En la era de la información, México enfrenta nuevos desafíos ligados a la falta de protección y mal uso del ciberespacio, considerado a nivel internacional como el quinto ámbito de la guerra. Al no tener una estrategia, la infraestructura crítica del país está a merced del crimen, aseguran expertos en ciberseguridad.

El ciberespacio es la quinta dimensión de la guerra porque no se ve, es omnipresente a través del espectro electromagnético, nos deja endebles al conectamos a la red sin medidas de protección de las agencias de seguridad nacional que no funcionan, señala Adolfo Arreola García, experto en tecnología aplicada a la seguridad nacional.

En entrevista con Contralínea, apunta que la ciberseguridad nacional está en la incertidumbre: no hay respuesta estratégica de seguridad nacional del gobierno de Andrés Manuel López Obrador, por lo cual los sectores financiero, productivo, bancario, controladores industriales, la investigación e instituciones educativas son las más afectadas por malas prácticas de ciberseguridad. Ni siquiera se sabe quién se hará cargo del Centro de Coordinación de la Ciberseguridad.

“A pesar de que la cara virtual de la seguridad nacional es la ciberseguridad, que el Estado debe garantizar como política prioritaria de protección desde el individuo hasta la supervivencia del Estado, no hay un plan de contingencia de protección ni quién va a resolver para evitar que se lesione a los habitantes y a las instituciones como establece la Ley de Seguridad Nacional”, subraya el especialista.

Para el coronel Boris Saavedra, profesor asociado de asuntos de seguridad nacional del Centro de Estudios para la Seguridad Hemisférica William J Perry, es muy importante entender política y estratégicamente la ciberseguridad en el sistema energético del Estado.

Graduado del curso de estudios militares superiores en L’école Supérieure de Guerre Interarmées, de Francia, alerta de las vulnerabilidades de la infraestructura crítica de los países, como plantas de energía, suministro de agua, plantas químicas, puentes, carreteras, bases militares aeropuertos, presas, instituciones financieras, redes de comunicación e información.

El coronel Saavedra explica a Contralínea que la infraestructura dependiente de México y los países de Latinoamérica es vulnerable ante ataques cibernéticos. Considera que las principales amenazas son los virus botnet, trojan horse, phishing o spam y DDoS; asimismo, la dependencia del sistema de internet y los piratas informáticos, que ponen en riesgo la gobernanza a escala global.

En su exposición durante el seminario sobre “Cibeseguridad en las Américas”, celebrado el 9 de abril en la Universidad de Los Ángeles de Puebla, campus Ciudad de México, el militar expuso que el contexto político de la ciberseguridad en infraestructuras críticas tiene un impacto potencial en el interés nacional (efecto cascada).

“Vulnerabilidades, ataques sofisticados, impactos de amenaza multidimensional, tecnología digital emergente de dominio cibernético, requieren de evaluación de riesgo para priorizar, mitigar y determinar la capacidad de respuesta y resiliencia” de los países de la región, como México, subrayó Saavedra.

Según el experto, la estrategia requiere de intercambios de inteligencia y coordinación política, establecimiento de responsabilidades claras y concisas para la organización política administrativa del Estado, toma de decisiones del gobierno basadas en el riesgo, gestión desde un comando centralizado, pero con operaciones descentralizadas en todos los niveles de gobierno, incluida la asociación público-privada.

Al plantear la política estratégica para la protección de infraestructura crítica, el coronel Boris Saavedra expuso que se requiere un sistema de alerta temprana, resiliencia y capacidad de respuesta ante desastres naturales, coordinación entre diversos niveles de gobierno, toma de decisiones basado en evaluación de riesgos y resiliencia del sistema, así como sistemas interdependientes y complejos.

Y propuso como método para reducir los ataques destructivos de la infraestructura crítica centralizar el control en el gobierno, reducir y proteger el acceso a los usuarios, emplear la aplicación de listas en blanco y negro, proteger archivos y limitar la comunicación entre estaciones, códigos de protección, antivirus y proteger vulnerabilidades del software.

Ciberseguridad, en el limbo

Adolfo Arreola García, por su parte, advierte que aunque el gobierno de López Obrador entiende la importancia de la seguridad nacional no está haciendo nada. “Los organismos de inteligencia deben trabajar en coordinación, comprimir y compartir información, pero ahora están en el limbo y sería recomendable centralizarlos en un solo organismo, para actuar en caso de ataques cibernéticos al sector financiero, manejo de crisis y protección de la información de todos los mexicanos”.

