Cibervulnerabilidades, lagunas legislativas y seguridad nacional

Pin on PinterestShare on FacebookTweet about this on TwitterShare on Google+Share on LinkedIn
Teresa Da Cunha es doctora en Derecho; con diversos posgrados en universidades de México, España y Francia; profesora investigadora de la UMSNH; miembro del Sistema Nacional de Investigadores; y coordinadora del Área de Ciencias Sociales en el CIJUS

Teresa Da Cunha es doctora en Derecho; con diversos posgrados en universidades de México, España y Francia; profesora investigadora de la UMSNH; miembro del Sistema Nacional de Investigadores; y coordinadora del Área de Ciencias Sociales en el CIJUS

La información y las estructuras que soportan la S.I.C. son un activo vital de la Nación y su seguridad es imprescindible. Necesitamos de iniciativas legislativas técnicas que permitan fortalecer  la seguridad cibernética nacional y asegurarse de que los ciudadanos y las empresas tienen acceso a soluciones más innovadoras

 –

Morelia, Michoacán, 25 de abril 2016.- La seguridad en las redes y de la información es esencial para asegurar la prosperidad y mantener el desarrollo económico de las naciones y, México no es, ni puede ser una excepción, a esta regla de los países inmersos en la globalización y la Sociedad de la Información.

El ciberespacio, como bien lo sabemos, es susceptible de ser utilizado para llevar a cabo toda clase de ataques y de delitos que atentan contra la seguridad de las naciones, de las economías, de las sociedades y de los individuos. En consecuencia, necesitamos de un marco estratégico general (y no sectorial) para las iniciativas nacionales sobre ciberseguridad y ciberdelincuencia.

Es evidente que en los actuales contextos globalizados e hiperconectados de la Sociedad de la Información tenemos que desarrollar capacidades de defensa en el ciberespacio, de protección de la infraestructura propia y de la infraestructura crítica nacional, además de asegurar la protección del derecho fundamental de las personas a su intimidad, a la protección de sus datos personales, al anonimato de sus movimientos (dentro y fuera del ciberespacio) y de garantizar sus libertades políticas.

O sea, por un lado necesitamos de repensar el equilibrio “seguridad versus derechos fundamentales”, teniendo a estos últimos como el macro paradigma, a partir del cual (y dentro del cual) se diseñarán las estrategias de una agenda nacional para la defensa y protección de los intereses nacionales en la Sociedad de la Información. Por otro lado, tenemos que iniciar el proceso de producción de una doctrina para el ciberespacio y la ciberseguridad y después pasar a la definición de los niveles de protección y a la jurisdificación de conceptos, tipificación de delitos y determinación de sanciones. Esto, con el objetivo de aterrizar la creación de los protocolos de implementación de los ejes, estrategias, acciones y metas de un plan nacional de defensa y seguridad en el ciberespacio.

images (2) 160425Caso contrario, quedaremos estancados en el enunciado de “buenas intenciones” o, lo que es un escenario de alto riesgo, encerrados en un paradigma exclusivamente securitario que, además de contener las semillas de derivas cibertotalitarias del tipo descritas por Orwell en la obra 1984, sería, también, inoperante y nos dejaría indefensos ante los nuevos escenarios de “ciberguerra”, “ciberterrorismo”, de “ciberespionage” y de fraude económico.

Existe, entonces, una real necesidad de repensar el papel de la Fuerzas Armadas para proporcionar su entrada a la “cuarta dimensión” de la Defensa Nacional en el Ciberespacio y de responder a las nuevas cuestiones de una soberanía funcional. Es, también obligatorio, preparar la transición de los cuerpos de seguridad y de inteligencia del Estado a este nuevo paradigma. Sin embargo, ambas transiciones deben ser operadas dentro de la legalidad del orden constitucional y en el respecto del bloque de derechos humanos incluidos en el capítulo I de la C.P.E.U.M, evitando las derivas que observamos en Estados-Unidos en la actuación de Agencias Federales como la NSA y otras.

