Preocupante ausencia de la ciberseguridad en la agenda oficial: Arturo García Hernández

Preocupante ausencia de la ciberseguridad
en la agenda oficial: Arturo García Hernández

Genaro Rodríguez Navarrete
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. @GNavarrete

Arturo García Hernández, ingeniero en Sistemas Computacionales por el Instituto Tecnológico y de Estudios Superiores de Monterrey (ITESM), lanza una voz de alerta ante la marcada ausencia en la agenda del gobierno federal de los temas relacionados con la ciberseguridad.

En cien días de gestión y a semanas de que se presente el nuevo Plan Nacional de Desarrollo (PND, 2019-2024), García Hernández advierte que el presidente Andrés Manuel López Obrador (AMLO) no ha hecho referencia alguna sobre el asunto de la ciberseguridad. “Me causa preocupación”, indica.

“¿Qué pasa con las políticas transexenales? ¿Hacia dónde nos estamos moviendo como país?”, se pregunta, cuando el cambio tecnológico avanza a una velocidad sin precedentes.

En entrevista, a propósito de la presentación de su nuevo libro CiberMéxico. Voluntades y acciones en el ciberespacio (Ius Literatus Editorial, México, 2018), comenta que lamentablemente estos tópicos no han sido motivo de reflexión en las conferencias de prensa mañaneras ni en documentos, programas o discursos de la nueva administración.

Para García Hernández, la cuestión debe abordarse desde una perspectiva integral y multidisciplinaria porque hay una realidad inocultable: México es uno de los países que, en términos comparativos, ha sido blanco de ciberataques recurrentes.

Arturo García Hernández es Maestro en Sistemas Distribuidos por la Universidad de Kent, Inglaterra y Maestro en Seguridad Nacional por la Universidad Naval de la Secretaría de Marina (Semar). En la actualidad se desempeña como Gerente de Seguridad en Tecnologías de Información del Banco de México.

¿En qué consiste la ciberseguridad?

—Me referiré primero al término “ciberespacio”, porque creo que es de donde se derivan muchos conceptos. Es el ambiente intangible en el cual se comunican múltiples computadoras para dar diferentes servicios. Y se entiende mejor cuando se habla de internet, el cual también es un espacio intangible, la red de redes, que compone un subconjunto del ciberespacio.

Ahora bien, ciberseguridad es simplemente la seguridad del ciberespacio. Los mecanismos, controles y procedimientos encaminados a proteger el ciberespacio.

¿Qué es el ciberpoder?

—Es curioso, pero en México este término en particular no está definido, a diferencia de otros países. Yo me baso en el libro de Franklin D. Kramer, Stuart H. Starr y Larry K. Wentz, titulado Ciberpoder y seguridad nacional, donde se apunta que tiene que ver con el uso del ciberespacio encaminado a darle poder a la nación. Es decir, utilizar los mecanismos que se pueden encontrar en el ciberespacio orientados a fortalecer la seguridad del Estado. Por eso se convierte en un poder. Busca brindar estabilidad, independencia y soberanía al país.

Una de las aportaciones que presento en mi libro CiberMéxico. Voluntades y acciones en el ciberespacio es ¿cómo podemos determinar qué tanto poder tiene una nación? y ¿cómo afecta el ciberpoder a los demás campos del poder?

¿La ciberseguridad debería contemplarse como asunto de seguridad nacional?

—En general, me he encontrado que se suelen mezclar los términos de ciberdefensa y ciberseguridad. Acepto que se traslapan, pero son diferentes. La ciberseguridad es la protección en general del ciberespacio. Mientras que la ciberdefensa está alineada a infraestructuras críticas de información, más cercana a la seguridad nacional.

¿Existe alguna política de largo plazo en la materia?

—No. A lo largo de diferentes sexenios hemos estado evolucionando a una velocidad muy lenta frente al gran desarrollo tecnológico. En cualquier indicador, estamos a mitad de tabla. México siempre aparece a mitad de tabla. ¿Qué pasa con las políticas transexenales? ¿Hacia dónde nos estamos moviendo como país? El ciberespacio es un elemento más de la nación.

Ante los frecuentes ciberataques, por ejemplo, al sistema de transferencias bancarias el año pasado, ¿se han tomado medidas preventivas? ¿Hemos aprendido la lección?

—El sistema financiero sí está tomando medidas. Hay acciones en materia de colaboración entre varias instituciones como el Banco de México, la Comisión Nacional Bancaria y de Valores, la Asociación de Bancos, la Secretaría de Hacienda y Crédito Público, que son los encargados de mantener el sano desarrollo del sistema financiero.

¿En México tenemos los suficientes especialistas en ciberseguridad?

—En mi experiencia de más de 20 años como profesor en esta asignatura, te podría decir que sí tenemos la materia prima. Tenemos las mejores tecnologías; pero ¿qué es lo que está fallando? Creo que toda la parte institucional, operativa, las leyes y normas. El capital humano sí lo tenemos. Derivado del boom recobrado por el tema de ciberseguridad, mucha gente se ha interesado. Sin embargo, algunos colegas no tienen la preparación formal y la experiencia necesaria. Abunda la certificación, aunque mucha de ella está sobrevaluada en el mercado. Tenemos gente muy joven, con ganas; pero sin experiencia. El talento debería tener una visión más holística del problema. Aquí identificó tres pilares importantes: experiencia, conocimiento y habilidades. En síntesis: no faltan recursos humanos, falta visión.

