Cuatro grupos de expertos advirtieron que el dictamen de la Iniciativa 6347, Ley de Ciberseguridad, presenta riesgos por tener un modelo centrado en seguridad nacional, militarización y opacidad en la fiscalización. En este contexto, Sigfrido Lee, analista investigador de Alianza por un Congreso Eficiente —uno de los tanques que publicó su análisis— amplió a Prensa Libre puntos que preocupan desde la sociedad civil la regulación que se busca aprobar.

La iniciativa ya superó la primera y segunda lectura en el flujo legislativo en el Congreso de la República.

Otros organismos que se pronunciaron fueron la Mesa de Certeza Jurídica de la Iniciativa Guatemala No Se Detiene, la Alianza Técnica de Apoyo al Legislativo (ATAL) y el bufete de abogados ALTA. Señalan que la gobernanza propuesta carece de coordinación clara entre instituciones y excluye a la sociedad civil, la academia y al sector privado, lo que debilita la legitimidad del ente rector y aleja la iniciativa de las buenas prácticas internacionales.

Este es un extracto de la conversación que Lee tuvo con Prensa Libre, en la que indica que uno de los temas que preocupa es la falta de protocolos en la estructura macro del texto.

LECTURAS RELACIONADAS

Ley de Ciberseguridad: Expertos alertan sobre control militar, opacidad y vacíos legales en dictamen

Ley de Ciberseguridad debería regresar a la Comisión

¿Qué implicaciones ven en que el Ministerio de Defensa tenga un rol permanente en la ciberdefensa por encima de una autoridad civil que se ha visto en otros sectores?

El problema es bastante complicado. No se trata solo de la injerencia de la parte militar sobre la civil, sino también del abandono completo de esta última, porque la ciberseguridad únicamente se está viendo como un problema de seguridad nacional.

No es únicamente la subordinación de la seguridad civil a la seguridad de fronteras o militar, sino también el descuido hacia la seguridad ciudadana al no considerarla debidamente.

Lo primero es hacer una revisión profunda de la gobernanza de la ciberseguridad. Actualmente está muy parcializada y no se encuentra explicada con claridad. Por eso sugerimos que este proyecto regrese a la comisión respectiva para ser discutido y que se aborde integralmente la gobernanza, tomando en cuenta los distintos matices que implica la ciberseguridad.

¿Y cuáles considera que podrían ser esos matices o esos puntos clave que podrían incluirse?

Todo lo que es la seguridad civil. Por ejemplo, cómo se va a proteger a las poblaciones civiles en la medida en que cada vez se incorporan más en la digitalización. Ese es un tema muy importante: la prevención y el seguimiento a situaciones civiles de vulnerabilidad en ciberseguridad.

Otra de las críticas que se ha visto en los últimos días es sobre las adquisiciones bajo reserva, ya que la ley lo permite. ¿Qué riesgos observa usted a partir de esta disposición?

Entendemos que en estos temas de ciberseguridad deben existir ciertas reservas en la implementación de muchos protocolos. Sin embargo, que todas las adquisiciones sean libres tampoco corresponde. Ahora resulta que hasta la compra de escritorios de estas instituciones está bajo reserva. Creo que ahí se excedieron en la cobertura de esas excepciones.

Aunque compartimos que debe haber ciertas excepciones para la divulgación de información sensible, estas tienen que estar mucho mejor reguladas de lo que están actualmente. Aquí simplemente se excedieron en el alcance de esas excepciones.

¿Qué tipo de controles de auditoría o supervisión considera usted necesarios para que estas compras puedan mantener esta transparencia?

No hay ninguna excepción; simplemente todas sus compras quedan exceptuadas. Muchas instituciones del gobierno ya mantienen bajo reserva buena parte de sus temas de ciberseguridad, pero aun así siguen siendo debidamente fiscalizadas.

La SAT y la Superintendencia de Bancos, por ejemplo, tienen fuertes medidas de ciberseguridad que afectan a muchos actores al mismo tiempo. Manejan con mucha reserva gran parte de esta información, pero esto no los hace exentos de una debida fiscalización.

