Ley de ciberseguridad: lo bueno y lo mejorable

Proceso Jorge Bravo

El diputado Javier López Casarín (Partido Verde) presentó una iniciativa de Ley Federal de Ciberseguridad. Por el incremento de incidentes y la gravedad de los mismos, tal y como se ha comentado en este espacio, es prioritario un marco normativo en materia de ciberseguridad.

López Casarín lleva tiempo involucrado en una legislación que aborde las preocupaciones y las mejores prácticas internacionales en materia de ciberseguridad. Su propuesta debe pasar no sólo por el debido proceso legislativo, sino abrir un proceso previo de consulta y parlamento abierto con todos los actores involucrados, tanto de instituciones públicas, de seguridad nacional, empresas privadas, del sector financiero, academia y sociedad.

La iniciativa establece las bases para la protección de la información digital, los sistemas cibernéticos y las infraestructuras críticas bajo un principio de responsabilidad compartida y colaboración. Tiene como finalidad reducir incidentes, garantizar la seguridad cibernética, la protección de datos personales y la privacidad de los usuarios de las Tecnologías de la Información y Comunicación.

La ley establece la creación de una Política, una Estrategia y una Agencia nacionales de ciberseguridad dependientes directamente del Ejecutivo Federal. La agencia contará con un Consejo Consultivo Ciudadano de Ciberseguridad con la participacio´n de todos los sectores de la sociedad.

También contempla la creación de un Registro Nacional de Incidentes de Ciberseguridad y un Catálogo Nacional de Infraestructuras Críticas de Información de carácter reservado para preservar la información contenida en él.

La propuesta reconoce los derechos y obligaciones de los usuarios en el ciberespacio y fomenta una cultura de ciberseguridad entre la población. Dice con claridad que todas las personas tienen derecho a la ciberseguridad y que la Política Nacional de Ciberseguridad respetará los derechos humanos durante la investigación y persecución de ciberdelitos.

Plantea que la seguridad de la informacio´n e infraestructura tecnolo´gica es responsabilidad de quien la ofrece, administra u opera, ya sea una entidad pu´blica o privada. Obliga a los responsables de operar las infraestructuras cri´ticas de cooperar con la autoridad para resolver los incidentes de ciberseguridad y deberán notificar los incidentes y ataques que sufran. Los bancos y los proveedores de servicios financieros esta´n obligados a establecer medidas de ciberseguridad.

Todas las dependencias y entidades de la Administración Pública Federal deberán contar con un responsable de seguridad de la información. Los criterios y bases generales de seguridad que establezca la Agencia Nacional de Ciberseguridad serán obligatorios.

Castiga las actividades cibernéticas ilegales y otorga atribuciones a las autoridades para perseguirlas, “con respeto a las garantías procesales, el derecho a la intimidad, las libertades civiles y los derechos humanos”.

Especifica que las secretarías de la Defensa Nacional y de Marina atenderán los incidentes cibernéticos que provengan o sean promovidos por otros Estados. También les correspondería monitorear el ciberespacio, realizar operaciones militares y ciberdefender al país. Se consideran amenazas a la seguridad nacional en materia de ciberseguridad las afectaciones a las infraestructuras críticas de información.

La propuesta contempla que los operadores de telecomunicaciones, las redes sociales, aplicaciones plataformas, de mensajería instantánea y de alojamiento deberán preservar la confidencialidad de los datos personales de los usuarios, no divulgarlos ni compartirlos, lo cual puede inquietar a quienes tienen modelos de negocio basados en datos. En caso de violación de la seguridad de los datos personales, el responsable deberá notificar a la agencia a más tardar 72 horas después del incidente.

Todos estos proveedores, redes sociales, comunidades de videojuegos en línea y plataformas de streaming están obligados a atender los mandamientos por escrito, fundado y motivado de la autoridad. Los obliga a contar con una unidad para la atención y respuesta de incidentes de ciberseguridad y a registrarse ante la Agencia Nacional de Ciberseguridad. Incluso les pide “privilegiar” -aunque no obliga- que la información de los usuarios se encuentre almacenada en territorio nacional, lo cual puede causar fricciones con el texto del T-MEC.

Aclara que los proveedores de servicios digitales y plataformas de Internet constituidos en el extranjero podrán ser requeridos mediante orden judicial para colaborar con las autoridades de procuración de justicia.

La iniciativa plantea algunos aspectos preocupantes. Por ejemplo, los usuarios de servicios digitales están obligados a cooperar con las autoridades ante cualquier investigación de ciberseguridad.

La agencia y la Fiscalía General de la República podrán ordenar a proveedores de Internet dar de baja direcciones IP, aplicaciones, dominios y sitios de internet dentro de 72 horas posteriores a la notificación, lo cual puede ser desproporcionado o poner en riesgo la libertad de expresión.

La ley permitiría el uso de tecnologías para intervención de comunicaciones tipo Pegasus, que tanta polémica han desatado por el espionaje a periodistas, activistas y defensores de derechos humanos. Dichas tecnologías de intervención serían de uso exclusivo de las instituciones de seguridad pública.

La solución que plantea la iniciativa es que el Centro Nacional de Inteligencia cree un Registro Nacional de Proveedores de Tecnología para Intervención de Comunicaciones y que la venta de ese software y equipos esté prohibida para fines distintos a los establecidos.

Cuando se investiguen amenazas a la seguridad nacional, las entidades públicas y privadas proporcionarán de manera inmediata la información que les sea solicitada. El Ministerio Público podrá solicitar al juez la actuación de agentes encubiertos para investigar delitos cibernéticos. El responsable de este tipo de delitos deberá resarcir los dan~os.

Todas estas preocupaciones son atendibles en el marco de una deliberación pública. Las instituciones y los mexicanos requieren con urgencia sentirse seguros y confiados en el ciberespacio, porque cada vez hacemos más actividades en líneas y en Internet. 

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies