Los Planes que no planifican

En estos días se publicó en el Boletin Oficial el “Plan Federal de Prevención de Delitos Tecnológicos y Ciberdelito (2019-2023)”, documento emitido por el Ministerio de Seguridad, en la resolución 977/2019  firmada por la Ministra Patricia Bullrich. (https://www.boletinoficial.gob.ar/detalleAviso/primera/220585/20191104)

Prima facie, me parece extemporáneo, que una gestión que no fue validada en la urnas, emita un documento con estas pretensiones. 

No obstante ello me encomendé a la tarea de leer detenidamente las once (11) fojas que componen el documento. 

Este es un decálogo de obviedades para las personas que estamos al tanto de la problemática, y  si bien, es valorable que se deje blanco sobre negro los temas a abordar en términos de prevención del ciberdelito, el documento deja sabor a poco y no hace un detalle de cada uno de los puntos tratados, solo da una somera idea de cada uno. Hasta se podría decir que el documento intenta aprobar con un 4 algún trabajo práctico de la materia.

Avanzando con algunos problemas conceptuales del contenido del documento, el Ministerio de Seguridad se arroga algunas facultades, que si bien no están positivamente expresados en el corpus normativo, claramente deben estar coordinados por órganos colegiados como puede ser el Congreso Nacional, como la confección de normas y la “Conducción y propuesta de tareas a proyectar.. .. ..  tanto en el ámbito público como privado”

Si bien el que suscribe es uno de los que reclama mayor normativa y obligaciones por parte de todos los actores del medio ambiente que se da en Internet, dejar en manos de las fuerza de seguridad este tipo de definiciones, es objetable como mínimo. En una Nación que pone a la república como forma de gobierno, se debe dejar la legislación en el órgano correcto.

Luego el documento establece un conjunto de metas, que si bien se puede coincidir o no con ellas, las mismas carecen de justificación positiva en el documento, y mucho menos, está expresado el mecanismo de concreción de las mismas.

Veamos cómo define la RAE lo que es un plan:

“1- Adm. Instrumento jurídico que, tenga o no carácter normativo, establece objetivos públicos y programas de actuaciones públicas y privadas temporalmente.”

El documento emitido por el Ministerio de Seguridad carece de un programa, es decir, la definición de un conjunto de tareas, con un objetivo concreto y limitado en tiempo y espacio. En otras palabras no es un plan, porque no establece una programación de actividades ni sus características, así como tampoco sus responsables o forma de medir su concreción. 

Lo peligroso de estos documentos “Como si”, es que si posteriormente alguien intenta salvar las dolencias de esta edición, no solo tendrá que hacer el esfuerzo de definir lo que realmente es una plan, sino que también deberá trabajar para refutar el documento anterior y justificar ante la gestión y la opinión pública toda, la necesidad de hacer un trabajo que en teoria “ya esta hecho”.

Hay algo ausente en el documento que estamos analizando, y que como se dice vulgarmente “Le esquiva el bulto”, a la necesidad de establecer obligaciones a los proveedores de servicios y deja en términos de un “pacto de caballeros”, la obligatoriedad de las actividades de prevención público/privadas en el conglomerado de personas que son parte del ecosistema de Internet. Es necesario establecer una línea base, es decir requerimientos mínimos, que los proveedores de servicio deben cumplir en pos de un ordenamiento operativo, posibilidad de prevención y posterior correcta persecución penal. 

Está probado por experiencias internacionales que la autorregulación sólo protege a alguien.. a las empresas. El ciudadano necesita de un estado presente como mecanismo de defensa de sus derechos. 

Ya a juicio personal un plan federal de prevención del ciberdelito no sólo debe cumplir lo que venimos desarrollando, sino que debe surgir del consenso de la sociedad, entendiendo tanto las necesidades de la personas, como la realidad de las empresas. Cuando uno habla de los proveedores de servicios siempre está en su mente las grandes corporaciones, pero en nuestro país, ese espacio es muy heterogéneo. En espacio este hay pequeñas pymes y cooperativas que deberían estar representadas. Si no se quiere sufrir un revés, tal como pasó  con el fallo Halabi, se debe lograr un consenso de la sociedad. Espero que en poco tiempo tengamos novedades, por el bien de todes.

La legislatura porteña debate una reforma que habilita la vigilancia y vulnera la intimidad personal (Remote Forensics)

Les comparto una nota del CELS, analizando el nuevo proyecto de ley que se esta tratando en la legislatura porteña.

