Ley Federal de Ciberseguridad, «sólo el primer escalón»

La presentación de la Ley Federal de Ciberseguridad ante la Cámara de Diputados, es un primer paso interesante que se toma para enfrentar este problema creciente. Entre sus aspectos positivos, están el hecho de que claramente se escuchó a todos los sectores y que crea un registro de incidentes que ayudará a dimensionar con mayor claridad el problema, consideró Sergio Navarro Barrientos, director de Seguridad Informática de IQSEC.

En entrevista con ConsumoTIC, el representante de la firma especializada en ciberseguridad e identidad digital, dijo que la ley tiene también áreas para mejorar, como los temas técnicos, que quedan algo olvidados, mientras se favorecen mucho las estructuras de Estado que se crean para atender el tema.

Confió en que se tomen medidas claras para enfrentar el problema antes de los 36 meses que la Ley concede para la entrada en vigor de la Agencia Nacional de Ciberseguridad, pues los ataques crecen a una velocidad exponencial y las sanciones hasta ahora planteadas para este tipo de delitos se antojan ineficientes ante las dimensiones transnacionales del delito.

Es importante señalar que los datos disponibles varían mucho según la fuente, desde quien habla de decenas de millones de ataques anuales por país, hasta estudios que señalan miles de ataques semanales para prácticamente cualquier organización (pública o privada) en cualquier parte del mundo.

De hecho, en la exposición de motivos de la Ley Federal de Ciberseguridad –que la Cámara de Diputados admitió a trámite el pasado 25 de abril—se indica que de acuerdo con el Censo Nacional de Seguridad Pública Federal 2021 (INEGI), la Guardia Nacional atendió en ese año 4 mil 996 delitos en internet; realizó mil 104 investigaciones cibernéticas; desactivó 5 mil 920 sitios web apócrifos; recibió 21 mil 290 reportes de incidentes electrónicos y 133 mil 469 de incidentes de seguridad informática.

En ese sentido, Navarro Barrientos destacó como aspecto positivo de la propuesta, que en su Capítulo IV establezca la creación de un Registro Nacional de Incidentes de Ciberseguridad, pues será la primera vez que se obligue por ley a reportar los incidentes de ciberseguridad.

No obstante, la redacción de los cuatro capítulos de la Ley destinados a este fin (16, 17, 18 Fracciones I, II, III, IV, V y 19), deja todavía espacios a la subjetividad, entre otras cosas, porque se centra únicamente en “los administradores de las Infraestructuras Críticas de Información públicos y privados”.

Es importante recordar que la Ley define como Infraestructuras Críticas de Información a “las redes, servicios, equipos e instalaciones asociados o vinculados con activos de Tecnologías de Información y Comunicaciones, y de Tecnologías de Operación TO, cuya afectación, interrupción o destrucción, tendría un impacto en la provisión de bienes y prestación de servicios públicos o privados esenciales que pudieran comprometer la Seguridad Nacional en términos de las leyes en la materia”.

Por otra parte, Navarro Barrientos destacó que en su estado actual, la ley parece centrarse mucho en prevenir y castigar los delitos, pero sin entrar en los procesos necesarios para proteger los datos y la información, así como mantener la confidencialidad y disponibilidad de la información. De hecho, las penas propuestas son ridículas frente al tamaño del este delito.

Por otro lado, en el tema internacional hace falta homologar normas y establecer rutas de cooperación, porque muchos delitos cibernéticos se cometen en terceros países y para combatirlos, se debe primero identificar al delincuente y después crear los mecanismos para que el culpable pueda ser llevado ante la justicia de la nación donde se encuentran las víctimas.

A ello debe sumarse el hecho de que hay países que no tienen interés en regular los delitos cibernéticos, sino que más bien parecen alentarlos por así convenir a sus intereses.

En conclusión, señaló que la Ley Federal de Ciberseguridad es “un primer escalón de algo donde antes no lo había, y a partir de ahí podemos empezar a construir, involucrar más a los representantes de la iniciativa privada y sus organizaciones porque las definiciones de la Ley por ahora tiende más a regular las acciones del gobierno federal”.

Es un camino largo por transitar y desde las empresas de ciberseguridad, lo que queda es “seguir apoyando a nuestros clientes para que entren en el cumplimiento de lo que venga y tal como venga. ¡A ver cómo nace el bebé!”, concluyó.

