foro jurídico Ley general de ciberseguridad

Observaciones y estudio de la iniciativa que expide la Ley General de Ciberseguridad en México

  1. INTRODUCCIÓN.

 

El mundo digital se ha convertido en el lugar de todas las naciones y en un espacio público para quienes accedan al mismo. Es así, que los incidentes, vulneraciones y amenazas aumentan, siendo un blanco primario para los delincuentes cibernéticos. Como resultado, desde un panorama global, el costo promedio por robo de credenciales en el año 2019 fue de $493,093 a $871,686 dólares, y en una estimación del costo de incidentes relacionados con información privilegiada durante un período de 12 meses, referente al costo anualizado por robo de credenciales fue de $2.79 Millones de dólares[1].

 

El Informe de Riesgos Globales 2020 del Foro Económico Mundial, contempla que, entre los 10 riesgos principales en términos de probabilidad, se encuentra en sexto lugar el fraude o robo de datos y como séptimo los ciberataques. Asimismo, en razón a los 10 riesgos principales en términos de impacto, coloca como sexto la ruptura de infraestructura de información y como octavo los ciberataques. En el mismo orden de ideas, respecto al porcentaje de encuestados que esperan que los riesgos aumenten en 2020, en la sección de multiactores con un 76.1% en ciber ataques a la infraestructura y un 75.0% en ciberataques relacionados con el robo de datos y dinero. En apartado de moldeadores globales, una pérdida de confianza en fuentes de medios 77.1%; así como la pérdida de privacidad (para empresas) 76.2%; y por último pérdida de privacidad (para gobiernos) 76.1%[2].

 

A nivel internacional la ciberseguridad ha sido un gran tema. Desde el año 1981, el Consejo de Europa abre la firma del convenio número 108 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal; en 1985 la OCDE publica una lista mínima de los delitos informáticos que los gobiernos signatarios podrían incluir dentro de sus códigos penales; en 1990 el décimo tercer congreso internacional de la Academia de derecho comparado en Montreal Canadá y el Octavo Congreso Criminal de la ONU; en 1992 Conferencia de Wurzburgo Alemania; en 2000 Décimo Congreso de las Naciones Unidas sobre Prevención del Delito y Tratamiento del Delincuente, propone la formulación de políticas gubernamentales encaminadas a la prevención y control de los delitos informáticos; en 2001 Consejo de Europa preocupado por el riesgo que implica la criminalidad cibernética, abre a la firma el Convenio sobre la ciberdelincuencia también conocido como Convenio de Budapest; en 2006 Protocolo Adicional a la convención sobre cibercrimen en materia de racismo y xenofobia; en 2014 Convenio Iberoamericano de cooperación sobre investigación, aseguramiento y obtención de prueba en materia de ciberdelincuencia, posteriormente el Proyecto de Convenio de Stanford y la Ley modelo de Commonwealth sobre delitos informáticos y relacionados con la informática[3].

 

En la práctica encontraremos términos internacionales como acuerdos, cartas, convenios, declaraciones, protocolos y tratados en diversas materias. En el tema cibernético aparecen diversos instrumentos, como el Consejo de la Unión Europea con el Convenio sobre Ciberdelincuencia, la Organización de Cooperación de Shangai con el acuerdo de cooperación para combatir delitos informáticos y la Liga de los Estados Árabes con la convención para combatir delitos con tecnología de la información[4]. Asimismo, existen instrumentos de la Unión Europea; Convención para la protección de niños 2007; Ley modelo de la comunidad de naciones sobre delito informático/evidencia electrónica 2002; Anteproyecto de directiva para combatir el delito cibernético en Ecowas 2009, Acuerdo de Cooperación CIS[5].

 

Dicho lo anterior, se puede afirmar que los delitos informáticos, cibernéticos, electrónicos, de alta tecnología, digitales, contra la confidencialidad integridad y disponibilidad de la información, o como se les quiera denominar, son un objetivo importante en las agendas de los Estados contemporáneos y un pilar fundamental para custodiar las economías digitales. No obstante, se debe precisar, que existe una línea muy delgada entre legislar y garantizar el despliegue de la tecnología para un funcionamiento correcto, pero que a contrario sensu sin un orden, se puede llegar a violar los derechos fundamentales como la libertad de expresión y autodeterminación informativa, creando diversas lagunas, antinomias o anomias jurídicas, colisionando derechos como libertad de expresión contra derecho al honor, o incluso el derecho de privacidad contra el deber de seguridad nacional, creando una aporía jurídica con ausencia de camino o sin salida, prevaleciendo la ley del más fuerte.

 

  1. ANTECEDENTES LEGISLATIVOS.

 

Previo a comenzar esta sección, es imperante señalar, que en el mundo jurídico nos encontraremos diversos vehículos legales los cuales son Código, ley nacional, ley general, ley federal, ley orgánica, ley reglamentaria y ley especial, las cuales sintetizo a continuación en armonía con la ciberseguridad[6]:

  • Código: Su denominación es totalmente diferente a lo tradicional y contempla disposiciones que son muy usadas, pero en esencia los códigos son un cuerpo de leyes, esto quiere decir que es una compilación de preceptos legales. En este caso es muy difícil llegar a tener un código de delitos cibernéticos, ya que la materia no está lo suficientemente desarrollada para crear uno; es por ello, que todos los delitos penales se encuentran actualmente en el Código Penal Federal y los delitos informáticos en su título noveno “Revelación de secretos y acceso ilícito a sistemas y equipos de informática”.
  • Ley Nacional: Tal como el caso del Código Nacional de Procedimientos Penales, en el supuesto que se creara una Ley Nacional de Delitos Cibernéticos, se centraría todo el contenido en un único vehículo legal, sin dar la opción de poder legislar sobre el tema a las entidades federativas y municipios.
  • Ley General: Las leyes generales tienen por objeto establecer la concurrencia de la Federación, entidades federativas y los municipios, para que desde los ámbitos de sus respectivas competencias legislen con una efectiva congruencia, coordinación y participación, garantizando derechos, señalando obligaciones, atribuciones, límites, principios, bases generales y procedimientos. En pocas palabras, es una coordinación entre la Federación, entidades federativas y los municipios. En el caso que se creara una Ley General de delitos cibernéticos, con el tiempo se tendrían que producir a la par una ley federal y varias estatales sujetas a las disposiciones de la ley general. Esto produciría un orden legal donde con la visión de establecer de manera muy clara qué tipos de delitos cibernéticos son competencia de la Federación y cuáles de los Estados, aunque claramente la Constitución Federal menciona que las facultades que no están expresamente concedidas por la Constitución se entienden reservadas a los Estados en el ámbito de sus respectivas competencias.
  • Ley Federal: Estas leyes son expedidas por el Poder Legislativo Federal, que dentro de sus facultades se especifica cuando existe reserva de temas especiales y únicos, de manera formal estas leyes se aplican a toda la república en asuntos del orden federal. Pero por principio del federalismo son para todo el territorio nacional, donde es obligatorio su cumplimiento y observancia en todo México, e independientemente del estado donde residimos; debemos acatarlas. Estas leyes son supletorias para las legislaciones de los Estados, por ejemplo, el Código Civil Federal es un supletorio para llenar lagunas legales o disposiciones no contempladas en los Códigos Civiles Estatales. En este caso, actualmente algunas disposiciones sobre crimen y delitos informáticos en México se encuentran contemplados en el Código Penal Federal, en su título noveno “Revelación de secretos y acceso ilícito a sistemas y equipos de informática”.
  • Ley Orgánica: En México, las leyes orgánicas son ordenamientos legales que contienen normas relativas a la adecuada organización interior de instituciones como la Administración Pública Federal, Poderes Legislativo, Ejecutivo y Judicial, entre otros, así como su funcionamiento y bases de organización. Una ley orgánica en asuntos de ciberseguridad sería para establecer la estructura y funcionamiento de las autoridades encargadas para la vigilancia, cumplimiento o investigación de delitos en el ciberespacio.
  • Ley reglamentaria: El carácter reglamentario de la ley radica en su contenido y no se refiere a la relación jerárquica con las demás leyes. En un sentido estricto, algunas leyes son reglamentarias por partir de disposiciones de la misma Constitución, ya que pueden ser desde artículos o hasta párrafos, por ejemplo el artículo 6 de nuestra Constitución Federal es el que garantiza el derecho fundamental de acceso al Internet, por ello la Ley Federal de Telecomunicaciones y Radiodifusión en su artículo 1 menciona que la presente Ley es de orden público y tiene por objeto regular el uso, aprovechamiento y explotación del espectro radioeléctrico, las redes públicas de telecomunicaciones, el acceso a la infraestructura activa y pasiva, los recursos orbitales, la comunicación vía satélite, la prestación de los servicios públicos de interés general de telecomunicaciones y radiodifusión, y la convergencia entre éstos, los derechos de los usuarios y las audiencias, y el proceso de competencia y libre concurrencia en estos sectores, para que contribuyan a los fines y al ejercicio de los derechos establecidos en los artículos 6o., 7o., 27 y 28 de la Constitución Política de los Estados Unidos Mexicanos.
  • Ley especial: Estas se refieren a una materia concreta o determinadas instituciones, así como relaciones jurídicas en particular y aquellas enfocadas a un sector. Algunos ejemplos de leyes especiales son la Ley para la Protección de Personas Defensoras de Derechos Humanos y Periodistas, y la Ley de Comercio Exterior. Si se creara una ley específicamente para delitos informáticos o ciberdelitos, esta sería la ley especial de la materia.