La Legislatura de la Ciudad de Buenos Aires está debatiendo la reforma del Código Procesal Penal de la Ciudad, es decir de la regulación del procedimiento que norma las investigaciones penales.

El proyecto impulsado por el Poder Ejecutivo, expediente 1790-J-2018, introduce “medidas especiales de investigación”. (encubiertas)  les comparto el link

https://www.cels.org.ar/web/2018/09/la-legislatura-portena-debate-una-reforma-que-habilita-la-vigilancia-y-vulnera-la-intimidad-personal/

por otra parte no podemos dejar de remarcar que este proyecto va en contramano de lo que esta pasando en otros países. Muestra de ello les comparto también del sitio del CELS  nota sobre un importante y reciente fallo del Tribunal Europeo de Derechos Humanos en contra de la vigilancia digital masiva.

https://www.cels.org.ar/web/2018/09/el-tribunal-europeo-de-derechos-humanos-fallo-en-contra-de-la-vigilancia-digital-masiva/

ademas en el mismo sentido que el del TEDH, el siguiente fallo de la justicia española .

http://curia.europa.eu/juris/document/document.jsf?text=&docid=206332&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=243435

Mientra Europa amplía la protección de la privacidad y los datos personales y las sentencias europeas condenan los métodos masivos de vigilancia electrónica, aquí la legislatura porteña se quiere imponer vigilancia masiva y encubierta.

Hasta el próximo post

Buscadores, grandes soluciones y grandes problemas

Como linea base para este Post necesitamos poner en común que es un buscador, elemento central en el ecosistema actual de Internet, pero que no muchos conocen que es, ni conocen su funcionamiento.

Las potencia de los buscadores han cambiado radicalmente las costumbres de los usuarios de Internet. En general se utiliza poco las URL, la mayoría de los usuarios, hoy en día, se limitan a poner términos en un buscador, normalmente ubicado como página de inicio de sus navegadores.

Esta costumbre, ha dado lugar a un nuevo ardid, que es pagar campañas publicitarias a los buscadores para hacerse pasar por un sitio legitimo, apareciendo como un anuncio primero en la lista de resultados del buscador, entonces el usuario ignoto, si no verifica que es un anuncio, ingresa al sitio apócrifo, en donde el autor se hacen de las credenciales de la víctima, en el más leve de los casos.

Esto sería una tipo de phising, pero que se materializa a través de una campaña de publicidad pagada a un buscador dado. Antes de continuar les adelanto la postura de los buscadores sobre este tema “nosotros no podemos controlar las publicaciones, mucho de nuestro negocio se base en el automatismo y no sería rentable poner a una persona a controlar los avisos”.

Querido lector, permítame dudar de esto, existen los métodos automáticos de moderación, de todas maneras vamos dejar el tema de la moderación para otro post y avancemos sobre los buscadores.

Entonces ya no hay que tomar a los buscadores como un aplicación más de Internet, dado que ellos tienen un rol central para el usuario promedio y no deben tratarse a la ligera las responsabilidades que les caben a estos, siendo componentes tan importante en la Wide World Web.

Ahora bien ¿Que es un buscador?, un buscador no es otra cosa que varios sistemas, que a través de bots (programas automáticos) almacenan en grandes bases de datos parte del contendido de internet, para indexarlo, y dejarlo accesible para los usuarios. Hablamos de parte del contenido, y más allá de las restricciones físicas de almacenamiento que pueda tener un buscador dado, existe gran cantidad de contenido de internet que no accesible a los bots, por lo cual no es visible para los buscadores. Tan central es esta definición que dio lugar a la creación en 2009 de los términos internet profunda (deep web) y superficial.

Continuando y para tener la imagen completa, debemos preguntarnos ¿Cual es la motivo por el cual una empresa, se va a tomar el hercúleo trabajo de recabar información de “toda” internet, ordenarla y dejarla disponible a los usuarios?, la respuesta es muy simple, el motivo es el sencillo y poderoso lucro, la posibilidad de vender publicidad. El ordenamiento y posicionamiento de un link en un buscador se monetiza. Que nuestro link aparezca en una búsqueda antes que el de nuestro competidor comercial se traduce en más ventas, entonces los buscadores lucran con esta realidad vendiendo el servicio de posicionamiento, entre otros.

Si bien en el párrafo anterior está incluido el material multimedia, no esta de mas aclarar que los buscadores toman las imagines, vídeos y en algunos casos archivos de audio, publicados en Internet, los procesan hacen copias reducidas (thumbnails) y las almacenan y así como el resto del contenido lo dejan disponible para el usuario, bajo un criterio dado.

