Análisis de la propuesta de reforma constitucional para dar al congreso capacidades de regular en materia de ciberseguridad

De -

Análisis de la propuesta de reforma constitucional para dar al congreso capacidades de regular en materia de ciberseguridad


Recientemente se hizo una propuesta en la cámara de diputados para reformar la actual fracción XXIX-M del artículo 73 constitucional, a fin de otorgar al Congreso de la Unión la facultad de legislar en materia de ciberseguridad, que genere la creación de un marco normativo dinámico que favorezca salvaguardar la seguridad cibernética de las y los mexicanos. 


Para hablar sobre regulación en materia de ciberseguridad es importante un entendimiento sobre qué es la ciberseguridad y su impacto a nivel nacional e internacional.

Cuando hablamos de ciberseguridad no solo estamos hablando de la protección de bits de bytes, de computadoras o de información, estamos hablando de la protección de todos los elementos que dependen de estos sistemas. Actualmente dependemos de las tecnologías de la información y comunicaciones las personas, organizaciones, la infraestructura, la información y la sociedad misma, esto hace relevante a la ciberseguridad pues protege al mundo físico desde las dependencias que tiene con el mundo digital. 

En este sentido, es importante hacer la separación cuando hablamos de ciberseguridad en términos de seguridad nacional, porque en este sentido nos referimos a las amenazas que afectan la integridad del país o sea a su población, las vías de comunicación, el suministro eléctrico, de alimentos o de otros insumos básicos, pues todos ésos están ligados al uso de estas tecnologías información y comunicaciones que las hacen más eficientes más rápidas más seguras o alcanzables desde lugares que antes era complicado que llegaran y que por lo tanto son objeto de esta ciberseguridad.

Por lo tanto, los riesgos en materia de ciberseguridad es relevante que sean identificados y atendidos, esto debe realizarse manteniendo un equilibrio con otros riesgos que podrían traer su implementación, como la coacción, las amenazas a la libertad de expresión o de los derechos humanos. Los y trabajos legislativos en la materia deberán tener esto en consideración, así como los mecanismos y la naturaleza que define Internet, que está basada en esquemas transfronterizos de gobernabilidad y de múltiples partes interesadas, con protocolos estandarizados a nivel internacional.

El avance en materia de ciberseguridad requiere un profundo entendimiento de estos principios que rigen el ciberespacio por parte de los legisladores, entes de gobierno, fuerzas del orden, asesores, iniciativa privada, profesionales y la sociedad en general.

El problema es que los temas de seguridad nacional toma relevancia y atención cuando existen efectos tangibles y que definitivamente tiene una precedencia más baja que otros problemas de dimensiones muy amplias, como el combate a la pobreza o la corrupción. Sin embargo, según el reporte de riesgos globales 2018 del World Economic Forum, la ciberseguridad es la tercera mayor amenaza que enfrentará el mundo en la siguiente década, sólo detrás de los cambios climáticos y los desastres naturales.

Así es como tenemos frente a nosotros una gran oportunidad de poder controlar un problema antes de que los impactos tangibles lleguen a proporciones mayores, lo cual no significa que no haya efectos en el mundo físico, eventos como el ransomware NotPetya o Wannacry que tuvieron afectaciones globales y detuvieron las operaciones empresas completas o del sistema de salud del Reino Unido. Dos ejemplos que me parecen parteaguas es la historia de la ciberseguridad son:

  1. En mayo de 2019 un grupo terrorista estaba ejecutando un ciberataque a infraestructura crítica del estado de Israel. Las fuerzas de defensa israelí identificaron el origen del ataque, localizando un edificio desde el que los atacantes estaban operando. La respuesta del Estado no fue contrarrestar con un ciberataque en el mismo ámbito en el que lo recibían, sino enviar un equipo especializado y detonar las instalaciones donde se encontraban los terroristas. Esta es la primera vez en la historia en la que un ciberataque es contrarrestado con un ataque físico a nivel militar

  1. En septiembre de 2020 un paciente arriba a urgencias en un hospital en Dusseldorf, Alemania, los sistemas del hospital habían sido previamente vulnerados por un ataque de ransomware que los tenía inhabilitados. El personal de admisiones pidió los paramédicos de la ambulancia llevar al paciente al hospital más cercano, en el camino desafortunadamente el paciente falleció. Si bien el ransomware no mató a la persona, la indisponibilidad de los sistemas llevó a la toma de decisiones que impidieron el tratamiento del paciente que de otra forma posiblemente podría haber sido atendido y estabilizado.

Entre más pronto se enfrente el problema con acciones claras, que no quiere decir una declaración de guerra en el ciberespacio porque como hemos visto, las declaraciones de este tipo contra el crimen organizado, tráfico de drogas o actos de corrupción no ha tenido resultados del todo positivos. Por lo tanto, priorizar y establecer una estrategia integral es la principal respuesta que debemos implementar.



