Category: Derecho Informático

bookmark_borderJusticia europea confirma multa a Google

Posted on by Juan Luis Herrera
Reading Time: 2 minutes

La Corte General Europea confirmó este 10 de noviembre, la multa impuesta hace más de 4 años a Google por €2,424,495.000 euros. La multa también involucra a Alphabet, la compañia matriz de Google.

El 27 de junio de 2017 la Comisión Europea encontró a Google culpable de abusar de su posición dominante en el mercado de buscadores en 13 países del área económica europea. El caso se baso en acusar a Google de ajustar los algoritmos de su motor de busqueda, para presentar los resultados de una forma que visualmente favoresca a sus propios servicios de compras.

Al momento del caso, la comisionada Margrethe Vestager expreso

Google ha creado muchos productos y servicios innovadores que han cambiado nuestras vidas. Esto es algo bueno. Pero la estrategia de Google para su servicio de comparación de precios –Comparison Shopping Service (CSS)- no se trata únicamente de atraer a los clientes haciendo sus productos mejores que los de sus rivales. En lugar de eso, Google abusa su dominio de mercado como motor de busqueda, promoviendo su propio servicio de comparación de precio en los resultados de busquedas, degradando la de los otros competidores.

Google ingreso al mercado europeo de comparación de precios en 2004. Inicialmente su plataforma se llamaba Froogle, en 2008 se llamo Google Product Search y a partir de 2013 se conoce como Google Shopping. Desde 2008 Google cambio su estrategia para empujar su servicio de comparación de precios, basada en el dominio de su motor de busqueda en Internet, lo que segun la Comisión Europea le permitió sistematicamente en cada resultado de busqueda:

  • Otorgar un lugar privilegiado a su servicio de comparación de precios.
  • Degradar a los rivales de servicios similares

El posicionamiento en los resultados tras una busqueda en Google son vitales para un servicio en línea. Se estima que el 95% de los clicks ocure en los 10 primeros resultados de la primera página, los de la segunda página solo representan el 1%.

Vestager concluyó

Lo que Google ha hecho es ilegal ante las leyes antimonopolio de la Unión Europea. Le niega a otras empresas la oportunidad de competir en base a meritos e innovación. Y los más importante, niega a los consumidores europeos una oportunidad genuina de servicios y todos los beneficios de la innovación.

La astronomica multa se basó en el reglamento de multas del año 2006, calculando el monto en base a los ingresos de su servicio de comparación de precios en los 13 paises del Área Económica Europea. Google y Alphabet apelaron la decisión de la Comisión Europea, pero la misma fue declarada casi en su totalidad sin lugar. La decisión se basó en 4 puntos:

  1. La naturaleza anticompetitiva de la práctica de Google.
  2. Los efectos dañinos para la competencia.
  3. Se rechaza la justificación objetiva de la conducta de Google.
  4. Se confirma la multa.

En un mensaje de Twitter, la Comisión Europea celebró la decisión asegurando que

La sentencia de hoy transmite el claro mensaje de que la conducta de Google fue ilegal y provee la claridad legal necesaria para el mercado.

La sentencia aclara que la conducta monopolica se limita al mercado de servicio comparación de precios, dejando fuera el mercado de motores de busqueda en general. Aún queda la posibilidad de apelar ante la Corte de Justicia Europea.

Bibliografía

bookmark_borderThe Facebook Papers: un salón de rumores mal comprendido

Posted on by Juan Luis Herrera
Reading Time: 4 minutes

Imaginemos una reunión social (boda, graduación, aniversario, etc.) de entre 500 y 2000 personas. Inicialmente se observan mesas de entre 8 y 12 personas bien ubicadas y diferenciadas, quiza en grupos de amistad, parentesco o por algún criterio extraño para que sea un salón ordenado, con espacios claros: el bar, la pista de baile, área de fumadores y las mesas.

Con el pasar de las horas, la dinámica cambia, los asistentes se movilizan y la estructura inicial queda en el olvido. Los asistentes encuentran conocidos que no sabian que estarían presentes, brindan y bailan con desconocidos y crean nuevos lazos de amistad. No resulta extraño que surjan relaciones de nogocios o amorosas, en fin toda una interacción social con resultados inesperados. No pueden faltar por supuesto las miradas de envidia, los comentarios ofensivos y hasta uno que otro enfrentamiento verbal o físico cuando las cosas suben de tono. En cuestion de horas, aquel salón bien estructurado y ordenado se convierte en un salón de rumores mal comprendido.

¿Se parece la visión sugerida a la plataforma Facebook?… es una analogía que surgió en mi mente tras leer e investigar sobre los Papeles de Facebook, un escándalo que surgió a inicios de octubre de 2021, cuya protagonista principal es la ingeniera y científica de datos Frances Haugen, que en septiembre compartió documentos internos de Facebook con autoridades estadounidenses. Ella afirma que investigaciones internas de de la compañia revalaron que la red social amplifica el odio, la desinformación y la inestabilidad política, sin embargo, Facebook esconde toda esta preocupante situación. En una entrevista con el programa 60 minutos dio a conocer lo siguiente

Lo que observé una y otra vez en Facebook fue un conflicto de interéses entre lo que es bueno para el público y lo que es bueno para Facebook… pero la compañía eligió siempre por optimizar lo que es bueno soló para sus interéses y cómo ganar más dinero

Haugen ha trabajado por al menos 15 años en compañias muy importantes, entre ellas Google, Pinterest y finalmente en Facebook, la que decidió dejar en mayo, pero no sin antes de hacerse, de forma cuestionable, con copias de miles de documentos internos que son la base de su denuncia, la que inicialmente fue anónima, pero que decidió dar la cara y mostrar al mundo lo que sucede dentro del gigante de las redes sociales.

Un punto clave para comprender lo que Haugen denuncia es el cambio introducido en 2018 por Facebook en el funcionamiento de sus algoritmos. Con la actualización implementada el programa decide que publicaciones se muestran al usuario, utilizando el historial de aquellas publicaciones identificadas como de mayor interés para el propio usuario, con el objetivo de generar mayor interés y mayor tiempo de conexión con la aplicación. Según Haugen

Facebook reconoció lo peligroso del algoritmo para las elecciones de 2020 en Estados Unidos, por lo que desabilitó este comportamiento, pero al terminar el proceso de elección presidencial, nuevamente fué habilitado… lo que es una grave traición para la democracia

En un comunicado oficial, Facebook indicó

Si alguna investigación hubiese encontrado una solución a un reto tan complejo, la industria tecnológica, los gobiernos y la sociedad ya hubieran solucionado el problema hace mucho tiempo.

