¿Cómo avanza el marco regulatorio en Ciberseguridad alrededor del mundo?
América Latina, así como el resto del mundo, ha visto como los datos son el principal blanco de los ataques informáticos. Es así como el ransomware, que se refiere al secuestro de información; y los data leaks se han convertido en los principales delitos. Estas nuevas técnicas para el robo de información han generado un riesgo creciente en términos de seguridad digital para la región.
Los datos hablan de que el 62% de las empresas latinoamericanas han sufrido alguna filtración de datos durante el último año. Según señala el Panorama de Amenazas para América Latina de Kaspersky, el phishing continúa siendo el vector más importante para el robo de datos personales y es el primer paso de los ciber incidentes que resultan en fugas de datos masivas.
La actividad delictiva en la región se ha mantenido estable mientras que los ataques de malware contra computadoras y dispositivos móviles han experimentado un aumento del 617% y del 50% en cuanto a intentos de ataques de phishing y troyanos bancarios, respectivamente. Los sectores de gobierno y finanzas han sido los más afectados, al igual que los internautas.
Entre los países más afectados se encuentran Brasil, con 134 millones de intentos de ataque, México (43 millones), Perú (31,5 millones), Colombia (30,9 millones), Ecuador (12,2 millones), Chile (10,5 millones) y Argentina (9,4 millones). En cuanto a sectores, se reporta que 4 de cada 10 intentos de phishing se dirigen a datos financieros (42,8%), lo que se desgloa en 28,40% temas bancarios, 9,40% medios de pago, 2,70% servicios financieros y 2,30% criptomonedas). Las empresas de servicios de Internet (14,70%) y las tiendas en línea (14,70%) completan el ranking.
En este escenario se hace cada vez más necesario contar con marcos legislativos que no solo definan los tipos de delitos, sino permitan crear las instancias para investigarlos, encontrar culpables y, además, incluyan exigencias a las organizaciones para el resguardo de los datos.
En México, donde los ataques informáticos a instituciones gubernamentales, empresas y personas han ido en aumento durante los últimos años, aún no existe una ley propiamente tal. Sin embargo, tras el hackeo a la Secretaría de la Defensa Nacional (Sedena) se puso urgencia a la Ley Federal de Ciberseguridad. El proyecto, que fue presentado en el Congreso el 2023, incluye entre otras cosas la creación de la Agencia Nacional para la Seguridad Digital.
Hasta el momento, el país azteca solo se rige por una serie de normativas, como la Ley Federal del Derecho de Autor (LFDA), Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), Código Penal Federal (CPF) y Estrategia Nacional de Ciberseguridad 2017 (ENCS).
Lo que dice la ley en Perú, Colombia y Chile.
Una situación diferente se da en otros países de Latinoamérica, respondiendo a las necesidades de los tiempos actuales. En Perú, en febrero, se publicó el Reglamento de la Ley de Ciberdefensa, que busca proteger los intereses del país ante amenazas o ataques informáticos.
El reglamento se incorpora a la Secretaría de Gobierno y Transformación Digital (SGTD) de la PCM, por medio del Centro Nacional de Seguridad Digital, en cuanto a protección de los activos críticos y recursos clave. De esta forma, busca que activos críticos nacionales, recursos claves, infraestructuras y sistemas como redes de telecomunicaciones, internet, dispositivos, software, información, protocolos de transportes, energía eléctrica, procesadores y controladores integrados, y el entorno digital en general, continúen sus operaciones ante eventuales ciberataques.
Colombia, por su parte, está afectada por el aumento exponencial del cibercrimen a nivel local. A ello se sumó un importante ataque que puso en riesgo la seguridad de las instituciones públicas y los datos privados de los ciudadanos, lo cual motivó a que en febrero de este año se lograra la aprobación en primer debate del proyecto de ley que pretende establecer la Agencia de Seguridad Digital Nacional. Su objetivo es establecer una sola institución que coordine y supervise las políticas de seguridad digital que se implementen, y que rija tanto a las entidades públicas como privadas.
Pero sin duda el avance más importante en este sentido se dio en Chile. El 8 de abril se publicó en el Diario Oficial la Ley Marco de Ciberseguridad, que establece una nueva gobernanza para la seguridad digital del país. De esta forma se convirtió en el primer país de Latinoamérica y el Caribe en tener una Agencia Nacional de Ciberseguridad (ANCI).
Este organismo cuenta con facultades regulatorias, fiscalizadoras y sancionatorias, tanto para todo tipo de organizaciones. Además, entre sus funciones estará asesorar en la implementación de políticas y programas para combatir estos delitos; solicitar información sobre este tipo de incidentes a las organizaciones afectadas; y establecer protocolos obligatorios para entidades públicas y privadas.
Mientras, ¿qué pasa en Europa?
La Unión Europea cuenta con una reg00ulación desde el 2004, la que ha ido adquiriendo nuevas enmiendas para irse adaptando a las necesidades de la constante evolución de las Tecnologías de la Información, incluyendo las amenazas. De hecho en España el Ministerio de Transformación Digital está liderando una propuesta de nueva Ley de Ciberseguridad para el país.
Esta incluye, entre otras cosas, mejorar la formación de especialistas y la mejora de respuestas ante el crecimiento de ciberataques, tanto industriales como personales. Esto fortaleciendo la iniciativa privada pero también el trabajo de Incibe (Instituto Nacional de Ciberseguridad), que forma a miles de expertos en el área cada año.
Sin duda contar con una legislación es clave para responder de forma sólida a los nuevos ciberataques. Si bien la Inteligencia Artificial está colaborando en la detección y respuesta a las amenazas cibernéticas, su uso masivo también ha contribuido a el aumento de este tipo de delitos. Es necesario desarrollar estrategias de seguridad más eficientes y sofisticadas, y contar con una gobernanza adecuada es fundamental.