  • La protección de lo que hacemos en el ciberespacio, no solo bits y bytes

  • Personas, organizaciones, infraestructura, información

  • Cuando se habla de la seguridad nacional es porque nos referimos a que amenazas para la integridad del país como a la población, las vías de comunicación, el suministro eléctrico, de alimentos y otros insumos básicos, están ligadas a sistemas de información y por lo tanto son objeto de la ciberseguridad.

  • Los riesgos en materia de ciberseguridad deben ser controlados, pero al mismo tiempo ponderados con otros riesgos como los que afectan la libertas de expresión y los derechos humanos

  • Considerar los mecanismos y naturaleza de la gobernabilidad trasfronteriza  y de múltiples partes interesadas que caracterizan a  Internet


Actualmente el Congreso tiene potestad de legislar en materia ciberseguridad pues como he mencionado no es un problema ajeno a la seguridad nacional, las vías de comunicaciones, el fraude o cualquiera de los demás ámbitos en los que enfrentamos riesgos de ciberseguridad. Es importante analizar la congruencia que tiene del documento de propuesta legislativa presentado, ya que en la exposición de motivos señala por un lado algunos elementos como el combate a las “Fake news” que parecen contradictorias con el objeto de la propuesta presentada.

Para buscar congruencia en este tema quiero puntualizar que cuando hablamos del acceso a  Internet como un derecho constitucional es frecuente mal interpretar este derecho, pues el derecho que tenemos de acceso a  Internet en realidad deriva del derecho de acceso a la información al que tenemos todos los mexicanos, como lo marca el artículo 6 de la Constitución, mencionando que debe ser de manera plural y oportuna para que podamos participar de la sociedad de la información, tanto para recibir, pero también para compartir información e ideas.

De esta forma Internet es la herramienta que ha democratizado y facilitado el ejercicio de este derecho, para acceder a las bases de conocimientos disponibles en la red y a los mecanismos de comunicación para compartir ideas y ejercer la libertad de expresión, como las redes sociales y servicios de mensajería, que nos acercan con personas, culturas e ideologías que pueden estar alejadas físicamente o en las formas de pensar.

Entonces el Internet no es forzosamente un lugar o un espacio al que tenemos un derecho de acceso, sino es un conjunto de muchos lugares y muchos espacios, a los que de hecho, en algunos casos podríamos no tener ni necesitar acceso, porque son propiedad privada o porque alguien subió un contenido a la red que es ilícito

Los trabajos legislativos en la materia deben considerar entonces las principales problemáticas que enfrentamos con el uso de herramientas como Internet, en particular los derechos de las niñas, niños y adolescentes que son más vulnerables, para evitar prácticas como la pornografía infantil, secuestro, acoso, etc. pero también otras prácticas antisociales como el fraude, la suplantación de identidad y los delitos de extorsión, que requieren la cooperación entre las fuerzas del orden, los órganos de judiciales y autoridades. Para ello hay que evitar la militarización de los procesos en los casos que compete a las policías, jueces o magistrados perseguir y dictaminar sobre los delitos y establecer los mecanismos para tener información suficiente para perseguirlos.

A continuación presento algunas recomendaciones para ser consideradas en los trabajo en la materia:

  1. Poner como prioridad la protección de los derechos de la ciudadanía y no el aumento de las capacidades de vigilancia del estado que pudiera llevarse a su ejercicio extralimitado,

  2. Contar con información pronta y actualizada para la toma de decisiones, desde los niveles de la seguridad nacional, la organizacional, las capacidades de detección y respuesta ante incidentes, y la capacitación y concientización de la población en general,

  3. Promover y establecer incentivos para la innovación, la investigación y el desarrollo tomando como base los principios de privacidad y seguridad por diseño y por defecto, la privacidad y la seguridad son comúnmente presentados como un falso dilema en el que debemos renunciar a uno para obtener el otro, en realidad no es así, no podemos tener seguridad sin privacidad y viceversa,

  4. No criminalizar el uso o la posesión de herramientas para la detección monitoreo, explotación de vulnerabilidades o realización de pruebas de seguridad, sino hacerlo con las conductas antisociales en las que se utilizan estas herramientas, por lo tanto la tipificación de los delitos debería estar asociada a estas conductas para evitar darle una ventaja competitiva a los delincuentes, que de por sí no observan la ley, en contra de aquellos que sí buscan observar la ley, pero que en términos de lo que diga la regulación podría criminalizarse el uso o posesión de esa herramienta,

  5. Contar con una estrategia transversal en materia de ciberseguridad que considere y sea diseñada con el apoyo de las múltiples partes interesadas incluyendo al gobierno, organizaciones de la sociedad civil, órganos de impartición de justicia, legisladores, iniciativa privada, academia, centros de investigación, fabricantes y desarrolladores de tecnología, etc.,

  6. Asignar las responsabilidades principalmente en la administración pública federal para la coordinación y protección de en materia de ciberseguridad,

