El pasado 25 de abril, Javier López Casarín, diputado por el Partido Verde Ecologista de México y presidente de la Comisión de Ciencia, Tecnología e Innovación, presentó una propuesta de Ley de Ciberseguridad.
La iniciativa, compuesta por 92 artículos distribuidos en ocho títulos, así como 8 artículos transitorios, hace tres planteamientos centrales: 1) garantizar la seguridad nacional mediante la defensa del espacio digital, 2) crear un marco legal que permita sancionar o tipificar los ciberataques y 3) crear una Agencia Nacional de Ciberseguridad controlada por el Ejecutivo, similar a los modelos seguidos por la Unión Europea, Estados Unidos y Brasil.
La propuesta más relevante se concentra en el Artículo 13. Consiste en la creación de la Agencia Nacional de Ciberseguridad con facultades como coordinar el desarrollo, implementación, evaluación, y actualización de la Estrategia Nacional de Ciberseguridad; generar un Registro de Centros de Respuesta a Incidentes Cibernéticos Públicos y Privados; establecer esquemas de cooperación con organismos internacionales y autoridades extranjeras, y buscar mecanismos para facilitar denuncias ciudadanas.
El Registro Nacional de Incidentes de Ciberseguridad contará con información de ataques o delitos cibernéticos que afecten las operaciones de organismos públicos y privados. Sin embargo, la iniciativa contempla que serán de carácter de reservado, todo con el objeto de salvaguardar la confidencialidad de los entes que compartan información.
Pese a la “buena intención” de la iniciativa, la ambigüedad en su diseño representa un arma de dos filos. Faculta a la Secretaría de la Defensa Nacional y a la Secretaría de Marina para “monitorear” y llevar a cabo “operaciones militares” en el “ciberespacio”, sin definir con precisión el tipo de actividades y sus debidos procedimientos, dejando a discreción de las Fuerzas Armadas la intervención sobre el espacio digital mexicano.
Asimismo, se pretende que la nueva Agencia Nacional de Ciberseguridad, la Guardia Nacional, la FGR y otras autoridades judiciales ordenen dar de baja o censurar direcciones IP, dominios y sitios de Internet de manera discrecional, con todos los peligros potenciales que esto conlleva para el entorno digital.
La ley, por otro lado, contempla tipos penales con términos amplios, vagos e imprecisos que implican la criminalización de conductas legítimas o cuya persecución se ha probado prácticamente imposible.
Como ejemplo de lo anterior, la iniciativa define como tecnología para intervención de comunicaciones a todo equipo, medio, dispositivo o software que permita el intercambio de datos, es decir, cualquier computadora, celular, cámara, página web, cuenta de redes sociales, servicio de mensajería instantánea. Admitir esta definición implicaría un control legal prácticamente absoluto por parte del Estado mexicano, algo que, sin duda, vulnera libertades digitales más allá de crear un sistema seguro.
Es importante destacar que la Comisión de Ciencia, Tecnología en Innovación en ningún momento consideró la participación ciudadana en la elaboración de esta iniciativa, por ello, el resultado ha sido una iniciativa ambigua y que, de aprobarse, generaría discrecionalidad por parte del poder público que vulneraría el ejercicio de derechos humanos en el entorno digital.
POR GONZALO ROJON
GONZALO.ROJON@THECIU.COM
@GROJONG
LSN