Todo empresario de espacios de convivencia social sabe que su negocio es un lugar de reuniones de donde surgen relaciones de todo tipo. Sucede en los salones de eventos como el descrito inicialmente, pero también pasa en restaurantes, cafeterías, bares, salones de belleza y muchos más. La genialidad de las plataformas de convivencia virtual es haber logrado generar ingresos extras, aprovechando esa aglomeración de millones de personas las 24 horas del día, con diversidad de intereses, formas de pensar y concebir el mundo.

Si regresamos a la analogía del salón de eventos, no resulta sorpresivo que en los grupos que se forman entre los asistentes, opera una dinámica similar al algoritmo explicado por Haugen. Cada grupo habla de un tema de interés común, que se retroalimenta con comentarios y opiniones sobre el mismo tema, que hace que todos sigan con el interés de hablar de lo mismo, como si aquel tema fuera lo más importante para la socidad, algo de lo que depende el mañana de la humanidad. Sin embargo, lo que se comenta en la mayoría de los grupos, no es más que un momento de charlas irrelavantes para el resto de los otros grupos del salón.

Para muchos la situación que afronta Facebook es la peor crisis en sus 17 años de historia, algo que seguramente marcará un antes y un después. En Estados Unidos se desarrolla un momento clave para la relación entre la Tecnología y el Derecho. De la pugna entre los denunciantes y el sector político contra el gigante de las redes sociales surgirán criterios, directrices y normativa que de no realizarse de forma responsable, afectará una dinámica impresionante y de gran utilidad para millones de personas alrededor del mundo.

Se reclama que Facebook no hace mucho por las actitudes de los usuarios, algo que me hace plantear las siguientes inquietudes:

  • ¿Es Facebook o cualquier otra compañía responsable de lo que transita en sus plataformas?
  • ¿Es factible y razonable hacerle responsable?

Si algún lector considera responder las preguntas planteadas, debe recordar siempre la analogía del salón de eventos.

Considero que las preocupaciones sobre los efectos de la interacción en redes sociales es algo útil y necesario, pero es solo un pequeño aspecto de un problema más grande, algo que lamentable y peligrosamente es mal comprendido por quienes hoy ponen el grito en el cielo. Irónicamente se acude al gobierno a solicitar apoyo contra un peligro o daño social, cuando la manipulación social ha sido, es y será algo de mucho interés para los políticos y gobernantes.

A título personal me sorprende lo que sucede en Estados Unidos, me parecería más lógico en Europa, donde existe una infraestructura normativa más formal y agresiva de control tecnológico, reforzada por una tradición jurídica paternalista de larga trayectoria. Las reflecciones sobre los efectos –positivos y negativos– de la tecnología en la sociedad no son nuevas, pero hoy van tomando importancia en diversos grupos de la sociedad, algo que en principio es positivo, sin embargo, existe el grave riesgo de abordar la situación con poca o ninguna comprensión sobre lo que es tecnología y como ha sido pieza clave para el progreso humano.

En los próximos meses la humanidad atestiguará como lo jurídico aborda lo tecnológico. Seremos testigos del juicio del salón de los rumores. Ojalá se haga de la mejor manera posible, de tal forma que se logre un equilibrio entre los intereses de los creadores de tecnología y los derechos de los usuarios y la ciudadania en general.

Bibliografía

bookmark_borderAtaques DDoS contra proveedores de VoIP

Posted on by Juan Luis Herrera
Reading Time: 2 minutes

A mediados de septiembre de 2021, un proveedor de servicio VoIP, VoIP.ms reportó ser víctima de un ataque de denegación de servicio distribuido -DDoS-.

VoIP –Voice over Internet Protocol– es un servicio que permite utilizar Internet o una red privada para realizar llamadas de voz, haciendo que los mensajes viajen como paquetes, al igual que un correo electrónico por ejemplo. Gracias a este recurso, es posible realizar llamadas telefónicas a cualquier lugar del mundo, sin depender de la infraestructura tradicional de las compañias telefónicas, lo que representa ahorro y conveniencia para los usuarios. Claro está, que sin señal de Internet o datos en el teléfono móvil no pueden realizarse este tipo de llamadas.

Las llamadas se realizan mediante aplicaciones para teléfonos móviles, pero afortunadamente, plataformas de mensajeria como WhatsApp, Telegram y Messenger también incluyen esta función. Lamentablemente, este útil servicio también es de interés para los ciberdelincuentes.

Los ataques de denegación de servicio, afectaron a muchos usuarios corporativos de VoIP. Un experto de Kaspersky explica sobre este tipo de ataques los siguiente:

Este tipo de ataque aprovecha los límites de capacidad específicos que se aplican a cualquier recurso de red, tal como la infraestructura que habilita el sitio web de la empresa. El ataque DDoS envía varias solicitudes al recurso web atacado, con la intención de desbordar la capacidad del sitio web para administrar varias solicitudes y de evitar que este funcione correctamente.

El objetivo de este tipo de ataques es interrumpir el acceso a los usuarios de los servicios en línea. Las personas que intenten acceder al servicio recibiran un mensaje que indica que el recurso no esta disponible o en el mejor de los casos, percibiran una lentitud de respuesta en la plataforma.

Otra victima fue la empresa Bandwidth, que dió a conocer sobre la situación, ofreciendo disculpas a sus clientes y ofreciendo realizar lo que fuese necesario para mitigar el impacto del ataque. Adicionalmente implementaron una página para actualizaciones en tiempo real sobre el incidente.

Otros proveedores también fueron afectados, quienes debieron incorporar a sus plataformas información para sus clientes sobre el estatus de los servicios. Al parecer, lo que le sucedió en Estados Unidos es sólo una parte de algo más grande. Según la Cloud Communications Alliance -CCA-, entre finales de agosto e inicios de septiembre al menos tres proveedores VoIP en el Reino Unido fueron también victimas de ataques de denegación de servicios. Los ataques se basaron en bombardear las red de las empresas con trafico de entre 100 y 450 gigabits por segundo, hasta por 24 horas en varias ocasiones.

