Los ataques informáticos a instituciones gubernamentales, empresas y personas han sido una constante por años en México. Pero no fue hasta que una entidad de la importancia de la Secretaría de la Defensa Nacional (Sedena) fue hackeada que encendió las alertas y aceleró la iniciativa para la creación de la Ley Federal de Ciberseguridad.
Fue en este 2023 que dicho proyecto, que incluye 92 artículos, divididos en ocho títulos y ocho artículos transitorios, fue presentado para su estudio, discusión y eventual aprobación ante la Cámara de Diputados, y a través del cual se busca crear una Agencia Nacional para la Seguridad Digital.
Si bien se habían hecho esfuerzos anteriormente, este es un primer paso más concreto para que se cuente en el país con un marco jurídico que contemple la coordinación e implementación de las políticas federales en materia de tecnologías de la información y comunicaciones (TIC) y de seguridad de la información. Las discusiones serán largas y en este momento es difícil prever cuándo habrá una versión definitiva para su aprobación y publicación.
Desde una perspectiva global, este proyecto de ley tiene un rezago amplio respecto a otros países y regiones. Hace poco más de 20 años, el 23 de noviembre de 2001, se firmó el Convenio de Budapest que fue el primer tratado internacional creado con el propósito de proteger a la sociedad frente a los delitos informáticos y de Internet. Ratificado por más de 50 países, reconoce la necesidad de que Estados y el sector privado combatan la ciberdelincuencia y se protejan los intereses legítimos en la utilización y desarrollo de las TIC.
La Agencia de la Unión Europea para la Ciberseguridad (ENISA) se creó pocos años después para mejorar la seguridad de la información en esa región, y que se ha fortalecido con la Ley de Ciberseguridad, la cual establece un marco de certificación de la ciberseguridad para productos y servicios.
En América Latina, Brasil ha tenido avances significativos en la legislación relacionada con Internet y los delitos cibernéticos, mientras que Colombia se emitió el año pasado un decreto que establece los lineamientos para la gobernanza de la seguridad digital. Por su parte, Estados Unidos es punta de lanza con la Agencia de Ciberseguridad e Infraestructura (CISA), cuyo ámbito incluye el entendimiento, la gestión y la reducción de los riesgos para la infraestructura física e informática del país.
Estos y otros ejemplos pueden ser referentes para los aspectos primordiales que la ley propuesta en México debería contener. No obstante, está tomando un matiz particular en la forma en que se está integrando y en lo que se refiere a las entidades responsables de su aplicación.
Específicamente, la Comisión de Ciencia y Tecnología e Innovación de la Cámara de Diputados, de la mano del Senado, destacan la participación del Secretaría de la Defensa Nacional (Sedena), la Secretaría de Marina (Semar), y la Guardia Nacional (GN), para su elaboración y posterior ejecución. De hecho, la comisión ha señalado que son las Fuerzas Armadas las que pueden entender la dimensión del reto legislativo, así como combatir de manera efectiva los ciberataques.
La capacidad y conocimiento de los miembros de estas entidades es bastante amplia y, evidentemente, serán aportaciones significativas para estructurar la Ley en materia de seguridad digital, y dar origen a la Agencia Nacional de Ciberseguridad. No obstante, esto da paso también una interrogante de gran criticidad dadas las acusaciones de espionaje del que han sido objeto.
Quienes observan y analizan el desarrollo de esta iniciativa legislativa ponen sobre la mesa la delgada línea entre monitorear y vigilar el ciberespacio, y rebasar dichas facultades para realizar actividades que de espionaje e intervención de los canales de comunicación utilizados por la población.
Son dudas razonables que abonan a la discusión generada en los círculos políticos sobre las numerosas concesiones que el Gobierno Federal le está otorgando a la circunscripción militar. Al mismo tiempo, ponen en foco en la privacidad de la información y cuidado de los datos personales, que es uno de los derechos universales del que gozan los ciudadanos, y que organismos como Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) deben salvaguardar.
Ahora bien, uno de los factores de éxito para consolidar la Ley de Ciberseguridad que el país busca podría ser partir de la creación primero de una agencia nacional especializada, como la CISA en Estados Unidos, que sea capaz de analizar la iniciativa, sugerir modificaciones y mejoras, y establecer un sustento jurídico y administrativo sólido. Dicho organismo debería estar integrado por un equipo interdisciplinario que contemple no solamente los aspectos legales y tecnológicos, sino también los de capacitación y concientización.
De igual forma, tendría que promover la colaboración entre entidades gubernamentales, empresas privadas y especialistas en ciberseguridad con el propósito de que aporten su visión y retroalimentación, así como los marcos de gobernanza, inteligencia de amenazas y capacitación. Al final del día, esto podría dar origen a una Ley de Ciberseguridad más completa y no acotada a las amenazas dentro de los límites del territorio nacional.
La colaboración, por tanto, necesita extenderse a otras jurisdicciones para coordinar los esfuerzos de ciberseguridad globales y apoyar marcos de regulación que permitan la persecución y penalización de los infractores, sin importar su origen y nacionalidad.
Y algo que deben tener en mente los legisladores, gobiernos, empresas e individuos es que para realizar las actividades productivas y de seguridad nacional se requiere de un entorno lo más libre de riesgos y amenazas posible, en el que la ciberseguridad tenga un rol estratégico en impulsar el crecimiento económico, tecnológico y social.