La propuesta de Ley General de Ciberseguridad que impulsa el senador Mauricio Vila Dosal en el Congreso de la Unión podría generar caos operativo, legal y político al interior del gobierno mexicano a pesar de que intenta crear un marco legal moderno para proteger a México de las amenazas digitales.
Según un análisis técnico-jurídico elaborado por Jersain Llamas Covarrubias, abogado constitucionalista especializado en ciberseguridad, la propuesta del exgobernador de Yucatán —que llegó al Senado el pasado martes 4 de marzo— presenta diversas deficiencias y persisten los riesgos de vulneración de derechos humanos y abuso de poder.
Un marco normativo confuso y lleno de ambigüedades
De acuerdo con Llamas, la iniciativa tiene definiciones vagas y conceptos mal estructurados, lo que provoca una superposición de términos clave como ciberseguridad, seguridad informática y seguridad de la información. Esta falta de claridad técnica no solo generaría confusión operativa, sino que haría prácticamente imposible su correcta aplicación en el día a día de las instituciones responsables.
“La definición actual de ‘incidente de ciberseguridad’ incluye eventos que suponen riesgos reales o potenciales y abarca violaciones a políticas de seguridad y de uso aceptable. Esta amplitud puede conllevar a la criminalización de conductas menores y a la generación de una sobrecarga de reportes y alertas, saturando a las autoridades”.
— Jersain Llamas Covarrubias
El abogado y maestro en Derecho Constitucional y Administrativo por la Universidad de Guadalajara también alertó que el documento no establece un mecanismo formal y estandarizado de notificación de incidentes cibernéticos, es decir, sin un protocolo claro, el gobierno mexicano quedaría paralizado ante una emergencia digital de gran escala.
Un enfoque punitivo que criminaliza hasta el web scraping
Otro de los puntos más alarmantes detectados por el también autor del libro “Ciberseguridad: regulación, estándares y fundamentos” es la posible criminalización de acciones menores o legítimas, como el web scraping utilizado para análisis de datos.
“Vincular actividades como el web scraping, en ocasiones realizadas con fines legítimos, con incidentes cibernéticos podría resultar en sanciones desproporcionadas y en la inhibición de la innovación”, advirtió Llamas Covarrubias.
Un riesgo directo para los derechos humanos
La ley también abre la puerta a que, bajo el argumento de proteger infraestructuras críticas, el gobierno pueda implementar monitoreo masivo, sin controles independientes. Este tipo de prácticas, advierte Llamas, atenta directamente contra la privacidad y la libertad de expresión, al dejar que el Estado pueda vigilar y sancionar actividades digitales sin un proceso claro ni supervisión adecuada.
De hecho, este fue uno de los puntos que Llamas Covarrubias y otros especialistas —así como líderes empresariales— criticaron de la propuesta impulsada por la senadora María del Rocío Corona Nakamura del Partido Verde Ecologista de México (PVEM) en octubre de 2024, la cual buscaba incluir a los ciberataques como amenazas a la seguridad nacional.
En el caso de la propuesta de Vila Dosal, el especialista también destaca que la ley carece de definiciones precisas sobre qué es “desinformación”, pero al mismo tiempo la convierte en una amenaza de seguridad cibernética: “Al tipificar ciertos incidentes como amenazas a la seguridad nacional se abre la posibilidad de abusos de poder”.
Organismos con conflictos de interés y sin autonomía real
La propuesta de Mauricio Vila plantea la creación de un Centro Nacional de Ciberseguridad, que dependería de la Secretaría de Seguridad y Protección Ciudadana (SSPC); sin embargo, Llamas advierte que esta subordinación pone en riesgo la imparcialidad del centro y lo politiza al someterlo a los intereses de la administración en turno.
“Se generan confusiones entre la protección de derechos humanos y la protección de datos”
— Jersain Llamas Covarrubias
A esto se suma que el Sistema Nacional de Ciberseguridad propuesto incluye a altos funcionarios políticos, lo que incrementa el riesgo de que las decisiones se tomen con tintes partidistas y no técnicos.
Sin estructura para investigar delitos cibernéticos
Quizá uno de los mayores vacíos es que la iniciativa no establece cómo se investigarán, perseguirán y sancionarán los delitos cibernéticos. En un país donde los ataques digitales crecen año con año y donde grupos internacionales han vulnerado incluso a gobiernos estatales, como el caso del ransomware que golpeó a Yucatán en la gestión de Vila, resulta inexplicable que la ley ignore por completo la coordinación con fiscalías y policías cibernéticas.
Asimismo, se ha destacado la ausencia de especialistas en la elaboración de las diversas leyes de ciberseguridad, evitando un Parlamento Abierto donde se les escuche con la finalidad de presentar propuestas que tengan una aplicación que resulte efectiva para la realidad que enfrenta el país.
“Para crear este tipo de iniciativas de ley, se debe estar alineado con lo que pasa en la realidad y no basarse con lo que medio se conoce. Debe contar con especialistas técnicos para una iniciativa real. Me parece un ‘copy and paste’ de alguno (de los proyectos) de hace muchos años, cuando iniciaba esto”, advierte Nazly Borrero-Vázquez, ingeniera Informática y maestra en Ciberseguridad por la UTH Florida y quien también es asociada de la Academia Mexicana de Ciberseguridad y Derecho Digital.