Con información de ConsumoTic

CIBERSEGURIDAD_ Secretaría de Comunicaciones activa protocolo para contener ciberataque

La Secretaría de Infraestructura, Comunicaciones y Transportes (SICT) informó que hubo accesos ilícitos a sus equipos informáticos este lunes 24 de octubre, casi un mes después de que se hiciera público el hackeo a la Secretaría de la Defensa Nacional (Sedena).

La dependencia señaló en sus redes sociales que con motivo de este posible hackeo se activó el protocolo nacional homologado de gestión de incidentes cibernéticos y plan de contingencia con la finalidad de contener vulneraciones a la información y datos.

Además, señaló que actualmente se realizan investigaciones con la finalidad de hacer una denuncia y dar vista de los hechos a las autoridades correspondientes, aunque no ha dado mayor información al respecto.

¿Qué es el protocolo nacional contra hackeos que activó la SICT?

La dependencia de Comunicaciones y Transportes activó el Protocolo Nacional Homologado de Gestión de Incidentes Cibernéticos y Plan de Contingencia, mismo que, según la información del Gobierno Federal, está coordinado por la Coordinación de Estrategia Digital Nacional de la Presidencia de la República.

Además, este protocolo tiene el respaldo de la Secretaría de Seguridad y Protección Ciudadana y la Guardia Nacional, y tiene como objetivo “fortalecer la ciberseguridad” de dependencias de Gobierno, así como de entidades federativas y órganos constitucionales autónomos.

Dicho protocolo, que su versión más reciente fue lanzada en octubre de 2021, sigue una serie de pasos con la finalidad de “mantener los niveles de riesgo aceptables en sus activos esenciales de información” ante hackeos, que consiste en cinco pasos:

Describir la postura actual de ciberseguridad.
Describir el objetivo deseado de la ciberseguridad.
Identificar y priorizar las áreas de oportunidad.
Evaluar el progreso hacia el objetivo de ciberseguridad deseado.
Establecer la comunicación entre las partes interesadas.

Las primeras dos etapas de este protocolo contra hackeos que usó la Secretaría de Infraestructura, Comunicaciones y Transportes son consideradas de “preparación”.

La tercera etapa se considera de “detección” y las últimas dos son consideradas de “respuesta y recuperación”.

Hackeo a la Sedena: Ejército presumió ciberseguridad antes del robo de 6 Terabytes de información

Días antes del hackeo a la Secretaría de la Defensa Nacional (Sedena), militares mexicanos se reunieron con autoridades de Estados Unidos, a quienes presumieron los esfuerzos del gobierno de México en materia de ciberseguridad.

Así quedó expuesto en un documento elaborado con motivo del encuentro. Se trata de una presentación en PDF titulada: Grupo de Trabajo de Política Cibernética México-EU, fechada en agosto de 2022.

Ahí, las autoridades mexicanas detallan las acciones que hacen en materia de ciberdefensa, seguridad nacional, delitos financieros y seguridad pública, y destaca la colaboración con autoridades de otros países, como el Comando Norte del Ejército estadounidense.

CON INFORMACIÓN VÍA EL FINANCIERO / MILENIO

México | Ley Nacional de Ciberseguridad urgirá cambios a leyes como la de telecom

La Ley Federal de Ciberseguridad de México requerirá modificaciones urgentes a otras leyes para que pueda funcionar de forma adecuada, reveló el diputado Javier López Casarín durante una reunión con medios de comunicación.

El legislador mexicano, quien actualmente preside la Comisión de Ciencia, Tecnología e Innovación de la Cámara de Diputados, aseguró que la propuesta cero de la Ley Nacional de Ciberseguridad estará lista para principios de noviembre.

Sin embargo, señaló que aunque buscarán su aprobación en el actual periodo de la LXV Legislatura, será necesario que se modifiquen muchos otros marcos jurídicos, por ejemplo, la Ley Federal de Telecomunicaciones y Radiodifusión.

“La Ley Nacional de Ciberseguridad va a tener afectaciones en diferentes instrumentos legales vigentes. No es una ley nada más, sino que tendrá impacto en fiscalías, ministerios públicos, capacitación para hacer denuncias para un ciberdelito y saber cómo van a ser procesadas.

“Por ejemplo, en la Ley Federal de Telecomunicaciones y Radiodifusión (LFTyR) tendríamos afectaciones directas en proveedores de servicios en Internet, la preservación de entrega de la información por mandato judicial, la representación legal en el país de prestadores de servicios en Internet, la obligación de los prestadores de servicios en Internet de emitir y publicar información de prevención y concientización”, dijo el diputado a manera de ejemplo.

