En el Senado de la República se presentó una nueva iniciativa que busca reformar el artículo 5 de la Ley de Seguridad Nacional, para incluir los ciberataques como amenazas a la seguridad nacional y que los coloca a la par de otros delitos considerados como graves amenazas a la seguridad, como el terrorismo, el tráfico de armas químicas o el genocidio.
La propuesta, impulsada por la senadora María del Rocío Corona Nakamura del Partido Verde Ecologista de México (PVEM), pretende añadir una fracción XIV al artículo en cuestión, de modo que cualquier actividad ilícita cometida mediante el uso de medios tecnológicos que afecte a instituciones gubernamentales o áreas estratégicas del país, sea considerada una amenaza a la estabilidad y paz nacional.
“Estamos ante un problema en materia de seguridad, que cada vez está afectando a más personas en nuestro país y nos está exponiendo a diversos y muy graves delitos”
— María del Rocío Corona Nakamura, senadora del PVEM
Según la senadora Corona Nakamura, la evolución del crimen cibernético en el país ha sido tal que ya no puede considerarse como una simple violación a la privacidad o la propiedad, sino como un riesgo mayor que afecta la infraestructura nacional y la integridad de la ciudadanía.
En su iniciativa, la senadora argumenta que el aumento en los ciberataques en México es alarmante, citando como ejemplos recientes el ataque “Guacamaya Leaks” que vulneró archivos militares de la Secretaría de la Defensa Nacional (Sedena), y otros incidentes que afectaron a instituciones clave como el Banco de México, la Secretaría de Economía y la Lotería Nacional.
Según sus declaraciones, basadas en un informe presentado en 2023 por la Asociación de Bancos de México y la American Chamber, México fue víctima del 66% de los ciberataques en América Latina entre 2021 y 2022, con pérdidas económicas significativas de hasta 5 mil millones de dólares al año.
El objetivo de esta reforma, según la senadora, es actualizar el marco legal para estar a la altura de la “revolución digital” que también ha generado una “revolución de la criminalidad”, señalando que los actuales mecanismos de seguridad informática no son suficientes para enfrentar estos nuevos desafíos y que es imperativo que el gobierno mexicano modernice sus estrategias de seguridad.
Critican vaguedad de la reforma
No todos los expertos coinciden con la visión de la senadora. Jersain Llamas Covarrubias, abogado especializado en Tecnologías de la Información, advierte que la inclusión de “toda actividad ilícita” como una amenaza a la seguridad nacional puede ser problemática.
Según Llamas, esta definición es demasiado amplia y ambigua, lo que podría llevar a una interpretación excesiva y a una aplicación desproporcionada de la ley, afectando derechos fundamentales como la privacidad y la libertad de expresión. Además, subrayó la falta de una distinción técnica entre los diferentes niveles de riesgo que representan las diversas actividades cibernéticas.
“Se deja abierta la puerta a una aplicación excesiva y ambigua, afectando potencialmente derechos fundamentales”
— Jersain Llamas Covarrubias, abogado especializado en Tecnologías de la Información
Otro punto que el especialista considera fundamental es que no todas las acciones en el ciberespacio deberían considerarse una amenaza a la seguridad nacional. Llamas sostiene que es crucial categorizar y priorizar aquellas actividades que realmente impacten áreas estratégicas protegidas por el Artículo 28 de la Constitución, como la energía eléctrica, la exploración de hidrocarburos o las telecomunicaciones.
En declaraciones para Publimetro México, Llamas Covarrubias añadió que —como se detalla en el capítulo II de la Ley de Seguridad Nacional— la propuesta tendría implicaciones directas en la intervención de comunicaciones al redefinir “amenazas a la seguridad nacional” para incluir cualquier actividad ilícita mediante el uso de tecnologías, redes o medios electrónicos, por lo que advirtió que se expanden las bases legales para justificar la vigilancia y la intervención en comunicaciones privadas.
“Esto podría resultar en una aplicación más amplia de los artículos 33 a 49, donde el gobierno, con autorización judicial, puede intervenir comunicaciones cuando se percibe una amenaza inminente. Sin embargo, la redacción actual de la propuesta no distingue entre niveles de riesgo o gravedad, lo que podría derivar en la intervención de comunicaciones por delitos menores o incidentes cibernéticos que no necesariamente ponen en peligro la seguridad nacional”, añadió el especialista.
Asimismo, alertó que, en casos de urgencia —con referencia al artículo 49 de la Ley de Seguridad Nacional—, el procedimiento judicial podría acelerarse: “Si no se define claramente, podría generar controversias respecto a qué situaciones justifican tales medidas urgentes”.
Además, apuntó que la vaguedad en la definición de las amenazas puede poner en peligro los derechos de privacidad y la protección de datos personales, especialmente cuando los datos obtenidos de dichas intervenciones tienen carácter reservado —artículo 42— y su manejo recae exclusivamente en el Centro Nacional de Inteligencia.
Otros países con leyes similares
A nivel internacional, países como Singapur y la Unión Europea han implementado leyes de ciberseguridad que hacen un balance entre la protección de infraestructuras críticas y los derechos de los ciudadanos. La Ley de Ciberseguridad de Singapur, por ejemplo, se enfoca en la protección de infraestructuras críticas, y aunque su alcance es amplio, define claramente los sectores prioritarios y las amenazas que deben ser gestionadas.
De manera similar, la Directiva NIS2 de la Unión Europea establece requisitos específicos para proteger servicios esenciales como la banca y los servicios digitales, sin comprometer derechos individuales.
Por otro lado, la Ley de Seguridad Nacional de China es un ejemplo de cómo la vaguedad en la definición de amenazas cibernéticas puede llevar a la restricción de derechos fundamentales, como la libertad de expresión. Al igual que en la propuesta mexicana, esta ley amplía el control del gobierno sobre el ciberespacio, lo que ha generado críticas por su ambigüedad.