De estas sencillas lineas podemos extractar algunas realidades que pueden generar algún tipo de debate y jurisprudencia contradictoria. De aquí en adelante mas allá de las sitas no voy a hacer juicio de valor sobre las mismas y voy a dejar a juicio del lector las implicancias de cada una de las frases que detallo a continuación:

Como hemos dicho, los buscadores tiene como soporte una base de datos, es decir son alcanzados por las reglamentación asociadas a la preservación de información y datos personales (Derecho al olvido, Datos Personales, etc.)

Existe procesamiento de datos, la información recolectada es catalogadas, ordenada y es accedida con algoritmos específicos, en el caso de Google “PageRank, entonces los buscadores son responsables en toda instancia, sobre la accesibilidad de información y sus implicancias.

Parece una verdad de perogrullo, pero parece necesario dejar claro que los buscadores almacenan contenido en los cache de la plataforma. ¿Sino como piensan que pueden ordenar y dejar disponible contenido para los usuarios?

Hoy en día existen muchas técnicas que permiten el reconocimiento de imágenes, que ya están siendo utilizados para detectar imágenes de algún tipo, por ejemplo pornografía infantil. Con lo cual, los buscadores (empresas tecnológicas de vanguardia en general), tienen a su alcance la herramienta para procesas e identificar imágenes con su derivada responsabilidad.

Siempre desde el punto de vista de posibilidad técnica, es falaz pensar que para los buscadores es transparente (incapacidad de reconocimiento) el contenido que publican, toda vez que procesan orden y modifican el contenido que captan en internet, con el fin de obtener un lucro, con el fin de vender publicidad. Esta publicidad se hace muestra en base al contexto, preferencias y costumbre del usuario que busca información.

Estas mismas responsabilidades les caben a la redes sociales, la cuales generalmente están provistas de buscadores, ya no sobre todo el contenido publicado en internet, sino sobre los contenidos publicados por sus usuarios, en sus perfiles, grupos y páginas tanto abiertos como cerrados.

Hay iniciativas para la prevención del delito que ya utilizan tecnologías aplicables que muestran la opacidad de los buscadores a la manejar la información. Por ejemplo PhotoDNA, que es utilizada para detectar y prevenir la distribución de pornografía infantil. La tecnología PhotoDNA fue desarrollada por Microsoft, que en 2009 la donó al propio NCMEC (National Center for Missing and Exploited Children) para que cualquier compañía tecnológica pueda usarla de forma totalmente gratuita.

Pero ¿cómo funciona PhotoDNA? . Una imagen en Internet puede transformarse de manera sencilla: o se cambia la extensión, o el tamaño o incluso se modifican ligeramente los colores. PhotoDNA es capaz de reconocer todos estos pequeños cambios en una misma imagen, manteniendo el mismo identificador. El proceso que sigue esta tecnología es el siguiente:

1) La imagen analizada se convierte a escala de grises, modificando también el tamaño hasta que encaje con el tamaño por defecto establecido para el proceso.
2) Dividen la imagen (ya con tamaño modificado y en escala de grises) en cuadrados más pequeños.
3) Para cada cuadrado calculan distintos parámetros, como la variación del tono de negro de cada pixel.
4) Con dichos valores se crea un histograma.
5) Estos valores numéricos, finalmente, se convierten en la firma única o que hash se asigna a cada imagen.

Ya en 2006 el Google anunciaba su alianza en la Coalición de la Tecnología impulsada por el NCMEC. La tecnología de detección, eso sí, no comenzó a usarse hasta 2008, algo que no es un secreto y el propio Google reconoce no solo en el contenido indexado sino también los correos de los usuarios de su servicio Gmail. Cosa similar hace Microsoft con sus productos Hotmail y Outlook.com

Pero ¿puede Google legalmente realizar este análisis? En los términos de uso, esos que nadie se lee pero todo el mundo acepta, contemplan la posibilidad de “analizar tu contenido”. De hecho, ya lo hacen para ofrecerte publicidad personalizada cada vez que accedes a tu bandeja de entrada. También incluyen una cláusula específica en la que se menciona la “Seguridad de los niños”.

“Google tiene una política de tolerancia cero contra las imágenes de abuso sexual a niños. Si descubrimos dicho contenido, avisaremos a las autoridades y podríamos tomar acciones disciplinarias, como el cierre de la cuenta de aquellos involucrados.”

