Ciberseguridad en México, ¿una quimera digital?



En el número 07 (abril mayo de 2016) de la revista UGeOBe apareció un artículo mío llamado “Ciberseguridad en México, ¿una quimera digital?” dedicado a revisar el tema como parte de la política pública en México.

Los invito a leer el artículo a continuación, recuerden que me gustará mucho conocer sus comentarios:

 

Para analizar el estado de la ciberseguridad en México es necesario destacar dos hechos: que la primera mención a este punto en un informe de gobierno de la Presidencia de la República ocurrió el 1 de septiembre de 2015; y que México es el país más atrasado en el tema en Latinoamérica (de acuerdo con la Unión Internacional de Telecomunicaciones, UIT), ya que por delante están Uruguay, Colombia, Argentina, Chile, Costa Rica, y Ecuador.

Los dos hechos anteriores deben ser el punto de partida del estado de la ciberseguridad en el gobierno mexicano: por un lado hay un esfuerzo, retrasado, por ponerse al día; y por otro existe un descuido en esta disciplina en un país cuyo principal socio comercial es una de las primeras ciberpotencias del mundo: Estados Unidos.

 

 

Índice Global de Ciberseguridad (Escala de 0 a 100)

indice-Global-de-Ciberseguridad

Fuente: Elaborado por The Competitive Intelligence Unit con información del Índice Global de Ciberseguridad 2014 elaborado por la UIT

 

Ciberseguridad, parte de la seguridad nacional

En el Tercer Informe de Gobierno del presidente Enrique Peña Nieto, en la sección México en paz, en el apartado “1.2.3 Fortalecer la inteligencia del estado mexicano para identificar, prevenir y contrarrestar riesgos y amenazas a la seguridad nacional”, se menciona que para “diseñar e impulsar una estrategia de seguridad de la información, a efecto de garantizar la integridad, confidencialidad y disponibilidad de la información de las personas e instituciones públicas y privadas en México” se realizó “la elaboración y aplicación del “Procedimiento de Análisis Remoto de Vulnerabilidades” a portales Web de las dependencias que integran el Consejo de Seguridad Nacional, con objeto de identificar las principales vulnerabilidades y emitir recomendaciones para solventarlas, en prevención contra ataques cibernéticos”.

Por otra parte se informa de la participación en el desarrollo del documento: “Instrumento para la Integración del Catálogo de Infraestructuras Críticas en el Ámbito de las Tecnologías de la Información y Comunicaciones y de Tecnologías de Operaciones”, el cual es el primer documento de su tipo en México elaborado desde una instancia de gobierno que puede servir como guía para determinar prioridades de ciberdefensa.

Tercer Informe de Gobierno- 2015-México

Sin embargo la parte más importante en cuanto a ciberseguridad como parte de una estrategia de seguridad nacional, es aquella donde se propone “fortalecer la cuarta dimensión de operaciones de seguridad (ciberespacio y ciberseguridad), que den sustento a las actividades de inteligencia civil, militar y naval”.

A continuación se menciona la participación de dependencias de Seguridad Nacional en diversos talleres, eventos, cursos, conferencias y seminarios sobre ciberseguridad, sin embargo el Tercer Informe de Gobierno no incluye una definición de “ciberseguridad”, la cual es necesaria en este documento donde se le menciona por primera vez en toda la historia de textos semejantes.

Llama mucho la atención que tanto en el Plan Nacional de Desarrollo 2013-2018 y en el Tercer Informe de Gobierno se mencione la ciberseguridad como la “cuarta dimensión” de operaciones de seguridad, mientra que en la presentación La ciberseguridad y el estado mexicano realizada por el Capitán de Navío C.G. Diplomado de Estado Mayor José Ángel Treviño Núñez en 3er Encuentro Latinoamericano sobre Ciberseguridad: Delitos Cibernéticos e Informática Forense, realizado en el auditorio Jus Semper Loquitur de la Facultad de derecho de la UNAM, se hable de “cinco ámbitos”: tierra, aire, mar, espacio (fuera de la tierra) y el ciberespacio.

La observación anterior no es menor, pues a la ausencia de una definición de ciberseguridad en un documento tan importante como un informe de gobierno se suma la perspectiva divergente de un profesional de la seguridad nacional, por lo que a partir de estos dos puntos es posible preguntarse si los encargados de elaborar el Plan Nacional de Desarrollo consultaron a un especialista en ciberseguridad para crear el documento y más aún, ¿el apartado de ciberseguridad fue revisado por expertos en el tema?

 

Ciberseguridad en los planes de la administración pública

En el Programa para la Seguridad Nacional 2014-2018 expedido por el gobierno de la República y publicado el 30 de abril de 2014 en el Diario Oficial de la Federación, se dice que “es necesario que el Gobierno de la República desarrolle una política de Estado en materia de ciberseguridad y ciberdefensa, para garantizar así la defensa de los intereses económicos, políticos y militares de México en el ciberespacio”.

A continuación se agrega que “Es necesario generar y poner en marcha una estrategia que evite afectaciones a las capacidades nacionales de comunicación y a la funcionalidad de los sistemas de información estratégicos gestionados por las autoridades y el sector privado. El propósito central de la estrategia debe ser el fortalecimiento de la cuarta dimensión de las operaciones de seguridad: la ciberseguridad y la ciberdefensa”.

Sin embargo al parecer la única expresión concreta de esa “estrategia” es el Centro Nacional de Respuesta a Incidentes Cibernéticos de México (CERT MX) (inaugurado en marzo de 2012 en el gobierno anterior. Nota del autor) de la Policía Federal, así como el desarrollo de “procesos de protección de las infraestructuras críticas susceptibles de ser vulneradas por este tipo de ataques”.

