Logs, Backups y un vacío legal que debe llenarse.
Estimado lector: le voy adelantando que ese es el primer post, de varios sobre la responsabilidad objetiva de los ISP’s y las muchas facetas que tiene dicha responsabilidad. El equipo de Ciberdelito.com viene trabajando en varios tópicos relativos y en linea con la necesidad de reglamentar la actividad de los distintos proveedores de servicios que hacen a la comunidad que llamamos Internet y que a la fecha solo son regulados por la oferta y la demanda de sus servicios.
El vacío que da origen al titulo de este post, los que nos dedicamos a investigar el ciberdelito desde la persecución penal, lo sufrimos a diario; a tal punto que hemos incluido en nuestras plegarias a la providencia de cada mañana, un párrafo pidiendo que alguien legisle sobre los backups y logs que serían obligatorios para los proveedores de servicios en y de Internet, en cada una de sus variantes.
No existe reglamentación que obligue o establezca un estándar mínimo sobre la información que los proveedores de servicios y los responsables de aplicaciones deben resguardar, ni por cuanto tiempo. Si bien, nuestro país esta transitando el sano camino para adherir plenamente al consenso de Budapest, no hay hoy en día, normas legales que establezcan una linea base a cumplir.
En estos días, me vi con la necesidad de citar en un trabajo, algún estándar sobre la preservación de información y como una empresa de servicio debería proteger sus activos de información, entonces me encontré con un vacío. Me vi obligado a remitirme a una norma Americana del año 92, el Guide to Computer Security Log Management del NIST (National Institute of Standards and Technology – Instituto Nacional de Estándares y Tecnología, dependiente del Departamento de Comercio de Estados Unidos ).
En la mayoría de las certificaciones y buenas practicas actuales no se plantea positivamente las obligaciones de los responsable de los servicios informáticos, y deja en cabeza de los administradores la gestión del riesgo. En un contexto donde los principales afectados son la empresa y los clientes que usan el servicio, los periodos de preservación y los datos que se guarda, se ajustan a las necesidades de la oferta y demanda del servicio dado. Las empresas tienden a protegerse siempre en base al nivel de servicio que se comprometen con sus clientes y la relación costo/beneficio.
Ahora bien, cuando se comete un ilícito donde el medio comisivo es Internet, los logs y los backup toman una relevancia mayor que la que tienen en el marco de la simple preservación para el mantenimiento de la continuidad del servicio. Estos pasan a ser prueba fundamental ( y en gran cantidad de casos la única prueba) y linea de investigación a seguir. El no tener normado que datos se deben preservar y cuanto tiempo se conservan los mismos, nos deja a los investigadores (y a la seguridad del ciudadano) a merced de la buena voluntad de empresas proveedoras del servicio y al buen arte de los que definen sus políticas informáticas de dichas empresas. Se transforma en una lotería conocer que datos estarán disponibles para la justicia de un evento dado. La justicia tiene un muy endeble marco de trabajo, en el contexto de la persecución de un delito de acción publica, donde existe una responsabilidad real de los proveedores de servicios y/o algún tercero que sería cliente de este proveedor.
No voy a continuar estimado lector, sin sugerirle que reflexione sobre el nivel de seguridad que tenemos todos, como ciudadanos en este contexto, sabiendo que el uso de los sistemas informáticos, se ha convertido en condición sine qua non de la integración e inclusión societaria contemporánea.
Hay un gran ausente, en esta realidad. Ese ausente es un ente regulador y de control que se encargue de validar que las buenas practicas y arte de la gestión de los activos informáticos, se apliquen en proveedores de servicios de Internet, servicios tan centrales hoy en día en la vida de nuestra sociedad. Así como existe un Banco Central de la Nación, para regular y controlar el sistema financiero protegiendo a los ciudadanos de practicas abusivas, de la misma manera tendría que existir un ente contralor de la actividades en Internet.
Existieron alguno intentos de normar la actividad; con buena voluntad, pero con un claro desconocimiento de la implicancias de las definiciones que estaban haciendo, como por ejemplo: pedir resguardo de backups por 10 años, tratando de hacer una simetría con la documentación en papel, pero sin sopesar el costo que implicaba para las empresas esos resguardos. Esta norma fue rápidamente repudiada por la comunidad toda y nunca llego a reglamentarse.
Imagínense que inconveniente puede ser para una empresa perder toda su información contable producto de un ransomware, unos minutos antes de una inspección del AFIP. O cuan fácil sería hackear un homebanking el cual filtrara todas las conexiones que se realizan desde la red TOR o desde una VPN, (como se lo suele llamar en la jerga de investigación a los servicios de impersonalización y anonimato). Cuan bien protegido está un sitio de ventas por Internet que no guarda en sus log las direcciones IP entrantes (es decir desde donde se esta conectando el que navega) <<perdón por el sarcasmo>>
Entonces señores, como sociedad nos debemos:
- Una norma que obligue a los proveedores de servicios de Internet a respetar la buenas practicas.