López Casarín igualmente reveló que serán necesarios cambios en la Ley General del Sistema Nacional de Seguridad Pública con afectaciones en el comité de ciberseguridad, establecimiento de unidades de policía cibernética y fortalecimiento del modelo homologado de policía cibernética.

La propuesta de Ley Federal de Ciberseguridad también contempla cambios en la Ley Orgánica de la Administración Pública Federal; en la Secretaría de Educación Pública, como facultades y atribuciones para impartir la materia de ciberseguridad; en la Ley Orgánica de la Fiscalía General de Justicia; el impacto que va a tener en las fiscalías especializadas; en la Ley Orgánica del Poder Judicial de la Federación; en las fiscalías y unidades especializadas con facultades de uso de usuarios y agentes encubiertos digitales, en la Ley de la Guardia Nacional para la facultad de usuarios simulados y agentes encubiertos digitales, por mencionar algunos.

“La Ley Federal de Ciberseguridad no va a ser propuesta de la Comisión de Ciencia, Tecnología e Innovación, se realizará en conferencia en conjunto con el Senado. Además, (…) será presentado por seis comisiones, que son Marina, Defensa, Seguridad, Ciencia y Tecnología, por mencionar algunas”, afirmó Javier López Casarín.

CON INFORMACIÓN VÍA DPL NEWS

México | ¿Cómo evitar ser víctima de un fraude cibernético? Esto recomienda la ABM

La Asociación de Bancos de México ha realizado una serie de recomendaciones para que los usuarios eviten ser víctimas de ciberfraudes, pero principalmente para que no compartan con nadie la información confidencial de sus cuentas bancarias como son nombres de usuario y contraseñas.

Con el aumento de las transacciones bancarias por canales digitales -impulsadas aún más por la pandemia de Covid-19-, los ciberdelincuentes han encontrado nuevas formas para defraudar a los usuarios de la banca.

Ante ello, la Asociación de Bancos de México (ABM) ha realizado una serie de recomendaciones para que los usuarios eviten ser víctimas de ciberfraudes, pero principalmente que no compartan con nadie la información confidencial de sus cuentas bancarias como son nombres de usuario y contraseñas.

Adolfo Ruiz, integrante del Comité de Educación Financiera de la ABM, destacó que los bancos, por ningún motivo, piden este tipo de información a sus clientes, por lo que si se recibe algún correo, mensaje de texto o llamada en los que se soliciten estos datos, el exhorto es a que no lo contesten y mejor se comuniquen directamente a su institución.

“En la medida en que las instituciones financieras ofrecen más y mejores candados, se invierte más en ciberseguridad, pero sin el acompañamiento de los clientes y usuarios, sin que sean responsables por el uso de contraseñas e información sensible, va a ser más complicado que podamos actuar y respaldarlos en un momento determinado”, detalló en la sesión de Banca Explica de la ABM, que se transmitió este jueves a través de redes sociales.

Ahí, puntualizó que todos pueden ser vulnerables si no se protege la información; no se aprovechan las herramientas tecnológicas; no se utilizan programas como antivirus en los dispositivos, y si se comparte información sensible en redes sociales.

Cuatro amenazas principales

La ABM resalta que hoy son cuatro las amenazas principales relacionadas con los ciberfraudes: phishing, pharming, keylogger y vishing y smishing.

El phishing son los correos electrónicos fraudulentos, usados normalmente en situaciones de aparente emergencia, que incluyen ligas que llevan a sitios que solicitan la actualización de información confidencial o sensible del usuario. Normalmente tienen errores ortográficos y ofrecen publicidad, premios o promociones no actualizadas.

El pharming, por su parte, consiste en manipular las direcciones de los sitios de Internet de las instituciones para llevar al usuario a una página web falsa. Imita visualmente al sitio seguro y desde ahí se solicita y se obtiene información confidencial o sensible del usuario.

“Normalmente el virus se instala a través de correo electrónico o mensajes de aplicaciones de mensajería instantánea cuando se le pide al usuario que haga clic en alguna noticia o video”, puntualiza la ABM.

En cuanto a la modalidad de keylogger, esta se trata de un tipo de código malicioso que se instala en la computadora del usuario, recolectando toda la información ingresada a través del teclado y/o ratón, y es enviada a personal no autorizado de forma anónima.

Mientras que el vishing y smishing, son llamadas o mensajes de texto (SMS), a través de los cuales los defraudadores buscan obtener información financiera.

¿Cómo protegerse?

Ante ello, la ABM recomienda no ponerle la situación sencilla a los delincuentes, por lo que sugiere: cuidar y cambiar periódicamente las contraseñas (no poner una que resulte fácil); activar e identificar las notificaciones bancarias; revisar que las direcciones de los sitios web del banco tengan el candado de seguridad que aparece, y ante cualquier duda llamar al banco.

