2017 - Módulo 11 - Actividad 2

Tarea 2: Investigue sobre leyes, políticas e iniciativas de su país (u otro país limítrofe) vinculadas con ciberseguridad. ¿Cuántas se concentran principalmente en el ciberdelito? ¿Qué aspectos de ciberseguridad se indican como los más acuciantes para su país? ¿Hay alguna mención con respecto al modo en que las leyes, políticas, estrategias y/o iniciativas contribuirán a proteger derechos, como el derecho a la privacidad? ¿Qué grado de apertura a la sociedad civil y el público tuvo el proceso de formulación de estrategias?

No ano passado no Brasil foi criada a Comissão Parlamentar de Inquérito (CPIciber) com foco em crimes cibernéticos. Um relatório especial da Coding Rights analisando as leis propostas foi publicado aqui https://cpiciber.codingrights.org/. Houve a possibilidade de participação de membros da sociedade civil, mas não foi realizada uma consulta pública e as discussões em Brasília foram realizadas com muitas tensões entre membros do governo que tinham uma postura um tanto anacrônica em relação ao tema e experts do assunto. Entre vários problemas para a liberdade de expressão, privacidade e segurança dos indivíduos que essa lei propunha, ressaltamos alguns dos problemas:

  • presença de conceitos erroneamente definidos ou irrelevantes e ausência de definição de conceitos importantes, como mostra a tabela abaixo:

  • permissão de bloqueio de aplicações e acesso ao IP sem ordem judicial
    A CPI foi finalizada também em 2016 com muitos dos pontos não sendo adotados, principalmente a partir da grande mobilização da sociedade civil contra a proposta de leis via Coalizção Direitos na Rede https://direitosnarede.org.br/, que na maioria dos casos contrariavam o que já estabelecido pelo Marco Civil. No entanto, o resultado final mostra que a iniciativa privada conseguiu redirecionar o tema para um maior controle dos direitos autorais, restringindo o alcance e compreensão do que se considera cibercrime.

En Costa Rica se encuentra se desarrollando la Estrategia para la implementación de un marco nacional de seguridad cibernética el cual es desarrollado por el Gobierno de Costa Rica representado por el Ministerio de Ciencia, Tecnología y Telecomunicaciones y la Organización de Estados Americanos. Dicha estrategia contempla el ciber delito como uno de componentes a tratar no obstante no es un documento basado en dicho aspectos solamente.
Sino más bien la Estrategia se centra dentro de un marco regulativo de las políticas públicas, en donde se trata vincular tanto dentro del Plan Nacional de Desarrollo y el Plan Nacional de Desarrollo de las Telecomunicaciones, involucrado desde una perspectiva que también incluye la Educación en la Seguridad Cibernética, la conciencia pública y el desarrollo de un marco jurídico acorde a la protección de los derechos de las personas.
En relación al grado de participación en la construcción de la Estrategia se debe de señalar que se han desarrollado talleres de formulación en donde se ha abierto el espacio a la discusión de los temas relacionado en la construcción del documento, así mismo una vez elaborado el material preliminar se ha sometido a procesos de consulta pública donde nuevamente la posibilidad de participación queda abierta.

La normativa sobre seguridad de la información en el Estado se encuentra dispersa en varias Leyes de Presupuesto o Rendición de Cuentas, manteniendo la misma técnica legislativa que da forma a AGESIC y sus reparticiones.
AGESIC, la Agencia de Gobierno Electrónico tiene entre sus cometidos “concebir y desarrollar una política nacional en temas de seguridad de la información, que permitan la prevención, detección y respuesta frente a incidentes que puedan afectar los activos críticos del país.”
Dentro de esta Agencia se encuentra el Consejo Asesor Honorario de Seguridad Informática, el cual está integrado por representantes de Prosecretaría de la Presidencia de la República, Ministerio de Defensa Nacional, Ministerio del Interior, Administración Nacional de Telecomunicaciones y la Universidad de la República. Su función es asesorar a AGESIC en la materia.
El artículo 73 de la Ley 18.362, creó dentro del ámbito de AGESIC el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy) con el objetivo de regular la protección de los activos de información críticos del Estado.
Uruguay no cuenta hoy con Ley de Delitos Informáticos por lo que no podemos encontrar referencia a una política del cibercrimen más que algunos artículos aislados.
De ninguno de estos documentos se extrae mención alguna a los Derechos Humanos como el derecho a la privacidad. Sin embargo la misma Agencia es la que se encarga del cumplimiento de la Ley de Protección de Datos Personales.
Sobre la participación de la Sociedad Civil, tampoco se hace mención aunque debemos destacar que en la última Agenda Digital Uruguay 2017-2020 se prevé la creación de un Centro Nacional de Operación de Ciberseguridad en donde se encuentren representadas todas las partes interesadas.