Es de resaltar que estamos ante contextos que no son ni singulares ni específicos a México y, que por lo tanto, los esfuerzos nacionales tienen que ser encuadrados en modelos internacionales y, por veces, en soluciones globales y/o regionales.

La Asamblea General de las Naciones Unidas ha aprobado varias resoluciones en relación con la ciberseguridad y la protección de las infraestructuras críticas de información, entre las cuales destaco la resolución 58/199 y la Resolución 64/211. En ellas, la ONU invita a los Estados Miembros y a otras organizaciones internacionales a tener en cuenta algunos elementos críticos para la protección de infraestructura de la información, haciendo suyas casi literalmente los principios del G8 adoptados en mayo del 2003 en el acuerdo “Principles for Protecting Critical Information Infrastructures”.

También desde el 2002, la OCDE adoptó una “Guía de seguridad “sobre la protección de infraestructuras críticas de información, que propone una definición clara y operativa del concepto de “infraestructura crítica “y se recomienda trabajar en colaboración con el sector privado a fin de que el “intercambio mutuo y periódico de información por el establecimiento de acuerdos de intercambio de información “. También se ocupa de la protección de infraestructuras de información crítica transfronteriza y promueve la participación en los debates bilaterales y la cooperación multilateral a nivel regional y mundial con el fin de compartir el conocimiento y la experiencia, el desarrollo de un entendimiento común para facilitar la acción colectiva en vulnerabilidades, y que permite el intercambio seguro de información.

internet-computer 160425Es evidente que Estados-Unidos ha sido uno de los primeros países a crear una doctrina nacional de ciberdefensa y a implementar medidas concretas de protección de sus intereses y activos nacionales en el ciberespacio. Del “National Cybersecurity Framework’ (modelado en los estándares ISO/IEC 27000), pasando por diversas legislaciones y órdenes ejecutivas, tales como el “Cyber Intelligence Sharing and Protection Act (CISPA)”, la “Presidential Directive 63 “ de Clinton, pasando por la Orden ejecutiva de Obama de Febrero del 2013 hasta el “Cybersecurity Information Sharing Act (CISA)” adoptado el 27 de Octubre del 2015 por el Senado, Estados-Unidos ha creado una estrategia de ciberdefensa y de ciberseguridad altamente eficientes, doctrinalmente coherentes y con resultados operativos que no podemos negar. Pero, tal como quedó demostrado por la información proporcionada por Snowden (ex-analista de la NSA) el costo en libertades cívicas y en transparencia democrática ha sido demasiado elevado.

En consecuencia, pienso que deberíamos buscar  modelos de referencia en Canadá y /o la Unión europea y en  sus opciones de encauzamiento de las políticas y estrategias para el ciberespacio bajo una preocupación por el respecto y garantía de la privacidad. En particular, debemos mirar la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones sobre protección de infraestructuras críticas de información – «Proteger Europa de ciberataques e interrupciones a gran escala: aumentar la preparación, seguridad y resistencia» SEC (2009) y el “Programa europeo para la protección de la infraestructura crítica” . Pero, la referencia más importante, porque vuelve a colocar a la Privacidad como paradigma central de la protección del Ciberespacio, es la Directiva aprobada el 7 de diciembre del 2015 “Network and Information Security Directive”.

Con efecto, este último documento normativo contiene una visión que parte del principio de una protección para y con el ciudadano, de la necesidad de asegurar la defensa de la  “infraestructura crítica” para mantener las funciones sustantivas del estado democrático y de derecho funcionando,  y rechaza el enfoque de reforzamiento unilateral del aparato securitario del estado, colocando niveles de protección claros de los derechos fundamentales a fin de garantizar que estos no sean violados por actividades de control estatal  y de cibervigilancia de personas, grupos, movimientos.

No podemos olvidar que el concepto de ciberespacio va mucho más allá de una visión simplista y reductora  a una única variable: Internet. Cuando hablamos de ciberespacio (y esta es la interpretación semántica usada en este artículo de difusión de temas de la actualidad jurídica) estamos hablando, entre otras cosas, de la información, del flujo de información, de las telecomunicaciones, de la transferencia de datos extra fronteras y de las infraestructuras que soportan la existencia de la Sociedad de la Información.

