Por: Rodolfo Guerrero Martínez (México).

Si crees que la tecnología puede solventar tus problemas de seguridad,  entonces no entiendes los problemas y no entiendes de tecnología”.

Bruce Schneier.

La Asociación de Auditoría y Control sobre los Sistemas de Información (ISACA) nos señala que la ciberseguridad es la protección de activos de información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados.

Sin embargo, la ciberseguridad no solo debe ser comprendida como un concepto de naturaleza técnica sino también como jurídica, en ese sentido, la carta de los derechos digitales de España (2021) nos indica que será “el derecho al que toda persona tiene a que los sistemas digitales de información que utilice para su actividad personal, profesional o social, o que traten sus datos o le presten servicios, posean las medidas de seguridad adecuadas que permitan garantizar la integridad, confidencialidad, disponibilidad, resiliencia y autenticidad de la información tratada y la disponibilidad de los servicios prestados […]”.

Precisamente ante el escenario señalado en el párrafo precedente, el Estado Mexicano requiere urgentemente una legislación especial en la materia, debido que al año en curso carece de ella. En ese orden de ideas, es importante mencionar que, en años recientes se han presentado cinco iniciativas diferentes de ley de ciberseguridad: cuatro de ley general y una reciente de ley Federal, que infortunadamente no logran articular de forma idónea a la ciberseguridad como derecho fundamental en nuestra carta magna, al ubicarla en su mayoría en el artículo sexto constitucional.

Cabe resaltar que, existen diversas problemáticas que dificultan que una ley en la materia tenga el impacto positivo esperado, al omitir la integración y actualización de los criterios para las codificaciones federales y estatales en materia penal y leyes especiales como las de protección personales, por ejemplo. Además de la actualización para los operadores de la administración de justicia.

En el presente artículo abordaremos brevemente algunos puntos relevantes de la publicación titulada “aproximaciones a la ciberseguridad como derecho: avances legislativos en México”, además de resaltar ciertas consideraciones del reglamento de la Unión Europea (UE) 2019/881 relativo a la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y a la certificación de las tecnologías de la información y comunicación (TIC).

La ciberseguridad como derecho

A principios del año 2023 tuvimos el placer de ser invitados a escribir por el Director de la reconocida Revista de la Facultad de Derecho de México de la Universidad Nacional Autónoma de México (UNAM), el Doctor Don Jorge Fernández Ruiz para la próxima edición a publicarse (1). En ella, comentamos la necesidad de considerar a la ciberseguridad como derecho en el contexto de la revolución digital, entendiendo la seguridad de toda persona ante las amenazas y los riesgos a los que se exponen en el ciberespacio, derivados del desconocimiento y las afectaciones que ello ocasiona.

Por lo se­ña­la­do en el pá­rra­fo an­te­ce­den­te, es im­por­tan­te con­si­de­rar sobre los principios y las líneas transversales en la estrategia de ciberseguridad para México. A con­ti­nua­ción re­sal­ta­mos lo si­guien­te:

(I) El National Cyber Security Index en sus indicadores del 2022, señala que México está ubicado en la posición 87 de 163 países que conforman la muestra a nivel mundial en materia de seguridad informática.

(II) En México se comprenden las siguientes fases: (1) Iniciación. El punto donde establece a una autoridad existente o nueva como responsable; (2) Inventario y análisis. Conocer y evaluar el presente y futuro del panorama nacional a la ciberseguridad para conocer la información auditable y trazable; (3) Producción. Creación del texto de la estrategia con los diferentes participantes; (4) Ejecución. La observancia y desarrollo o puesta en marcha de la estrategia; (5) Seguimiento y evaluación. La acción gubernamental para asegurar el cumplimiento de la estrategia y determinar su efectividad.

(III) Para el funcionamiento de la Estrategia Nacional de Ciberseguridad (ENCI) el Estado Mexicano deberá generar una gobernanza como eje fundamental desde el usuario que requiere conectividad a internet, y que sea segura para el uso en la operación de las organizaciones, escuelas, instituciones privadas, entidades de las administración pública, y por supuesto para actividades de seguridad nacional y de cooperación internacional. Recordaremos a través de las iniciativas presentadas de Ley en materia de Ciberseguridad las diversas propuestas de estrategia nacional.

(4) La Propuesta de Ley General de Ciberseguridad que planteamos de forma particular debe ser reglamentaria del artículo 21, y del artículo 6 en el párrafo ter cero y en el párrafo cuarto del apartado B en su fracción I, de la Constitución Política de los Estados Unidos Mexicanos en el ámbito del ciberespacio.

Reglamento de la Unión Europea (UE) 2019/881 relativo a la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y a la certificación de las tecnologías de la información y comunicación

En el marco del año 2019 se publicó el Reglamento sobre la Ciberseguridad de la UE (2), el cual tiene como objetivo general establecer un alto nivel en la materia por medio de objetivos, tareas y aspectos organizativos para una Agencia de la Unión Europea para la Ciberseguridad (ENISA), así como un marco para esquemas europeos voluntarios de certificación de productos, servicios y proceso de tecnologías de la información y comunicación (TIC).

Ahora bien, dentro de los puntos clave se nos indica que el mandato de ENISA tendrá que apoyar a las autoridades nacionales y a las instituciones, órganos, oficinas, organismos de la UE para que mejoren la ciberseguridad, al igual que actuar con independencia, evitando la duplicación de actividades nacionales y tomar en consideración los conocimientos de los países.

