Hackearon el país y nadie fue a la cárcel. Y eso tiene nombre: negligencia institucional

Lo que nos distingue no es que nos hackeen. Es que no sabemos qué hacer cuando pasa.
Aquí hay algo que vale decir antes de seguir, porque si no se dice, la conversación se va por el lado equivocado: los ciberataques a instituciones públicas no son exclusivos de México ni de América Latina. Le ocurren a Estados Unidos, a Alemania, a Israel —que tiene uno de los aparatos de ciberseguridad más serios del planeta. Eso no nos hace más vulnerables por naturaleza. Lo que nos hace distintos es lo que ocurre después del ataque. Si hay ley que funcione. Si hay fiscales que entiendan de qué están hablando. Si hay una cadena de evidencia digital que sobreviva hasta un juicio. En México no hay nada de eso operando de manera integrada. Lo que hay son piezas sueltas: algunos artículos desperdigados en el Código Penal Federal, una Unidad de Policía Cibernética que trabaja con lo que puede, una Fiscalía General que en materia digital todavía está aprendiendo sobre la marcha. La estrategia nacional de ciberseguridad existe, sí —en un documento del 2017 que lleva años sin actualizarse y cuyo presupuesto nunca estuvo a la altura de sus buenas intenciones.

Actualmente, México se encuentra como observador del Convenio de Budapest sobre Ciberdelincuencia. Para quienes no están familiarizados con el nombre: es el tratado de referencia mundial en esta materia; el que define qué conductas deben tipificarse como delitos, cómo deben cooperar los países cuando un servidor está en Frankfurt y la víctima en Guadalajara, qué estándares mínimos debe tener la legislación interna para que una investigación tenga alguna posibilidad real de llegar a buen término. Firmarlo fue una señal correcta, ojalá hubiera significado algo más que eso.

El Convenio es muy concreto en sus exigencias: los países firmantes deben tipificar al menos nueve categorías de conductas, incluyendo acceso ilícito a sistemas, interceptación de datos, interferencia en infraestructura, fraude y falsificación informática. También exige procedimientos específicos para preservar evidencia digital, porque un registro de servidor tiene una vida útil muy corta si nadie lo asegura a tiempo y mecanismos de cooperación que no dependan de que el fiscal de turno tenga un contacto personal en Europa.

México firmó, después pasó algo que en el mundo jurídico se llama eufemísticamente «proceso de implementación» y que en la práctica significa: no pasó nada. El Código Penal Federal no se reformó para alinear sus tipos penales con el Convenio. Los procedimientos de evidencia digital no se crearon. Los fiscales y jueces no recibieron formación especializada. Ratificar un tratado sin hacer la tarea interna que ese tratado exige tiene un nombre más honesto que «proceso de implementación»: es publicidad. Una forma de aparecer en los foros internacionales correctos sin asumir los costos reales de lo que uno acaba de prometer.

El Código Penal como reliquia del siglo pasado.
Hay un ejercicio que recomiendo a cualquiera que tenga dudas sobre la magnitud del problema: abra el Título Noveno del Código Penal Federal, el que regula los delitos informáticos y léalo sabiendo lo que sabe sobre cómo funciona la ciberdelincuencia hoy. Lo que va a encontrar es un texto que fue redactado pensando en un hacker de los noventa que entraba a una computadora y borraba archivos. Esa era, literalmente, la amenaza de referencia. El ransomware —ese software que hoy secuestra los sistemas de un hospital entero y pide millones de dólares para devolver el acceso a los expedientes de los pacientes— no encaja en ningún tipo penal del CPF con la claridad que un juicio requiere.

