Reforma Clara Luz Álvarez
La Secretaría de la Defensa Nacional (Sedena) encabezada por el general Luis Cresencio Sandoval había estado durmiendo con el enemigo por semanas antes de que se revelara la vulneración a sus sistemas y la sustracción de más de 4 millones de correos electrónicos y archivos adjuntos que incluyen información de todo tipo, tal como las agresiones sufridas por las Fuerzas Armadas, el ambiente hostil hacia víctimas de acoso sexual que pertenecen a la milicia, los regalos que el Secretario dio, mapas delincuenciales y las relativas a la salud del presidente Andrés Manuel López Obrador. Esa información en 6 terabytes puede ser la primera entrega de las Guacamayas, grupo que se atribuyó el ciberataque a México, Chile y otros países latinoamericanos.
Responsabilidades. Ni toda la inversión en ciberseguridad garantiza que se puedan detener todos los ciberataques. Sin embargo, al tratarse de una institución pública debe investigarse a fondo, buscando respuestas a múltiples interrogantes. ¿Fue un ataque previsible y prevenible o no? ¿Hay capacitación suficiente del personal? ¿Existió negligencia? ¿Se habría evitado de contar con más inversión en tecnología? ¿Se solicitaron recursos para invertir en ciberseguridad y fueron negados? ¿Quién(es) sería(n) la(s) persona(s) responsable(s)?
Delitos. El Código Penal Federal prevé delitos por conocer o copiar información en sistemas informáticos del Estado. Es cierto que los ciberataques pueden venir de cualquier parte del mundo, que es compleja la investigación y que existe dificultad para capturar a presuntos responsables, más aún cuando están en países con quienes no se tienen tratados internacionales. No obstante ello, el gobierno mexicano no puede renunciar a la persecución de los delitos, menos aún con la situación geopolítica en que vivimos. ¿Quién saldría ganando con la inestabilidad de México?
Y si bien se ha documentado que algunos ciberataques son auspiciados por Estados-nación, tampoco puede atribuírseles responsabilidad a éstos sin una investigación profunda para evitar quebrantar el derecho internacional. Aunque nos encantaría tener noticias inmediatas de quién, por qué y desde dónde se hizo el ciberataque, siendo realista esto puede llevar meses.
Leyes. Si el Senado y la Cámara de Diputados necesitan trabajar en algo, es en la actualización de la Ley de Seguridad Nacional. Esta data de 2005, cuando todavía las amenazas a la integridad, estabilidad y permanencia del Estado mexicano no incluían a los ciberincidentes y ciberataques. Existen múltiples iniciativas de leyes de ciberseguridad y el diputado Javier López Casarín ha anunciado una nueva para este mes. No sólo un cambio en el marco jurídico se requiere, sino capacitación a todos los niveles y fortalecimiento de las capacidades.
INAI. Datos personales fueron obtenidos en el ciberataque, por lo que conforme a la Ley General de Protección de Datos Personales, Sedena debe informar tanto al INAI que preside Blanca Lilia Ibarra como a los titulares de esos datos. Además, hay una serie de obligaciones que Sedena debe cumplir como tener: análisis de riesgos, análisis de brechas entre las medidas que tiene implementadas y las que le faltan por implementar, una bitácora de vulneraciones, etcétera. ¿Qué pasará si Sedena no informa al INAI? ¿Ejercerá el INAI sus facultades de supervisión? ¿Será un nuevo capítulo de fricción en la relación INAI-Ejecutivo federal?
Chile. Tres días después del hackeo por el mismo grupo Guacamaya sufrido por las Fuerzas Armadas de Chile, el general que presidía el Estado Mayor Conjunto de éstas renunció. La ministra de Defensa Nacional compareció ante el Congreso y están realizando un procedimiento administrativo para determinar si existió responsabilidad de servidores públicos. ¿Será que México haga algo similar? ¿Con qué nivel de transparencia y rendición de cuentas se recordará este Sedenaleaks?
Investigadora de la Universidad Panamericana
claraluzalvarez.org
@claraluzalvarez
