México carece de legislación y funcionarios especializados en delitos cibernéticos
Lucero Méndez
Daniela Peña fue víctima de suplantación de identidad. Crearon una cuenta falsa de Instagram con ella en traje de baño y así pedían dinero para suscribirse y “ver más contenido”. También robaron información de 50 contactos de ella para que siguieran el perfil apócrifo.
En México los delitos cibernéticos como robo de datos o falsificación de identidad ya son una realidad, pero ante la ley no están tipificados y tampoco existe una legislación que proteja a usuarios e instituciones frente a éstos, alertan especialistas consultados por El Sabueso.
Aunque desde septiembre de 2020 se ha promovido en el Congreso de la Unión la creación de una Ley Federal de Ciberseguridad, hasta la fecha la iniciativa se suma a once más que permanecen estancadas y sin discutirse, algunas de ellas por falta de lineamientos claros y otras porque han sido consideradas por organizaciones como una amenaza a la libertad de expresión.
Iniciativas en la congeladora
Desde el mismo Senado se han publicado investigaciones que advierten la urgencia de una normativa en materia de ciberseguridad. Entre 2018 y 2021 se quedaron estancadas 11 iniciativas sobre el tema en el Congreso.
Cuatro de ellas proponen la creación de una ley nueva sobre ciberseguridad; cuatro proponen modificaciones al Código Penal Federal; tres proponen reformar la Ley de Seguridad Nacional; otra que se modifique la Ley Federal de Austeridad Republicana e incluso una propone que se cambie la Constitución.
En marzo de 2021 la senadora de Morena, Jesús Lucía Trasviña Waldenrath, presentó el proyecto de decreto para la creación de la Ley General de Seguridad. Sin embargo, la ambigüedad de esa propuesta era peligrosa porque criminalizaba a los usuarios de internet y de Tecnologías de la Información y la Comunicación, además de censurar la libertad de expresión, alertó la organización Artículo 19.
El estatus de esa iniciativa, al igual que las otras, sigue pendiente en comisiones de sus cámaras de origen.
Luis Miguel Dena, CEO y fundador de la empresa Cyber Black, puntualiza que el que avancen estas iniciativas es un tema primordial porque “involucran la seguridad nacional, la seguridad pública, la protección de las empresas que generan empleos en este país” y que involucran la protección de los integrantes de una familia, en delitos que ocurren en ciberespacio, como el grooming, suplantación de identidad y pederastia.
Faltan delimitaciones claras
Aunque la mayoría de esas iniciativas proponen que se castiguen los delitos cibernéticos, es necesario que primero se cree una delimitación clara de los alcances del ciberespacio y que éste cuente con un marco legal bien definido. Una tarea que en este sexenio ni en los anteriores se ha podido lograr.
“Se debe empezar por regular el ciberespacio, que es un tema muy amplio, de ahí parte todo. Por ejemplo, primero tendría que definirse y regularse qué es la identidad digital para que después se pueda tipificar la comisión de un delito relacionado a la identidad digital, como la vulneración, el robo o usurpación de identidad”, señala Darío Vargas Regalado, experto en temas de ciberseguridad y estrategia digital.
De acuerdo con el especialista, en México el reto es pasar los elementos del mundo físico al mundo digital y que éstos se delimiten claramente, sin ambigüedades. Por ejemplo, actualmente no se puede ligar una identidad digital a una nacional, como un Registro Nacional de Población, CURP o INE, ya que ni siquiera existe un equivalente en el ciberespacio.
Otro reto que debe tomarse en cuenta es que en el plano legal y de derecho exista una rama específica enfocada en tratar ciberdelitos, ya que existen temas técnicos y del mundo virtual que no son equiparables con los delitos que establece actualmente la ley, opina Víctor Hernández, consultor en protección de datos y ciberseguridad.
En otros países de Latinoamérica, por ejemplo Brasil, existe la Ley número 12737 que se enfoca en atender delitos cibernéticos y los tipifica, además de que desde 2014 cuentan con el Marco Civil de Internet, el primero en su tipo que establece el respecto a los derechos civiles de los usuarios de internet y garantiza la libertad de expresión y protección a su privacidad.
Sin instancias especializadas de denuncia
Cuando Daniela fue alertada por sus contactos sobre el perfil falso que contenía fotos e información de ella, reportó la cuenta en Instagram y fue dada de baja. Sin embargo, no presentó ninguna denuncia formal ni supo si procedería ante un Ministerio Público.