Como comencé este Post lo voy a terminar los buscadores, son una gran solución, que ha potenciado mucho Internet y han democratizado el acceso a la información publicada, pero han puesta a la luz grandes problemas , que siempre estuvieron ahí, en forma latente, pero se cristalizaron al hacerse disponible para el publico general, el catalizador de los buscadores.

Es UTC, Maestro

Es difícil comenzar a escribir este post, sin dirigirme a ustedes como mis amigos, porque el tema da mas para una charla de café lamentándose del estado de situación que tienen los operadores de la justicia con respecto a la tecnología que para hacer un análisis profundo de los hechos acaecidos y las argumentaciones expuestas por la defensa en el juicio oral y publico contra Gabriel David Marino, la persona que fue sentenciado por el Tribunal Oral en lo criminal N°4 por el asesinato de Diana Sacayán.

Antes de avanzar no voy dejar de decir que este fallo es histórico, dado que es el primero que reconoce un componente de odio a la condición de genero, como agravante, siendo la víctima una persona que hace uso de su libertad de genero.

La abogada de la familia de Sacayán, Luciana Sánchez, expresó que el caso fue “fundacional” en una nueva etapa de la justicia para resaltar la violencia contra las personas trans y comprender los “crímenes de odio”.

Tampoco podemos dejar de poner en claro que este post no pretende hablar del fallo en si mismo o realizar un análisis de la persecución penal, el cual será materia de los tribunales de alzada, si eventualmente la defensa de Marino, plantea algún tipo de recurso.

Podríamos hablar sobre los elementos periciales informáticos que se esgrimieron durante el caso y de como fue la génesis de los mismos, pero nos vamos a abstener de realizar este análisis, toda vez que los mismos puede ser materia de planteo de nulidades y es trabajo de la defensa realizar los mismos.

Ahora bien, veamos algo que puede resultar gracioso o triste, según se vea. Un de los elementos que figuran en la causa, es una pericia sobre la máquina de Diana, (esto lo pueden ver en los alegatos del juicio, los cuales están publicados en Youtube) la cual estaba prendida al momento de su deceso, y según parece reproduciendo música.

Los peritos que realizan el análisis de la máquina, para hacer un vuelco del historial de navegación utilizaron un software freeware (BrowsingHistoryView) de Nirsoft “http://www.nirsoft.net”, que hace una interpretación de los registros de navegación que quedan en la máquina. Esta herramienta permite hacer un vuelco a formato html, es decir el formato de archivo que entienden los navegadores de cualquier máquina.

En los alegatos de la defensa podemos ver un análisis realizado sobre el vuelco del BrowsingHistoryView.

Lucas Tassara, el abogado de Marino, esgrime una batería muy fundamentada de dudas u objeciones que buscan destruir la estructura causal del caso planteando por la querella y plantea una diferencias entres las fechas de los registros de navegación, tratando de demostrar que existió un tercero en la escena del hecho.

He aquí la pregunta: ¿Nadie se dió cuenta que las diferencias horarias eran exactamente de 3 horas? ¿A ninguno se le cruzo por la cabeza que podría existir una diferencia en el uso horario?

Luego que esta duda cruzara el aire de la oficina, mientras miraba los vídeos de alegatos, así como una ráfaga de brisa de verano, surcó el aire del recinto mi voz, la cual  no pude contener.. “Es UTC Maestro”.

Esto me lleva al convencimiento y a entender la responsabilidad que tenemos los informáticos de cuidar y capacitar a los operadores en función de no cometer estos errores fruto del desconocimiento.

La mayoría de la gente no tiene la conceptualización de que existen distintos usos horarios y ni sabe como utilizar los mismos. Es muy común conceptualizar la realidad en el ambiente físico donde se desarrollan los hechos. En el mundo ciber, si bien se tiene un ámbito propio de incumbencia y desarrollo, los hechos pueden verse de tal manera que podría interpretarse que los mismos suceden en varios lugares al mismo tiempo.

Esperemos que para una mejor administración de Justicia no tengamos mas “Es UTC Maestro” en el aire.

No tuve vista de la causa, así que no puedo decir si esto fue un recurso de la defensa o simple desconocimiento, pero lo que les cuento es una realidad palmaria. Los sistemas informáticos son parte de nuestra realidad y es necesario que los operadores de justicia tengan cada vez mejor dominio y conocimiento de sus componentes y fundamentos.  La informática ya dejo de ser un ámbito pericial mas, es parte y soporte de toda “la Realidad”.

Hasta el próximo post.

