Ciberseguridad, cibercensura o ciberespionaje ¿un dilema?
Para llegar a una versión final de una Estrategia Nacional de Ciberseguridad (ENCS) aún falta camino por recorrer. Las observaciones de los expertos y de la sociedad civil apuntan a la ausencia de definiciones claras de los términos empleados en el primer documento de trabajo de la ENCS, o la falta de un enfoque centrado en la seguridad de los ciudadanos.
Pero la desconfianza que existe entre la sociedad civil y el gobierno ha quedado en evidencia durante el proceso del diseño de la ENCS. La ruptura entre ambos actores se atizó por la falta del esclarecimiento de los casos de espionaje electrónico en contra de activistas, periodistas, académicos e investigadores, realizado con herramientas de uso exclusivo del gobierno.
“Mientras este gobierno no demuestre con los hechos una intención real de construir confianza, para nosotros no tiene legitimidad esta Estrategia Nacional de Ciberseguridad”, dijo Luis Fernando García, director general de la Red en Defensa de los Derechos Digitales (R3D). Esta fue una de las advertencias vertidas en el Foro “Hacia una Estrategia Nacional de Ciberseguridad: Perspectivas de Derechos Humanos y Colaboración entre las Múltiples Partes Interesadas”, organizado por la Organización de los Estados Americanos (OEA) y la Presidencia de la República.
El argumento recae en la negativa de las autoridades para permitir que un organismo internacional independiente realice las investigaciones sobre el uso del software Pegasus, desarrollado por la firma israelí NSO Group, para la vigilancia de más de una veintena de blancos de la sociedad civil. La ausencia de controles y transparencia en los contratos celebrados por el gobierno para la adquisición de estas herramientas también abonan a la desconfianza social.
“La contradicción es evidente entre un gobierno que pretende hacer una ENCS cuando ha sido revelado que ha espiado a defensores de derechos humanos, a periodistas e incluso a personas que vienen bajo el auspicio de la OEA. Me parece que es una contradicción que no podemos eludir. La confianza es necesaria para la construcción de una herramienta bajo un concepto multistakeholder, esa confianza está perdida a pulso. Si el gobierno quiere recuperarla, tiene que tomar muchas medidas”, señaló.
La creación de una política pública en ciberseguridad no es tarea sencilla, pero sin muestras claras del gobierno para esclarecer aquellas situaciones que han quebrantado la confianza de la sociedad civil, el camino hacia la ENCS se complica aún más.
“¿Qué hacemos en una relación de confianza cuando es el Estado quien está cometiendo estos delitos digitales? El artículo 177 del Código Penal Federal señala: A quien intervenga comunicaciones privadas sin mandato de autoridad judicial competente, se le aplicarán sanciones de seis a doce años de prisión y de 300 a 600 días multa. Entonces, ¿de qué forma y bajo estas definiciones construimos una confianza para poder trabajar con un modelo multisectorial? Porque de otra forma me parece que tiene poco sentido”, abundó Gisela Pérez de Acha, analista de Políticas Públicas en la organización Derechos Digitales.
Pero la abogada y activista no sólo apunta a una desconfianza hacia el gobierno. Tras la promulgación de la reforma a la Ley de Telecomunicaciones y la publicación de los Lineamientos de Colaboración en Materia de Seguridad y Justicia en 2015, Pérez de Acha señala una brecha en la confianza de la sociedad con la industria, otro actor que participa en el diseño de la ENCS. La razón: se abrió la puerta al espionaje masivo.
“Hasta qué punto podemos confiar en las empresas que le dan información al Estado, en el marco de la Ley Telecom, pasada por el Legislativo, que retienen todos los metadatos de todos los habitantes mexicanos por dos años, por si las dudas. Esto es espionaje masivo, pero además no es proporcional. ¿Cómo se construye el tema de la confianza? Cómo empezamos a dialogar y cómo como sociedad civil establecemos mecanismos de rendición de cuentas entre la información que se tiene que compartir porque ahora son los actores privados los que tienen el control de esta información”, abundó.
Las (in)definiciones
Pérez de Acha señaló inconsistencias en los planteamientos básicos del documento de trabajo de la ENCS, empezando por la definición de “ciberseguridad”, que ella propone cambiar a “seguridad digital”. La experta de la organización latinoamericana señaló que en el documento de trabajo se define como: El conjunto de políticas, controles y procedimientos y normas del Estado para proteger y asegurar sus activos en el uso del ciberespacio que conlleva a proteger a la sociedad, gobierno, economía y seguridad nacional en el marco de un desarrollo sostenible.
“Con ciberespacio se refiere sólo a Internet ¿Y dónde están las demás TICs y todo lo demás que tiene que ver con el espacio digital? (…) La sociedad está en un segundo plano. La definición de seguridad digital hoy, en su propuesta, tiene como centro el Estado. Preocupa que se defina la ciberseguridad de esta forma porque en un Estado que tiende, por la Ley de Seguridad Interior, a darle más facultades de espionaje al Ejército, entonces todo empieza a volcarse a ‘necesitamos proteger al Estado’ cuando, como dicen en el Norte, ponen a los bueyes detrás de la carreta”, dijo.