En cuanto, la estructura administrativa y de gestión para ENISA localizamos: (I) Un Consejo de Administración conformado por un representante de la UE y dos miembros por la Comisión Europea; (II) Un Comité ejecutivo integrado por cinco miembros; (III) Un director ejecutivo independiente; (IV) Un grupo consultivo compuesto de expertos reconocidos procedentes de partes relevantes, como la industria de las TIC, proveedores de servicios o redes de comunicaciones electrónicas, autoridades competentes –acorde al Código Europeo de las Comunicaciones Electrónicas-, entre otros.

En el contexto de lo manifestado en los párrafos precedentes, añadimos que el reglamento establece un marco europeo de certificación de la ciberseguridad, para fijar un mecanismo que evalué a productos y servicios de las TIC de acuerdo a requisitos que protejan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados, transmitidos o procesados.

Conforme a esto, compartimos a continuación algunos puntos relevantes de la síntesis del documento en comento (3):

(1) Las redes y los sistemas de información y las redes y servicios de comunicaciones electrónicas desempeñan un papel vital en la sociedad y se han convertido en la espina dorsal del crecimiento económico. Las tecnologías de la información y la comunicación (TIC) son la base de los complejos sistemas que sustentan las actividades cotidianas de la sociedad, garantizan el funcionamiento de nuestras economías en sectores clave como la salud, la energía, las finanzas y el transporte y, en particular, respaldan el funcionamiento del mercado interior.

(2) La utilización de las redes y los sistemas de información por los ciudadanos, organizaciones y empresas de toda la Unión está ya muy generalizada. La digitalización y la conectividad se están convirtiendo en elementos esenciales de un número cada vez mayor de productos y servicios, y con la llegada del internet de las cosas, se espera que durante la próxima década se utilicen en la Unión un número extremadamente alto de dispositivos digitales conectados. Mientras aumenta el número de dispositivos conectados a internet, la seguridad y la resiliencia no se tienen suficientemente en cuenta desde el diseño, lo que provoca insuficiencias en la ciberseguridad. En este contexto, el uso limitado de la certificación priva a los usuarios individuales, las organizaciones y las empresas de información suficiente sobre las características de ciberseguridad de los productos de ITC, servicios de TIC y los procesos de ITC, lo que socava la confianza en las soluciones digitales.

(3) La intensificación de la digitalización y de la conectividad trae consigo un aumento de los riesgos en materia de ciberseguridad, con lo que la sociedad en general resulta más vulnerable a las ciberamenazas y se exacerban los peligros a que se enfrentan las personas, incluidas las personas vulnerables como los niños. A fin de atenuar dichos riesgos, es preciso adoptar todas las medidas necesarias para mejorar la ciberseguridad en la Unión a fin de proteger mejor de las ciberamenazas a las redes y los sistemas de información, las redes de telecomunicaciones y los productos, los servicios y dispositivos digitales utilizados por los ciudadanos, las organizaciones y las empresas, desde las pequeñas y medianas empresas (pymes), según se definen en la Recomendación No. 2003/361/CE de la Comisión, a los operadores de infraestructuras críticas.

(4) Al hacer que la información pertinente esté a disposición del público, la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA) establecida por el Reglamento (UE) No. 526/2013 del Parlamento Europeo y del Consejo contribuye al desarrollo del sector de la ciberseguridad en la Unión, en particular en lo que respecta a las pymes y las empresas emergentes. ENISA debe trabajar en pro de una cooperación más estrecha con las universidades y los organismos de investigación con el fin de contribuir a un planteamiento estratégico para reducir la dependencia de productos y servicios de ciberseguridad de fuera de la Unión y reforzar las cadenas de suministro de dentro de la Unión.

(5) Los ciberataques van en aumento, y una economía y una sociedad conectadas, más vulnerables a las ciberamenazas y los ciberataques, requieren unas defensas más sólidas. Sin embargo, mientras que los ciberataques a menudo son transfronterizos, las competencias de las autoridades de ciberseguridad y policiales, así como las respuestas políticas de las mismas, son predominantemente nacionales. Los ciberincidentes a gran escala podrían perturbar la prestación de servicios esenciales en toda la Unión. Esta situación requiere una respuesta efectiva y coordinada y una gestión de crisis a escala de la Unión, basadas en políticas específicas y en instrumentos más amplios que propicien la solidaridad y la asistencia mutua en Europa. Además, es importante para los responsables políticos, la industria y los usuarios que se lleve a cabo una evaluación periódica del estado de la ciberseguridad y la resiliencia en la Unión, basada en datos fiables de la Unión, y que se haga una previsión sistemática de los avances, retos y amenazas futuros.

Conclusión general

En suma, la ciberseguridad en México continúa siendo una agenda pendiente, lo cual tendrá que resolverse dado a los compromisos internacionales adquiridos como es el caso del Tratado de México, Estados Unidos y Canadá (T-MEC), así también del Convenio 108 de Consejo de Europa que versa en la protección de datos Personales. Concluyendo en la generación de un gobierno y justicia digital, pero lo más importante el impulsar la cultura digital como eje rector.

Fuentes de consulta

GUERRERO MARTÍNEZ, Rodolfo. Aproximaciones a la ciberseguridad como derecho: avances legislativos en México, 2023. Próximo a publicarse en la Revista de la Facultad de Derecho de México de la Universidad Nacional Autónoma de México (UNAM).

Reglamento de la Unión Europea (UE) 2019/881 relativo a la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y a la certificación de las tecnologías de la información y comunicación. Véase en: https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32019R0881#d1e1220-15-1

Síntesis del Reglamento de la Unión Europea (UE) 2019/881.  Véase en: https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32019R0881