El coste de los incidentes de cibercrimen en el mundo pasó de 3 billones de dólares a principios de 2015 a una previsión de 6 billones en 2021. A medida que el mundo se vuelve más interconectado por el uso de redes digitales más rápidas y grandes, la Organización de Estados Americanos (OEA) busca mejorar las políticas hemisféricas que protegen a los gobiernos y la sociedad civil contra los ciberataques.
Además, el cibercrimen cuesta 575 millones de dólares al año, lo que representa el 0.5% del PIB mundial y en América Latina cuesta hasta 90 millones de dólares al año.
La ciberseguridad, la sostenibilidad y la resiliencia no solo son necesarias para la protección de México, también son factores importantes en su desarrollo social y económico. Cuando el 10% de
la población de los países en desarrollo está conectada a Internet, el PIB del país crece entre 1% y 2%.
La economía y la ubicación geoestratégica de México son un objetivo atractivo para las actividades cibernéticas ilícitas. Por un lado, está disfrutando de una considerable inversión extranjera directa y un sólido crecimiento del PIB y, por otro lado, sigue siendo relativamente vulnerable en ciberseguridad y ciberseguridad.
México es el segundo país de América Latina con más ataques cibernéticos. Dado que el 57.4% de la población de México es usuaria de Internet, cerrar las brechas en su entorno de ciberseguridad es una tarea importante.
El gobierno, el sector privado y la sociedad civil deben ser capaces de mantenerse al día con la innovación constante en el sector de tecnología de la información (TI), tanto como usuarios como posibles objetivos de ataques.
Mexico ocupa el segundo lugar después de Brasil entre los países que envían spam a la red.
Vamos a analizar la legislación y medidas de ciberseguridad existentes en México.
Indice
Legislación
A continuación se incluye una lista de los principales estatutos y reglamentos que promueven la ciberseguridad, incluidas las leyes aplicables al monitoreo, detección, prevención, mitigación y gestión de incidentes:
- Constitución mexicana;
- Ley de Telecomunicaciones y Radiodifusión (FTBL);
- Ley Federal de Protección de Datos Personales en poder de Particulares (Ley de Protección de Datos), sus reglamentos, recomendaciones, directrices y reglamentos similares sobre protección de datos;
- Norma Federal de Transparencia y Acceso a la Información Pública;
- Normas Generales como la Norma Oficial Mexicana con respecto a los requisitos que deben observarse al guardar mensajes de datos;
- Ley de instrumentos negociables y operaciones de crédito;
- Código Tributario Federal mexicano;
- Ley de Instituciones de Crédito;
- Circular Única para Bancos;
- Ley de Propiedad Industrial;
- Ley mexicana de derechos de autor;
- Código Penal Federal;
- Norma de seguridad nacional;
- Ley del Trabajo;
- Ley de la Policía Federal;
- Plan Nacional de Desarrollo 2013-2018;
- Estrategia Nacional de Ciberseguridad 2017;
- Programa Nacional de Seguridad Pública 2014-2018; y
- Programa Nacional de Seguridad 2014-2018.
Estrategia Nacional de Ciberseguridad
La estrategia nacional de seguridad cibernética de México se desarrolló en colaboración con el Comité Interamericano contra el Terrorismo. La estrategia subraya el compromiso de México con
combatir el delito cibernético y reconoce la importancia de la información y la comunicación tecnologías en el desarrollo político, social y económico de México.
La estrategia se basa en tres principios rectores: derechos humanos, gestión de riesgos y cooperación multidisciplinaria.
El documento se apoya en cinco objetivos estratégicos:
- sociedad y derechos;
- economía e innovación;
- Instituciones públicas;
- seguridad Pública; y
- seguridad nacional
Con la implementación de este documento, México se une a otros seis países latinoamericanos en el establecimiento de una estrategia nacional de seguridad cibernética.
Leyes relacionadas con el delito cibernético
No existe una definición de «cibercrimen» y «ciberseguridad» en la legislación mexicana, y México aún no ha adoptado normas internacionales aplicables a los delitos cibernéticos.
