El 3 de octubre de 2024, la Senadora Rocío Corona Nakamura, del Grupo Parlamentario del Partido Verde Ecologista de México, presentó un proyecto de Decreto por el que se adiciona una fracción XIV al artículo 5 de la Ley de Seguridad Nacional, que propone adicionar como amenaza a la seguridad nacional:

Toda actividad ilícita cometida mediante el uso de medios electrónicos, digitales, tecnológicos, redes de comunicación o informáticos que pongan en riesgo el orden público y la paz social, dañen o vulneren a las instituciones o dependencias públicas o amenacen la seguridad de las áreas estratégicas (del Estado).

De igual forma, el 8 de octubre, el Diputado Humberto Coss, del Grupo Parlamentario de MORENA, presentó una Iniciativa que adiciona el artículo 5o. de la Ley de Seguridad Nacional, en el sentido siguiente:

XIII. Actos tendentes a acceder, conocer, obtener, difundir, copiar o utilizar información, modificar, destruir, ocasionar pérdida de información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de Seguridad.

Desde R3D: Red en Defensa de los Derechos Digitales consideramos preocupante la amplitud y vaguedad de las disposiciones propuestas, las cuales podrían ser utilizadas para justificar acciones de vigilancia de igual amplitud sobre personas y organizaciones periodísticas, de defensa de derechos humanos o que utilizan tecnologías digitales para el ejercicio de sus derechos políticos.

Para afirmar la validez, legitimidad en un sistema democrático y compatibilidad con los derechos humanos de las actividades de inteligencia del Estado, antes de ampliar el catálogo de amenazas a la seguridad nacional con definiciones amplias y vagas, es necesario establecer controles democráticos y combatir la impunidad, especialmente en casos en los que autoridades como el Centro Nacional de Inteligencia (CNI, entonces CISEN) no han rendido cuentas, por ejemplo, por el uso de Pegasus durante el gobierno de Peña Nieto en contra de personas periodistas y defensoras de derechos humanos.

Estándares internacionales de derechos humanos han advertido de los riesgos que conceptos amplios de “amenazas a la seguridad nacional” suponen y han enfatizado la importancia de que las medidas tendientes a controlar las labores de inteligencia sean especialmente rigurosas, dadas las condiciones de secrecía bajo las que se realizan esas actividades, las cuales pueden derivar en la comisión de violaciones de los derechos humanos.

En contraposición, las definiciones propuestas permitirían que el CNI pueda llevar a cabo intervenciones de comunicaciones privadas de manera extensa e incumple el principio de legalidad y certeza jurídica al contener una definición demasiado vaga y amplia en la que prácticamente cualquier conducta ilícita en la que se utilicen tecnologías de la información y comunicación (TIC) podría clasificar como una amenaza a la seguridad nacional.

Lo anterior resulta particularmente problemático si consideramos que investigaciones periodísticas y de las organizaciones de la sociedad civil han verificado que el CNI (entonces Centro de Investigación y Seguridad Nacional (CISEN)) adquirió Pegasus en el sexenio de Peña Nieto para espiar a periodistas y personas defensoras de derechos humanos.

La gravedad de los hechos denunciados, incluso, motivó el pronunciamiento de organismos internacionales. Sin embargo, y a pesar de la evidencia que lo confirma como uno de los operadores de Pegasus durante el gobierno de Peña Nieto, a la fecha no se han llevado a cabo acciones de investigación serias respecto al CISEN. Inclusive, a pesar del compromiso del entonces Presidente Andrés Manuel López Obrador de transparentar todos los contratos relacionados al spyware Pegasus, el CNI ha incumplido su orden directa y mantiene dicha información reservada.

Actualmente, la Ley de Seguridad Nacional (LSN) no ofrece suficiente claridad ni contempla salvaguardas adecuadas ni suficientes en contra del abuso de medidas de vigilancia secreta. Esto impide la detección, investigación y sanción de ejercicios abusivos de vigilancia por parte del CNI, con el fin de contrarrestar la impunidad y promover la no repetición de los abusos.

En esta línea, al finalizar su visita conjunta a México, los Relatores para la Libertad de Expresión de la ONU y de la CIDH, recomendaron asegurar la independencia de la investigación sobre la compra y uso de malware para vigilar periodistas, activistas y defensores de derechos humanos, así como adoptar medidas legislativas y controles judiciales adecuados para que las medidas de vigilancia se realicen en apego a los derechos humanos. Incluso recomendaron que México debería considerar crear un órgano independiente para supervisar de manera efectiva las tareas de vigilancia del Estado.

Finalmente, la iniciativa de reforma es innecesaria, dado que el artículo 5 de la LSN ya contempla como amenaza a la seguridad nacional, entre otras, “actos tendentes a destruir o inhabilitar la infraestructura de carácter estratégico o indispensable para la provisión de bienes o servicios públicos”, por lo que el CNI ya cuenta con facultades para atender como amenaza a la seguridad nacional los ataques informáticos que puedan afectar de manera grave infraestructura crítica.

Por las razones expuestas, solicitamos al Congreso de la Unión a establecer un diálogo plural con participación de todos los actores, incluyendo a la sociedad civil, para diseñar mecanismos que permitan al Estado enfrentar adecuadamente las amenazas que suponen los ataques informáticos a infraestructuras críticas, garantizando igualmente controles democráticos a las labores de inteligencia que históricamente han sido abusadas con impunidad para atacar a sectores de la población, incluyendo a las personas defensoras de derechos humanos y periodistas en México.