  7. Considerar la colaboración entre la administración pública y la iniciativa privada tanto en el contexto nacional como internacional,

  8. Establecer planes de educación, capacitación y concientización en materia de ciberseguridad, a todos los niveles incluyendo el entrenamiento técnico y profesional para desarrollar capacidades en la materia,

  9. Análisis para el entendimiento y la adopción de los estándares internacionales y buenas prácticas que definen la manera de operar de Internet, para también identificar si es necesaria la generación de nuestros propios estándares en algún momento,

  10. Establecer métricas e indicadores de ciberseguridad como país y que nos permitan compararlos en el contexto internacional,

  11. Definir identificar y clasificar cuáles son las infraestructuras críticas que deben protegerse, en función de que a su vez se están protegiendo los intereses y la integridad de la nación, para con base en esa identificación establecer estrategias de protección,

  12. Brindar a los usuarios maneras de revertir la eliminación de contenidos, de cuentas o de cualquier otra acción que impida su derecho al acceso a la información o la libertad de expresión, sobre todo si se realizan de manera injustificada o desapegada a lo legal.


En mi opinión, establecer formas de control basadas en la censura de contenidos puede tener efectos adversos, en particular si se imponen responsabilidades únicamente a los operadores e intermediarios y no se sanciona a quien publica el contenido, que llevó a cabo la conducta antisocial realmente.

Es importante establecer criterios claros para definir los contenidos ilícitos o falsos que deban ser suspendidos, cuestionados o dados de baja, considerando que las capacidades de censura podrían ser utilizadas de forma desproporcionada para eliminar comentarios adversos, especialmente en un entorno democrático que requiere una conversación que fomente la crítica, el análisis y el compartir ideas, aunque sean ajenas a las propias 

 

Comentarios

Publicar un comentario

Entradas populares de este blog

Investigación Forense con Autopsy

De -
Imagen
Investigación Forense con Autopsy (WINDOWS) Autopsy es una herramienta de análisis forense digital de código abierto utilizada principalmente por investigadores, analistas de seguridad y profesionales de la informática forense para examinar y recuperar datos de dispositivos de almacenamiento, como discos duros, unidades flash y otros medios digitales. Desarrollada originalmente por el Departamento de Defensa de los Estados Unidos, Autopsy ofrece una interfaz gráfica amigable que facilita la realización de investigaciones forenses. Las funciones principales de Autopsy son: Análisis de imágenes de disco: permite la creación y el análisis de imágenes de disco completas, lo que permite examinar el contenido de un disco duro o cualquier otro medio de almacenamiento de manera detallada. Recuperación de archivos eliminados: Autopsy puede recuperar archivos que han sido borrados, brindando la posibilidad de analizar información que se creía perdida. Análisis de actividades recientes: facilita ...
Leer más

Preocupaciones y propuestas sobre los cambios en la ley Telecom y la CURP biométrica

De -
Imagen
Ante la nueva Ley de Telecomunicaciones y Radiodifusión  y la implantación de la CURP biométrica, más allá de la discusión (muy necesaria, pero fuera del ámbito de este artículo) sobre si estas leyes son adecuadas, es necesario asumir que ya son un hecho y que si bien abren la puerta a un sistema de identidad y conectividad sin precedentes en México, también levantan preocupaciones sobre la vigilancia masiva, la exposición de los datos más personales y varios otros riesgos que es relevante atender. Esto plantea un dilema democrático: ¿puede el Estado saber dónde estoy cada minuto sin romper la presunción de inocencia? Definitivamente la privacidad es una preocupación que todos debemos tener desde las actividades que hacemos diariamente, desde la información que publicamos en redes sociales estamos dando a conocer datos de nosotros mismos y que son utilizados para perfilamiento sobre nuestros gustos, preferencias y costumbres, que pueden ser utilizados tanto para fines legítimos, de...
Leer más

Plausibilidad técnica vs prudencia analítica: mi análisis sobre el caso del presunto uso de Claude para vulnerar datos en México

De -
Imagen
  El reportaje de Bloomberg sobre un atacante que habría utilizado Claude, de Anthropic, para comprometer información sensible de instituciones mexicanas merece una lectura más cuidadosa de la que normalmente producen los titulares virales. La nota sostiene, con base en investigadores de Gambit Security, que se extrajeron alrededor de 150 GB de datos y que el ataque afectó registros fiscales, padrones electorales y otros archivos públicos. Pero es de resaltar que el mismo 25 de febrero de 2026, Reuters reportó que Gambit salió de “stealth mode” y anunció una ronda de 61 millones de dólares, mientras que el propio comunicado de la empresa ligó explícitamente ese financiamiento con la divulgación de “nueva investigación” sobre la ruta del ataque en México. Esa coincidencia no invalida por sí sola el hallazgo, pero creo que obliga a separar evidencia técnica de la narrativa comercial. La primera distinción importante es entre lo técnicamente posible y lo específicamente probado. H...
Leer más