Por Edgar Vásquez Cruz *

La ciberseguridad en México no ha sido un tema importante para los gobiernos mexicanos recientes, a pesar de que vivimos al lado de uno de los países más seguros, digitalmente hablando, Estados Unidos.

El desarrollo de las Tecnologías de la Información y Comunicación (TIC) ha logrado que esta disciplina haya pasado de ser solamente un auxiliar para mejorar el trabajo administrativo en empresas, a un ámbito de acción indispensable para el desarrollo de las naciones, lo que incluye todos los ámbitos de actividad humana, la educación, la ciencia, las relaciones interpersonales, el comercio y la seguridad nacional.

En el área de la seguridad nacional la ciberseguridad se ha convertido en parte de las tareas de los ejércitos de muchas naciones. Aquí es importante definir a la ciberseguridad como el conjunto de políticas, ideas de seguridad, restricciones de seguridad, métodos para administrar los riesgos, acciones, capacitación, buenas prácticas, y tecnologías usadas para resguardar los activos digitales de cualesquiera naciones e instituciones, ya sean públicas o privadas.

La ciberseguridad en México no ha sido un tema importante para los gobiernos mexicanos recientes, a pesar de que vivimos al lado de uno de los países más seguros, digitalmente hablando, Estados Unidos, y de que somos uno de sus principales socios comerciales.

México, retrasado en ciberseguridad

La importancia de la ciberseguridad se afirma cuando vemos de qué tamaño es la población de México que utiliza internet. De acuerdo con la Encuesta sobre Disponibilidad y Uso de Tecnologías de la Información y la Comunicación en los Hogares 2018 realizada por el Instituto Nacional de Estadística y Geografía (INEGI), la Secretaría de Comunicaciones y Transportes (SCT) y el Instituto Federal de Telecomunicaciones (IFT), existen 74.3 millones de usuarios de internet de seis años o más y 18.3 millones de hogares con conexión a este servicio.

Sin embargo, a pesar de estas cifras, para diversos gobiernos mexicanos la ciberseguridad no ha sido importante. Esta afirmación se basa en el hecho de que la primera vez que se mencionó el tema en un Informe de Gobierno fue el 1 de septiembre de 2015, durante el gobierno de Enrique Peña Nieto, hace apenas cuatro años. Es decir las autoridades mexicanas llegaron retrasadas a un reto que ocupa otros Estados del mundo desde hace una década, por lo menos.

Por ejemplo, en Inglaterra el tema es parte de la agenda pública desde 2005 (10 años antes que en México) cuando Chatam House, que es parte del Real Instituto de Asuntos internacionales del Reino Unido, publicó “Cyberspace and the National Security of the United Kingdom”, un extenso documento que revisaba las políticas gubernamentales sobre el tema y proponía adoptar medidas para garantizar la seguridad digital de empresas, ciudadanos y gobierno.

El combate a los ciberdelitos en México

En México, la policía cibernética se encargaba desde 2001 de prevenir delitos que se cometen dentro y mediante una computadora (y desde dispositivos móviles, ahora) sobre todo los que atentan contra las instituciones y la población vulnerable.

De toda la población usuaria de internet que tiene seis años o más, aquella que tiene entre 25 y 34 años es la que cuenta con más usuarios de internet, entre ellos las mujeres representan 10.4% y los hombres 9.8%. Al mismo tiempo, las personas con 55 años o más es la que menos utiliza internet;  el 4.1% del total de usuarias en México con esta edad, son mujeres y 4.0% son hombres.

Por otro lado, de entre todos los ciberdelitos, la persecución de quienes producen y difunden pornografía infantil es uno de los más conocidos, aunque también se combaten las violaciones a la propiedad intelectual, el fraude, la falsificación, las violaciones de la intimidad, así como el ciberterrorismo.

Por otra parte la investigación de ciberdelitos lo realizaba la Policía Federal mediante el Centro Nacional de Respuesta a Incidentes Cibernéticos (CERT- MX), un organismo dedicado a prevenir e investigar actos delictivos realizados mediante medios informáticos.

Ese organismo, además supervisa la red pública de Internet en busca de conductas delictivas, al investigar con herramientas digitales; también buscaba proporcionar ciberseguridad al reducir y mitigar los riesgos de amenazas, así como los ataques cibernéticos.

El tránsito hacia la Guardia Nacional

Como parte de la creación de la Guardia Nacional en México, la Ley de la Guardia Nacional determinó que la Policía Federal (PF) se integre al nuevo organismo,  lo cual implica, en teoría, que el Centro Nacional de Respuesta a Incidentes Cibernéticos, responsable de las tareas de ciberseguridad realizadas por la PF, también se integrará a la Guardia Nacional en un plazo de 18 meses a partir de la promulgación de la ley citada, el 27 de mayo de 2019.

Esta transición no parece ser fácil y hasta hoy parece poco claro qué ocurrirá con la policía cibernética aunque la Ley de la Guardia Nacional menciona en el artículo XXVI que las Atribuciones y Obligaciones de la Guardia Nacional son, entre otras,: “Solicitar por escrito, previa autorización del Juez de control, en los términos del artículo 16 Constitucional, a los concesionarios, permisionarios, operadoras telefónicas y todas aquellas comercializadoras de servicios en materia de telecomunicaciones o de sistemas de comunicación vía satélite, la información con que cuenten, así como la georreferenciación de los equipos de comunicación móvil en tiempo real, para el cumplimiento de sus fines de prevención de los delitos”.

Sin embargo, esa enumeración de atribuciones no describe todas la actividades que realizaba el Centro Nacional de Respuesta a Incidentes Cibernéticos, es más ni siquiera se acerca a la esencia del trabajo de prevención y persecución de ciberdelitos.

