fbpx

Ciberseguridad del sistema financiero mexicano: una mirada crítica

En octubre de 2017, el entonces Secretario de Hacienda y Crédito Público, José Antonio Meade, firmó la nombrada “Declaración de principios para el fortalecimiento de la ciberseguridad para la estabilidad del sistema financiero mexicano” en el marco del Foro de Ciberseguridad. El objetivo: contar con un protocolo para anticipar ataques y tener capacidad de respuesta rápida, de tal manera que la información y las transacciones estén protegidas.

Dichos principios delinean el compromiso entre autoridades y representantes de diversos sectores para trabajar de manera coordinada en la preservación de la estabilidad del sistema financiero, retomando las mejores prácticas en ciberseguridad, en línea con otros esfuerzos internacionales como el Convenio de Budapest.

Los 5 principios de esta declaración son:

  1. Adoptar y mantener actualizadas políticas, métodos y controles para identificar, evaluar, prevenir y mitigar los riesgos de ciberseguridad, que se autoricen por los órganos de gobierno de mayor decisión y permeen a todos los niveles de la organización.
  2. Establecer mecanismos seguros para el intercambio de información entre los integrantes del sistema financiero y las autoridades sobre ataques ocurridos en tiempo real y su modo de operación, estrategias de respuesta y nuevas amenazas, así como del resultado de investigaciones y estudios que permitan a las entidades anticipar acciones para mitigar los riesgos de ciberataques; lo anterior protegiendo la confidencialidad de la información.
  3. Impulsar iniciativas para actualizar los marcos regulatorios y legales que den soporte y hagan converger las acciones y los esfuerzos de las partes, considerando las mejores prácticas y acuerdos internacionales.
  4. Colaborar en proyectos para fortalecer los controles de seguridad de los distintos componentes de las infraestructuras y plataformas operativas que soportan los servicios financieros del país, promoviendo el aprovechamiento de las Tecnologías de Información para prevenir, identificar, reaccionar, comunicar, tipificar y hacer un frente común ante las amenazas presentes y futuras.
  5. Fomentar la educación y la cultura de ciberseguridad entre los usuarios finales y el personal de las propias instituciones, que a través de una capacitación continua redunde en una participación activa para mitigar los riesgos actuales de ciberataques.

Para su implementación, se formarán grupos de trabajo coordinados por las autoridades financieras, con la participación de asociaciones gremiales y actores relevantes en asuntos de ciberseguridad, abriendo la posibilidad de que otros participantes se sumen a los esfuerzos.

Los puntos ciegos del protocolo

Al analizar los principios, lo primero que viene a la mente es que buscan delinear una especie de compromiso entre autoridades y representantes de los diversos actores del sistema financiero, con el propósito de trabajar de manera conjunta en fortalecer la ciberseguridad del sistema financiero. Esto es ciertamente relevante, pero al mismo tiempo cuestionable, ya que con estos principios sólo se busca proveer de ciberseguridad a los actores en el sistema financiero, lo cual constituye una especie de discriminación en cuanto a ciberseguridad para otros sectores de la economía y sobre todo hacia el ciudadano de a pie.

Lo anterior sería tanto como decir que, fuera del ciberespacio, se va a proveer de seguridad únicamente a las instituciones del sistema financiero y a nadie más, pues a razón de la “preservación de estabilidad”, dicho sistema es “el importante”. ¿Y quién se ocupará de los demás? Por lo vertido en los principios, nadie lo sabe aún, lo que resulta descaminado e indeseable.

La ciberseguridad es un sistema, en el sentido más amplio de la palabra, donde un conjunto muy diverso de tecnologías, procesos, personas y prácticas, dentro de un marco de derecho, son ideadas (diseñadas), habilitadas e implementadas para proteger las redes —tanto privadas como públicas—, además de equipos (computadoras, ruteadores u otros), aplicaciones, programas y datos de ataques, daños y/o acceso no autorizado.

Es muy claro que garantizar la ciberseguridad requiere esfuerzos coordinados en todo el sistema; coincido. En lo que no coincido y pongo de manifiesto es que esta ciberseguridad debiera ser para todos los sectores de la economía y en general para toda la población, y por tanto no sólo apuntar a los actores del sistema financiero, como lo indica la declaración de principios a la que nos referimos.

Me viene a la mente el Artículo 21, párrafo noveno, de la Constitución Política de los Estados Unidos Mexicanos, que textualmente dice: “La seguridad pública es una función a cargo de la Federación, las entidades federativas y los Municipios, que comprende la prevención de los delitos, la investigación y la persecución para hacerla efectiva, así como la sanción de las infracciones administrativas, en los términos de la ley, en las respectivas competencias que esta Constitución señala. La actuación de las instituciones de seguridad pública se regirá por los principios de legalidad, objetividad, eficiencia, profesionalismo, honradez y respeto a los derechos humanos reconocidos en esta Constitución”.

Es así que, en este precepto constitucional, queda establecido que la producción de seguridad (ya sea en las ciudades del país o en el territorio del ciberespacio mexicano) es, sin duda, del monopolio de la Federación, las entidades federativas y los municipios. Esto por excelencia, pues la seguridad ha sido ejercida exclusivamente por ellos, diferenciada a través de distintos cuerpos de policía (e incluso a través del ejército mexicano, en el caso muy particular de México, en donde las fuerzas armadas hacen labores de seguridad pública), muy a pesar de que existe una gradual, aunque incompleta, apertura a la libre competencia de numerosas actividades económicas que, anteriormente, los Estados Nación ejercían en forma monopólica.

El hecho de que exista un único proveedor de seguridad que gestiona un servicio tan básico (como lo es la seguridad) para la convivencia y el bienestar de los ciudadanos ha tenido y tiene como principal consecuencia que no exista la necesaria competencia: no hay presión competitiva, indicaría la Comisión Federal de Competencia Económica (COFECE por sus siglas), para que el servicio de seguridad (que pagamos todos los contribuyentes a través de los impuestos) sea prestado con una calidad suficiente y conforme a las expectativas de los usuarios ciudadanos, ya sea en el ciberespacio o fuera de éste.

Pensando en una estrategia integral de ciberseguridad

El servicio de ciberseguridad ciudadana podría y debería mejorarse, y no sólo pensar en la del sistema financiero. Si no estamos contentos con el nivel de seguridad en las calles de nuestro país, tampoco podemos estarlo con el servicio de ciberseguridad en las redes como internet, y mucho menos cuando, ya de tajo, se excluye de la estrategia trazada como “Declaración de principios” al ciudadano de a pie y a los demás sectores de la economía.

Pero entonces, ¿qué hacer? A diferencia de la seguridad en las calles (donde constitucionalmente tenemos un solo proveedor que es la Federación, las entidades federativas y los municipios), en el ciberespacio sí puede existir la posibilidad de abrirse a la competencia por la misma, de tal suerte que cuando menos en el caso de la seguridad en las redes (vía la ciberseguridad) se contrate a la mejor institución que sea capaz de proveerla a todos los ciudadanos, no sólo a los financieros. Para ello, hay que pensar en estrategias que permitan mitigar la inseguridad de forma eficaz en todos los ámbitos y no aisladamente en el sistema financiero mexicano.

Comentarios de Facebook