¿Qué se requiere para entender la importancia estratégica de la ciberseguridad?

—Creo que para proteger mejor el ciberespacio, todos debemos tener una base de entendimiento y conocimiento. Una de las cosas que le hace falta a México es este conocimiento básico. No importa a lo que se dedique: político, abogado, dentista, médico, etcétera; todos usarán el ciberespacio. Necesitamos una educación general. No porque se tenga una tableta ya son expertos en ciberseguridad. Somos simplemente usuarios con acceso a esos equipos. Y si queremos expertos en controles técnicos (como antivirus, detectores de intrusos, administradores de bases de datos, etcétera), entonces habría que buscar gente con certificaciones, posgrados y especializaciones. Si el objetivo es proteger a toda la nación necesitamos personal que entienda cómo se está moviendo la ciberseguridad. Expertos en seguridad nacional, sociología, política, en fuerzas armadas; que relacionen el conocimiento de su rama con el ciberespacio. Esto es lo que se requiere.

¿Está de acuerdo en que se debe abordar el tema desde un enfoque multidisciplinario?

—Desde luego que sí; un espectro multidisciplinario. Para proteger el ciberespacio no sólo requerimos técnicos, sino expertos en diversas materias.

En este contexto aparecen personas que se dicen “expertos” en ciberseguridad; abundan los congresos, diplomados, talleres, venta de equipos. ¿Qué opina de esta situación?

—Coincido totalmente. Hay gente, sin la preparación adecuada que se está subiendo al boom del ciberespacio. Pero creo que lo mismo ocurre en cualquier profesión. Una cosa es leer, revisar algunos documentos y otra cosa es estar bajo fuego. El estar bajo fuego permite ver a una persona con experiencia y conocimiento, y otra que aprovecharía para obtener alguna ganancia, cierta fama o algún beneficio.

¿Qué tan sensible ha sido el nuevo gobierno en atender y asumir responsablemente el tema?

—Como cualquier ciudadano, desconozco cómo están abordando el tema. Hasta ahora no tengo conocimiento de que en algún discurso, conferencia, documento, programa, iniciativa, se haya pronunciado alguna vez la palabra ciberespacio. Me causa preocupación. En el Plan Nacional de Desarrollo del sexenio anterior se hizo mucho énfasis en cómo mejorar, qué se debería hacer; es decir, en las acciones. Aunque una cosa es la voluntad y otra las acciones. Sin embargo, éstas últimas quedaron muy atrás de la primera. Pero por lo menos había voluntad. Ahora, lo que más preocupa, a 100 días de gobierno y a semanas de anunciarse el nuevo PND, es que ni siquiera tengamos voluntad. Es un grave error. Preventivamente se debe atender de manera integral.

¿Qué medidas concretas propone para fomentar la cultura de la ciberseguridad?

—Propongo la sombrilla del C5 que comprende: conciencia (pensar en que nadie es invulnerable a las amenazas en internet), combate (ejercer tu defensa personal digital), clasifica (pensar dos veces lo que se sube a la red), comprueba (tener cuidado con lo que se baja de internet; lo recomendable es comprobar su veracidad) y comparte (es importante compartir estas prácticas para fomentar la cultura de la ciberseguridad).

¿Qué recomendaciones adicionales les podría sugerir a los usuarios de internet y redes sociales para fortalecer su seguridad?

—Es preocupante el uso de redes sociales, cómo te comunicas, qué información compartes, cómo son las fotos que envías. Es importante la educación para el uso de redes. Una vez que subes una foto, pierdes el control de la misma. La foto ya no es tuya. No se sabe quién y qué uso hizo de ella. Por tal motivo, primero se debe pensar bien lo que se quiere compartir.

¿Son los dilemas en el uso de las redes?

—No es satanizar la tecnología. No es dejar de usar el móvil o las redes sociales. Es saber para qué sirven. Cómo me puedo proteger. Mal usada, efectivamente, puede ser perjudicial. Pero no por eso se deben dejar de lado. Es parte de la evolución. Un niño es casi imposible que no participe en una red social. Es muy complicado. Es algo con lo que tenemos que vivir.

¿Y hay quienes se obsesionan de manera enfermiza, se aíslan y asumen las redes como si no hubiera otra realidad?

—Se requieren psicólogos, sociólogos y otro tipo de herramientas para tratar esas actitudes que están junto a la tecnología. Pero de nada servirá proteger, reservar o vetar la tecnología. Es el ser humano el que la usa.

¿Cuántos tipos de hackers ha podido identificar?

—Son cuatro básicamente. Si lo vemos como una pirámide: en la base donde hay más, están los hackers solitarios, cualquier persona que roba información, contraseñas, con poder de cómputo pequeño, en su casa. Después están aquellos que son varias personas, agrupadas, con una ideología y objetivo común; son los grupos hacktivistas. Atacan servidores, tiran páginas, etcétera. Arriba, en la pirámide, están los hackers de la delincuencia organizada, con poder, no proceden por diversión o para molestar a alguien, sino porque es su forma de vida. Buscan obtener alguna ganancia con ataques a gran escala, más iniciativa, herramientas y experiencia. Mientras en la cúspide tenemos a los hackers de Estado nación, cuya meta no es la diversión u obtener una ganancia, buscan desestabilizar un país o bien, llevar a cabo un ciberespionaje de gran escala.