Jorge Navarro

Abogado en TIC/Seguridad de la Información

4 de septiembre de 2014
La Ley en la ciberseguridad

Agenda

I. Ciberseguridad: ¿Solo leyes y tratados?

II. Ecosistema legal internacional

III. Ecosistema legal nacional

IV. Conclusiones

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 2

I. Ciberseguridad
¿Solo leyes y tratados?

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 3

Ámbito nacional

• Constitución Federal
• Constituciones de los Estados y
Estatuto Orgánico del D.F.
• Leyes Federales y estatales: Orgánicas o reglamentarias
• Normas generales de entidades de los poderes federales y
estatales
i) Reglamentos Mexicanas xv) Lineamientos
ii) Decretos ix) Normas Técnicas xvi) Parámetros
iii) Acuerdos x) Disposiciones xvii) Agendas
iv) Órdenes Generales xviii) Estrategias
v) Planes xi) Circulares xix) Códigos de Ética
vi) Programas xii) Resoluciones xx) Convenios entre
vii) Reglas Generales xiii) Manuales poderes y/o con
viii) Normas Oficiales xiv) Formatos Oficiales particulares
• Jurisprudencia y Criterios del PJ: Federal y de los Estados
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 4
Ámbito internacional

• Tratados celebrados por el

Presidente ratificados por el Senado
(Art. 133 Constitucional):
i) Acuerdos iv) Pactos o
ii) Convenios v) Protocolos, y pueden ser
iii) Convenciones bilaterales o multilaterales

• Otros instrumentos
i) las Leyes Modelo vi) los Estándares
ii) las Declaraciones xvi) las Reglas
iii) las Resoluciones xviii) los Marcos
iv) las Directrices xix) Mejores Prácticas Internacionales
v) los Manuales

• Sentencias de Tribunales extranjeros (i.e. TCE)

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 5
¿Qué es la ciberseguridad?

Recomendación UIT–T X.1205

“Ciberseguridad”
• Herramientas, políticas, conceptos de
seguridad, salvaguardas de seguridad,
directrices, métodos de gestión de
riesgos, acciones, formación, prácticas
idóneas, seguros y tecnologías
• Protegen activos de organización y
usuarios en ciberentorno
• Dispositivos informáticos conectados,
Usuarios, servicios/aplicaciones,
sistemas de comunicaciones,
comunicaciones multimedios
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 6
¿Qué es la ciberseguridad?

• Totalidad de la información transmitida y/o

almacenada en el ciberentorno
• Garantiza se alcancen y mantengan
propiedades de seguridad de activos y
usuarios contra riesgos de seguridad en
ciberentorno
• Las propiedades de seguridad:
disponibilidad; integridad, que puede
incluir la autenticidad y el no repudio;
confidencialidad

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 7

Actores internacionales de la ciberseguridad

Vigilancia, alerta y
Leyes, regulación respuesta a incidentes
administrativa y
su ejecución
Intercambio
de información
ITU
Combate al spam

Estándares técnicos y
Privacidad, soluciones industriales
protección de datos
y al consumidor

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 8

 ITU
Leyes, regulación Vigilancia, alerta y
administrativa y su ejecución respuesta a incidentes

• APEC • FIRST • IWWN

• OEA • ENISA • CERT-CC
• ASEAN • Grupo EGC
• Interpol
• ONUCDPC Intercambio de información
• Consejo de Europa
• Grupo de los 6 (G8) • OCDE
• Unión Europea • Telecomunidad Asia-
• Ministerios de Pacífico (APT)
Justicia Nacionales • APEC
• ENISA
• Banco Mundial
• Unión Africana
• OEA
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
• Liga Árabe 9
 ITU
Privacidad, protección de Estándares técnicos y
datos y al consumidor soluciones industriales

• Grupo discusión sobre • Cámara de Comercio

administración de la Internacional
Identidad ITU-T • Grupo de Estudio 17 ITU-T
• EPIC • ISO
• Privacy International • ETSI
• OCDE • IETF
• Conf. Internacional de
Protección de Datos y Priv.
• IWGDPT
• Unión Europea

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 10

 ITU
Combate al Spam

• Seoul-Melbourne MoU
• Plan de Acción de Londres (LAP)
• OCDE
• APECTEL, ECSG
• Antiphising Working Group (APWG)
• CNSA
• MAAWG
• CAUCE Regional y Nacional
• Stop Spam Alliance

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 11

Agenda sobre ciberseguridad global
Plataforma de cinco elementos
Secretario General de la UIT | GEANC