Tan solo este año la Fiscalía General de la República lleva abiertas 5 mil carpetas de investigación relacionadas a delitos cibernéticos y la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros también alertó que durante 2022 se han reportado más 16 mil robos de identidad y fraudes cibernéticos.
El problema de los delitos cibernéticos que se cometen es que ante la falta de una normativa o una dependencia especializada en atenderlos, el procedimiento para denunciarlos termina siendo el mismo que el de un delito de fuero común.
Aunque se levante un reporte ante la Unidad de Policía Cibernética, se solicita que la denuncia formal se presente ante la Agencia de Ministerio Público más cercana, con documentos o evidencia que demuestre los hechos relacionados a la denuncia.
También existe el Centro Especializado de Respuesta a Incidentes Cibernéticos de la Guardia Nacional, pero sus labores se centran en monitorear páginas fraudulentas, alertar a la ciudadanía ante posibles riesgos y son un apoyo del Ministerio Público.
Si bien existe la Ley Olimpia, sus alcances se limitan a la violencia digital y no abarca otros ciberdelitos, como robo o secuestro de datos o suplantación de identidad, por lo que se requiere un área enfocada solo en dar atención a delitos cibernéticos, puntualiza Hernández.
“Muchos de los casos que he visto me comentan que (los funcionarios del Ministerio Público) no entienden los delitos. Si hubiera un área específica o secretaría con personal que conozca el tema legal y cibernético podría aterrizar de forma inmediata cualquier tipo de denuncia relacionada al tema”, comenta.
Dependencias vulnerables
El Instituto Nacional de Transparencia y Acceso a la Información, el Instituto Mexicano de Seguridad Social, la Secretaría de Hacienda y Crédito Público, son solo algunas de las dependencias que cuentan con información confidencial de millones de personas. De ahí la urgencia de que en México existan leyes y regulaciones en materia de ciberseguridad, coinciden los especialistas.
Otra dependencia que en los últimos dos años ha trabajado con la información personal de la población es la Secretaría de Salud, que como parte de la Estrategia Nacional de Vacunación obtuvo la información de millones de personas de todos los grupos de edades que se han aplicado la vacuna contra el COVID-19.
Entre los datos con los que cuenta la dependencia sanitaria están la dirección, comorbilidades, edad, sexo y CURP.
“Este ejercicio de vacunación resultó ser un inmenso censo y registro poblacional. Ahora es el Estado mexicano el que tiene esa información, no el INE ni el Inegi, y nunca antes el Estado había tenido tantos datos”, observa el doctor Mauricio Rodríguez Álvarez, vocero de la Comisión Universitaria para la Atención de la Emergencia de COVID-19 de la UNAM.
En el primer semestre de 2022, México sufrió 85 mil millones de ataques cibernéticos, fue el país más vulnerado de Latinoamérica, según el último informe de la empresa Fortinet, y el tercero a nivel mundial.
El delito que más se registró en el país, según el reporte, fue ramsomware (secuestro de datos): Hasta julio, se detectaron 18 mil ataques de ese tipo. La Asociación Mexicana de Ciberseguridad también alertó que en México 77% de las organizaciones no cuenta con un plan de respuesta.
Tras el ciberataque que sufrió la Secretaría de Defensa Nacional (Sedena) por parte del colectivo Guacamaya, quedó evidenciada la vulnerabilidad de las dependencias gubernamentales y del país, observan los especialistas.
Aunque el presidente Andrés Manuel López Obrador minimizó la gravedad de la información revelada, 6 terabytes de documentos y correos de la Sedena, se trata de “la filtración de seguridad reservada más grande de la historia de México, es un tema grave”, señala Darío Vargas.
“El hecho de haber vulnerado los anillos de seguridad de una institución que debería ser, en teoría, la más segura del país expone la vulnerabilidad que tenemos como nación”, agrega.
Para Víctor Hernández, el que se hayan filtrado 6 terabytes de información es preocupante porque demuestra que no se trató de un proceso espontáneo ni precipitado, “en términos de ciberseguridad, se debe considerar el tiempo que llevó transferir esa información de un sitio como la Sedena, más el tiempo en que se ejecutaron pruebas y errores. Fue un trabajo mínimo de seis meses”.
Por otra parte, el que sea la misma Sedena la que ha adquirido software para espiar a activistas y periodistas, demuestra también la urgencia de una estrategia nacional de ciberseguridad que también proteja a ciudadanos, no sólo a organismos e instituciones de la administración pública federal.