El pasado 13 de febrero las juntas directivas de las comisiones unidas de Seguridad Ciudadana y de Ciencia, Tecnología e Innovación aprobaron el acuerdo para establecer la metodología que se aplicará para el proceso de dictaminación de la iniciativa por la que se expide la Ley Federal de Ciberseguridad. Con una declaración en San Lázaro, que tres días después se materializó en el Senado, y un calendario altamente apretado, indicaron que era su interés expedir a la brevedad esta iniciativa.
Para los expertos en el tema, la cuestión es preocupante desde dos perspectivas. La primera es que el trabajo legislativo en materia de ciberseguridad no ha sido una prioridad de la agenda de gobierno desde el inicio de la administración del presidente López Obrador.
Esto se refleja en el hecho de que hasta el día de hoy se han presentado un total de 19 iniciativas legislativas en la materia; sin embargo, desde los ataques a instituciones de gobierno, como la Secretaría de Economía (SE), la Lotería Nacional, la Secretaría de Infraestructura, Comunicaciones y Transportes (SICT) o casos representativos como el ataque de ransomware a Petróleos Mexicanos (Pemex) o la extracción de 6 TB de información a la Secretaría de la Defensa Nacional (Sedena) por parte del grupo hacktivista Guacamaya, ninguno de estos eventos hicieron reflexionar al Presidente sobre la importancia de este tema en la gestión de su gobierno.
Del mismo modo, es importante destacar que, al hacer una revisión de las iniciativas, en su totalidad, las 19 propuestas poseen un enfoque Estado-céntrico, focalizado en la seguridad pública y la seguridad nacional. Esto se aprecia desde las reformas al Código Penal Federal, promovidas por la senadora Alejandra Lagunes Soto Ruiz en 2018, hasta la iniciativa con proyecto de decreto para expedir la Ley Federal de Ciberseguridad presentada por el diputado Javier Joaquín López Casarín. En estos proyectos se observa que, en general, los legisladores no entienden el enfoque holístico que debe tener una legislación de estas características.
En segunda instancia, resulta preocupante la intención de expedir esta ley al vapor, con una premura poco inusitada que muy probablemente lleve al mal puerto y pueda materializarse en una ley que, como en múltiples ocasiones, esté decretada en el papel, pero sin ser capaz de operar en los hechos y ser de beneficio para construir una política y un marco legal en materia de ciberseguridad. A continuación, desde un análisis aún en desarrollo, presentamos algunos puntos importantes a considerar en torno a la creación de una ley federal en materia de ciberseguridad.
¿Cómo ha sido el trabajo legislativo en materia de ciberseguridad de 2018 a 2024?
En aras de realizar un estudio académico que tenga como fin analizar las iniciativas legislativas en materia de ciberseguridad, desde 2018, hasta el día de hoy me dediqué a detectar las iniciativas en este rubro presentadas tanto en el Senado, como en la Cámara de Diputados. En el ejercicio de identificación de las iniciativas por partido político, se encontró que el que presentó más propuestas fue Movimiento de Regeneración Nacional (Morena), con nueve, un dato bastante engañoso respecto a la cohesión política que puede existir entre los legisladores de Morena y las prioridades en política del Presidente, que parecen ir en rutas divergentes.
En segunda posición se encontró el Partido Verde Ecologista de México (PVEM), con seis. Por último, partidos como Movimiento Ciudadano (MC), el Partido de la Revolución Democrática (PRD) y el Partido Acción Nacional (PAN) tenían una. Del mismo modo, es importante destacar que no todas las iniciativas se refieren a la creación de una “ley de ciberseguridad”. Debemos tener un poco más de conocimiento de causa que dentro de la labor legislativa se pueden expedir iniciativas de ley, reformas de ley, reglamento o a la Constitución, adición a artículos y proposiciones (propuestas con punto de acuerdo en el que se solicita algo en un asunto específico en materia legislativa).