En el año 2014, la Unión Internacional de Telecomunicaciones (ITU) indicó que Bolivia es el cuarto país más vulnerable a los ataques cibernéticos en el mundo ya que carece de sistemas de ciberseguridad en respuesta a situaciones de emergencia.

En diciembre de 2016 el Ejército Boliviano creó un centro de ciberseguridad y ciberdefensa enfocado en la defensa contra los ataques cibernéticos a páginas web del Estado por parte de hackers.

En marzo de este año la cámara de diputados informó que se está proyectando una ley de ciberseguridad en un estatuto que fue aprobado en una comisión legislativa que indica que los Ministerios de Defensa y de la presidencia elaborarán una política de ciberseguridad en los próximos 12 meses. Esto motivado especialmente por los ataques cibernéticos hacia instituciones del Estado como la Armada, la policía y el Ministerio de Comunicación en 2015-16.

Los aspectos que se toman más en cuenta tienen que ver especialmente con ataques cibernéticos a entidades gubernamentales y últimamente a la prevención de delitos cibernéticos y la prevención de violencia digital como cyberbullying y trata de personas entre otros.

En este aspecto, a principios de este año se creó una unidad especializada en ciberseguridad, la policía cibernética. Esto motivado por la alerta del juego de la ballena azul (que está actualmente en el ojo de la tormenta porque mientras muchos lo catalogan como “fake news”, el Viceministerio de Seguridad Ciudadana ha lanzado una alerta máxima ante la propagación de este reto). Sin embargo, no se mencionan estrategias o iniciativas que se dirijan a salvaguardar el derecho a la privacidad. Es más, se está legitimando el derecho a posar prácticas intrusivas a cuentas de Facebook o Twitter co el fin de desbaratar ‘pandillas cibernéticas’.

Hace algunas semanas atrás, se dictó en Chile la Política Nacional de Ciberseguridad, luego de varios años intentando obtener una guía al respecto. Dentro de los aspectos que puedo destacar de este documento, son ciertas directrices a nivel nacional para que los diferentes actores, básicamente del gobierno, puedan comenzar a trabajar en áreas que estaban en el olvido, pero que son muy importantes para el desarrollo del país.

En materia de ciberdelito, tenemos una Ley de Delito Informático, pero urge una actualización en dicha materia, porque ha tenido múltiples críticas ya que su lógica se centra en las antiguas cintas magnéticas y a sistemas de información similares, no pudiendo responder correctamente a los desafíos de las nuevas tecnologías, ni a nuevos tipos de ilícitos ej. ransonware o phising.

La política, a mi juicio, destaca en que varias partes de la misma se centra en el ciudadano y sus derechos, más que en la seguridad de la Nación, que también es un tema de relevancia. Así, se quiere preparar un proyecto de ley sobre ciberseguridad y manejo de incidentes de seguridad, pero, además, fijar canales de denuncias por ciberdelitos, fomentar la educación y masificación a los ciudadanos sobre estas materias, generar guías prácticas para la ciudadanía, como apoyar en la educación formal.

Un elemento importante en lo que describe la Política, es la necesidad de actualizar nuestra actual normativa sobre Protección de Datos Personales, que no responde a los desafíos que Internet nos impone sobre el cuidado a la privacidad de los ciudadanos.

En cuanto a la participación de la sociedad civil en su conformación, tengo entendido que se realizaron varias mesas interdisciplinarias y se invitaron a algunos actores no gubernamentales como ONG, pero no a otros actores interesados. Ahora bien, una de las medidas que tiene para el 2022, es fomentar la apertura de estos temas y la preparación del Proyecto de Ley, para que todas las partes interesadas puedan expresar sus puntos de vista al respecto.

Es importante que exista una activa participación de la sociedad civil en este proceso, para que los intereses que se plasmen en la normativa sobre Ciberseguridad, permita tener en cuanto el punto de vista de todos los actores.

El pasado 19 y 20 de abril de este año, se realizó un taller en México llamado Hacia la Estrategia Nacional de Ciberseguridad con el fin de avanzar en la construcción y definición de una estrategia nacional en el tema.

