Reflexiones en torno a la política de combate al ciberdelito y la Estrategia Nacional de Ciberseguridad de México con motivo del mes internacional de la ciberseguridad 2020

Como parte de las actividades internacionales en torno al mes de la ciberseguridad que se llevan a cabo en octubre de cada año y considerando que la mayor parte de la población mundial sigue confinada y trabajando en forma remota por el COVID-19, decidí que sería una buena idea escribir algunas opiniones y reflexiones relacionadas con la política de combate al ciberdelito y la implementación de la Estrategia Nacional de Ciberseguridad en México que espero tenga algo bueno que aportar a algunos expertos, profesionistas, policías investigadores, fiscales y legisladores en México.

Sobre la Adhesión al Convenio de Budapest

Cada vez son más los países que forman parte del Convenio de Budapest, actualmente 65 países, de los cuales 8 países de la región (Colombia, Perú, Paraguay, Argentina, Costa Rica, Chile, Panamá y República Dominicana) ya forman parte de ese instrumento que les ha servido no solamente para impulsar reformas legislativas sustantivas y procesales en materia penal para hacerlas compatibles en la medida de lo posible con dicho tratado, sino que también les ha funcionado primordialmente como un vehículo de cooperación internacional para reforzar las capacidades de las autoridades del sistema de justicia, para llevar a cabo solicitudes de asistencia mutua entre autoridades investigadoras en forma más dinámica y para fomentar la cooperación con los proveedores de servicios globales para tener acceso a información y datos que puedan ser útiles en investigaciones penales.

Vale la pena destacar que la mayor parte de la información que se utilizan en las investigaciones de carácter penal la tienen los proveedores de servicio globales (datos de suscriptor, datos de conexión y datos de contenido). Es una practica común demostrada que los principales proveedores de servicios de comunicaciones como Google, Facebook, Microsoft, Amazon, Twitter están facilitando cooperación directa en mayor medida con las autoridades investigadoras (Fiscales y Policía) de países que han ratificado el Convenio de Budapest y en un menor grado con aquellos países que no forman parte de ese tratado internacional como es el caso de México.

Es importante señalar que para que un país pueda formar parte del Convenio de Budapest, se requiere no solamente de la invitación formal por parte del Consejo de Europa, sino que el Estado invitado tenga o cuente con un proyecto de ley que implemente las disposiciones de derecho sustantivo, derecho procesal y las medidas de cooperación internacional contenidas en el Convenio de Budapest. Para ello el Consejo de Europa, a través del Proyecto GLACY+ ha apoyado no solamente a los países que ya forman parte de ese tratado sino también a otros países de la región que aún no forman parte del Convenio de Budapest, entre ellos puedo mencionar a Guatemala, Belice y Ecuador. Guatemala y Belice ya cuentan con una legislación que esta por ser aprobada en sus respectivos Congresos Nacionales y Ecuador también recibió apoyo del Proyecto GLACY+ hace unos meses para la elaboración de un proyecto de ley sobre ciberdelitos que reforma su legislación sustantiva y procesal penal y se espera que sea aprobado por su Congreso a finales de este año.

El hecho de contar con una legislación sustantiva y procesal para investigar ciberdelitos, es únicamente el primer paso para poder combatir efectivamente esta problemática transnacional. Los siguientes pasos consisten en reforzar las capacidades de las autoridades investigadoras a través de la capacitación y el entrenamiento especializado y continuo en materia de ciberdelito y evidencia electrónica; apoyar la creación de laboratorios forenses digitales dentro de las policías y fiscalías para el análisis de las evidencias y dispositivos y capacitación para su debido uso; replicar la capacitación obtenida y difundir los conocimientos entre las divisiones de policía y fiscalía en los diferentes Estados y Municipios, así como promover el uso de la Red 24/7 como punto nacional de contacto para formalizar y centralizar las investigaciones nacionales en la materia y para tramitar los pedidos de asistencia mutua con otros países, inlcuidas las solicitudes de cooperación directa con los proveedores de servicios globales y nacionales para evitar que se hagan de manera aislada y se dupliquen los esfuerzos de las diferentes fiscalías estatales del país.  México desafortunadamente no ha podido dar ese primer gran paso aún y cuando fue invitado por el Consejo de Europa en el año 2009 y una vez más en 2019.

