Desde principios del siglo XXI un ciberdelito ha acaparado la atención de propios y extraños por tratarse de secuestros de información pidiendo un rescate para recuperarla o, de lo contrario, publicarla en detrimento de la víctima. Me refiero al ransomware, y aunque no es precisamente el mismo ataque cibernético que le ocurrió a una institución pública del cual todos nos hemos enterado recientemente, ambos están relacionados con las vulnerabilidades o vacíos en la protección de la información institucional.
Tan solo en los últimos dos años la Lotería Nacional, la Secretaría de Hacienda y Crédito Público, el Banco de México, PEMEX y el IMSS han sido algunas de las instituciones públicas víctimas de este delito que, de conformidad con el estudio “El estado de Ransomware 2022” de la empresa Sophos, en 2021 creció 78%; además de que de 200 organizaciones en el país (públicas y privadas) 148 recibieron un ataque de este tipo.
Estas cifras nos indican que desde el sector público no hemos detectado con precisión el pie del cual cojeamos en ciberseguridad. Y es que, desafortunadamente, hoy en día las instituciones públicas en México parecen no contar con elementos claros para la prevención, gestión y mitigación de riesgos cibernéticos, como es el caso de un ataque de ransomware.
Me atrevería a decir que, si bien la cultura institucional es importante, el punto central del problema radica en qué porcentaje de nuestros presupuestos anuales destinamos para la ciberseguridad. Sería deseable, por tanto, contar con un presupuesto adecuado para resolver las áreas de oportunidad que tenemos en este aspecto e implementar esquemas de seguridad de información preventivos y no reactivos, que se enfoquen en tres características de ciberseguridad: confidencialidad, integridad y disponibilidad de la información.
Por otro lado, considero que también se requiere de un marco jurídico actualizado conforme a la realidad internacional de esta conducta. Actualmente precisamos de una estrategia de seguridad fuerte, alcanzable y suficiente para enfrentar esta problemática. Sería muy oportuno impulsar una reforma en ciberseguridad que incluya cambios de fondo al Código Penal Federal, con el fin de establecer al ransomware y otros ataques cibernéticos como verdaderos tipos penales.
Dejemos de vivir en el pasado, por encima del papel y del bolígrafo, hoy la tecnología se ha convertido en nuestro instrumento de trabajo. Desdeñar la importancia que requiere nos hará pagar con creces nuestros errores. Y es que nuestras bases de datos contienen desde datos personales de millones de individuos, hasta archivos con información altamente sensible, sobre todo de los sectores industrial, bancario o de seguridad nacional, cuya pérdida o vulneración conllevaría no sólo perjuicios económicos, sino que podría poner en riesgo la seguridad de las personas, organizaciones o del propio Estado.
Sin embargo, aunque necesario, no basta con crear más normas y destinar un presupuesto institucional digno, sino que también debemos implementar programas y acciones medibles en la materia como: incluir estas áreas dentro de nuestros planes de estudio a niveles básico y medio superior; reforzar las áreas de las tecnologías de la información de las instituciones; adoptar las recomendaciones internacionales de los organismos especializados; contar con las medidas necesarias de seguridad de la información (VPN’s, antivirus, programas de respaldo de información, parches de seguridad, etc.); capacitar a nuestro personal; y, desde luego, tener establecidos planes y protocolos de actuación en caso de que el riesgo ya se haya presentado. Con ello, hagamos lo que nos corresponde.
Laura Lizette Enríquez Rodríguez, Comisionada del INFOCDMX
@lauraenriquezr
@InfoCdMex