Este Programa para la Seguridad Nacional reconoce que “Los delitos de suplantación de identidad, fraudes financieros, distribución de pornografía infantil, entre otros, han prosperado en el ciberespacio generando un alto costo económico y humano”, sin embargo en éste como en otros documentos, no se incluye una definición de “ciberseguridad”. ¿Es posible hacer una política de gobierno de un fenómeno que no está definido?

Por otra parte existen las Disposiciones generales para la seguridad de la información, un acuerdo para modificar las políticas y disposiciones para la Estrategia Digital Nacional, en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la información”, publicado en el DOF el 4 de febrero de 2016, en las que tampoco hay una sola  mención a la ciberseguridad.

Por su parte, en el En el Plan Nacional de Desarrollo 2013-2018 publicado en el DOF el 20 de mayo de 2013 hay una mención a la ciberseguridad: “Impulsar, mediante la realización de estudios e investigaciones, iniciativas de ley que den sustento a las actividades de inteligencia civil, militar y naval, para fortalecer la cuarta dimensión de operaciones de seguridad: ciberespacio y ciberseguridad”.

Ciberespacio, ciberdefensa y ciberseguridad

El ciberespacio es un lugar que incluye todo el planeta y que es contenido por las Tecnologías de la información y Comunicaciones (TIC´s) además de ser usado (habitado) cada vez más por los gobiernos, las empresas privadas y la ciudadanía.

Este ámbito “artificial” pero sin cual el desarrollo de la economía, la ciencia, la cultura y en general todos aquellos espacios contemporáneos en los que los seres humanos intercambian información, no sería posible, debe ser protegido, función que le corresponde a los gobiernos como responsables de la seguridad pública, es decir son los responsables de la ciberdefensa.

La ciberseguridad está integrada por el grupo de políticas, ideas de seguridad, restricciones de seguridad, métodos para administrar los riesgos, acciones, capacitación, buenas prácticas, y tecnologías usadas para resguardar los activos digitales de cualquier institución ya sea pública o privada.

Los activos digitales, por su lado, son los dispositivos conectados a una red, los servicios y las aplicaciones, los sistemas de comunicaciones, así como la información que transmite o almacena una organización.

La ciberseguridad, de acuerdo con el documento Cyberspace and the National Security of the United Kingdom, una publicación de Chatam House, la cual pertenece al Real Instituto de Asuntos internacionales del Reino Unido, es “La ausencia de amenazas realizadas por medio de, o dirigidas a, las tecnologías de la comunicación y de la información (ICT) y a sus redes”.

Libro-Cyberspace and the National Security of the United Kingdom

Cyberspace and the National Security of the United Kingdom apareció en marzo de 2009, cuatro años antes de que el concepto “ciberseguridad” fuera mencionado en el el Plan Nacional de Desarrollo en 2013 y evidencia la importancia del tema para el gobierno del Reino Unido. En comparación en México no existe un documento parecido elaborado por alguna dependencia de gobierno, lo más cercano es el apartado “Ciberseguridad” incluido en el Programa para la Seguridad Nacional 2014 – 2018 de la Presidencia de la República editado en 2014, donde, por cierto, no hay una definición de este concepto.

Programa para la Seguridad Nacional 2014 - 2018 de la Presidencia de la República

A pesar de que en México estemos tan atrasados en ciberseguridad, el tema no es ajeno a organismos regionales como la Organización de Estados Americanos (OEA) que en su resolución Desarrollo de una Estrategia Interamericana para Combatir las Amenazas a la Seguridad Cibernética de 2009, expresó que la vulnerabilidad cibernética de las naciones del continente es un obstáculo para construir sociedades pacíficas y prósperas.

Aunque los dispositivos son sólo una parte de los activos digitales que una política de ciberdefensa debe considerar, saber que para el año 2020 serán más de 200,000 millones en el planeta, de acuerdo con el Informe de Predicciones de Amenazas de McAfee Labs, nos puede dar una idea del tamaño del reto que enfrentan todos los gobiernos del mundo

Según el Cyber Defense Report, patrocinado por McAfee, México es uno de los países más retrasados en cuanto a ciberdefensa.

Cyber Defense Report patrocinado por McAfee

¿Existe futuro para la ciberseguridad en México?

México comparte el lugar 18 con países como Perú, Vietnam y Burkina Faso (ninguno de ellos es miembro de la OCDE) entre 100 países en el Índice Global de ciberseguridad 2014 de la Unión Internacional de Telecomunicaciones. Los tres primeros lugares son ocupados por Canadá, Australia y Estados Unidos (nuestro principal socio comercial).

Más allá de estas cifras es necesario preguntarse por la calidad de ciberseguridad en México después de hechos como el hackeo al sitio web de la Secretaría de la Defensa Nacional en 2013 hecho por el grupo Anonymus; o por la vulneración de los correos electrónicos del expresidente Calderón o del presidente Peña Nieto.

Sin embargo quizá uno de los indicadores más significativos del estado de la ciberseguridad en México es la ausencia de una política integral sobre este asunto de seguridad nacional, cuyo botón de muestra es la inexistencia de una definición legal de “infraestructura crítica”, a pesar de que el gobierno mexicano ya cuenta con un catálogo de cada una de ellas. ¿Cómo defenderemos lo que no definimos?

Este artículo fue publicado también en:

Y me entrevistaron sobre el mismo tema en: Data Center Dynamics