Considera que primero se requiere de una política de seguridad nacional y luego de una estrategia de ciberseguridad adecuada, formar capital humano –ingenieros en informativa y en programación– con conocimiento de delitos cibernéticos, tipología de delitos, incluso incluye psicólogos para que intervengan ante quienes pretendan generarpsicosis social u operaciones sicológicas que atenten contra la población, así como especialistas de la Unidad de Inteligencia Financiera vinculados como grupos multidisciplinarios, mejorar las condiciones e integrar un plan estratégico de información.

Destaca que no todo está en electrónico, sino en cápsulas, porque el ciberespacio se mueve a través de electromagnetismo y es muy difícil resguardar secretos, salvo que se tengan todas las medidas como un sistema para la ciberseguridad que incluye no sólo la ciberdefensa sino los procesos del entorno cibernético: es una seguridad integral.

Los secretos de Estado son un principio estratégico y es necesario aprender cómo salvaguardar aquello que pueda lesionar la soberanía: “pequeños secretos que nos dan ventaja en escenario internacional, ventajas comparativas y competitivas, ya que si no hay o si lo tengo y no lo guardo se convierte en una debilidad, son principios básicos de enfrentamiento”.

Ahora, en el gobierno de López Obrador son muy laxos en temas de ineligencia y seguridad nacional, considera. “Ser transparente no es ser inseguro, sino rendir cuentas claras para el funcionamiento del Estado en el escenario nacional e internacional”.

Para el experto, se puede ser transparente sin decirlo todo, porque hay áreas estratégicas –por ejemplo Petróleos Mexicanos– que no deben ser públicas porque se hacen vulnerables ante el exterior: en eso radica el secreto, no en guardarlo para sí, sino compartirlo manteniendo restringido para la toma de decisiones de la defensa nacional, manejo con tacto y medidas de seguridad, compartimentando la información con protocolos.

El gran problema para atender los riesgos y amenazas a la seguridad nacional de la Agenda Nacional de Riesgos son la falta de recursos del Centro Nacional de Inteligencia, requiere de equipo, actualizaciones, recursos humanos, presupuesto.

‎¿Inteligencia o espionaje‎?‎

Según Arreola García, espionaje e inteligencia son lo mismo, depende para qué se vaya a utilizar la información y quién decide su uso: la estrategia se basa en hacer que la recolección de información funcione para la toma de decisiones eficiente, eficaz y estratégica en seguridad nacional, economía, salud, transporte, etcétera.

Es complejo y no se pueden quedar estáticos, sino explorar y analizar lo que se tiene y su objetivo para elaborar un plan estratégico en beneficio del gobierno y de la población, si es que lo quieren utilizar para un buen gobierno, mantenerlo vigilado y auditado. Quien está al frente del gobierno debe tomar la decisión de hacerlo o no, sin prejuicios ni tapujos, sobre todo en este caso de ciberseguridad y ciberataques, donde toda la infraestructura se está volviendo más vulnerable.

Lo cual tiene que considerar el presidente y entender que hay amenazas, sobre todo porque plantea que se quiere un país conectado que se alinie con el ámbito internacional, donde todo mundo está conectado y, por lo tanto, en lo interno se debe de proteger con una política adecuada de ciberseguridad.

La estrategia nacional de ciberseguridad está fundamentada como un tema prioritario, no se sabe si va a continuar o habrá modificaciones en el gobierno de la cuarta transformación, sobre todo porque ahora el 70 por ciento de la población está conectada a la red y expuesta a ciberataques.

La infraestructura crítica en México no está definida, solo en materia de información, que depende de cada país, México debía tener su propia definición y conceptos de infraestructura crítica y enumerar las áreas estratégicas, como el energético, requiere de una reconfiguración integral en beneficio de la seguridad nacional.

Para Arreola García, experto en ciberseguridad y tecnología aplicada a la seguridad nacional, el empleo intensivo de sistemas computarizados por la sociedad y las Fuerzas Armadas ha tenido un crecimiento exponencial, en el que la dependencia de medios electromagnéticos ha traído consigo vulnerabilidades inherentes a dichos sistemas digitales, poniendo en riesgo la seguridad del Estado, organismos e individuos.

En su análisis Ciberseguridad Nacional en México y sus desafíos –publicado en noviembre de 2018–, Arreola García, doctorando en seguridad internacional en la Universidad Anáhuac, señala que desde la perspectiva de la seguridad nacional, la dependencia en las tecnologías de la información y comunicaciones ha acelerado los procesos, pero aumentado las vulnerabilidades.

“El empleo intensivo de los medios digitales invita a pensar en una hiperconectividad y en nuevos desafíos que atentan contra la integridad, confiabilidad y disponibilidad de la información y ponen en riesgo la seguridad nacional”.