El phishing sofisticado, dirigido a funcionarios públicos con acceso a infraestructura crítica, tampoco. Los ataques mediante cadenas de suministro comprometidas, donde el intruso no entra por la puerta principal sino por un proveedor de software de tercer nivel, mucho menos. No es que el código sea malo: es que fue escrito para un mundo que ya no existe. Y aquí viene la parte que me resulta más difícil de sostener con calma: los legisladores de los noventa no podían saber lo que vendría. Eso es comprensible, casi inevitable. Pero los legisladores de los últimos diez años sí podían saberlo; han tenido una década de evidencia —ataques locales, casos internacionales, informes de inteligencia, alertas de organismos especializados— y el código sigue igual.

Las instituciones del Estado operan hoy con vulnerabilidades conocidas, sin obligación legal de reportar cuando son comprometidas, sin estándar mínimo de seguridad que deban cumplir antes de poder manejar datos de millones de ciudadanos. Hay un dato que merece su propio párrafo, porque suele perderse: el CPF sí tiene agravantes cuando el ataque afecta infraestructura estratégica —energía, agua, salud, comunicaciones, finanzas. En teoría, quien ataque a Pemex o interrumpa el sistema de distribución de agua de una ciudad debería enfrentar consecuencias penales más graves. En la práctica, esa agravante es papel mojado cuando no existe ni siquiera la investigación que pudiera llegar a aplicarla.

«Infraestructura crítica»: un concepto sin quien lo defienda.
La definición técnica de infraestructura crítica abarca todo aquello cuya interrupción provocaría un daño serio a la seguridad del país, su economía o el bienestar de su gente. Plantas eléctricas, redes de agua potable, hospitales, sistemas de transporte, plataformas financieras. Todo eso, en México, está expuesto. No como hipótesis: como hecho documentado, repetido, público y sin consecuencias para nadie. El CERT-MX —el Centro Nacional de Respuesta a Incidentes Cibernéticos— existe y hace lo que puede. El problema es que lo que puede hacer está muy por debajo de lo que el tamaño del problema requiere. No hay obligación legal de que las dependencias gubernamentales reporten cuando sufren un incidente. No hay auditorías de seguridad informática con resultados vinculantes. No hay estándar mínimo que una institución deba acreditar antes de operar sistemas sensibles. Lo que hay es una cultura que trata la ciberseguridad como un problema del área de sistemas —como si fuera una impresora que no jala— en lugar de reconocerla como lo que es: un asunto de seguridad nacional que necesita decisión política, presupuesto real y coordinación que no dependa de la buena voluntad de cada secretaría.

Lo que hace falta, sin eufemismos ni rodeos.
Reforma al Código Penal Federal: actualizar los tipos penales conforme al Convenio de Budapest, incorporar el ransomware y el sabotaje a infraestructura crítica como figuras autónomas, con penas que guarden proporción con el daño que esos delitos pueden causar. No parches: una reescritura del Título Noveno para el mundo que existe, no para el de 1999.

-Ley de Ciberseguridad Nacional: no otro documento de intenciones. Una ley con estándares mínimos obligatorios para entidades públicas, con plazos de reporte cuando ocurre un incidente, con un mecanismo de coordinación interinstitucional que funcione aunque cambien los subsecretarios. Una ley que tenga consecuencias para quien no la cumpla.
-Capacidades forenses reales en la Fiscalía: investigar un ciberataque no es como investigar un robo con violencia. Requiere peritos que entiendan qué es un exploit, que puedan preservar evidencia digital sin contaminarla, que sean capaces de explicarle a un juez —en español, sin jerga— por qué cierto log de servidor prueba lo que la acusación dice que prueba. Hoy esa capacidad es escasa y desigual. Sin ella, ninguna reforma legal cambia nada.
-Activar de verdad el Convenio de Budapest: la mayoría de los ataques a México se originan desde servidores en el extranjero. El Convenio tiene mecanismos de cooperación internacional que permitirían seguir esa pista más allá de la frontera. México firmó esa herramienta hace muchos años: sigue sin usarla con consistencia. Hay casos que murieron —y seguirán muriendo— porque nadie activó a tiempo el canal correcto.