También: evitar utilizar información sensible en redes públicas; estar atentos con el uso del celular; y utilizar las redes sociales con responsabilidad.

“Desafortunadamente muchos de los fraudes que se han visto donde se han vaciado las cuentas, ha sido porque el usuario dio su información confidencial, claves y contraseñas a personas que abusaron de su confianza y las vaciaron. Hemos visto muchos casos así, sobre todo personas de la tercera edad”, mencionó Adolfo Ruiz.

CON INFORMACIÓN VÍA DPL NEWS

Seguridad en las apps, responsabilidad compartida

En el consumo de servicios digitales, las personas usuarias de apps deben tener claros sus derechos y obligaciones para responsabilizarse de su seguridad a través de mejores prácticas al usarlas en dispositivos móviles, y aunque no son los únicos que están involucrados en mantener ecosistemas digitales seguros, la ciberseguridad en estas plataformas se está volviendo una tarea cada vez más compleja, sobre todo si se considera que cada aplicación es una puerta de entrada a vulnerabilidades.

En México hay poco más de 91.7 millones de usuarios de teléfonos celulares y de acuerdo con un estudio de Claver Tap en promedio cada persona tiene 40 aplicaciones, aunque las que pertenecen a la generación «Millennial» tienen hasta 67 instaladas.

“Un riesgo es la dependencia a la implementación y actualización de los controles de seguridad hacia las aplicaciones… Como usuarios poco o nada podemos hacer en el caso de que exista alguna vulnerabilidad dentro de alguna aplicación, ya sea una móvil, web, API´s o software en general”, advirtió Isaac Sagrero, Coordinador de Consultoría Técnica en Scitum TELMEX.

En el panel de discusión “Seguridad y Privacidad en las Aplicaciones”, en el marco de las Conferencias de Ciberseguridad 2022 organizadas por el Instituto Federal de Telecomunicaciones (IFT), el especialista explicó que el riesgo existe porque para mitigar la vulnerabilidad se depende de los procesos, la velocidad o la capacidad que tenga el proveedor de la aplicación.

Se pueden utilizar sistemas EDR (Endpoint Detection and Response), un tipo de antivirus más evolucionado, con un enfoque preventivo, para identificar aplicaciones maliciosas en los smartphones, con troyanos o malware; aplicaciones de VPN, así como controles parentales.

Sin embargo, reconoció que existe falta conocimiento y conciencia de los usuarios sobre las características de seguridad que ya tienen las aplicaciones, por lo que los esfuerzos de algunas empresas para que las apps sean configuradas de manera segura se esfuman al dejar todo por “default”.

En ese sentido, Paula Vargas, Directora de Política de Privacidad para Latinoamérica de Meta, aseguró que desde la compañía tienen la responsabilidad de proteger la privacidad y los datos, pero también se les dan controles a los usuarios para que tomen decisiones informadas al respecto.

“Es un compromiso de una mejora constante, permanente, para responder a las expectativas de privacidad que evolucionan, a la tecnología que evoluciona y con eso cambian esas expectativas”.

Por ello, refirió que recientemente, con fines de transparencia, para mejorar el lenguaje y la comprensibilidad se actualizó la política de privacidad, agregando accesos directos a los controles o herramientas, como la “Comprobación Rápida de Privacidad”, revisión de autenticación de dos pasos o alertas de inicio de sesión, aspecto relevante para sumar al conocimiento que deben tener los usuarios.

“Esto también es un tema de diseño, cuando uno quiere promover el uso de esas herramientas hay que facilitar la ubicación de esas herramientas, hay que facilitarle al usuario que las puede encontrar y que sepa dónde están; entonces, por un lado lo hacemos vinculando directamente en la política”.

También, agregó, las personas cuentan con un Centro de Privacidad, que tiene una finalidad no sólo de comunicar las prácticas de privacidad en las distintas plataformas, sino que ofrece material educativo.

Isabel Davara, experta en Derecho y Tecnología, fundadora de Davara Abogados S.C., consideró que la falta de cultura digital permea en el conocimiento respecto a las herramientas de privacidad, uno de los derechos humanos reconocidos en el entorno electrónico, cuya defensa cuenta con una regulación amplia, así como un órgano de tutela máximo que es el INAI y con órganos coadyuvantes como el IFT y la Secretaría de Economía.

