México es uno de los países que recibe la mayor cantidad de ataques cibernéticos a nivel mundial. De acuerdo con cifras oficiales, en 2022 sufrió 187,000 millones de intentos de ciberataques —acciones dirigidas contra sistemas de información, como pueden ser bases de datos o redes computacionales—, un crecimiento de 20 por ciento frente a 2021. En cuestiones de ciberseguridad, está por debajo de países como Kenia, Sri Lanka, Brasil, Panamá, Chile y Nigeria.
Según el National Cibersecurity Index 2022, el índice de seguridad cibernética de México es de 37.66 puntos sobre 100, esto ubicó al país en la posición 84 de 160 a escala global. Y estas son cifras alarmantes para dependencias gubernamentales y empresas.
Ante esos registros, recientemente el Diario Oficial de la Federación (DOF) publicó el “Estándar de Competencia EC1544: gestión integral de riesgos a la ciberseguridad”, el cual fue desarrollado por la Asociación Mexicana de Empresas de Seguridad Privada (AMESP) y Cyber Black, como parte del Comité de Gestión por Competencias del Sector de Seguridad Privada.
PUBLICACIÓN DEL ESTÁNDAR 1544 EN EL DOF
El propósito del EC1544 es servir como referente para la evaluación y certificación de las personas que se desempeñan en la gestión integral de riesgos a la ciberseguridad y cuyas competencias incluyen planificar, priorizar y mitigar la exposición de la información digital.
El estándar además establece los conocimientos teóricos, básicos y prácticos con los que debe contar la persona para realizar su trabajo, así como las actitudes relevantes en su desempeño.
Publicado el pasado 4 de agosto en el DOF, la certificación a nivel nacional tiene una vigencia de cinco años. A tenor del Estándar de Competencia en cuestión, la duración estimada de evaluación es de dos horas en gabinete y una hora de campo.
Entre los temas a abordar destaca la Ley Olimpia, que castiga el acoso digital y tipifica como delito contra la intimidad sexual grabar, tomar fotos o difundir imágenes o mensajes de contenido sexual sin consentimiento.
Asimismo, está la Estrategia Nacional Digital y de Ciberseguridad con perspectiva de derechos humanos y enfoque basado en prevención y gestión de riesgos, así como de eficiencia en los procesos digitales.
“NO SE HA FORMALIZADO UNA LEY SOBRE CIBERSEGURIDADEN MÉXICO”: NOÉ SÁNCHEZ LÓPEZ
En palabras de Noé Sánchez López, uno de los creadores del EC1544 y coordinador de Cyber Black, el año pasado se inició el proyecto de iniciativa para construir un nuevo estándar sobre ciberseguridad dentro del Sistema Nacional de Competencias (SNC). Esto sucedió a raíz de que, él junto con su equipo, estuvieron revisando las iniciativas que existen en el Congreso de la Unión.
“No se ha formalizado una ley sobre ciberseguridad. Nosotros, ante ese vacío que existía, decidimos, un grupo de expertos, iniciar este proyecto. Lo empezamos en las instalaciones del World Trade Center (WTC)”, comenta en entrevista con Newsweek en Español.
A lo largo del desarrollo de este estándar, agrega, identificaron tres elementos por atender. El primero tenía que ver con la planificación del activo digital. Aquí es donde debieron obtener información, a través del método heurístico, para conocer cuál es el daño y, posteriormente, vaciar en un tablero de inventario los datos. El siguiente nivel fue la priorización y, finalmente, un plan de mitigación.
“Nuestro estándar tiene mucha importancia porque toma en cuenta, en el área de conocimiento, el tema de violencia digital. Soy originario de Querétaro y aquí estuvo con nosotros Olimpia Coral Melo (que impulsó la ley contra la ciberviolencia sexual y el ciberacoso) impartiendo una conferencia. Entonces, esto nos sirvió para dar un toque al EC1544”, apunta.
UN TÉRMINO COMÚN, PERO LEJOS DE LAS EMPRESAS
Respecto a lo anterior, aunque la ciberseguridad se ha convertido un término más común y relevante para las empresas, en México todavía no existe una ley de ciberseguridad que englobe un reglamento sobre las medidas penales y administrativas que se deban imponer a ciberdelincuentes. Si bien ya existen antecedentes, aún no hay nada concreto.
Un ejemplo es lo que pasó con la Secretaría de la Defensa Nacional (Sedena) en manos del colectivo de hacktivistas anónimos Guacamaya. Ante este ataque se presentó una iniciativa impulsada por el presidente de la Comisión de Ciencia, Tecnología e Innovación de la Cámara de Diputados, Javier López Casarín, en donde buscaba tener más robustez a la tipificación de ciberdelitos.
Noé Sánchez López ya tenía experiencia en construir estándares de competencia. Hace tres años laboraba en la Guardia Nacional. Estuvo 30 años en el servicio público federal, y le tocó iniciar todo el proyecto de certificaciones dentro de la otrora Policía Federal. Participó con expertos en el EC0512 (Realización de Investigación de Gabinete en la actuación policial) y EC0927 (Investigación de gabinete en esquemas de fusión interinstitucional).
“Ahora el EC1544 certifica a las personas, a través del Sistema Nacional de Competencias, y otorga un documento oficial expedido por el Gobierno Federal. Somos los primeros —Cyber Black— en construir este estándar. A partir de que estamos en el sector de seguridad privada desde el Comité de Gestión de Competencias, vamos a construir más estándares que cumplan con la función de capacitar al personal”, indica.
ABIERTO A CUALQUIER CENTRO DE EVALUACIÓN
Por su parte, con 36 años de experiencia, Luis Miguel Dena, presidente de Cyber Black, recalca que, aunque el Estándar de Competencia sobre ciberseguridad tiene un carácter privado, está abierto a cualquier centro de evaluación que quiera participar. Incluso, en una foto compartida a este medio, se ve a ambos creadores en la certificación del personal de la Fiscalía de Justicia de Aguascalientes.
Para contextualizar el objetivo del EC1544, explica que una gestión de riesgos es la evaluación y el conocimiento de los peligros que se enfrentan en el ciberespacio y cómo se puede, a partir del desarrollo de las competencias, establecer una defensa.
—¿Qué significa este estándar para el sector de la seguridad privada? —le preguntamos a Dena.
—Profesionalización, también dignificación del sector, y evolución de una seguridad que en la década de 1970 ni siquiera existía. Es el desarrollo de las primeras empresas que estaban enfocadas única y exclusivamente a guardias. Después en los años 1980-1990, estas empezaron a usar seguridad electrónica como cámaras de vigilancia.
“En una tercera generación, las empresas utilizaron sistemas híbridos: tecnología más capital humano. La cuarta dimensión evolutiva responde a la protección de los activos de información en el ciberespacio”, dice.
Según datos recopilados por Totalplay Empresarial, retomados por El Economista, los ciberataques dirigidos a empresas registraron un incremento de hasta 238 por ciento durante 2021, y le costó al sector privado cerca de 8,000 millones de dólares tan sólo en 2020.
“Vamos a desarrollar más estándares de competencia porque hay una necesidad urgente de forjar talento humano para los temas de seguridad de la información, de llenar esos huecos de legislaciones que no existen. Sin embargo, también surgen de necesidades particulares, por ejemplo, para hacer labores de rastreo de localización de vehículos impactados por el robo en carreteras”, adelanta Luis Miguel Dena. N