Por Juan Manuel Aguilar Antonio, Profesor del Seminario de Ciberseguridad en la UNAM e Investigador y Oficial de Comunicación del CASEDE.
El pasado 13 de abril se vivió una fuerte controversia en el Senado en torno a la aprobación de la creación del Padrón Nacional de Usuarios de Telefonía Móvil (Panaut). La reforma derivó de una discusión en el Congreso en la que se votó a favor de una serie de modificaciones a los artículos 15, 176, 180, 190 y 307, así como otros cambios en los artículos transitorios de la Ley Federal de Telecomunicaciones y Radiodifusión (LFTR). [1]
Con una aprobación de 54 votos a favor, 49 en contra y 10 abstenciones, se dio luz verde a la creación del Panaut con la justificación de frenar delitos como la extorsión y secuestros, que en múltiples ocasiones se realizan a través de teléfonos celulares. No obstante, la mayor polémica pública se dio cuando el 16 de abril se publicó en el Diario Oficial de la Federación [2] el decreto mediante el cual se expresaba que era una obligación de los titulares de las líneas telefónicas (en algunos casos a nombre de representantes legales y en otros en personas morales) registrar sus datos biométricos para dicha base de datos del estado mexicano.
En breve, la polémica de la sociedad civil se desató ante tal requerimiento, y en poco menos de quince días, con cierre al mes de abril, diferentes juzgados especializados en competencia económica, radiodifusión y telecomunicaciones recibieron un total de 140 solicitudes de amparo que fueron rechazadas por la aún inoperancia del Panaut. El acto, que si bien puede sustentarse en un argumento del derecho a la protección de datos e información de los ciudadanos, mostró otras dos problemáticas a visibilizar sobre el resguardo de datos biométricos en México: 1) la desconfianza de la ciudadanía respecto al gobierno por la posesión de biométricos, y 2) la incapacidad de las instituciones del estado por llevar a cabo dicho proyecto.
Respecto al primero, destaca la acción de paranoia de las personas que buscaron ampararse frente al Panaut, a razón de que en México existe una gran cantidad de usuarios de servicios bancarios que han entregado sus datos biométricos a la amplia oferta de banca privada que existe en el país. Es usual que aplicaciones móviles de Inbursa o HSBC soliciten nuestra huella digital o reconocimiento facial para poder utilizar sus servicios desde nuestro Smartphone. Lo anterior, podría sustentarse en la confianza de los usuarios en las medidas de seguridad de la información de dichas instituciones; sin embargo, en los hechos, la garantía de protección de datos, incluso por estas instituciones, no es del todo cierta.
De acuerdo con datos de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF), durante 2020 se presentaron un total de 3,451,219 [3] denuncias contra cargos en compras electrónicas. Esto representó peticiones de aclaraciones sobre compras no autorizadas por los usuarios, que fueron realizadas por alguien ajeno a los propietarios de las cuentas bancarias y que accedió a sus datos biométricos. Lo anterior se conjunta con el hecho de que la misma institución expresó, en 2019, que el Banco de México se encuentra posicionado en octavo lugar a nivel mundial como el banco central con mayores casos de robo de identidad, situación que tan sólo en ese año alcanzó un total de pérdidas por 2 millones 216 mil pesos.
Basta echar un ojo a la cuenta de Twitter @Bank_Security, encargada de analizar canales de la Dark Net en los que se subastan bases de información y se realizan actividades ilícitas para encontrar una amplia oferta de datos de usuarios bancarios de México, entre los que destacan los de instituciones como BBVA, Santander, Citi Banamex y American Express. [4] Los más escépticos pueden expresar que la garantía de posesión de dicha información puede ser sólo un mito. Sin embargo, casos de seguimiento como el realizado por el periodista Rodrigo Riquelme, en El Financiero [5], a la subasta de dos cuentas de acceso de administración de red dentro del dominio de la Comisión Nacional de Seguros y Fianza (CNSF), el 26 de abril, dos días antes de que dicha institución declarará en su cuenta oficial un ciber incidente, demuestran la debilidad de la seguridad de información por instituciones bancarias, ya sea de carácter público o privado en México.
