Sí existe un consenso entre expertos y legisladores, el cual se menciona tanto en entrevistas directas como en foros especializados: México requiere consolidarse en ciberseguridad, desde contar con una ley en la materia hasta tener un centro especializado.
También lo ha mencionado así la actual administración gubernamental, como una de sus 100 promesas clave.
Luego de que tomó el mando la presidenta Claudia Sheinbaum Pardo el pasado 1 de octubre, enumeró lo que se podría considerar los puntos fundamentales de su gobierno. Es la promesa 34 la que interesa para fines de este artículo.
En resumen, este apartado habla de la consolidación del programa espacial mexicano, el desarrollo de semiconductores y la producción de litio, pero también de un centro de ciberseguridad e inteligencia artificial (IA).
“Será tecnología hecha en México por mexicanas y mexicanos”, refirió Sheinbaum Pardo aquel día.
Leer también: Dónde está la “papelera” de WhatsApp y cómo vaciarla
Para Ernesto Ibarra Sánchez, líder de la Alianza México CiberSeguro, organización que este octubre realizó la primera edición del Foro Nacional de Ciberseguridad, es necesario “apresurar” el paso.
“La mejor forma de tener el pulso sobre cómo está México es a partir de que se constituya la gobernanza de ciberseguridad y de que tengamos una agencia o una entidad que lidere, así como cuando el conjunto de actores (industria, academia y sociedad civil) se siente en la mesa para aportar la experiencia, los datos y las cifras”, precisa.
Para la exsenadora Alejandra Lagunes, quien impulsó una ley federal de ciberseguridad, el tema está sobrediagnosticado. Es por eso que llama a la acción inmediata.
“Estamos en un punto de inflexión (...) Lo que hagamos o no hoy impactará la vida de millones, cambiará la vida de generaciones”.
Lagunes añade que ya pasó más de una década sin un marco normativo en ciberseguridad, uno que no solo proteja a la infraestructura crítica de México, sino a la ciudadanía.
En el mismo sentido, el senador Luis Donaldo Colosio Riojas, presidente de la Comisión de Derechos Digitales, indica que el asunto no debe ceñirse únicamente a la protección de infraestructuras: “También debe tener como eje central el poder salvaguardar la dignidad y los derechos de las personas en el entorno digital”.
¿La creación de una ley de ciberseguridad en México resolvería las problemáticas actuales en el segmento? Para los especialistas, sí, aunque resalta el número de intentos al respecto.
Ivonne Muñoz, directora y fundadora de IT Lawyers SC, expone que en total se han presentado 24 iniciativas en materia de ciberseguridad (aunque otros expertos hablan de casi 30), 20 de las cuales han sido propuestas de modificación de otras normas legales, en tanto que cuatro, promesas para crear una ley de ciberseguridad.
El 83% de las iniciativas vinculadas a la materia se ha quedado congelado en su cámara de origen, formula la también abogada especializada en la disciplina.
“Hay demasiadas propuestas en distintos sentidos. El panorama no está armonizado, no está homologado. Cada legislador está proponiendo desde los intereses o desde el entendimiento que hay en su área legislativa”, profundiza Muñoz.
A su parecer, el actual escenario no le brinda al país un panorama halagüeño. Todo parece indicar que los legisladores no han volteado a ver un punto importante antes de la creación de una ley efectiva hasta la fecha: la educación en temas de ciberseguridad.
“Solo es posible crear leyes mejores cuando se entiende el problema, su origen y qué hacer para combatirlo”, añade Fabio Assolini, director del equipo global de Investigación y Análisis para América Latina en Kaspersky.
Ambos coinciden en que, sin una educación sobre qué es la ciberseguridad y todo lo que implica, poco se puede avanzar.
“Lo más importante es hacer entender al ciudadano a qué nos referimos con el tema que se legisla. Legislar no significa decir ‘tenemos un problema y hay que regularlo para que, cuando suceda, se pueda sancionar’. Los ciudadanos finales, las compañías e incluso las empresas de gobierno tienen que entender de qué se trata”, resume Muñoz.
Los expertos abogan por una protección digital integral, que se considere como una figura que proteja a las personas, empresas públicas, empresas privadas y a la infraestructura crítica.
“La base de la transformación digital es la ciberseguridad y la confianza digital. Por eso es tan urgente que podamos tener una ley, un marco regulatorio que proteja no solamente a las infraestructuras críticas, también a la sociedad en general”, agrega Lagunes, quien también es la fundadora de la Alianza Nacional de Inteligencia Artificial (ANIA).
Sobre la creación de un centro de ciberseguridad en el sexenio gubernamental que inicia, podría cambiar de manera importante el panorama de México en la materia, siempre y cuando este se comprometa a llevar un acercamiento, guías, políticas y recomendaciones sobre el asunto en conjunto con otras entidades.
“De esta forma, con el esfuerzo y la suma del conocimiento, tanto de quienes investigan y monitorean como de quienes asesoramos, creo que el centro podría dar resultados interesantes para el país y con el fin de promover un marco jurídico", resalta Muñoz, de IT Lawyers SC.
Otro punto importante, y que no se ha tomado en cuenta en la creación de una ley de ciberseguridad efectiva en el país, es el propio contexto que vive el país.
“Tenemos una estrategia nacional de ciberseguridad, pero es una copia de otros países. Lo que necesitamos es una estrategia hecha por nacionales, por los expertos que estamos aquí viviendo la realidad de México en este tema”, destacó Muñoz en el panel “Panorama de la ciberseguridad en México”, organizado por Infosecurity México este octubre.