En el taller participaron gobierno, el sector privado y la sociedad civil, en él se recopilaron opiniones, experiencias y mejores prácticas nacionales e internacionales en la materia, de acuerdo a lo que se publicó en medios se tuvieron mesas de trabajo en las cuales se abordaron temas como: Esfuerzos y Avances de México en el Área de Ciberseguridad; el rol y experiencia de la Organización de Estados Americanos (OEA) y los expertos y, el Programa de Ciberseguridad del Comité Interamericano contra el Terrorismo (CICTE) de la OEA, entre otros.

El Embajador Aníbal Quiñónez, Representante de la OEA en México dijo que esta estrategia nacional en Ciberseguridad debe apegarse a los más altos estándares internacionales, con el respeto de los derechos humanos.

En el taller se destacó que en el 2016 en México la Policía Federal registró con base en las denuncias, los principales ciberdelitos fueron: 61% de código maliciosos; 13% infraestructura crítica; 11% phishing y 9% por ciento accesos lógicos no autorizados.

De acuerdo a fuentes de la OEA, las pérdidas anuales por ciberdelitos a nivel global alcanzaron los 575 mil millones de dólares -0.5% del Producto Interno Bruto- y en México sumaron 3 mil millones de dólares.

Algunas de las conclusiones que se obtuvieron en las distintas mesas de trabajo informadas por la oficina de la Estrategia Digital Nacional fueron:

• La importancia de tomar en cuenta el factor humano para coordinar políticas desde el ámbito educativo y formar ciudadanos conscientes de los riesgos del ciberespacio.

• La necesidad de definir mecanismos de coordinación para establecer puentes de protección y respuesta inmediata a emergencias de seguridad cibernéticas.

• La complejidad del sistema institucional que hay en nuestro país es uno de los principales obstáculos para conseguir estas respuestas inmediatas.

En cuanto a normativa, Argentina cuenta con la Ley 26.388 de ciberdelitos -modificación del código penal- desde el año 2008 y con Ley 26.904 de Grooming de 2013
Respecto el sector público, en 2011 se creó el “Programa Nacional de Infraestructuras Críticas de Información y Ciberseguridad” (ICIC), que tiene como finalidad impulsar la creación y adopción de un marco regulatorio específico que propicie la identificación y protección de las infraestructuras estratégicas y críticas del Sector Público Nacional, los organismos interjurisdiccionales y las organizaciones civiles y del sector privado que así lo requieran, y la colaboración de los mencionados sectores con miras al desarrollo de estrategias y estructuras adecuadas para un accionar coordinado hacia la implementación de las pertinentes tecnologías, entre otras acciones. Asimismo, la Ciudad de Buenos Aires cuenta con Fiscalías especializadas en ciberdelitos y con el reciente “BA-CSIRT” Centro de Ciberseguridad orientado al ciudadano, enfocado en ofrecer servicios de prevención y educación en aspectos que involucren el uso de la tecnología, capacitando, entrenando y concientizando a la comunidad. A nivel Nacional, se ha creado la UFECI, unidad fiscal especializada en ciberdelincuencia. Fue creada por la Procuradora General de la Nación para enfrentar el fenómeno del cibercrimen de manera articulada con el resto de las áreas del organismo que se dedican a la investigación del crimen organizado. Los supuestos de intervención de la UFECI son: 1) casos de ataques a los sistemas informáticos, 2) delitos cuyo medio comisivo principal o accesorio incluya la utilización de sistemas informáticos, con especial atención en el ámbito de la criminalidad organizada, y 3) crímenes en los que sea necesario realizar investigaciones en entornos digitales.
Por otro lado, la ADC (Asoc. Civil) ha trabajado temas de ciberseguridad (Ej. https://adcdigital.org.ar/wp-content/uploads/2016/06/ciberseguridad-argentina-ADC.pdf). teniendo particiapción activa en la agenda nacional respecto este tema.

Además de lo mencionado por @DeniseRojas se ha implementado un programa llamado Ciberseguridad México 2017 enfocado en los jóvenes y niños para un mejor uso de las TIC y también en los comercios.