Al partir de esta definición amplia de ciberespacio tendremos, entonces, que considerar que la información y las estructuras que soportan la S.I.C. son un activo vital y que su seguridad es imprescindible. En el mundo hiperconectado, con las posibilidades de tratamiento masivo de información propias al “Big Data” y con la divulgación en el mercado global de herramientas tecnológicas que permiten penetrar todas las firewall y violar cualquier nivel de encriptación (como lo vimos en el reciente caso F.B.I versus Apple), nuestra vulnerabilidad cibernética es máxima y nuestra protección jurídica es mínima.

anonymous-375x195 160425Esto es particularmente asustador, en un momento en que nuestras opciones civilizacionales nos han hecho dependientes del ciberespacio, de ese medioambiente soportado por las TIC’s y en cual se producen interacciones sociales, culturales, políticas, económicas, se genera y difunde conocimiento, se crean movimientos, se propician revoluciones y se construyen espacios de gobernabilidad. En resumen, nuestro modo de vida, nuestra calidad de vida, nuestro desarrollo económico, nuestra capacidad de defensa, nuestro ejercicio de la soberanía y nuestras libertades están conectadas, hoy en día, en menor o mayor grado, de la existencia de un ciberespacio seguro.

Sin embargo, continuamos teniendo lagunas legislativas enormes que permitan a los mexicanos disponer de una mayor confianza y seguridad en el uso de la tecnología. Lagunas legislativas que también merman nuestra capacidad de defensa en el ciberespacio contra los ataques (internos y externos) a los sistemas de información de la Nación. Un ejemplo concreto de esta vulnerabilidad es el reciente robo de la base de datos actualizada en marzo pasado del registro nacional de electores y que es objeto de una investigación de la PGR a partir de una queja del INE.

Necesitamos de iniciativas legislativas técnicas que permitan fortalecer la industria de la seguridad cibernética nacional y asegurarse de que los ciudadanos y las empresas tienen acceso a soluciones más innovadoras, seguras y fáciles de usar que tengan en cuenta las normas y los estándares internacionales. Necesitamos de una Estrategia nacional de Seguridad de las Redes e Información (SRI) que vaya más allá de lo establecido en la Agenda inscrita en el Plan Nacional desarrollo 2012-2018, en el Eje Rector : “Un México para la Paz”. Necesitamos incrementar la cooperación estratégica y el intercambio de información entre las diversas entidades federativas, y, por otra, exigir a los operadores de servicios esenciales y proveedores de servicios digitales que adopten las medidas oportunas en materia de seguridad y notificar los incidentes graves de violación de datos personales a sus titulares. Necesitamos de la creación de una red de cooperación entre todas las entidades federativas, compuesta de un Grupo de Cooperación, una red de Equipos de Respuesta a incidentes de seguridad informática, Autoridades Nacionales Competentes y puntos de contactos únicos a nivel nacional. Pero, para tal tenemos que partir de un punto fundamental: el de la definición jurídica de “Infraestructura crítica vital”.

Necesitamos de una definición clara del concepto de “infraestructura crítica” que tiene que ser mucho más comprensiva, más amplia, que las actuales definiciones de “áreas estratégicas” plasmadas en la C.P.E.U.M y de “infraestructuras estratégicas” en la Ley General de Protección Civil. En particular, esta última definición, en base a la cual se estableció el catálogo de “infraestructura sustantiva del país” con 2379 instalaciones , no contempla los aspectos propios a la protección de la información, de los flujos de información, de las bases de datos , de protección de las infraestructuras de soporte del ciberespacio y de la defensa de las libertades en el ciberespacio frente a las derivas de la ciberseguridad y a la ciberdelicuencia.