 

Dicho todo lo anterior, es menester enunciar, que la piedra angular de los delitos informáticos en México (federal), surgió tras la reforma del 17 de mayo de 1999, la cual adicionaba en el Código Penal Federal el capítulo Acceso ilícito a sistemas y equipos de informática, comprendida de los artículos 211 bis 1 al 211 bis 7[7]. Desde ese momento se han perfeccionado tal catálogo de delitos con reformas del 24 junio de 2009, y 17 junio de 2016[8] y que en la actualidad es el siguiente:

 

CAPITULO II

Acceso ilícito a sistemas y equipos de informática

 

(ADICIONADO, D.O.F. 17 DE MAYO DE 1999)

ARTÍCULO 211 bis 1.- Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa.

 

Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año de prisión y de cincuenta a ciento cincuenta días multa.

 

(ADICIONADO, D.O.F. 17 DE MAYO DE 1999)

ARTÍCULO 211 BIS 2.- Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de uno a cuatro años de prisión y de doscientos a seiscientos días multa.

 

Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa.

 

(ADICIONADO, D.O.F. 24 DE JUNIO DE 2009)

A quien sin autorización conozca, obtenga, copie o utilice información contenida en cualquier sistema, equipo o medio de almacenamiento informáticos de seguridad pública, protegido por algún medio de seguridad, se le impondrá pena de cuatro a diez años de prisión y multa de quinientos a mil días de salario mínimo general vigente en el Distrito Federal. Si el responsable es o hubiera sido servidor público en una institución de seguridad pública, se impondrá además, destitución e inhabilitación de cuatro a diez años para desempeñarse en otro empleo, puesto, cargo o comisión pública.

 

(ADICIONADO, D.O.F. 17 DE JUNIO DE 2016)

Las sanciones anteriores se duplicarán cuando la conducta obstruya, entorpezca, obstaculice, limite o imposibilite la procuración o impartición de justicia, o recaiga sobre los registros relacionados con un procedimiento penal resguardados por las autoridades competentes.

 

(ADICIONADO, D.O.F. 17 DE MAYO DE 1999)

ARTÍCULO 211 bis 3.– Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de dos a ocho años de prisión y de trescientos a novecientos días multa.

 

Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente copie información que contengan, se le impondrán de uno a cuatro años de prisión y de ciento cincuenta a cuatrocientos cincuenta días multa.

 

(ADICIONADO, D.O.F. 24 DE JUNIO DE 2009)

A quien estando autorizado para acceder a sistemas, equipos o medios de almacenamiento informáticos en materia de seguridad pública, indebidamente obtenga, copie o utilice información que contengan, se le impondrá pena de cuatro a diez años de prisión y multa de quinientos a mil días de salario mínimo general vigente en el Distrito Federal. Si el responsable es o hubiera sido servidor público en una institución de seguridad pública, se impondrá además, hasta una mitad más de la pena impuesta, destitución e inhabilitación por un plazo igual al de la pena resultante para desempeñarse en otro empleo, puesto, cargo o comisión pública.

 

(ADICIONADO, D.O.F. 17 DE MAYO DE 1999)

ARTÍCULO 211 bis 4.- Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa.

 

Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa.

 

(ADICIONADO, D.O.F. 17 DE MAYO DE 1999)

ARTÍCULO 211 bis 5.- Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa.

 

Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente copie información que contengan, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa.

 

Las penas previstas en este artículo se incrementarán en una mitad cuando las conductas sean cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero.

 

(ADICIONADO, D.O.F. 17 DE MAYO DE 1999)

ARTÍCULO 211 bis 6.– Para los efectos de los artículos 211 Bis 4 y 211 Bis 5 anteriores, se entiende por instituciones que integran el sistema financiero, las señaladas en el artículo 400 Bis de este Código.

 

(ADICIONADO, D.O.F. 17 DE MAYO DE 1999)

ARTÍCULO 211 bis 7.- Las penas previstas en este capítulo se aumentarán hasta en una mitad cuando la información obtenida se utilice en provecho propio o ajeno.

 

No obstante, desde la adición de delitos específicamente informáticos en el ordenamiento penal mexicano, se han llevado a cabo diversas iniciativas de ley y decreto, las cuales, de manera no limitativa, se enlistan a continuación:

 

