México, enredado con la ciberseguridad

MÉXICO, D.F., (apro).- A pesar de ser un fuerte usuario de internet, México está rezagado en seguridad cibernética. Tal atraso deja vulnerable la información de los usuarios, datos gubernamentales y de empresas, así como infraestructura crítica del país, como el tendido eléctrico y de hidrocarburos.

“Los Estados miembros deben mejorar cada vez más su capacidad para prevenir, mitigar, responder, investigar y procesar de manera efectiva las conductas criminales. No estar preparados deja a las sociedades extremadamente vulnerables”, dijo Aníbal Quiñónez, embajador de la Organización de Estados Americanos (OEA) en México durante la Semana Nacional de la Ciberseguridad, que inició el lunes 26 y concluyó el viernes 30.

Ese espacio constó de foros y talleres, algunos de los cuales fueron de acceso restringido a pesar de su trascendencia pública, como los escenificados en la sede de la Comisión Nacional de Seguridad (CNS), organizadora de las actividades.

El país tiene casi 54 millones de cibernautas, 43% de la población. Para 2018, 98% de la población estará interconectada.

La División Cibernética de la Policía Federal (PF) reporta que desde 2012 se han duplicado los incidentes informáticos, entre los cuales el acceso no autorizado aumentó 260%, las infecciones de programas maliciosos o malware crecieron 323% y la suplantación de identidad o phishing subió 400%.

Los incidentes denunciados ante la PF, que no incluyen aquellos que involucraron a particulares, afectaronen 31% de los casos a instituciones gubernamentales, en 26%a instancias privadas, en 39% a organizaciones académicas y en 4% a otros entes.

En 2015 se han registrado casi 81 mil incidentes informáticos, de los cuales 57% está ligado al uso de malware y 14% al fraude cibernético, según estadísticas de la CNS.

La OEA indica que las naciones más afectadas por los delitos informáticos son Brasil, México y Colombia. En la región, el costo de esos fenómenos supera los 100 mil millones de dólares, de los cuales la manufactura, la construcción, los servicios y las finanzas son los más perjudicados.

El Índice mundial de ciberseguridad y perfiles de ciberbienestar, elaborado en abril pasado por la consultora estadunidense ABI Research y la Unión Internacional de las Telecomunicaciones (UIT), exhibe las debilidades de la ciberseguridad mexicana: señala que se carece de un marco de ciberseguridad para la certificación y acreditación de agencias nacionales y profesionales en el sector público y de un mapa de ruta nacional de gobernanza para el tema.

El documento, basado en encuestas a autoridades nacionales sobre el rubro, indica que tampoco existen estándares de desempeño o de referencia nacionales para medir el desarrollo de la ciberseguridad ni proyectos o programas para la investigación y desarrollo de estándares, buenas prácticas o lineamientos en el terreno.

“México carece de la cifra exacta de profesionales del sector público certificados bajo programas reconocidos internacionalmente en ciberseguridad” y de oficinas del sector público certificadas bajo estándares reconocidos internacionalmente, señala el reporte.

Además, la UIT no ha evaluado a la Coordinación para la Prevención de Delitos Electrónicos (CERT-MX), institución responsable del combate a esas actividades ilícitas.

El Índice mide la aplicación de disposiciones jurídicas, técnicas, organizativas, así como la creación de capacidades y la cooperación.

En promedio, México recibió 0.32 sobre 1. Su mejor calificación se refirió a medidas técnicas (0.5), y su peor (0.13) en medidas organizativas.

Debates secretos

Un vistazo al programa de actividades desarrolladas en el auditorio de la CNS, a las cuales sólo accedieron delegados gubernamentales, algunos académicos, representantes corporativos y de asociaciones empresariales –otros sectores de la sociedad civil fueron excluidos-, enseña los vínculos crecientes entre esos sectores y las prioridades del gobierno.