Para el 18 de septiembre, se dió a conocer que el grupo criminal ruso REvil, se atribuyó el la autoría del ciberincidente, reclamando un pago de un bitcoin –US$ 45 mil– para detener el ataque, pero en corto tiempo la extorción se incremento a 100 bitcoins –US$ 4.3 millones-.

Desafortunadamente los servicios VoIP no cuentan con estrategias maduras contra ataques DDoS, al igual que muchos otros servicios basados en Internet. Seguramente continuaremos presenciando incidentes que pondrán de manifiesto lo mucho que falta por avanzar.

Bibliografía

bookmark_borderEmpresa colombiana expone datos de miles de clientes

Posted on by Juan Luis Herrera
Reading Time: 3 minutes

La empresa colombiana Coninsa registró una fuga de datos de 1TB de información, unos 5.5 millones de registros con la información de más de 100 mil clientes.

El problema se generó por una mala configuración de un medio de almacenamiento AWS S3, lo que permitió a los atacantes acceder sin necesidad de claves o credenciales de acceso para ver la información sin cifrar y contenia fotos, direcciones y números teléfonicos entre otros.

El equipo de ciberseguridad de WizCase que detectó el incidente lo reportó a Coninsa, pero no hubo respuesta

WizCase’s security team recently found a major breach affecting the online database of Colombian real estate development firm… We reached out to the company, but did not receive a reply so far

¿Qué información fue expuesta?

El reporte de WizCase es bastante interesente, del que presento los puntos más relevantes

  • Información de la compañia
  • Información de identificación personal (PII): nombres, teléfonos, dirección, pagos y valores de activos (propiedades)
  • Información de empresas clientes
  • La mayoría son documentos: facturas, notas de crédito, cotizaciones, estados de cuenta y notas de crédito
  • Los documentos son de años entre 2014 y 2021
  • También se encontró una base de datos de respaldo con mayores de talles: fotografía de perfil, usuario de acceso y claves en hash
  • En términos monetarios, la información expuesta revela transacciones de entre 140 y 200 billones de dolares

El medio de almacenamiento también contenia otra información de servicios internos de la empresa. También se encontro código Backdoor en el sitio web oficial, que permite a cualquir grupo criminal poder modificar el contenido y crear páginas fraudulentas para fines de Phishing.

WizCase proporcionó parte del código malicioso encontrado

Pictured: Malicious code in the backend of Coninsa Ramon’s website. Fuente: WizCase

En el sitio web de la empresa Coninsa existe el apartado de Política para tratamiento de datos personales. En el capítulo IV, sección 2 indica

2. DEBERES DE CONINSA RAMÓN H. S.A.
De conformidad con lo establecido en el artículo 17 de la Ley 1581 de 2012, la Compañía se compromete a cumplir en forma permanente con los siguientes deberes en lo relacionado con el tratamiento de datos personales:
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

Más allá de lo indicado ¿Será que se lo toman en serio?

¿Qué legislación existe en Colombia sobre violación de datos?

En Colombia existen dos leyes enfocadas en la protección de datos personales

  • Ley Estatuaria 1266 de 2008
  • Ley Estatuaria 1581 de 2012

En el año 2020 la Superintendencia de Industria y Comercio (SIC) impuso multas por 7,580 millones de pesos colombianos, consecuencia de 16 mil quejas recibidas. El 89% de las sanciones fue por infracciones a la ley 1266 y el 11% restante por infracciones a la ley 1581.

En julio de 2021 la SIC presentó una guía sobre protección de datos personales con el fín de apoyar a las empresas a evitar ser sancionadas.

¿Qué lección deja lo sucedido?

Ingenuamente muchos piensan que únicamente bancos o instituciones gubernamentales son víctimas de la ciberdelincuencia, sin embargo, esto no es cierto. Los departamentos de IT de empresas pequeñas y grandes suelen implementar tecnología de hardware y software sin considerar aspectos de Cibserseguridad, lo que facilita incidentes como el de la empresa Coninsa. La información personal es un recurso valioso en el mundo digital, ya que su comercialización y posterior uso para cometer fraude genera reditos millonarios, que hoy forman parte de un mercado creciente y de gran dinamismo.

Bibliografía

bookmark_borderPerú: crean página falsa de bono YANAPAY

Posted on by Juan Luis Herrera
Reading Time: 3 minutes

La Autoriad Nacional de Protección de Datos (ANPD) de Perú, confirmó el 16 de septiembre de 2021 sobre la existencia de un sitio web falso sobre el bono YANAPAY.

A través de la Dirección de Fiscalización e Instrucción (DFI) de la ANPD, se informó a la población sobre la página fraudulenta con dirección https://bonoyanapay.com, que contiene una apariencia y estructura similar a los sitios oficiales del gobierno de Perú. El sitio utiliza un formulario donde los usuarios ingresan su Documento Nacional de Identidad (DNI) y luego solicita información de una tarjeta de crédito o débito, tales como numeración, fecha de vencimiento y código verificador.

Usuarios que se han percadato de la falsedad del sitio detallan algunas características que regularmente identifican este tipo de delitos informáticos:

  • Los sitios oficiales del gobierno terminan con .GOB.PE no con .COM
  • Los sitios oficiales del gobierno cuentan con una sección de Políticas de Privacidad
  • El test para confirmar si quien accede es un humano, siempre muestra el mismo código
  • Los programa de gobierno no necesitan datos de una tarjeta de crédito o débito
  • El sitio oficial del programa YANAPAY únicamente solicita DNI y fecha de emisión

Cuando un usuario incauto, proporciona la información sobre su tarjeta de crédito o débito, esta permitiendo a los estafadores poder realizar compras en línea. El Ministerio de Desarrollo e Inclusión Social (Midis) advirtió a la ciudadania en las redes sociales

!Atención, no pongas en riesgo tu información personal!

Si desea obtener información oficial sobre el #YanapayPerú, ingresa a la web yanapay.gob.pe o comunicate a la línea gratuita 101.