  • 12 Abril 2005: Iniciativa que reforma, adiciona y deroga diversas disposiciones del código penal federal, del código federal de procedimientos penales, de la ley federal contra la delincuencia organizada y de la ley de la policía federal preventiva, en materia de delitos cibernéticos y de delitos contra menores[9].
  • 13 Abril 2010: De la sen. Claudia Sofía Corichi García, del grupo parlamentario del partido de la revolución democrática, la que contiene proyecto de decreto por el que se adiciona un párrafo a la fracción xvi del artículo 64 de la ley federal de telecomunicaciones y se agrega un capítulo iii al título noveno del código penal federal[10].
  • 15 Febrero 2012: De la comisión de justicia con proyecto de decreto que reforma y adiciona diversas disposiciones al código penal federal[11].
  • 28 Marzo 2012: Proyecto de decreto por el que se reforman y adicionan diversas disposiciones al código penal federal en materia de delitos en contra de medios o sistemas informáticos.[12]
  • 18 Abril 2012: Proyecto de dictamen de las comisiones unidas de justicia y de estudios legislativos, segunda, el que contiene proyecto de decreto por el que se reforman y adicionan diversas disposiciones al código penal federal[13].
  • 16 Abril 2013: Reforma y adiciona diversas disposiciones de los códigos penal federal, y federal de procedimientos penales, así como de las leyes general para prevenir, sancionar y erradicar los delitos en materia de trata de personas y para la protección y asistencia a las víctimas de estos delitos, de la policía federal, y federal de telecomunicaciones, a cargo de Consuelo Argüelles Loya y suscrita por José Alejandro Montano Guzmán[14].
  • 16 Octubre 2014: Dictamen de la comisiones unidas de defensa nacional y estudios legislativos, a la minuta con proyecto de decreto por el que se reforman y adicionan diversas disposiciones de la ley orgánica del ejército y fuerza aérea mexicanos[15].
  • 22 Octubre 2015: Iniciativa con proyecto de decreto por el que se expide la LEY FEDERAL PARA PREVENIR Y SANCIONAR LOS DELITOS INFORMÁTICOS, del Senador Omar Fayad Meneses[16].
  • 04 Febrero 2016: Iniciativa con proyecto que reforma y adiciona diversas disposiciones del código penal federal, de la ley general de víctimas, de la ley de delitos de imprenta y del código nacional de procedimientos penales en materia de legislación regulatoria de los delitos informáticos contra niñas, niños y adolescentes, senadora Diva Hadamira Gastélum Bajo[17].
  • 12 Abril 2016: Iniciativa con proyecto de decreto por la que se reforman y adicionan diversas disposiciones del Código Penal Federal, la Ley de Sistema de Pagos, la Ley del Banco de México y de la Ley de Instituciones de Crédito, senadores, Ma. Del Rocío Pineda Gochi, Angélica del Rosario Araujo Lara, Lisbeth Hernández Lecona, Ivonne Liliana Álvarez García, Margarita Flores Sánchez y Óscar Román Rosas González[18].
  • 19 Abril 2016: Iniciativa con proyecto de decreto por el que se deroga el capítulo xi de la ley federal de protección de datos personales en posesión de particulares, denominado «de los delitos en materia del tratamiento indebido de datos personales», y se adiciona un título vigésimo séptimo al libro segundo del código penal federal, denominado «delitos contra la identidad de las personas», senador Arturo Zamora Jiménez [19].
  • 28 Abril 2016: De la comisión de justicia, con proyecto de decreto por el que se adiciona el artículo 430 del código penal federal, en materia de usurpación de identidad[20]
  • 06 Septiembre 2016: Iniciativas con proyecto de decreto por el que se adiciona un capítulo iii bis denominado robo de identidad, al título vigésimo segundo del código penal federal y se adiciona una fracción iii al párrafo cuarto del artículo 115 de la ley de instituciones de crédito, senador René Juárez Cisneros[21]
  • 13 Octubre 2016: Iniciativa que adiciona diversas disposiciones del código penal federal, suscrita por la dip. Lorena Corona Valdés (pvem) e integrantes del grupo parlamentario del pvem[22].
  • 21 Julio 2017: Iniciativa con proyecto de decreto que reforma el código penal federal, presentada por el diputado Clemente Castañeda Hoeflich[23].
  • 14 Septiembre 2017: Iniciativa con proyecto de Decreto que adiciona al Título Decimoctavo el Capítulo III, artículo 287 Bis 287 Ter, del Código Penal Federal, DIP. Germán Ernesto Ralis Cumplido[24].
  • 26 Octubre 2017: Iniciativa con proyecto de decreto por el que reforma y adiciona diversas disposiciones del código penal federal, a cargo del diputado Roberto Alejandro Cañedo Jiménez[25].
  • 30 Octubre 2017: Iniciativa de ley con proyecto de decreto que adiciona la fracción iii del artículo 139 del Código penal federal, a cargo de la senadora María Verónica Martínez Espinoza, Lisbeth Hernández Lecona y Ernesto Gándara Camou[26].
  • 07 Noviembre 2017: Iniciativa con proyecto de decreto por el que se reforman y adicionan diversas disposiciones del Código Penal Federal y del Código Nacional de Procedimientos Penales, en materia de delitos informáticos, evidencias digitales y medidas de cooperación internacional para combatir el ciberdelito, suscrita por la diputada Sofía González Torres e integrantes del grupo parlamentario del pvem y el diputado Waldo Fernández González, del prd[27].
  • 06 Marzo 2018: Que reforma y adiciona diversas disposiciones de la ley de la policía federal, del código nacional de procedimientos penales, del código penal federal y de la ley general para prevenir, sancionar y erradicar los delitos en materia de trata de personas y para la protección y asistencia a las víctimas de estos delitos, a cargo de la diputada Julieta Fernández Márquez[28]
  • 17 Abril 2018: Iniciativa que expide la ley general de seguridad privada, reforma diversas disposiciones de la ley general del sistema nacional de seguridad pública y abroga la ley federal de seguridad privada, a cargo del diputado César Alejandro Domínguez Domínguez[29].
  • 15 Noviembre 2018: Iniciativa que reforma y adiciona diversas disposiciones del código penal federal, a cargo del diputado Jorge Luis Preciado Rodríguez e integrantes del grupo parlamentario del pan[30]
  • 04 Diciembre 2018: Iniciativa que reforma y adiciona diversas disposiciones al código penal federal, suscrita por el diputado Luis Alberto Mendoza Acevedo e integrantes del grupo parlamentario del pan[31].
  • 14 Febrero 2019: Iniciativa con proyecto de decreto por el que se reforma el artículo 211 bis 1 del código penal federal, diputado José Salvador Rosas Quintanilla e integrantes del grupo parlamentario del pan[32].
  • 07 Marzo 2019: Iniciativa que reforma el artículo 40 de la ley de puertos, suscrita por el diputado José Salvador Rosas Quintanilla e integrantes del grupo parlamentario del pan[33]
  • 19 Marzo 2019: Iniciativa de la senadora Jesús Lucía Trasviña Waldenrath, con proyecto de decreto que reforma y deroga diversas disposiciones del Título Noveno, Libro Segundo del Código Penal Federal y se expide la LEY DE SEGURIDAD INFORMÁTICA[34].
  • 09 Abril 2019: Iniciativa que reforma los artículos 14 de la ley orgánica de la fiscalía general de la república, 259 bis del código penal federal y 51 del código nacional de procedimientos penales, a cargo de la diputada Adriana Gabriela Medina Ortiz[35].
  • 30 Abril 2019: Iniciativa con proyecto de decreto para reformar y adicionar diversas disposiciones del código penal federal en materia de ciberseguridad, por la senadora Alejandra Lagunes Soto Ruiz[36].
  • 31 Julio 2019: Iniciativa con proyecto de decreto por el que se reforma el artículo 313 del código penal federal a fin de tipificar la inducción al suicidio por medio de redes sociales e informáticos[37].
  • 03 Septiembre 2019: Iniciativa que adiciona el artículo 140 bis al código penal federal, a cargo de la diputada Rocío Barrera Badillo.[38]
  • 10 Septiembre 2019: Iniciativa que reforma y adiciona diversas disposiciones de la ley federal de protección de datos personales en posesión de los particulares, suscrita por la diputada Jacqueline Martínez Juárez e integrantes del grupo parlamentario del pan[39].
  • 12 Septiembre 2019:
    • Iniciativa con Proyecto de Decreto por el que se reforma el artículo 315, y el artículo 315 Bis del Código Penal Federal, senador Víctor Oswaldo Fuentes Solís[40].
    • Iniciativa con Proyecto de Decreto por el que se adiciona un inciso g) a la fracción I del artículo 10, de la Ley General para Prevenir y Sancionar los Delitos en Materia de Secuestro, Reglamentaria de la fracción XXI del artículo 73 de la Constitución Política de los Estados Unidos Mexicanos, senador Víctor Oswaldo Fuentes Solís[41]
  • 24 Septiembre 2019: Iniciativa que reforma el artículo 73 de la constitución política de los estados unidos mexicanos, a cargo del diputado Javier Salinas Narváez[42].
  • 15 Octubre 2019: Iniciativa con proyecto de decreto para reformar y adicionar diversas disposiciones del código penal federal en materia de ciberdelito, Senadora Alejandra Lagunes Soto Ruiz[43].
  • 23 Octubre 2019: Dictamen proyecto de decreto por el que se adiciona una fracción VI al artículo 6 de la Ley General de Acceso a las mujeres a una vida libre de violencia[44].
  • 05 Febrero 2020: Iniciativa con proyecto de decreto por el que se reforman diversos artículos del código penal federal, en materia de adecuación constitucional, senador Miguel Ángel Mancera Espinoza[45].
  • 05 Marzo 2020: Iniciativa del sen. Víctor Oswaldo Fuentes Solís, del grupo parlamentario del partido acción nacional, con proyecto de decreto por el que se adiciona un párrafo tercero al artículo 325 del código penal federal[46].
  • 01 Septiembre 2020: Iniciativa con aval del grupo parlamentario que contiene proyecto de decreto por el que se modifica la denominación del capítulo ii, del título noveno, del libro segundo y se reforma el artículo 211 bis 1 y se derogan diversos artículos del código penal federal; se reforman y adicionan diversos artículos de la ley general del sistema nacional de seguridad pública; se adiciona una fracción xiv al artículo 5° de la ley de seguridad nacional; y se expide la LEY GENERAL DE CIBERSEGURIDAD, Senador Miguel Ángel Mancera Espinosa[47].

 

En el mismo sentido, se realizó la Estrategia Nacional de Ciberseguridad el año 2017[48], la cual era un documento de trabajo donde participaron grupos de diferentes sectores de la sociedad. Por otra parte, en el año 2019, la Cámara de Senadores condecoró el mes de octubre como el mes nacional de la ciberseguridad [49]. Incluso el 29 de Octubre de 2019 se exhortó por la Cámara de Diputados a la Secretaría de Relaciones Exteriores, para realizar las gestiones necesarias y adherirse al convenio de Budapest sobre ciberdelincuencia[50].

