Ciberseguridad nacional: errores, omisiones y lo que falta…

sábado, 16 de junio de 2018 · 12:00
CIUDAD DE MÉXICO (Proceso).- El 25 de noviembre de 2013, en un acto celebrado en el Museo Nacional de Antropología, en la Ciudad de México, el presidente Enrique Peña Nieto y Alejandra Lagunes Soto Ruiz presentaron la Estrategia Digital Nacional (EDN). La Agenda Digital Nacional que presentó Lagunes –funcionaria muy cuestionada en su desempeño como responsable de redes sociales del candidato de la coalición electoral Compromiso por México– relegó a un segundo plano la Agenda Digital que había elaborado la Asociación Mexicana de Internet (AMIPCI), hoy Asociación de Internet.mx.  Una primera lectura de los habilitadores y objetivos de la EDN que presentó Lagunes permitía advertir que las metas que habían justificado la creación de la Coordinación para la Estrategia Digital Nacional, dentro de la Oficina de la Presidencia de la República, no serían alcanzadas. Efectivamente, muy poco se logró. En la EDN de Lagunes fue particularmente delicada una omisión: la ciberseguridad. Uno de los cinco objetivos básicos que sustentaban el funcionamiento de la estrategia –el quinto– comprendía la seguridad ciudadana. Sin embargo, sería ingenuo suponer que ese objetivo comprendiese la ciberseguridad nacional. Además, si consideramos el papel que observó la Coordinación para la Estrategia Digital Nacional ante los sismos registrados en septiembre del año pasado, el fracaso en lo concerniente a la seguridad ciudadana admite ser considerado como rotundo. ¿Por qué fue desdeñada la importancia de la ciberseguridad en la EDN?  Me parece que, por su obvia complejidad, la ciberseguridad nacional perfectamente pudo ser delegada a otro organismo: el Centro de Investigación y Seguridad Nacional (Cisen), por ejemplo. Sin embargo, el peor escenario posible fue suponer que, en materia de ciberespionaje, bastaría con el ciberespionaje. Todo parece indicar que en ese error se incurrió.   Durante el gobierno del presidente Peña Nieto, las denuncias por prácticas de ciberespionaje han sido frecuentes y han afectado a numerosos periodistas, quienes, junto con defensores de derechos humanos, fueron espiados a través de sus teléfonos celulares mediante el software Pegasus, diseñado por la milicia israelí para combatir el terrorismo. Mientras el número de víctimas de ciberespionaje se extendía, resultaba evidente que el gobierno carecía de una efectiva estrategia de seguridad nacional.   En mayo de 2017, varias organizaciones de la sociedad civil decidieron retirase del Secretariado Técnico Tripartita (STT) con el que opera en México la Alianza para el Gobierno Abierto, por considerar que la administración calderonista simuló investigar los casos de espionaje realizados con el software Pegasus. Un año después, según han denunciado algunos colectivos, las indagatorias de la Procuraduría General de la República han sido una “simulación”.  En sentido estricto, las medidas en cuanto a ciberseguridad han sido tardías e insuficientes. En octubre de 2015, en el marco de la Semana Nacional de Ciberseguridad, el senador priista Omar Fayad presentó su “ocurrente” y fallida Ley Censura, designada pomposamente como “Ley Especial para Prevenir y Sancionar los Delitos Informáticos”. La Segunda Semana Nacional de Ciberseguridad se llevó a cabo a finales de noviembre de 2016. Sin embargo, fue hasta 2017, en el quinto año de gobierno de Peña Nieto, cuando su administración ponderó la importancia de la ciberseguridad nacional. Ese año, Víctor Lagunes Soto Ruiz, el hermano menor de Alejandra, jefe de la Unidad de Innovación y Estrategia Tecnológica de la Presidencia, impulsó la elaboración de la Estrategia de Ciberseguridad Nacional en el ámbito de la Tercera Semana Nacional de Ciberseguridad. Es importante destacar que la iniciativa de elaborar una Estrategia de Ciberseguridad Nacional representó de facto el reconocimiento de que la ciberseguridad nacional efectivamente fue omitida en la Estrategia Digital Nacional.  Para la elaboración de la Estrategia de Ciberseguridad Nacional, la Organización de Estados Americanos (OEA) y la iniciativa privada impulsaron la creación de una coordinación o agencia dedicada a la ciberseguridad nacional. A ello se negó Víctor Lagunes, el “Chief Information Officer” del gobierno federal, quien en una entrevista que concedió al diario El Economista afirmó que el quinto año de gobierno ya no es un buen momento para generar políticas públicas.  