Análisis sobre la iniciativa para expedir la Ley Federal de Ciberseguridad

 Déjenme comenzar por el final. Este es un tema al que le hemos dado tantas vueltas, ha habido tantas iniciativas y propuestas analizadas, que comienzo a ver que estamos entrando en una dinámica de parálisis por análisis. Así que en general veo de manera positiva la salida de esta iniciativa, que se puede encontrar aquí:

http://gaceta.diputados.gob.mx/PDF/65/2023/abr/20230425-II-2.pdf 

Que en resumen:

• Propone expedir la Ley Federal de Ciberseguridad. Las disposiciones de la presente Ley son de orden público y observancia general en todo el territorio nacional en materia de Ciberseguridad y tienen por objeto:

• Definir las instituciones responsables de la Ciberseguridad, así como los principios y lineamientos generales a los que debe sujetarse la Política Nacional en la materia;

• Establecer las facultades, atribuciones, competencias y coordinación entre las dependencias y entidades de la Administración Pública Federal, así como sentar las bases de colaboración con Entidades Federativas, Organismos Constitucionales Autónomos, Academia e instancias del Sector privado del país;

• Establecer las bases para la prevención y persecución de los delitos cibernéticos, así como el marco regulatorio que fortalezca el ciclo de gestión de incidentes cibernéticos y resiliencia cibernética;

• Establecer y coordinar el marco regulatorio de prevención, vigilancia y control sobre infraestructuras críticas de información;

• Establecer los derechos y obligaciones de los usuarios en el Ciberespacio;

• Establecer las bases para el fomento de una cultura de Ciberseguridad;

• Definir las facultades, atribuciones y funciones de las autoridades dentro de su ámbito de competencia y los derechos y obligaciones de las personas y las entidades privadas responsables que cuenten, posean o administren tecnologías de la información y comunicación;

• Impulsar la organización, capacidad operativa, integralidad, transversalidad y profesionalización de las instituciones de la Administración Pública Federal, Entidades Federativas, Organismos Constitucionales Autónomos, Academia e instancias del Sector privado del país;

• Establecer las bases para sancionar conductas ilícitas en materia de Ciberseguridad; y

• Penalizar actividades cibernéticas ilegales y otorgar atribuciones a las autoridades encargadas de perseguirlas, con respeto a las garantías procesales, el derecho a la intimidad, las libertades civiles y los derechos humanos.

No estoy seguro de algunas implicaciones sobre que sea una ley federal, que entiendo que luego cada entidad federativa deba aplicar en su propia ley. pues los delitos de este tipo y acciones necesarias trascienden las fronteras de las entidades federativas.

Aquí una lista de algunas de las otras iniciativas que se han presentado en los últimos años:

NOMBRE DE LA INICIATIVA	PROPONE	GRUPO PARLAMENTARIO	FECHA DE PRESENTACIÓN	ESTATUS
Iniciativa De Reforma Del Artículo 17 De La Constitución Política De Los Estados Unidos Mexicanos, En Materia De Impartición De Justicia Digital	Sen. Ricardo Monreal Ávila Cámara de Origen: Senado	MORENA	02/09/2020	https://www.senado.gob.mx/64/g aceta_del_senado/documento/11 1741
Iniciativa de Reforma de la Ley Federal de Telecomunicaciones y Radiodifusión	Sen. Ricardo Monreal Ávila.  Cámara de Origen: Senado	MORENA	12/09/2019	* https://www.senado.gob.mx/64/gaceta _del_senado/documento/99084
Iniciativa de Ley de Seguridad Informática	Sen. Jesús Lucía  Trasviña Waldenrath.  Cámara de Origen: Senado	MORENA	27/03/2019	https://www.senado.gob.mx/64/gaceta_del_senado/documento/92 192
Iniciativa de Reforma de la Ley de Seguridad Nacional	Dip. María Eugenia Hernández Pérez  Cámara de Origen: Diputados	MORENA	08/01/2020	http://sitl.diputados.gob.mx/LXIV_leg/curricula.php?dipt=136
Iniciativa de Ley Nacional de Seguridad en el Ciberespacio	Dip. Javier  Salinas  Narváez  Cámara de Origen: Diputados	MORENA	19/10/2020	http://sitl.diputados.gob.mx/LXIV_leg/curricula.php?dipt=469
Iniciativa de Reforma del Artículo 73 de la Constitución Política de los Estados Unidos Mexicanos	Dip. Javier Salinas  Narváez Cámara de Origen: Diputados	MORENA	24/09/2019	http://gaceta.diputados.gob.mx/ Gaceta/Iniciativas/64/gp64_a2pri mero.html
Iniciativa de Reforma al Código Penal Federal	Sen. Alejandra Lagunes Soto Ruiz Cámara de Origen: Senado	PVEM	17/10/2019	https://www.senado.gob.mx/64/g aceta_del_senado/documento/100766
Iniciativa de Reforma al Código Penal Federal y Ley Orgánica de la Administración Pública Federal	Sen. Jaquelina Martínez Juárez. Cámara de Origen: Senado	PAN	22/10/2020	http://gaceta.diputados.gob.mx/ Gaceta/Iniciativas/64/gp64_a3pri mero.html
Iniciativa de Ley General de Ciberseguridad	Sen. Miguel Ángel  Mancera Espinosa  Cámara de Origen: Senado	PRD	02/09/2021	https://www.senado.gob.mx/64/g aceta_del_senado/documento/11 1723
Iniciativa con Proyecto de Decreto por el que se Reforman y Adicionan Diversas Disposiciones del Código Penal Federal en Materia de Delitos Cibernéticos	Sen. Madero Muñoz  Cámara Origen: Senado	PAN	25 de marzo de 2021	https://infosen.senado.gob.mx/sgs p/gaceta/64/3/2021-03-251/assets/documentos/Inic_PAN_Se n_Madero_ciberseguridad.pdf
Iniciativa que  expide la ley general de ciberseguridad	Dip. Juanita Guerra Mena	MORENA	6 de octubre de 2022	http://gaceta.diputados.gob.mx/PDF/65/2022/oct/20221006-II-1.pdf