Crónica de una caída anunciada

Escribo estas líneas con suma tristeza, no con espíritu de crítica ni revancha,  escribo viendo el desperdicio de tiempo y esfuerzo, en un proyecto que en sus orígenes estaba lleno de luces y la impericia en la gestión o la desidia, o vaya saber que designios oscuros eclipsaron el progreso y la mejora de la informatización de la justicia.

Una actitud autista sobre la realidad tecnológica y la inconsciencia o ignorancia de lo que significa desarrollar y mantener un sistema crítico como puede ser el lex-100 derivaron en lo que hoy vivimos y sufrimos todos (como puede verse aquí).

Me da vergüenza ajena que alguien salga a decir que uno de los sistemas más críticos de la Argentina se cayó porque “fallo un equipo”. Esto demuestra una ignorancia supina de lo que significa la redundancia en un sistema de estas características.

No es falta de inversión, es falta de conocimiento o por lo menos falta de ganas.

La operatoria judicial debería tener por lo menos un DR Site, (Disaster Recovery), es decir una infraestructura paralela para que en caso que fallara algún componente o se produjera una catástrofe, se pudiera seguir operando.

Las noticias periodísticas no detallan el origen de la falla, y las mentes mas conspiradoras, hablan de una intencionalidad. 

No voy a ir tan lejos, lo que sí puedo decir es que la arquitectura del sistema es por los menos pobre.

Un sistema como lex-100 que da soporte a todos lo juzgados del país, claramente no debe ser un sistema monolítico, sino que debe ser un sistema distribuido, y en el caso de que sucediera un desastre, por lo menos, alguna parte del sistema judicial puede seguir funcionando.

La migración desde el papel al medio electrónico, fue tildada de por muchos operadores judiciales como “tirada de los pelos”. Creemos que como país, nos merecemos un trabajo serio tanto de adaptación del sistema penal al medio informático y la administración de la información, así como los proceso tecnológicos que los respaldan.

Estos procesos de adaptación deben manejar no solo el desarrollo de los proyectos en los casos fortuitos, sino también en las contingencias, entender el estado del arte o Status Quo de los usuarios, y una migración paulatina, capacitando e integrando a toda la comunicada judicial a la nueva realidad. Cosas muy forzadas como las comunicaciones electrónicas y la identificación por CUIL/CUIF/CUID (esta dos últimas siglas inventadas para salvar la faltas de diseño del lex-100), muestran decisiones de diseño pensada para terminar un proyecto, con los objetivos que el lector quiera asignarles, mas que en un trabajo profesional que busca una justicia célere y eficiente.

Espero esperanzado que las autoridades del Consejo de la Magistratura y La Corte, se apoyen en el conocimiento de los expertos con que cuenten entren sus filas, o en el caso de ausencia de estos conocimientos, basados en lo que nos puedan consultar a los profesionales de este campo, vean qué y cómo hacer para mejorar esta realidad. Que se consulte con otras organizaciones y luego se forme un consenso para la modernización de la justicia, teniendo en mente al operador judicial y al ciudadano, dejando de lado los egos y las conveniencias particulares. Que reine la humildad y el progreso en un nuevo proyecto serio y profesional.

Señores, tenemos sistemas mucho mas robustos para compartir fotos de nuestros hijos o publicaciones de vídeo graciosos, que para darle soporte a la operatoria judicial. Esto, yo por lo menos, lo considero triste.

Como comencé el post, esto fue una crónica de una caída anunciada porque los informáticos, hace años venimos marcando las deficiencia del sistema, no del software, sino del sistema completo. Esperemos que este evento haga entrar en conciencia a las altas autoridades y comencemos juntos a transitar el camino de la mejora.

Diógenes A. Moreira

Logs, Backups y un vacío legal que debe llenarse.

Estimado lector: le voy adelantando que ese es el primer post, de varios sobre la responsabilidad objetiva de los ISP’s y las muchas facetas que tiene dicha responsabilidad. El equipo de Ciberdelito.com viene trabajando en varios tópicos relativos y en linea con la necesidad de reglamentar la actividad de los distintos proveedores de servicios que hacen a la comunidad que llamamos Internet y que a la fecha solo son regulados por la oferta y la demanda de sus servicios.

El vacío que da origen al titulo de este post, los que nos dedicamos a investigar el ciberdelito desde la persecución penal, lo sufrimos a diario; a tal punto que hemos incluido en nuestras plegarias a la providencia de cada mañana, un párrafo pidiendo que alguien legisle sobre los backups y logs que serían obligatorios para los proveedores de servicios en y de Internet, en cada una de sus variantes.

