La realidad nos impone. Cada vez escuchamos más noticias sobre robos de cuenta, hackeos, secuestro de información y otros delitos cibernéticos. Diversas empresas especializadas colocan a nuestro país, como el mayor blanco de ataques en América Latina. Las amenazas han cimbrado lo mismo a ciudadanos que a empresas y gobiernos.
Lo anterior, pone sobre la mesa la necesidad de que nuestro país cuente con un marco regulatorio robusto para hacer frente a las amenazas en el ciberespacio.
Hoy nadie duda de la pertinencia y urgencia de que en México se tenga una ley general en materia de ciberseguridad que prevenga, frene y castigue los diversos delitos que se comenten en el ciberespacio. Sin embargo, es preciso hacer una valoración exhaustiva, profunda sobre las bases de esta legislación sin que la coyuntura sea un elemento de presión que nos impida tomar las mejores decisiones para generar un entorno digital seguro y con instrumentos legales que pongan en el centro a los ciudadanos.
El camino hacia la construcción de una ley en materia de ciberseguridad puede ser intrincado. Debemos ser conscientes de que la seguridad en el entorno digital es un tema multidisciplinario que requiere la concurrencia de diversas instituciones públicas y privadas. La coordinación será pues, el primer reto que debemos superar.
Otro factor por considerar son las distintas visiones que se tienen sobre cómo abordar el problema de la ciberseguridad. Por un lado, hay quienes piensan que el Estado debe asumir un mayor control sobre lo que se publica en internet para evitar futuros delitos y por el otro, hay quienes ponen mayor atención en la privacidad y el uso que dan los particulares a los datos de los usuarios.
Si atendemos a la experiencia internacional (Europa y Estados Unidos, principalmente) veremos que es prácticamente imposible que una sola ley baste para atajar los múltiples problemas en materia de seguridad: seguridad nacional, seguridad pública, seguridad industrial, de protección al consumidor, etc.
Lograr el mayor equilibrio posible entre estas distintas visiones debe ser la apuesta hacia la construcción de nueva legislación y una política pública en materia de ciberseguridad.
México no parte de cero. Existen antecedentes relevantes que deben ser considerados; desde la Estrategia Nacional de Ciberseguridad de 2017, hasta la múltiple normativa y regulación emitida y reformada para combatir el cibercrimen como: el Código Penal Federal, Código Nacional de Procedimientos Penales, normas, reglamentos y recomendaciones aplicables a la protección de datos personales, a las instituciones de crédito, a las instituciones fintech, el Protocolo Nacional Homologado de Gestión de Incidentes Cibernéticos, la Norma Mexicana NMX-I-27032-NYCE-2018. Así como el compromiso internacional contenido en el Capítulo 19 (artículo 19.15) del Tratado entre México, Estados Unidos y Canadá (T-MEC).
Las iniciativas en materia de ciberseguridad presentadas ante el Congreso de la Unión y los recientes trabajos del Parlamento Abierto también son insumos que debemos considerar.
En el Instituto Federal de Telecomunicaciones (IFT) sostenemos que una nueva legislación en materia de ciberseguridad debe tener como objetivos generales: proteger a la población en el ciberespacio; proteger la información pública y privada; establecer mecanismos de coordinación entre las autoridades correspondientes considerando sus distintos tramos de responsabilidad; y adoptar y llevar a cabo políticas de prevención.
Así lo hemos planteado en la Opinión Técnica que envió el órgano regulador de los sectores de telecomunicaciones y radiodifusión al Congreso de la Unión, a propósito de las iniciativas en materia de ciberseguridad.
Observamos además que para lograr un entramado legal que permita establecer un entorno digital seguro se requieren modificar al menos nueve leyes: la Ley de la Guardia Nacional; Ley de Seguridad Nacional; Ley Federal contra la Delincuencia Organizada; Ley General de Responsabilidades Administrativas; Ley General de Transparencia y Acceso a la Información; Ley General de Datos Personales en posesión de los Sujetos Obligados; Ley Federal de Transparencia y Acceso a la Información Pública; Ley Federal de Protección de Datos Personales en Posesión de los Particulares; la Ley Federal de Telecomunicaciones y Radiodifusión, además del Código Penal Federal.
Por todo lo anterior, soy un convencido de que la Ley de Ciberseguridad debe construirse a partir de las mejores prácticas internacionales, con una visión de prevención, no de castigo, con perspectiva de género y de derechos humanos. Que contemple un plan de respuesta a incidentes de ciberseguridad, protección de infraestructuras críticas, que promueva una cultura de ciberseguridad, de resiliencia y transparencia ante ataques sufridos.
Tenemos frente a nosotros una enorme oportunidad de actuar por un ciberespacio seguro y confiable; de diseñar, una política pública en la materia, con una visión transversal a todos los sectores, objetivos claramente enfocados, valorando alternativas que tengan viabilidad técnica, legal y presupuestal, así como su necesaria evaluación.
Una política pública que pudiera implementarse mediante distintos Instrumentos, como una Estrategia Nacional de Ciberseguridad y la actualización y emisión de normas, regulación y recomendaciones dada la naturaleza multidisciplinaria de la ciberseguridad. Sin olvidar la muy necesaria alfabetización digital.
Apostemos por ello, aunque nos lleve un poco más de tiempo.