Por: Claudia Beatriz Hernández Ramírez, Raúl López Máynez, César Rogelio Lorenzo Rodríguez, Hugo Antonio Monroy Vargas, Alicia Elvira Polo Martínez.
Digitalización del sector público y ciberseguridad
El crecimiento acelerado de tecnologías digitales ha traído beneficios importantes para el sector público, el privado y la sociedad en general. El sector público se ha beneficiado a través de una mayor interconexión y cooperación entre sus instituciones; además, la comunicación con la ciudadanía es más cercana y los organismos públicos pueden proveer mejores servicios a menores costos.
No obstante los beneficios que permite, la digitalización del sector público también puede generar riesgos. La vulnerabilidad de los sistemas de información puede afectar gravemente a las personas, su información, su patrimonio, su reputación e incluso su dignidad. Ante la complejidad de la sociedad en la era digital y los retos que representa el uso y aprovechamiento de las Tecnologías de la Información y Comunicación (TICs), es importante plantear el tema de la ciberseguridad, con la óptica del contexto internacional.
Como en un número significativo de países, en México el uso de las TICs se ha potenciado en los últimos años gracias al desarrollo del sector de telecomunicaciones, al fomento de la inversión privada y la estabilidad económica y política en el plano internacional; aunado a las políticas públicas y el marco institucional y jurídico que favorece la digitalización. De acuerdo con datos del INEGI (2017), al segundo trimestre de 2016, el 59.5 por ciento de la población de seis años o más en México se declara usuaria de Internet, y el 47.0 por ciento de los hogares del país tienen conexión a éste. El uso de Internet está asociado al nivel de estudios; entre más estudios mayor uso de la red. Internet se utiliza principalmente como medio de comunicación, para la obtención de información en general y para el consumo de contenidos audiovisuales.
En este contexto, un aspecto importante para la gestión de la ciberseguridad de las personas usuarias es la familiarización con los términos relevantes. A continuación se proporcionan algunos conceptos claves siguiendo a McKinsey & Company en colaboración con Comexi (2018):
Ciberseguridad, es el conjunto de acciones tomadas por organizaciones e individuos para mitigar los riesgos que enfrentan en el ciberespacio, con el propósito de disminuir la probabilidad de sufrir un ciberataque.
Ciberataque, es un intento no autorizado por la vía digital de acceder a un sistema de control, dispositivo electrónico y/o red informática, con el propósito de sabotear su funcionamiento, extraer información y recursos, o extorsionar a usuarios y organizaciones. Estos ataques se dividen en dos, dirigidos y no dirigidos.
Ciberresiliencia, incluye la capacidad de grupos e individuos para mantenerse seguros de forma sostenida en el largo plazo. La ciberresiliencia integra la destreza de todos para tomar decisiones con información imparcial y veraz.
Es importante mencionar a los actores involucrados, tales como las organizaciones, los individuos, el gobierno, la sociedad, las instituciones públicas y el sector privado.
Estudio de caso: ciberataque al Banco Central
A efectos de ejemplificar lo antes expuesto, tomemos un caso práctico ocurrido en la Ciudad de México en el mes de abril de 2018: el Banco de México (Banxico) estima que, tras los ciberataques registrados al Sistema de Pagos Electrónicos Interbancarios (SPEI), el monto robado fue de aproximadamente 300 millones de pesos. El ciberataque no se realizó a cuentas individuales, sino a las cuentas de los bancos o casas de bolsa; así lo explicó Alejandro Díaz de León, entonces gobernador de Banxico: “Los atacantes han buscado vulnerar las conexiones de las instituciones con el SPEI, inyectando instrucciones de pago fraudulentas a partir de cuentas inexistentes, lo cual afecta la cuenta transaccional de los participantes del sistema”. Si bien el ataque no fue dirigido a SPEI, éste no se vio comprometido; de acuerdo a las declaraciones de una funcionaria, el problema tenía que ver con el software desarrollado por instituciones o proveedores externos para conectarse al sistema de pagos. Aunque los depósitos de las personas usuarias de la banca no se vieron afectados, la experiencia ejemplifica la vulnerabilidad y las implicaciones que puede tener para la confianza y las operaciones de instituciones públicas y privadas.
