A pesar del creciente volumen de información personal que manejan las instituciones públicas en México y del surgimiento de nuevas iniciativas legislativas en materia digital, el país aún carece de un marco normativo integral en ciberseguridad.

Así lo advirtió Ernesto Ibarra, coordinador de la Alianza México Ciberseguro (AMCS) y presidente de la Asociación Mexicana de Ciberseguridad y Derecho Digital (Amcid), en entrevista con El Economista.

“La regulación es una tarea pendiente en México porque es necesario darle certeza al ámbito de la ciberseguridad desde el quehacer que le toca a las autoridades del Estado”, señaló Ibarra.

Esfuerzos dispersos

Durante los últimos años, distintos sectores —desde la sociedad civil hasta la academia— han impulsado propuestas para llenar el vacío legislativo. Sin embargo, el avance ha sido desordenado.

Ibarra aseguró que algunas iniciativas recogen buenas prácticas internacionales y reflejan cierta madurez, pero muchas otras carecen de elementos regulatorios básicos y duplican esfuerzos ya contenidos en otros cuerpos normativos.

“Lo que estaríamos pensando es que este proceso ya se unifique y que de una buena vez esta legislatura convoque un proceso sistematizado, con apertura a todos los aliados, para lograr una iniciativa sólida”, dijo el coordinador de la AMCS.

Una preocupación particular es la falta de alineación entre las nuevas leyes y las capacidades institucionales existentes. El ejemplo más claro es la creación de registros como la Clave Única de Registro de Población (CURP) digital con datos biométricos, sin antes haber establecido estándares de protección de información ni claridad sobre quién será responsable de esa infraestructura crítica.

Agencia de Transformación Digital y Telecomunicaciones

La creación de la Agencia de Transformación Digital y Telecomunicaciones (ATDT), que ya contempla una Dirección General de Ciberseguridad, es vista por Ibarra como un avance positivo. Esta nueva oficina tiene entre sus atribuciones coordinar la regulación administrativa en la materia para el Poder Ejecutivo federal, además de tareas de concientización y formación de talento.

“Eso es muy positivo porque ya tenemos un responsable”, dijo.

No obstante, la existencia de esta dirección no resuelve automáticamente los desafíos. La acumulación de información sensible en manos de instituciones sin capacidades tecnológicas y metodológicas robustas, alerta Ibarra, representa un riesgo significativo.

“Es necesario antes robustecer a las instituciones que habrán de encargarse de esta gestión y protección de la información”, enfatizó.

CURP digital, biométricos y registros telefónicos

El uso de datos biométricos en la CURP, el resurgimiento de un padrón de usuarios de telefonía móvil y mecanismos de autenticación digital como la “llave MX” comparten una característica: se implementan en ausencia de una legislación de ciberseguridad clara y transversal.

Para Ibarra, iniciativas como el padrón de usuarios se basan en supuestos poco realistas: “Normalmente el delincuente no va y compra una línea de manera formal”, explicó. Además, advirtió que quienes cometen delitos cibernéticos suelen emplear identidades falsas, dispositivos ajenos o técnicas como la clonación de tarjetas SIM.

“No basta con buenas intenciones. Es crucial una revisión profunda con componente técnico, cifras, estadísticas y experiencias internacionales que nos den una visión real de la situación. El ideal es que, en lugar de tener 20 iniciativas distintas, exista una sola que pase por ciclos rigurosos de discusión”, dijo.

rodrigo.riquelme@eleconomista.mx