Infraestructura crítica en el Estado y la responsabilidad de su gestión y administración.

Retomando el post de Diógenes en el marco de lo acontecido con el sistema informático que da soporte al funcionamiento del Poder Judicial de la Nación (ver aquí), va mi  aporte desde la visión desde la seguridad y la protección de los sistemas recalcando, tal vez  con la carga de la experiencia(*), que  hacer ciber-seguridad en el Estado Argentino no es tarea sencilla, dada la manera en que se interpreta, valora y en consecuencia se gestionan los sistemas informáticos y la responsabilidad de administrarlos, mantenerlos y asegurarlos.

La Organización de Estados Americanos (OEA) define en su Declaración de Protección de Infraestructuras Críticas Ante las Amenazas Emergentes aprobada durante la quinta sesión plenaria, celebrada en Washington DC, Estados Unidos, el 20 de marzo de 2015, que la infraestructura crítica 

“…consiste, entre otras, en aquellas instalaciones, sistemas y redes, así como servicios y equipos físicos y de tecnologías de la información, cuya inhabilitación o destrucción tendría un impacto negativo sobre la población, la salud pública, la seguridad, la actividad económica, el medio ambiente, servicios de gobierno, o el eficaz funcionamiento de un Estado miembro…”.

Es importante mencionar que esta declaración es en el marco del CICTE (Comité Interamericano Contra el Terrorismo) y que, por lo tanto, está pensado en el contexto de un ataque externo o interno y no en un hecho ocurrido en un marco de ineficiencia, impericia o imprudencia por parte de quienes tienen el deber de llevar adelante la protección y el mantenimiento de los sistemas que dan soporte nada menos que a la labor de uno de los tres poderes del Estado.

Este mantenimiento implica el poder prevenir o detectar una infección con virus accidental,  una fuente de energía rota,  un caño de agua averiado, un incendio eléctrico accidental, o el simple hecho  de que alguien “apagó la luz”.

Han sido estos supuestos -y no ataques terroristas-los que han venido afectando la provisión de los servicios de gobierno a nivel Estado Nacional. En algunos casos hemos llegado al extremo de pérdida irrecuperable de información simplemente por cortes “misteriosos” de energía, que se atribuyeron, por ejemplo, a la ignorancia o mal uso de las instalaciones por parte del personal de mantenimiento y maestranza de las instalaciones gubernamentales en que se alojan los servidores afectados.

Es importante ver que una definición, como aquella de OEA, se hace específica e instrumental en la práctica, dado que en Argentina tenemos un Programa Nacional de Infraestructuras Críticas de Información y Ciberseguridad, que define su misión como “…proteger a los activos críticos de información de la Nación Argentina de los posibles ataques que pudiera ser objetivo, las acciones que desempeña y que son de prevención, detección, respuesta y recupero.” 

Si se habla de diseño e implementación de sistemas críticos, se asume capacidad de recuperación ante desastres y se incluye por supuesto la continuidad de las operaciones. Todas cuestiones inherentes a la protección de la infraestructura crítica. Sin embargo podemos ver que  en la actualidad, la propia página del mencionado Programa de Infraestructura Crítica ( cual?) se encuentra desactualizada incluyendo a la nómina de personal que lo compone, y en algún momento -no hace mucho-, el funcionamiento de uno de sus sistemas de contacto,  aún publicado, estaba deshabilitado en los hechos.

Un programa nacional de Ciber Seguridad y de Infraestructura Crítica que en varias oportunidades, conjuntamente con Interpol, ha auspiciado y organizado la capacitación con la OEA en esta materia para funcionarios públicos y organismos de gobierno, que ha emitido recomendaciones, que ha pagado los sueldos, y más aún: que se ha “relanzado” hace muy poco, carece del mantenimiento del contenido de su página web.

Todo lo expuesto no habla de un escenario que incluye las amenazas emergentes, sino mas bien de lo que podríamos llamar debilidades o “amenazas subyacentes”.

En este contexto, tenemos Lex-100 y a esta altura todos sabemos que hablamos del sistema que da soporte al funcionamiento del Poder Judicial de la Nación.

