El costo global de los incidentes de ciberdelincuencia aumentó de $ 3 billones a principios de 2015 a un estimado de $ 6 billones en 2021.
A medida que el mundo se vuelve más interconectado mediante el uso de redes digitales más grandes y rápidas, la Organización de los Estados Americanos (OEA) busca mejorar las políticas hemisféricas que protegen a los gobiernos y la sociedad civil de los ataques cibernéticos.
Además, el ciberdelito cuesta $575 millones al año, o el 0,5% del PIB mundial, y en América Latina cuesta hasta $90 millones al año.
En este artículo analizaremos la legislación y la ley de ciberseguridad en México.
▶ Conozca la ciberseguridad en México
La ciberseguridad, la sustentabilidad y la resiliencia no solo son necesarias para proteger a México, sino también factores importantes en su desarrollo social y económico. Cuando el 10 % de la población de un país en desarrollo está conectado a Internet, el PIB del país crecerá entre un 1 % y un 2 %.
La ubicación económica y geoestratégica de México lo convierte en un objetivo atractivo para la actividad cibernética ilícita. Por un lado, disfruta de una considerable inversión extranjera directa y un fuerte crecimiento del PIB; por otro lado, sigue siendo relativamente vulnerable en términos de ciberseguridad y ciberseguridad.
México es el segundo país de Latinoamérica que más sufre ciberataques. Dado que el 57.4% de la población de México son usuarios de internet, cerrar la brecha en su entorno de ciberseguridad es una tarea importante.
Como usuarios y objetivos potenciales, los gobiernos, el sector privado y la sociedad civil deben poder seguir el ritmo de la constante innovación en el sector de la tecnología de la información (TI).
México ocupa el segundo lugar entre los países que envían spam a la web, después de Brasil.
Legislación
A continuación se muestra una lista de las principales regulaciones que promueven la ciberseguridad, incluidas las leyes aplicables al monitoreo, detección, prevención, mitigación y gestión de incidentes.
- Constitución mexicana;
- Ley de Telecomunicaciones y Radiodifusión (FTBL);
- Ley Federal de Protección de Datos Personales en poder de Particulares (Ley de Protección de Datos), sus reglamentos, recomendaciones, directrices y reglamentos similares sobre protección de datos;
- Norma Federal de Transparencia y Acceso a la Información Pública;
- Normas Generales como la Norma Oficial Mexicana con respecto a los requisitos que deben observarse al guardar mensajes de datos;
- Ley de instrumentos negociables y operaciones de crédito;
- Código Tributario Federal mexicano;
- Ley de Instituciones de Crédito;
- Circular Única para Bancos;
- Ley de Propiedad Industrial;
- Ley mexicana de derechos de autor;
- Código Penal Federal;
- Norma de seguridad nacional;
- Ley del Trabajo;
- Ley de la Policía Federal;
- Plan Nacional de Desarrollo 2013-2018;
- Estrategia Nacional de Ciberseguridad 2017;
- Programa Nacional de Seguridad Pública 2014-2018; y
- Programa Nacional de Seguridad 2014-2018.
Estrategia Nacional de Ciberseguridad
La Estrategia Nacional de Ciberseguridad de México fue desarrollada en cooperación con el Comité Interamericano contra el Terrorismo. La estrategia enfatiza el compromiso de México para combatir el delito cibernético y reconoce la importancia de las tecnologías de la información y la comunicación en el desarrollo político, social y económico de México.
La estrategia se basa en tres principios rectores: derechos humanos, gestión de riesgos y colaboración multidisciplinar.
El documento se basa en cinco objetivos estratégicos:
- Economía e innovación;
- Instituciones Públicas;
- Sociedad y derechos;
- Seguridad Pública; y
- Seguridad Nacional
Tras la implementación del documento, México se unió a otros seis países latinoamericanos para desarrollar una estrategia nacional de ciberseguridad.
