El ataque cibernético que paralizó 11 días a una Secretaría de Estado


Introducción


Para no cometer los mismos errores es necesario analizar y aprender de la historia. Los incidentes de ciberseguridad que suceden en nuestro país claramente son parte de la historia de México y si no se analizan y se aprende de ellos, se seguirán repitiendo.


En México, tristemente la historia en materia de ciberseguridad se está construyendo por incidentes desafortunados, que aún no hacen un eco tan grande como para que estén en el centro de la discusión pública. En los hechos, un ejemplo de ello es el incidente de ciberseguridad sufrido por la Secretaría de Economía. Iniciemos con el método pregunta- respuesta.


¿Qué es la Secretaría de Economía?


La Secretaría de Economía es una autoridad federal que forma parte de la administración pública centralizada que encabeza el poder ejecutivo federal.


¿Qué hace la Secretaría de Economía?


A la Secretaría de Economía le corresponde encargarse de diversos temas, entre los principales están: formular y conducir las políticas generales de industria, comercio exterior, interior, abasto y precios del país; regular, promover y vigilar la comercialización, distribución y consumo de los bienes y servicios; establecer la política de industrialización, distribución y consumo de los productos agrícolas, ganaderos, forestales, minerales y pesqueros, en coordinación con las dependencias competentes; fomentar, en coordinación con la Secretaría de Relaciones Exteriores en el ámbito de su competencia, la política de comercio exterior y atracción de inversión extranjera; estudiar, proyectar y determinar los aranceles escuchando la opinión de la Secretaría de Hacienda; estudiar y determinar mediante reglas generales, conforme a los montos globales establecidos por la Secretaría de Hacienda y Crédito Público, los estímulos fiscales necesarios para el fomento industrial, el comercio interior y exterior y el abasto, incluyendo los subsidios sobre impuestos de importación, y administrar su aplicación, así como vigilar y evaluar sus resultados; entre otros.


¿Cómo se integra la Secretaría de Economía?


De conformidad con su reglamento interno y para una idea del tamaño de esta autoridad, la Secretaría de Economía se conforma de la siguiente manera (véanse el reglamento interno y sus modificaciones para la estructura vigente):



¿Qué pasó en la Secretaría de Economía?


Mediante un comunicado publicado el 24 de febrero de 2020 titulado “Controla Secretaría de Economía ataque informático”, la Secretaría de Economía señaló que, el día anterior, 23 de febrero de 2020, a las 10:30 horas, sufrió un ataque informático, de conformidad con lo siguiente:



El ataque no sólo tuvo implicaciones técnicas —algo que necesita entenderse. De hecho, tuvo consecuencias legales muy importantes que obligaron a la Secretaría de Economía a publicar en el Diario Oficial de la Federación el 24 de febrero de 2020 un acuerdo de suspensión de términos, de conformidad con lo siguiente:



El ataque que sufrió la Secretaría de Economía y pese a que el comunicado señaló que no tuvo repercusiones graves y que la información en su posesión no se vio comprometida −como datos personales e información confidencial− la realidad es otra y es que el ataque cibernético obligó —no hay otra forma de señalarlo— a dicha dependencia del gobierno federal a suspender indefinidamente sus términos de ley y, por tanto, declaró como días no hábiles el tiempo que durara la suspensión, por lo que, durante todo el plazo de la suspensión no corrieron los plazos en todos los trámites de la Secretaría de Economía.


¿Qué implicó legalmente la suspensión de términos en virtud del ataque cibernético?


Que si una empresa o persona física estaban realizando un trámite ante la Secretaría de Economía, su trámite y los tiempos de respuesta de la autoridad se suspendieron indefinidamente, y tuvieron que esperar hasta la reanudación.


Si bien fue por causas de fuerza mayor en virtud del incidente de ciberseguridad, ello generó incertidumbre, molestia e incluso posiblemente hasta consecuencias legales para las empresas y particulares, porque tenían la seguridad o expectativa de que sus tramites se resolvieran en determinada fecha y en virtud del incidente de ciberseguridad no fue así.


Para ejemplificar, imaginen una empresa o un particular que esperaban en fecha cierta una resolución de la Secretaría de Economía para múltiples propósitos (como cumplir una obligación contraída con un socio de negocios, seguir operando o como requisito para recibir un pago) y de pronto se publica el acuerdo de suspensión de términos por tiempo indefinido por un ataque cibernético ¿Cómo creen que eso impacta en las empresas mexicanas y extranjeras, en el ambiente de negocios y en las personas que necesitan la operatividad y las resoluciones de la autoridad para seguir trabajando u obtener sus ingresos?


En esto precisamente están las implicaciones y consecuencias de los ataques cibernéticos en México y esto es lo que no se logra entender, que un ataque o incidente cibernético tiene implicaciones y consecuencias más allá de lo técnico, tienen repercusiones legales y económicas en las personas y en las empresas —incluso en el servicio público.