¿Que puede ser más “crítico” para un Estado que toda la estructura que da soporte a la misión de impartir justicia; que el hecho de que el Poder Judicial de la Nación deje de funcionar?

¿Qué es lo que falla cuando es crítico el estado de la infraestructura que da soporte un poder del Estado?.

Porque esto es algo que también hay que empezar a pensar:

Los sistemas de computadoras conectados no son sólo “facilitadores” de la actividad de gobierno -en este caso de la caída del sistema LEX 100-. Las computadoras remplazaron maquinas de escribir, reemplazaron correspondencia en papel, reemplazaron búsquedas en grandes cantidades de papel impreso (como el caso de las guías telefónicas, o de los mapas y planos de las ciudades y sus medios de transporte), reemplazaron las agendas en papel, remplazaron las libretas de direcciones y teléfonos, reemplazaron la firma ológrafa. Reemplazaron formas de hacer las cosas. 

Hoy no son un facilitador, son un soporte. Sobre sistemas informáticos se apoyan procesos enteros de trabajo. Si falla el sistema informático lo que falla es el proceso, y por lo tanto la función que este debe cumplir. Si falla lex – 100, falla el Poder Judicial de la Nación. Esto, y NO otra cosa es lo que significa “informatizar”, tantas veces usado como sinónimo de “mejorar”. Puede ser para bien, o puede ser para mal. No es la naturaleza del hecho, sino la naturaleza de la ejecución: esto es, cómo se lleva adelante en base a la capacitación de todo el personal involucrado.

¿Lex – 100 debería fallar? Los que sabemos de seguridad de la información también sabemos que esta pregunta solo es importante a la luz de una certeza: Lex -100, como cualquier otro sistema, va a fallar. Y por lo tanto, si se considera importante que aquel proceso que soporta siga funcionando, se deben tomar las medidas para que cuando falle, siga operando, es decir que  ese sistema siga funcionando “en contingencia”. Para que si falla, se recupere. Para que si sucede un desastre, nos podamos sobreponer al menor costo posible porque se trata de una “Infraestructura Crítica”.

Para hacer esta evaluación en términos más técnicos, existe algo llamado Gestión de Riesgo. Eso es un procedimiento por el cual, entre otras cosas, se identifican los riesgos, se clasifican, se ponderan, y luego se elige la forma de lidiar con ellos. De “administrarlos”. Y todo ese proceso de gestión -que además es permanente e iterativo-, genera grandes cantidades de documentación producto del trabajo mencionado y que tal vez, en estas horas luego de que el “sistema estuvo caído”, alguien quiera ir a buscar. Información sobre: diseño, riesgos, evaluaciones permanentes, cumplimiento de estándares, políticas de uso y seguridad, acuerdos de nivel de servicio con proveedores y confidencialidad, planes de funcionamiento en contingencia, planes de recuperación ante desastres, y los registros de las pruebas que tienden a garantizar  la continuidad de las operaciones y la seguridad de los procesos, todo ellos potencialmente existentes en caso de una operatoria profesional y responsable.

En conclusión en “la falla” del Poder Judicial de la Nación, pareciera que hubo mayor dosis de imprudencia, negligencia o impericia, que de un desastre imponderable.

Y si  todo está bien, sería bueno saber por qué no hubo: ni continuidad de las operaciones, ni rápida recuperación ante un desastre, ni la inclusión y el tratamiento de la infraestructura informática del Poder Judicial de la Nación en el programa de protección y gestión de infraestructura crítica.

Por último recalcar que si bien hablamos puntualmente aquí del caso Lex-100, no se trata de una gestión o un gobierno, sino de la manera amplia en que se mira a los sistemas informáticos desde el Estado: que en la actualidad son soporte de procesos críticos, y por tanto implican una gestión y administración experta y responsable.

Pablo H. Gris Muniagurria

Crónica de una caída anunciada

Escribo estas líneas con suma tristeza, no con espíritu de crítica ni revancha,  escribo viendo el desperdicio de tiempo y esfuerzo, en un proyecto que en sus orígenes estaba lleno de luces y la impericia en la gestión o la desidia, o vaya saber que designios oscuros eclipsaron el progreso y la mejora de la informatización de la justicia.

