La presentación de la Ley Federal de Ciberseguridad ante la Cámara de Diputados, es un primer paso interesante que se toma para enfrentar este problema creciente. Entre sus aspectos positivos, están el hecho de que claramente se escuchó a todos los sectores y que crea un registro de incidentes que ayudará a dimensionar con mayor claridad el problema, consideró Sergio Navarro Barrientos, director de Seguridad Informática de IQSEC.
En entrevista con ConsumoTIC, el representante de la firma especializada en ciberseguridad e identidad digital, dijo que la ley tiene también áreas para mejorar, como los temas técnicos, que quedan algo olvidados, mientras se favorecen mucho las estructuras de Estado que se crean para atender el tema.
Confió en que se tomen medidas claras para enfrentar el problema antes de los 36 meses que la Ley concede para la entrada en vigor de la Agencia Nacional de Ciberseguridad, pues los ataques crecen a una velocidad exponencial y las sanciones hasta ahora planteadas para este tipo de delitos se antojan ineficientes ante las dimensiones transnacionales del delito.
Es importante señalar que los datos disponibles varían mucho según la fuente, desde quien habla de decenas de millones de ataques anuales por país, hasta estudios que señalan miles de ataques semanales para prácticamente cualquier organización (pública o privada) en cualquier parte del mundo.
De hecho, en la exposición de motivos de la Ley Federal de Ciberseguridad –que la Cámara de Diputados admitió a trámite el pasado 25 de abril—se indica que de acuerdo con el Censo Nacional de Seguridad Pública Federal 2021 (INEGI), la Guardia Nacional atendió en ese año 4 mil 996 delitos en internet; realizó mil 104 investigaciones cibernéticas; desactivó 5 mil 920 sitios web apócrifos; recibió 21 mil 290 reportes de incidentes electrónicos y 133 mil 469 de incidentes de seguridad informática.
En ese sentido, Navarro Barrientos destacó como aspecto positivo de la propuesta, que en su Capítulo IV establezca la creación de un Registro Nacional de Incidentes de Ciberseguridad, pues será la primera vez que se obligue por ley a reportar los incidentes de ciberseguridad.
No obstante, la redacción de los cuatro capítulos de la Ley destinados a este fin (16, 17, 18 Fracciones I, II, III, IV, V y 19), deja todavía espacios a la subjetividad, entre otras cosas, porque se centra únicamente en “los administradores de las Infraestructuras Críticas de Información públicos y privados”.
Es importante recordar que la Ley define como Infraestructuras Críticas de Información a “las redes, servicios, equipos e instalaciones asociados o vinculados con activos de Tecnologías de Información y Comunicaciones, y de Tecnologías de Operación TO, cuya afectación, interrupción o destrucción, tendría un impacto en la provisión de bienes y prestación de servicios públicos o privados esenciales que pudieran comprometer la Seguridad Nacional en términos de las leyes en la materia”.
Por otra parte, Navarro Barrientos destacó que en su estado actual, la ley parece centrarse mucho en prevenir y castigar los delitos, pero sin entrar en los procesos necesarios para proteger los datos y la información, así como mantener la confidencialidad y disponibilidad de la información. De hecho, las penas propuestas son ridículas frente al tamaño del este delito.
Por otro lado, en el tema internacional hace falta homologar normas y establecer rutas de cooperación, porque muchos delitos cibernéticos se cometen en terceros países y para combatirlos, se debe primero identificar al delincuente y después crear los mecanismos para que el culpable pueda ser llevado ante la justicia de la nación donde se encuentran las víctimas.
A ello debe sumarse el hecho de que hay países que no tienen interés en regular los delitos cibernéticos, sino que más bien parecen alentarlos por así convenir a sus intereses.
En conclusión, señaló que la Ley Federal de Ciberseguridad es “un primer escalón de algo donde antes no lo había, y a partir de ahí podemos empezar a construir, involucrar más a los representantes de la iniciativa privada y sus organizaciones porque las definiciones de la Ley por ahora tiende más a regular las acciones del gobierno federal”.
Es un camino largo por transitar y desde las empresas de ciberseguridad, lo que queda es “seguir apoyando a nuestros clientes para que entren en el cumplimiento de lo que venga y tal como venga. ¡A ver cómo nace el bebé!”, concluyó.
C$T-EVP