No se requiere que las organizaciones tengan un conjunto mínimo de medidas de seguridad cibernética, ni están obligados a informar incidentes a las autoridades, lo que hace que la recolección de estadísticas sobre ciberataques sea muy difícil.
México no ha promulgado una legislación específica sobre ciberseguridad, aunque se incluyó en el Código Penal Federal una regulación sobre delitos financieros, seguridad de la información y el uso de tecnología en otros delitos, como terrorismo, secuestro y narcotráfico.
El 14 de abril de 2015, el Ministerio de Economía publicó en el Boletín Oficial de México, la implementación de dos estándares oficiales mexicanos:
- NMX-I-27001-NYCE-2015 Tecnologías de la Información-Técnicas de Seguridad-Sistemas de Gestión de Seguridad de la Información -Requisitos, que reproduce las disposiciones establecidas en la ISO / IEC 27001: 2013 Tecnología de la información-Técnicas de seguridad-Sistemas de gestión de seguridad de la información-Requisitos;
- NMX-I-27002-NYCE-2015 Tecnologías de la Información-Técnicas de Seguridad-Código de Buenas Prácticas para el Control de la Seguridad de la información, que reproduce las disposiciones establecidas en la ISO / IEC 27002: 2013 Information Technology-Security Técnicas-Código de prácticas para los controles de seguridad de la información.
Estas normas oficiales mexicanas son obligatorias en México para todo tipo de organizaciones.
Código penal Federal
En el Código penal mexicano se regulan y penalizan una serie de ciberactividades entre las que están:
Piratería
El Código Penal Federal establece que quien, sin autorización, modifique, destruya o cause la pérdida de información contenida en sistemas o equipos informáticos protegidos por un mecanismo de seguridad, recibirá una pena de prisión de seis meses a dos años, por la autoridad competente, así como una multa. La multa podría duplicarse en caso de que la información se utilice para beneficio propio o para un tercero.
Phishing
Aquí, el Código Penal Federal no proporciona ninguna definición de phishing; sin embargo, dicho delito podría considerarse fraude. Según el Código Penal Federal, una persona comete fraude cuando maneja información mediante engaño, aprovecha errores o engaña a una persona con la intención de obtener una ganancia financiera. En tal caso, la autoridad competente impondrá una pena de prisión de tres días a 12 años, así como una multa.
Infección de sistemas informáticos con malware (incluidos ransomware, spyware, gusanos, troyanos y virus)
El Código Penal Federal no proporciona ninguna definición para este delito. Sin embargo, este tipo de comportamiento es similar a la piratería. Las sanciones mencionadas son aplicables en este caso.
Posesión o uso de hardware, software u otras herramientas utilizadas para cometer delitos cibernéticos
En este caso, se establece este delito penal como piratería, que se describe anteriormente.
Robo de identidad o fraude de identidad
La Ley de Instituciones de Crédito establece que una persona que produce, fabrica, reproduce, copia, imprime, vende, intercambia o altera cualquier tarjeta de crédito, tarjeta de débito o, en general, cualquier otro instrumento de pago, incluidos los dispositivos electrónicos, emitido por las entidades de crédito, sin autorización del titular, recibirá una pena de prisión de tres a nueve años, por parte de la autoridad competente, así como una multa.
Robo electrónico
Por ejemplo, abuso de confianza por parte de un empleado actual o anterior, o infracción penal de derechos de autor. Se rige por la misma regulación anterior de la Ley de Instituciones de Crédito. Las sanciones antes mencionadas podrían duplicarse si algún consejero, funcionario, empleado o proveedor de servicios de cualquier institución de crédito comete el delito.
Además, actividades como el espionaje, la conspiración, los delitos contra los medios de comunicación, la intercepción de comunicaciones, los actos de corrupción, la extorsión y el lavado de dinero podrían considerarse amenazas a la seguridad, confidencialidad, integridad o disponibilidad de cualquier sistema informático, infraestructura o comunicaciones.
El Código Penal Federal establece que una persona que, con o sin autorización, modifique, destruya o cause la pérdida de información contenida en los sistemas de las instituciones de crédito o en los equipos informáticos protegidos por un mecanismo de seguridad, recibirá una pena de prisión de seis meses a cuatro años, así como una multa.
