En 2020 diversas instituciones y empresas mexicanas reportaron ataques cibernéticos en los que se filtraron documentos sensibles y datos personales de usuarios y trabajadores. Dos años después la Secretaría de la Defensa Nacional (Sedena) fue objeto de otro ataque, que terminó por revelar más de seis terabytes de información donde se incluían más de cuatro millones de correos electrónicos del Ejército.
Desde entonces el Congreso de la Unión, la iniciativa privada y la sociedad civil han pasado meses intentando consolidar una legislación en torno de la ciberseguridad.
Para ello han tenido que unificar criterios y llegar a acuerdos de modo que se actualicen los derechos digitales y los integrantes de las fiscalías y el Poder Judicial se conviertan en los encargados de investigar, perseguir y castigar los ciberdelitos.
En otras palabras, se ha buscado la manera de convertir la ciberseguridad en una función del Estado, pero fue hasta el 25 de abril que la primera iniciativa para expedir una Ley Federal de Ciberseguridad se presentó en la Cámara de Diputados.
Origen
Aunque el encargado de desarrollar la propuesta de ley es el diputado Javier López Casarín, del Partido Verde (PVEM) y quien preside la comisión de Ciencia, Tecnología e Innovación (CTI), en muchas ocasiones él mismo ha señalado que la iniciativa involucra a muchos otros participantes, como el senador priista Jorge Carlos Ramírez, presidente de la comisión de Ciencia y Tecnología de la cámara alta, y el presidente Andrés Manuel López Obrador.
Hace unas semanas el diputado dijo que la propuesta “es fruto de la valiosa colaboración tanto de actores del sector público, entre ellos la Oficina de la Presidencia, Fuerzas Armadas, secretarías de Estado y el Poder Legislativo, como del sector privado con empresas de software, hardware, redes sociales; y el académico, cámaras, despachos y ONGs, por mencionar algunos”.
Además, puntualizó que la ciberdelincuencia representa una industria multimillonaria a nivel mundial, por lo que el Estado requiere de herramientas para poder actuar y defender los intereses y derechos de instituciones y particulares.
De hecho, según el informe de 2021 realizado por la Junta Internacional de Fiscalización de Estupefacientes (JIFE), misma que pertenece a la Organización de Naciones Unidas (ONU), a través del ciberespacio el crimen organizado es capaz de lavar alrededor de 25 mil millones por año.
Además, según la International Data Corporation (IDC) tan solo durante la primera mitad de 2022 se reportaron alrededor de 85 mil intentos de ciberataques en México, por lo que somos el principal país de Latinoamérica que es objeto de este tipo de agresiones.
En 2021 la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) registró más de 24 mil fraudes bancarios relacionados al ciberespacio y robo de datos. Ese mismo año, el Instituto Nacional de Estadística y Geografía (INEGI) reportó a través de su Censo Nacional de Seguridad Pública Federal que la Guardia Nacional (GN) atendió más de 130 mil incidentes de seguridad informática, casi cinco mil delitos en internet y realizó mil 104 investigaciones cibernéticas.
En estricto sentido, esta es la primera iniciativa en dicha materia que prospera en el Congreso: antes se presentaron 17 propuestas en ambas cámaras, que no avanzaron por falta de consenso entre bancadas, comisiones y partes involucradas.
Según informó la propia CTI el proyecto para la iniciativa de ley comenzó luego de que en diciembre de 2021 más de 100 diputados federales fueran atacados simultáneamente en los servicios de mensajería instantánea de sus teléfonos celulares. El agravio llevó a los legisladores a solicitar a la Secretaría de Gobernación (Segob) que la seguridad informática fuese tema prioritario y de seguridad nacional. Es por ello que el proyecto para una Ley Federal de Ciberseguridad busca definir modelos de operación, delimitar atribuciones y otorgar responsabilidades para salvaguardar la seguridad digital de las personas y del propio Estado mexicano.