Ciberseguridad, un tema de seguridad nacional

Imaginemos, por un momento que alguna o varias de las principales secretarías de Estado de México, o bien alguna institución como la Comisión Federal de Electricidad fuera blanco de un ataque cibernético como los que ya ocurren contra el gobierno de Estados Unidos, ¿el gobierno mexicano y sus instituciones militares tendrían manera de neutralizarlo?

Así como la defensa del territorio de México le corresponde al Ejército, Fuerza Aérea y la Secretaría de Marina Armada, enfrentar un ataque cibernético contra México le correspondería a las instituciones militares.

De hecho ya han ocurrido ataques: en junio de 2016 el sitio gob.mx fue sometido a un ataque DDoS (denegación de servicio) durante  45 minutos. Recientemente el Banco de México sufrió ataques en el SPEI (Sistema de Pagos Electrónicos Interbancarios) que produjeron un desfalco a varios bancos.

En diversos países, los gobiernos han reconocido la ciberseguridad como parte de la seguridad nacional, como por ejemplo el gobierno de Israel, que reconoció la ciberseguridad como parte de la seguridad nacional del país desde 2002, 13 años antes de que la palabra “Ciberseguridad” fuera incluida en un informe de gobierno en México y se convirtiera en parte de las temas de los que se ocupa la administración pública mexicana.

Las fuerzas armadas y su conciencia de la ciberseguridad

A pesar de que el gobierno mexicano no comenzara a ocuparse de la Ciberseguridad apenas en 2015, miembros de la Marina armada de México ya hablaban del tema como el Primer Encuentro Latinoamericano sobre Ciberseguridad: Delitos Cibernéticos e Informática Forense realizado en  2013 en la Facultad de Derecho de la UNAM.

En ese evento, el Capitán de Navío C.G. Diplomado de Estado Mayor José Ángel Treviño Núñez realizó la presentación “La ciberseguridad y el estado mexicano”en la que mencionaba “cinco ámbitos”: tierra, aire, mar, espacio (fuera de la tierra) y el ciberespacio.

Esta clasificación sería retomada dos años después en el tercer informe de gobierno de Enrique Peña Nieto en el que se menciona la ciberseguridad como la “cuarta dimensión” de operaciones de seguridad (las otras tres son tierra, mar y aire) y se omitía la espacial.

Sin embargo en ese informe, ni en el Plan Nacional de Desarrollo 2013-2018, se incluyó ninguna definición de ciberseguridad, ante lo cual cabe preguntarse si es posible ocuparse de un ámbito del cual no se tiene una definición.

Por su parte las fuerzas armadas de México no han quitado el dedo del renglón, en un documento confidencial llamado Libro Blanco de Defensa Nacional del Estado Mexicano, lo militares y marinos mexicanos proponen al presidente de la República, Andrés Manuel López Obrador, dos nuevas áreas de actividad militar: la espacial y la del ciberespacio.

La existencia de ese documento fue dada a conocer por la revista Contralínea en un texto publicado en enero de 2019 y que puede consultarse aquí. En el documento citado, los militares mexicanos afirman que es necesario contar con fuerzas especiales para los dos nuevos ámbitos militares: espacio y ciberespacio.

México, sin capacidades militares en ciberseguridad

De acuerdo siempre con la publicación Contralínea, las capacidades militares de México, según el documento Libro Blanco de Defensa Nacional del Estado Mexicano, para enfrentar una  guerra espacial o una ciberguerra son prácticamente inexistentes.

Por esa razón los autores del texto piden al gobierno federal mexicano ocuparse de nuevas áreas de acción, el espacio y el ciberespacio, “como consecuencia del avance tecnológico y científico”, para lo cual es necesario la “creación de infraestructuras críticas y definición de áreas estratégicas” necesarias para el país.

Aunque los militares autores del Libro Blanco de Defensa Nacional del Estado Mexicano no consideran ninguna agresión de algún otro Estado contra México, si piensan que “nuestra posición geoestratégica y geopolítica nos compromete a estar preparados para la defensa legítima de nuestros intereses”.

El combate a los ciberdelitos y la ciberseguridad nacional

El país con más vulnerabilidad frente a los ciberataques en Latinoamérica es Brasil y le sigue México, esto de acuerdo al documento “El Verdadero Costo del Fraude 2018” creado por la empresa LexisNexis Risk Solutions.

En ese documento la empresa dice que México es vulnerable a “ ciberataques relacionados con piratería informática, robo de identidad y fraude en tarjetas de crédito, tomando en cuenta que los bienes digitales como música, películas y software han ido en crecimiento y representan el 40% del volumen total de comercio electrónico en nuestro país durante 2018”.

El mismo documento afirma que “el 49% de pérdidas por fraude en México proviene del robo de identidad, y un 45% anual por medio de transacciones de crédito seguido de un 31% por medio de gestiones de débito”.

Ante ese panorama, es necesaria la actuación de una unidad especializada en combatir los delitos cibernéticos, tal y cual ya lo hacía el Centro Nacional de Respuesta a Incidentes Cibernéticos en la PF, sin embargo en todo el texto de la Ley de la Guardia Nacional no se menciona ni una sola vez la palabra “ciberseguridad” y tampoco se enuncian las actividades de protección digital a empresas y ciudadanos.

¿Cuál será la razón de esta omisión tan importante? A muchos ciudadanos preocupados por la ciberseguridad nos gustaría saber la respuesta y sobre todo que el gobierno corrija y a la brevedad implemente un plan en este ámbito.

*Maestro en Administración Pública por el Instituto Nacional de Administración Pública