Una probadita de apocalipsis
El viernes pasado, diecinueve de julio, el mundo vio el caos en industrias vitales como el tráfico aéreo, la banca y la salud como nunca. ¿El responsable? una implementación defectuosa de una actualización del software antivirus por parte de la empresa tecnológica estadounidense Crowdstrike. El incidente plantea varias preguntas sobre la responsabilidad de las empresas tecnológicas en un mundo globalizado tan profundamente interconectado.
Desde la perspectiva de la ley mexicana, el evento nos hace reflexionar seriamente no solo la responsabilidad extracontractual, sino también las obligaciones de debida diligencia de las empresas que proporcionan servicios orientados a la ciberseguridad.
La Ley Federal de Protección al Consumidor establece de manera específica que los proveedores de servicios deben garantizar que la calidad y la seguridad de sus servicios y productos estén en un nivel suficiente. En esta línea, hay empresas que fueron afectadas en los servicios prestados a consumidores pero por causa de Crowdstrike, por lo que cualquier escalaría en contra de Crowdstrike para ser responsabilizado por daños y perjuicios como resultado de negligencia al no probar adecuadamente la actualización antes de su lanzamiento.
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares es también una ley que requiere que las empresas implementen medidas de seguridad para proteger la información personal. Si se demuestra que la violación comprometió información crítica, la empresa sería multada en grandes cantidades por el INAI.
Una ley de avanzada de seguridad cibernética debe ser implementada lo antes posible. Actualmente, no tenemos una legislación que establezca las responsabilidades de las compañías de tecnología en casos de apagones similares. El Congreso es el principal regulador para intervenir y corregir esta laguna de responsabilidad, especificando las reglas del juego para proteger los intereses de los consumidores y la infraestructura crítica del país.
El caso también ilustra el tema de la cooperación internacional en ciberseguridad. Dado que Crowdstrike es una empresa estadounidense, además de las implicaciones legales, surge la pregunta sobre la jurisdicción adecuada y los mecanismos de cooperación entre México y los Estados Unidos para resolver las cuestiones legales relacionadas con este caso. Es posible que los tratados existentes no estén preparados para tratar con la complejidad de este tipo de casos que tienen una naturaleza transfronteriza.
En segundo lugar, este caso en sí mismo es una conclusión de que las empresas mexicanas deberían tener una mayor diversificación en sus proveedores de servicios tecnológicos. Depender demasiado de un solo proveedor, puede ser catastrófico si se producen problemas.
La anarquía mundial generada por este incidente debe ser una llamada de atención para los legisladores, reguladores y empresas por igual. Debemos actualizar rápidamente nuestro marco legal para abordar los desafíos de la era digital, coordinar la cooperación internacional en ciberseguridad y hacer rendir cuentas a las empresas de tecnología con altos estándares de responsabilidad.
Hablando en términos de responsabilidad corporativa, es absolutamente esencial que este tipo de empresas tengan procedimientos mucho más estrictos para probar y verificar la calidad de sus productos y servicios, antes de lanzarlos al mundo para ser consumidos por millones de usuarios.
Así la fragilidad de nuestra sociedad digital. El incidente en sí mismo cuestiona la naturaleza de la dependencia tecnológica y sus dilemas. ¿Hemos dado demasiado control a las máquinas que no comprendemos completamente? El mundo interconectado, que nos presenta oportunidades para el desarrollo, también nos expone a vulnerabilidades en todas las redes.
En un mundo donde vamos a tanta prisa por la eficiencia, debemos descubrir cómo no perder nuestra humanidad y autonomía.
No olvidar lo analógico.
@jchessal