Del total de las 19 iniciativas, solo cuatro estaban relacionadas con la creación de una ley específica en materia de ciberseguridad, las cuales corresponden a las propuestas de los senadores Lucía Trasviña y Miguel Ángel Mancera, y de los diputados Javier López Casarín y Juanita Guerra Mena.
¿Por qué decimos que son Estado-centristas las iniciativas de ley en materia de ciberseguridad?
En 2018, Ronald J. Deibert, profesor de Ciencias Políticas y director del Laboratorio Ciudadano de la Universidad de Toronto, escribió uno de los artículos más innovadores en la creación de una legislación en materia de ciberseguridad con los que me he topado, titulado “Toward a Human-Centric Approach to Cybersecurity”. El autor abría el paradigma en la materia al indicar que las leyes de ciberseguridad deben tener una visión holística, no solo centradas en el Estado/gobierno, sino que deben considerar a todos los sectores de la sociedad.
En los hechos, el artículo era una respuesta a otro artículo académico de 2016 de autoría de Scott Shackelford y Andraz Kastelic, que desde la Harvard Kennedy School presentó una propuesta de creación de leyes en materia de ciberseguridad, completamente focalizado en el Estado-nación, que tiene por título “Toward a State-Centric Cyber Peace. Analyzing the Role of National Cybersecurity Strategies in Enhancing Global Cybersecurity”.
En ese sentido, Deibert indicó que la creación de marcos legales o leyes en materia de ciberseguridad debían contemplar temas irreductibles como los derechos humanos, las asociaciones público-privadas, la cooperación regional e internacional en materia de ciberseguridad y el avance de las tecnologías emergentes, por enunciar algunos rubros. Esto como consecuencia que desde escándalos como Cambridge Analytica, o el cada vez mayor peso que tienen las big tech en los diferentes marcos jurídicos nacionales, así como el cada vez mayor impacto de las amenazas cibernéticas, hacían a la ciberseguridad un tema que no podía ser manejado y resuelto solo por autoridades gubernamentales.
En pocas palabras, el enfoque de Deibert promueve la visión de los stakeholders o “partes interesadas” en español, en los que se debe hacer parte a todos los sectores de la sociedad que deben formar parte de la construcción de una política nacional de ciberseguridad. Esta perspectiva se empató mucho con algunos hallazgos de un artículo académico que escribí en 2020, que lleva por título “La brecha de ciberseguridad en América Latina frente al contexto global de ciberamenazas”, publicado en la Revista de Estudios en Seguridad Internacional (RESI) de la Universidad de Nuevo Granada. Ahí expresé que es necesario entender la visión civil, gubernamental, de defensa, del sector privado y de la ciudadanía en materia de ciberseguridad.
Sin embargo, ninguna de las iniciativas de ley contempla este diálogo e interacción de partes interesadas en el marco de la creación de una ley de ciberseguridad.
¿Quiénes son las partes interesadas y es viable la creación de la Agencia Nacional de Ciberseguridad?
Un aspecto que destaca en la iniciativa de Ley Federal de Ciberseguridad es que en su apartado en el que propone la creación de la Agencia Nacional de Ciberseguridad (AGN), esta institución no incluye actores claves en el marco de la gestión de una política nacional de ciberseguridad, como pueden ser el Instituto Federal de Telecomunicaciones (IFT), el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), el Instituto Nacional Electoral (INE) o la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef), organismos descentralizados y autónomos que también deben ser sumados a la construcción de una política nacional de ciberseguridad en México.
En contraposición, solo instituciones del poder ejecutivo, como la Sedena, la SICT, la Guardia Nacional, la Semar o la Secretaría de Hacienda y Crédito Público (SHCP) son contemplados. Podríamos aventurarnos a decir que el disgusto y pretensión de desaparecer a los organismos autónomos, por parte del Presidente, pudo haber permeado al momento de la creación de la iniciativa y por esto no son considerados, pero ¿qué pasa con los representantes del sector privado, con las organizaciones de la sociedad civil y los defensores de derechos humanos? Porque no incluir en la ecuación actores como Coparmex o el Consejo Coordinador Empresarial (CCE) o a ONG y medios periodísticos como la Red 3.0 por los Derechos Digitales o la organización Artículo 19. Sectores sociales que han sido evadidos o completamente ignorados en la creación de una ley en la materia.