1 Like

En México existe la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), es un cuerpo normativo de México, aprobado por el Congreso de la Unión el 27 de abril de 2010, mismo que tiene como objetivo regular el derecho a la autodeterminación informativa. Esta Ley fue publicada el 5 de julio de 2010 en el Diario Oficial de la Federación y entró en vigor el 6 de julio de 2010. Sus disposiciones son aplicables a todas las personas físicas o morales, del sector público y privado, tanto a nivel federal como estatal, que lleven a cabo el tratamiento de datos personales en el ejercicio de sus actividades, por lo tanto empresas como bancos, aseguradoras, hospitales, escuelas, compañías de telecomunicaciones, asociaciones religiosas, y profesionistas como abogados, médicos, entre otros, se encuentran obligados a cumplir con lo que establece esta ley. LFPD Ley Federal de Protección de Datos.

En cuanto a los ciberdelitos, el fraude es el más común, un análisis de la firma de seguridad alemana Avast reveló que los mexicanos están más interesados en resguardar su WhatsApp, que sus tarjetas de crédito.Los usuarios en México están entre los que más se preocupan por la información sensible, íntima y confidencial que almacenan en sus smartphones.

El análisis de Avast señaló que el 52 % de mexicanos prefiere que un cibercriminal acceda a datos de sus cuentas bancarias y/o tarjetas de crédito, que a sus fotos en el celular.

“Más del 80% de los usuarios en el mundo temen por la seguridad de sus datos en el teléfono; sin embargo, para muchos de ellos la mayor preocupación está en textos, fotos o mensajes que mandan. Es un avance pero no es suficiente”, añadió Sigh.

Casi el 25 % de los usuarios dijo que la app que más desean proteger es WhatsApp. Y el 14.3 % aseguró que ya resguarda información en dicha app en la que comparten todo.
Otras aplicaciones cuya seguridad les quita el sueño, por lo tanto también son de las más protegidas, son sus fotos en el celular y Facebook, con 13.2 y 9.4 %, respectivamente.

Entre los delitos en Internet más recurrentes en México, hay quejas por fraude en comercio, códigos maliciosos, suplantación de identidad, pornografía infantil acoso, hurto de contraseñas, bullying, pedofilia, trata de personas menores de edad, sextorsión y el “fraude nigeriano”, denuncian cibernautas mexicanos.

Un reporte de la Secretaría de Seguridad Pública Federal revela que en los reportes de un año (de febrero de 2014 a febrero de 2015) hubo 14 mil 731 denuncias de delitos por parte de usuarios de Internet.
http://www.vanguardia.com.mx/articulo/fraude-principal-ciberdelito-en-mexico

En Panama tenemos varios marcos normativos y estrategias que tocan el tema, incluso dentro del código Penal se regulan algunos delitos; sin embargo hace falta un marco normativo consensuado y completo que regule el tema. Hasta el momento nos hemos basado en aspectos que se encuentran en diferentes normas sin tomar en cuenta que se necesita un solo documento claro y completo que le dé la protección necesaria al tema dentro del país. Actualmente contamos con un equipo nacional de respuesta a incidentes de seguridad de la información denominado CSIRT
En este link se pueden ver algunas normas sobre el tema http://www.innovacion.gob.pa/csirt

No caso do Brasil, Raquel já citou a criação da Comissão Parlamentar de Inquérito (CPIciber) que foi a iniciativa mais expressiva (e perigosa) em temas relacionados à ciberdelitos.

É válido lembrar também que, o Marco Civil da Internet no Brasil - como uma Lei que estabelece Direitos e Deveres relacionados à rede -, veio como “reposta” a uma inciativa legislativa de natureza penal, que ficou conhecida como “Lei Azeredo”. A Lei buscava tipificar condutas realizadas através da Internet e colocava em cheque questões como o armazenamento de dados e identificação de usuários como forma “preventiva” de delitos.

Uma questão recente que também está sendo discutida nesse âmbito é quanto ao jogo “Baleia Azul”, houve uma grande mobilização pelo alarde criado com as notícias veiculadas sobre o “jogo” recentemente e há uma preocupação quanto as iniciativas legislativas que acharam no pânico a justificativa para modificar o Marco Civil e colocar em perigo direitos como a liberdade de expressão (a partir da obrigação de retirada de certos conteúdos do ar). Uma matéria recente sobre o assunto:
https://www.cartacapital.com.br/blogs/intervozes/o-caso-baleia-azul-e-o-erro-de-legislar-por-impulso