Por esto la manera en la que se creó esta iniciativa, la participación de las comisiones de ciencia y tecnología tanto de diputados como senadores y la invitación a participar a varios actores a foros y mesas de trabajo, me dejaron un buen sabor. Aunque sigo pensando que el proceso legislativo debería ser más participativo, dinámico y con propuestas activas de las distintas partes, no solo para “escucharlos” en un foro, sino para involucrarlos de manera dinámica en la creación de las propuestas.

Algunos de los puntos que veo como posible mejora son:

En las definiciones, hay algunas que podría mejorar, por ejemplo en

Podría hacerse más amplio, no sólo ligado al acceso sino al “Intento deliberado por vulnerar la confidencialidad, Integridad o disponibilidad, sin autorización…”

Falta algo sobre defender la soberanía nacional, la seguridad de la sociedad en general, que podría resolverse ligándolo directamente al concepto de seguridad nacional.

Posiblemente a la que le veo más problema es

No habla de nada relacionado con intervención.

Como he propuesto en otros artículos y foros, no es conveniente sólo regular el uso o posesión de una herramienta o tecnología, sino tener un enfoque en la actividad e intencionalidad, en este caso la de intervención.

Los artículos a donde se refiere este concepto están relacionados con un registro, mi propuesta es que debe referirse a las herramientas que tengan como objetivo llevar a cabo la acción de intervención mencionada en el párrafo anterior.

Definir este tipo de tecnologías es complicado porque bajo lo que dice esta propuesta, casi cualquier dispositivo caería en ella, por eso es mejor no regular las herramientas sino las conductas. Pero si hubiera que definirlas mi propuesta sería algo como “conjunto de herramientas, técnicas y dispositivos diseñados o modificados para interceptar, monitorear, registrar o manipular las comunicaciones electrónicas.”

En el apartado de las atribuciones de la agencia de ciberseguridad hay un par de puntos preocupantes:

Pedir a los particulares información sobre sus incidentes, sin que estos afecten infraestructuras críticas, me parece excesivo y difícil de implementar.

En el IV Le faltan coma para puntualizar que lo primero es quién y lo segundo es qué, aunque yo usaría dos puntos para que se liste quién debe entregar a la agencia, seguido de dos puntos y qué debe ser entregado a la agencia.

Me parece que es un tema necesario de mencionar, pero no está alineado ni considera la existencia de las  leyes de protección de datos personales, esto lo puede hacer hasta anticonstitucional según me comenta mi querida amiga Cynsol, y en particular, cosas tan sencillas como que no utiliza la mismas terminologías que esas leyes, como “titilar”, “vulneración” “protección de datos personales” etc.

Posiblemente de lo más controvertido será el título quinto, sobre todo por las plataformas que han insistido que no ser reguladas, pero me parece un punto necesario.

Aunque tiene algunos detalles, por ejemplo que “las comunidades de juegos en línea” podrían ser conformadas por particulares y no tener representación legal. 

Mi propuesta: sería referir a “plataformas comerciales para juegos en línea”

En los delitos, hay uno referente a la intervención

Me parece que debe dejar la posibilidad de la intervención con autorización, por ejemplo, cuando se realiza para fines de pruebas de seguridad o con el consentimiento de las partes.

También me parece que falta algo sobre suplantación de identidad en el artículo 77, posiblemente un ejemplo sobre que tomar una cuenta de redes sociales o servicios de mensajería constituye un delito. Podría ser conveniente que haya un delito separado para suplantación de identidad.

En cuanto a la designación de funciones, la separación de actividades de ciberseguridad y de ciberdefensa, la protección de los derechos civiles, protección de datos personales, libertad de expresión y otras preocupaciones que surgieron en iniciativas pasadas, me parece que esta es mucho más completa y ha considerado lo errores que otras cometieron.

Como dije al inicio en general creo que es una buena iniciativa, que va a causar controversias y posiblemente hasta quien se inconforme o tratara de amparar si se púnica en estos términos, pero seguramente harán mejoras y esperemos que consideren puntos como los que expongo aquí.