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares
Esta ley fue promulgada el 27 de enero de 2017, para establecer un marco legal para la protección de datos personales por parte de cualquier autoridad, entidad u órgano de los poderes ejecutivo, legislativo y judicial, partidos políticos y fondos fiduciarios y públicos que operan a nivel federal, estatal y municipal. Esta publicación en particular está destinada a abordar los problemas derivados de la protección de datos en el sector privado.
La ley exige a los controladores de datos la implementación de medidas de seguridad administrativas, físicas y técnicas para proteger los datos personales contra pérdida, robo o uso no autorizado y deben informar a los interesados de cualquier violación de seguridad. Dichas medidas no serán inferiores a las utilizadas por los controladores de datos para procesar su propia información.
Sectores más afectados
Existe un riesgo específico de la industria en ciertos sectores: sector financiero, telecomunicaciones y salud, no solo del sector privado, sino también a nivel gubernamental.
El sector financiero ha estado trabajando activamente con el Oficial del Fiscal General (PGR), que creó una unidad específica dedicada a la investigación de delitos cibernéticos, en septiembre de 2017. Dicha unidad también está trabajando activamente con el Banco de México para identificar y sancionar a todos los responsables de un ataque cibernético contra varias instituciones financieras en el sistema de pagos electrónicos interbancarios del banco.
Organismos
Los principales organismos con competencias en materia de ciberseguridad en México son:
CERT-MX
El Equipo de Respuesta a Incidentes de Seguridad Informática del país, CERT-MX, es un miembro del Foro Mundial de Respuesta a Incidentes y Equipos de Seguridad (FIRST) y sigue un Protocolo de Colaboración con otras entidades gubernamentales.
El CERT- MX está muy involucrado en la protección de la Infraestructura Crítica Nacional (ICN). Los interesados coordinan la gestión de seguridad de infraestructuras y comparten información sobre los activos y las vulnerabilidades de la ICN.
En todas las agencias gubernamentales, las tecnologías se actualizan regularmente, se realizan copias de seguridad y se adhiere a las disposiciones del Manual Administrativo de Aplicación General de Tecnologías de Información y Comunicaciones y de Seguridad de la Información (MAAGTICSI), el cual se desarrolló con base a normas internacionales como ISO 27001, y COBIT, entre otras. Por otra parte, están en marcha planes de redundancia digital.
Policía Federal
La División Científica de la Policía Federal de México investiga los delitos cibernéticos nacionales. Trabaja en estrecha colaboración con el CERT-MX y ha recibido capacitación por parte de organizaciones sin ánimo de lucro y de varias organizaciones internacionales.
Además, Los fiscales públicos en México están a cargo de investigar las actividades cibernéticas y para resolverlas, se ha creado una policía cibernética para dar seguimiento a los delitos o actividades ilegales cometidas a través de Internet. Las quejas dirigidas a la policía cibernética pueden enviarse a través de su sitio web, por teléfono o mediante una cuenta de Twitter o correo electrónico
Informes recientes indican un aumento de la suplantación de identidad (phishing) y amenazas persistentes avanzadas en el país y una disminución de los ataques de denegación de servicio DoS. Si bien las fuerzas del orden cuentan con una amplia capacidad de investigación, México aún está desarrollando una legislación integral sobre delincuencia cibernética, lo que dificulta el enjuiciamiento de tales actos.
INAI
El INAI es la autoridad federal encargada de supervisar el debido cumplimiento de la legislación de protección de datos en México y está facultada para evaluar si el incidente que originó una violación de datos fue causado por un incumplimiento o negligencia. El INAI está a cargo de:
- garantizar a las personas el derecho de acceso a la información del gobierno público;
- proteger los datos personales en posesión del gobierno federal y las personas; y
- resolver denegaciones de acceso a la información que las dependencias o entidades del gobierno federal han formulado.