Sin embargo, pienso que esta laguna podría ser rápidamente subsanada usando un trasplante jurídico (estas áreas no son áreas para “inventar el hilo negro” y hacer de los estados “laboratorios experimentales”) de los textos normativos internacionales y /o regionales mencionados anteriormente en este artículo. Así, aplicando el método micro comparativo, una definición amplia que podría servir de base para una iniciativa de legislación técnica nacional se encuentra en la Directiva europea 2008/114/CE , “ sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección”: “ «infraestructura crítica», el elemento, sistema o parte de este (…) que es esencial para el mantenimiento de funciones sociales vitales, la salud, la integridad física, la seguridad, y el bienestar social y económico de la población y cuya perturbación o destrucción afectaría gravemente a un Estado miembro al no poder mantener esas funciones (…) La magnitud de la incidencia se valorará en función de criterios horizontales, como los efectos de las dependencias intersectoriales en otros tipos de infraestructuras”.

A partir de esta definición del concepto de “infraestructura crítica “ podríamos entonces partir para la construcción de un cuerpo normativo técnico (con carácter transversal porque tendría que reformar diversos artículos en un rompecabezas de legislaciones secundarias y sectoriales , Ley de Seguridad Nacional, Ley Federal de Telecomunicaciones y Radiofusion, Ley General de Salud, Ley Federal de Protección de Datos Personales en Manos de Particulares , Ley de Protección Civil, Código Nacional Penal,  Ley de Instituciones de Crédito , etc., etc.) asegurando la protección eficaz del ciberespacio, lo que exige comunicación, coordinación y cooperación a escala federal, estatal y local La mejor manera de lograrlo es designando, en cada Estado, puntos de contacto para la protección de infraestructuras críticas nacionales, consolidando un “Sistema Integral de Seguridad de la Información” y constituyendo un “ Centro de Control de Ciberdefensa y Ciberseguridad”.

Pero, asegurando siempre que el intercambio de información, los flujos de información y de las comunicaciones, debe producirse en un entorno de confianza y seguridad. Este intercambio requiere una relación de confianza en la que los ciudadanos, las empresas y las organizaciones sepan que sus datos sensibles y confidenciales estarán suficientemente protegidos por las normas vigentes y que tengan asegurados los instrumentos de defensa de sus derechos y de su autodeterminación informativa.

REFERENCIAS MÍNIMAS BIBLIOGRÁFICAS

BAUD, Emmanuel G. et al., ‘Europe proposes new laws and regulations on cybersecurity’, Lexology, January 2, 2,6, 2014,http://www.lexology.com/library/detail.aspx?g=1f872876-3d23-44e7-a8f1-92a9be8d080b. Consultado el 17 de abril 2016

LESSIG, L., El código y otras leyes del ciberespacio, Universidad de Standforf , 1999

UNIÓN EUROPEA (UE), European Commission, Joint Communication to the European Parliament, the Council,the European Economic and Social Committee and the Committee of the Regions,’Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace’,JOIN (2013) 1 final, 7.2.2013, 3. Consultado el 17 de abril 2016

G8, “Principles for Protecting Critical Information Infrastructures (adoptado por el G8, Mayo 2003), consultado el 17 de abril 2016, http://www.infrastrutturecritiche.it/aiic/index.phpoption=com_docman&task=doc_download&gid=111&Itemid=99 .

OECD, ‘OCDE Reviewing Its Security of Information Systems and Networks Guidelines’, del 8 de Abril 2013, consultado el 17 de abril 2016,https://ccdcoe.org/oecd-reviewing-its-security-information-systems-and-networks-guidelines.html .

ONU, Resolución de la Asamblea General 58/199, ‘Creation of a global culture of cybersecurity and the protection of critical information infrastructures’, A/RES/58/199,30 de enero 2004;

ONU, Resolución de la Asamblea General 64/221, ‘Creation of a global culture of cybersecurity and taking stock of national efforts to protect critical information infrastructures’, A/RES/64/221, consultado el 17 de abril 2016

Plan Nacional de Desarrollo 2012-2012, Gobierno de la República, consultado en la dirección http://pnd.gob.mx/, consultado el 23 de abril 2016

Programa Sectorial de Defensa Nacional 2013 – 2018, Gobierno de la República, consultado en la dirección http://www.sedena.gob.mx/archivos/psdn_2013_2018.pdf, el 23 de abril 2016