Los más recientes ataques al sistema financiero mexicano dejan en evidencia la debilidad de la infraestructura de redes en un escenario de constantes ataques cibernéticos. El reto de la próxima administración en esta materia será enlazar la Estrategia Nacional de Ciberseguridad (ENCS), que se publicó en noviembre de 2017, con el marco jurídico para que haya obligatoriedad de cumplirla.

La Estrategia Nacional de Ciberseguridad es la política pública del gobierno federal que tiene como objetivo el que México sea un país más preparado y resiliente ante ciberataques.

“La Estrategia Nacional de Ciberseguridad ya está. Ahora, está en papel y si la nueva administración quiere mejorarla, es posible hacerlo. Sería un gran error no utilizarla, porque es un trabajo que no hizo sólo la administración, es un esfuerzo de la industria, la academia, el gobierno y la sociedad civil”, dijo Javier Sánchez, CTO de la compañía de ciberseguridad MER México.

En agosto del 2017 se presentó el primer documento de trabajo de la Estrategia Nacional de Ciberseguridad, que había sido elaborado por la Presidencia de la República en colaboración con la OEA, como resultado de una serie de talleres y mesas de trabajo en las que sectores como la academia, la iniciativa privada, el sector público y la sociedad civil se sentaron a discutir sobre los principales temas vinculados a la ciberseguridad en México.

En esto coincide Laura Jiménez, directora regional para Latinoamérica de la empresa inglesa de inteligencia artificial aplicada en ciberseguridad Darktrace, para quien la estrategia presentada por el gobierno federal ha comenzado un buen camino en materia de ciberseguridad que hace falta difundir entre las empresas y la población.

Tres meses después fue presentado el documento formal que pretende dar vida a la ENCS, el 13 de noviembre del 2017. De acuerdo con Sánchez, quien fungió como director de Tecnologías de la Información de la Procuraduría General de la República antes de trasladarse a la iniciativa privada en Mer Group, el reto de la próxima administración es enlazar el documento de la estrategia con el marco jurídico nacional para que sea una obligación cumplir lo que está escrito en ella.

La propia estrategia refiere en uno de su séptimo eje transversal “Marco jurídico y autorregulación” que “las acciones orientadas a la adecuación del marco jurídico nacional y el desarrollo de mecanismos de autorregulación en la era digital son vitales para el desarrollo de la digitalización en el mundo y clave para para la prevención de riesgos y amenazas, la investigación y sanción de los delincuentes en la era digital”. 

En el capítulo 5 del más reciente libro blanco sobre ciberseguridad publicado por la Organización de Estados Americanos, en colaboración con Amazon Web Services, se lanzan varias propuestas para que los gobiernos pasen de la estrategia a la acción.

Esta guía, titulada Un llamado a la acción para proteger a ciudadanos, sector privado y gobierno, advierte que tras “la definición de los objetivos estratégicos de la estrategia nacional de ciberseguridad y la definición de las líneas de actuación, los gobiernos tendrían que pasar a desarrollar los instrumentos legales y regulatorios, a asignar roles y responsabilidades y a construir las capacidades técnicas y organizativas necesarias”.

Propone acciones encaminadas al ciudadano y el sector privado, como la realización de actividades  de  concienciación  para  que  los  ciudadanos  y  empresas conozcan las vulnerabilidades y posibles amenazas cibernéticas. Esto es algo en lo que también insiste Marcelo Rubin para quien la educación es uno de los pasos a implementar para que las personas, las tecnologías y los procesos sean seguros no sólo a nivel gubernamental, sino empresarial e individual.

Según el documento, para proteger las tecnologías públicas de ciberataques, los gobiernos deben establecer un marco nacional de ciberseguridad que sirva como referencia para todos los niveles de la administración pública y que ofrezca la posibilidad de unificar criterios entre el gobierno federal, los gobiernos estatales y locales. 

Con el fin de combatir el cibercrimen, la OEA recomienda concebir el ciberespacio desde dos perspectivas distintas: como el lugar en el que ocurren diferentes tipos de acciones delictivas y como el objetivo final de la acción penal. En este sentido, considera necesario crear leyes específicas y adaptar las que ya existen para perseguir los ciberdelitos, al mismo tiempo que desarrollar las capacidades necesarias y dotar a jueces, fiscales y unidades de investigación policial con recursos especializados.   

Otro de los documentos que incluyen propuestas en materia de ciberseguridad para los gobiernos es la Agenda Digital Nacional 4.0, coordinada por The Competitive Intelligence Unit, la Canieti y la Amiti y que fue presentada hace unos meses con la mira de llamar la atención de los entonces candidatos a la Presidencia de la República respecto de la agenda TIC nacional.

La agenda recomienda a la nueva administración, que ahora se sabe será encabezada por Andrés Manuel López Obrador, que establezca un mecanismo de gobernanza o una institución “que tenga un mandato claro proveído por la ley y que este le permita coordinar las acciones jurídicas en materia de ciberseguridad”.

La actual Estrategia Nacional de Ciberseguridad encomienda a la Subcomisión de Ciberseguridad, dentro de la Secretaría de Gobernación, la labor de coordinar al Gobierno de la República y articular los esfuerzos de los diferentes actores para la implementación y seguimiento de la estrategia”. 

Sin embargo, para Marcelo Rubin, de MER Group, la ciberseguridad es algo que tiene que coordinarse desde los más altos niveles del gobierno. “La ciberseguridad es algo tiene que llegar al nivel de un ministerio. Ponerlo en los niveles más altos de los objetivos de un país”, dijo.

Javier Sánchez pondera que la vulnerabilidad de las infraestructuras quedó en evidencia con el ataque al sistema financiero, pero que por más que 300 millones de pesos hayan sido extraídos de forma ilegal, no hubo ninguna pérdida fatal, lo que podría ocurrir en el caso de un ciberataque a alguna instalación energética o de salud.  

MER México es la sede más grande del holding de infraestructura de telecomunicaciones y ciberseguridad MER Group fuera de su centro de operaciones en Israel. En México trabajan 180 empleados de los 350 que la compañía ha desplegado en la región.  

rodrigo.riquelme@eleconomista.mx

erp