Medidas de ciberseguridad
De acuerdo con las leyes mexicanas (específicamente, la Ley de Privacidad de México), las organizaciones están obligadas a implementar medidas correctivas, preventivas y de mejora para hacer que las medidas de seguridad sean adecuadas para evitar una violación.
Las organizaciones deberían poder diferenciar entre daños materiales y no materiales según las leyes mexicanas mediante un análisis de riesgos.
El daño material debe priorizarse sobre el daño no material y siempre dependerá del negocio, el alcance, el contexto y el procesamiento de los datos comprometidos en el incidente.
La identificación de riesgos específicos de la industria de daños materiales y no materiales es, por lo tanto, crucial para todas las empresas que enfrentan un incidente de ciberseguridad. Ciertos sectores, como la sanidad y la banca, deberían proporcionar a las empresas la libertad necesaria para adaptar sus propias políticas internas.
Las siguientes son algunas de las medidas de seguridad que las empresas deben implementar:
- llevar a cabo un mapeo de datos para identificar los datos personales que están sujetos a procesamiento y los procedimientos que involucran el procesamiento;
- establecer las publicaciones y funciones de esos oficiales involucrados en el procesamiento de información;
- identificar riesgos y llevar a cabo una evaluación de riesgos;
- implementar medidas de seguridad;
- llevar a cabo un análisis de brechas para verificar aquellas medidas de seguridad para las cuales la implementación aún está pendiente;
- desarrollar un plan para implementar aquellas medidas de seguridad que aún están pendientes;
- implementar auditorías;
- realizar capacitación para los oficiales involucrados en el procesamiento;
- tener un registro de los medios utilizados para almacenar la información; y
- establecer un procedimiento para anticipar y mitigar los riesgos derivados de la implementación de nuevos productos, servicios, tecnologías y planes comerciales al procesar información.
Sector financiero
El Estudio de Ciberseguridad incluye recomendaciones de ciberseguridad para el sistema financiero en México, que incluyen:
- Preparación y gobierno: tener un organismo responsable u organismo de gobierno corporativo para dirigir la seguridad de la información y la prevención del fraude utilizando medios digitales;
- Detección y análisis de eventos de seguridad digital: priorizando el desarrollo de capacidades utilizando tecnologías digitales emergentes, como Big Data, inteligencia artificial y tecnologías relacionadas;
- Gestión, respuesta, recuperación y notificación de incidentes de seguridad digital: investigar el origen de un incidente y garantizar el diseño e implementación de políticas o procesos para su contención, respuesta y recuperación;
- Capacitación y sensibilización: proporcionar planes de capacitación y llevar a cabo campañas de prevención; y
- Autoridades del sistema financiero y organismos reguladores: emisión de directrices, recomendaciones e instrucciones sobre mejores prácticas de seguridad digital y verificación de la provisión de mecanismos de presentación de informes.
Tendencias
El 7 de noviembre de 2017, miembros de la Cámara de Diputados propusieron una iniciativa legal con el objetivo de introducir disposiciones específicas en el sistema penal federal, así como adoptar la Convención sobre Cibercrimen (Convención de Budapest) para México ser parte de una red global de países dedicados a asegurar la información en el ciberespacio y usarla como la base de todas las reformas legales requeridas.
Actualmente, el Código Penal Federal establece delitos relacionados con sistemas de TI protegidos por medidas de seguridad. Sin embargo, tiene fallos que van desde la ausencia de una definición específica para los términos sistemas de seguridad y cibercrimen (este último solo se define en la Estrategia Nacional de Ciberseguridad, cuyas disposiciones no son vinculantes hasta que se conviertan en leyes) , al ciberacoso o al malware que no se trata como delito.
En particular, la iniciativa legal tiene la intención de designar como delito cibernético la siguiente conducta: piratería, phishing, robo de identidad, pornografía infantil o acicalamiento y fraude cibernético; así como para incorporar en el Código Nacional de Procedimientos Penales los pasos de investigación necesarios para obtener evidencia almacenada digitalmente para preservar datos y obtener dichos datos, al tiempo que protege los datos personales y colabora eficazmente con otras jurisdicciones para cumplir con la transferencia de datos y otras restricciones de procesamiento.