CON INFORMACIÓN VÍA CONSUMO TIC

Ciberseguridad requiere evangelización y endurecimiento de penas

Las amenazas en seguridad informática han evolucionado, desde el tipo de tácticas hasta su alcance, lo que deja ver un panorama complicado pues la falta de conciencia incluso a nivel directivo sigue siendo el principal reto para minimizar riesgos, lo que de acuerdo con expertos requiere redoblar esfuerzos en la evangelización, endurecimiento de penas y aumento de inversiones.

En conferencia por el 15 aniversario de IQSEC, se destacó que la aparición de nuevas ciberamenazas es un riesgo latente, pues se están explotando nuevas formas de ofrecer productos y servicios a través de canales digitales y los atacantes aprovechan nuevas tendencias tecnológicas como el Metaverso o los activos digitales como los Tokens no Fungibles (NFT, por sus siglas en inglés).

“Hoy en día, el reto principal sigue siendo la evangelización a nivel directivo sobre la importancia de la ciberseguridad, un habilitador para que se pueda hacer negocios sin dolores de cabeza”, aseveró Israel Quiroz, Fundador y CEO de IQSEC.

Las principales amenazas en México son el ransomware, phishing, usurpación de identidad o apropiación de cuentas, que se han mantenido a la cabeza en los últimos años, pero a éstas se suman el abuso de API´s y ataques a cadenas de suministro, que son crecientes y que aún no existe una conciencia generalizada de su impacto.

“En México son más probables las ciberamenazas a aplicaciones basadas en Biometría e Inteligencia Artificial (IA), y tienen especial relevancia porque la contratación remota de servicios financieros está teniendo gran auge, esto lo vemos también con el tema de las Fintech”, sostuvo Manuel Moreno, Chief Security Sales Enablement Officer.

Es mediante el uso de API´s que los bancos y las instituciones financieras pueden utilizar sistemas de integración de datos de los usuarios para mejorar su oferta de servicios, por lo que afirmó que uno de los principales retos a enfrentar en el Open Banking es la protección de los datos compartidos, para brindar privacidad, confidencialidad y la integridad de los mismos.

Entre la población, el robo de información es un riesgo latente, que en el caso de la sustracción de datos personales fue percibido por 51.1 por ciento de los encuestados y el hurto de información financiera por el 44.7 por ciento.

“El 66.3 por ciento consideró que sí protege su información financiera, contra el 20.8 por ciento de la información personal; mientras que sobre qué calificación le darían a México en materia de ciberseguridad, el 82.1 por ciento respondió con los niveles más bajos y sólo 17.8 por ciento los más altos”.

Sergio Navarro, Chief Architect and Consulting Officer, agregó que se ha detectado también un desinterés de algunos jugadores en proteger infraestructura crítica, lo que tiene que ver con el tema financiero y la cultura organizacional.

“Todavía vemos en la parte privada un desinterés importante de algunos jugadores para proteger infraestructura crítica. Aquí se mezcla con un tema, que es el financiero… Estadísticamente hay una mínima participación de altos directivos; prefieren delegar la responsabilidad del riesgo a las capas tecnológicas, cuando mucho de la problemática de la seguridad también tiene que ver con la cultura organizacional”.

Sistema bancario

Navarro destacó que si bien existe regulación y los bancos están obligados a notificar a la Comisión Nacional Bancaria y de Valores (CNBV) de qué se tratan los incidentes y qué activos de información pudieron verse afectados, es importante que la legislación avance, porque esto existe sólo en la parte financiera.

“No creo que el sistema financiero mexicano sea tan vulnerable como se maneja, porque construyen muchas salvaguardas. ¿Es suficiente? No. Desgraciadamente en ciberseguridad nunca será suficiente”.

Además, refirió que de acuerdo con el estudio, 70 por ciento de los encuestados consideró que no eran “hackeables”, pero más bien podría pensarse en que ese 70 por ciento no sabe que probablemente ya tenga a alguien «viviendo» en su infraestructura.

Sin embargo, recalcó que aún con legislación que puede aplicarse a los delitos cibernéticos, la falta de penas robustas representa una barrera para inhibir estas prácticas altamente lucrativas.

“El problema en sí son las penas. Un ataque puede llegar a miles de millones y las penas son ínfimas, contra el beneficio que se obtiene primero y, segundo, no existe la suficiente capacidad profesional a nivel de cantidades de gente con skills para que esa persecución sea efectiva”.

CON INFORMACIÓN VÍA CONSUMO TIC

TENDENCIAS_ La importancia de garantizar la protección al cifrado en la Ley Federal de Ciberseguridad de México

Tal como se ha reflejado en notas periodísticas,^[1^] el Congreso de México está trabajando en un proyecto de ley de ciberseguridad con miras a esbozar un primer borrador para septiembre de 2022.