El Consejo de Europa a través del Proyecto GLACY+ ha organizado algunas actividades en México desde 2012 para promover su adhesión al Convenio de Budapest, sin embargo todos los esfuerzos han sido inútiles debido a que no se ha podido logar un consenso entre los diferentes órganos de la administración pública federal que conforman el Consejo Nacional de Seguridad Pública que es el órgano que coordina y define las políticas públicas en materia de seguridad pública y procuración de justicia a nivel nacional, y en particular por que no se ha logrado consolidar un proyecto de ley sobre ciberdelitos que tome en cuenta en su totalidad las disposiciones del Convenio de Budapest y las recomendaciones de su Reporte Explicativo en donde se otorguen las facultades y poderes necesarios de investigación a las autoridades investigadoras y ejecutoras bajo un marco de protección de salvaguardias y derechos fundamentales previsto en los tratados internacionales y la jurisprudencia nacional.

Por otro lado, grupos parlamentarios de la Cámara de Diputados, entre ellos el Grupo Parlamentario Encuentro Social han publicado puntos de acuerdo exhortando a la Secretaría de Relaciones Exteriores para llevar a cabo la adhesión de México al Convenio de Budapest, y recientemente la Senadora Claudia Ruiz Massieu publicó una nota de prensa destacando la importancia de México de adherirse al Convenio de Budapest, pero como lo mencione anteriormente, es importante que primero se cuente con un proyecto de ley o de reforma al marco sustantivo y procesal penal que implemente la totalidad de las disposiciones del Convenio de Budapest (salvo aquellas disposiciones donde se puedan establecer reservas) y que cuente con el visto bueno del Consejo de Europa. Solicitar la adhesión o el acceso a dicho tratado sería el siguiente paso y dicho proceso podría llevar algún tiempo dependiendo del consenso político entre los órganos del gobierno federal, la Secretaria de Relaciones Exteriores y la representación de México ante organismos internacionales en Estrasburgo.

Cabe destacar que algunos Senadores de la LXIV Legislatura entre ellas Alejandra Lagunes, Lucía Trasviña y más recientemente Miguel Ángel Mancera han sacado proyectos de ley para regular ciberdelitos y aspectos de ciberseguridad. La exposición de motivos de los proyectos de ley de cada uno de dichos senadores hace referencia a la importancia de tomar en cuenta el Convenio de Budapest, sin embargo ninguno de esos proyectos tipifica las conductas y los delitos en su totalidad, además de que ningún proyecto incluye medidas de derecho procesal y de cooperación internacional que son fundamentales para que las investigaciones puedan materializarse y se logre la colaboración internacional cuando el delito es cometido en territorio extranjero pero que afecta a victimas ubicadas en territorio nacional que es lo ocurre con la mayoría de los ciberdelitos. Lo más preocupante es que los proyectos de ley de la Senadora Trasviña y del Senador Mancera mezclan conceptos de ciberseguridad y ciberdelitos y no distinguen el ámbito de competencias de las autoridades investigadoras del sistema de justicia penal (policía, fiscalía, jueces) para investigar delitos que afecten a ciudadanos comunes y que los distingan de las atribuciones de los órganos de inteligencia y seguridad nacional que estarían encargados de investigar ataques o delitos donde se ponga en riesgo o se comprometa la infraestructura crítica y la seguridad nacional del país.

Principales Ataques

Los ciberataques siguen en aumento a nivel global y la gran mayoría de ellos no son fáciles de identificar o atribuir puesto que existen una gran diversidad de actores que requiere sin duda del apoyo de la comunidad internacional. El confinamiento generado por el COVID-19 y la dependencia actual en los sistemas de información conectados a la red ha traído consigo un crecimiento significativo de ciberdelitos en muchos países, incluido México y muchos otros países de la región. (Ver artículo sobre COVID-19 y Ciberdelitos).