En la ciudad de Bs As., recientemente entró en funcionamiento el primer centro de ciberseguridad de la región que asesora a los ciudadanos, el “BA-CSIRT” ( Computer Security Incident Response Team). Este organismo interdisciplinario dependiente del Gobierno de la ciudad de Buenos Aires, está conformado por especialistas en seguridad informática y abogados.
En materia legislativa contamos con leyes específicas enfocadas en el ciberdelito, como la del Grooming y la modificatoria del Código Penal -que tipifica en su cuerpo los delitos informáticos-. En 2015 se crea la Subsecretaría de Protección de Infraestructuras Críticas de Información y Ciberseguridad, dependiente de la Secretaría de Gabinete de la Jefatura de Gabinete de Ministros, con el principal objetivo de llevar a cabo la estrategia nacional de protección de infraestructuras críticas de información y ciberseguridad (Decreto N◦1067/2015 del PEN).
Entre los aspectos de seguridad más relevantes en el ámbito de defensa nacional y seguridad interior se mencionan las acciones que atenten contra la ciberseguridad, delitos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, las redes o los datos, o parte de ellos, el uso fraudulento y la difusión ilegal de contenidos (Decreto N 1311/15 de la Nueva Doctrina de Inteligencia Nacional).
Desde el sector gubernamental se han lanzado varias campañas de concientización para educar al público en cuestiones de seguridad de internet, “Internet Sano” y “con vos en la web” que brindan herramientas y material didáctico a la sociedad.
En el proceso de formulación de estrategias relacionadas a estos temas no hubo una gran apertura a la sociedad civil y el público.

Como surge del informe de la Asociación por los Derechos Civiles (ADC) (el que ya ha sido citado previamente por @Javier_Raimo) en Argentina la temática de la ciberseguridad se encuentra relacionada con el ámbito de defensa y de inteligencia, sin tomar en consideración la protección de los derechos humanos, entre ellos el derecho a la privacidad de las personas.

En cuanto a la ciberseguridad en el ámbito del organismo de inteligencia en Argentina (la Agencia Federal de Inteligencia - AFI), el concepto de “ciberseguridad” se ubica en el marco de las actividades de “inteligencia criminal” que realiza el organismo. La legislación en la materia sostiene que “la inteligencia criminal comprende la producción de inteligencia referida a las problemáticas delictivas y, en particular, a aquellas problemáticas delictivas complejas de relevancia federal relativas al terrorismo, los atentados contra el orden constitucional y la vida democrática, la criminalidad organizada y los atentados contra la ciberseguridad”.

Las organizaciones de la sociedad civil en Argentina exigen que se los incluya en los debates sobre ciberseguridad, así como al sector técnico y expertos en el tema, al sector privado y a la academia, a fin de compartir experiencias y herramientas para poder diseñar políticas públicas y legislación que sea eficiente y respetuosa de los derechos humanos.

Secundando lo que ha señalado @DeniseRojas, el gobierno de México, en colaboración con la OEA, realizaron talleres en los que convocaron a la múltiples partes interesadas a participar en la identificación de áreas de oportunidad en 5 temas específicos:

  • Investigación y desarrollo
  • Cultura, educación y prevención.
  • Cooperación y coordinación.
  • Normas, criterios técnicos y regulación.
  • Marco Legal.
    La finalidad de estos talleres es que este año se construya, en conjunto con las partes interesadas, una estrategía en materia de ciberseguridad que contribuya al desarrollo social y económico de México.

El documento Compes 3701 en donde se dan los lineamientos de política para ciberseguridad y ciberdefensa, que luego sería incorporado al Plan Nacional de Desarrollo, muestra una clara preocupación por abordar el tema y garantizar al estado y la ciudadanía un protección en caso de posibles ataques cibernético. No obstante desconozco el nivel de participación que tuvo la propuesta de elaboración de este documento y su aprobación. Es claro que por el contexto del país haya sido oportuno pensar en una política que actué frente a crímenes cibernéticos, por otra parte se debe tener en cuenta que en el marco de la lucha contra el terrorismo entre los años 2002 y 2008, el estado realizó chuzadas ilegales contra distintas personas consideradas objetivos militares, entre ellas líderes de opinión y periodistas.
Por otra parte al ser abanderados en contar con una política de este tipo, es necesario comunicar la importancia de estar al tanto de las decisiones al respecto y usar derechos consagrados en la constitución del país, como la veeduría ciudadana, con el objetivo de que más personas puedan conocer y evaluar cómo se está realizando la política frente a este tema.