El término YANAPAY corresponde al verbo que en culturas Quechua, Aymara y Puquina hace referencia a solidaridad humana, amor humano o amor fraterno. El gobierno de Perú, creo, con el nombre YANAPAY, un programa de ayuda económica de 350 soles peruanos, equivalentes a unos US$ 700, destinado a más de 13.5 millones de peruanos. Las condiciones para recibir la ayuda gubernamental son:

  • Estar en situación de pobreza o pobreza extrema
  • Pertenecer a alguno de los programas de gobierno Juntos, Pensión 65 o Contigo
  • No estar registrado en planilla pública o privada, excepto pensionistas o prácticantes
  • Tener un ingreso menor a 3 mil soles (US$ 725) al mes por hogar

El programa inició el 13 de septiembre y en 3 días ya existía un sitio falso. La dirección del sitio fraudulento es http://bonoyanapay.com, que ya no se encuentra activo, pero se desconoce cuántos usuarios pudieron haber ingresado y proporcionado su información financiera.

Uno de los efectos de la pandemia COVID-19 ha sido la creción de programas gubernamentales, los que aprovechan las ventajas que ofrece la tecnología para que los beneficiario puedan acceder de una forma sencilla, sin embargo, esta conveniencia tecnológica también es aprovechada por los ciber delincuentes.

En una entrada al blog sobre el Phishing, comenté como los usuarios utilizan los buscadores para acceder a servicios en línea, lo que puede llevarlos a sitios fraudulentos. No sería extraño que los peruanos interesados en el bono, ingresaran en Google el nombre del bono, haciendo click en el primero resultado, con el riesgo que los trasladara a una página falsa como la encontrada por DNI. ¿Será que es la única?

Lo que sucedió con el bono YANAPAY es un problema serio, ya que es relativamente fácil crear sitios web o aplicaciones móviles fraudalentas, que son utilizadas por usuarios que confían en lo que encuentran en Internet. Otro aspecto preocupante es que, al ser descubierto un sitio web falso, no es dificil generar otro, esperando a que otra buena cantidad de internautas caigan en la trampa.

Actualmente existen programas gubernamentales similares a YANAPAY en prácticamente todo el mundo, con una alta probabilidad que también esten siendo utilzados para acceder a información sensible de los beneficiarios, sin que las autoridades lo sepan o puedan hacer algo al respecto. El término YANAPAY en general significa ayuda, pero sin considerar aspectos de Seguridad Informática, parece que también ayuda a los ciber criminales.

Bibliografía

bookmark_borderPhishing: un peligro latente para los chapines

Posted on by Juan Luis Herrera
Reading Time: 4 minutes

Si eres usuario de Banca Electrónica y tu banco tiene ya cierta madurez respecto de la Ciberseguridad, seguramente has recibido en los últimos meses o años, correos de tu proveedor financiero informando y adviertiendo sobre el Phishing.

Revisando en mi historial de correos, encontré uno de Banco Industrial de noviembre de 2016, en el que me recomiendan actualizar mi contraseña mediante algunos consejos para su protección. El correo también incluye los siguientes consejos para evitar ser victima de Phishing:

  • Asegurar que la dirección de la plataforma sea la correcta y que inicie con https.
  • No utilizar la plataforma desde cualquier lugar
  • No ingresar desde conexiones de WiFi pública

¿Qué es y cómo funciona el phishing?

El origen del término es la palabra inglesa fishing -pescar-, que literalmente hace alusión a que los atacantes lanzan un ansuelo a sus víctimas, esperando que alguna de ellas lo muerda. El ansuelo consiste en la utilización de mensajes electrónicos (correo, texto, WhatApp, FaceBook, etc), haciendose pasar por una persona o entidad con la que la víctima tiene alguna relación. La identidad falsa de una persona puede ser de un amigo o familiar, en tanto las entidades pueden ser proveedores comerciales, centros educativos o instituciones gubernamentales. Si el mensaje falso es lo suficientemente convincente, el usuario tendrá confianza en la comunicación, que usualmente tiene por objetivo que inocentemente provea información delicada o confidencial.

La técnica detrás del Phishing requiere conocer cierta información del objetivo, ya que la confianza del proceso se basa en mostrar al usuario información que le hagan creer que la fuente de la comunicación es legítima. El complemento del Phishing es lo que se conoce como Ingenieria Social, que proveé al atacante de información básica sobre el uso frecuente de algún servicio o relación con alguna entidad, para así, suplantar su identidad.

¿Un fenómeno nuevo?

En 2021 se cumplen 25 años de la identificación de este tipo de ataques. En 1996 la plataforma de AOL identificó que sus usuarios estaban recibiendo mensajes falsos, con la intención de que proporcionaran información que le permitiera adueñarse de la cuenta de la víctima, que posteriormente se utiliza para cometer crímenes.

El Anti-Phishing Working Group publicó un informe al primer trimestre de 2021 con datos muy interesantes, entre ellos se mencionan:

  • 245,771 sitios web únicos de Phishing
  • La industria financiera es la más atacada (24.9%), seguido de las redes sociales (23.6) y luego proveedores de servicios (19.6%)
  • 172,793 textos únicos en ataques mediante correo electrónico

Desde su aparición los atacantes han mejorado la técnica y actualmente se utilizan diversas variantes y/o técnicas de Phishing. Hoy existen millones de plataformas elecrónicas que proveen servicios remotos a los usuarios, todo se realiza desde la comodidad del hogar o la oficina y desde cualquier dispositivo conectado a Internet. El problema radica en que, como usuarios, pocas veces confirmamos que la dirección del servicio al que se accede o del mensaje que se recibe sea legítima, lo que es en sí un problema dificil de resolver dejandolo en manos de los usuarios.

Para iniciar, no siempre es algo facil de comprender. Por ejemplo, en el caso de un sitio web de algun servicio, la forma de acceder es mediante la URLUniform Resource Locator-, que es el medio para encontrar recursos en internet, como pueden ser las páginas web, algunos ejemplos son:

  • Wikipedia: https://www.wikipedia.org
  • Naciones Unidas: https://www.un.org

Muchos, quizás más del 90 por ciento de los usuarios no escriben la URL de los servicios que utilizan en la barra del navegador… un momento ¿Sábes que existe y qué es verdad? Lo que hacen es escribir en el buscador, seguramente de Google la expresión Wikipedia o Naciones Unidas, que mostrará como resultado los links a páginas relacionadas con el término. Esto lo realizan a diario millones de personas para acceder a sus cuentas de banco, centros de estudio, tiendas en línea o redes sociales.