En un contexto de crecimiento sostenido de las vulnerabilidades, los ataques a la privacidad, la seguridad y a la integridad de los mensajes, así como de los delitos que incluyen el robo de información personal y diversas modalidades de estafas online, debatir políticas y regulaciones sobre ciberseguridad resulta fundamental.

Teniendo en cuenta que Internet ha demostrado ser un medio efectivo para promover el crecimiento y el desarrollo económico, especialmente luego de la pandemia, favoreciendo el acceso no sólo a la información y la libertad de expresión sino casi a la totalidad de los derechos humanos, como la educación, la salud, los servicios del Estado, es necesario contar con garantías de buen funcionamiento y de protección de derechos de los usuarios.

El cifrado de extremo a extremo es uno de los grandes temas de la seguridad de las comunicaciones en este momento, por cuanto permite que las mismas sean más seguras y privadas, elevando los niveles de certeza y confianza. Esta tecnología facilita la protección de valores y derechos que no sólo son claves en México sino en las sociedades de América Latina como la privacidad, la integridad de las personas, la libertad de expresión y contribuye a mantener la seguridad nacional y personal.

La encriptación garantiza la protección a periodistas, activistas y defensores de derechos, lo cual no es compatible con la creación de excepciones o “puertas traseras” para ciertos casos.

Resulta paradójico que el acceso a comunicaciones privadas por parte del Estado en el marco de la persecución de delincuentes en Internet podría parecer deseable, sobre todo en Estados democráticos mediante órdenes judiciales.

Sin embargo, uno de los principales puntos de la Alianza por el Cifrado en América Latina y el Caribe (AC-LAC), compuesta por los principales organismos académicos, privados y defensores de derechos digitales de la región, apunta a la necesidad de fortalecer la ciberseguridad garantizando la inviolabilidad del cifrado.

La confianza de los usuarios en Internet hace que este sea el medio por excelencia en el cual transcurre buena parte de nuestra vida y está cimentada en la intersección entre privacidad y seguridad.

Si abrimos la posibilidad, aunque mínima, de romper el cifrado, se corre el riesgo sistémico de dar acceso a todos nuestros datos a malos usuarios, o a malos usos de esta información incluso en Estados democráticos.

En este contexto es que el pasado 1° de agosto, la Alianza por el Cifrado en América Latina y el Caribe (AC-LAC) elevó una declaración de consenso a la conferencia bicameral de México.

Los destinatarios de la comunicación fueron el diputado Javier López Casarín, presidente de la Comisión de Ciencia, Tecnología e Innovación de la Cámara de Diputados, y el senador Jorge Carlos Ramírez Marín, presidente de la Comisión de Ciencia y Tecnología del Senado de su país. El objetivo de la misiva no era otro que garantizar la protección al cifrado en el proyecto de ley de ciberseguridad.

La Constitución Política de los Estados Unidos Mexicanos, específicamente su artículo 16, deja clara la inviolabilidad de las comunicaciones privadas. En este sentido, el cifrado extremo a extremo es la herramienta por excelencia que escuda dicho principio amparado por el derecho constitucional.

La nueva ley de ciberseguridad es acuciante en México. En la carta enviada por la AC-LAC se expresa que “la inclusión de previsiones en materia de cifrado sería una valiosa aportación por parte de la presente legislatura”, al tiempo que sugiere un texto específico en esta materia.

Sentar un precedente en la región de dar blindaje y proteger la inviolabilidad de las comunicaciones privadas y dar garantías de seguridad a la población y la nación estableciendo por ley la inviolabilidad del cifrado, sería un hecho de carácter histórico y los y las legisladores del Congreso mexicano podrían transformarse en sus protagonistas.

Esperemos que estén a la altura de las circunstancias.

CON INFORMACIÓN VÍA DPL NEWS

México | Pide AC-LAC incluir cifrado de comunicaciones en Ley Federal de Ciberseguridad

La Alianza por el Cifrado en América Latina y el Caribe (AC-LAC) solicitó a la Comisión de Ciencia, Tecnología e Innovación de la Cámara de Diputados, y a la Comisión de Ciencia y Tecnología del Senado de México incluir temas de cifrado de comunicaciones en el proyecto de la Ley Federal de Ciberseguridaden la que trabajan los legisladores mexicanos.

