México, obligado a reportar todo ciberataque a la OEA

Pese a que México es miembro de la OEA y participante del Comité Interamericano contra el Terrorismo, no ha reportado públicamente avances en la estructuración de un Equipo de Respuesta ante Incidentes Cibernéticos (CSIRT, por sus siglas en inglés), lo que, en todo caso, comprometería los sistemas de los países de Latinoamérica, Estados Unidos y Canadá por los múltiples y recientes incidentes que ha registrado y reconocido públicamente.

La OEA, Estados Unidos y Canadá han promovido la colaboración para poner en línea a los países de la región, dado el crecimiento exponencial de la ciberdelincuencia que afecta tanto a los entes de gobierno como a la iniciativa privada y múltiples instituciones públicas y privadas en los sectores de la salud y la academia, entre otros.

Dentro de los riesgos, como el secuestro de datos, la más alta atención está enfocada en lo que se denomina la Denegación de Servicio (o DoS, por sus siglas en inglés), que deja sin capacidad operativa a una institución, a parte del gobierno o dependencias vitales para las organizaciones.

Como he citado en la entrega anterior, han sufrido ataques con efectos de DoS en Costa Rica, que debió declarar emergencia nacional, y el Tribunal Supremo de Brasil, entre otros países de América Latina.

Por lo que respecta a los reportes de México, el gobierno informa que tiene tres CSIRT: uno en la Secretaría de la Defensa, otro en la de Marina y uno más en la Secretaría de Seguridad y Protección Ciudadana, sin embargo, los sitios web divulgados como oficiales en la Red de Equipos de Respuesta Gubernamentales de la OEA contienen sólo información de las actividades diversas de las dependencias y no específicas.

Se conoce, pero no por haber sido incluido en esta red del trabajo del Centro de Investigación e Innovación en Tecnologías de la Información y Comunicación del Conahcyt, pero tiene que ver más con el apoyo a la inclusión digital.

A diferencia de México, los sitios especiales de países como Brasil sí funcionan y, cumpliendo con la normatividad, reportan puntualmente incidentes no sólo de instituciones, sino también de empresas privadas para alertar a todos los miembros de la red de la OEA. Dejamos aquí el link a manera de ejemplo de buenas prácticas: https://www.gov.br/ctir/pt-br

De acuerdo con la Guía práctica para los CSIRT de la OEA 2023, un CSIRT no solamente se debe enfocar en responder a incidentes cibernéticos cuando una institución lo requiere, sino que también juega un rol fundamental en la coordinación de ciberseguridad en eventos de impacto social, razón por la que deberá desarrollar la confianza más allá de los decretos y acuerdos existentes.

Respecto a la conformación de los CSIRT, existen tres reportes que reflejan la integración de expertos civiles y, en algunos casos, en colaboración con militares. Colombia indicó que en sus dos organismos (nacional-civil y militar) con asesoría de la OEA logró una integración mixta con altos estándares. Chile y Argentina lo conformaron totalmente civil y reclutaron universitarios para especializarlos.

Resalta que el mayor número de reportes de países califican como de alta vulnerabilidad sus procesos electorales y han establecido mecanismos de colaboración para blindarlos. México no ha generado mayor información, pese a las elecciones de 2024, lo cual podría indicar que el INE, con instituciones públicas, estaría blindando el proceso en los meses por venir y como lo ha hecho en el pasado.

Sin embargo, como lo hemos expresado en las últimas entregas, la vulnerabilidad de México es muy alta frente al secuestro de datos y efecto DoS. No contar con una legislación específica deja al país en el vacío y en la indefensión para sancionar la ciberdelincuencia organizada internacional.