El riesgo es que uno de los links que muestra Google, apunte a un sitio de apariencia similar, pero que sólo es una imitación maliciosa, cuyo objetivo es que el víctima introduzca su usuario y contraseña, para luego mostrale un mensaje distractor que informe que de momento la plataforma esta en mantenimiento y que lo intente más tarde… !! Para el usuario, ya es demasiado tarde !!

Más dificil, quizás imposible, es pretender que los usuarios puedan identificar que un mensaje de correo electrónico, con toda la apariencia de ser confiable, proviene de un remitente legítimo. Si lográ llegar a la bandeja de entrada de la víctima, posiblemente llamará su atención y si esta bien diseñado el ataque, seguramente realizará acciones que son útiles para el atacante.

¿Cómo esta Guatemala respecto del Phishing?

Guatemala se encuentra muy rezagada en materia de Ciberseguridad. Recientemente la Unión Internacional de Telecomunicaciones publicó el Índice Global de Ciberseguridad 2020. El país se ubica a nivel mundial en el puesto 150 de 182 países y con una calificación de 13.3 puntos de 100, respecto del continente americano ocupa el puesto 26 de 35. Los resultados no son alentadores, lo que implica que existe poca institucionalidad que respalde a los guatemaltecos en materia de Ciberseguridad, lo que deber ser una razón de alerta para todo usuario.

El tema del Phishing, como muchos otros del mundo tecnológico no es sencillo, a pesar que aparenta serlo. La comodidad y conveniencia que ofrecen las diveras plataformas digitales que se utilizan a diario, afectan en gran medida la seguridad, lo que dificilmente es captado y comprendido por los usuarios. Es importante aclarar que no es un tema exclusivo de la banca, pero es un sector de mucho interés para quienes realizan este tipo de ataques.

Extraoficialmente se rumora de muchos casos de Phishing en instituciones bancarias, que han afectado a los usuarios, que han sufrido estáfas y pérdidas financieras que dificilmente logran resolver. Entre los atacantes, que puedan estar en el país o en cualquier lugar del mundo y las instituciones bancarias, que dificilmente aceptan tener algun grado de responsabildid, los usuarios quedan desprotegidos, llegando en muchas ocasiones a tener que aceptar las pérdidas.

Algo positivo que esta ocurriendo es la publicación en medios y páginas de diversas instituciones privadas y públicas sobre el tema de Phishing y Cibersguridad en General. Todo usuario debe conocer los aspectos generales del tema y tomar sus precauciones, de lo contrario, corre el riesgo de aprenderlo de una forma muy dolorosa y posiblemente costosa.

Bibliografía

bookmark_borderChivo Wallet: expectativas y temores de la implementación del Bitcoin en El Salvador

Posted on by Juan Luis Herrera
Reading Time: 4 minutes

El 8 de junio de 2021, la Comisión Financiera de la Asamblea Legislativa de El Salvador emitió el tercer dictamen favorable al expediente 73-6-2021-1, que contiene la iniciativa presentada por el el presidente Nayib Bukele. El dictamen referido contiene antecedentes, ventajas del uso de la criptomoneda Bitcoin y dictamen del decreto presentado. Dentro de las ventajas del uso del Bitcoin, el documento establece:

  • Es una moneda global
  • Es una moneda divisible
  • Transacciones en tiempo real

Se señala que debido a que la moneda no esta regulada por ningun ente público o privado, es una oportunidad para que el país sea un referente en su utilización. Indica además que en el caso de El Salvador, no es una práctica nueva, ya que en el lugar conocido como Playa El Zonte, el uso del Bitcoin ha representado un mecanismo idoneo y efectivo para llevar a cabo prácticas comerciales, lo que puede mejorar la inclusión financiera de muchos ciudadanos . El documento concluye con la emisión del DICTAMEN FAVORABLE -en mayúsculas y negrilla-, lo que daria vida al Decreto No. 57, conocido como Ley Bitcoin.

La Ley Bitcoin esta compuesta de únicamente 2 capítulos y 16 artículos, que da a la criptomoneda la categoría de moneda de curso legal, con poder liberatorio, ilimitado en cualquier transacción y cualquier título que las personas naturales o jurídicas, públicas o privadas requiera realizar. Otras disposiciones básicas de la ley establecen:

  • El tipo de cambio entre Bitcoin y el Dolar sera establecido libremente por el mercado
  • Todo precio y contribuciones tributarias (impuestos), podrán ser expresados en Bitcoin
  • Las transacciones en Bitcoin no estan sujetas a impuestos de ganancia de capital
  • Todo agente deberá aceptar Bitcoin cuando así lo desee el consumidor, sin embargo, si es notorio que un proveedor de bienes o servicios no tiene acceso a la tecnología no será obligatorio.
  • Se crea un fideicomiso en el banco BANDESAL
  • La ley entra en vigencia el 7 de septiembre de 2021

El Reglamento

El 27 de agosto de 2021, se publicó el reglamento de la Ley Bitcoin emitido por el Ministerio de Economía, que entro en vigencia un días despues de la entrada en vigencia de la ley. El reglamento de tan solo 8 artículos, se emite para desarrollar, facilitar y asegurar la Ley Bitcoin. Algunos aspectos importantes del reglamento son:

  • Registro de Proveedores de Servicios de Bitcoin. Establece además normas de conducta para dichos proveedores.
  • Billeteras digitales para bitcoin ofrecidas por el Estado.

La billetera digital Chivo Wallet

La billetera digital para manejo del Bitcoin se denomina Chivo Wallet, una aplicación desarrollada por el Gobierno de El Salvador, que fue puesta para uso de los salvadoreños el 7 de septiembre de 2021 y con una carga inicial de 30 dolares equivalentes en Bitcoin. El término “Chivo” en el El Salvador es utilizado como sinónimo de “Bonito”, por lo que la idea que se vendió con la aplicación es una “Billetera bonita”.

