Ciberseguridad en México continúa rezagada y frágil
El Gobierno federal continúa sin materializar una estrategia efectiva para atender las amenazas de seguridad que enfrenta el país en la esfera digital; a la par, las organizaciones criminales actúan con cada vez más holgura y sus ataques tocan la primera esfera de la política nacional
Carlos MontesinosUna de las tantas vertientes de la crisis de inseguridad que afecta al país se da en el plano digital, donde grupos del crimen organizado parecen poder operar sin mayores problemas, mientras que las autoridades tratan de acortar la brecha mediante iniciativas de ciberseguridad que resultan un tanto desfasadas, polémicas o, incluso, restrictivas para la ciudadanía.
Antes del arranque del periodo ordinario en el Congreso de la Unión, Rosa Icela Rodríguez, secretaria de Seguridad y Protección Ciudadana, pidió a la bancada de Morena tipificar como delito la venta a menores de edad de videojuegos que hagan apología a la violencia, el crimen y las drogas.
Desde legisladores del Congreso de la Unión hasta la principal empresa productiva del Estado mexicano, han enfrentado ataques digitales de 2019 a la fecha, lo que ha llevado a la discusión de diversas medidas que no se perfilan del todo efectivas
Esto pese a que la venta de videojuegos ya está regulada con un sistema de clasificación por edades.
De igual manera, pidió herramientas para proceder ante los reclutamientos de menores que organizaciones criminales hacen en juegos en línea como Free Fire o Grand Theft Auto, como se reportó en octubre del año pasado.
Lo cierto es que la presencia de la delincuencia organizada en la esfera digital es cada vez más prominente. No solo en los videojuegos, sino en las plataformas de redes sociales más populares del país. Al menos desde 2020 se registran cuentas de TikTok que presumen los lujos y excesos de los miembros de cárteles con el objetivo de atraer gente interesada en unírseles.
Simultáneamente, se ha evidenciado la frágil ciberseguridad del país pues, antes de arrancar el período de sesiones, 80 diputados de prácticamente todas las fracciones denunciaron hackeos y ciberataques mediante trampas que partían, precisamente, del uso de plataformas de redes sociales, principalmente WhatsApp.
En diciembre de 2021, la SSPC anunció que establecerá un registro oficial de ciberataques pues, previamente, también se había hackeado al senador Ricardo Monreal y, en menos de un mes, a los gobernadores de Chihuahua, Guerrero, Chiapas, Tamaulipas y Morelos. A lo que siguió un llamado a crear un nuevo consejo nacional de ciberseguridad.
Desinterés y confusión
Sobre la estrategia de la actual administración federal para hacer frente a posibles amenazas digitales, Juan Manuel Aguilar Antonio, investigador del Colectivo de Análisis de la Seguridad con Democracia, comenta a Reporte Índigo que hay una ausencia de interés real para atender la situación, así como una confusión para entenderla.
“Hay una comprensión un tanto anticuada de lo que realmente es la ciberseguridad en las diferentes esferas. Una ciberseguridad con enfoque individual, de las personas; una del ámbito privado, central para las empresas; otra para la seguridad pública, vinculada a ciberdelitos; y otra con enfoque de seguridad nacional, con implicación incluso de las Fuerzas Armadas”
En ese sentido, explica que el decreto que establece la Estrategia Digital Nacional 2021-2024, emitido por el Ejecutivo federal el año pasado, da muestra de esta confusión, pues se enfoca en el aspecto de fortalecer servicios públicos, derechos digitales o hasta seguridad de la información, sin comprender claramente lo que es un ciberataque.
“Cuando uno ve el decreto de la Estrategia Digital Nacional, ve una ausencia y esto corresponde a un nivel alto de descoordinación. Instancias del mismo Ejecutivo están tomando cartas en el asunto: Semar, Sedena, Guardia Nacional, este centro de ciberincidentes que va a estar bajo tutela de la SSPC. También algunos manuales que ha ido desarrollando la Guardia Nacional”.
Las autoridades actúan, explica Aguilar, “pero como consecuencia de estos ciberdelitos, no hay una priorización del Gobierno federal. Este es un tema que, para poder tener un acto más decisorio en el ámbito de la política y la agenda pública nacional, tendría que llegar a tener liderazgo el mismo presidente para que haya acciones concretas y efectivas”.
Sin política de ciberseguridad
Por su parte, Gabriela Nava, analista de inteligencia por el Centro de Estudios Hemisféricos William J. Perry, comenta a Reporte Índigo que el Gobierno federal parece limitarse al tema de la cibercriminalidad, es decir el uso criminal de herramientas cibernéticas, y obviando el de la ciberseguridad, que abarca la infraestructura que pondría en riesgo la estabilidad del país.
“Como punto de partida, veo esta tendencia de no fijarse mucho, no priorizar la parte de la evolución tecnológica, que es una tendencia mundial, la parte macro de lo que se refiere a ciberseguridad. Están muy enfocados, ni siquiera con claridad, a lo que se refiere a cibercriminalidad. Esto hace que no haya una política de ciberseguridad desde el Gobierno”.
Si bien explica que la ciudadanía se ve más afectada por la cibercriminalidad, en la forma de hackeos a dispositivos, phishing, malware y demás, también recalca que el mismo Gobierno ha sido víctima de estas prácticas. Recordando el cibersecuestro de Petróleos Mexicanos en 2019 producto de un ransomware que pedía 4.9 millones de dólares para su liberación.
La Estrategia Digital Nacional 2021-2024 se enfoca en fortalecer servicios públicos, derechos digitales o hasta seguridad de la información, sin definir claramente lo que es un ciberataque
“A Pemex le pasó, ese es un ejemplo clarísimo de cómo no les interesa, no hay prioridad respecto a la parte de ciberseguridad”, señala, “esto tiene que ver, en principio, con la forma de Gobierno que se tiene en este sexenio, que está muy confrontado con el tema tecnológico, prueba de ello es lo que está pasando con las energías renovables”.
Sin embargo, también aclara que, en la actualidad, no existe una política de ciberseguridad basada solamente en inteligencia artificial, por lo que “muchas de las brechas de seguridad que se llegan a abrir, tanto en empresas como en gobiernos, tienen que ver con el error humano. Todavía existen situaciones que vulneran la ciberseguridad basadas en ingeniería social”.