En la misiva dirigida al diputado Javier López Casarín, y al senador Jorge Carlos Ramírez Marín, presidentes de ambas comisiones en cada Cámara, la AC-LAC señala que el cifrado extremo a extremo es crucial para garantizar la seguridad y la privacidad en el mundo digital.

Advierte que ante la incidencia, cada vez mayor de los delitos en el entorno digital, el cifrado extremo a extremo se ha convertido en una de las mejores opciones para proteger a la población que hace uso de servicios y plataformas digitales.

Asimismo, la carta señala que el incremento en la cantidad y las modalidades de los delitos a través de Internet muestra que los delincuentes y las organizaciones criminales invierten recursos importantes y dedican esfuerzos considerables para vulnerar la seguridad y privacidad de los servicios digitales.

La AC-LAC dice que debido al incremento de la complejidad de las actividades cibercriminales, es necesario tomar previsiones en materia de seguridad y el desarrollo y actualización de soluciones tecnológicas para lograr un entorno digital cada vez más confiable y seguro.

Por ello, afirman que el cifrado hace que las comunicaciones sean más seguras y privadas, a la vez que permite un alto grado de certeza y confianza para interactuar en una red global que ha demostrado ser vulnerable.

Dicha organización explicó a los legisladores mexicanos que el cifrado de extremo a extremo facilita la protección de valores y derechos que como sociedad defendemos y contribuye a mantener la seguridad nacional y personal, así como la protección a periodistas, activistas y defensores de derechos en nuestra sociedad se ve fortalecida mediante la utilización del cifrado y su inviolabilidad.

Específicamente, la carta solicita que se agreguen dos párrafos al proyecto de Ley Federal de Ciberseguridad en México, que son los siguientes:

“Toda persona tiene derecho a adoptar las medidas técnicas de seguridad informática que considere necesarias, como el cifrado o la encriptación. Ninguna persona ni autoridad podrá afectar, restringir o impedir el ejercicio de este derecho”.

“El cifrado de extremo a extremo significa que las comunicaciones permanecen cifradas desde el remitente hasta el destinatario, de modo que ningún tercero puede acceder al contenido o inferirlo, en tránsito o en el dispositivo. Un tercero en este contexto significa cualquier organización que no sea el remitente o el usuario destinatario que participa directamente en la conversación”.

CON INFORMACIÓN VÍA DPL NEW S

México | La Estrategia Nacional de Ciberseguridad tiene más motivos económicos que de protección de datos: OEA

La Estrategia Nacional de Ciberseguridad de México, publicada en 2017 por el gobierno de Enrique Peña Nieto e ignorada por la administración del presidente López Obrador, tiene una motivación más económica que de protección de datos e información, de acuerdo con el reporte “Estrategias Nacionales de Ciberseguridad: Enseñanzas y reflexiones de las Américas y otras regiones, elaborado por la Organización de Estados Americanos (OEA) y la consultoría Global Partners Digital.

“La ENC (Estrategia Nacional de Ciberseguridad) de México se diferencia en que establece el tema económico como el componente central que impulsa las acciones prioritarias de política en materia de ciberseguridad. El objetivo principal de la estrategia de México es el establecimiento y fortalecimiento de acciones de ciberseguridad que permitan a la población, así como a las organizaciones privadas y públicas, hacer un uso responsable de las TIC para el desarrollo sustentable del Estado”, asegura el reporte.

La organización recuerda que el proyecto de construcción de una Estrategia Nacional de Ciberseguridad para México comenzó con la realización de un conjunto de mesas de discusión entre los sectores público, privado, civil y la academia, llevadas a cabo a principios de 2017 y que contaron con la colaboración de la OEA. Este proceso condujo a la elaboración de un documento en el que la implementación de la estrategia quedaba a cargo del Poder Ejecutivo ─dentro de la oficina de la Presidencia de la República─ y que establecía la creación de un Subcomité de Ciberseguridad dentro de la Secretaría de Gobernación (Segob).

No obstante, este subcomité nunca fue creado. El reporte advierte que “recientemente, México publicó una Estrategia Nacional Digital 2021-2024 revisada, enfocada en mejorar y armonizar su marco regulatorio, la maximización del uso de la infraestructura y un enfoque basado en la seguridad de la información, la integración de la información para la eficiencia de la gestión, así como mejorar el acceso a zonas sin cobertura”.

Según la comparación entre las estrategias de ciberseguridad de Belice, Costa Rica, Guatemala, Panamá y México hecha por la OEA y Global Partners Digital, la estrategia de México se fundamenta en el desarrollo económico y no en la protección de la información y los datos. Además, el marco regulatorio mexicano busca encontrar coincidencias entre la regulación existente, incluidas las legislaciones en materia de protección de datos personales y de protección de infraestructuras críticas, con las necesidades regulatorias en materia de delitos cibernéticos.

