Ciberseguridad: cuando el futuro nos alcanzó

La regulación del ciberespacio va más allá de una defensa en el sentido clásico, se relaciona también con aspectos como la seguridad nacional, la defensa de bienes, la propiedad intelectual, la prevención del crimen, la seguridad de la información y el derecho a la privacidad.

Por: Berenice Fernández Nieto

Según la Encuesta Nacional sobre Disponibilidad y Uso de Tecnologías de la Información en los Hogares (ENDUTIH) 2017, en México existen 73.1 millones de usuarios de Internet, los cuales equivalen al 63.9% de la población. Sin embargo, a pesar del alto nivel de inserción de Internet en nuestro país, México se encuentra en los últimos lugares en América Latina y el mundo con respecto a la seguridad cibernética. La situación es preocupante si se toma en cuenta que en lo que va del 2018 el comercio electrónico ha alcanzado 37 millones de consumidores, lo que significa que la economía nacional depende cada vez más del correcto funcionamiento de la red de redes.

Los objetivos por cumplir en materia de seguridad cibernética son complejos, pues no sólo se deben crear condiciones de seguridad para el comercio electrónico, se trata de la adopción y adecuación de las medidas técnicas y legales apropiadas que garanticen el correcto funcionamiento de la red para la realización de diversas actividades sociales, así como de la promoción de una cultura de ciberseguridad diferenciada para todos los actores involucrados.

La regulación de la red plantea en sí misma desafíos que se relacionan con el establecimiento de una legislación que regule contenidos sin violentar los derechos a la información, a la privacidad y a la libre expresión de la ciudadanía. En este sentido refieren Gabi Siboni e Ido Sivan-Sevilla, expertos en el área, que la regulación del ciberespacio va más allá de una defensa en el sentido clásico, se relaciona también con aspectos como la seguridad nacional, la defensa de bienes, la propiedad intelectual, la prevención del crimen, la seguridad de la información y el derecho a la privacidad. De esta forma, la creación de instrumentos jurídicos orientados a proteger la red implica también la regulación múltiples actividades en línea, un reto jurídico que no sólo enfrenta nuestro país sino diversas naciones alrededor del mundo.

A nivel mundial, México es el tercer país que más ataques cibernéticos recibe; a nivel regional ocupa el segundo lugar. La modernidad hiperconectada nos exige cada vez más contar con medidas de seguridad adecuadas en todos los sectores y niveles de operatividad del país.

Entre las primeras medidas adoptadas a nivel nacional figuran la creación del Centro Especializado en Respuesta Tecnológica, instaurado el 1º de junio del 2010 con el objetivo de prevenir y mitigar las amenazas de seguridad informática a fin de proteger la infraestructura tecnológica y la operatividad nacional. Adicionalmente, tras la propagación del malware WannaCry, en noviembre de 2017 se presentó la Estrategia Nacional de Ciberseguridad.

La Estrategia Nacional

La Estrategia Nacional de Ciberseguridad cuenta con ocho ejes transversales: concienciación, cultura y prevención; desarrollo de capacidades, coordinación y colaboración, investigación y desarrollo, estándares y criterios técnicos, protección a infraestructuras críticas, marco jurídico, medición y seguimiento. Dirigidos a cinco objetivos: sociedad y derechos, economía e innovación, instituciones públicas, seguridad pública y seguridad nacional.

La estrategia se rige por tres principios: perspectiva de derechos humanos, enfoque basado en gestión de riesgos y colaboración multidisciplinaria e intersectorial. Este primer documento de trabajo es el resultado de foros de diálogo y discusión celebrados entre marzo a octubre de 2017, coordinados por la Comisión Intersecretarial para el Desarrollo del Gobierno Electrónico (CIDGE), a través de la Subcomisión de Ciberseguridad.

El documento, aunque tardío, dado la cantidad de ataques que se experimentan diariamente a nivel mundial, es importante porque representa el primer paso hacia la consolidación de una cultura de seguridad cibernética en nuestro país. La estrategia retoma cuestiones significativas como: la gobernanza de Internet, la creación de agencias especializadas en seguridad cibernética, la concientización, la cooperación intersectorial y la participación ciudadana.