Bajo su perspectiva, sería más adecuado adoptar la definición de la Coalición por la Libertad en Línea (FOC, por su sigla en inglés), organismo del cual México es miembro: “la seguridad digital es la preservación mediante políticas públicas, tecnología y educación de la disponibilidad confidencialidad, integridad de la información y su infraestructura subyacente para mejorar la seguridad de las personas tanto en línea como fuera de ella”.
Fátima Cambronero, de Internet Society Capítulo México, coincidió en la falta de una definición clara sobre ciberseguridad, pero esta no es la única que genera incertidumbre pues otras definiciones como seguridad nacional, infraestructura crítica o infraestructuras esenciales de la información.
“A mí me gustaría proponer otro concepto más amplio que es la infraestructura estratégica que trae la Ley de Protección Civil, que la define como aquélla que es indispensable para la provisión de bienes y servicios públicos, y cuya destrucción o inhabilitación es una amenaza en contra de la seguridad nacional y ocasionaría una afectación a la población, sus bienes o entorno”, dijo.
Los expertos reconocen que la claridad en los conceptos, dentro de la ENCS, son fundamentales para delinear las acciones y los alcances que hagan efectiva esta política pública, que tiene como su primer principio rector la perspectiva de derechos humanos. También consideraron necesario que tenga un carácter obligatorio para todos los órdenes de gobierno del local, estatal y federal.
“Si todas las autoridades deben proteger los derechos humanos, esta Estrategia debe extenderse a todas las autoridades y no considero que sólo debe ser obligatoria para la Administración Pública Federal. No sólo debe atender a un sector sino debe ser transversal y debe existir una homologación de los conceptos: qué entendemos por ciberseguridad o qué entendemos por seguridad de la información, qué vamos a entender por infraestructuras críticas y qué vamos a entender, para efectos de esta ENCS, la seguridad nacional, en aras de que no lleguen a violentarse los derechos humanos”, señaló Anahiby Becerril, de la Academia Multidisciplinaria de Derecho y Tecnologías de la Información y Comunicaciones (AMDETIC).
Cifrado y sin afectación de principios arquitectónicos
Cambronero, de Internet Society Capítulo México, hizo un llamado a que, a nivel técnico, esta ENCS establezca que el cifrado de la información sea la regla para el tránsito y tráfico de la información, así como para el almacenamiento de la misma.
“Todos como usuarios tenemos derecho a que la información se mantenga de esta manera, cifradas, anónimas, que no sean conocidas por los demás”, dijo.
En su intervención, la experta insistió en que la ENCS no debe debilitar la seguridad de las comunicaciones bajo el argumento de la seguridad nacional. Y es que en algunas jurisdicciones como la británica o rusa ha propuesto el debilitamiento de las tecnologías de cifrado en las comunicaciones; o incluso Turquía ha criminalizado su uso por sospechar que las plataformas de comunicaciones encriptadas son utilizadas por terroristas.
La representante de Internet Society también hizo un llamado a sumar actores de la comunidad técnica y expertos pues hizo un llamado a que en el diseño de la ENCS “no afectemos los principios arquitectónicos o de diseño de internet, como son punta a punta, interoperabilidad, global”.
Alejandro Pisanty, académico de la Universidad Nacional Autónoma de México (UNAM), se sumó a esta observación al explicar que estos principios permiten el funcionamiento de Internet y sea un habilitador de los derechos humanos.
“Es muy importante reconocer los principios fundamentales de diseño de Internet como valores a la par de nuestros propios valores sociales, los principios de interoperabilidad, de apertura de punta a punta, robustez, estos principios deben ser preservados porque es la única manera que Internet siga siendo Internet global e interoperable”, señaló.
En el Foro celebrado el martes, los representantes de la industria aprovecharon para retomar sus propuestas realizadas anteriormente.
Mario de la Cruz, presidente de la Cámara Nacional de la Industria Electrónica, de Telecomunicaciones y Tecnologías de Información (Canieti), llevó a la mesa su propuesta de crear una Agencia de Ciberseguridad; mientras que Pablo Corona, de la Asociación Internet.mx resaltó la necesidad de fortalecer las capacidades de investigación y respuesta a incidentes cibernéticos.
Pero uno de los desafíos más importantes será superar el tema de la confianza. El gerente del Programa de Seguridad Cibernética de la Secretaría del Comité Interamericano contra el Terrorismo, de la OEA, Belisario Contreras, hizo un llamado entre los múltiples actores involucrados en el desarrollo de la ENCS para que se realicen acciones concretas a fin de recobrar la confianza.
“La palabra confianza es un proceso que requiere acciones, pero lo más importante es que ese documento salga lo mejor posible. No va a ser perfecto, pero ojalá su implementación sea lo más perfecta y fina posible”, sugirió.
(Con información de El Financiero)