Desde hace tres semanas varios medios informativos dieron a conocer que en abril al menos cinco instituciones bancarias y financieras resultaron afectadas por ciberataques, como reconocieron Alejandro Díaz de León Carrillo, gobernador del Banco de México (Banxico), y Marcos Martínez Gavica, presidente de la Asociación de Bancos de México.  El primer ataque fue registrado el 17 de abril y el blanco fue una casa de bolsa; el siguiente ocurrió el 26 de abril y afectó a Banorte, institución que al día siguiente se vio obligada a reconocer fallas en el servicio de transferencias interbancarias electrónicas. Por su parte, Citibanamex reportó que no pudo pagar la nómina a empleados de compañías que tienen contratado ese servicio con el banco debido a un problema técnico. Díaz de León señaló que la cantidad asociada al ataque asciende a 300 millones de pesos, en transacciones de hasta 600 mil pesos, mientras que los retiros que fueron efectuados en efectivo en ventanilla fluctuaron entre 200 mil y 300 mil pesos. Sin embargo, todo permite suponer que los ciberataques podrían ser considerados como una especie de “estafa maestra virtual”. El 17 de mayo Lorenza Martínez, quien se desempeñaba como directora general de Sistemas de Pagos y Servicios Corporativos de Banxico, afirmó a El Universal que el problema que registró el Sistema de Pagos Electrónicos Interbancarios (SPEI) no se presentó de forma interna en el Banco de México, sino en “algunos participantes del sector financiero que tenían que cumplir las nuevas normas de seguridad establecidas en 2017”.  No obstante, como atinadamente señalan algunos expertos, los grandes ataques a instituciones financieras suelen combinar la participación de infiltrados al interior de las instituciones, así como la filtración de código malicioso. Los ataques a las instituciones financieras y bancarias dieron inicio en octubre de 2017, reportó El Universal. En operaciones de apertura y de retiro de efectivo por supuestos clientes lograron sustraerse al menos 2 millones de dólares a través del SPEI. Hoy sabemos que muy poco se hizo al respecto, y lo poco que se hizo no funcionó. Tras los ciberataques al SPEI, Banxico anunció la creación de la Dirección de Ciberseguridad, cuyo objetivo es fortalecer el desarrollo seguro de los sistemas del organismo central. La creación de la división de ciberseguridad en Banxico fue considerada, incluso por la prensa “oficial”, como una maniobra destinada a tapar el pozo tras el hackeo. Si bien algunos expertos han destacado vulnerabilidades inherentes al SPEI –es una tecnología integrada, abierta y para su funcionamiento depende de la comunicación entre las partes, y si las comunicaciones no están debidamente encriptadas pueden resultar vulnerables–, sorprende que Banxico no contara con una división de ciberseguridad y que sólo tras la crisis derivada de los recientes ciberataques, los cuales no necesariamente han terminado, haya decidido impulsar su creación.  Sin embargo, en el inventario de “sorpresas” debemos reparar en la gravedad de algunos errores estructurales cometidos en el pasado inmediato, los cuales admiten una relación directa con el ciberataque. En primer lugar, la omisión del tema de ciberseguridad en la Agenda Digital Nacional; en segundo, la manifiesta incapacidad para crear una coordinación o agencia dedicada a la ciberseguridad nacional. Por supuesto, hay un común denominador que hermana ambos errores. La ciberseguridad nacional debe ser considerada como una premisa fundamental de nuestra soberanía. Parece que los ciberataques que registraron las instituciones bancarias y financieras nos permitirán finalmente comprenderlo. En efecto, México demanda, y de manera urgente, una estrategia de ciberseguridad nacional y una Coordinación para la Estrategia de Ciberseguridad Nacional. Y ello requiere, por supuesto, del concurso de profesionales verdaderamente competentes.  Los ciberataques referidos representan una delicada señal de alerta. Los siguientes pueden ser de mayor magnitud y trascendencia. * Director del Centro de Altos Estudios en Internet y Sociedad de la Información, Universidad de los Hemisferios, Quito, Ecuador. Este análisis se publicó el 10 de junio de 2018 en la edición 2171 de la revista Proceso.

Comentarios