México ha sido un blanco constante de ciberataques al sector financiero, energético y de seguros desde algunos años. Entre los ataques más recientes, cabe destacar:

I. La vulneración a los sistemas de pagos de tres bancos, una casa de bolsa y una caja de ahorro popular vinculados al Sistema de Pagos Electrónicos Interbancarios (SPEI) del Banco de México en 2018 donde algunos cuentahabientes no pudieron retirar dinero de cajeros automáticos. (ver nota de El Financiero)

II. La vulneración del sistema de pagos de la Aseguradora AXA vinculado igualmente al SPEI del Banco de México en octubre de 2018. (ver nota de Expansión)

III. El ataque de ransomware a la empresa parasestatal PEMEX en noviembre de 2019 que afectó losl sistema de comunicación en sus terminales de almacenamiento. (ver nota de El Economista)

Asimismo, también se han registrado algunos ataques al sector gubernamental, entre ellos la vulneración de los servidores de correo electrónico de la Secretaría de Economía en febrero de 2020; el ‘defacement’ del nombre de dominio .gob.mx y el ataque de denegación de servicios al portal del Banco de México en julio de 2020 y no omito mencionar la cadena de fraudes a personas que utilizan tarjetas de crédito y débito para pagar en las estaciones de gasolina, información que es copiada fraudulentamente por los despachadores a través de tecnologías comoskimmers para posteriormente comercializarla o llevar a cabo actividades ilícitas.

Los ciberataques seguirán en aumento y no existe institución u organización pública o privada que este exenta de un ataque, es solo meramente cuestión de tiempo. Lamentablemente el gobierno mexicano, las instituciones de impartición de justicia y los legisladores siguen pasivos ante un entorno que requiere de una urgente atención pues en el corto plazo se esperan ataques más sofisticados, destinados a determinados sectores e instituciones y orquestados por grupos de delincuencia organizada debidamente coordinados y ubicados en diferentes regiones del mundo trabajando las 24 horas, situación que requiere forzosamente de un marco de estrecha colaboración y de cooperación internacional para poder contrarrestarlos y combatirlos efectivamente, asi como para poder procesar y castigar a delincuentes que estén ubicados dentro del territorio nacional. México, penosamente no forma parte de esa comunidad internacional de países que están conjuntando esfuerzos para combatir el ciberdelito.

Sobre Ciberseguridad

Ahora bien con respecto al tema de ciberseguridad, que es una área multidisciplinaria y sumamente compleja que requiere de la implementación de políticas y medidas técnicas, físicas y administrativas para proteger la confidencialidad, integridad, autenticidad y resiliencia de los equipos y sistemas de tecnologías de información ante amenazas internas y externas en el ámbito de la administración pública y del sector privado, es importante recordar que México publicó una Estrategia Nacional de Ciberseguridad (ENC) en noviembre de 2017 (en lo sucesivo “ENC de 2017”) que fue coordinada por la anterior Oficina de Presidencia de la República del Gobierno de Peña Nieto la cual conto con la asistencia técnica de organismos internacionales como la Organización de los Estados Americanos (OEA) y la participación de diversos sectores de la sociedad en distintas mesas de trabajo y consultas, sin embargo el documento final publicado en noviembre de 2017 no incluyó un plan de acción para el mediano y largo plazo, ni tampoco enlisto las actividades que cada institución gubernamental responsable y del sector privado estaría comprometida u obligada a desarrollar.  Tampoco se logró acordar una autoridad nacional coordinadora de la estrategia con las competencias legales necesarias como se ha hecho en la mayoría de los países europeos que ya cuentan con una estrategia nacional de ciberseguridad.

