En ciberseguridad existe una premisa: las amenazas avanzan más rápido que los mecanismos de protección. En México, la fragilidad digital se ha evidenciado en el ciberespionaje que ha realizado la Agencia de Seguridad Nacional de Estados Unidos (NSA) a los servidores del gobierno, los ataques que han perpetrado con éxito los grupos activistas como Anonymous y los crecientes delitos en ambientes informáticos en el país.

El gobierno mexicano persigue desde el 2014 el objetivo de crear una política de ciberseguridad y ciberdefensa, para garantizar así la defensa de los intereses económicos, políticos y militares de México en el ciberespacio , pero el proceso de configuración de su política en la llamada cuarta dimensión comenzará el 2017 con diversos desafíos.

NOTICIA: Espionaje, armas cibernéticas y sabotaje: futuro oscuro en era digital

Poner una cifra al costo de cibercrimen resulta inexacto ya que no existen registros oficiales de esta actividad. Aun así, hay quienes emiten cálculos como la Organización de Estados Americanos (OEA), quien tasó su impacto en México en 3,000 millones de dólares, en el 2014.

Pero la falta de recursos para fortalecer las capacidades de seguridad, los enfoques sesgados en las estrategias para proteger las infraestructuras críticas y la urgencia en la homologación de políticas cibernéticas estatales serán algunos de los retos que vienen de cara al último bienio de la administración de Enrique Peña Nieto.

Y estos retos convivirán con un ambiente más desafiante, entre amenazas cibernéticas crecientes y más complejas que atentan tanto a empresas, principalmente del sector financiero e industrial, como al gobierno y a sus ciudadanos, según la mayoría de las predicciones de las firmas de ciberseguridad.

Metas, dinero y leyes

En el 2014 se hicieron públicas las intenciones del gobierno federal de crear una política de Estado en ciberseguridad y ciberdefensa, con una serie de metas establecidas por el Consejo Nacional de Seguridad (CNS) en el Programa para la Seguridad Nacional 2014 - 2018. Pero aún falta camino para cumplir las metas.

En el anexo estadístico del cuarto informe de gobierno de Peña Nieto se detalla que el avance de la consolidación de la política en materia de seguridad cibernética y ciberdefensa, el indicador creado por el gobierno para evaluar esta política de Estado, llegó al 18.3% en el 2015 (no se detalló el avance para 2016) cuando la meta para 2018 es del 100 por ciento.

El secretario ejecutivo del Sistema Nacional de Seguridad Pública, Álvaro Vizcaíno Zamora, recordó en entrevista que en agosto, el Consejo Nacional de Seguridad Pública aprobó un acuerdo para crear un modelo homologado de policías cibernéticas en todo el país para poder actuar frente a la cibercriminalidad .

NOTICIA: Vivimos la era "atómica" de la computación: Snowden

En el modelo que estamos construyendo en el secretariado ejecutivo de seguridad pública, en coordinación con la División Científica de la Policía Federal (unidad encargada de la investigación de crímenes en el ciberespacio), vamos a definir cuál es el perfil de las personas que deben integrar estas unidades de policía. También cuál es el tipo de capacitación que deben recibir, cuál es la infraestructura con la que deben contar y cuál es la tecnología que deben utilizar para hacer frente al problema , dijo el funcionario a El Economista.

Aunque consideró que existe una falta de legislación para clasificar los delitos cibernéticos pues no se han clasificado los suficientes tipos penales en materia de cibercriminalidad y ese es el principal reto que tenemos .

Y en esto coincidió en entrevista Juan Pablo Castro, director de Innovación de la firma de ciberseguridad Trend Micro: Ya se realizó la segunda semana de la Ciberseguridad junto con la OEA pero hay un tema legislativo que está retrasado que habría que dar un empuje en temas de leyes y regulatorio .

Existen otros indicadores relacionados con la ciberseguridad y ciberdefensa son el porcentaje en el desarrollo de la cuarta dimensión de operaciones militares, denominada ciberespacio que llegó del 58.8% en julio del 2016; la Seguridad de la información y del Ciberespacio dentro de la consolidación de la inteligencia naval es del 30%; y la infraestructura del Sistema de Inteligencia Naval es del 5.2% cuando se estableció la meta de llegar al 95 por ciento.

Pero el desarrollo de las capacidades de ciberseguridad no contará con recursos federales, por lo que proyectos de inversión como la puesta en marcha de un centro de ciberdefensa de la Secretaría de la Defensa Nacional se verán mermados.

No se puede evitar hoy en día no tener este tipo de grupos dentro de la milicia porque todo el día pasan incidentes que en cierta forma son invisibles a través de las computadoras. Inclusive si no hay conflictos, una persona que tiene tiempo, tranquilamente puede lanzar este tipo de ataques. El pensar que una persona con suficiente motivación puede dejar sin electricidad a un país debería justificar el tener un departamento de ciberdefensa , comentó el investigador en Seguridad para Latinoamérica de Kaspersky Lab, Santiago Pontiroli.