- Una autoridad de aplicación
- Sanciones concretas ante el incumplimiento de las normas
- Presupuesto para la ejecución de estas políticas.
Mientras tanto estamos a la buena de dios, y a la cobertura de la compañía de seguros, que son las que obligan a sus clientes a cumplir una u otra norma, so pena de cobrar más caro sus pólizas para cubrir los riesgos de las operaciones sobre Internet.
En el XI CURSO ACADÉMICO REGIONAL OMPI/SGAE SOBRE DERECHO DE AUTOR Y DERECHOS CONEXOS PARA PAÍSES DE AMÉRICA LATINA: “El derecho de autor y los derechos conexos en el entorno digital” organizado por la Organización Mundial de la Propiedad Intelectual (OMPI) conjuntamente con la Sociedad General de Autores y Editores (SGAE) de España y el Ministerio de Industria y Comercio de la República del Paraguay realizado en Asunción, 7 de noviembre de 2005, se introdujo un segmentación de las responsabilidades de intervinientes en la provisión de servicios de internet:
«2. Los proveedores de servicios en línea que, hoy por hoy, se encuentran involucrados en la entrega de contenidos en línea a los usuarios finales son:
a) El proveedor de servicios de Internet (Internet service provider –ISP–) es quien
pone a disposición del proveedor de contenidos un espacio de memoria en ese servidor (aloja los contenidos) o bien dispone de una parte de su sitio a fin de albergar las páginas de terceros –por lo general, páginas personales de usuarios o de abonados al sitio–. A su vez, generalmente, son proveedores de contenidos y, además, brindan el servicio de acceso a Internet.
b) El proveedor de acceso a Internet (Internet access provider –IAP–) básicamente
posibilita la conexión con Internet, es decir, el enlace a las redes de ordenadores
interconectados que forman Internet.
c) El proveedor de alojamiento (host service provider) brinda un servicio de
almacenamiento y mantenimiento de contenidos en su servidor a fin de que los usuarios
puedan conectarse a Internet a través de un proveedor de servicios (ISP) o de un proveedor de acceso (IAP), acceder a esos contenidos y recuperarlos.» sic.
Si bien esto es un primer intento creo que adolece de varios problemas, uno de ellos es que es falas pensar en divisiones estancas de responsabilidad, sino habría que pensar la problemática como una estructura de capas, mas parecida a una cebolla que a un rompecabezas, y ahí establecer las responsabilidades especificas por capa sabiendo de que capa es responsable cada proveedor. Técnicamente hablando es falso decir que un administrador de un servidor, «root» en el argot informático, no tenga posibilidad de acceder, y correlativamente, responsabilidad sobre el contenido de dicho servidor. Ahora bien los administradores de se autolimitan, en términos prácticos, a acceder al contenido de los servidores y entendiendo que es materialmente imposible que el mismo administrador conozca al detalle los contenidos existentes en todos lo servidores que administra, si el numero de ello es grande; como generalmente pasa, toda vez que las empresas proveedoras de servicio, buscan optimizar (o explotar) al máximo, el recursos humano disponible.
Entendiendo esta realidad, creo que si buscamos un modelo que mejor represente las responsabilidades de preservación de información, debemos buscar en la norma técnica que fundamenta la actividad informática y de telecomunicaciones que hoy utilizamos y no debemos pretender, que desde los claustros legislativos, se reconstruya intuitivamente y desde el punto de vista del usuario, las estructuras que dan soporte a nuestra realidad y sus responsable. La Dra. Delia Lipshitz autora del articulo antes citado es profesora titular de Derecho de Propiedad Intelectual y Conexos de UBA y autora de muchos libros. Realiza un importante aporte y remarcable trabajo de recopilación, pero adolece del mismo problema de trabajos anteriores, tratan de entender y reglamentar como funciona un automóvil, desde detrás del volante y sin abrir el motor o ver debajo del vehículo.
Los proyectos de ley S 942/16 PROYECTO DE LEY SOBRE RESPONSABILIDADES DE LOS PROVEEDORES DE INTERNET y 5771-D-2016 INTERNET. REGIMEN DE RESPONSABILIDAD DE LOS INTERMEDIARIOS adolecen el mismo problema entre si, definen la «no» responsabilidad. Los legisladores se ven obligados a utilizar esa técnica legislativa, dada la complejidad del tema y que en termino reales no existe una taxativa separación entre cada uno de los eslabones que componen este gran conglomerado que dimos por llamar Internet.
Entonces creo que la manera de avanzar en la reglamentación faltante sería plantear un proyecto parlamentario que busque abrevar en variadas fuentes y actores de la sociedad de Internet. Se debe recorrer el modelo OSI y establecer responsabilidad de acceso y preservación de cada una de las partes, en términos del servicio que brinda cada uno de ellos, de manera positiva y en busca de lograr estándares de seguridad para el ciudadano, tanto sea desde las responsabilidades de preservar log, backups, etc. o desde la responsabilidad objetiva y material, sobre el contenido y el acceso a los mismos que se encuentra en la gran red.