio de Budapest, a convenios internacionales, porque la gobernanza tiene que ser no solamente integral y multidisciplinaria, sino también global”, acota Lagunes.
Finalmente, Muñoz detalló todas las cualidades que debería prever una ley de ciberseguridad efectiva en el país.
“Mi punto de partida es que la ley tiene que prever: una autoridad encargada, un procedimiento de autorregulación, un procedimiento de capacitación y concientización, un marco de obligaciones hacia los entes públicos y también hacia los entes privados, un marco de atribuciones hacia la dependencia de gobierno que se encargue de esto y, por supuesto, un marco de sanciones en caso de que no se haga las acciones correspondientes para procurar una mejor ciberseguridad en el entorno digital”.
México necesita actuar ya
En un escenario adverso, ¿qué pasa si el país no avanza en el tema de ciberseguridad ahora que también inicia un nuevo sexenio gubernamental?
“México es y será un país muy susceptible a ataques, y también hay que recordar que en el mundo cibernético no hay fronteras ni estados, como tampoco existe el cese de actividades por parte de los ciberdelincuentes por el cambio de gobierno”, asegura Rafael Chávez, gerente de F5 para México, firma que ofrece distintas soluciones de seguridad.