Las medidas de confinamiento derivadas de la pandemia de Covid-19 favorecieron el aumento de los ciberataques a las tecnologías de la Información y Comunicación (TICs), debido al incremento en su uso a nivel mundial; sin embargo, en el caso particular de México, la ciberseguridad se convirtió en un tema particularmente complejo durante este periodo, más aún por no contar con un marco regulatorio que ayude a mitigar los efectos de dichos ataques.
En la presentación del estudio «El Estado de la Ciberseguridad en México» de Metabase Q, diversos expertos en el ámbito de las TICs hablaron de la importancia de que nuestro país no solo cuente con un marco regulatorio en torno a la ciberseguridad, sino también de cómo este concepto debe integrarse en la cultura de la sociedad mexicana.
«Hoy no podemos hablar de transformación digital, de desarrollo económico, de innovación e incluso de bienestar social sin hablar de un tema tan crucial como lo es la ciberseguridad», dijo Adriana Servín, directora de asuntos gubernamentales de SAP México.
«Hoy los datos son el petróleo de esta década, y como tal tienen un valor importantísimo. Y es por eso que existen estos ciberataques, porque se sabe la importancia que tienen los datos», agrega.
Obviamente, las empresas mexicanas con una vulnerabilidad mayor son quienes sufren más de ciberataques; sin embargo, la gran mayoría de estas son pymes. Estas por sí solas representan un pilar importante en la economía mexicana, ya que generan alrededor del 70% del empleo formal y representan 52% del PIB nacional, según datos oficiales.
«El 79% de los ataques de ciberseguridad que sucedieron el año pasado fueron a pymes; hubo más de 4,000 millones de intentos por atacarlas. Es algo que sin duda, como sociedad, debemos poner mucha atención», dice.
Según el Reporte de Ciberseguridad 2020 del BID, un tercio de los países en América Latina no cuenta con un marco legal sobre delitos informáticos; desafortunadamente, México es parte de ellos.
De acuerdo con la experta, es necesario que en México exista un organismo de coordinación que integre al sector privado, al educativo y a gobierno para saber de forma coordinada el cómo prevenir, investigar, accionar y sancionar los temas de ciberseguridad.
De acuerdo con la última edición del Índice de Ciberseguridad Global (ICG) de la Unión Internacional de Telecomunicaciones (UIT), México ocupa el lugar 63 de 175 países en materia de preparación de seguridad cibernética.
Dicho índice destaca a México en materia legal y técnica, específicamente en la protección de activos digitales —considerando la Ley Federal de Protección de Datos Personales— y, los esfuerzos del Congreso de la Unión para desarrollar e implementar mayores regulaciones. Sin embargo, entre 2017 y 2018, México pasó del lugar 28 al 63 en la lista de países que integran este índice.
De acuerdo con el estudio de Metabase Q, México tiene un alarmante el rezago en cuanto a regulación sobre ciberseguridad; no solo respecto al resto de los países, sino a los desafíos en la materia.
Lo que hace a México un blanco para los ataques cibernéticos es:
Los mayores riesgos para México en materia de ciberseguridad son la pérdida de datos y la filtración de información. Esto según el monitoreo 2020 del Cybersecurity Defense Center (CDC) de Minsait10.
México representa un mercado enorme con gran potencial de ganancias económicas para cibercriminales.
Algunos de los ataques más recientes a instituciones mexicanas fueron los llevados a cabo contra la Condusef, el SAT y Banxico en julio de 2020.
También están los sufridos por la Secretaría de la Función Pública en julio de 2020; que expuso la información sobre declaraciones patrimoniales de 830,000 funcionarios públicos. Un mes después sucedió uno contra el ISSSTE, que expuso en internet durante un lapso indeterminado de tiempo la información de 551 asegurados del ISSSTE sin protección.
El caso más reciente fue el ataque de ransomware a la Lotería Nacional en junio de 2021, donde se encriptó información crítica, financiera, interna y de empleados. Como rescate se pidió casi un millón de pesos a cambio de las claves para descifrar esta información y que no se publicara.
Pese al rezago y constantes ciberataques, en México sí existen algunos esfuerzos para contar con un marco normativo que propicie la seguridad y confianza digital.
Evidencia de esto, según el estudio, es la importancia otorgada a entidades como el INAI.
A su vez, en 2017 el gobierno mexicano lanzó la Estrategia Nacional de Ciberseguridad (ENC). Esta precisa los objetivos, ejes transversales y actores involucrados para definir las acciones encaminadas al uso, aprovechamiento y seguridad de las TIC.