 

III. DE LA INICIATIVA QUE EXPIDE LA LEY GENERAL DE CIBERSEGURIDAD.

 

En la exposición de motivos se indica, que dicha reforma surge a raíz de la automatización necesaria por el virus conocido como covid-19, aunado a los diversos ataques cibernéticos que han sufrido este año 2020 algunas dependencias como Pemex, Secretaría de Economía y Banco de México. Aunado a esto, tomando en cuenta las estadísticas del archivo digital más grande de sitios webs modificados zone-h, donde los delincuentes cibernéticos tras desfigurar un sitio web lo registran en la misma, indica que respecto a los dominios web .gob.mx existe un total de notificaciones de 6,553 de las cuales 2,631 IP única y 3,922 desfiguraciones masivas[51]. Pero estos datos son mínimos, ya que no se registran aquellas vulneraciones de seguridad no reveladas por los ciberdelincuentes, sector privado y sociedad civil mexicana que usan otros dominios web, así como aquellos ataques de estafa, ingeniería social, phishing o denegación de servicio.

 

Pasando a la iniciativa que modifica la denominación del capítulo II, del título noveno, del libro segundo y se reforma el artículo 211 bis 1 y se derogan diversos artículos del código penal federal; se reforman y adicionan diversos artículos de la ley general del sistema nacional de seguridad pública; se adiciona una fracción xiv al artículo 5° de la ley de seguridad nacional; y se expide la ley general de ciberseguridad del Senador Miguel Ángel Mancera Espinosa[52], se examinará brevemente a continuación.

 

La información oficial del Sistema de Información Legislativa gubernamental define como aspectos relevantes que la iniciativa tiene por objeto establecer las bases de integración y acción coordinada de las instituciones y autoridades encargadas de preservar la ciberseguridad en las instituciones del Estado y la sociedad. Entre lo propuesto destaca: 1) establecer tipos penales en la materia e integrar la forma y los términos en que las autoridades de las entidades federativas y los municipios colaborarán con la Federación en dicha tarea; 2) garantizar el derecho de acceso a las tecnologías de la información y comunicación, así como a los servicios de telecomunicaciones, incluido el de banda ancha e internet en forma segura; 3) crear la Comisión Permanente de Ciberseguridad dentro de la estructura del Consejo Nacional de Seguridad Pública; 4) originar el Centro Nacional de Ciberseguridad dentro de la estructura del Secretariado Ejecutivo del Sistema Nacional de Seguridad Pública; 5) definir la infraestructura de información crítica y lo relativo al Centro Nacional de Ciberseguridad, así como sus atribuciones, integración y funcionamiento; 6) determinar los proveedores de servicios de ciberseguridad; 7) describir la Estrategia Nacional de Ciberseguridad; 8) tipificar los delitos en el ramo; y, 9) estipular los Convenios internacionales en el ramo. Para tal fin se modifica el artículo 211 Bis 1 y se derogan diversos artículos del Código Penal Federal; los artículos 16, 17 y 22 Bis de la Ley General del Sistema Nacional de Seguridad Pública; y, 5 de la Ley de Seguridad Nacional[53].

 

No obstante, a pesar del resumen oficial, es necesario entrar en estudio. Por lo anterior, dicha iniciativa en comento, primero modifica la denominación del Capítulo II Título Noveno del Código Penal Federal, denominado actualmente “Acceso ilícito a sistemas y equipos de informática” con la propuesta de actualizarlo por “De los delitos cometidos en materia de ciberseguridad”, además reforma el artículo 211 bis 1 para estipular que los delitos cometidos en contra de los sistemas informáticos, personas o en materia de ciberseguridad, se sancionarán de acuerdo a la legislación especial y deroga los artículos 211 bis 2 al 2011 bis 6 del mismo.

 

Por otra parte, reforma la Ley General del Sistema Nacional de Seguridad Pública, para establecer la creación de la Comisión Permanente de Ciberseguridad dentro de la estructura del Consejo Nacional de Seguridad Pública, con la atribución de coordinarse con el Secretario Ejecutivo para dar seguimiento a disposiciones aplicables por parte de los Centros Nacionales. Concluye en enlistar las atribuciones de dicho Centro Nacional de Ciberseguridad, siendo las siguientes: I. Monitorear, prevenir y manejar los riesgos, peligros y amenazas de ciberseguridad que surgen dentro y fuera del territorio nacional; II. Proteger la infraestructura de información crítica contra ataques, intrusiones, interferencias, negaciones de servicio y destrucción; III. La prevención de los delitos en contra de la infraestructura de información crítica. IV. Elaborar y actualizar continuamente la Estrategia Nacional de Ciberseguridad; V. Coordinarse con el Instituto Federal de Telecomunicaciones para determinar la política en la materia de Ciberseguridad. VI. Contar con un registro de infraestructura de información crítica, así como con un atlas de la misma. VII. Integrar y supervisar un padrón de empresas o personas que presten servicios de ciberseguridad.

 

Como tercer punto, reforma la Ley de Seguridad Nacional, agregando como amenaza de seguridad nacional los actos tendentes a amenazar, afectar, inhabilitar o destruir la infraestructura activa o pasiva de telecomunicaciones que sean indispensable para la provisión de bienes o servicios públicos o para el adecuado funcionamiento de las instituciones del Estado.

 

Por último, expide la Ley General de Ciberseguridad, la cual está dividida en 47 artículos y IX títulos. En su título I denominado “Disposiciones generales”, estipula como primera disposición su fundamento habilitante, siendo el artículo 6 de la Constitución Federal e indicando su observancia y cumplimiento en el territorio nacional. Posteriormente define algunos conceptos como Centro Nacional; Ciberataque; Ciberseguridad; Ciberamenaza; Ciberdefensa; Ciberespacio; Comisión Permanente; Datos Personales; Estrategia; Infraestructura activa; Infraestructura pasiva; Infraestructura Informática Crítica; Internet; Rede de telecomunicaciones; Registro Nacional de Infraestructuras Informáticas Críticas; Operador de red; Proveedor de servicios; Riesgo; Sistema Informático; Tecnologías de la Información y Comunicación (TIC); Vulnerabilidades; Administración de riesgos; Disponibilidad; Integridad; Confidencialidad.

 

Asimismo enlista como objetos, establecer bases de integración para preservar la ciberseguridad; establecer tipos penales para trabajar en concurrencia con los órdenes de gobierno, e integrar formas de organización para garantizar el derecho de acceso a las TIC,  incluido banda ancha e Internet en forma segura; establece obligación del Estado para tomar medidas de monitoreo, prevención y manejo de riesgos, peligros y amenazas interna y externamente del territorio, así como proteger la infraestructura de información crítica; también establece garantía de investigación y desarrollo para una educación y bienestar saludable en menores de edad en el uso de las TIC; una mejora continua en la Estrategia Nacional de Ciberseguridad; presentar políticas y procedimientos estratégicos; sancionar actividades en el ciberespacio ilegales, criminales; y por último, fomentar la educación de ciberseguridad en la población de manera concurrente.

 

El título II denominado “De la comisión permanente de Ciberseguridad”, hace referencia a que el Consejo Nacional de Seguridad Pública contará con una Comisión Permanente de Ciberseguridad, donde se coordinará con el Secretariado Ejecutivo del Sistema Nacional de Seguridad Pública para dar seguimiento y cumplimiento a las disposiciones aplicable por el Centro Nacional de Ciberseguridad. En dicha Comisión podrán participar expertos en la materia de diversos sectores.

 

El título III denominado “De la Infraestructura de la Información crítica y del Centro Nacional de Ciberseguridad”, aborda lo siguiente:

  • Realiza un nexo legal con las atribuciones enlistadas en la Ley General del Sistema Nacional de Seguridad Pública.
  • Aunado a que podrá coordinarse con el Instituto Federal de Telecomunicaciones para determinar políticas en materia de ciberseguridad.
  • Otorga potestad al Centro Nacional para designar la infraestructura y sistemas necesarios para catalogarse como infraestructura de información crítica. Además, contará con un registro de información crítica, así como un atlas, las cuales serán revisadas y actualizadas anualmente.
  • Otorga la atribución de ser encargados de la prevención de delitos en contra de la infraestructura de información crítica. Asimismo, impone la obligación de expedir lineamientos de ciberseguridad y administración de riesgos que tendrán que seguir las personas de todos los sectores, que tengan en su poder infraestructura de información crítica. Con la facultad de poder llevar a cabo visitas de revisión y verificación a las autoridades para vigilar el cumplimiento de estos.
  • El Centro nacional deberá expedir también, los requisitos mínimos y prácticas que deberán seguir las autoridades de los tres órdenes de gobierno en materia de ciberseguridad, es decir; Federación, Estados y Municipios.
  • El Centro implementará la protección estratégica sobre la base de un sistema de protección multinivel de ciberseguridad para servicios públicos de diversos sectores, definiendo el alcance específico y las medidas de protección.
  • El Centro implementará un monitoreo de ciberseguridad con alertas y comunicación, donde las entidades de seguridad apoyarán en recopilar, analizar e informar.
  • Por último, las dependencias y organismos con infraestructura de información crítica que cuenten con responsable de ciberseguridad se coordinarán con la Comisión para establecer y completar mecanismos, formular planes de respuestas a emergencias de incidentes y organizar simulacros. Dichos planes de respuesta de emergencias de incidentes de ciberseguridad clasificarán los incidentes en función a factores como grado de daño, alcance, impacto, medidas y respuestas.