No existe reglamentación que obligue o establezca un estándar mínimo sobre la información que los proveedores de servicios y los responsables de aplicaciones deben resguardar, ni por cuanto tiempo. Si bien, nuestro país esta transitando el sano camino para adherir plenamente al consenso de Budapest, no hay hoy en día, normas legales que establezcan una linea base a cumplir.

En estos días, me vi con la necesidad de citar en un trabajo, algún estándar sobre la preservación de información y como una empresa de servicio debería proteger sus activos de información, entonces me encontré con un vacío. Me vi obligado a remitirme a una norma Americana  del año 92, el Guide to Computer Security Log Management del NIST (National Institute of Standards and Technology –  Instituto Nacional de Estándares y Tecnología, dependiente del Departamento de Comercio de Estados Unidos )

En la mayoría de las certificaciones y buenas practicas actuales no se plantea positivamente las obligaciones de los responsable de los servicios informáticos, y deja en cabeza de los administradores la gestión del riesgo. En un contexto donde los principales afectados son la empresa y los clientes que usan el servicio, los periodos de preservación y los datos que se guarda, se ajustan a las necesidades de la oferta y demanda del servicio dado. Las empresas tienden a protegerse siempre en base al nivel de servicio que se comprometen con sus clientes y la relación costo/beneficio.

Ahora bien, cuando se comete un ilícito donde el medio comisivo es Internet, los logs y los backup toman una relevancia mayor que la que tienen en el marco de la simple preservación para el mantenimiento de la continuidad del servicio. Estos pasan a ser prueba fundamental ( y en gran cantidad de casos la única prueba) y linea de investigación a seguir. El no tener normado  que datos se deben preservar y cuanto tiempo se conservan los mismos, nos deja a los investigadores (y a la seguridad del ciudadano) a merced de la buena voluntad de empresas proveedoras del servicio y al buen arte de los que definen sus políticas informáticas de dichas empresas. Se transforma en una lotería conocer que datos estarán disponibles para la justicia de un evento dado. La justicia tiene un muy endeble marco de trabajo, en el contexto de la persecución de un delito de acción publica, donde existe una responsabilidad real de los proveedores de servicios y/o algún tercero que sería cliente de este proveedor.

No voy a continuar estimado lector, sin sugerirle que reflexione sobre el nivel de seguridad que tenemos todos, como ciudadanos en este contexto, sabiendo que el uso de los sistemas informáticos, se ha convertido en condición sine qua non de la integración e inclusión societaria contemporánea.

Hay un gran ausente, en esta realidad. Ese ausente es un ente regulador y de control que se encargue de validar que las buenas practicas y arte de la gestión de los activos informáticos, se apliquen en proveedores de servicios de Internet, servicios tan centrales hoy en día en la vida de nuestra sociedad. Así como existe un Banco Central de la Nación, para regular y controlar el sistema financiero protegiendo a los ciudadanos de practicas abusivas, de la misma manera tendría que existir un ente contralor de la actividades en Internet.

Existieron alguno intentos  de normar la actividad; con buena voluntad, pero con un claro desconocimiento de la implicancias de las definiciones que estaban haciendo, como por ejemplo: pedir resguardo de backups por 10 años, tratando de hacer una simetría con la documentación en papel, pero sin sopesar el costo que implicaba para las empresas esos resguardos. Esta norma fue rápidamente repudiada por la comunidad toda y nunca llego a reglamentarse.

Imagínense que inconveniente puede ser para una empresa perder toda su información contable producto de un ransomware, unos minutos antes de una inspección del AFIP. O cuan fácil sería hackear un homebanking el cual filtrara todas las conexiones que se realizan desde la red TOR o desde una VPN, (como se lo suele llamar en la jerga de investigación a los servicios de impersonalización y anonimato). Cuan bien protegido está un sitio de ventas por Internet que no guarda en sus log las direcciones IP entrantes (es decir desde donde se esta conectando el que navega) <<perdón por el sarcasmo>>

Entonces señores, como sociedad nos debemos:

  1. Una norma que obligue a los proveedores de servicios de Internet a respetar la buenas practicas.
  2. Una autoridad de aplicación
  3. Sanciones concretas ante el incumplimiento de las normas
  4. Presupuesto para la ejecución de estas políticas.