A su vez, en septiembre de 2021 entró en vigor la Estrategia Nacional Digital. Esta promueve la implementación del Protocolo Homologado para la Gestión de Incidentes Cibernéticos entre Instituciones, que busca fortalecer la coordinación entre autoridades para mejorar la prevención de incidencias cibernéticas.
Además, ese mismo mes se publicó el acuerdo por el que se emiten las políticas y disposiciones para impulsar el uso y aprovechamiento de la informática, el gobierno digital, las tecnologías de la información y
comunicación, y la seguridad de la información en la Administración Pública Federal.
Sin embargo, contar con este tipo de legislación no es suficiente; se debe observar la infraestructura institucional necesaria para implementarla eficazmente.
El estudio de Metabase Q establece que la ciberseguridad debe verse como una prioridad en la agenda pública. A su vez, hace hincapié en que es importante desarrollar una infraestructura institucional que atienda el tema; sin embargo, para ello se debe contar con un marco regulatorio sólido e innovador que esté a la altura de los desafíos del ecosistema digital.
De acuerdo con los expertos, más allá de la falta de un marco regulatorio sólido, uno de los principales problemas del México en materia de ciberseguridad radica en la falta de cultura y concientización de los ciudadanos mexicanos frente a esta.
«Existe esta falsa percepción de que la ciberseguridad es un tema que solo debe regularlo el gobierno o que es un tema que solo atañe al sector privado y muy enfocado a las empresas que formamos parte de las tecnologías de la información y no hay nada más falso que eso», dice Servín.
De acuerdo con la experta, la ciberseguridad es un tema que debe competer a sociedad civil y la academia. Esto debido a que «se debe educar a nuestros niños, niñas y jóvenes desde edad escolar a cómo identificar y tener dentro de la cultura qué es la ciberseguridad», dice.
«Esta es una situación que no se va a ir, que es intrínseca y que va intimamente ligada a evolución digital que estamos experimentando en todas las diferentes actividades que hacemos; por lo mismo, tenemos que actuar con la misma velocidad con la que evoluciona la tecnología», dice Carlos González, director ejecutivo de banca transaccional México y Latinoamérica en HSBC.
«La principal ventaja del cibercriminal es el factor sorpresa, el factor de no tener conciencia. Por lo mismo, la importancia de tener la conciencia desde temprana edad. [Hay que enseñar] cómo de deben de utilizar este tipo de herramientas digitales para estar protegidos. Partiendo de ahí —de esta visibilidad, conocimiento, entrenamiento y conciencia— se puede mitigar gran parte de esta amenaza y evitar este factor sorpresa», agrega.
De acuerdo con Cindy Rayo, directora general de comercio internacional de servicios e inversión en la Secretaría de economía, el principal desafío de México frente al tema de la ciberseguridad es el diseñar una estrategia nacional que esté basada en cinco pilares importantes.
«El primero es que debe ser una estrategia capaz de actualizarse y adelantarse a ciertas amenazas; es decir, debe estar en constante evolución. En segundo lugar está la capacitación para contar con personal calificado capaz de atender todas las complejidades en amenazas cibernéticas y detectar vulnerabilidades; el tercero es que pueda articular a las distintas autoridades e instituciones para que sean capaces también de responder a los incidentes cibern´éticos; [el cuarto] es que debe contar con un enfoque incluyente que tome en cuenta a todos los actores interesados; y, por último, poner en el centro de esta estrategia a los usuarios y la protección de los datos personales», comenta la experta.
Por su parte, Juan Manuel Aguilar, oficial de comunicación de CASEDE, cree que el principal reto es la persistencia de una falta de interés, comprensión y coordinación en la materia de ciberseguridad.
Finalmente, González dijo que el tema de prevención y educación es fundamental. «Empezar con una estrategia nacional de incorporación de la temática [de ciberseguridad] en todos los niveles educativos se me hace fundamental; sobre todo que desde pequeños se cree la conciencia del uso y buen manejo de redes sociales, medios de pago, etc. Esto nos va a ahorrar mucho en el futuro en términos de ataques», dijo.
A esto, González agrega la importancia de mantener campañas permanentes de difusión. Éstas para «mantener la visibilidad de todo y de cuáles son los modus operandi para mitigar el factor sorpresa». A su vez, coincide en hacer del tema de la ciberseguridad una obligación tanto de actores empresariales y del sector público.
AHORA LEE: Estos son los puntos que debes tomar en cuenta para estructurar un plan estratégico de ciberseguridad
TAMBIÉN LEE: Estos son los 8 pasos que debes seguir para crear un plan de recuperación efectivo contra ciberataques