 

El título IV denominado “De la seguridad de las operaciones en la red”, aborda lo siguiente:

  • El Centro Nacional deberá definir como parte de la Estrategia Nacional de Ciberseguridad un sistema de protección multinivel de ciberseguridad. Asimismo, la construcción, operación, provisión de servicios de redes, se realizará de acuerdo con las normas jurídicas nacionales o tratados internacionales.
  • Dicta que los operadores de red que lleven a cabo actividades comerciales o de servicio deberán cumplir con las leyes y regulaciones administrativas, específicamente las de ciberseguridad, aceptando la supervisión del Gobierno Federal.
  • Impone la obligación a los operadores de red para garantizar que las redes estén libres de interferencias, daños o acceso no autorizados, adoptando diversas medidas técnicas para evitar malware que pongan en peligro la seguridad nacional; establecer sistemas de gestión y normas internas de funcionamiento para responsables de ciberseguridad; adoptar medidas técnicas para monitorear y registrar estados operativos e incidentes, almacenando dichos registros al menos durante un año; adoptar medidas de clasificación de datos, copias de seguridad y cifrado.
  • Declara que los proveedores de productos o servicios de red no deberán instalar programas maliciosos, y al detectar fallas o vulnerabilidad deberán adoptar de inmediato medidas correctivas e informar a los usuarios.
  • De manera puntual, indica que el equipo de red crítico y los productos especializados de ciberseguridad deberán cumplir con las normas y requisitos obligatorios, contar con la certificación de seguridad de un proveedor autorizado antes de ser vendidos. En el mismo sentido, el Centro Nacional formulará y expedirá un catálogo de equipos de red críticos y productos especializados de ciberseguridad, promoviendo también el reconocimiento recíproco de certificaciones.
  • Es importante señalar, que los operadores que proveen acceso a la red de los servicios de registro de nombres de dominio para usuarios, que manejan el acceso a la red de telefonía fija o móvil, o que brindan servicios de publicación de información o mensajería instantánea, requerirán que estos proporcionen información de identidad real.
  • Por último, los operadores de red formularán al Centro Nacional planes de respuesta de emergencia para incidentes de seguridad y atenderán las vulnerabilidades, malware o ataques cibernéticos, estipulando la obligación, que cuando suceda un incidente, dichos operadores deberán iniciar de inmediato un plan de respuesta de emergencia y adoptar las medidas correctivas correspondientes, informando inmediatamente a la Comisión.

 

El Título V, denominado “De las amenazas a la ciberseguridad y la seguridad de la información en la red”, aborda lo siguiente:

  • Dicta que el Centro Nacional deberá publicar e informar al Secretario Ejecutivo del Sistema Nacional de Seguridad Pública, de manera continua, un reporte de amenazas a la ciberseguridad para la población en general, además generar un informe anual sobre el estado que guarda la ciberseguridad.
  • El Centro también deberá informar a las autoridades de ciberamenazas que enfrenta, establecer lineamientos de capacitación para servidores públicos.
  • Los operadores de red deberán implementar sistemas de protección para garantizar la confidencialidad de la información de los usuarios, así como un máximo de seguridad de información personal para evitar que la información se divulgue.
  • Indica que todas las personas y empresas serán responsables del uso de sus sitios web y no podrán establecer sitios de internet o grupos para realizar actividades ilícitas o ilegales.
  • Los operadores de red gestionan la información publicada por los usuarios y al descubrir que está prohibida la publicación o transmisión, deberán detener inmediatamente la transmisión, evitando difusión e informar de inmediato a las autoridades.

 

El título VI, denominado “De los proveedores de servicios de ciberseguridad”, explica que el Centro Nacional, deberá establecer requisitos para que empresas proveedoras de ciberseguridad cuenten con certificados con los más altos estándares, además podrá celebrar el Centro convenio con terceros para expedir certificados para la prestación de servicio de ciberseguridad. Estipula que quienes lleven a cabo dichas certificaciones, pruebas, evaluación de riesgos como de vulnerabilidades o malware, deberán cumplir con lineamientos que emita la Comisión. Por último, el Centro deberá integrar un padrón de empresas o personas que presten servicios de ciberseguridad.

 

El título VII denominado “De la estrategia nacional de ciberseguridad”, señala que el Centro Nacional, contará con una Estrategia Nacional de Ciberseguridad que será actualizada al menos cada dos años, siendo un instrumento de coordinación entre los tres ámbitos de gobierno y estableciendo los lineamientos mínimos para el manejo de riesgos, vulnerabilidades y ciberamenazas a las que estén sujetas la infraestructuras informática crítica y sistemas informáticos, así como planes de prevención y de los delitos que establece la ley. En síntesis, este documento deberá prever el fomento de una cultura de ciberseguridad.

 

El título VIII, denominado “De los delitos”, clasifica los delitos en 4 capítulos, los cuales son los siguientes:

  • Capítulo I Delitos contra la Infraestructura Informática Crítica (art. 39-41).
  • Capítulo II Delitos en contra de los Sistemas Informáticos (42-47).
  • Capítulo III Delitos contra las personas usuarias (48-52)
  • Capítulo IV Delitos contra la Ciberseguridad (53-56)

Gráfico 1
Gráfico realizado con iconos hechos por surang, freepik, prettycons, Eucalyp de http://www.flaticon.com/ [CC BY-SA 4.0 (https://creativecommons.org/licenses/by-sa/4.0)]
Entrando en estudio con dicho catálogo de delitos, se puede concluir que, en una primera instancia, se protegen aquellas infraestructuras con activos críticos, o mejor dicho, infraestructura informática crítica, donde su afectación podría causar daños muy graves, en razón al funcionamiento de las actividades del Estado y servicios públicos. En una segunda instancia, están los delitos en contra de los sistemas informáticos, personalizando a los dispositivos, ya sea de manera parcial o total. En una tercera instancia, los delitos contra las personas usuarias que son aquellos crímenes contra los usuarios y particulares. Por último, extiende una nueva conceptualización de delitos contra la ciberseguridad, relacionados con las actividades o acciones necesarias para la protección de redes y sistemas de información.

 

Como comentario a esto, es interesante ver como el Convenio sobre Ciberdelincuencia de Budapest hace una clasificación en cuatro tipos: 1. Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos. 2. Delitos informáticos. 3. Delitos relacionados con el contenido. 4. Delitos relacionados con infracciones de la propiedad intelectual y de los derechos afines. No obstante, se puede identificar cómo la primera, tercera y cuarta clasificación antes mencionadas se refieren al bien jurídico protegido, mientras que la segunda que es sobre delitos informáticos va más encaminada al método en un sentido amplio, creando que ciertas conductas encuadren con delitos informáticos, pero también con las otras tres categorías restantes. Tal clasificación no es en su totalidad una incongruencia, es una clasificación híbrida y mixta, ya que realmente este mundo cibernético crea nuevos delitos, muy aparte de los ya conocidos tradicionalmente, cuestión que las partes que crearon el convenio vieron pertinente para precisar la existencia de éstos mismos[1]. Al final del artículo se encontrará un anexo de consulta, el cual enlista diversos delitos en el ciberespacio y su estado con la iniciativa en estudio.