En mi opinión, la ENC de 2017 resultó ser simplemente un documento con metas aspirativas que ha quedado completamente en el olvido y que no logró ser implementado por los órganos de la administración pública federal, el sector bancario y financiero y las cámaras y asociaciones de telecomunicaciones y de empresas de Internet en México. Lo paradójico fue que, durante el proceso de elaboración de la ENC de 2017, surgieron paralelamente propuestas de CANIETI y del sector bancario y financiero proponiendo su propia estrategia de ciberseguridad con lo que se envió una señal clara de que ninguno de dichos gremios estuvo conforme con la ENC de 2017.

En México, el área de ciberseguridad está completamente desregulada para el sector privado y no existe un organismo o agencia especializada encargada de regular aspectos relacionados con la seguridad de la información de las empresas cuando, por ejemplo se vulnera algún sistema que afecte la provisión de bienes y servicios al ciudadano como existe por ejemplo en España, a través del INCIBE y el Centro Criptologico Nacional (CCN) o en Alemania a través de la Oficina Federal para la Seguridad de la Información (Bundesamt für Sicherheit in der Informationstechnik BSI).

Aquí en Alemania el BSI  ha venido operando desde 1991 y ha renovado su estructura en 2000 y 2015, respectivamente. Actualmente es un órgano desconcentrado que regula a entidades tanto del sector público como privado en las áreas de energía, tecnologías de información, telecomunicaciones, alimentos y servicios de provisión de agua, así como a operadores de infraestructura crítica a través de la Ley sobre Seguridad de Tecnologías de Información (Gesetz zur Erhohung der Sicherheit informationstechnischer Systeme) en vigor desde Julio de 2015. Entre las obligaciones que prevé dicha ley se encuentra que las entidades reguladas implementen medidas técnicas y organizativas eficientes para proteger la seguridad de los sistemas de información con el objeto de prevenir el acceso no autorizado, así como nombrar un punto de contacto oficial en territorio nacional, aún y cuando la entidad no tenga una oficina en Alemania, y notificar cualquier incidente de seguridad que pueda comprometer los sistemas, componentes y procesos relacionados con la infraestructura critica.

Los proveedores de servicios de telecomunicaciones públicos o de redes deben notificar a la Agencia Federal de Redes (Bundesnetzagentur) inmediatamente sobre cualquier interrupción o incidente de seguridad que acontezca en la prestación de servicios.

La labor del BSI ha sido más proactiva que reactiva, sus actividades consisten en apoyar y asesorar a las entidades reguladas e incrementar la concientización en materia de ciberseguridad entre las empresas y los ciudadanos. Sin embargo, conforme a Ley sobre Seguridad de Tecnologías de Información, esa agencia goza de la facultad de imponer sanciones y multas administrativas de hasta 50,000 EUR para proveedores de servicios de medios de comunicación y proveedores de telecomunicaciones, y multas de hasta 100,000 EUR para proveedores de infraestructura critica cuando se incumplen alguna de las obligaciones previstas en la ley. Hasta ahora su aproximación con las entidades del sector público y privado ha funcionado bien y las entidades reguladas cumplen sus obligaciones con el BSI.

Asimismo, a nivel comunitario, existe el Reglamento General de Protección de Datos (GDPR) vigente desde el 25 mayo de 2018 y de aplicación directa en los 27 Estados miembros de la Unión Europea. Este reglamento obliga a los responsables y encargados del procesamiento de datos a implementar medidas técnicas y organizativas de seguridad para garantizar un nivel de seguridad adecuado al riesgo que incluya entre otros aspectos la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento de datos y preve obligaciones para los responsables del tratamiento de notificar tanto a las autoridades competentes (dentro de las 72 horas) y a los titulares de datos (sin dilación indebida) cuando se genere una vulneracion de la seguridad de los datos personales, siempre y cuando la vulneración constituya un riesgo para los derechos y libertades del titular de los datos. En caso de incumplimiento de estas obligaciones, se establecen multas administrativas de 10 millones de euros como máximo o tratándose de empresas de una cuantía equivalente al 2% del volumen de negocio total anual global del ejercicio financiero anterior de la empresa, optándose por la de mayor cuantía.