Explica que el gobierno de México no consideró la inclusión de una definición para la ciberseguridad en la Ley de Seguridad Nacional, cuyos temas son la base para la Agenda Nacional de Riesgos cuya existencia no es garantía de prácticas de ciberseguridad, ya que el país es incapaz de prevenir y reaccionar ante incidentes cibernéticos.

La Agenda Nacional de Riesgos consigna que México padece un “riesgo alto” por la carencia de esquemas de protección, reacción y coordinación consolidados entre las autoridades competentes para hacer frente a los ataques cibernéticos que afecten las infraestructuras críticas o sensibles del país.

En el Plan Nacional de Desarrollo 2013-2018, la ciberseguridad se ve como una amenaza a la seguridad nacional, como sinónimo de seguridad de la información, o como la cuarta dimensión de operaciones de seguridad; todo lo cual abona más a la incertidumbre sobre su conceptualización.

México no solamente carece de una definición clara e integral de ciberseguridad nacional, sino también de una política de ciberseguridad nacional que permita la aplicación eficiente de la estrategia en la materia.

Esta negligencia gubernamental expone a la sociedad e instituciones a sufrir ataques contra su identidad, existencia y supervivencia del Estado.

Desafíos para la ciberseguridad nacional

El empleo intensivo de sistemas computarizados, por parte del gobierno, Fuerzas Armadas y la iniciativa privada, han tenido un crecimiento exponencial; sin embargo, la dependencia ha traído consigo vulnerabilidades inherentes de dichos sistemas digitales, poniendo en riesgo la seguridad de los Estados, organismos e individuos.

Muestra de ello son las filtraciones sobre actos de espionaje estadunidense realizadas por Edward Snowden, Julian Assange y Chelsea Manning.

En México, dice el académico, las reformas en telecomunicaciones y la Estrategia Digital Nacional, se dio prioridad a la digitalización de las actividades de gobierno y los servicios públicos, pero la ciberseguridad no ha recibido el mismo ímpetu.

Señala que los principales desafíos que enfrenta México son: redefinir su concepto de ciberseguridad, fortalecer las capacidades del Estado para garantizar la seguridad en el ciberespacio con base en una estrategia integral y generar recursos tecnológicos y humanos apropiados para las nuevas condiciones de ciberseguridad.

México ha tomado algunas acciones entre las que se incluyen la creación de un Sistema Nacional de Inteligencia, el Centro Nacional de Operaciones del Ciberespacio con la participación de las secretarías de Defensa Nacional y de Marina, el Equipo de Respuesta a Incidentes de Seguridad Informática para la protección de la infraestructura crítica nacional.

Y concluye que aunque para impulsar la ciberseguridad el gobierno federal creó el CERT-MX o la operación de la División Científica de la Policía Federal, México aún sigue rezagado con un impacto negativo en la materia.

“Hasta hace 1 año, la Unión Internacional de Telecomunicaciones reveló que México obtuvo una calificación de 0.66 de 1 en el Índice de Ciberseguridad Global. Lo cual implicó que se colocara en la posición 28 de 193 países, y se posicionara en América Latina y el Caribe como la mejor rankeada; muy cercana al promedio de los países miembros de la Organización para la Cooperación y el Desarrollo Económicos, el cual es de 0.65.

“En el Índice 2017, las principales debilidades se ubicaron en la falta de capital humano, de documentos oficiales que guíen el esfuerzo nacional y de una cooperación sólida para compartir información. México (con un índice de 0.660 de un máximo de 1.0) fue el primer país en América Latina y el Caribe, y el tercero en América del Norte muy por debajo de Estados Unidos (0.91) y Canadá (0.81)”.

Arreola García asienta que a pesar de que el gobierno de México puso en operación del Centro de Operaciones del Ciberespacio en junio de 2016 para atender cuestiones de ciberdefensa y complementar las tareas realizadas por la Policía Federal, es un trabajo inacabado que requiere del compromiso gubernamental para llevar a buen término aspectos esenciales de la política de ciberseguridad.

Ciberdelitos

Jaime Romero Galicia, doctor en defensa y seguridad nacional por el Centro de Estudios Superiores Navales (Cesnav), indica que en México se han cometido ciberdelitos que por sus implicaciones políticas económicas y sociales han puesto en riesgo la seguridad nacional.

En su tesis Factores para una aproximación de estrategia de ciberseguridad nacional enfocada a la protección de infraestructuras críticas de información en México, señala que el país ha sido víctima de ataques cibernéticos desde 2000 tanto a instituciones públicas como privadas.

De acuerdo con el reporte Tendencias en la seguridad en América Latina y el Caribe, México es el principal originador de spam; el sector académico experimenta más ataques que otros, y las ciberamenazas han afectado a la población civil por el phishing.