Una actitud autista sobre la realidad tecnológica y la inconsciencia o ignorancia de lo que significa desarrollar y mantener un sistema crítico como puede ser el lex-100 derivaron en lo que hoy vivimos y sufrimos todos (como puede verse aquí).

Me da vergüenza ajena que alguien salga a decir que uno de los sistemas más críticos de la Argentina se cayó porque “fallo un equipo”. Esto demuestra una ignorancia supina de lo que significa la redundancia en un sistema de estas características.

No es falta de inversión, es falta de conocimiento o por lo menos falta de ganas.

La operatoria judicial debería tener por lo menos un DR Site, (Disaster Recovery), es decir una infraestructura paralela para que en caso que fallara algún componente o se produjera una catástrofe, se pudiera seguir operando.

Las noticias periodísticas no detallan el origen de la falla, y las mentes mas conspiradoras, hablan de una intencionalidad. 

No voy a ir tan lejos, lo que sí puedo decir es que la arquitectura del sistema es por los menos pobre.

Un sistema como lex-100 que da soporte a todos lo juzgados del país, claramente no debe ser un sistema monolítico, sino que debe ser un sistema distribuido, y en el caso de que sucediera un desastre, por lo menos, alguna parte del sistema judicial puede seguir funcionando.

La migración desde el papel al medio electrónico, fue tildada de por muchos operadores judiciales como “tirada de los pelos”. Creemos que como país, nos merecemos un trabajo serio tanto de adaptación del sistema penal al medio informático y la administración de la información, así como los proceso tecnológicos que los respaldan.

Estos procesos de adaptación deben manejar no solo el desarrollo de los proyectos en los casos fortuitos, sino también en las contingencias, entender el estado del arte o Status Quo de los usuarios, y una migración paulatina, capacitando e integrando a toda la comunicada judicial a la nueva realidad. Cosas muy forzadas como las comunicaciones electrónicas y la identificación por CUIL/CUIF/CUID (esta dos últimas siglas inventadas para salvar la faltas de diseño del lex-100), muestran decisiones de diseño pensada para terminar un proyecto, con los objetivos que el lector quiera asignarles, mas que en un trabajo profesional que busca una justicia célere y eficiente.

Espero esperanzado que las autoridades del Consejo de la Magistratura y La Corte, se apoyen en el conocimiento de los expertos con que cuenten entren sus filas, o en el caso de ausencia de estos conocimientos, basados en lo que nos puedan consultar a los profesionales de este campo, vean qué y cómo hacer para mejorar esta realidad. Que se consulte con otras organizaciones y luego se forme un consenso para la modernización de la justicia, teniendo en mente al operador judicial y al ciudadano, dejando de lado los egos y las conveniencias particulares. Que reine la humildad y el progreso en un nuevo proyecto serio y profesional.

Señores, tenemos sistemas mucho mas robustos para compartir fotos de nuestros hijos o publicaciones de vídeo graciosos, que para darle soporte a la operatoria judicial. Esto, yo por lo menos, lo considero triste.

Como comencé el post, esto fue una crónica de una caída anunciada porque los informáticos, hace años venimos marcando las deficiencia del sistema, no del software, sino del sistema completo. Esperemos que este evento haga entrar en conciencia a las altas autoridades y comencemos juntos a transitar el camino de la mejora.

Diógenes A. Moreira

Phishing “impersonando metro.cl”

De qué se trata este caso

Se trata de un probable caso de phishing (engaño utilizando correo electrónico o algún sistema de mensajería) que intenta robar las credenciales de un usuario animándolo a, en este caso, actualizar el servicio de “Microsoft Outlook Web”.

Así se ve el correo:

Imagen del correo electrónico fraudulento.

Imagen del correo electrónico fraudulento.