Ciberseguridad y políticas públicas en México
La ciberseguridad en México tiene un largo camino por recorrer, por lo que se deberá poner especial atención en los problemas actuales, ampliando las acciones relativas al aumento de seguridad cibernética; por ejemplo, una mayor y mejor cooperación multiactor, campañas de educación y concientización a las personas usuarias para incrementar la información de los peligros y modos de operar de los delincuentes cibernéticos, entre otras acciones. En México no existe un marco normativo específico para la ciberseguridad; sin embargo, existen disposiciones afines que soportan este ámbito, las cuales son:
Constitución Política de los Estados Unidos Mexicanos – Artículo 21
Ley General del Sistema Nacional de Seguridad Pública
Ley General de Transparencia y Acceso a la Información Pública
Ley de Seguridad Nacional
Ley Federal de Seguridad Privada
Ley Federal de Protección de Datos Personales en Posesión de Particulares
Además de esta normativa, el Gobierno de México ha tomado algunas acciones al respecto, entre las que se incluyen la creación de un Sistema Nacional de Inteligencia, el Centro de Operaciones del Ciberespacio, y el Centro de Control de Ciberdefensa y Ciberseguridad (García, 2018). En 2017 se pone en acción la Estrategia Nacional de Ciberseguridad (ENC), documento creado para fortalecer las acciones en materia de ciberseguridad aplicables a los ámbitos social, económico y político que permitan a la población y a las organizaciones públicas y privadas, el uso y aprovechamiento de las TICs de manera segura y responsable. La ENC precisa los objetivos, ejes transversales y actores involucrados para definir dichas acciones. Finalmente, en septiembre de 2021 entró en vigor la Estrategia Nacional Digital 2021-2024. Esta promueve la implementación del Protocolo Homologado para la Gestión de Incidentes Cibernéticos entre Instituciones, que busca fortalecer la coordinación entre autoridades para mejorar la prevención de incidencias cibernéticas. Además, ese mismo mes se publicó el acuerdo por el que se emiten las políticas y disposiciones para impulsar el uso y aprovechamiento de la informática, el gobierno digital, las TICs, y la seguridad de la información en la Administración Pública Federal.
México se visualiza en 2030 como una nación resiliente ante los riesgos y amenazas en el ciberespacio, que aprovecha el potencial de las TICs para el Desarrollo Sostenible en un entorno confiable para todos. Para lograr esta visión, es prioritario contar con políticas públicas bien orientadas en materia de ciberseguridad. De acuerdo con el Índice de Ciberseguridad Global (ICG) de la Unión Internacional de Telecomunicaciones (UIT), México ocupa el lugar 63 de 175 países en materia de preparación de seguridad cibernética. Una de las principales recomendaciones en la materia emana del estudio El Estado de la Ciberseguridad en México de Metabase Q, en el que diversas personas expertas en el ámbito de las TICs hablaron de la importancia de que el país no sólo cuente con un marco regulatorio en torno a la ciberseguridad, sino también de cómo este concepto debe integrarse en la cultura de la sociedad mexicana.
En lo que respecta a las organizaciones de la Administración Pública, se contempla útil y positivo implementar herramientas y desarrollar estrategias de ciberseguridad, dada la gran cantidad de datos e información personal y sensible que se involucra (de la ciudadanía, de empresas y de otras instituciones públicas). Por lo anterior, desde las respectivas competencias y atribuciones de las organizaciones del sector público, dicha agenda de ciberseguridad deberá impulsarse para el beneficio de la sociedad en su conjunto.
Conclusiones
En la actualidad, empresas, gobiernos y particulares dependen en gran medida de la tecnología; esta dependencia requiere de seguridad en las operaciones. Conforme avanza la tecnología, también avanzan las estrategias de ciberseguridad. México es el tercer país de América en términos de preparación en seguridad cibernética, sólo detrás de Estados Unidos y Canadá; sin embargo, lo que hace que México aún sea un blanco para los ataques cibernéticos es que no cuenta con un marco regulatorio sólido, faltan programas de ciberseguridad efectivos y no existe una cultura de concientización sobre la importancia y la práctica de la ciberseguridad. A pesar de que México se encuentre en una buena posición relativa en cuanto a seguridad cibernética, se requiere mayor inversión en el campo para hacer frente a los retos compartidos.
Fuentes consultadas:
Aristegui Noticias (2018). Robo a bancos de México vía transferencias fue por 300 mdp: Banxico. Aristegui Noticias. Disponible en: https://aristeguinoticias.com/1605/mexico/robo-a-bancos-de-mexico-via-transferencias-fue-por-300-mdp-banxico/
Cueto, H. (2021). Expertos urgen la creación de un marco regulatorio de ciberseguridad en México. Business Insider México. Disponible en: https://businessinsider.mx/importancia-marco-regulatorio-ciberseguridad-mexico/
Forbes México (2018). Hackers roban al menos 300 mdp con ataque a bancos en México. Forbes México. Disponible: https://www.forbes.com.mx/hackers-roban-de-300-a-400-mdp-con-ataque-a-sistema-de-bancos/
García, A. A. (2018). Ciberseguridad Nacional en México y sus desafíos. Instituto de Investigaciones Estratégicas de la Armada de México, 17. Disponible en: https://cesnav.uninav.edu.mx/cesnav/ININVESTAM/docs/docs_analisis/da_48-18.pdf
INEGI (2017). Panorama general sobre el acceso a Internet y otras TIC en los hogares. Disponible en:
McKinsey & Company, Comexi (2018). Perspectiva de ciberseguridad en México. Disponible en: https://consejomexicano.org/multimedia/1528987628-817.pdf