Mientras que Belice estableció un plazo de entre tres y cinco años para implementar su Estrategia Nacional de Ciberseguridad, el Estado mexicano se planteó un lapso de 5 a 10 años para cumplir con este objetivo.

La estrategia mexicana, condenada por el final del sexenio de Enrique Peña Nieto, contempla una entidad gubernamental de desarrollo estratégico, lo mismo que una estructura de coordinación y una agencia multisectorial en materia de ciberseguridad, y aunque cuenta con un plan de monitoreo y evaluación, carece de capacidad para asignar un presupuesto específico, priorizar objetivos y establecer un plan operacional.

Pese a estas comparaciones entre México y los países centroamericanos, dentro de los que la OEA integra al país, y a que Costa Rica cuenta con una Estrategia Nacional de Ciberseguridad mucho más robusta que la de México ─según el reporte─ fue Costa Rica el país en el que buena parte de las instituciones gubernamentales fueron arrasadas por el ransomware Conti entre abril y mayo de 2022.

Más información sobre la Estragegia Nacional de Ciberseguridad de México:

Puedes consultar el reporte de la OEA y Global Partners aquí:

https://docs.google.com/viewerng/viewer?url=https://www.gp-digital.org/wp-content/uploads/2021/06/National-Cybersecurity-Strategies.-Lessons-learned-and-reflections-ENG.pdf

CON INFORMACIÓN VÍA DPL News

México | Solamente 2 de cada 10 mipymes saben enfrentar un ciberataque

Si bien el confinamiento provocado por la pandemia de covid-19 impulsó el uso de Internet entre las micro, pequeñas y medianas empresas (mipymes) en México y que el más de 72 por ciento tiene acceso a red, sólo dos de cada 10 saben cómo enfrentar un ciberataque, según estudios del Instituto Federal de Telecomunicaciones (IFT).

Lo anterior se refleja en el hecho de que, de acuerdo con Jaime Berditchevsky, director general para México de Kaspersky, nuestro país ocupa el primer lugar en robo de passwords.

Durante el panel virtual MiPymes, transformación y seguridad digital, organizado por el Instituto Federal de Telecomunicaciones (IFT), Paola Cicero, directora general de la oficina del comisionado presidente del IFT, Javier Juárez Mojica, destacó que “en el ámbito de la ciberseguridad, de acuerdo con algunas encuestas, sólo dos de cada 10 Pymes mexicanas afirmaron saber cómo enfrentar un ciberataque, mientras que el 66% no utiliza soluciones de seguridad en sus sitios web o tiendas en línea”.

Agregó a lo anterior y no obstante la importancia del aprendizaje continuo en la actualidad, que aun así, sólo el 15 % de las mipymes impartieron algún tipo de capacitación a sus trabajadores, al igual que “un elemento más que vulnera a la mipymes es que sólo un 8% de ellas tiene acceso a financiamiento y, por si fuera poco, solo el 58% afirma que aceptaría un crédito bancario porque lo consideran sumamente caro”.

Por su parte, Jaime Berditchevsky, advirtió que muchas de las empresas de menos tamaño en nuestro país no están conscientes de que por haber tenido un ataque declarado no significa que no estén vulnerables, dado que los ciber-delincuentes buscan hacer el mayor daño posible y que muchos se encuentra agazapados en los sistemas de cómputo y celulares en espera que el usuario realice una operación de trascendencia para realizar el ataque.

También vulnerables

En tal sentido, precisó que las mipymes asumen que por ser pequeñas no son un objetivo para los ciberdelincuentes, cuando la mala noticia es que los ciberdelincuentes buscan obtener mayores ingresos en forma constante.

De esta forma, de acuerdo con estudios de Kaspersky, un 25% de la mipymes ya han experimentado algún ciberataque, pero que la parte más trágica es que el 30% de estas compañías de menor tamaño en América Latina, no cuenta con una solución de ciberseguridad y que, en el mundo, el impacto promedio que puede tener un ataque de ciberseguridad en una pequeña y mediana empresa puede ser de alrededor de 155 mil dólares.

También manifestó que el problema no es que un ataque de esta naturaleza pueda detener el negocio o llevarlo a la bancarrota, sino que roben información, que generen multas por no respetar las reglas de privacidad de los clientes o, quizás el más trágico de todos, el daño reputacional.

CON INFORMACIÓN VÍA DPL NEWS