NOTICIA: Faltan reformas para frenar el espionaje de gobiernos en AL

En el Presupuesto de Egresos de la Federación para el 2017, la Sedena solicitó unos 533.2 millones de pesos solicitados para arrancar un Centro de Operaciones del Ciberespacio, pero no fue asignado ningún recurso. Mientras que la Secretaría de Marina (Semar) solicitó unos 9.1 millones de pesos para equipamiento de ciberinteligencia, pero los recursos tampoco fueron asignados.

El freno de estos proyectos llega en un momento en que las amenazas a la infraestructura crítica y gubernamental está cada vez más amenazada. Justo a mediados de diciembre, el grupo Shadow Brokers puso a la venta directa las herramientas filtradas de la NSA para realizar espionaje, a través del grupo llamado Equation Group, del que México fue uno de los blancos.

Estos recortes presupuestales pasan en todos los gobiernos. Lo principal es que esto tiene que ser una cuestión de Estado. Hasta que esto no sea una cuestión de Estado y sea una cuestión política, no se va a asignar el presupuesto. Incluso en Estados Unidos, que es una cuestión de Estado, es difícil asignar el presupuesto. El gran tema también es la cooperación entre las distintas partes del gobierno , consideró Castro, de Trend Micro.

El enfoque reactivo

La importancia de instituciones como la División Científica de la Policía Federal, la Sedena o la Semar es que son las encargadas de proteger y resguardar las instalaciones e infraestructura crítica del país, incluyendo a nivel cibernético como los sistemas del sector energético, comunicaciones o de gobierno, explicó Vizcaíno.

Pero la protección de infraestructura crítica no debe ser solo reactiva ni recaer en unas cuántas instituciones, advirtió el experto de Kaspersky Lab.

NOTICIA: Contra el falso paradigma de privacidad vs. seguridad

Si la Policía se encarga del incidente, lo que entiendo es que estás esperando a que el incidente suceda para actuar. Lo que haría un grupo de ciberdefensa o un centro de operaciones de seguridad es estar preparado ante estas amenazas. Tiene que haber un equipo de respuesta a incidentes, tiene que haber un procedimiento a seguir. La ciberdefensa no es solamente hablar de ciberarmas o de guerra sino de tener protegida la infraestructura crítica ante cualquier posible amenaza sea interna o externa , dijo Pontiroli.

Uno de los principales activos en materia de ciberseguridad que tiene el gobierno mexicano es el CERT-MX (Equipo de Respuesta a Incidentes de Seguridad Cibernética), a cargo de la División Científica de la Policía Federal. Esta entidad atiende denuncias de ataques a los activos tecnológicos de la infraestructura crítica de México, monitorea la seguridad de la red y los sistemas y coordina la respuesta a incidentes a víctimas de ataques cibernéticos. Aunque su alcance es limitado.

NOTICIA: Tecnología de espionaje para evitar a las operadoras

Hay un tema que no sólo es tema de gobierno sino también con los bancos, con el sector energético, el sector de telecomunicaciones. Debería haber distintos CERT para las distintas ramas, por ejemplo, uno para finanzas, uno para comunicaciones, uno para energético, uno para salud, uno para gobierno, uno para infraestructura crítica. Y todos los CERT deberían hablarse. El tema es que hay muy pocos CERT , dijo el directivo de Trend Micro.

Y el otro punto es que los CERT no tienen la autoridad necesaria para inspeccionar el tráfico interno de las redes. Al CERT se les llama o analiza cosas en Internet, pero no ve constantemente el tráfico interno dentro de las redes y el CERT no tiene visibilidad de esto , agregó.

Nadie está lo suficientemente preparado

Las autoridades consideran que, a nivel federal, se cuentan con capacidades de calidad mundial para enfrentar las amenazas cibernéticas, quienes han enfocado sus esfuerzos en perseguir temas de fraude, robo de identidad, pornografía infantil o extorsiones.

Actualmente a nivel federal, la División Científica de la Policía Federal cuenta con una unidad de ciberpolicía a la altura de las diferentes del mundo y tiene personal, una capacitación muy completa, equipamiento y tecnología para hacer frente al problema (de las amenazas cibernéticas) , dijo el secretario ejecutivo del Sistema Nacional de Seguridad Pública.

NOTICIA: Un periodista mexicano espiado por su gobierno

Aun así, se está lejos de un estado óptimo. El estudio Ciberseguridad y privacidad elaborado por la firma de consultoría PwC, publicado a finales de noviembre, reconoce que si bien ya existen esfuerzos a nivel nacional para impulsar este tipo de seguridad, como la creación del CERT-MX o la operación de la División Científica de la Policía Federal, México sigue rezagado.

En el documento, la firma recuerda que en el Índice Global de Seguridad 2014 de la Unión Internacional de Telecomunicaciones (UIT), el país cuenta con un bajo nivel de preparación ante ciberamenazas.

Ningún gobierno está preparado. México está en un camino muy interesante con respecto al tema de ciberseguridad. Se está caminando pero falta por hacer , concluyó Castro.

julio.sanchez@eleconomista.mx

erp