Por Blanca Lilia Ibarra, Comisionada del INAI.
México es el tercer país con más ciberataques en el mundo, siete de cada diez empresas en nuestro país han enfrentado algún incidente en materia de seguridad informática. Este escenario posiciona a México en el lugar 63 de los 175 países evaluados en el Índice de Ciberseguridad Global 2018, elaborado por la Unión Internacional de Telecomunicaciones.
En ese sentido, el director corporativo de Tecnologías de Información de Pemex, Rodrigo Becerra Mizuno, informó que la empresa estatal de hidrocarburos recibe en promedio 600 mil intentos de ataques cibernéticos mensuales, es decir, unos 7.2 millones de amenazas al año. Pemex cuenta con una plantilla de más de ocho mil 500 servidores públicos y 60 mil equipos de cómputo, por lo que las posibles afectaciones a sus sistemas informáticos podrían tener un alto impacto no sólo en la información personal y el sistema laboral interno de sus miles de trabajadores, sino también en sus sistemas de comunicaciones, el control de calidad de los diversos productos que manufacturan, los esquemas de facturación, sus sistemas de logística y hasta en la operación de sus terminales de almacenamiento y distribución.
En estos últimos días, se dio a conocer un presunto ataque cibernético que limitaba el acceso al sistema informático de la empresa estatal y fallas en los equipos de cómputo de su personal que reportaban que los archivos del ordenador habían sido encriptados y sus discos duros formateados. Por su parte, Pemex informó en su comunicado no. 48, del 11 de noviembre de 2019, que los sistemas de operación y producción operaba con normalidad y que se encontraban blindados, además que el inventario y abasto de combustibles estaba garantizado, por lo que reiteraban sus esfuerzos por la seguridad informática y a evitar la difusión de rumores. Aunado a esta comunicación oficial, la secretaria de Energía, Rocío Nahle García, recalcó que las grandes empresas están expensas a hackeos y virus, y que el personal de sistemas ya estaba atendiendo esta situación, desde el domingo 10 de noviembre.
Esta situación resulta relevante puesto que la seguridad informática de una empresa como Pemex, no sólo tendría efectos delicados en la ciberseguridad de su personal y sus operaciones internas, sino también en el sector energético mexicano. Aunado a ello, se debe considerar que, ante un posible ataque cibernético, los perpetradores podrían sustraer ilegalmente bases de datos con información personal.
Ante este escenario es importante señalar que el sistema jurídico mexicano reconoce el derecho que tiene cualquier persona a la protección de sus datos personales. Es importante mencionar que, una de las principales obligaciones que deben cumplir los sujetos obligados (Pemex, por ejemplo) en el tratamiento de esta información es observar el deber de seguridad, el cual obliga a los responsables a implementar medidas de carácter físico, técnico y administrativo que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar su confidencialidad, integridad y disponibilidad. Al respecto, el deber de seguridad impone a los responsables del tratamiento la obligación de notificar, sin dilación alguna, cualquier vulneración a las medidas de seguridad que afecte de manera significativa los derechos morales o patrimoniales de los titulares, con la finalidad de que los titulares afectados puedan tomar las medidas correspondientes para la defensa de sus derechos.
En relación a lo anterior y dada la importancia de la ciberseguridad de las empresas estatales del sector energético, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos personales reitera su compromiso para garantizar la protección de la información de la población ante vulneraciones o ataques a la ciberseguridad que se pudieron haber registrado, por lo que estaremos pendientes y atentos a las dudas y peticiones de la ciudadanía, para atender cualquier posible denuncia que este hecho amerite, o en su caso, para dar seguimiento a cualquier aviso que haga la empresa paraestatal sobre los datos que pudieron haber sido sustraídos.