Propuesta
Entre otras cosas la iniciativa propone la creación de una Agencia Nacional de Ciberseguridad que dependa enteramente del Poder Ejecutivo y se encargue de generar estrategias y políticas públicas, al mismo tiempo que concentra la información sobre incidentes, ataques y delitos, de modo que haya indicadores para saber si dicha seguridad aumenta o empeora día con día.
Cabe señalar que la ley definiría a los delitos cibernéticos o ciberdelitos como las acciones u omisiones delictivas que haciendo uso de Tecnologías de Información y Comunicación (TIC) se encuentran tipificadas en algún código penal.
De hecho, el documento establece que el Poder Judicial de la Federación cuente con jueces especializados en esta materia y detalla algunos de los actos que considera como delitos.
Entre ellos están: acceso o robo de información que provoque la pérdida de confidencialidad e integridad en sistemas o medios informáticos, mismo que será castigado con entre cinco y 20 años de prisión; intercepciones sin órdenes judiciales de cualquier tipo de comunicación electrónica, que se castigarán con entre diez y 20 años de prisión; producción y comercialización de programas y equipos informáticos para uso ilícito; apropiación de bienes o derechos patrimoniales que se realice a través de fraudes o engaños en medios informáticos; extorsiones digitales o telefónicas; y promoción e incitación a menores para participar en actividades lascivas o sexuales.
No obstante, hay otros delitos que generan confusión entre los usuarios de redes sociales, como el establecido por el artículo 78 de la ley, con el que se castigaría a quienes diseñen o describan contenido que incite al odio, a la burla o a la desinformación. Lo anterior posibilitaría que videos o imágenes con un sentido humorístico, como los memes, se tipifiquen como delitos, pues el artículo señala que “no serán motivo de sanción aquellas expresiones que se realicen en apego a la libertad de expresión”, pero no especifica cuáles son los parámetros bajo los que se puede establecer que un contenido digital incita o no al odio nacional, racial, sexual o religioso; ni cuándo constituye o no un acto de desinformación o manipulación individual o colectiva. Quienes incurran en este delito podrían ser castigados con hasta seis años de prisión y una multa de hasta mil Unidades de Medida y Actualización (UMA).
Otro artículo que resulta poco claro es el 83, con el que se castigan “las conductas descritas en la Ley Federal de Derechos de Autor y en la Ley de Propiedad Industrial”, siempre y cuando se realicen a través de sistemas electrónicos. El apartado no especifica qué conductas se considerarán como infracciones, por lo que stricto sensu el registro de una marca o la publicación de una obra registrada en medios digitales podrían ser delitos castigados con hasta doce años de prisión y diez mil UMA.
A esperar
La iniciativa de la Ley Federal de Ciberseguridad se presentó en los últimos días del segundo periodo ordinario de sesiones del Congreso de la Unión. Aunque esa semana se presentaron y aprobaron muchas iniciativas de leyes y reformas, todo parece indicar que la de ciberseguridad se discutirá con mayor profundidad durante el siguiente año legislativo.
Entre otras cosas, en la última semana de abril la Cámara de Diputados aprobó en fast track la eliminación del Instituto de Salud para el Bienestar (Insabi) y su sustitución por el IMSS-Bienestar; la expedición de la Ley General de Humanidades, Ciencias, Tecnologías e Innovación; las reformas a la Ley Minera; la desaparición de la Financiera Nacional de Desarrollo Agropecuario, Rural, Forestal y Pesquero (FND); las modificaciones a la Ley Federal de Derechos y la Ley General de Turismo, con lo que 80% de los ingresos captados por expedición de visas a extranjeros se destinarán a un fideicomiso adscrito a la Sedena; y la concentración de las contrataciones de la Administración Pública Federal en la Secretaría de la Función Pública (SFP).
Por su parte, el Senado anunció que será sede de la Comisión Permanente, misma que trabajará de mayo a agosto. En septiembre tendrán que elegirse nuevos miembros de la Mesa Directiva para el último año de ejercicio de la LXV Legislatura.
Incidentes reportados en 2021
Fuentes: Condusef e INEGI
Ciberataques a instituciones nacionales por año
Fuente: Cámara de Diputados