El correo, según puede verse en su encabezado habría sido enviado utilizando servidores de Metro S.A.:

Received: from server.metro.cl (200.73.13.132) by EDGE1.mpf.gov.ar
(10.40.1.246) with Microsoft SMTP Server (TLS) id 14.3.352.0; Fri, 16 Mar
2018 13:51:45 -0300
Received: from pps.filterd (proof2.metrodom.cl [127.0.0.1]) by
proof2.metrodom.cl (8.16.0.22/8.16.0.22) with SMTP id w2GG6jPV010018; Fri, 16
Mar 2018 13:51:25 -0300
Received: from mail.metro.cl ([172.16.20.121]) by proof2.metrodom.cl with
ESMTP id 2gr5fsrvjq-1 (version=TLSv1 cipher=AES128-SHA bits=128 verify=NOT);
Fri, 16 Mar 2018 13:51:24 -0300
Received: from PR-EXCHDB02.metrodom.cl ([fe80::1d4f:2aa8:fbf2:44af]) by
PR-CAS03.metrodom.cl ([::1]) with mapi id 14.03.0123.003; Fri, 16 Mar 2018
12:50:39 -0400
From: Augusto Salcedo <ASalcedo@metro.cl>
Subject: =?iso-8859-1?Q?Aplicaci=F3n_web_de_Outlook?=
Thread-Topic: =?iso-8859-1?Q?Aplicaci=F3n_web_de_Outlook?=
Thread-Index: AdO9RumXMH2ob4wuS6eAzXHsDcZTRw==
Date: Fri, 16 Mar 2018 13:52:03 -0300
Message-ID:
<74E6F65E41139C46B72586BBB27D61756569E4FF@PR-EXCHDB02.metrodom.cl>

El correo en cuestión contiene un enlace o link que envía al usuario a una página que actualmente no se encuentra disponible, en un servicio (donde nos falta aún definir quién presta qué servicio y como lo llamamos, nada menosque permite la creación de páginas web de forma gratuita (https://www.weebly.com) como puede verse a continuación:

https://sistemaadministrativo.weebly.com/&#8221; target=3D”_blank” =
style=3D”color: rgb(17, 85, 204);”>Haga clic para activar

<div style=3D”color: rgb(34, 34, 34); font-family: arial, sans-serif; font-=
size: small;”>

El asunto es que efectivamente, esta página solicitaba al usuario sus credenciales de acceso a la cuenta (Usuario y Contraseña) con lo cual, quien haya llenado el formulario de buena fe, ha perdido control exclusivo sobre su cuenta.

Así se veía la misma al momento de estar en línea.

Imagen del sitio de phishing

Así se veía el servidor al que llevaba el link fraudulento.

Potenciales daños extras de este tipo de Phishing:

Dado que en la actualidad manejamos una gran cantidad de servicios que requieren que nos identifiquemos con un usuario y contraseña, podemos terminar usando la misma contraseña (y hasta el mismo usuario) en dos o más de ellos. Esto es un problema, porque si alguien conoce nuestras credenciales de un servicio puede comenzar a probar en varios como Twitter, Facebook, Bancos, Correos, etc. etc. etc., intentando acceder a otras cuentas con esas credenciales.

Este es un caso de un ejemplo bastante básico y burdo, en el que es “fácil” sospechar del correo tanto como de la página del servidor fraudulento. Existen muchos otros casos en los que es ciertamente más difícil reconocer que se trata de un correo falso. Incluso muchos de ellos apelan a generarnos cierto apuro y hasta desesperación, simulando, por ejemplo, ser de un servicio legítimo que nos avisa que ha habido un ingreso no autorizado a nuestra cuenta.

El Phishing, como vector de ataque, es en muchos casos la puerta de entrada o el primer paso al acceso ilegítimo, violación de secreto, el daño informático, el robo, la extorsión, etc. etc. etc. Por eso, resulta un fenómeno tan interesante para investigar y estar atentos. Es fundamental en este caso, el trabajo de prevención y el ciber-patrullaje. Por todo lo expuesto, ahondaremos sobre el tema phishing en futuras publicaciones.

Sin ninguna duda, existen numerosas iniciativas que podrían aplicarse desde los organismos del Estado, Ya sea de los referentes a seguridad, a tecnología o simplemente a la resignación. Por eso, habrá nuevos post sobre este tema abordando al menos algunos de ellos.

Pablo H. Gris Muniagurria.

Logs, Backups y un vacío legal que debe llenarse.

