La Confederación Patronal de la República Mexicana (Coparmex) propuso reformas a la Ley Federal de Telecomunicaciones para combatir y dar herramientas de investigación en casos de sabotaje, hackeo y delitos cibernéticos , al obligar a los proveedores de servicios de internet a resguardar información de direcciones IP y entregarla por orden judicial.
Oscar Lira, vicepresidente del grupo de trabajo de ciberseguridad de Coparmex destacó que sólo en los últimos 6 meses han sufrido ataques a la infraestructura crítica y sabotaje instituciones como Pemex, la Secretaría de Economía (SE), y esta semana la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) y el Banco de México, lo que evidencia la urgencia de legislar en la materia.
Hubo acceso no autorizado a equipos de cómputo, eliminación de información, extorsión, sabotaje, ilícitos que ameritarían hasta 20 años de prisión, dijo. Y pidió ampliar la acepción del delito de sabotaje para que se entienda también el que se comete contra instituciones de iniciativa privada y no sólo a gobierno y paraestatales.
Pero no hay marco legal ni herramientas, ni siquiera para investigar y ese tipo de delincuentes permanecen en el anonimato, expuso en el marco del foro Ciberseguridad, desafíos actuales y futuros de México, organizado por la Comisión de Ciencia y Radiodifusión y Tecnología de la Cámara de Diputados, que preside la diputada Marivel Solís (Morena).
Lira explicó que hoy la Ley Federal de Telecomunicaciones sólo obliga a los proveedores de telefonía a preservar datos de hora, fecha y geolocalización y entregarla en caso de un delito, pero en el caso de delitos informáticos no existe esa herramienta de investigación.
Por ello la organización patronal propuso agregar a la Ley un artículo 190 bis 2 para agregar que se tiene la obligación a preservar una dirección IP durante tres meses en vivo y 3 de almacenamiento –como establece el Convenio de Budapest sobre ciberdelincuencia, al que México aún no se adhiere—y que permita al ministerio público contar con información, previa orden judicial, e investigar y combatir ese delito.
En el foro, los expertos coincidieron en el deficiente marco legal en México, la ausencia de una estrategia nacional en materia de ciberseguridad, y carencia de una entidad mexicana dedicada a coordinar todos los esfuerzos en materia de ciberseguridad.
Incluso el director general adjunto de Ciberseguridad de la Secretaría de Seguridad y Protección Ciudadana (SSPC), Javier Miranda Nieto, admitió que no hay mecanismos de protección, la regulación es escasa y eso no permite garantizar la seguridad de los sistemas de información ni de los datos, lo que es aprovechado por los delincuentes para obtener beneficios.
El catedrático de la UNAM, Edgar Ortiz Arellano, destacó que no hay ninguna referencia a ciberseguridad en Plan Nacional de Desarrollo, y apenas está en estudio incorporar ese rubro a Ley de Seguridad Nacional y al Código Penal.
De hecho, apenas se incorporó al Programa Sectorial de Defensa Nacional 2020-2024, publicado la semana pasada.
Al menos cinco expertos participantes propusieron la necesaria creación en México de una oficina o agencia de ciberseguridad, y vieron en la carencia de ésta uno de los principales problemas, sumado a falta de marco legal, de recursos y cultura de ciberseguridad.
Quienes plantearon la necesidad de esa instancia en ciberseguridad fueron Fernando Del Real, de la Asociación Mexicana de la industria de las tecnologías de la información (AMITI); Mario de la Cruz, representante de American Chamber; el experto Kiyoshi Tsuru, de Bussines Sofware Of Alliance; Roberto Martínez, analista senior de seguridad de equipo global de investigación y análisis América Latina, de Kaspersky y José Antonio Vázquez, de Microsoft México.
“Debe existir una entidad que coordine los esfuerzos y que puede ser coordinada por el Estado, pero hoy no existe ese intercambio. Si una empresa es atacada está sola, no sabe cómo actuar no tiene ayuda ni sabe cómo responder” y además deben existir recursos necesarios de lo contrario todo quedará en papel, expuso Martínez, de Kapersky.
México en el lugar 12 de amenazas y ataques cibernéticos pero no hay legislación específica local, y además se requiere vincular a todos los expertos, universidades, empresarios, pues hoy no hay cohesión ni colaboración, aseveró.
Tsuru recordó que con la entrada en vigor del TMEC al incorporar un nuevo capítulo de comercio digital (el 19), por lo que los tres socios comerciales deben mejorar sus capacidades de ciberseguridad y eso hace necesaria una agencia de ciberseguridad en México.
Ese sería el mejor escenario, pero a falta de eso “hay que trabajar con lo que hay” y la entidad del Estado que hoy ya realiza esfuerzos en la materia y podría fungir como tal –consideró- es la subsecretaría de comunicaciones y desarrollo tecnológico Secretaría de Comunicaciones y Transportes (SCT).
“Sabemos que vivimos tiempos presupuestales complicados” así que al menos debería designarse a una instancia del gobierno que ya esté trabajando en la materia y asuma las funciones de agencia de ciberseguridad, expuso De la Cruz, de American Chamber, al plantear que ésta debe integrar todo lo que se requiere en materia de competencia, transversalidad en el gobierno y vinculación con el empresariado y la sociedad.
También se debe reconocer a la ciberseguridad como una materia de seguridad nacional --planteó--y generar un protocolo nacional para compartir información sobre los hackeos que ha habido y que han afectado la infraestructura crítica del país tanto pública como privada.
Juan Manuel Aguilar Antonio, del Colectivo de análisis de seguridad con democracia (CASEDE) propuso crear una Ley de ciberseguridad y una agencia nacional de ciberseguridad para coordinar todos los esfuerzos del Estado mexicano y crear sinergias con empresas como Microsoft y Karpesky y otras, de lo contrario no será posible avanzar.
maot