Del mismo modo, debemos de recordar que el cierre de sexenio no es un buen momento histórico para la promoción de nuevos marcos legislativos o creación de nuevas instituciones políticas. Porque a pesar de que existe una fuerte oportunidad de que el partido gobernante repita al frente de la Presidencia, hay un alto riesgo de los acuerdos realizados en los días finales de este sexenio, y de sus legislaturas, no sean respetados en el nuevo gobierno.
Rescatemos la experiencia de la creación de la Estrategia Nacional de Ciberseguridad de 2017, la cuál se creó en los meses finales del gobierno de Enrique Peña Nieto, y a pesar de que fue elaborada en un marco de colaboración con la Organización de los Estados Americanos (OEA), jamás se publicó en el Diario Oficial de la Federación (DOF), con lo cuál nunca operó en el marco político nacional.
Por otra parte, ¿la creación de la Agencia Nacional de Ciberseguridad cambiará en realidad la atomización de las tareas de ciberseguridad que ya desempeñan algunas instituciones en México? No debemos olvidar que desde sus trincheras la Sedena, Semar, Guardia Nacional, SICT y un largo etcétera de otros actores ya realizan labores de ciberseguridad; sin embargo, más que la inacción, lo que destaca es la descoordinación. Y no estamos del todo seguros que la AGN transformé esta descoordinación.
No debemos olvidar documentos que se publicaron en el Diario Oficial de la Federación que intentaron dar pasos para resolver el problema de la descoordinación durante el sexenio, pero que no lo han solucionado de forma sustantiva, los cuales son el “acuerdo por el que se expide la Estrategia Digital Nacional 2021-2024”, del 7 de septiembre de 2021, y el “decreto por el que se crea la Comisión Intersecretarial de Tecnologías de la Información y Comunicación, y de la Seguridad de la Información”, del 10 de enero de 2023. ¿Cambiará esta situación la AGN a pocos meses de la transición de gobierno?
Frente a este panorama, existe el riesgo de que la legislación se apruebe, pero no opere en los hechos. En este caso, el error sería más garrafal que el de la creación de la Estrategia Nacional de 2017, a razón de que se derogarían los artículos 211 bis 1, 211 bis 2, 211 bis 3, 211 bis 4, 211 bis 5, 211 bis 6 y 211 bis 7 del Código Penal Federal, con lo cual a razón de la aprobación de la ley el marco jurídico nacional en materia de combate a los delitos cibernéticos quedaría deshabilitado, dejando en riesgo a la sociedad y la judicialización de estos actos ilícitos.
Para el constitucionalista que desee dar un contrargumento, al indicar que al expedir una ley debe operar en el marco jurídico y político nacional, podemos citar que este argumento también puede convertirse en una falacia. Y no olvidemos la aprobación en el Senado de la creación del Padrón Nacional de Usuarios de Telefonía Móvil (Panaut) el 13 de abril de 2021, que adjudicó al IFT la responsabilidad de dicho proyecto y que pronto fue desechado por una acción de inconstitucionalidad por la Suprema Corte de Justicia de la Nación, por la incapacidad (en términos de recursos y responsabilidades) de echarlo a andar.
Sean esto unos puntos para abonar más al debate; sin embargo, invitemos a la sociedad a discutir ampliamente el tema. Y también, como indicaron ALAI, Amiti, Canieti, ICC, Anatel y Asiet, el pasado 23 de febrero, a exhortar a nuestros diputados a abordar una ley de ciberseguridad de manera responsable y desde la inclusión.