Estimado lector: le voy adelantando que ese es el primer post, de varios sobre la responsabilidad objetiva de los ISP’s y las muchas facetas que tiene dicha responsabilidad. El equipo de Ciberdelito.com viene trabajando en varios tópicos relativos y en linea con la necesidad de reglamentar la actividad de los distintos proveedores de servicios que hacen a la comunidad que llamamos Internet y que a la fecha solo son regulados por la oferta y la demanda de sus servicios.

El vacío que da origen al titulo de este post, los que nos dedicamos a investigar el ciberdelito desde la persecución penal, lo sufrimos a diario; a tal punto que hemos incluido en nuestras plegarias a la providencia de cada mañana, un párrafo pidiendo que alguien legisle sobre los backups y logs que serían obligatorios para los proveedores de servicios en y de Internet, en cada una de sus variantes.

No existe reglamentación que obligue o establezca un estándar mínimo sobre la información que los proveedores de servicios y los responsables de aplicaciones deben resguardar, ni por cuanto tiempo. Si bien, nuestro país esta transitando el sano camino para adherir plenamente al consenso de Budapest, no hay hoy en día, normas legales que establezcan una linea base a cumplir.

En estos días, me vi con la necesidad de citar en un trabajo, algún estándar sobre la preservación de información y como una empresa de servicio debería proteger sus activos de información, entonces me encontré con un vacío. Me vi obligado a remitirme a una norma Americana  del año 92, el Guide to Computer Security Log Management del NIST (National Institute of Standards and Technology –  Instituto Nacional de Estándares y Tecnología, dependiente del Departamento de Comercio de Estados Unidos )

En la mayoría de las certificaciones y buenas practicas actuales no se plantea positivamente las obligaciones de los responsable de los servicios informáticos, y deja en cabeza de los administradores la gestión del riesgo. En un contexto donde los principales afectados son la empresa y los clientes que usan el servicio, los periodos de preservación y los datos que se guarda, se ajustan a las necesidades de la oferta y demanda del servicio dado. Las empresas tienden a protegerse siempre en base al nivel de servicio que se comprometen con sus clientes y la relación costo/beneficio.

Ahora bien, cuando se comete un ilícito donde el medio comisivo es Internet, los logs y los backup toman una relevancia mayor que la que tienen en el marco de la simple preservación para el mantenimiento de la continuidad del servicio. Estos pasan a ser prueba fundamental ( y en gran cantidad de casos la única prueba) y linea de investigación a seguir. El no tener normado  que datos se deben preservar y cuanto tiempo se conservan los mismos, nos deja a los investigadores (y a la seguridad del ciudadano) a merced de la buena voluntad de empresas proveedoras del servicio y al buen arte de los que definen sus políticas informáticas de dichas empresas. Se transforma en una lotería conocer que datos estarán disponibles para la justicia de un evento dado. La justicia tiene un muy endeble marco de trabajo, en el contexto de la persecución de un delito de acción publica, donde existe una responsabilidad real de los proveedores de servicios y/o algún tercero que sería cliente de este proveedor.

No voy a continuar estimado lector, sin sugerirle que reflexione sobre el nivel de seguridad que tenemos todos, como ciudadanos en este contexto, sabiendo que el uso de los sistemas informáticos, se ha convertido en condición sine qua non de la integración e inclusión societaria contemporánea.

Hay un gran ausente, en esta realidad. Ese ausente es un ente regulador y de control que se encargue de validar que las buenas practicas y arte de la gestión de los activos informáticos, se apliquen en proveedores de servicios de Internet, servicios tan centrales hoy en día en la vida de nuestra sociedad. Así como existe un Banco Central de la Nación, para regular y controlar el sistema financiero protegiendo a los ciudadanos de practicas abusivas, de la misma manera tendría que existir un ente contralor de la actividades en Internet.

Existieron alguno intentos  de normar la actividad; con buena voluntad, pero con un claro desconocimiento de la implicancias de las definiciones que estaban haciendo, como por ejemplo: pedir resguardo de backups por 10 años, tratando de hacer una simetría con la documentación en papel, pero sin sopesar el costo que implicaba para las empresas esos resguardos. Esta norma fue rápidamente repudiada por la comunidad toda y nunca llego a reglamentarse.

