Ciberseguridad
Ley de ciberseguridad: lo bueno y lo mejorable
La iniciativa establece las bases para la protección de la información digital, los sistemas cibernéticos y las infraestructuras críticas bajo un principio de responsabilidad compartida y colaboración.CIUDAD DE MÉXICO (apro).–El diputado Javier López Casarín (Partido Verde) presentó una iniciativa de Ley Federal de Ciberseguridad. Por el incremento de incidentes y la gravedad de los mismos, tal y como se ha comentado en este espacio, es prioritario un marco normativo en materia de ciberseguridad.
López Casarín lleva tiempo involucrado en una legislación que aborde las preocupaciones y las mejores prácticas internacionales en materia de ciberseguridad. Su propuesta debe pasar no sólo por el debido proceso legislativo, sino abrir un proceso previo de consulta y parlamento abierto con todos los actores involucrados, tanto de instituciones públicas, de seguridad nacional, empresas privadas, del sector financiero, academia y sociedad.
La iniciativa establece las bases para la protección de la información digital, los sistemas cibernéticos y las infraestructuras críticas bajo un principio de responsabilidad compartida y colaboración. Tiene como finalidad reducir incidentes, garantizar la seguridad cibernética, la protección de datos personales y la privacidad de los usuarios de las Tecnologías de la Información y Comunicación.
La ley establece la creación de una Política, una Estrategia y una Agencia nacionales de ciberseguridad dependientes directamente del Ejecutivo Federal. La agencia contará con un Consejo Consultivo Ciudadano de Ciberseguridad con la participacio´n de todos los sectores de la sociedad.
También contempla la creación de un Registro Nacional de Incidentes de Ciberseguridad y un Cata´logo Nacional de Infraestructuras Cri´ticas de Informacio´n de carácter reservado para preservar la información contenida en él.
La propuesta reconoce los derechos y obligaciones de los usuarios en el ciberespacio y fomenta una cultura de ciberseguridad entre la población. Dice con claridad que todas las personas tienen derecho a la ciberseguridad y que la Política Nacional de Ciberseguridad respetará los derechos humanos durante la investigacio´n y persecucio´n de ciberdelitos.
Plantea que la seguridad de la informacio´n e infraestructura tecnolo´gica es responsabilidad de quien la ofrece, administra u opera, ya sea una entidad pu´blica o privada. Obliga a los responsables de operar las infraestructuras cri´ticas de cooperar con la autoridad para resolver los incidentes de ciberseguridad y deberán notificar los incidentes y ataques que sufran. Los bancos y los proveedores de servicios financieros esta´n obligados a establecer medidas de ciberseguridad.
Todas las dependencias y entidades de la Administracio´n Pu´blica Federal deberán contar con un responsable de seguridad de la informacio´n. Los criterios y bases generales de seguridad que establezca la Agencia Nacional de Ciberseguridad serán obligatorios.
Castiga las actividades ciberne´ticas ilegales y otorga atribuciones a las autoridades para perseguirlas, “con respeto a las garanti´as procesales, el derecho a la intimidad, las libertades civiles y los derechos humanos”.
Especifica que las secretarías de la Defensa Nacional y de Marina atenderán los incidentes ciberne´ticos que provengan o sean promovidos por otros Estados. También les correspondería monitorear el ciberespacio, realizar operaciones militares y ciberdefender al país. Se consideran amenazas a la seguridad nacional en materia de ciberseguridad las afectaciones a las infraestructuras críticas de información.
La propuesta contempla que los operadores de telecomunicaciones, las redes sociales, aplicaciones plataformas, de mensajeri´a instanta´nea y de alojamiento debera´n preservar la confidencialidad de los datos personales de los usuarios, no divulgarlos ni compartirlos, lo cual puede inquietar a quienes tienen modelos de negocio basados en datos. En caso de violacio´n de la seguridad de los datos personales, el responsable deberá notificar a la agencia a ma´s tardar 72 horas despue´s del incidente.
Todos estos proveedores, redes sociales, comunidades de videojuegos en li´nea y plataformas de streaming esta´n obligados a atender los mandamientos por escrito, fundado y motivado de la autoridad. Los obliga a contar con una unidad para la atencio´n y respuesta de incidentes de ciberseguridad y a registrarse ante la Agencia Nacional de Ciberseguridad. Incluso les pide “privilegiar” -aunque no obliga- que la informacio´n de los usuarios se encuentre almacenada en territorio nacional, lo cual puede causar fricciones con el texto del T-MEC.
Aclara que los proveedores de servicios digitales y plataformas de Internet constituidos en el extranjero podra´n ser requeridos mediante orden judicial para colaborar con las autoridades de procuracio´n de justicia.
La iniciativa plantea algunos aspectos preocupantes. Por ejemplo, los usuarios de servicios digitales están obligados a cooperar con las autoridades ante cualquier investigacio´n de ciberseguridad.
La agencia y la Fiscali´a General de la Repu´blica podrán ordenar a proveedores de Internet dar de baja direcciones IP, aplicaciones, dominios y sitios de internet dentro de 72 horas posteriores a la notificacio´n, lo cual puede ser desproporcionado o poner en riesgo la libertad de expresión.
La ley permitiría el uso de tecnologi´as para intervencio´n de comunicaciones tipo Pegasus, que tanta polémica han desatado por el espionaje a periodistas, activistas y defensores de derechos humanos. Dichas tecnologías de intervención serían de uso exclusivo de las instituciones de seguridad pública.
La solución que plantea la iniciativa es que el Centro Nacional de Inteligencia cree un Registro Nacional de Proveedores de Tecnologi´a para Intervencio´n de Comunicaciones y que la venta de ese software y equipos esté prohibida para fines distintos a los establecidos.
Cuando se investiguen amenazas a la seguridad nacional, las entidades pu´blicas y privadas proporcionara´n de manera inmediata la informacio´n que les sea solicitada. El Ministerio Pu´blico podrá solicitar al juez la actuacio´n de agentes encubiertos para investigar delitos cibernéticos. El responsable de este tipo de delitos debera´ resarcir los dan~os.
Todas estas preocupaciones son atendibles en el marco de una deliberación pública. Las instituciones y los mexicanos requieren con urgencia sentirse seguros y confiados en el ciberespacio, porque cada vez hacemos más actividades en líneas y en Internet.