01/ MEDIDAS LEGALES

Las metas incluyen estrategias para diseñar
legislación modelo sobre ciberdelito que es
compatible y aplicable mundialmente

02/ MEDIDAS TÉCNICAS Y DE PROCEDIMIENTO

Las metas incluyen estrategias para diseñar un
marco mundial de protocolos de seguridad,
normas y planes de acreditación de programas
y equipos informáticos

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 12

Agenda sobre ciberseguridad global
Plataforma de cinco elementos

03/ ESTRUCTURAS INSTITUCIONALES

Los métodos incluyen estrategias mundiales –
tendentes- a establecer estructuras
institucionales y políticas sobre ciberdelito,
vigilancia, alerta y respuesta ante incidentes, y
un sistema de identidad digital genérica y
universal

04/ CREACIÓN DE CAPACIDADES

Las metas incluyen objetivos estratégicos para
facilitar la constitución de capacidades
humanas e institucional en las esferas 1, 2 y 3

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 13

Agenda sobre ciberseguridad global
Plataforma de cinco elementos

05/ COOPERACIÓN INSTITUCIONAL

Los métodos incluyen propuestas encaminadas
a establecer un marco de diálogo, cooperación
y coordinación internacionales

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 14

II. Ecosistema
legal internacional

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 15

La Supercarretera de la Información

https://youtu.be/LaUsZQGwNXY

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 16

Ecosistema legal internacional

• Organización del Tratado del Atlántico Norte (OTAN)

• Comisión de las Naciones Unidas para el Derecho Mercantil
Internacional (CNUDMI o UNCITRAL)
• Unión Internacional de Telecomunicaciones / UIT
• Comisión Económica para América Latina y el Caribe de las
Naciones Unidas (CEPAL)
• Organización de Estados Americanos (OEA) /
Comité Interamericano contra el Terrorismo (CICTE)

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 17

Ecosistema legal internacional

• Organización para la Cooperación y

el Desarrollo Económicos (OCDE)
• Foro de Cooperación Económica
Asia-Pacífico (APEC)
• Unión Europea / Consejo de Europa
• NETMundial
• Relatores de los Derechos Humanos
ONU y OEA
• Otros instrumentos internacionales

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 18

III. Ecosistema
legal nacional

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 19

Algunos retos para la ciberseguridad
Estados de Desarrollo de Gobierno Electrónico

B Burocracia

BI Burocracia e Informática

Burocracia e Informática
BII e Interoperabilidad
Principios
1. Gobierno al alcance de todos desde cualquier parte
2. No pedir al ciudadano información que ya está en registros del gobierno
3. Calidad de servicios homogénea en todas las agencias de gobierno

Fuente: Moreno, Hernán. El fin del Gobierno electrónico, CEPAL, 2007

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 20
Algunos retos para la ciberseguridad
Tipología de Análisis y Estados Desarrollo
Desafío /
Estado evolución B BI BII
Formularios papel y
Semántico Formularios papel Formularios digitales
digitales
Agencias autónomas en
manejo de información
Organizacional Agencias autónomas en manejo de información
propia. Uso de información
de otras agencias.
Máquinas de escribir,
calculadoras, archivo,
Máquinas de escribir,
documentos papel, Computadoras, impresoras,
calculadoras, archivo,
Técnico computadoras, archivos digitales, firma y
documentos papel,
impresoras, archivos pago electrónico
certificaciones, sellos
digitales, certificaciones,
sellos
Marco legal, reglamento
interno agencia,
Gobernanza Marco legal, reglamento interno agencia interoperabilidad,
estándares, coordinación con
otras agencias

Fuente: Moreno, Hernán. El fin del Gobierno electrónico, CEPAL, 2007

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 21
¿Un problema de feudos?

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 22

Ecosistema legal nacional

• Constitución Federal
• Ley Federal de Transparencia y Acceso a la Información Pública
Gubernamental / Reglamento / Lineamientos
• Ley Federal de Protección de Datos en Posesión de los Particulares /
Reglamento / Recomendaciones/ Lineamientos / Parámetros / Criterios
• Ley Federal de Telecomunicaciones y Radiodifusión
• Ley Federal de Archivos /Reglamentos/ Lineamientos para la
clasificación
• Código de Comercio / Reglamento en materia de Prestación de
Servicios de Certificación; Normas Generales; NOM-151
• Código Fiscal de la Federación / Reglamento / Miscelánea Fiscal 2014