Imagínense que inconveniente puede ser para una empresa perder toda su información contable producto de un ransomware, unos minutos antes de una inspección del AFIP. O cuan fácil sería hackear un homebanking el cual filtrara todas las conexiones que se realizan desde la red TOR o desde una VPN, (como se lo suele llamar en la jerga de investigación a los servicios de impersonalización y anonimato). Cuan bien protegido está un sitio de ventas por Internet que no guarda en sus log las direcciones IP entrantes (es decir desde donde se esta conectando el que navega) <<perdón por el sarcasmo>>

Entonces señores, como sociedad nos debemos:

  1. Una norma que obligue a los proveedores de servicios de Internet a respetar la buenas practicas.
  2. Una autoridad de aplicación
  3. Sanciones concretas ante el incumplimiento de las normas
  4. Presupuesto para la ejecución de estas políticas.

Mientras tanto estamos a la buena de dios, y a la cobertura de la compañía de seguros, que son las que obligan a sus clientes a cumplir una u otra norma, so pena de cobrar más caro sus pólizas para cubrir los riesgos de las operaciones sobre Internet.

En el XI CURSO ACADÉMICO REGIONAL OMPI/SGAE SOBRE DERECHO DE AUTOR Y DERECHOS CONEXOS PARA PAÍSES DE AMÉRICA LATINA: “El derecho de autor y los derechos conexos en el entorno digital” organizado por la Organización Mundial de la Propiedad Intelectual (OMPI) conjuntamente con la Sociedad General de Autores y Editores (SGAE) de España y el Ministerio de Industria y Comercio de la República del Paraguay realizado en Asunción, 7 de noviembre de 2005, se introdujo un segmentación de las responsabilidades de intervinientes en la provisión de servicios de internet:

“2. Los proveedores de servicios en línea que, hoy por hoy, se encuentran involucrados en la entrega de contenidos en línea a los usuarios finales son:
a) El proveedor de servicios de Internet (Internet service provider –ISP–) es quien
pone a disposición del proveedor de contenidos un espacio de memoria en ese servidor (aloja los contenidos) o bien dispone de una parte de su sitio a fin de albergar las páginas de terceros –por lo general, páginas personales de usuarios o de abonados al sitio–. A su vez, generalmente, son proveedores de contenidos y, además, brindan el servicio de acceso a Internet.
b) El proveedor de acceso a Internet (Internet access provider –IAP–) básicamente
posibilita la conexión con Internet, es decir, el enlace a las redes de ordenadores
interconectados que forman Internet.
c) El proveedor de alojamiento (host service provider) brinda un servicio de
almacenamiento y mantenimiento de contenidos en su servidor a fin de que los usuarios
puedan conectarse a Internet a través de un proveedor de servicios (ISP) o de un proveedor de acceso (IAP), acceder a esos contenidos y recuperarlos.” sic.

Si bien esto es un primer intento creo que adolece de varios problemas, uno de ellos es que es falas pensar en divisiones estancas de responsabilidad, sino habría que pensar la problemática como una estructura de capas, mas parecida a una cebolla que a un rompecabezas, y ahí establecer las responsabilidades especificas por capa sabiendo de que capa es responsable cada proveedor. Técnicamente hablando es falso decir que un administrador de un servidor, “root” en el argot informático, no tenga posibilidad de acceder, y correlativamente, responsabilidad sobre el  contenido de dicho servidor. Ahora bien los administradores de se autolimitan, en términos prácticos,  a acceder al contenido de los servidores y  entendiendo que es materialmente imposible que el mismo administrador conozca al detalle los contenidos existentes en todos lo servidores que administra, si el numero de ello es grande; como generalmente pasa, toda vez que las empresas proveedoras de servicio, buscan optimizar (o explotar) al máximo, el recursos humano disponible.