 

Prosiguiendo el análisis, en su capítulo I “Delitos contra la infraestructura informática crítica”, aborda aquellos delitos en contra de Infraestructura Informática Crítica cuyo artículo 2 fracción XII, define como aquella Infraestructura activa o pasiva que se encuentra total o parcialmente en territorio mexicano y cuyo daño o pérdida implica una afectación en el adecuado funcionamiento de las actividades de las autoridades del Estado o la provisión de servicios públicos, dicho esto se aborda este capítulo a continuación:

  • Impone la sanción de 10 a 15 años de prisión y una multa que va desde las 1000 a 3000 veces la UMA, al que realice actos tendientes a acceder de manera ilegítima, vulnerar, inhabilitar, robar, intervenir, destruir o afectar dicha infraestructura. Con la agravante sobre si la persona encargada de la operación comete dicha acción, esta aumentará hasta en una mitad la pena y en el caso de servidores públicos, aumentará hasta en una tercera parte, sin perjuicio de otras responsabilidades.
  • Posteriormente a quien contribuya en la preparación o realización en las conductas dichas con antelación, se le impondrán de 4 a 9 años de prisión y una multa de 900 a 2800 veces la UMA. Con la agravante sobre si la persona encargada de la operación comete dicha acción, esta aumentará hasta en una mitad la pena y en el caso de servidores públicos, aumentará hasta en una mitad, sin perjuicio de otras responsabilidades.
  • Asimismo, a quien sin autorización legítima copie, modifique, limite el acceso, corrompa o destruya información en sistemas informáticos, considerados infraestructura informática crítica se le impondrán de 10 a 12 años de prisión y una multa de 800 a 2500 veces la UMA. Con la agravante de si es servidor público, se le aumentará la pena en una mitad, sin perjuicio de otras responsabilidades.

gráfico 2
Gráfico realizado con iconos hechos por surang, freepik, Eucalyp de http://www.flaticon.com/ [CC BY-SA 4.0 (https://creativecommons.org/licenses/by-sa/4.0)]
En su capítulo II, denominado “Delitos en contra de los Sistemas Informáticos”, previo a definir los delitos en este capítulo es imperante señalar la definición de sistema informático, la cual se encuentra en el artículo 2 fracción XIX, siendo todo dispositivo o conjunto de dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, cuya función, o la de alguno de sus elementos, sea el procesamiento de datos digitales. A continuación, se aborda este capítulo:

  • Quien por sí o por interpósita persona, sin autorización del dueño, operador o controlador de un sistema informático acceda a la información contenida en el mismo se le impondrán de 2 a 6 años de prisión y multa que va de las 200 a 800 veces la UMA.
  • Quien por sí o por interpósita persona, sin autorización del titular, acceda a una cuenta de servicios proveídos total o parcialmente a través de internet, se le impondrán de 1 a 2 años de prisión y multa que va de las 200 a 800 veces la UMA.
  • Quien, sin autorización del dueño, operador o controlador de un sistema informático, obtenga datos o información referente al tráfico de datos, actividad en internet o mensajes digitales del dueño del equipo o de algún otro usuario autorizado por éste a utilizarlo, se le impondrán de 2 a 6 años de prisión y una multa de 400 a 1000 veces la UMA. Con la agravante de si los datos son íntimos aumentará la pena hasta en una mitad.
  • Quien, sin autorización del dueño, operador o controlador de un sistema informático, copie, corrompa, limite el acceso, modifique o destruya información reservada o que ponga en riesgo el adecuado funcionamiento de las instituciones del Estado, la integridad de instalaciones estratégicas o física de las personas se le impondrán de 10 a 20 años de prisión y multa que va de las 1000 a 3000 veces la UMA.
  • Quién lleve a cabo programas informáticos, aplicativos o cualquier otro conjunto de datos que tenga cómo función el acceder a los datos de un sistema informático sin la autorización del dueño, operador o controlador del sistema, se le impondrán de 8 a 15 años de prisión y multa de 1000 a 1500 UMA. Con la agravante de si la persona que lleva esta conducta tenga como actividad directa o indirecta la provisión de servicios de ciberseguridad, la pena aumentará hasta en una mitad.
  • Quien acceda de manera autorizada a un sistema informático, pero que de manera no autorizada copie, modifique, limite el acceso, corrompa o destruya datos o información contenida en dicho sistema o realice chantaje para permitir el acceso a dicho dato o sistema, se le impondrán de 5 a 7 años de prisión y multa que va de las 200 a 800 veces la UMA. Con la agravante de si los datos están contenidos en una infraestructura informática crítica, la pena aumentará hasta en dos terceras partes.

Gráfico 3

En su capítulo III, denominado “Delitos contra las personas usuarias”, aborda lo siguiente:

  • Quien acceda de manera ilegítima a uno o más sistemas informáticos, de manera física o a través de otro u otros sistemas informáticos, para copiar información considerada datos personales, se le impondrán de 4 a 6 años de prisión y multa que va de las 200 a 600 veces la UMA.
  • Quien, a través de información personal en formato digital, suplante la identidad de una persona para realizar actos con consecuencias jurídicas de cualquier índole, se le impondrán de 6 a 8 años de prisión y multa que va de las 200 a 800 veces la UMA.
  • Quien cree, opere, controle o administre sitios de internet que simulan ser sitios oficiales del estado o de empresas que soliciten y guarden información de la persona usuaria, se le impondrán de 6 a 8 años de prisión y multa que va de las 300 a 800 veces la UMA. Las penas previstas aumentarán hasta en una mitad cuando la información solicitada sean datos personales o información bancaria.
  • Quien intencionalmente y sin la debida autorización por cualquier medio cree, capture, grabe, copie, altere, duplique, clone o elimine datos informáticos contenidos en una tarjeta inteligente o en cualquier instrumento con fines de participación en el sistema financiero; con el objeto de incorporar, modificar la información de personas usuarias, transacciones, simular transacciones o eliminarlas, se le impondrán de 7 a 10 años de prisión y multa que va de las 1500 a 2500 veces la UMA.
  • Quien utilice el ciberespacio para publicar, almacenar y compartir contenidos que sean constitutivos de delitos, se le impondrán de 5 a 10 años de prisión sin perjuicio de las penas que les sean impuestas por la comisión de los delitos y multa que va de las 1000 a 2000 veces la UMA. Cuando la información sea constitutiva de delitos de pornografía o explotación de niñas, niños y adolescentes, las penas aumentarán hasta en dos terceras partes.

 

Gráfico 4
Gráfico realizado con icono hecho por Freepik de http://www.flaticon.com/ [CC BY-SA 4.0 (https://creativecommons.org/licenses/by-sa/4.0)]

En su último capítulo de delitos (IV), denominado “Delitos contra la Ciberseguridad”, de acuerdo con el artículo 2 fracción III, ciberseguridad son todas las actividades o acciones necesarias para la protección de las redes y sistemas de información, de las personas usuarias de tales sistemas y de otras personas afectadas por las amenazas a la seguridad. A continuación, se abordan:

  • Quien lleve a cabo modificaciones no autorizadas en los sistemas informáticos que tengan como consecuencia la generación de una vulnerabilidad se le impondrán de 8 a 12 años de prisión y multa que va de las 800 a 2000 veces la UMA. Agravante: cuando la conducta sea realizada por una persona que tenga como actividad directa o indirecta la provisión de servicios de ciberseguridad, aumentando la pena hasta en una mitad y si se realiza en sistemas informáticos considerados infraestructura informática crítica aumenta hasta en dos terceras partes.
  • Quien distribuya a través del ciberespacio programas, códigos u otro tipo de información con el fin de generar o aprovechar vulnerabilidades en los sistemas informáticos, se le impondrán de 7 a 10 años de prisión y multa que va de las 800 a 1500 veces la UMA.
  • Quien utilice sistemas informáticos de manera parcial o total, con autorización o sin ella, para buscar, generar y aprovechar vulnerabilidades en los sistemas informáticos sin autorización del dueño, administrador, controlador u operador, se le impondrán de 6 a 11 años de prisión y multa que va de las 400 a 800 veces la UMA.
  • Quien afecte la disponibilidad, la integridad y la confidencialidad de los datos o sistemas de infraestructura informática crítica o que, con ánimo de conseguir un lucro o provecho, amenazare al Estado con daños físicos o patrimoniales a datos, sistemas o infraestructura informática crítica, ya sea por vía telefónica, comunicación electrónica o cualquier medio físico o electrónico, se le impondrán de 10 a 20 años de prisión y multa que va de las 1000 a 3000 veces la UMA.