Lo anterior no significa no analizar lo que están haciendo otros territorios en el área e incluso la integración del país a tratados internacionales.
“Mi llamado es que se haga una política de estado en el tema de ciberseguridad, una que esté claramente en las estrategias prioritarias como una transversal. Por otro lado, desde el poder legislativo, (es relevante) que se acelere adherirnos al Convenio de Budapest, a convenios internacionales, porque la gobernanza tiene que ser no solamente integral y multidisciplinaria, sino también global”, acota Lagunes.
Finalmente, Muñoz detalló todas las cualidades que debería prever una ley de ciberseguridad efectiva en el país.
“Mi punto de partida es que la ley tiene que prever: una autoridad encargada, un procedimiento de autorregulación, un procedimiento de capacitación y concientización, un marco de obligaciones hacia los entes públicos y también hacia los entes privados, un marco de atribuciones hacia la dependencia de gobierno que se encargue de esto y, por supuesto, un marco de sanciones en caso de que no se haga las acciones correspondientes para procurar una mejor ciberseguridad en el entorno digital”.
En un escenario adverso, ¿qué pasa si el país no avanza en el tema de ciberseguridad ahora que también inicia un nuevo sexenio gubernamental?
“México es y será un país muy susceptible a ataques, y también hay que recordar que en el mundo cibernético no hay fronteras ni estados, como tampoco existe el cese de actividades por parte de los ciberdelincuentes por el cambio de gobierno”, asegura Rafael Chávez, gerente de F5 para México, firma que ofrece distintas soluciones de seguridad.
Por otro lado, Lagunes menciona el dato de que tres de cada cinco pymes, que son la base de la economía nacional, cerrarán sus operaciones porque no van tener los recursos para recuperarse después de un ataque cibernético.
Y es que, según los distintos reportes, más de la mitad de las empresas en el país está en una amenaza constante en materia de ciberseguridad.
En realidad, el asunto debe ser una prioridad en las organizaciones de todos los tamaños, de acuerdo con Chávez. “Todas deben tener una herramienta o una tecnología que les permita proteger sus aplicaciones e información”.
Explica que a una firma le puede costar, por lo menos, 150,000 dólares una acción efectiva de los delincuentes. “Cuando sufren algún ataque, alguna vulneración de información, se dan cuenta de que es más caro tratar de resolverla”.
Añade que antes de la pandemia se sabía que los ataques cibernéticos estaban dirigidos a los bancos y a las instituciones gubernamentales. Sin embargo, el blanco en la actualidad es cualquier usuario o entidad, sin importar la industria.
“Lo que ha cambiado ahora es que primero se ataca y, posteriormente, los ciberdelincuentes valoran qué beneficios pueden obtener”.
Ibarra Sánchez, de la Alianza México CiberSeguro, dice que los ciberataques seguirán creciendo y haciéndose más complejos, ya que los delincuentes utilizan herramientas cada vez más avanzadas, lo que incluye la IA.
En este sentido, propone que también exista un centro de respuesta a incidentes en la nación. “Hay algunos países que generan estrategias sectoriales, por ejemplo, para proteger el sector financiero, energía, movilidad, educación, salud, etcétera”.
Son varios los puntos que tocan los especialistas para establecer soluciones. Ibarra Sánchez expresa que la ciberseguridad en el país requiere de un indicador nacional, “construido en colaboración con los distintos actores”. Y es que ciertos reportes ponen a México en una posición favorable, mientras que otros lo colocan como uno de los territorios más afectados en el orbe.
Por ejemplo, la quinta edición del índice Global de Ciberseguridad (2024) de la Unión Internacional de Telecomunicaciones (UIT), que mide el compromiso de las naciones en cinco pilares: legal, técnico, organizacional, capacidad de desarrollo y cooperación, coloca a México en una situación avanzada junto con otros territorios de América como Canadá, Ecuador y Uruguay. Por arriba de todos estos están Brasil y Estados Unidos.
Otro de los temas esenciales en México y de manera global es que existe una escasez en competencias de ciberseguridad. De acuerdo con el Consorcio Internacional de Certificación de Seguridad de Sistemas de Información, a nivel mundial faltan 3.4 millones de profesionales en ciberseguridad.
Genaro Flores, director de la firma Netcloud Services, explica que alrededor de 800 mil espacios están por cubrirse solo en la región latinoamericana.
Particularmente en México, refiere que la demanda de talento tuvo un crecimiento anual del 6.8% durante 2024, cifra que superó los niveles observados en economías como España, India, Países Bajos, Australia y Alemania.
“Del 100% de ingenieros, solo el 10% se dedica al mundo de la ciberseguridad”, complementa.
Con relación a las expectativas salariales de los egresados en la materia, se piensa que podrían arrancar con un sueldo de 35,000 a 40,000 pesos, lo cual está por encima del promedio de las carreras más demandadas en México.
“El mercado laboral demanda cada vez más profesionales especializados en ciberseguridad, capaces de enfrentar amenazas digitales y proteger la infraestructura crítica. La formación en el segmento, incluyendo certificaciones y actualización constante, es esencial para mantenerse al día en este campo dinámico”, resume Sheila Reyes Guerrero, directora Académica de la Ingeniería en Ciberseguridad de la Universidad AMERIKE.
Leer también: ¿Tu primera chamba? El paso a paso para tramitar la Constancia de Situación Fiscal del SAT