¿Cuáles considera que pueden ser los controles de auditoría o supervisión que pueden utilizarse dentro de esta ley?

Lo que hay que aclarar bien es qué está exento y qué no lo está. No es que todo quede exento. No es que la compra de una computadora o de equipo, o la adquisición de software, quede fuera de fiscalización. Eso tampoco. Lo que sí corresponde es buscar mejores prácticas en cuanto a la reserva de información, sin dejarlo como si todo quedara totalmente exento. Existen buenas prácticas en este tema, no solo a nivel mundial, sino que incluso en Guatemala se pueden identificar muchas de ellas.

¿Cuáles considera que deberían ser estas obligaciones preventivas mínimas que debería asumir el Estado para garantizar una verdadera política de prevención en ciberseguridad?

Hay varios puntos. Estamos de acuerdo en que se aborde la tipificación de estos delitos, pero en esa tipificación ya se cometen varios errores. El primero es que muchos delitos todavía no quedan lo suficientemente bien definidos.

El segundo es un exceso de persecución penal que va contra principios reconocidos por la Constitución y por el derecho internacional en cuanto a la proporcionalidad de los castigos. Pensar que castigos más duros harán mejor la situación no es correcto; no se trata de eso.

En cuanto a prevención, es importante avanzar en el establecimiento de buenas prácticas y en contar con la institucionalidad que garantice su implementación en materia de ciberseguridad. Muchas veces esto depende más de una buena coordinación interinstitucional que de una persecución penal, lo cual requiere esquemas sólidos de gobernanza. Aquí vemos cómo todo se acumula hacia ese primer gran problema: la debilidad de gobernanza que se ha señalado.

¿Cuáles son esas buenas prácticas de las que se ha hablado?

Una de las mejores prácticas es compartir información. Cuando ocurre un ataque, generalmente las personas o instituciones se sienten avergonzadas. Lo que debe hacerse es compartir que eso está sucediendo, cómo sucede y desde dónde ocurre, para que los demás actores en el ecosistema puedan prepararse y defenderse de ataques que tienden a masificarse. Ese es un tema muy importante, que requiere compartir información y contar con una buena gobernanza.

Otra buena práctica son los protocolos de recuperación ante un ciberataque. La cuestión no es si habrá o no ataques, sino cómo nos vamos a recuperar cuando ocurran. Para ello se necesitan protocolos claros de resguardo de información, reinicio de operaciones y mecanismos para no interrumpir la continuidad. Y en la propuesta actual no se observa un espacio en el que esto se esté contemplando.

Además de establecer estos protocolos, ¿cómo recomienda que debe ser el seguimiento a esta implementación?

Hay distintos niveles de responsabilidad que deben aclararse: temas nacionales, locales y sectoriales. Es precisamente esa coordinación la que se necesita para atender todos estos aspectos. Mucho depende también del seguimiento y de las responsabilidades que se asuman en cada etapa. La pregunta clave es: ¿quién asume qué en cada etapa? Esto es muy importante.

Gran parte de ello debe trasladarse a los reglamentos, pero tiene que quedar definido en la estructura organizacional, la cual no vemos claramente identificada en este marco legal. Lo que buscamos es que se fortalezca, y por eso insistimos en revisar a fondo la estructura de gobernanza que plantea esta legislación.

En caso de que esta ley se regrese a comisión para una reevaluación, ¿cuáles serían las enmiendas prioritarias?

Realmente hay que hacer una revisión completa de la ley. La gobernanza es un tema muy importante y, además, deben revisarse las consecuencias penales que se están proponiendo. Ese marco penal tiene bastantes debilidades y es necesario evaluarlo.

¿Cuál sería una mejor forma de poder desarrollar las consecuencias penales?

El problema es que no todas las figuras penales que se tipifican están suficientemente desarrolladas y se incumple con el principio de proporcionalidad de las penas. Se trata de delitos patrimoniales, no de delitos contra la vida, y en muchos casos las sanciones incluso superan a las previstas para delitos contra la vida.