Leyes relacionadas con el delito cibernético
No existe una definición de «delito cibernético» y «seguridad cibernética» en la legislación mexicana, y México aún no ha adoptado estándares internacionales aplicables al delito cibernético.
Las organizaciones no están obligadas a tomar medidas mínimas de ciberseguridad o informar incidentes a las autoridades, lo que dificulta mucho la recopilación de estadísticas sobre ciberataques.
México aún no ha promulgado una legislación específica sobre ciberseguridad, aunque el Código Penal Federal contiene disposiciones sobre delitos financieros, seguridad de la información y el uso de tecnología en otros delitos como terrorismo, secuestro y narcotráfico.
El 14 de abril de 2015, la Secretaría de Economía publicó en el Diario Oficial de la Federación Mexicana la implementación de dos normas oficiales mexicanas:
- NMX-I-27001-NYCE-2015 Tecnologías de la Información-Técnicas de Seguridad-Sistemas de Gestión de Seguridad de la Información -Requisitos, que reproduce las disposiciones establecidas en la ISO / IEC 27001: 2013 Tecnología de la información-Técnicas de seguridad-Sistemas de gestión de seguridad de la información-Requisitos;
- NMX-I-27002-NYCE-2015 Tecnologías de la Información-Técnicas de Seguridad-Código de Buenas Prácticas para el Control de la Seguridad de la información, que reproduce las disposiciones establecidas en la ISO / IEC 27002: 2013 Information Technology-Security Técnicas-Código de prácticas para los controles de seguridad de la información.
Estas Normas Oficiales Mexicanas son de obligado cumplimiento en México para todo tipo de organizaciones.
Código Penal Federal
El Código Penal mexicano regula y sanciona una variedad de actividades en línea, que incluyen:
Piratería
El Código Penal Federal establece que toda persona que, sin autorización, modifique, destruya o provoque la pérdida de información contenida en un sistema de cómputo o en un dispositivo protegido por un mecanismo de seguridad, será sancionada por las autoridades competentes con pena de prisión de seis meses. a dos años, así como una multa. Las multas pueden duplicarse si la información se utiliza para beneficio personal o de terceros.
Phishing
Aquí, el código penal federal no proporciona ninguna definición de phishing, sin embargo, este delito puede ser considerado fraude. Según el Código Penal Federal, el fraude ocurre cuando una persona engaña con información, explota un error o engaña a otra persona para obtener una ganancia financiera. En este caso, la autoridad competente impondrá una pena privativa de libertad no menor de tres días ni mayor de 12 años, y multa.
Infectar sistemas informáticos con malware, incluidos ransomware, spyware, gusanos, troyanos y virus.
El Código Penal Federal no establece ninguna definición de este delito. Sin embargo, este comportamiento es similar a un ataque de piratería. Las sanciones anteriores se aplican en este caso.
Poseer o utilizar hardware, software u otras herramientas para cometer delitos cibernéticos
En este caso, se determina que el delito penal es la piratería, como se describe anteriormente.
Robo de identidad o fraude de identidad
La Ley de Instituciones de Crédito establece que la persona que produzca, fabrique, reproduzca, reproduzca, imprima, venda, canjee o altere cualquier tarjeta de crédito, tarjeta de débito o cualquier otro instrumento de pago en general, incluidos los equipos electrónicos, emitidos por una institución de crédito no está obligado Con autorización del titular, la autoridad competente impondrá pena privativa de libertad no menor de tres años ni mayor de nueve años, y multa.
Robo electrónico
Por ejemplo, un abuso de confianza por parte de un empleado actual o anterior, o una infracción de derechos de autor. Se rige por las mismas disposiciones anteriores de la Ley de Instituciones de Crédito. Las sanciones anteriores podrán duplicarse si cualquier consultor, funcionario, empleado o prestador de servicios de cualquier institución de crédito comete un delito.