Sin embargo, el camino para su implementación es largo ya que, al ser el primer documento de trabajo, carece de estrategias específicas para cada objetivo, adicionalmente para su implementación se requiere de instituciones consolidadas, de voluntad política para que su intención no se limite al papel, de cooperación entre los diversos actores involucrados y lo más importante: la participación ciudadana y de Organismos No Gubernamentales que velen por las libertades civiles durante las discusiones enfocadas a la regulación de la red.

Las lecciones post WannaCry

En 2013 un grupo de hackers conocido como Shadow Brokers consiguió acceso al arsenal cibernético de la Agencia Central de Inteligencia de Estados Unidos (CIA por sus siglas en inglés). En enero de 2017 el grupo realizó un fallido intento de subasta y en marzo del mismo año Microsoft lanzó actualizaciones de seguridad que evitarían el posible daño. Finalmente, el 12 de mayo de 2017 el ransomware fue liberado, no antes de que EternalBlue ya operara en la red. El ataque tuvo un alcance global, empresas e instituciones fueron afectadas en diversas partes del mundo: Reino Unido, Estados Unidos, China, España, Italia, Vietnam y Taiwán.

En nuestro país la mayoría de las redes infectadas pertenecían a TELMEX, el nivel de infección nos colocó como el país más afectado en Latinoamérica. No obstante, el impacto fue relativamente bajo ya que, antes de que el ransomware se activara en nuestro país, un joven en Inglaterra ya había encontrado la solución.

WannaCry evidenció mundialmente la debilidad de nuestro país. A partir de este incidente, expertos en ciberseguridad llamaron a las autoridades a mejorar las medidas de protección de infraestructura crítica.

El panorama cibernético

En materia de seguridad cibernética el futuro nos alcanzó, el embate fue tan devastador que un malware del alcance de WannaCry nos encontró sin una estrategia y sin instituciones de ciberseguridad apropiadas.

En el panorama cibernético de nuestro país aún hay mucho por hacer, el trabajo a realizar va desde la tipificación de delitos cibernéticos hasta el desarrollo habilidades y competencias por parte de los organismos encargados de la seguridad.

Por su parte, el camino hacia la gobernanza del Internet presenta su propia complejidad, para muestra podemos revisar el papel que ha tenido esta red en negociaciones como el Acuerdo de Asociación Transpacífico (TPP por sus siglas en inglés) que, en lo referente a la protección de los derechos de autor, otorgaba a los Proveedores de Servicios de Internet (ISP por sus siglas en inglés) capacidades para rastrear y vigilar las actividades en línea de los usuarios. En Europa, los artículos 13 y 11 discutidos por la Comisión de Asuntos Legales del Parlamento Europeo, generaron controversia respecto a los efectos que las medidas para la regulación de contenido podrían tener sobre la libertad de expresión y el derecho a la información.

Recientemente en la renegociación del Tratado de Libre Comercio de América del Norte, conocido actualmente como Acuerdo Comercial entre Estados Unidos, México y Canadá (USMCA), los artículos 19 sobre Comercio Digital y el 20 sobre la Propiedad Intelectual ponen en riesgo los derechos a la privacidad, la libre expresión y el acceso a la información de los usuarios.

En este contexto se requiere de una sociedad civil activa y de Organizaciones No Gubernamentales que exijan la rendición de cuentas y transparencia en la construcción de un camino hacia la gobernanza, sobre todo si consideramos casos como el malware Pegasus, empleado por agencias federales para realizar operaciones de espionaje en contra de activistas, periodistas y abogados en México.

Elevar el nivel de resiliencia de nuestro país ante los ataques cibernéticos requiere de participación ciudadana; trabajo conjunto por parte de la academia, sector privado, la sociedad y las autoridades gubernamentales, así como de compromiso por parte de todos los actores involucrados. Sólo así México podrá desarrollar una cultura de ciberseguridad que nos prepare para enfrentar los retos de este milenio.

 

* Berenice Fernández Nieto es investigadora en la Red Nacional de Profesionistas en Seguridad Pública @RedNPSP e integrante de la @Red_SJP.

 

@InsydeMx

Close
Comentarios