Mientras tanto estamos a la buena de dios, y a la cobertura de la compañía de seguros, que son las que obligan a sus clientes a cumplir una u otra norma, so pena de cobrar más caro sus pólizas para cubrir los riesgos de las operaciones sobre Internet.

En el XI CURSO ACADÉMICO REGIONAL OMPI/SGAE SOBRE DERECHO DE AUTOR Y DERECHOS CONEXOS PARA PAÍSES DE AMÉRICA LATINA: “El derecho de autor y los derechos conexos en el entorno digital” organizado por la Organización Mundial de la Propiedad Intelectual (OMPI) conjuntamente con la Sociedad General de Autores y Editores (SGAE) de España y el Ministerio de Industria y Comercio de la República del Paraguay realizado en Asunción, 7 de noviembre de 2005, se introdujo un segmentación de las responsabilidades de intervinientes en la provisión de servicios de internet:

“2. Los proveedores de servicios en línea que, hoy por hoy, se encuentran involucrados en la entrega de contenidos en línea a los usuarios finales son:
a) El proveedor de servicios de Internet (Internet service provider –ISP–) es quien
pone a disposición del proveedor de contenidos un espacio de memoria en ese servidor (aloja los contenidos) o bien dispone de una parte de su sitio a fin de albergar las páginas de terceros –por lo general, páginas personales de usuarios o de abonados al sitio–. A su vez, generalmente, son proveedores de contenidos y, además, brindan el servicio de acceso a Internet.
b) El proveedor de acceso a Internet (Internet access provider –IAP–) básicamente
posibilita la conexión con Internet, es decir, el enlace a las redes de ordenadores
interconectados que forman Internet.
c) El proveedor de alojamiento (host service provider) brinda un servicio de
almacenamiento y mantenimiento de contenidos en su servidor a fin de que los usuarios
puedan conectarse a Internet a través de un proveedor de servicios (ISP) o de un proveedor de acceso (IAP), acceder a esos contenidos y recuperarlos.” sic.

Si bien esto es un primer intento creo que adolece de varios problemas, uno de ellos es que es falas pensar en divisiones estancas de responsabilidad, sino habría que pensar la problemática como una estructura de capas, mas parecida a una cebolla que a un rompecabezas, y ahí establecer las responsabilidades especificas por capa sabiendo de que capa es responsable cada proveedor. Técnicamente hablando es falso decir que un administrador de un servidor, “root” en el argot informático, no tenga posibilidad de acceder, y correlativamente, responsabilidad sobre el  contenido de dicho servidor. Ahora bien los administradores de se autolimitan, en términos prácticos,  a acceder al contenido de los servidores y  entendiendo que es materialmente imposible que el mismo administrador conozca al detalle los contenidos existentes en todos lo servidores que administra, si el numero de ello es grande; como generalmente pasa, toda vez que las empresas proveedoras de servicio, buscan optimizar (o explotar) al máximo, el recursos humano disponible.

Entendiendo esta realidad, creo que si buscamos un modelo que mejor represente las responsabilidades de preservación de información, debemos buscar en la norma técnica que fundamenta la actividad informática y de telecomunicaciones que hoy utilizamos y no debemos pretender, que desde los claustros legislativos, se reconstruya intuitivamente y desde el punto de vista del usuario, las estructuras que dan soporte a nuestra realidad y sus responsable. La Dra. Delia Lipshitz autora del articulo antes citado  es profesora titular de Derecho de Propiedad Intelectual y Conexos de UBA y autora de muchos libros. Realiza un importante aporte y remarcable trabajo de recopilación, pero adolece del mismo problema de trabajos anteriores, tratan de entender y reglamentar como funciona un automóvil, desde detrás del volante y sin abrir el motor o ver debajo del vehículo.

Los proyectos de ley S 942/16 PROYECTO DE LEY SOBRE RESPONSABILIDADES DE LOS PROVEEDORES DE INTERNET y 5771-D-2016 INTERNET. REGIMEN DE RESPONSABILIDAD DE LOS INTERMEDIARIOS adolecen el mismo problema entre si, definen la “no” responsabilidad. Los legisladores se ven obligados a utilizar esa técnica legislativa, dada la complejidad del tema y que en termino reales no existe una taxativa separación entre cada uno de los eslabones que componen este gran conglomerado que dimos por llamar Internet.