La página del gobierno sobre la billetera digital aclara que el uso del bitcoin es opcional y nadie esta obligado a usarlo, que el dolar es la moneda de referencia del país para los precios, los salarios y los registros contables del país. Sin embargo, existe mucha información confusa en las redes y blogs de tecnología, lo que se agrava con lo establecido por el artículo 7 de la ley.

Antes de su entrada en vigencia las opiniones a favor y encontra del proyecto de la presidencia no se hicieron esperar. Luego de la entrada en vigencia de la ley y la habilitación de la aplicación, con más de medio millon de descargas, las fallas por una implementación apresurada y con poco análisis técnico salieron a la luz. El propio presidente reconoció las fallas, aceptando que nos pusimos un reto demasiado alto y cometimos errores. Por una parte esta bien aceptar la falla, pero no es aceptable por tratarse de recursos públicos ¿Habrá alguna consecuencia? Existen además otros señalamientos y preocupaciones sobre la el uso de Bitcoin y la aplicación:

  • Vulneración de privacidad y datos personales
  • Acceso a componentes del movil que no tienen relación con el uso de la aplicación (cámara, micrófono, etc.)
  • No hay garantía en materia de seguridad digital
  • Al ser centralizada, presenta muchos problemas de compatibilidad con diversas plataformas de teléfonos celulares
  • No hay posibilidad de comunicación con otras billeteras digitales. Importante: ¿Qué significa esto? ¿Es una plataforma exclusiva para el proyecto del gobierno?
  • No es clara la responsabilidad por fallas de la aplicación. Ver artículo 5 de los Términos y Condiciones del desarrollador (consultado el 08/09/2021).
  • Una encuesta realizada por UCA obtuvo los siguientes resultados de opinión de los salvadoreños
    • El 95.9% considera que el uso de Bitcoin debe ser voluntario
    • 7 de cada 10 consideran que la Ley Bitcoin debe ser derogada
    • 7 de cada 10 tienen una noción imprecisa sobre lo que es Bitcoin
    • 8 de cada 10 están poco o nada interesados en descargar la Chivo Wallet
    • 4 de cada 10 salvadoreños abondonarían el país si el uso del Bitcoin afecta su economía familiar

Las criptomonedas han fomentado un sinfín de negocios desde su popularización en 2009, creando un mercado de miles de millones de dolares a nivel mundial, sin embargo también han dado lugar a muchas estafas y problemas de credibilidad. Hay que tener claro que las criptomonedas no son en principio un medio de intercambio ordinario e idoneo, sobre todo por la volatilidad que experimentan y las complicaciones tecnológicas que su uso implica . Las dudas y riesgos de las criptomonedas, no implican que no puedan implementarse proyectos sobre su utilización, pero en mi opinión, debe ser de una forma menos agresiva y en entornos del tipo Sandbox, para evitar daños innecesarios a las personas y sus finanzas. Contrario a lo que sucede en el Salvador, la mayoría de paises que analizan el uso de criptomonedas, lo han considerado con muchas reservas y precauciones.

El proyecto del presidente salvadoreño es interesante, si tiene éxito será algo sin precedentes, sobre todo al tratarse de un país pequeño y con poco impacto en el sector financierio mundial. De fallar, que hay muchas apuestas por ese resultado, las consecuencias serán desastrozas. Por un lado los perdedores serán los usuarios y las finanzas gubernamentales, por el otro, los ganadores serán expertos en el mundo de la especulación financiera y el cibercrimen, quienes seguramente ven el ambiente como un botín a manos llenas.

Bibliografía

bookmark_borderT-mobile: fuga de datos y robo de identidad

Posted on by Juan Luis Herrera
Reading Time: 3 minutes

El 17 de agosto de 2021, el operador de red inalámbrica estadounidense T-Mobile confirmó un incidente de seguridad informática conocido como Violación de Datos, data breach en inglés. El ataque es el quinto que sufre este gigante de las telecomunicaciones en los últimos cuatro años, sin embargo, existen reportes de incidentes de seguridad informática desde el año 2009, siendo uno de los más recordados el nombrado Sidekick Data Loss.

En esta ocasión, el ataque que sufrió T-mobile sorprende por la cantidad de usuarios afectados por la filtración de datos privados. El ataque salió a la luz cuando se supo de la venta de la base de datos con información de 100 millones de usuarios de T-Mobile en la Dark Web, lo que levanto las alarmas en diversos sectores de ciberseguridad y la propia compañia. Un aspecto preocupante e interesante del incidente es que la información incluye registros desde el año 2004, que incluye números telefónicos, nombres, PIN de seguridad, fecha de nacimiento, seguro social y licencia de conducir.

El ataque ha sido reconocido por John Binns, un joven de 21 años, ciudadano norteaméricano de descendencia turca, quien actualmente reside en Turquia y que, según sus propias declaraciones, realizó el ataque en represalia por el secuestro y tortura que sufrió a manos de agencias de Estados Unidos. Indica que inició la infiltración a la infraestructura de T-Mobile en julio, logrando detectar un servidor vulnerable que le permitió con herramientas básicas y disponibles en la red, acceder y analizar el data center compuesto de más de 100 servidores de la compañia ubicado en Washington. El atacante también indicó que la seguridad en la infraestructura tecnológica de T-Mobile es muy mala, ya que no le fue muy dificil lograr infiltrarse en la red, además, la información se encontro en texto plano, incluyendo la de años anteriores, es decir, registros que ya no estan en uso. La compañia publicó un comunicado aceptando su responsabilidad y ofreciendo mejorar sus políticas de ciberseguridad.

¿Por qué tanto escándalo?

Muchas veces las personas no comprenden el impacto y el peligro de este tipo de incidentes. El experto en ciberseguridad Steve Gibson, denominó a la información contenida en la base de datos como Las llaves del reino de la identidad. Con dichos datos es posible realizar estafas o fraudes mediante el robo de identidad, que permite al delincuente solicitar créditos o servicios en nombre de terceros, que afectan la reputación de las víctimas y pueden llegar a generar daños importantes en sus finanzas.