Adicionalmente, actividades como espionaje, conspiración, crimen mediático, interceptación de comunicaciones, corrupción, extorsión y lavado de dinero pueden ser consideradas amenazas a la seguridad, confidencialidad, integridad o disponibilidad de cualquier sistema, computación, infraestructura o comunicación.
El Código Penal Federal establece que quien, con o sin autorización, modifique, destruya o provoque la pérdida de información de los sistemas o equipos de cómputo de una institución de crédito protegidos por mecanismos de seguridad, incurre en prisión. De seis meses a cuatro años, más multas.
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares
La Ley fue promulgada el 27 de enero de 2017 para crear un marco legal para la protección de datos personales y municipios por parte de cualquier dependencia, entidad o agencia que opere a través de los poderes federal, estatal, ejecutivo, legislativo y judicial, partidos políticos y fondos fiduciarios y públicos que operan a nivel federal, estatal y municipal. Esta publicación en particular está destinada a abordar los problemas derivados de la protección de datos en el sector privado.
La ley exige a los controladores de datos la implementación de medidas de seguridad administrativas, físicas y técnicas para proteger los datos personales de pérdida, robo o uso no autorizado y deben notificar los datos de la persona de cualquier violación de seguridad. Estas medidas no serán inferiores a las utilizadas por los responsables del tratamiento para tratar su información.
Sectores más afectados
Existen riesgos específicos de la industria en ciertos sectores: finanzas, telecomunicaciones y atención médica, no solo del sector privado, sino también a nivel gubernamental.
El sector financiero está trabajando activamente con el Oficial del Fiscal General (PGR), que estableció una unidad específica dedicada a investigar el delito cibernético, en septiembre de 2017. Esta unidad también está trabajando activamente con el Banco de México para identificar y sancionar a todos los responsables del ataque cibernético contra varias instituciones financieras en el sistema de pagos electrónicos interbancarios del país.
Organismos
Las principales organizaciones con competencia en ciberseguridad en México son:
CERT-MX
El Equipo de Respuesta a Incidentes de Seguridad Informática del país, CERT-MX, es miembro del Foro Mundial de Equipos de Respuesta a Incidentes y Seguridad (FIRST) y sigue el Protocolo de Cooperación con Organizaciones fuera del gobierno.
CERT-MX está muy involucrado en la protección de la Infraestructura Crítica Nacional (ICN). Las partes interesadas colaboran para gestionar la seguridad de la infraestructura y compartir información sobre los activos y las vulnerabilidades del CIE.
En todas las dependencias gubernamentales se actualiza periódicamente la tecnología, se realizan respaldos y de conformidad con lo establecido en el Manual Administrativo para la Aplicación General de las Tecnologías de la Información y las Comunicaciones y la Seguridad de la Información. Información (MAAGTICSI), desarrollado en base a estándares internacionales como ISO 27001 y COBIT, entre otros. Por otro lado, los planes de contingencia digital están en marcha.
Policía Federal
La División Científica de la Policía Federal de México investiga los delitos cibernéticos nacionales. Trabaja en estrecha colaboración con CERT-MX y ha recibido capacitación de muchas organizaciones internacionales y sin fines de lucro.
Además, se ha encargado a los fiscales de México que investiguen y se ocupen de las actividades cibernéticas, y se ha establecido una policía cibernética para rastrear a los delincuentes o las actividades ilegales que tienen lugar en línea. Las quejas se pueden enviar a la Policía de Internet a través de su sitio web, teléfono, cuenta de Twitter o correo electrónico.
Informes recientes muestran un aumento en el phishing y amenazas constantemente avanzadas en el país, así como una disminución en los ataques DoS. A pesar de la amplia capacidad de investigación de las fuerzas del orden público, México continúa desarrollando una legislación integral sobre ciberdelincuencia, lo que dificulta la persecución de tales actos.