Gráfico 5
Gráfico realizado con icono hecho por Eucalyp de http://www.flaticon.com/ [CC BY-SA 4.0 (https://creativecommons.org/licenses/by-sa/4.0)]
Su último Título IX, denominado “De la cooperación internacional”, expresa que México podrá celebrar tratados o acuerdos interinstitucionales en el ámbito internacional y que, en materia de prevención, el Centro Nacional podrá intercambiar información con dependencias internacionales cuando detecten amenazas a la ciberseguridad o surjan dentro o fuera del ámbito nacional. Cabe destacar que, a la fecha del presente artículo, México solo se encuentra como observador del Convenio de Budapest sobre la Ciberdelincuencia[1].

 

 

TRANSITORIOS

Primero. El presente Decreto entrará en vigor al día siguiente al de su publicación en el Diario Oficial de la Federación.

 

Segundo. La Persona Titular del Centro Nacional de Ciberseguridad será designada por el Presidente del Consejo Nacional de Seguridad Pública en un plazo no mayor a 180 días naturales contados a partir de la entrada en vigor del presente Decreto.

 

Tercero. El Centro Nacional de Ciberseguridad contará con un plano no mayor a seis meses a partir del nombramiento de la persona titular del Centro Nacional para expedir la Estrategia Nacional de Ciberseguridad e integrar el Registro de Infraestructura Informática Crítica, así como los lineamientos de ciberseguridad que tendrán que seguir aquellas personas físicas o morales, públicas o privadas que tengan en su poder infraestructura informática crítica.

 

Cuarto. Para el adecuado cumplimiento de sus funciones, el Centro Nacional de Ciberseguridad, contará con los recursos humanos, materiales y financieros suficientes de acuerdo con las normas presupuestales aplicables.

 

 

  1. CONCLUSIONES.

Previo a enlistar las conclusiones de la iniciativa desentrañada en el presente artículo, recomiendo la lectura de un libro en coautoría por su servidor publicado en 2018 titulado “Internet ¿Arma o Herramienta?, el cual puede ser consultado en el siguiente hipervínculo: http://www.publicaciones.cucsh.udg.mx/kiosko/2018/internet_arma_o_herramienta_Ebook.pdf

 

Listado de conclusiones:

  • Las definiciones elaboradas en el artículo 2 del proyecto de ley general de ciberseguridad, deberán estar en armonía con las legislaciones especiales en protección de datos personales, derechos de autor, protección al consumidor, prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita.
  • Independientemente del bien jurídico protegido que es importante, la técnica legislativa debe llegar a ser lo más perfecta posible, homologada a la estandarización internacional, utilizando conceptos como suplantación, activo, activo crítico, alerta de seguridad, amenaza, medida de seguridad, incidente de seguridad, revelación, riesgo, vulnerabilidad, vulneración de seguridad, autenticación, autorización, etc.
  • Es un paso importante el exigir que los productos y servicios cuenten con los requerimientos mínimos de ciberseguridad, aunado a certificaciones especiales. Asimismo, la existencia de un padrón de personas o empresas que presten servicios de ciberseguridad avalados por el Centro Nacional es un gran avance para la estandarización. Aunado a que la obligación de certificación aumenta la fiabilidad del campo y los usuarios ante las encrucijadas digitales son más competitivos.
  • La imposición de actualizar por lo menos cada dos años la Estrategia Nacional de Ciberseguridad de manera legal, implica continuidad de trabajo y favorece a la nación, ya que la anterior estrategia fue del año 2017 y en pleno 2020 no se ha tenido actualización o mejora.
  • La creación de agencias especializadas en la ciberseguridad es importante, pues más que crear derechos y obligaciones, es imperioso fundar instituciones para la investigación, procuración, impartición de justicia por medios digitales y el ciberespacio.
  • Deberá fortalecerse y ser más exhaustivo en la locución sentenciadora respecto a la imposición a los operadores de red, para gestionar información publicada por usuarios y una vez descubierta que está prohibida la publicación o transmisión, el deber de detenerla inmediatamente, evitando la difusión y debiendo guardar registros e informar a las autoridades. En analogía, están las reformas de derechos de autor en contenido en Internet, que a pesar de ser derecho vigente, se siguen construyendo foros e iniciativas de reformas. El asunto de retirada de contenido no aplicado de manera correcta, o conforme a principios y reglas adecuadas, puede convertirse en un poder despótico.

 

ANEXO.

 

Enfoques hacia la criminalización de los actos de delitos y sanciones cibernéticas

ACCIÓN ESTADO ARTÍCULOS
Acceso ilegal a un sistema informático 39; 41; 42; 43; 44; 45; 48; 51; 53; 55; 56.
Acceso ilegal, intercepción o adquisición de datos informáticos 39; 41; 44; 45; 47; 48; 51; 53; 56.
Interferencia ilegal de datos o sistemas 39; 41; 45; 47; 56.
Producción, distribución o posesión de herramientas para el uso indebido de las computadoras 46; 54.
Violación de las medidas de protección de la privacidad o los datos 44; 48.
Fraude y falsificación informática 50; 51.
Delitos con herramientas de pago electrónico 50; 51.
Delitos informáticos relacionados con la identidad 49; 51.
Delitos informáticos contra los derechos de propiedad intelectual y las marcas comerciales × *Ley especial derechos de autor.
Envío o control del envío de correo basura × *Materia protección al consumidor (sanción) no delito.
Actos que utilicen herramientas informáticas o cibernéticas para constituir delitos (ej. Acoso, extorsión, etc) 52.
Actos relacionados con la informática que involucran racismo o xenofobia × *Materia civil/penal.
Producción, distribución o posesión informática de pornografía infantil 52.
Propuestas o ‘acoso’ informático de niños × *Código Penal.
Actos informáticos en respaldo de delitos de terrorismo × *Código Penal
Delitos informáticos que involucren blanqueo de capitales × *Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita
Delitos informáticos contra el orden público, la moral o la seguridad. 45.
Factores agravantes de delitos convencionales cometidos con un sistema informático, datos íntimos, nexo con el servicio prestado, bancarios o como servidor público. 39; 40; 44; 46; 50; 53.
Tentativa, complicidad o instigación. 39; 40; 42; 43.
Responsabilidad corporativa ×  

 

 

[1] COE, Parties/Observers to the Budapest Convention and Observer Organisations to the T-CY, https://www.coe.int/en/web/cybercrime/parties-observers

[1] Llamas Covarrubias J., Llamas Covarrubias I. “Internet ¿Arma o Herramienta?”, Universidad de Guadalajara, 2018, p. 46, http://www.publicaciones.cucsh.udg.mx/kiosko/2018/internet_arma_o_herramienta_Ebook.pdf

 

[1] IBM. International Business Machines, “Cost of Insider Threats: Global Report 2020”,  https://www.ibm.com/downloads/cas/LQZ4RONE

[2] Weforum (Foro Económico Mundial), “The Global Risks Report 2020 Insight Report 15th Edition In partnership with Marsh & McLennan and Zurich Insurance Group”, 2020http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf

[3] Besares Escobar M., “Tópicos de Derecho Informático”, Instituto de Investigaciones Jurídicas UNACH, 2015, pp. 37-38, https://www.iij-unach.mx/images/publicaciones/Topicos_de_Derecho_Informatico.pdf

[4] Llamas Covarrubias J., Llamas Covarrubias I. “Internet ¿Arma o Herramienta?”, Universidad de Guadalajara, 2018, p. 345, http://www.publicaciones.cucsh.udg.mx/kiosko/2018/internet_arma_o_herramienta_Ebook.pdf

[5] Uitet Nations Office on Drugs and Crime (UNODC) Estudio exhaustivo sobre el delito cibernético, Febrero 2013. New York.