Los crímenes cibernéticos más comunes en México son el robo de dispositivos móviles, robo de contraseña y correo electrónico hackeado según el último Reporte Norton sobre ciberseguridad.

El sector financiero ha reportado ataques sofisticados como el DDoS (denegación distribuida de servicios), que consiste en utilizar un simple sistema para saturar un sitio web y bloquear o negar el servicio, y troyanos (programas maliciosos de computadora), apunta el catedrático del Cesnav.

De acuerdo con el reporte global de riesgos del Foro Económico Mundial, los incidentes masivos de fraude y robo de información son considerados el quinto riesgo global, y su incremento exponencial en el ciberespacio ha escalado en la actividad de la criminalidad en México, en particular con el hacking ilegal, robo de identidad, fraude de tarjeta de crédito y explotación de menores online.

Romero Galicia asienta que los principales grupos del narcotráfico –cárteles de Sinaloa, Los Zetas, Tijuana, Juárez, Beltrán Leyva y Familia Michoacana– tienen amplias redes de producción y distribución de aparatos de inteligencia, y usan comunicación de social media y actividades en Internet para delinquir.

“Las nuevas formas de comercializar cualquier cosas a través de la web profunda están siendo utilizadas por la delincuencia organizada y grupos terroristas, así como el uso de monedas digitales o criptodivisas como bitcoin, para realizar todo tipo de transacciones ilegales.

De igual forma, el internet de las cosas –que se refiere a la interconexión de objetos cotidianos a internet– representa nueva vía para delinquir y mayores riesgos que demandan iniciativas integrales de ciberseguridad para atender amenazas a la seguridad nacional.

El doctor Romero Galicia enumera ataques cibernéticos que vulneran la seguridad nacional de México: la venta del padrón electoral adquirida por grupos del crimen organizado en 2010, y agentes policiacos para su trabajo a falta de disponibilidad de datos en sus corporaciones.

Uno de los archivos “Casetas Telmex” contenía números telefónicos de todo el país, otro archivo incluía datos de las policías del país con fotografía, por lo que los delincuentes sabían con quién llegar, y a quién amenazar, pues cruzando la información con el padrón electoral sabían de sus domicilios y ubicación de familiares para presionarlos.

También contenía la identificación de todo el parque vehicular del Servicio Federal, donde está incluido el transporte de carga, con datos como marca, modelo, placas y tipo de carga que transportaban y rutas.

“Estas bases de datos, ciento por ciento confiables, fueron vulneradas y al caer en manos de la delincuencia organizada, produjeron y siguen produciendo un riesgo muy grande para la población y las autoridades, afirma el catedrático del Cesnav.

Otros incidentes graves han sido la modificación y acceso al sitio web de la Secretaría de la Defensa Nacional, filtraciones sobre adquisición de equipo de comunicaciones e inteligencia de esta institución; filtración de lista nominal de electores del INE; ataques cibernéticos a la Secretaría de Gobernación y a la Universidad Nacional Autónoma de México.

A pesar de ello, prosigue Romero Galicia, México no cuenta con una estrategia de ciberseguridad nacional con líneas de acción para proteger la infraestructura crítica de información del país. La seguridad en el ciberespacio no se ha abordado desde el punto de vista de la defensa nacional, afirma.

Sostiene que debido al rezago tecnológico y de investigación en defensa y seguridad nacional, el gobierno federal depende de tecnologías extranjeras para poder recopilar información exclusiva que permita identificar, contener, neutralizar y detener a grupos que amenazan la seguridad nacional.

Al ser tan cerrada la tecnología, no se puede saber si los equipos utilizados transmiten a otros gobiernos información de carácter confidencial que solo le compete conocer al Estado mexicano, así como muchos proveedores no permiten que se revise su tecnología para verifica que no hay fuga de información.

Respecto a la defensa, hay proyectos de carácter militar para actuar –como el Centro de Operaciones del Ciberespacio de la Sedena y el Centro de Control de Ciberdefensa y Ciberseguridad en la Semar. Sin embargo, no cuentan con protocolos y estrategias para el manejo de ataques masivos de negación de servicios en la infraestructura de comunicaciones, que tiene que ver con la coordinación militar, civil, empresarial y social.

El especialista indica que de acuerdo con empresas especializadas en cibeseguridad, se ha utilizado la infraestructura de TIC en México como plataforma para atacar a otros países, y se han instalado en cientos o miles de servidores nacionales los denominados bots (programas para atacar de forma simultánea), con tráfico de red a otras infraestructuras en el interior y exterior del país.