Héctor Ariel Cabello Juárez[1]

Hoy en día es posible encontrar información guardada en plataformas digitales, documentos y bases de datos de forma accesible. Esto, es de vital utilidad para particulares, empresas o incluso órganos gubernamentales para el ejercicio de sus funciones. No obstante, este amplio espectro de accesibilidad informática también crea escenarios de riesgo para los datos personales. Lo anterior, ya que la intangibilidad de la red y su falta de fronteras, crea incertidumbre respecto al paradero final de la información de los usuarios. Consecuentemente, usuarios han aprovechado esta situación y han creado mecanismos digitales para acceder ilegalmente a información personal de los usuarios mediante una práctica llamada “Doxeo”.

El “Doxeo” puede ser definido como la recopilación de información personal de un usuario de internet sin su consentimiento para su posterior divulgación, –por ejemplo—mediante la generación de un enlace falso que confunda al usuario, pueden obtenerse sus datos al ingresar o llenar los campos requeridos. La persona cuya información es recopilada pudiera ser víctima de espionaje, hackeo y otros ataques cibernéticos que causarían una afectación a su persona, familia o patrimonio[2]. Actualmente, el Consejo Ciudadano para la Seguridad y Justicia de la Ciudad de México ha documentado alrededor de 2,231 reportes por fraudes y Doxeo en el último año[3]. Por lo tanto, este problema de ciberseguridad y protección de datos, se ha convertido en un tema público, derivando en la responsabilidad de los particulares para implementar adecuados controles de acceso a su información.

Los usuarios de internet han manifestado una creciente preocupación respecto a la protección de sus datos personales, por lo que la percepción pública de la seguridad cibernética ha adquirido relevancia en los últimos años[4]. Es así, que distintos organismos internacionales como la OCDE han emitido guías de acción para manejar el riesgo de la seguridad digital y distintos países han ratificado el Convenio de Budapest concerniente a ciberseguridad. México, por su parte, no ha ratificado ningún Tratado en esta materia y tampoco cuenta con una ley o estrategia nacional para ello, solamente regula y tiene planes de acción respecto a la protección de datos personales. Es así, que surgen las siguientes interrogantes: ¿Cuáles deberían de ser las acciones del gobierno mexicano para prevenir y combatir el Doxeo? ¿Es la legislación actual suficiente para proteger los datos personales de los usuarios contra ciberataques?

El Doxeo si bien es un tema directamente relacionado con la protección de datos personales, también es considerado como un ilícito cibernético por lo que puede ser considerarse como un ciberataque. La legislación nacional en materia de protección de datos protege la información recolectada por organismos públicos y de particulares, pero no estrictamente respecto a los datos contenidos en dispositivos electrónicos. Es así, que el marco jurídico en la materia resulta insuficiente para garantizar la protección de los usuarios. Por ende, considerando que según la Organización de los Estados Americanos (OEA) ha colocado a México en el tercer país con mayor cantidad de ciberataques, es necesario que se generen estrategias de prevención, líneas de acción y marcos regulatorios en la materia[5].

En conclusión, es preciso mencionar que México no ha tomado líneas de acción sobre el Doxeo a pesar de estar cada vez más presente en la sociedad. Según la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF) un 77% de las organizaciones mexicanas no tienen plan de respuesta ante un ciberataque[6]. Si bien, el Código Penal Federal tipifica delitos informáticos, esto resulta insuficiente toda vez que las modalidades de ciberataque son susceptibles de evolucionar en conjunto al cambio tecnológico. Es así, que se necesita un marco regulatorio flexible que abarque líneas de acción y prevención. Por lo tanto, resulta relevante que México les dé la debida importancia a estos temas adhiriéndose al Convenio de Budapest y derivado de ello establezca un Plan Nacional para Prevenir y Combatir Ciberataques. De esta forma, particulares, empresas y gobierno establecerían estrategias y adecuados controles de acceso a su información.

[1] Graduate researcher en LegalTec Lab y Estudiante de Maestría en Derecho por la Escuela de Gobierno y Transformación Pública del Tecnológico de Monterrey.

[2] Matheus, R & Aghili, S. (n.d). A Study of Doxing, its Security Implications and Mitigation Strategies for Organizations. Concordia University. Canada. Disponible en: https://concordia.ab.ca/wp-content/uploads/2017/04/Roney_Mathews.pdf

[3] Consejo Ciudadano de la Ciudad de México. (2022). Reporta Consejo Ciudadano Más de 2 mil 200 Fraudes y Doxing en préstamos por apps. Disponible en: https://consejociudadanomx.org/contenido/reporta-consejo-ciudadano-mas-de-2-mil-200-fraudes-y-doxing-en-prestamos-por-apps

[4] OECD. (2020), OECD Digital Economy Outlook 2020, OECD Públishing, Paris, https://doi.org/10.1787/bb167041-en

[5] Organización de los Estados Americanos. (2019). Estado de la Ciberseguridad en el Sistema Financiero Mexicano. Disponible en: http://www.oas.org/es/sms/cicte/documents/informes/Estado-de-la-Ciberseguridad-en-el-Sistema-Financiero-Mexicano.pdf

[6] Idem