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 23

Ecosistema legal nacional

• Ley de Instituciones de Crédito; Circular Única

de Bancos
• Ley de la Propiedad Industrial; Ley Federal del
Derecho de Autor
• Código Penal Federal; Código Federal de
Procedimientos Penales; Ley de Seguridad
Nacional, Acuerdos de PGR para preservar
evidencias 2011
• Ley Federal del Trabajo
• Ley Federal de Responsabilidades
Administrativas de los Servidores Públicos

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 24

Ecosistema legal nacional

• Ley Orgánica de la Administración Pública

Federal / Reglamentos Interiores/ Estatutos
Orgánicos; Ley Federal de la Policía Federal
• PND 2013- 2018; Programa Nacional de
Seguridad Pública 2014-2018; Programa para
la Seguridad Nacional 2014- 2018; Estrategia
Digital Nacional; Acuerdo (Mayo 8, 2014) y
MAAGTICSI.

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 25

 A – Acciones básicas
LFPDPPP B – Implementación de organización, atención y plan
de implementación de medidas de seguridad
Reglamento C – Modelo de autorregulación

1 2 3 4Medidas de seguridad 5
Persona o Avisos de Derechos de Procedimiento para la
departamento de privacidad acceso, administrativas, atención de
datos personales rectificación, técnicas y físicas para reclamaciones de
cancelación y proteger los datos protección de derechos
oposición personales
Designación • Elemento del aviso • Organización y • Inventario datos • Flujo de atención
persona o • Elaborar aviso normatividad personales • Responsabilidades
A
departamento • Estrategia de • Modelo operativo • Cultura organizacional
datos personales publicación • Formación
• Estructura • Avisos en • Capacitación • Medidas de protección • Funciones y obligaciones
organizacional aplicaciones atención ARCO datos personales • Directrices, lineamientos,
• Formación • Avisos en procesos • Modelo de • Análisis GAP principios, derechos,
B
• Marco normativo atención • Plan director deberes y organización
• Modelo de gestión • Gestión de incidentes • Formación y
sensibilización
• Documentar • Avisos en nuevos • Código y modelo • Código y modelo de • Manual de funciones y
funciones productos y de autorregulación autorregulación datos obligaciones
• Mejora continua servicios ARCO personales • Implementación de
C
• Autoevaluación • Actualización de funciones
avisos con cambios
normativos

1 Art 6, 14 y 30 de la Ley; Arts 47 y 48 del Reglamento

2 Arts 16 y 17 de la ley; Arts 23 a 31 del Reglamento
3 Capítulo IV de la Ley y Capítulo VI del Reglamento
4 Art 19 de la Ley; Arts 3 Fraccs. V, VI y VII; 48 y Capítulo III del Reglamento
5 Capítulo VII de la Ley; Capítulo VIII del Reglamento

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 26

LFPDPPP
Reglamento

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 27

Mejores prácticas

Recomendaciones en materia de
Seguridad de Datos personales del
IFAI (DOF: 30/10/2013) Mejorar Planear

Recomendación General consiste en

adoptar un Sistema de Gestión de
Seguridad de Datos Personales SGSDP
(SGSDP) basado en el ciclo PHVA
(Planear-Hacer-Verificar-Actuar).
El SGSDP tiene como objetivo proveer
un marco de trabajo para el tratamiento
de datos personales, que permita Monitorear / Implementar /
mantener vigente y mejorar el Revisar Operar
cumplimiento de la legislación sobre
protección de datos personales y
fomentar las buenas prácticas.
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 28
Recomendaciones en materia de Seguridad de
Datos personales del IFAI (DOF: 30/10/2013)

1 Establecer el alcance y objetivos

Elaborar una política de
gestión de datos personales
Elaborar un inventario
de datos personales
Identificar las medidas de
seguridad y análisis de brecha
2
3 Establecer funciones y obligaciones
de quienes traten datos personales
4
6 5 Realizar el análisis de riesgo
de los datos personales

78
Implementar las medidas de
seguridad aplicables a los Revisiones y Auditoría
datos personales

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.

9 Mejora continua y capacitación

29
Mejores prácticas

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 30

Benditas selfies
¿Seguridad de
la Información?