Entendiendo esta realidad, creo que si buscamos un modelo que mejor represente las responsabilidades de preservación de información, debemos buscar en la norma técnica que fundamenta la actividad informática y de telecomunicaciones que hoy utilizamos y no debemos pretender, que desde los claustros legislativos, se reconstruya intuitivamente y desde el punto de vista del usuario, las estructuras que dan soporte a nuestra realidad y sus responsable. La Dra. Delia Lipshitz autora del articulo antes citado  es profesora titular de Derecho de Propiedad Intelectual y Conexos de UBA y autora de muchos libros. Realiza un importante aporte y remarcable trabajo de recopilación, pero adolece del mismo problema de trabajos anteriores, tratan de entender y reglamentar como funciona un automóvil, desde detrás del volante y sin abrir el motor o ver debajo del vehículo.

Los proyectos de ley S 942/16 PROYECTO DE LEY SOBRE RESPONSABILIDADES DE LOS PROVEEDORES DE INTERNET y 5771-D-2016 INTERNET. REGIMEN DE RESPONSABILIDAD DE LOS INTERMEDIARIOS adolecen el mismo problema entre si, definen la “no” responsabilidad. Los legisladores se ven obligados a utilizar esa técnica legislativa, dada la complejidad del tema y que en termino reales no existe una taxativa separación entre cada uno de los eslabones que componen este gran conglomerado que dimos por llamar Internet.

Entonces creo que la manera de avanzar en la reglamentación faltante sería plantear un proyecto parlamentario que busque abrevar en variadas fuentes y actores de la sociedad de Internet. Se debe recorrer el modelo OSI y establecer responsabilidad de acceso y preservación de cada una de las partes, en términos del servicio que brinda  cada uno de ellos, de manera positiva y en busca de lograr estándares de seguridad para el ciudadano, tanto sea desde las responsabilidades de preservar log, backups, etc. o desde la responsabilidad objetiva y material, sobre el contenido y el acceso a los mismos que se encuentra en la gran red.

¿La porno-venganza es delito?

Quisiera compartir algunos pensamientos que fundados en mi  conocimiento técnico, me permiten también avanzar sobre algunas definiciones y reglas jurídicas sobre las que voy a opinar desde mi perspectiva para que puedan servir como disparador de una nueva doctrina y/o decisión legislativa.

Comencemos por ir al diccionario de la Real Academia Española, para obtener la definición de la palabra vídeo: “Sistema de grabación y reproducción de imágenes, acompañadas o no de sonidos, mediante cinta magnética u otros medios electrónicos.”

Como se puede notar el hecho de grabar un vídeo, tiene como sentido la preservación de imágenes y eventualmente sonido, con el fin de reproducir dicha filmación en un momento posterior en el tiempo. La porno venganza, de acuerdo a la doctrina es  la difusión no autorizada de imágenes íntimas previamente obtenidas con acuerdo de las partes (en general se da entre ex parejas).

En la mayoría de los casos los vídeos son grabados con celulares o equipos de mano como cámaras Go Pro, entendiéndose siempre que la reproducción quedaría en el ámbito de la intimidad de los participantes de dicho registro.

La distribución de un vídeo íntimo sin el consentimiento de todos los participantes, podría estar tipificada en el art. 155 del CP. “Será reprimido con multa de pesos un mil quinientos ($ 1.500) a pesos cien mil ($ 100.000), el que hallándose en posesión de una correspondencia, una comunicación electrónica, un pliego cerrado, un despacho telegráfico, telefónico o de otra naturaleza, no destinados a la publicidad, los hiciere publicar indebidamente, si el hecho causare o pudiere causar perjuicios a terceros.”

Por otra parte la ley 26338  incluyó el art. 77 del CP, por el cual un documento, es tal, independientemente del soporte del mismo. “El término “documento” comprende toda representación de actos o hechos, con independencia del soporte utilizado para su fijación, almacenamiento, archivo o transmisión.” sic, por lo que nadie podría decir que un vídeo no es una “representación de actos o hechos”.

Entonces una persona que a sabiendas del daño que puede causar, distribuye un vídeo intimo, claramente esta incurriendo en la conducta disvaliosa, que busca ser reprimida en el art. 155, de CP. Claro que ésta es la interpretación del que suscribe. Al momento no existe ningún fallo en este sentido o tipo penal alguno sobre el tema. Los juristas del equipo me soplan que en el derecho penal no existe la analogía, así que, esperemos que los legisladores tomen el guante y se avance sobre la persecución de conductas de este estilo, que puede producir tanto daño a una persona.

