Ley de Ciberseguridad en México: Conoce la nueva Ley
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
Cada vez es más común escuchar de ciberataques dirigidos tanto a instituciones gubernamentales como a empresas privadas y personas naturales. En México, esta realidad es cada vez más delicada, pues hasta el 2022 nuestro país no cuenta con una legislación clara en materia de ciberseguridad.
En este contexto, surge un proyecto de Ley que busca crear un criterio unificado y claro sobre ciberseguridad. A continuación, te explicamos todo lo que necesitas saber sobre esta nueva ley y sus implicaciones.
Nueva ley de ciberseguridad en México
En la actualidad, México no cuenta con legislación en materia de ciberseguridad. Esto ha llevado a que múltiples instituciones gubernamentales, así como también empresas privadas y personas naturales, sean víctimas de ciberataques. A pesar de que desde el 2018 se han propuesto 11 iniciativas de leyes sobre ciberseguridad, ninguna ha llegado a concretarse.
El reciente hackeo a la Secretaría de la Defensa Nacional (Sedena) puso en marcha la creación de la «versión cero» de una Ley Federal de Ciberseguridad, preparada por el Senado de la República y la Comisión de Ciencia y Tecnología e Innovación de la Cámara de Diputados. Para ello, han buscado y analizado estudios nacionales e internacionales para comprender mejor el vacío legal en que se encuentra el país actualmente.
{{body-cta-1}}
Fecha de publicación
Se esperaba que la nueva Ley Federal de Ciberseguridad fuese publicada en el mes de diciembre del 2022. Sin embargo, hasta la fecha, no está disponible para ser descargada por el público general.
¿Qué contempla la nueva ley?
Esta propuesta de Ley tiene 11 títulos, en los que se distribuyen 71 artículos. En estos, se consideran al menos cuatro planteamientos centrales:
- Garantizar la seguridad nacional mediante la defensa del espacio digital.
- Crear un marco legal que permita sancionar o tipificar los ciberataques.
- La realización de pruebas de penetración o pentesting anualmente a las instituciones públicas y privadas.
- Crear una Agencia Nacional de Ciberseguridad controlada por el Ejecutivo, similar a los modelos seguidos por la Unión Europea, Estados Unidos y Brasil.
Comisión Intersecretarial de TIC y de la Seguridad de la Información
Recientemente, el gobierno federal anunció la creación de una Comisión Intersecretarial de Tecnologías de Información y Comunicación (TIC), y de la Seguridad de la Información para sustituir la Comisión para el Desarrollo del Gobierno Electrónico creada en el 2005.
Su finalidad es establecer cómo deben coordinarse e implementarse las políticas federales en materia de TIC y de seguridad de la información, impulsando actividades y estrategias para su aprovechamiento. Por ello, es probable que sus decisiones tengan impacto en el contenido preciso de la nueva ley de ciberseguridad.
Leyes de ciberseguridad en México
Previo a la creación de esta nueva Ley Federal de Ciberseguridad, en México no existía una ley dedicada específicamente a regular las medidas preventivas, correctivas y penales que podrían tomarse contra un ciberataque. Algunas leyes y normas mencionan la seguridad de la tecnología de la información (TI), pero dejan muchos vacíos legales y áreas grises.
Parte de las leyes, reglamentos y normativas actualmente vigentes en México que hacen mención a la ciberseguridad son las siguientes:
- Constitución Política de los Estados Unidos Mexicanos.
- Ley Federal de Telecomunicaciones y Radiodifusión.
- Norma Federal de Transparencia y Acceso a la Información Pública.
- Ley Federal del Derecho de Autor.
- Ley Federal de Protección de Datos Personales en Posesión de Particulares.
- Ley General de Títulos y Operaciones de Crédito.
- Código Penal Federal.
- Estrategia Nacional de Ciberseguridad 2017.
- Programa Nacional de Seguridad 2014-2018.
{{body-cta-2}}
Es probable que, para poder poner en práctica la nueva Ley, sea necesario modificar estas leyes y normativas con la finalidad de mantener la coherencia de la legislación.
¿Quién se encarga de la ciberseguridad en México?
En México, actualmente, existen tres organismos con competencias en materia de ciberseguridad: el CERT-MX, la Policía Federal y el INAI.
CERT-MX
El Centro de Respuesta a Incidentes Cibernéticos de la Dirección General Científica de la Guardia Nacional se encarga de «brindar los servicios de apoyo en la respuesta a incidentes cibernéticos que afectan a las instituciones en el país que cuentan con infraestructura crítica de información».
También se aseguran que las instituciones gubernamentales cumplan con el Manual Administrativo de Aplicación General de Tecnologías de Información y Comunicaciones y de Seguridad de la Información (MAAGTICSI), que fue desarrollado tomando como ejemplo normas internacionales como la ISO 27001.
Policía Federal
La División Científica de la Policía Federal de México se encarga de investigar y dar seguimiento a las actividades delictivas cometidas a través de Internet. Trabajan en colaboración con el CERT-MX.
INAI
El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) se encarga de garantizar el acceso a información pública y la protección de datos personales.
{{body-cta-3}}
Ciberdelincuencia en México
México es el país de América Latina en el que se han registrado más intentos de ciberataques en los primeros seis meses del 2022. Según un informe de Fortinet, América Latina sufrió 137 mil millones de intentos de ciberataques en el período mencionado, de los cuales 85 mil millones corresponden a México. Esto representa un incremento del 40% con respecto al mismo periodo del año anterior.
En los últimos 4 años, múltiples instituciones gubernamentales mexicanas han sido atacadas por cibercriminales. Entre ellas se encuentran: el Instituto Mexicano del Seguro Social (IMSS), Pemex, Bancomext, Lotería Nacional, la Comisión Federal de Electricidad (CFE) y, más recientemente, la Secretaría de la Defensa Nacional el 25 de octubre de este año.
Por su parte, reportes de la División Científica de la Policía Federal indican un aumento en la proporción de ataques más sofisticados y dirigidos (como el phishing y el ransomware), y una disminución de los ataques DDoS.
¿Cómo dar cumplimiento a la nueva ley?
Para seguir los lineamientos de la nueva Ley Federal de Ciberseguridad, las instituciones gubernamentales y empresas privadas se ven en la obligación de mejorar la gestión de su ciberseguridad.
Esto puede ser logrado mediante el uso de servicios de pentesting, que permiten detectar vulnerabilidades informáticas de forma eficiente y que tendrían que ser contratados de manera periódica (al menos una vez al año) para mantener los sistemas seguros.
Otra estrategia más integral es contratar uno de nuestros complementos de Apolo: CISO as a Service, que se encargue de supervisar los aspectos preventivos y la capacidad de respuesta de los sistemas ante ciberataques, así como de la planificación y establecimiento de estrategias que permitan salvaguardar la seguridad de las organizaciones que lo utilicen.
En Delta Protect simplificamos la ciberseguridad y el cumplimiento de tu empresa. Si quieres más información sobre las implicaciones de la nueva Ley y cómo podemos ayudarte a cumplirlas, agenda una demo de Apolo con nuestros expertos.
Santiago Fuentes es cofundador de Delta Protect y del Mexico & Israel Tech Hub. En 2021 fue seleccionado como Mentor de ciberseguridad en Endeavor México. Ha tenido la oportunidad de vivir y entender mercados de tecnología emergentes como Shanghai, Tel Aviv, y Corea del Sur, donde desarrolló conocimientos sobre Ciencia de Datos y Finanzas Corporativas.
