El 21 de enero del 2024, la Ley de Ciberseguridad del Estado Libre Asociado de Puerto Rico fue aprobada de manera unánime tanto en la Cámara de Representantes como en el Senado y fue firmada por el gobernador Pedro Pierluisi.
La Ley de Ciberseguridad del Estado Libre Asociado de Puerto Rico, en el primer punto de su artículo 3, sobre la política pública, plantea que se deben establecer los estándares y principios mínimos de ciberseguridad basados en la zero trust architecture (arquitectura de confianza cero) para transformar, agilizar y proteger las relaciones dentro del Gobierno, con la ciudadanía, así como con empresas locales y extranjeras.
Asimismo, en el punto número 2, la ley prohíbe realizar cualquier tipo de pago por rescate en respuesta a un ataque cibernético y establecer colaboración con la Agencia de Ciberseguridad e Infraestructura del Departamento de Seguridad Nacional, excepto y bajo evaluación, si se trata de infraestructura crítica o riesgo inminente de pérdida de vida. Esta ley es aplicable para las siguientes categorías:
- La rama ejecutiva.
- Cualquier persona natural o jurídica que haga negocios o tenga contratos con el Gobierno.
- Personas privadas que desempeñen funciones y servicios públicos.
- Todo ejercicio de administración público o privado en el que se hubiesen dedicado o invertido fondos o recursos públicos, directa o indirectamente.
- Entidades privadas que presten servicios al Gobierno como contratistas.
- Empresas privadas involucradas en la prestación de servicios públicos.
Ejemplos de estas categorías incluirían proveedores de atención médica que reciban fondos públicos o participen de programas de salud auspiciados por el gobierno. También, instituciones educativas que reciban financiamiento gubernamental.
Esta nueva ley de ciberseguridad se basa en el principio de que proveer seguridad a los datos gubernamentales es esencial para apoyar los procesos de innovación y fomentar el crecimiento económico en todos los sectores del país. Para tal motivo, se creó el cargo de Principal Oficial de Seguridad Cibernética, en la oficina de Puerto Rico Innovation and Technology Service (PRITS), en donde se garantizará la ejecución de la ley de ciberseguridad mencionada.
Según se destaca en los motivos de la creación de la Ley N.º 40-2024, en los últimos 24 a 36 meses, ha habido un incremento dramático en la cantidad de ciberataques y accesos no autorizados a los sistemas de información que comprometen la seguridad y el comercio de Puerto Rico. Asimismo, en el texto se subraya que el país aún no está preparado para enfrentar los ataques cibernéticos actuales, lo que hace que la promulgación de la ley haya sido prioritaria. Además, en el año 2021, Puerto Rico sufrió más de 926 millones de intentos de ciberataques y en el primer semestre del 2023 ya sumaba más de 1000 millones de dichos intentos.
Un ejemplo del crecimiento de los ciberataques al país es el que ocurrió en el 2022, el cual afectó al Senado de Puerto Rico. En esta ocasión, el Presidente del Senado, José Luis Dalmau, confirmó, que habían sido víctimas de un ataque informático, el cual había provocado el corte de Internet y del sistema telefónico del Senado. También afirmó que la web del Senado había quedado fuera de servicio y el personal sin acceso a la información. En dicha ocasión, se activó a tiempo el protocolo de seguridad, y se reportó a las autoridades y especialistas sobre el atentado cibernético.
Cabe destacar que el ataque mencionado anteriormente no fue el primero hacia un organismo público de Puerto Rico. En el 2020 hubo un intento de robo de más de 4 millones de dólares, mediante una estafa dirigida a agencias gubernamentales del país.
Es por este aumento de ataques, entre otros factores, que la Ley de Ciberseguridad del Estado Libre Asociado de Puerto Rico establece en su artículo 3, sobre la política pública, nueve puntos, los cuales respaldan tanto a la ciudadanía como a las entidades gubernamentales. De estos 9 puntos, se destacan los siguientes:
- Punto n.º 4 de la Ley N.º 40-2024: incrementar las actividades para coordinar y mejorar la seguridad de las redes gubernamentales y la infraestructura crítica y proteger los datos que contienen.
- Punto n.º 7 de la Ley N.º 40-2024: proteger los derechos de intimidad y privacidad de los ciudadanos, sin coartar los derechos de una sana convivencia en la red cibernética.
La oficina creada, PRITS, será la encargada de velar por la implementación de las normas y procedimientos de la ley mencionada y ofrecerá asesoramiento a las agencias del Gobierno de Puerto Rico, actualizando y desarrollando las estrategias y planes de seguridad cibernética. Además, la ley de ciberseguridad faculta a PRITS para adoptar la reglamentación necesaria, con el fin de cumplir todos los mandatos de esta y garantizar que lo aprobado no sea más restrictivo que los requisitos establecidos por el Gobierno federal.
¿Cuáles son las consecuencias de incumplimiento de esta ley?
PRITS tiene la autoridad para imponer multas por el incumplimiento de la Ley N.º 40-2024.
En el caso de las agencias, según lo estipulado en el artículo 10 (Sanciones), las multas por incumplimiento van desde los 50 a 100 dólares. No obstante, en caso de obstrucción, negligencia, mala fe, temeridad o negativa caprichosa en el manejo o reporte de un ciberataque, la multa puede ser de 1000 a 5000 dólares por violación.
En el caso de proveedores de servicios, se aplicarán sanciones monetarias hasta el monto contratado. Cualquier incumplimiento con la Ley N.º 40-2024 traerá consigo un proceso de capacitación coordinado por PRITS en colaboración con la Oficina de Ética Gubernamental. Además, en caso de obstrucción, negligencia, mala fe, temeridad o negativa caprichosa en el manejo o reporte de un ciberataque, el proveedor de servicios o cualquier entidad no podrá ser contratado como contratista o subcontratista del Gobierno por un período de cinco años.
Por último, tal como se menciona en el Artículo 17 de la Ley N.º 40-2024, esta última comenzaría a regir inmediatamente después de su aprobación y tendrá un periodo de 6 meses para cumplir con todo lo establecido en la ley, como lo estipula el artículo 15. Por el momento, queda esperar y observar cómo Puerto Rico y las agencias correspondientes la implementan con el fin de proteger el espacio digital del país y la información y privacidad de sus ciudadanos.