Las propias métricas del National Cyber Security Index, de la E-Governance Academy de Estonia, señalan que nuestro país detenta una ponderación de 22%, de un total de 100, en indicadores como Identificación Electrónica y Confianza en estos Servicios [6] que explican esta realidad. De forma contradictoria, nuestro país obtiene un 100 de 100 en indicadores como Protección de datos, que se asocian a la creación de una legislación, con base a los estándares internacionales de protección y seguridad de la información, que en teoría están presentes tanto en la Ley Federal de Protección de Datos Personales, de 2010, y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, de 2017. Lo anterior refleja lo que parece ser una constante en la realidad mexicana: leyes impecables y garantistas con base al contexto global, pero inoperantes en el contexto nacional.
Respecto al segundo aspecto señalado, se destaca la controversia que presentó el Instituto Federal de Telecomunicaciones (IFT) el 26 de mayo de 2021. [7] En ella, Adolfo Cuevas Teja, Comisionado Presidente del organismo, expresó que no se cuenta con los recursos económicos suficientes para poner en marcha el Panaut con un cargo a su presupuesto anual, que fue afectado por la política de austeridad republicana de la actual administración del Gobierno Federal. Una vez más, pareciera que la sentencia de la inoperancia de las leyes en la realidad se cumple.
Todo este proceso nos revela una realidad urgente y necesaria de visibilizar en México. Los datos biométricos de la ciudadanía en México no tienen garantía de protección por entidades públicas o privadas. Asimismo, el problema de raíz es más fuerte, nuestras legislaciones nacionales de protección de datos contienen los elementos necesarios exigidos a una ley en la materia, pero no funcionan en los hechos. A la par que el gobierno echa a andar iniciativas como el Panaut que son imposibles de materializar a razón de los presupuestos y capacidades de las instituciones del país. El camino es largo para garantizar la protección de la seguridad de la información en México, mucho más para atender ciber delitos a través de dispositivos como los Smartphones, y qué decir de mecanismos e instituciones para procurar la ciberseguridad con un enfoque de seguridad pública y nacional. No obstante, es labor de las personas interesadas en esta materia visibilizar la carencias antes mencionadas, en aras de posicionar estos temas en la agenda pública nacional y al centro del debate público.
Se puede leer la información completa en el boletín de Comunicación Social del Senado del 13 de abril de 2021, disponible en: http://comunicacion.senado.gob.mx/index.php/informacion/boletines/50696-senado-aprueba-en-lo-general-crear-padron-nacional-de-usuarios-de-telefonia-movil.html
El decreto completo está disponible en el sitio del DOF: https://www.dof.gob.mx/nota_detalle.php?codigo=5616165&fecha=16/04/2021
Los datos proporcionados por CONDUSEF se pueden verificar en su sitio: https://www.condusef.gob.mx/?p=estadisticas
Hay al menos tres importantes casos en los que @Bank_Security presentó estas ofertas de datos, se presentan los tweets para BBVA y Santander: https://bit.ly/34miimK, Santander: https://bit.ly/3yFx2Lm y CitiBanamex y American Express: https://bit.ly/3yAboIm
El artículo completo de Rodrigo Riquelme está disponible en el siguiente link: https://www.eleconomista.com.mx/sectorfinanciero/Esto-es-todo-lo-que-sabemos-del-hackeo-a-la-Comision-Nacional-de-Seguros-y-Fianzas-20201208-0048.html
Los datos completos sobre las ponderaciones de México en el NSCI en doce indicadores están disponibles en el siguiente sitio: https://ncsi.ega.ee/country/mx/
Con corte al 26 de mayo, la controversia del IFT puede leerse a detalle en el siguiente link: https://expansion.mx/empresas/2021/05/26/ift-controversia-constitucional-padron-telefonia-movil