Ana Paula Telleria y la pasante Regina Ortega Moctezuma
Durante 2024 en México se registraron 42.4 millones de intentos de ataques de malware dirigidos a empresas, es decir, 116,000 intentos diarios o aproximadamente 80 ataques por minuto[1].
La implementación de una ciberseguridad integral debe ser una prioridad para las empresas actualmente ya que los delitos cibernéticos implican pérdidas económicas, vulneración de datos personales y confidenciales y la consecuente responsabilidad legal que esto implica, así como el inevitable daño reputacional.
Para lograr una verdadera ciberseguridad, es necesario que las empresas implementen medidas en todos los niveles de su organización, con un enfoque preventivo y de mitigación frente a los riesgos cibernéticos:
- Nivel estratégico
La ciberseguridad no debe entenderse únicamente como un tema técnico, sino como un asunto que involucre directamente a la alta dirección de las empresas. Directivas internacionales como la NIS2[2] de la Unión Europea establecen la necesidad de una participación directa de los órganos de dirección en la gestión del riesgo cibernético. Esto se ha implementado estableciendo comités especializados en riesgos cibernéticos.
- Nivel operativo
Los protocolos deben prever mecanismos de prevención y reacción a los ciberataques. Diversas directivas y regulaciones internacionales, como la NIS2, el GDPR[3] y el DORA[4] de la Unión Europea contemplan mecanismos para la implementación de protocolos integrales de ciberseguridad. Entre otros (i) capacitaciones para los empleados relacionadas con la ciberseguridad, (ii) cifrado de datos en tránsito y en reposo y uso de algoritmos de cifrado actualizados, (iii) elaboración de planes de respuesta a incidentes y de continuidad operativa, y (iv) auditorías – internas y externas – de seguridad y evaluaciones de riesgos.
- Nivel externo
Más del 80 % de los ciberataques en las empresas provienen de servicios prestados por terceros[5]. Esto destaca la importancia de incluir cláusulas específicas de ciberseguridad y protección de datos en los contratos correspondientes. Estas cláusulas deben incluir, entre otros, requisitos mínimos de seguridad, obligaciones de notificación ante incidentes y derechos de auditoría.
La falta de conciencia sobre la ciberseguridad y el riesgo real que representan los ciberataques ha dificultado el desarrollo de una cultura organizacional orientada a la reducción del riesgo cibernético.
En México, el marco legal en materia de ciberseguridad no ha evolucionado al ritmo de las crecientes amenazas digitales. Si bien existen algunas regulaciones relacionadas, estas resultan limitadas y fragmentadas. Por ejemplo, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares contempla la implementación de medidas de seguridad para proteger información, pero su alcance se limita a datos personales y carece de un enfoque integral respecto a protocolos de respuesta ante ciberataques o filtraciones de información. De igual forma, las Disposiciones de Carácter General Aplicables a las Instituciones de Crédito, establecen lineamientos en materia de seguridad de la información; pero su aplicación se restringe a las entidades del sector financiero.
Frente a la creciente amenaza digital, es necesario contar con una ley general aplicable a todas las empresas, sin importar el sector, en materia de prevención, respuesta y gestión de riesgos cibernéticos en línea con las directrices de la Unión Europea, para lograr fortalecer la seguridad digital en el país.
[1]https://www.vertigopolitico.com/finanzas/notas/mexico-estria-preparado-para-las-amenazas-digitales-en-2025
[2] https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32022L2555&qid=1759433923262
[3] https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32016R0679&qid=1759434146389
[4] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R2554&from=FR
[5] https://mexicobusiness.news/cybersecurity/news/malware-ransomware-cyberattacks-rise-mexico?utm_source=chatgpt.com