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 31

 Investigación de delitos informáticos
Procesos en la investigación

SOLICITUD DE INTEGRACIÓN DE
INTERVENCIÓN LA INVESTIGACIÓN

IDENTIFICACIÓN PRESERVACIÓN ANÁLISIS

FIGURACIÓN Y PROCESAMIENTO CONCLUSIONES

ASEGURAMIENTO

EMBALAJE Y
PRESERVACIÓN

Procesamiento del Procesamiento de la Emisión de

lugar de los hechos posible evidencia resultados
CADENA DE CUSTODIA

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 32

Delitos informáticos
Código Penal Federal

Espionaje Art 127 al 129

Códigos maliciosos, ingeniería social, intervención de comunicaciones
Rebelión Art 133 al 135
Páginas WEB, comunicaciones móviles
Terrorismo Art 133 al 135
Códigos maliciosos, páginas WEB, comunicaciones móviles
Sabotaje Art 140
Códigos maliciosos, ingeniería social, accesos no autorizados
Conspiración Art 141
Difusión a través de internet y dispositivos móviles
Delitos en materia de vías de comunicación Art 167 a 168
Códigos maliciosos, intervención de comunicaciones, decodificación de
comunicaciones
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 33
Delitos informáticos
Código Penal Federal

Violación de correspondencia Art 173, 176 177

Códigos maliciosos, intervención de comunicaciones, decodificación de
comunicaciones
Delitos contra la salud Art 193 y 194
Difusión a través de Internet y dispositivos móviles
Corrupción de las personas Art 200, 202, 202 bis
Difusión a través de Internet y dispositivos móviles
Trata de personas Art 205, 206 bis
Difusión a través de Internet y dispositivos móviles
Revelación de secretos Art 210, 211, 211 bis
Códigos maliciosos, ingeniería social, redes bot
Accesos no autorizados a sistemas de cómputo Art 211 bis 1 al 211 bis 7
Códigos maliciosos, ingeniería social, redes bot
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 34
Delitos informáticos
Código Penal Federal

Falsedad Art 234 al 246

Falsificación de documentos a través de software y hardware, phising,
distribución a través de internet y dispositivos móviles
Delitos contra la paz y seguridad de las personas (amenazas) Art 282 y 283
Correo electrónico, mensajería instantánea, mensajes escritos, telefonía móvil
Homicidio Art 302
Códigos maliciosos, redes informáticas, sistemas informáticos
Robo Art 367, 368
Códigos maliciosos, ingeniería social, redes informáticas, sistemas informáticos
Fraude Art 286
Phising, pharming, ingeniería social, códigos maliciosos, redes bot
Extorsión Art 390
Correos electrónicos, mensajería instantánea, mensajes de texto
© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 35
Delitos informáticos
Código Penal Federal

Operaciones con recursos de procedencia ilícita Art 400

Fraudes financieros, páginas WEB, dispositivos móviles
Delitos electorales Art 403, 405
Correos electrónicos, redes sociales, mensajería instantánea
Delitos en materia de derechos de autor Art 424
Códigos maliciosos, ingeniería social, redes bot

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 36

IV. Conclusiones

© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 37

Deloitte se refiere a Deloitte Touche Tohmatsu Limited, sociedad privada de responsabilidad limitada en el Reino Unido, y a su red de firmas miembro,
cada una de ellas como una entidad legal única e independiente. Conozca en www.deloitte.com/mx/conozcanos la descripción detallada de la estructura legal
de Deloitte Touche Tohmatsu Limited y sus firmas miembro.

Deloitte presta servicios profesionales de auditoría, impuestos, consultoría y asesoría financiera, a clientes públicos y privados de diversas industrias.
Con una red global de firmas miembro en más de 150 países, Deloitte brinda capacidades de clase mundial y servicio de alta calidad a sus clientes,
aportando la experiencia necesaria para hacer frente a los retos más complejos de los negocios. Cuenta con más de 200,000 profesionales,
todos comprometidos a ser el modelo de excelencia.

Tal y como se usa en este documento, “Deloitte” significa Galaz, Yamazaki, Ruiz Urquiza, S.C., la cual tiene el derecho legal exclusivo de involucrarse en,
y limita sus negocios a, la prestación de servicios de auditoría, consultoría fiscal, asesoría financiera y otros servicios profesionales en México,
bajo el nombre de “Deloitte”.

Esta publicación sólo contiene información general y ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro, ni ninguna de sus respectivas afiliadas
(en conjunto la “Red Deloitte”), presta asesoría o servicios por medio de esta publicación. Antes de tomar cualquier decisión o medida que pueda afectar sus
finanzas o negocio, debe consultar a un asesor profesional calificado. Ninguna entidad de la Red Deloitte, será responsable de pérdidas que pudiera sufrir
cualquier persona o entidad que consulte esta publicación.