Las regulaciones anteriores, han llevado a crear cierto grado de conciencia entre las empresas alemanas de que la seguridad de la información es un tema relevante que, en caso de no cumplir, podría generarles multas considerables, problemas con las autoridades reguladoras y la pérdida reputacional de su negocio. En México, son muy pocas las empresas que ven el tema de seguridad como algo prioritario, solo hasta que acontece algo verdaderamente grave, empiezan a tomar las medidas pertinentes.

Ahora bien,  hace un mes el Senador Miguel Ángel Mancera del PRD presentó una Iniciativa de Ley de Ciberseguridad que se publicó en la Gaceta del Senado el 2 de septiembre de 2020. Su iniciativa propone reformar la Ley General del Sistema Nacional de Seguridad Pública, y entre otras cosas la creación de un Centro Nacional de Ciberseguridad que contaría con una Comisión Permanente de Ciberseguridad, así como reformar el Código Penal para tipificar en forma parcial algunos delitos.

Considero que la iniciativa del Senador Mancera podría a ayudar a revivir y reformar la ENC de 2017 y fomentar la conformación de una verdadera autoridad central coordinadora de la ENC que no se pudo logar en 2017. Sin embargo, tomando en cuenta la austeridad presupuestaria del gobierno federal actual, me atrevería a adelantar que la aprobación de una partida presupuestaria para crear dicho Centro Nacional de Ciberseguridad seguramente sería rechazada, espero me equivoque, no obstante, será interesante ver como se desarrolla en estos días la iniciativa y esperar las reacciones de las entidades del Poder Ejecutivo Federal ante la propuesta de ley del Senador Mancera.

En mi opinión el tema de ciberseguridad se debe de separar del tema de ciberdelitos, este último requiere de una reforma al Código Penal Federal, Código Nacional de Procedimientos Penales y leyes secundarias tales como Ley Federal contra la Delincuencia Organizada, Ley Federal de Telecomunicaciones y Radiodifusión y la Ley General para Prevenir, Sancionar y Erradicar los Delitos en Materia de Trata de Personas, entre otros ordenamientos para poder incorporar las disposiciones del Convenio de Budapest.

Reflexión Final

 Estamos atravesando un momento en donde los ciberdelitos y los ataques informáticos están en su máximo esplendor. Los ataques de ransomware a hospitales y empresas de transporte marítimo y logístico están siendo la norma y han causado serios problemas de responsabilidad civil con pacientes y graves pérdidas económicas en algunos países europeos. Por último, me gustaría concluir esta nota con una breve reflexión y con un mensaje dirigido a los órganos de la administración pública federal, incluida la Guardia Nacional, Fiscalía General de la República, órganos de inteligencia y legisladores en México encargados de la política de combate al ciberdelito, México no está exento de estos ataques y como lo mencione en anteriores líneas es solo cuestión de tiempo para que una empresa, institución financiera, órgano de gobierno o un ciudadano sea atacado y vulnerado. Imaginen que la próxima víctima podría ser un familiar, pariente o amigo suyo que se encuentre recibiendo tratamiento médico en algún hospital, un centro educativo donde estudia alguno de sus hijos o familiares, una institución bancaria donde tienen confiado su patrimonio e inclusive una posible interferencia de las próximas elecciones en el pais. Tienen una gran responsabilidad de proteger a la sociedad mexicana en contra del ciberdelito y espero que abran los ojos y se den cuenta del entorno internacional que está golpeando a muchos países y tomen decisiones acertadas para la creación de políticas efectivas para el combate al ciberdelito que requiere urgentemente la sociedad mexicana.

#Banxico, #BudapestConvention, #CoE, #Cibercrimen, #Ciberdelitos, #Ciberdelincuencia, #Ciberseguridad, #CyberSecurityMonth, #CyberLaw, #Cyberattacks, #Cybersecurity, #DelitosInformaticos, #Eevidence, #GuardiaNacional, #identityTheft, #LanzaroteConvention, #phishing, #USMCA