Entonces creo que la manera de avanzar en la reglamentación faltante sería plantear un proyecto parlamentario que busque abrevar en variadas fuentes y actores de la sociedad de Internet. Se debe recorrer el modelo OSI y establecer responsabilidad de acceso y preservación de cada una de las partes, en términos del servicio que brinda  cada uno de ellos, de manera positiva y en busca de lograr estándares de seguridad para el ciudadano, tanto sea desde las responsabilidades de preservar log, backups, etc. o desde la responsabilidad objetiva y material, sobre el contenido y el acceso a los mismos que se encuentra en la gran red.

¿La porno-venganza es delito?

Quisiera compartir algunos pensamientos que fundados en mi  conocimiento técnico, me permiten también avanzar sobre algunas definiciones y reglas jurídicas sobre las que voy a opinar desde mi perspectiva para que puedan servir como disparador de una nueva doctrina y/o decisión legislativa.

Comencemos por ir al diccionario de la Real Academia Española, para obtener la definición de la palabra vídeo: “Sistema de grabación y reproducción de imágenes, acompañadas o no de sonidos, mediante cinta magnética u otros medios electrónicos.”

Como se puede notar el hecho de grabar un vídeo, tiene como sentido la preservación de imágenes y eventualmente sonido, con el fin de reproducir dicha filmación en un momento posterior en el tiempo. La porno venganza, de acuerdo a la doctrina es  la difusión no autorizada de imágenes íntimas previamente obtenidas con acuerdo de las partes (en general se da entre ex parejas).

En la mayoría de los casos los vídeos son grabados con celulares o equipos de mano como cámaras Go Pro, entendiéndose siempre que la reproducción quedaría en el ámbito de la intimidad de los participantes de dicho registro.

La distribución de un vídeo íntimo sin el consentimiento de todos los participantes, podría estar tipificada en el art. 155 del CP. “Será reprimido con multa de pesos un mil quinientos ($ 1.500) a pesos cien mil ($ 100.000), el que hallándose en posesión de una correspondencia, una comunicación electrónica, un pliego cerrado, un despacho telegráfico, telefónico o de otra naturaleza, no destinados a la publicidad, los hiciere publicar indebidamente, si el hecho causare o pudiere causar perjuicios a terceros.”

Por otra parte la ley 26338  incluyó el art. 77 del CP, por el cual un documento, es tal, independientemente del soporte del mismo. “El término “documento” comprende toda representación de actos o hechos, con independencia del soporte utilizado para su fijación, almacenamiento, archivo o transmisión.” sic, por lo que nadie podría decir que un vídeo no es una “representación de actos o hechos”.

Entonces una persona que a sabiendas del daño que puede causar, distribuye un vídeo intimo, claramente esta incurriendo en la conducta disvaliosa, que busca ser reprimida en el art. 155, de CP. Claro que ésta es la interpretación del que suscribe. Al momento no existe ningún fallo en este sentido o tipo penal alguno sobre el tema. Los juristas del equipo me soplan que en el derecho penal no existe la analogía, así que, esperemos que los legisladores tomen el guante y se avance sobre la persecución de conductas de este estilo, que puede producir tanto daño a una persona.

Ahora bien, vamos a ser justos y no podemos dejar de decir que existen varios proyectos de ley, entre ellos el de la Senadora Riofrío que tiene media sanción del senado, que apunta a reprimir específicamente esta conducta y que espera este año su tratamiento en la cámara baja. Las sanciones propuestas van de 4 a 6 meses de prisión y “La persona condenada será obligada a arbitrar los mecanismos necesarios para retirar de circulación o bloquear el material, a su costa y en un plazo inminente” dice el texto del proyecto de la senadora sanjuanina, buscando no solo la represión, sino también la reparación del daño. El proyecto S-2119/16 de incorporación de un art. 155 bis para la penalización de la difusión de imágenes no autorizadas. Por otra parte, el proyecto 5893 D 2016 de difusión no autorizada de imágenes, prevé pena de multa elevada más el agravante cuando son imágenes de menores o de ex parejas. El proyecto S-2180/15 incorpora un art. 128 bis para penalizar la difusión de imágenes en actividades sexuales explícitas elevando la pena para la elaboración de productos destinados a consumo masivo. Incorpora art. 139 ter de penalización del robo de identidad con el fin de perjudicar.

Mas atrás en el tiempo también fue presentado el proyecto S-1312/12 que apuntaba a reprimir la creación y utilización de falsos perfiles para perjudicar, entre otros. Si bien este último proyecto no apunta directamente a la porno venganza, es muy común encontrar que la distribución de los vídeos o imágenes, son distribuidas por perfiles falsos.

Esperemos entonces, que alguna de estas iniciativas llegue a buen puerto.