A partir de la nueva normalidad que vive el mundo, los casos de robo de identidad se han incrementado exponencialmente. La Comisión Federal del Comercio (FTC) publicó en febrero de 2021, un artículo en el que se informa que durante el año 2020, la Comisión recibió apróximadamente 1.4 millones de reportes sobre robo de identidad, el doble de lo que recibió en 2019. Las solicitudes fraudulentas de ayuda gubernamental por desempleo subieron de 12,900 en 2019 a 394,280 en 2020, si !! 2956.43 % de incremento !!

El robo de identidad no es exclusivo de Estados Unidos. Es un mal que silenciosamente se expande por todo el mundo y que no es del todo conocido o comprendido por las personas. Es común escuchar decir a los usuarios que su información no es importante, que no exista razón para precuparse por que sus datos sean conocidos por terceros, sin embargo, incidentes como el de T-Mobile ponen en rojo las alarmas y es necesario tomar precauciones.

Bibliografía

bookmark_borderMéxico: reformas al Código Civil y Ley de Notariado derivado de la tecnología

Posted on by Juan Luis Herrera
Reading Time: 2 minutes

El 4 de agosto de 2021, en la Gaceta Oficial de la Ciudad de México se daba a conocer sobre la introducción a la legislación mexicana de normas que resuelven situación derivada de la tecnología. Las normas incorporadas modifican el Código Civil para el Distrito Federal y la Ley del Notariado para la ciudad de México.

Legado de bienes digitales.

En la sección relativa a los bienes que pueden incluirse en los testamentos se agrega que pueden ser bienes o derechos digitales, almacenado en una computadora o en una red. Este tipo de bienes, entre otros, pueden ser :

  • Correos electrónicos, sitios web, videos o fotografías
  • Contraseñas de cuentas bancarias

Un aspecto importante que establece la ley es que los bienes o derechos digitales serán independientes de su valor económico y contenido determinable. También se establece que podrá nombrarse un ejecutor especial, quien procederá en base a las instrucciones del testador y en casos específicos solicitar la eliminación de la información.

Testamento público abierto digital o en medios electrónicos.

Con esta disposición el notario redacta las cláusulas en base a las instrucciones del testador, las lee en vos alta o envía por correo para que se acepte mediante Firma Electrónica Avanzada.

En situaciones especiales, el notario y el testador mediante herramientas de comunicación en tiempo real, donde puedan verse y escucharse, podrán formalizar el testamento.

Oferta por teléfono o medios electrónicos.

Para las ofertas a personas presentes, por telefono o por médios electrónicos, el autor de la misma queda liberado si no se acepta inmediatamente. Para el caso de las ofertas por medios electrónicos, debe entenderse que aplica para medios que permiten la respuesta de forma inmediata, lo que no requiere acuerdo previo entre los contratantes.

Formalización del contrato con uso de firma electrónica avanzada.

Los contratos que requieran forma escrita, podrá ser firmado de forma autógrafa o con Firma Electrónica Avanzada. Esta disposición menciona ya la existencia del Protocolo Digital.

Celebración de asambleas de asociaciones mediante videoconferencia.

Habilita la celebración de asambleas mediante videoconferencias que permitan la comunicación en tiempo real, siempre que la convocatoria determine la plataforma a utilizar, indicando la dirección, código o contraseña. La reunión debe grabarse y quedará a cargo del Administrador.

Actuación Digital Notarial en la Ciudad de México

Habilita la digitalización de los documentos que genera el notario en el ejercicio de su función notarial, dotándole de total validez formal y legal. Son de vital importancia la Firma Electrónica Avanzada, la Firma Electrónica Notarial, el Protocólo Digital y las plataforma de comunicación en tiempo real, tales como mensajería y videoconferencia, que posibilita la celebración entre dos o más comparecientes a crear o modificar obligaciones ante el notario.

Otros elementos clave que establece la normativa son el Sistema Informático y las herramientas que permitan aseguran la identidad de los firmantes, su capacidad, la manifestación inequivoca de su conformidad y comprensión plena del contenido del instrumento otorgado ante Notario.

Bibliografía

bookmark_borderLey antitrámites: la modernización de los trámites públicos (Parte III)

Posted on by Juan Luis Herrera
Reading Time: 5 minutes

Hoy martes 31 de agosto del 2021 se cumple el Vacatio legis establecido en el artículo 43 del Decreto 5-2021 del Congreso de la República. En dos artículos anteriores, el 8 de junio y el 20 de julio, se revisaron los primeros cuatro capítulos de la ley. En esta tercera y última parte, se abordarán los restantes tres capítulos, que desarrollan aspectos administrativos del instrumento legal que ofrece mejorar la situación de los trámites públicos en Guatemala, una dificultad que abordan a diario miles de ciudadanos, quienes afrontan una larga lista de interminables e incomprensibles requisitos. A continuación, el análisis final de la Ley Antitrámites:

Capítulo V – Régimen Institucional

  • Dirección: a través de la Comisión Presidencial de Gobierno Abierto y Electrónico o el ente que designe el Organismo Ejecutivo es la institución que ejercerá las siguientes funciones:
    • Discutir, analizar y proponer los planes de simplificación de trámites.
    • Supervisar permanentemente la ejecución de los planes de simplificación.
    • Evaluar periodicamente los resultados de la ejecución de los planes de simplificación.
    • Propiciar la coordinación entre dependencias a las que aplica la ley.
    • Promover la participación ciudadana en el diseño y control de simplificación de trámites.
    • Propiciar la concentración de trámites, a fin de evitar repetición en trámites con fines comunes.
    • Organizar cursos de capacitación al personal de la administración pública
    • Velar que la implementación de simplificación de trámites garanticen la no discriminación por razones de posición económica, condición social, nacimiento, nacionalidad, origen, credo político, raza, sexo, idioma, edad, religión u opinión del usuario.
    • Promover y coordinar con dependencias del sector público y privado estudios para la simplificación de trámites.
    • Crear, actualizar y evaluar los indicadores de cumplimiento de simplificación de trámites, indicadores de satisfación de usuarios y otros.
    • Publicar ranking de las dependencias que indique que dependencias tienen mayores denuncias.
    • Elaborar propuestas de normativa relacionadas a la simplificación de trámites.
    • Otorgar reconocimientos a las dependencias y funcionarios que trabajan en la simplificación de trámites.
  • El Ministerio de Economía implementará lo que corresponda en materia de trámites para comercio exterior y atracción de inversión .
  • Catálogo electrónico: debe elaborarse una página web que contenga el listado de trámites ante el Organismo Ejecutivo, mostrando los pasos, costo y tiempos de respuesta en cada trámite. Las dependencias deberán colaborar para que la información este actualizada. Comentario: este tipo de recursos es útil, pero a la vez delicado, ya que es bastante común que no se definan políticas o procedimientos eficientes para mantener la información actualizada, además existe la dificultad que es cada dependencia la que desarrolla esta información. Esta situación sucede en instituciones privadas.