En la iniciativa de ley de ciberseguridad que presenté al Congreso de San Luis Potosí (y que también consta en la propuesta de ley modelo de ciberseguridad para todo el país) he señalado las finalidades de la ciberseguridad en el cumplimiento de las facultades, trámites y servicios de las autoridades.



¿Cuándo se reanudaron los términos de ley en la Secretaría de Economía?


Fue hasta el 09 de marzo de 2020 que la Secretaría de Economía publicó en el Diario Oficial de la Federación el acuerdo de reanudación de términos legales que entró en vigor al día siguiente, de conformidad con lo siguiente:





¿Cuántos días se suspendieron los términos de ley en la Secretaría de Economía en virtud del ataque cibernético?


De conformidad con los acuerdos respectivos, los términos de ley se suspendieron desde el lunes 24 de febrero hasta el 09 de marzo de 2020.


Esto quiere decir que, el ataque cibernético obligó a la Secretaría de Economía a suspender sus términos de ley por 11 días hábiles y no existe certeza de qué consecuencias en realidad tuvo dicho incidente de ciberseguridad, pero 11 días hábiles de suspensión para una Secretaría de Estado de vital relevancia para el funcionamiento de este país es preocupante y tiene que ser suficiente para tomar el tema con generosa seriedad.


Conclusiones


En México lamentablemente se necesitará de más incidentes o de un incidente de ciberseguridad tan grande y colosal con impactos económicos, legales o de seguridad brutales, para prender las alarmas de los tres poderes de la unión, de los constitucionales autónomos, de las 32 entidades federativas y de los municipios —basta remitirse a los hechos como el ciberataque a uno de los mayores oleoductos de Estados Unidos que originó declarar estado de emergencia en 18 estados con afectaciones al suministro de gasolina, diésel, combustible para aviones y otros productos refinados del petróleo, lo que genera a su vez otro tipo de consecuencias en cascada.


Aprendamos de la historia que se está construyendo en nuestro país en materia de ciberseguridad, si no lo hacemos, la respuesta ya la saben.


Recuerden que, en el caso de las autoridades, la ciberseguridad es responsabilidad de sus titulares u órganos de gobierno.


Posdata


En el Reglamento Interior de la Secretaría de Economía publicado en el Diario Oficial de la Federación el 17 de octubre de 2019 (antes del incidente de ciberseguridad) se señala en el artículo 61 en la última fracción —al último, como es muy común— que le corresponde a la Dirección General de Tecnologías de la Información “aplicar, coordinar y supervisar los procedimientos y mecanismos de seguridad de la información, de los sistemas informáticos institucionales y de la infraestructura de tecnologías de información y comunicaciones de la Secretaría conforme a la normativa aplicable”, y es todo.


Posteriormente el 12 de abril de 2021, se publicaron en el Diario Oficial de la Federación las reformas y adiciones al Reglamento Interior de la Secretaría de Economía, esperaba ver reflejadas las lecciones aprendidas en materia de ciberseguridad en virtud del incidente del 23 de febrero de 2020, pero no sucedió. Espero que estén haciendo lo que tienen que hacer, mi iniciativa de ley y mi propuesta de ley modelo en materia de ciberseguridad están a su disposición, les serán de utilidad.


Por Jonathan López Torres





Fuentes:

Comunicado de 24 de febrero de 2020. Disponible en: https://www.gob.mx/se/prensa/controla-secretaria-de-economia-ataque-informatico-235802?idiom=es

ACUERDO por el que se suspenden términos en la Secretaría de Economía. Disponible en: https://www.dof.gob.mx/nota_detalle.php?codigo=5587337&fecha=24/02/2020

ACUERDO por el que se reanudan términos en la Secretaría de Economía conforme se indica. Disponible en: https://www.dof.gob.mx/nota_detalle.php?codigo=5588799&fecha=09/03/2020

REGLAMENTO Interior de la Secretaría de Economía. Disponible en: https://www.dof.gob.mx/nota_detalle.php?codigo=5575714&fecha=17/10/2019

DECRETO por el que se reforman, adicionan y derogan diversas disposiciones del Reglamento Interior de la Secretaría de Economía. Disponible en: https://www.dof.gob.mx/nota_detalle.php?codigo=5615588&fecha=12/04/2021

Ley Orgánica de la Administración Pública Federal. Disponible en: http://www.diputados.gob.mx/LeyesBiblio/pdf/153_110121.pdf

López Torres, Jonathan. Ciberespacio & Ciberseguridad. Elementos Esenciales. Tirant lo Blanch, México, 2020.


*La imagen utilizada en esta entrada es de Clker-Free-Vector-Images en Pixabay.


**El contenido de esta publicación está protegido por derechos de autor. Se autoriza el uso parcial o total siempre que se cite el nombre completo del autor Jonathan López Torres y se cite la fuente.

“No escribes porque quieres decir algo,

escribes porque tienes algo que decir”.

F. Scott Fitzgerald