INAI
El INAI es la autoridad federal responsable de monitorear el cumplimiento de las leyes de protección de datos en México y está facultado para evaluar si el incidente que condujo a la filtración de datos fue causado por incumplimiento o negligencia. El INAI es responsable de:
- Garantizar a las personas el derecho de acceso a la información del gobierno público;
- Proteger los datos personales en posesión del gobierno federal y las personas; y
- Resolver denegaciones de acceso a la información que las dependencias o entidades del gobierno federal han formulado.
Medidas de ciberseguridad
De acuerdo con las leyes mexicanas (específicamente, la Ley de Privacidad de México), las organizaciones están obligadas a tomar medidas correctivas, preventivas e innovadoras para implementar las medidas de seguridad adecuadas para evitar comportamientos maliciosos.
Las organizaciones deben ser capaces de distinguir entre daño físico e inmaterial bajo la ley mexicana a través del análisis de riesgo. Los daños materiales prevalecerán sobre los daños no físicos y siempre dependerán de la actividad, alcance, contexto y tratamiento de los datos comprometidos en la incidencia.
- Sistemas de Control de Acceso para Plantas Industriales: Seguridad y Eficiencia en tu Operación
- Guía Completa para Desarrollar una Estrategia de Ciberseguridad Empresarial Efectiva
- Cómo la Videovigilancia con Drones de Seguridad Revoluciona la Protección y Supervisión
- Revolución en el Sector Petrolero: Cómo el Uso de Drones Está Transformando la Industria
- Guía Completa: Cómo Desarrollar una Estrategia Integral de Ciberseguridad Empresarial
Por lo tanto, identificar los riesgos específicos de la industria para daños tangibles e intangibles es fundamental para cualquier empresa que enfrente un incidente de ciberseguridad. Ciertos sectores, como el de la salud y la banca, deberían permitir que las empresas regulen libremente sus políticas internas.
Estas son algunas de las medidas de seguridad que las empresas deben tomar:
- Llevar a cabo un mapeo de datos para identificar los datos personales que están sujetos a procesamiento y los procedimientos que involucran el procesamiento;
- Establecer las publicaciones y funciones de esos oficiales involucrados en el procesamiento de información;
- Identificar riesgos y llevar a cabo una evaluación de riesgos;
- Implementar medidas de seguridad;
- Llevar a cabo un análisis de brechas para verificar aquellas medidas de seguridad para las cuales la implementación aún está pendiente;
- Desarrollar un plan para implementar aquellas medidas de seguridad que aún están pendientes;
- Implementar auditorías;
- Realizar capacitación para los oficiales involucrados en el procesamiento;
- Tener un registro de los medios utilizados para almacenar la información; y
- Establecer un procedimiento para anticipar y mitigar los riesgos derivados de la implementación de nuevos productos, servicios, tecnologías y planes comerciales al procesar información.
Sector financiero
El Estudio de Ciberseguridad incluye recomendaciones sobre la ciberseguridad del sistema financiero de México, entre ellas:
- Preparación y gobierno: tener un organismo responsable u organismo de gobierno corporativo para dirigir la seguridad de la información y la prevención del fraude utilizando medios digitales;
- Detección y análisis de eventos de seguridad digital: priorizando el desarrollo de capacidades utilizando tecnologías digitales emergentes, como Big Data, inteligencia artificial y tecnologías relacionadas;
- Gestión, respuesta, recuperación y notificación de incidentes de seguridad digital: investigar el origen de un incidente y garantizar el diseño e implementación de políticas o procesos para su contención, respuesta y recuperación;
- Capacitación y sensibilización: proporcionar planes de capacitación y llevar a cabo campañas de prevención; y
- Autoridades del sistema financiero y organismos reguladores: emisión de directrices, recomendaciones e instrucciones sobre mejores prácticas de seguridad digital y verificación de la provisión de mecanismos de presentación de informes.
¿Qué opina sobre la ley de ciberseguridad en México?
Excelente artículo nos ilustra sobre los riesgos de uso de TI, que normas o leyes nos protegen y a quien acudir en caso de ser afectado por estas modalidades de delitos informáticos