¿Los estados necesitan una ley de ciberseguridad?

Un mundo digitalizado, con comunidades conectadas a la sociedad de la información a través de internet, exige sus propios instrumentos y estrategias de protección en red. Se trata de proteger la integridad de las personas y de sus derechos fundamentales, de proteger el trabajo y la información en poder de las instituciones públicas y de proteger también las infraestructuras críticas (los sistemas tecnologizados para el control y automatización de redes de energía, de distribución de agua, de medios de transporte).

Estas medidas de defensa forman parte de la llamada “ciberseguridad”, que sobre todo busca prevenir y, en dado caso, sancionar alteraciones malintencionadas, sabotajes, ataques y daños a los sistemas informáticos. Y no es una cosa exclusiva de los Estados nacionales o las empresas en la sociedad de la información (Google, Facebook, Uber o cualquier otra relacionada con el comercio electrónico, por mencionar a los sospechosos comunes). La ciberseguridad es competencia de cualquier instancia conectada a la red, desde las autoridades de los tres órdenes de gobierno (federal, estatal y municipal), las entidades de la iniciativa privada, las organizaciones civiles y los ciudadanos de a pie.

La ciberseguridad, resume Jonathan López Torres, autor de Ciberespacio & Ciberseguridad. Elementos esenciales (Tirant Lo Blanch, 2020), es una política pública que debe garantizar la seguridad informática de las instituciones gubernamentales, proteger la información en poder de las autoridades, asegurar la disponibilidad y la continuidad de los servicios y procesos públicos (como trámites para la obtención de licencias municipales o juicios jurídicos) y salvaguardar la confidencialidad, la integridad y la disponibilidad de la información.

A escala nacional, el Gobierno federal cuenta con una Estrategia Nacional de Ciberseguridad, una guía rectora con cuatro ejes: sociedad, seguridad nacional, economía y gobierno, pero que se encuentra en un limbo prácticamente desde que se presentó a la sociedad, en el último estirón de la Presidencia de Enrique Peña Nieto (13 de noviembre de 2017).

Desde el Congreso de la Unión se trabaja con distintas iniciativas para crear una ley de ciberseguridad, que implicaría la construcción de un andamiaje jurídico para una política pública de ciberseguridad.

¿Y qué pasa en los estados? Apenas el año pasado un Congreso estatal puso sobre la mesa de discusión legislativa una iniciativa de ley de ciberseguridad local: fue el Congreso de San Luis Potosí. Pocas semanas después lo hizo el Congreso de la Ciudad de México. Y en ambos casos, los diputados locales trabajan sobre una ley modelo construida por el propio López Torres, un maestro en Derecho de las Tecnologías de la Información y Comunicación por el Infotec. 

La ley modelo de ciberseguridad tiene bases sólidas: López Torres la fue construyendo mientras realizaba la investigación de Ciberespacio & Ciberseguridad, un volumen de 170 páginas que reúne 270 fuentes consultadas. A López Torres no se le escapó ninguna fuente relevante en México, ni académica ni jurídica ni jurisprudencial (sus publicaciones en la red social Twitter son una demostración de su obsesión por conocer todo sobre el tema).

Esta ley modelo contempla la creación de oficinas estatales de ciberseguridad, en coordinación con fiscalías especializadas, además de obligaciones y responsabilidades de los servidores públicos que deben ejecutarla y hacer valer su cumplimiento. Entre los aciertos de la propuesta están las definiciones de ciberdelitos, con sus respectivas sanciones físicas y monetarias, un catálogo disperso en distintos órdenes jurídicos y que aún provoca discusiones filosóficas. “Puedes tener una autoridad central que coordine esfuerzos, pero la ciberseguridad es demasiado amplia y compleja, por eso debes distribuir las responsabilidades en cada entidad de gobierno”, me dijo López Torres en entrevista telefónica.

Pero la urgencia de políticas públicas de ciberseguridad, con andamiaje legislativo, pasa por la percepción del riesgo. “Si tú crees que nunca te va a pasar y tú crees que una afectación cibernética nunca te va a afectar, entonces estás más vulnerable ante las amenazas”, dijo López Torres. Y en un mundo digitalizado hay tres tipos de organizaciones: las que ya han sido hackeadas, las que van a hackear y las que volverán a ser hackeadas.

Este artículo se publicó en El Economista el 24 de enero de 2021.

Comentarios