Ahora bien, vamos a ser justos y no podemos dejar de decir que existen varios proyectos de ley, entre ellos el de la Senadora Riofrío que tiene media sanción del senado, que apunta a reprimir específicamente esta conducta y que espera este año su tratamiento en la cámara baja. Las sanciones propuestas van de 4 a 6 meses de prisión y “La persona condenada será obligada a arbitrar los mecanismos necesarios para retirar de circulación o bloquear el material, a su costa y en un plazo inminente” dice el texto del proyecto de la senadora sanjuanina, buscando no solo la represión, sino también la reparación del daño. El proyecto S-2119/16 de incorporación de un art. 155 bis para la penalización de la difusión de imágenes no autorizadas. Por otra parte, el proyecto 5893 D 2016 de difusión no autorizada de imágenes, prevé pena de multa elevada más el agravante cuando son imágenes de menores o de ex parejas. El proyecto S-2180/15 incorpora un art. 128 bis para penalizar la difusión de imágenes en actividades sexuales explícitas elevando la pena para la elaboración de productos destinados a consumo masivo. Incorpora art. 139 ter de penalización del robo de identidad con el fin de perjudicar.

Mas atrás en el tiempo también fue presentado el proyecto S-1312/12 que apuntaba a reprimir la creación y utilización de falsos perfiles para perjudicar, entre otros. Si bien este último proyecto no apunta directamente a la porno venganza, es muy común encontrar que la distribución de los vídeos o imágenes, son distribuidas por perfiles falsos.

Esperemos entonces, que alguna de estas iniciativas llegue a buen puerto.

Tecnología para la prevención e investigación en casos de violencia contra la mujer

A continuación se adjuntan la serie de diapositivas difundidas (en video) en el aula virtual de UNED del 8 de agosto 2017 y el texto ampliado de las mismas para una cabal comprensión de las ideas trabajadas.

AUTORA: Dra. Nora A. Cherñavsky*

“Introducción:

Las tecnologías de la información y comunicación (TIC s) han optimizado la posibilidad de las mujeres de trabajar en red obteniendo claros resultados en favor de poder compartir experiencias e intentar buscar soluciones al problema de la violencia de género.

Es un medio propicio para realizar campañas contra este tipo de violencia, ayudar a las víctimas y promover imágenes de mujeres libres de estereotipos en los medios de comunicación.

Por otra parte el medio digital, por sus características técnicas de acceso y de anonimato, brindan un espacio de oportunidad favorable al incremento del delito en general y en particular para los acosos, hostigamientos, amenazas y extorsiones, que encuentran en este entorno un ambiente propicio que les permite llegar más fácilmente a un número de víctimas mayor e indeterminado, careciendo del contacto físico que resulta necesario en el mundo “real”   y que saca partido también  de  la “desterritorialización”  y descentralización que posee Internet, lo que  permite evadir los  controles jurisdiccionales que existen en el mundo físico.

La difusión y reproducción de contenidos se ve facilitada y aumentada exponencialmente por la acción de los motores de búsqueda que facilitan la localización y acceso y optimizan  la búsqueda de los usuarios, debatiéndose actualmente  su responsabilidad por el enlace a  contenidos ilegales creados por terceros. 

Los dispositivos móviles han facilitado la comunicación, pero como expresan algunas autoras también pueden convertirse en un elemento de control hacia las mujeres y se han convertido “en uno de los primeros artefactos a ser destruidos por el compañero durante reacciones violentas.

En Internet como espacio público los usuarios pueden brindar y acceder a todo tipo de contenidos e información  que circula libremente por la red. Así también ese mismo espacio  resulta apto para la difusión de contenidos ofensivos, de odio o discriminatorios, los que son reproducidos a través de la creación de falsos perfiles que utilizan datos e imágenes ajenas para ocultar su identidad.”  Seguir leyendo los documentos.    Texto_tecnología_y_genero_UNED  TTecnologia para la prevencion e investigacion en casos de VCM_08 agosto 2017 (1)