Claves para construir una Ley de Ciberseguridad en México

La falta de regulación en materia de ciberseguridad sigue siendo una asignatura pendiente en México. En este 2023, cuando se prevé que las empresas mexicanas aumenten su presupuesto para combatir los ciberataques de manera independiente, de acuerdo con el reporte Digital Trust Insights 2023, edición México de la consultora PWC, se espera que establezcan las sanciones correspondientes para reducir los altos índices de inseguridad digital, afirma la compañía de ciberseguridad e identidad digital IQSEC.

Ante este panorama, IQSEC propone seis puntos clave para delinear una Ley de Ciberseguridad que desaliente la actividad cibercriminal y a la vez dote a las personas y a las organizaciones de instrumentos para defenderse ante los ineludibles ciberataques:

1. Incluir, dentro de su alcance, los rubros de Ciberdefensa y Ciberresiliencia. La ciberdefensa se define como un subconjunto de acciones que, además de identificar, visibilizar, neutralizar y controlar las amenazas cibernéticas, buscan responder de manera inmediata y/o automatizada a los ataques. Esto con el objetivo de salvaguardar la seguridad de activos críticos de una organización o bien de una nación, para la protección de las personas, los datos y las operaciones sustantivas. A su vez, la ciberresiliencia debe entenderse como la capacidad de prepararse para superar un ciberataque y mantener la confianza de su entorno, evitando pérdidas económicas y reputacionales.
2. Delinear una Estrategia Nacional de Ciberseguridad que esté basada en las mejores prácticas reconocidas en la industria (desde el punto de vista de la identificación, la protección, la detección, la respuesta y la recuperación) así como establecer una postura proactiva ante cualquier ciberataque.
3. Establecer mecanismos de protección contra la usurpación de identidad, con instrumentos legales que castiguen y tipifiquen el uso de una identidad falsa o robada como delitos graves, así como también generar medidas de seguridad mediante lo siguiente:
   • a) Aquellas instituciones que prestan algún servicio que involucre operaciones con recursos financieros (efectivo y valores), bienes o cualquier parte patrimonial de un individuo deberán estar obligadas a hacer una validación y verificación real de la identidad de los sujetos que las realicen, llevando a cabo una comparación de los datos generales y biométricos del individuo contra los registrados ante el INE (Instituto Nacional Electoral) u otra autoridad oficial (como, por ejemplo, los pasaportes emitidos por la Secretaría de Relaciones Exteriores), a fin de que se tenga certeza razonable de que la persona sea quien dice ser y que el documento que presenta es auténtico.
   • b) Establecer sanciones contundentes y, sobre todo, facilitar a las víctimas la presentación de las denuncias correspondientes y los elementos para poder perseguir de manera eficaz a los probables responsables de la comisión del ciberdelito.
4. Adoptar marcos de trabajo de ciberseguridad conforme a las mejores prácticas para que las organizaciones públicas y/o privadas puedan demostrar que han estado implementando acciones proactivas para proteger tanto la identidad de los terceros como la información confidencial que poseen. Esto para que, en el caso de que sufran una vulneración, se asuma correctamente la responsabilidad tanto por acción como por omisión.
5. Establecer la obligatoriedad de poner salvaguardas a los datos confidenciales para que, en caso de que alguien los extraiga de manera no autorizada, estos estén cifrados, de tal forma que no puedan hacer uso de ellos.
6. Establecer programas de concientización en todos los niveles de la sociedad, con materias o programas de concientización en el uso correcto de las tecnologías desde la educación básica para lograr, de esta manera, robustecer el eslabón más débil de la cadena que es el usuario y así lograr que todos conozcan e identifiquen ataques como los de ingeniería social, phishing, ataques de denegación de servicio, entre otros similares.