[6] Llamas Covarrubias J., Llamas Covarrubias I. “Internet ¿Arma o Herramienta?”, Universidad de Guadalajara, 2018, pp. 177-181, http://www.publicaciones.cucsh.udg.mx/kiosko/2018/internet_arma_o_herramienta_Ebook.pdf

[7] Diario Oficial de la Federación, 17 Mayo 1999, http://dof.gob.mx/nota_detalle.php?codigo=4948419&fecha=17/05/1999

[8] Puede consultar el avance de reformas desde el periodico oficial de la federación seleccionando las fechas conocidas www.dof.gob.mx

[9] Cámara de Diputados, 12 Abril 2005, http://sil.gobernacion.gob.mx/Archivos/Documentos/2005/04/asun_1841955_20050412_1113430466.pdf

[10] Cámara de Senadores, 13 Abril 2010, http://sil.gobernacion.gob.mx/Archivos/Documentos/2010/04/asun_2653620_20100422_1271960817.pdf

[11] Cámara de Diputados, 15 febrero 2012, http://sil.gobernacion.gob.mx/Archivos/Documentos/2012/03/asun_2865157_20120327_1332261970.pdf

[12] Cámara de Diputados, 28 marzo 2012, http://sil.gobernacion.gob.mx/Archivos/Documentos/2012/04/asun_2867877_20120410_1334067968.pdf

[13] Cámara de Senadores, 18 Abril 2012, http://sil.gobernacion.gob.mx/Archivos/Documentos/2012/04/asun_2879310_20120426_1335449987.pdf

[14] Cámara de Diputados, 16 Abril 2013, http://sil.gobernacion.gob.mx/Archivos/Documentos/2013/04/asun_2977519_20130426_1366126803.pdf

[15] Cámara de Senadores, 16 Octubre 2014, http://sil.gobernacion.gob.mx/Archivos/Documentos/2014/10/asun_3157473_20141016_1413555151.pdf

[16] Cámara de Senadores, 22 de Octubre 2015, http://sil.gobernacion.gob.mx/Archivos/Documentos/2015/10/asun_3291220_20151027_1445523938.pdf

[17] Cámara de Senadores, 04 Febrero 2016, http://sil.gobernacion.gob.mx/Archivos/Documentos/2016/02/asun_3330070_20160209_1454599531.pdf

[18] Cámara de Senadores, 12 Abril 2016, http://sil.gobernacion.gob.mx/Archivos/Documentos/2016/04/asun_3363253_20160419_1460471213.pdf

[19] Cámara de Senadores, 19 Abril 2016, http://sil.gobernacion.gob.mx/Archivos/Documentos/2016/04/asun_3369641_20160426_1461251811.pdf

[20] Cámara de Diputados, 28 Abril 2016, http://sil.gobernacion.gob.mx/Archivos/Documentos/2016/11/asun_3452348_20161124_1480000807.pdf

[21] Cámara de Senadores, 06 Septiembre 2016, http://sil.gobernacion.gob.mx/Archivos/Documentos/2016/09/asun_3405153_20160906_1473182600.pdf

[22] Cámara de Diputados, 13 Octubre 2016, http://sil.gobernacion.gob.mx/Archivos/Documentos/2016/10/asun_3426616_20161013_1476464827.pdf

[23] Cámara de Diputados, 21 Junio 2017, http://sil.gobernacion.gob.mx/Archivos/Documentos/2017/06/asun_3548044_20170621_1498055871.pdf

[24] Cámara de Diputados, 14 Septiembre 2017, http://sil.gobernacion.gob.mx/Archivos/Documentos/2017/09/asun_3574535_20170914_1505775361.pdf

[25] Cámara de Diputados, 26 Octubre 2017, http://sil.gobernacion.gob.mx/Archivos/Documentos/2017/10/asun_3603770_20171027_1509145588.pdf

[26] Cámara de Senadores, 30 Octubre 2017, http://sil.gobernacion.gob.mx/Archivos/Documentos/2017/11/asun_3610110_20171107_1509463256.pdf

[27] Cámara de Diputados, 07 Noviembre 2017, http://sil.gobernacion.gob.mx/Archivos/Documentos/2017/11/asun_3616294_20171109_1510169467.pdf

[28] Cámara de Diputados, 06 Marzo 2018, http://sil.gobernacion.gob.mx/Archivos/Documentos/2018/03/asun_3677527_20180312_1520355058.pdf

[29] Cámara de Diputados, 17 de Abril 2018, http://sil.gobernacion.gob.mx/Archivos/Documentos/2018/04/asun_3697845_20180417_1523984267.pdf

[30] Cámara de Diputados, 15 Noviembre 2018, http://sil.gobernacion.gob.mx/Archivos/Documentos/2018/11/asun_3782415_20181123_1542292208.pdf

[31] Cámara de Diputados, 04 Diciembre 2018, http://sil.gobernacion.gob.mx/Archivos/Documentos/2018/12/asun_3789346_20181204_1543941444.pdf

[32] Cámara de Diputados, 14 Febrero 2019, http://sil.gobernacion.gob.mx/Archivos/Documentos/2019/03/asun_3822246_20190301_1550169543.pdf

[33] Cámara de Diputados, 07 Marzo 2019, http://sil.gobernacion.gob.mx/Archivos/Documentos/2019/04/asun_3850811_20190409_1551990258.pdf

[34] Cámara de Senadores, 19 de marzo 2019, https://infosen.senado.gob.mx/sgsp/gaceta/64/1/2019-03-27-1/assets/documentos/Inic_MORENA_Seguridad_Informatica.pdf

[35] Cámara de Diputados, 09 Abril 2019, http://sil.gobernacion.gob.mx/Archivos/Documentos/2019/04/asun_3871682_20190429_1554833394.pdf

[36] Cámara de Senadores, Abril 2019, https://infosen.senado.gob.mx/sgsp/gaceta/64/1/2019-04-23-1/assets/documentos/Inic_PVEM_Codigo_Penal_Ciberseguridad.pdf

[37] Cámara de Diputados, 31 Julio 2019, http://sil.gobernacion.gob.mx/Archivos/Documentos/2019/07/asun_3890693_20190731_1564588233.pdf

[38] Cámara de Diputados, 03 Septiembre 2019, http://sil.gobernacion.gob.mx/Archivos/Documentos/2019/10/asun_3952801_20191029_1567545644.pdf

[39] Cámara de Diputados, 10 Septiembre 2019, http://sil.gobernacion.gob.mx/Archivos/Documentos/2019/09/asun_3906228_20190918_1568147897.pdf

[40] Cámara de Senadores, 12 Septiembre 2019, http://sil.gobernacion.gob.mx/Archivos/Documentos/2019/10/asun_3926176_20191003_1568819031.pdf

[41] Cámara de Senadores, 12 Septiembre 2019, http://sil.gobernacion.gob.mx/Archivos/Documentos/2019/10/asun_3926113_20191003_1568818834.pdf

[42] Cámara de Diputados, 24 de septiembre 2019, http://sil.gobernacion.gob.mx/Archivos/Documentos/2019/09/asun_3917753_20190926_1569348674.pdf

[43] Cámara de Senadores, 15 Octubre 2019, http://sil.gobernacion.gob.mx/Archivos/Documentos/2019/10/asun_3940594_20191017_1571155113.pdf

[44] Cámara de Diputados, 23 Octubre 2019, http://sil.gobernacion.gob.mx/Archivos/Documentos/2019/11/asun_3968603_20191126_1574785142.pdf

[45] Cámara de Senadores, 05 Febrero 2020, http://sil.gobernacion.gob.mx/Archivos/Documentos/2020/02/asun_3998542_20200213_1581605979.pdf

[46] Cámara de Senadores, 05 Marzo 2020, http://sil.gobernacion.gob.mx/Archivos/Documentos/2020/03/asun_4026001_20200324_1583447294.pdf

[47] Cámara de Senadores, 01 Septiembre 2020, http://sil.gobernacion.gob.mx/Archivos/Documentos/2020/09/asun_4064516_20200902_1599062884.pdf

[48] Gobierno de México, 2017, https://www.gob.mx/cms/uploads/attachment/file/271884/Estrategia_Nacional_Ciberseguridad.pdf

[49] Cámara de Senadores, 2019, http://sil.gobernacion.gob.mx/Archivos/Documentos/2019/10/asun_3933760_20191010_1570717588.pdf

[50] Cámara de Diputados, 29 Octubre 2019, http://sil.gobernacion.gob.mx/Archivos/Documentos/2019/10/asun_3953739_20191029_1572375549.pdf

[51] Zone-h, Dominios web .gob.mx, https://zone-h.org/archive/filter=1/fulltext=1/domain=.gob.mx

[52] Cámara de Senadores, 01 Septiembre 2020, http://sil.gobernacion.gob.mx/Archivos/Documentos/2020/09/asun_4064516_20200902_1599062884.pdf

[53] Sistema de Información Legislativa SEGOB, 2020, http://sil.gobernacion.gob.mx/Reportes/Sesion/reporteAsunto.php?cveAsunto=4064516

 

 

COMPARTIR

Artículos

RELACIONADOS