Desde ya hace algunos años y más en últimas fechas se ha escuchado hablar de la urgencia de una Ley de Ciberseguridad. En algunos medio masivos de comunicación se dan notas acerca de la proliferación de sitios de phishing, o de ataques e intentos (y en ocasiones logros) de penetración a sistemas de gobierno y empresas privadas.
Esta realidad es un hecho, pero la insitencia en definir una Ley de Ciberseguridad parece que se considera la solución a este panorama, con ella se eliminarán de forma automática los sitios falsos y el robo de datos o suplantaciones de identidad, tanto individuales como corporativas. A decir de alguna notas periodísticas existen más de 20 proyectos de ley en materia de ciberseguridad en México, y al parecer hay en el tintero algunas más, lo cual parece dar tranquilidad a algunos funcionarios y líderes de opinión. Sin embargo no me queda claro la utilidad de tener una legislación al respecto, o al menos una que comprenda la naturaleza tanto del entorno digital como de los comportamientos maliciosos. Generar disposiciones que castiguen a los ciberdelincuentes puede en principio resultar tranquilizador, pero sólo si no entendemos varios puntos:
- Dada la naturaleza de Internet, las actividades criminales en línea, como el robo de identidad o el fraude, pueden realizarse (y en su mayor parte lo hacen) fuera del territotio nacional;
- Aunque los delincuentes se encuentren en el espacio físico del territorio nacional, los elementos como servidores o cuentas bancarias asociadas a comportamientos criminales pueden estar fuera del espacio geográfico y con ello los esfuerzos de cumplimiento de la ley deben tratarse de manera internacional;
- Con base en el punto anterior, la lucha contra la ciberdelincuencia requiere de cooperación internacional, fincada en tratados multilaterales, lo cual tiene el gran punto débil de la inacción o reticencia de alguno de los participantes puede quitar eficiencia a las iniciativas;
- Más allá de un estado firmante que no accione el tratado o los tratados referentes a delitos en línea, los estados que decidieran no adherirse son potenciales albergues de elementos de cibercrimen;
- Comprobar la identidad de los ciberdelincuentes es complicado y puede tomar años, tomemos por ejemplo el caso de Maximilian Schmidt en Alemania (hay un buen documental en Netflix al respecto). Y en este caso había un componente físico que era la venta de drogas; cuando hay elementos puramente virtuales como la identidad digital, la persecución y captura de los responsables de un delito es mucho más complicada
Los puntos anteriores, sin ser exhaustivos, dan una idea de la complejidad de hacer cumplir una ley de ciberseguridad. Adicional a esto, las iniciativas que se han presentado, en la materia, se enfocan en la vigilancia y a decir de algunas organizaciones como la Red 3D, en la limitación de las libertades digitales. En un análisis de inciativa realizado en 2023, este organismo advertía que:
“La iniciativa faculta a la Secretaría de la Defensa Nacional y a la Secretaría de Marina a “monitorear” y llevar a cabo “operaciones militares” en el “ciberespacio”, sin definir con precisión el tipo de actividades que podrían llevar a cabo las fuerzas armadas, bajo qué procedimientos y con qué salvaguardas.
Lo anterior conlleva el riesgo de que las fuerzas armadas profundicen las tareas de vigilancia, espionaje e intervención de comunicaciones privadas de la población que recientemente se ha revelado que llevan a cabo de manera ilegal o incluso emprendan operaciones militares ofensivas dentro y fuera del país, en contravención de normativa internacional, sin autorización expresa del titular del ejecutivo federal y sin controles parlamentarios o judiciales pertinentes.” El análisis está disponible en este enlace.
Es por lo anterior que el tema de Ley de Ciberseguridad me produce dudas. Si bien es necesario un marco jurídico, es previsible que dada la dimensión internacional del ciberespacio sea difícil ejecutar sanciones o la persecución misma de los delitos digitales. En el tema se pueden ejercer acciones como bloquear sitios una vez detectados, facilitar la denuncia de delitos digitales, sancionar a particulares y a empresas locales que sean partícipes de estos delitos y poco más. Como es una verdad evidente el tema es complicado y a la vista de muchos expertos es más importante la capacitación y concientización de usuarios.
Al respecto nos quedan las restricciones que impuso la Ley Fintech, que si bien protegen a usuarios, ha quitado cierta agilidad a las empresas de este rubro, y debemos entender que son entornos que si bien se tocan no son similares en alcance o ámbito de acción geográfica.