La defensa del ciberespacio es un asunto de seguridad nacional. Por esta razón resulta preocupante que, en México, con los cambios de gobierno, cada seis años se reinvente una estrategia para proteger este espacio digital conocido como la cuarta dimensión de la seguridad nacional, lo que ha hecho que México se ubique desde hace varios sexenios a medio camino en esta materia, de acuerdo con Arturo García Hernández, autor del libro CiberMéxico: Voluntades y Acciones en el Ciberespacio, recién publicado por la editorial Ius Literatus.

El término ciberespacio hace referencia al conjunto de redes y sistemas que habilita la comunicación entre computadoras, personas y otros dispositivos. Dicha comunicación permite transmitir correos electrónicos, consultar páginas web, utilizar servicios digitales y realizar transferencias económicas, entre muchas otras actividades. El ciberespacio no es un sinónimo para la internet, más bien la internet es un “subconjunto” del ciberespacio.

De acuerdo con García Hernández, la ciberseguridad hace referencia a la protección del ciberespacio que reúne todos los mecanismos, controles, normativas y estrategias que los individuos, las organizaciones y las instituciones públicas y privadas ejecutan para proteger el intercambio de información que se da en el ciberespacio y su infraestructura. Dentro de la ciberseguridad cabe la ciberdefensa, es decir la protección del ciberespacio como un asunto de seguridad nacional y ambas forman parte del llamado ciberpoder, que sirve para proteger la soberanía y la permanencia en este caso del Estado mexicano en el ciberespacio.

México, a medio camino en ciberseguridad

México está a la mitad en todos los principales indicadores usados para medir el nivel de protección del ciberespacio, es decir la ciberseguridad. El país ocupa la posición número 11 de los 19 países analizados por la consultora Booz Allen Hamilton (BAH) en el año 2011, con un índice de ciberpoder de 36.3, muy por debajo de países como Reino Unido (76.8), Estados Unidos (75.4), Australia (71) y Alemania (68.2).

Cuatro años después, en 2015, la Unión Internacional de Telecomunicaciones publicó su Índice Mundial de Ciberseguridad, en el que se evalúan las medidas jurídicas, técnicas y de organización, así como las capacidades humanas y la cooperación internacional entre 193 países de todo el mundo para conocer su nivel de protección del ciberespacio. México ocupa el lugar 18 de 29 posiciones, con un índice de 0.324, lo que de nuevo lo coloca lejos de países como Estados Unidos (0.824), Canadá (0.794) y Australia (0.765) y al mismo nivel de naciones como Burkina Faso (0.324) y Perú (0.324).

En 2016, la Organización de Estados Americanos (OEA) y el Banco Interamericano de Desarrollo publicaron un ensayo sobre las tendencias de ciberseguridad en América Latina y el Caribe. El estudio analiza el nivel de madurez de 32 países de la región y concluye que ninguna de estas naciones está preparada para contrarrestar los delitos cibernéticos. De nuevo, México figura en los niveles medios de madurez en materia de ciberseguridad, es decir en los niveles 2 (Formativo) y 3 (Estabecido) de cinco niveles, en los cuales la madurez completa se alcanza con la mejora continua de una estrategia de ciberseguridad ya establecida.

“Pasan los años, cambiamos de sexenio y lo que vemos es que, desafortunadamente, México sigue a la mitad de la tabla. México ahora ronda en un nivel dos o tres de madurez en ciberseguridad. ¿Qué quiere decir esto? Que a lo largo del tiempo, no importa el indicador y no importa lo que estamos haciendo, si no lo sostenemos, lo que logramos es tener un país a media tabla”, dijo Arturo García en entrevista con El Economista.

Cambio de estrategia cada seis años

De acuerdo con García, quien trabaja como especialista en ciberseguridad del Banco de México (Banxico) y que además es un influencer en esta materia en Twitter (@ElProfeSeguro), México cuenta con los recursos humanos necesarios, la misma tecnología y conectividad que los países que figuran en los primeros lugares de los índices de ciberseguridad, el problema es que, en este y otros aspectos, “lamentablemente parece que estamos reconstruyendo al país cada seis años”.

“La política pública que hace falta es mantener una estrategia de ciberseguridad a largo plazo. Estamos construyendo algo, ahí vamos y de repente, otra vez, volvemos a destruirlo y empezamos otra vez. Cambian las cabezas, los procesos, los protocolos y volvemos a comenzar. Creo que eso es algo que le ha hecho mucho daño a México”, dijo.

Según García, es en el Plan Nacional de Desarrollo 2013-2018, donde aparece por vez primera la necesidad de proteger el ciberespacio en México. Uno de los objetivos estratégicos dentro de este plan refiere que es necesario “impulsar, mediante la realización de estudios e investigaciones, iniciativas de ley que den sustento a las actividades de inteligencia civil, militar y naval, para fortalecer la cuarta dimensión de operaciones de seguridad: ciberespacio y ciberseguridad”.

Fue hasta los años 2016-2017 que la administración de Enrique Peña Nieto comenzó con la integración de una Estrategia Nacional de Ciberseguridad (ENCS), cuyo documento final vio la luz en noviembre del 2017, pero a la que hasta el momento no se le ha dado ningún tipo de continuidad.

“La ENCS es la directriz hacia donde nos debemos mover todos los participantes que quieren proteger el ciberespacio. Se había estado trabajando mucho en ella. La forma en la que se concibió fue muy buena. Se publicó y al final no ha pasado nada. A lo mejor hay un área que le ha dado seguimiento, pero creo que es algo que debe permear a la sociedad”, dijo García Hernández.

El especialista aseguró que su libro es un llamado al nuevo gobierno, encabezado por Andrés Manuel López Obrador, para que atienda la protección del ciberespacio. “Sería un grave error que dejáramos de lado la protección del ciberespacio. Como país, ya habíamos logrado establecer que este rubro es importante para el desarrollo nacional, entonces hay que darle seguimiento”, dijo García, quien estará presente en el próximo congreso Infosecurity México 2019, los días 22 y 23 de mayo.