Global Preloader
Noticia Nacional
(11/Feb/2018) Gobierno mexicano juega dos distintos papeles en cuando a cyberseguridad

Gobierno mexicano juega dos distintos papeles en cuando a cyberseguridad

La investigación de vulneraciones de ciberseguridad debe darse en un marco regulatorio de transparencia y auditabilidad para evitar que gobiernos e instituciones privadas caigan en un doble juego en el que por un lado investiguen este tipo de fallas para mejorar la seguridad de la tecnología al mismo tiempo que financian investigaciones que las utilizan para incrementar las capacidades de vigilancia gubernamental, que en muchos casos son utilizadas en contra de la sociedad civil.

De acuerdo con Jacobo Nájera, investigador de Enjambre Digital, México participa de forma indirecta de los mercados de vulnerabilidades, lo que se conoce como zero-day markets, que son aquellos en los que investigadores, hackers y empresas privadas analizan los sistemas informáticos de dispositivos, plataformas y otras entidades para detectar vulnerabilidades y vender esta información al mejor postor, el cual suelen ser otras compañías o gobiernos que pueden utilizarla para mejorar su seguridad o para vulnerar estos sistemas.    

“Hacking Team se provee del mercado de vulnerabilidades de día cero para poder fabricar tecnología de vigilancia que ha comprado el gobierno mexicano. En este sentido, lo que está haciendo el gobierno mexicano es financiar de manera indirecta un mercado de vulnerabilidades y lo mismo ocurre con el caso de NSO”, dijo Jacobo Nájera.

De acuerdo con el Manual de Ciber Resiliencia para la Colaboración Público Privada, elaborado por el WEF en colaboración con The Boston Consulting Group, los gobiernos pueden tomar varias posturas acerca de la detección de vulnerabilidades: involucrarse en el mercado de las vulnerabilidades y rehuir a la investigación pública o invertir intensivamente en la detección de estas fallas.

El documento de la Estrategia Nacional de Ciberseguridad presentado por la Presidencia de la República en noviembre pasado hace referencia en su cuarto eje transversal “Investigación, desarrollo e innovación en TIC” a que mediante la promoción de investigación científica y tecnológica que impulse el desarrollo de capacidades en materia de ciberseguridad nuevos, entre otras acciones, se podrán generar nuevos modelos y tecnología orientados a minimizar los riesgos y vulnerabilidades de ciberseguridad.

Es decir que la ENCS obliga a que el gobierno mexicano promueva la investigación y la detección de vulnerabilidades, algo que además debe hacerse en colaboración con la academia, el sector privado y la sociedad civil. En su quinto eje transversal, el documento que contiene esta política pública añade que: “el desarrollo de estándares y criterios técnicos ayudará al cumplimiento de sus objetivos estratégicos mediante la promoción de la participación de la comunidad académica, técnica y científica en el desarrollo y fortalecimiento de estándares, metodologías y normalización en materia de ciberseguridad”.      

En este mismo sentido el investigador afirmó que si el gobierno decide participar en esquemas de incentivos para investigadores, estos también deben incluir sus respectivos controles de transparencia, auditabilidad y evaluación, con las responsabilidades explícitas de cada actor y sus contrapesos.

De acuerdo con el investigador, el tema central en la discusión sobre si el gobierno debe participar en los mercados de vulnerabilidades o si va a incentivar la investigación pública en esta materia es la responsabilidad sobre cómo el gobierno va a colocar su dinero y la transparencia al respecto de esta decisión. 

“De nada sirve que haya investigación sobre vulnerabilidades incentivada por el gobierno si al mismo tiempo este gobierno financia de manera indirecta este tipo de investigación realizada por empresas privadas para mejorar la vigilancia en contra de ciudadanos. Más bien tienes un problema endémico”, dijo Jacobo Nájera.