La agenda del “Taller especializado en ciberseguridad”, obtenida por Apro, incluyó para el martes 28 un panel sobre la evolución de las políticas, procedimientos, y directrices legales relacionadas a la ciberseguridad en México y en el cual participaron representantes de la Procuraduría General de la República (PGR), de la PF, de la Secretaría de la Defensa Nacional (Sedena), de la Policía Cibernética del DF y de la Cámara de Diputados.

Otra mesa trató el tema de la “Estructura y avance de los esfuerzos de las fuerzas armadas en materia de ciberseguridad, con énfasis en los delitos que afectan a sectores vulnerables del país”. Participaron en ésta integrantes de la Secretaría de Marina, Sedena, PGR, el Centro de Investigación y Seguridad Nacional y la Policía Cibernética del Estado de Jalisco.

La jornada cerró con exposiciones sobre la “Evolución de la Agenda Digital, desarrollo del comercio electrónico y su impacto en la ciberseguridad”, con delegados de la Coordinación de Agenda Digital de la Presidencia, de las asociaciones de Bancos de México y Mexicana de Internet, así como de Google y de la PF.

El día siguiente arrancó con debates sobre ciberseguridad y mecanismos de protección de infraestructura crítica en el país, entre representantes de Petróleos Mexicanos, Comisión Federal de Electricidad, Agencia Espacial Mexicana, Comisión Nacional del Agua y la PF.

Las sesiones también abordaron asuntos como capacidades institucionales, desarrollo y fortalecimiento de capacidades técnicas.

El jueves 29, último día del taller, se centró en el estudio de la coordinación entre las instituciones públicas, privadas, académicas y civiles y aspectos legales y relaciones internacionales.

Esfuerzos insuficientes

El CERT de la PF interactúa con homólogos de otros países y colectivos internacionales que lucha contra los delitos informáticos, según constató Apro.

Pero esas operaciones están celosamente protegidas.

El gobierno intercambia información con organismos similares de Estados Unidos, Brasil, Rusia y España, cuyo servicio de seguridad es RedIRIS o IRIS-CERT que detecta y previene problemas que afecten a la seguridad de sus redes de centros.

Además, el país pertenece al Grupo de Trabajo Anti-Phishing, fundado en 2003 y que reúne a más de dos mil empresas afectadas por esa práctica, compañías de productos y servicios de seguridad, agencias gubernamentales, asociaciones comerciales, organizaciones multilaterales y corporaciones de telecomunicaciones.

Asimismo, forma parte del Proyecto Sombra, formado por profesionales voluntarios que reúnen, monitorean y reportan malwares, redes de robots informáticos que distribuyen códigos maliciosos y fraude electrónico.

El 15 de septiembre último, la firma de seguridad FireEye difundió información sobre enrutadores de segmentos de red marca Cisco potencialmente contaminados por el malware SYNful Knock. De inmediato, el proyecto y Cisco rastrearon internet para detectar los dispositivos afectados y así contar con aviso más preciso de los usuarios finales perjudicados.

Ese examen detectó 163 direcciones de protocolos de internet únicas, de las cuales Estados Unidos hospedaba 65, seguido por India con 12 y Rusia con 11. Uno de los sitios estaba ubicado en México.

El CERT está asociado al Proyecto Honeynet, una organización no lucrativa fundada en 1999 y que se dedica a investigar ataques informáticos y a elaborar herramientas de código abierto para mejorar la seguridad. Esa plataforma tiene al menos un miembro en México.

Finalmente, pertenece a ZeuS Tracker, que monitorea servidores de comando y control del malware ZeuS para ofrecer listas de bloqueos de dominios y direcciones de internet para impedir contaminaciones.

Esa infección, conocida también como Zbot y WSNPoem, roba datos de redes sociales, cuentas bancarias en línea y de correos electrónicos. Su último recuento del 26 de octubre fue de 723 servidores, de los cuales 254 estaban en línea, incluyendo dos en California desde los cuales se podría atacar dispositivos en México.

Del C-4 al NIT

La Semana Nacional de Ciberseguridad cerró con la firma de un convenio entre las 32 entidades federativas para generar acciones combinadas en prevención y combate a delitos y generar estadísticas.

La base tecnológica de esa colaboración es la infraestructura de Plataforma México, establecida en 2007 durante el gobierno de Felipe Calderón.

La plataforma, concebida como la interconexión y correlación de todas las redes de las dependencias de la seguridad pública nacional, migra del modelo de cómputo, comunicaciones, control y comando (C4) a un esquema de nodos de interconexión de telecomunicaciones (NIT), sostenidos por la Red Nacional de Telecomunicaciones contratada con Teléfonos de México, según una presentación consultada por Apro.

La red opera unos 5 mil NIT en todo el país, con bases de datos que contienen más de 300 millones de entradas ligadas a la seguridad pública.

El sistema puede sostener hasta 12 mil conexiones simultáneas y 40 millones de transmisiones encriptadas, con infraestructura tecnológica de equipamiento, red de voz, datos e imágenes.

Entre las amenazas identificadas en el Programa para la Seguridad Nacional 2014-2018, publicado el 30 de abril de 2014 en el Diario Oficial de la Federación figura la ciberseguridad.

“La existencia de una acotada cultura de seguridad de la información es quizás la principal vulnerabilidad del país actualmente”, por lo que es necesario que el gobierno desarrolle una política de Estado en materia de ciberseguridad y ciberdefensa, “para garantizar así la defensa de los intereses económicos, políticos y militares de México en el ciberespacio”, cita el documento.

El propósito central de la estrategia, dice, debe ser el fortalecimiento de la ciberseguridad y la ciberdefensa.

Una de las estrategias del plan nacional es desarrollar una política de Estado en seguridad cibernética y ciberdefensa, la cual aún no ha sido delineada. Uno de sus aspectos más relevantes es el de impulsar proyectos normativos que regulen esquemas de seguridad de la información homólogos en todos los sectores del país, para prevenir y enfrentar ataques cibernéticos.

En respuesta a los planteamientos del plan nacional, el senador priista Omar Fayad presentó el jueves 22 la iniciativa de Ley Federal para Prevenir y Sancionar Delitos Informáticos, elaborada en conjunto con la PF y ampliamente criticada por organizaciones de la sociedad civil.

El proyecto penaliza casi todas las interacciones con equipos informáticos, promueve la vigilancia de la ciberautopista, obliga a que los operadores de internet denuncien ciberactividades y agudiza la persecución contra informantes al estilo Edward Snowden.

“Contiene un lenguaje exagerado. La caracterización de terroristas cibernéticos está un poco forzado. Además, manda un mensaje hacia la gente de gobierno que por razones éticas considere importante filtrar una información”, analiza en entrevista con Apro Jesús Robles Maloof, activista de la organización Enjambre Digital, para.

A petición de Apro, la Red en Defensa de los Derechos Digitales (R3D) analizó la iniciativa y la cuestiona. Así, critica el concepto “terrorismo informático” para sancionar “el uso de tecnologías de la información, comunicación e Internet con fines terroristas”, dentro de los cuales se señala “la difusión de información con el objetivo de causar pánico y desestabilización de la paz pública”.

Además, la iniciativa define “código malicioso” como cualquier “programa o código de sistema informático creado específicamente para dañar, interrumpir o afectar un sistema informático, así como obtener información o realizar ciberespionaje”, lo cual afecta a desarrolladores de software e investigadores de seguridad cibernética.

R3D señala que la parte correspondiente a los “delitos contra la divulgación indebida de información de carácter personal” lesiona el derecho a la libertad de expresión, pues impide a cualquier persona o medio de comunicación divulgar datos de interés público que sean “privados”, que no tengan “autorización” o “consentimiento de su dueño”.

El proyecto de Fayad duplica las penas para los informantes gubernamentales y estipula condenas entre uno y 55 años de cárcel por los delitos informáticos.

“Con esas penas ilógicas, no se va a resolver un problema de formación y planeación y ejecución de programas y políticas. Se debe privilegiar la política pública y no las medidas represivas”, concluyó Robles.

Comentarios