Capítulo VI – Regimen Sancionatorio

  • De las infracciones: son infracciones a la presente ley
    • Exigir el cumplimiento de trámites, requisitos o procedimientos que no esten establecidos expresamente en ley o acuerdo gubernativo.
    • Exigir la presentación de información o documentos aportados anteriormente en el mismo procedimiento. Comentario: los funcionarios o empleados públicos no pueden solicitar información o documentos que ya han presentado los usuarios anteriormente.
    • Exigir la presencia física del usuario cuando el trámite sea en línea.
    • No habilitar de manera gratuita, en forma física o en línea los formularios o solicitudes. Comentario: un lugar donde se realiza está práctica es en el 2o reguistro de la propiedad ubicado en zona 9.
    • No publicar en internet los trámites y los requisitos de la dependencia. Comentario: esto será en cada dependencia del Organismo Ejecutivo
    • Negar atención a los usuarios en horarios hábiles.
    • Exigir el cumplimientos de trámites que hayan entrado en vigencia con posterioridad al inicio del trámite. Comentario: una práctica común de los funcionarios, que afecta a los usuarios al tener que regresar a pasos anteriores.
    • No permitir la participación ciudadana previo a la modificación de trámites. Comentario: esto obliga a los funcionarios a convocar antes de hacer cambios.
    • Rechazar solicitudes por contener errores en citas, ortografía, mecanografía o aritmetica cuando el error no resulte relevante para definir el fondo del asunto. Comentario: en muchas dependencias advierten que los formularios no pueden llevar tachones o corrector, lo que deberia dejar de ser una limitante para recibir la solicitud.
    • Exigir declaraciones juradas.
    • Exigir al usuario documentos, constancias o información que sea generada por la propia dependencia. Comentario: esto evitará que el usuario tenga que realizar un trámite previo en la misma dependencia. Esta situación es común en UDEVIPO.
    • Cobrar a los usuarios por consulta de registros públicos regulados en la presente ley. Comentario: esta disposición será de gran utilidad para el usuario. Actualmente los servicios de consulta en forma presencial o en línea de ciertas dependencias son pagados.
    • Exigir legalizar documentos que emiten dependencias públicas. Comentario: muchos trámites requieren documentos de otras dependencias, que de ahora en adelante podrán presentarse copia simple.
    • Exigir que documentos apostillados, sean nuevamente legalizados por el Ministerio de Relaciones Exteriores o traducción del sello de apostilla. Comentario: esta disposición confirma el espíritu de la institución de la Apostilla.
    • Exigir para la reposición de documentos, la presentación de cualquier tipo de denuncia. Comentario: las denuncias por perdida de documentos que tramitan los usuarios ante el Ministerio Público o la Policia Nacional Civil son literalmente de puro trámite, ningun funcionario les da seguimiento.
    • Exigir la presentación de licencias o documentos habilitantes de periódos anteriores, como requisito para la renovación de la misma licencia o documento.
  • Sanciones: las sanciones para empleados, servidores públicos o funcionarios públicos por cometer las infracciones anteriores son:
    • Amonestación verbal, al cometer una infracción
    • Amonestación escrita, al tener dos amonestaciones verbales en el mismo mes calendario
    • Suspensión laboral , al tener dos amonestaciones escritas en el mismo mes calendario
  • La sanción se impondrá por la autoridad superior jerárquica, competente o designada por la dependencia. Comentario: la posible dificultad será el tiempo que tome el trámite administrativo interno, que dificilmente podrá realizarse en un mes calendario.
  • Del trámite de denuncias y quejas: los usuarios podrán realizar su queja ante la autoridad encargada del trámite. Las dependencias deberán informar cada cuatrimestre sobre las quejas recibidas.

Capítulo VII – Disposiciones finales y transitorias

  • Impuesto de circulación de vehículos: obliga al Registro Fiscal de Vehículos a realizar la anotación en un plazo de 10 días, de cambios informados por el usuario.
  • Plazo para publicación de formularios: las dependencias tienen 6 meses, luego de la entrada en vigencia, para publicar los formularios en línea. Comentario: es un plazo muy largo, los 3 meses para la entrada en vigencia son un plazo suficiente.
  • Reducción progresiva de trámites: se otorgan dos plazos importantes para las dependencias públicas
    • Un año: para poner de forma electrónica la información requerida por la ley
    • Dos años: para implementar sistemas electrónicos para la realización de los trámites
  • Los plazos podrán prorrogarse si la dependencia justifica la razón del retraso.
  • Planificación institucional: las dependencias deberan crear un plan de simplificación de trámites en un plazo de 6 meses, incluyendo los costos de software y hardware para su implementación. Ninguna dependencia podrá oponerse a la simplificación de trámites y utlización de medios electrónicos, además deberan ajustar sus manuales a las modificaciones de los trámites.
  • Vigencia: 90 días luego de su publicación en el Diario Oficial.

En términos generales la Ley de Simplificación de Trámites cuenta con disposiciones positivas, sin embargo, considero al menos, algunas debilidades:

  • Pudo aprovecharse la oportunidad para incluir a todo el aparato estatal, ya que la limita su ámbito de aplicación al Organismo Ejecutivo.
  • Los plazos para implementación de cambios son largos y con posibilidad de prorroga, lo que vaticina un retardo malicioso por parte de los funcionarios encargados.
  • Las medidas sancionatorias son muy generales y seguramente será dificil lograr una consecuencia para quienes sean denunciados por infracciones. No hay que olvidar que la denuncia en si misma, constituye otro trámite ante la misma dependencia.

La modernización del Estado puede apoyar a mejorar el servicio a los ciudadanos, pero no es tarea sencilla. Entre la normativa que se publica y su efectiva aplicación suelen haber grandes diferencias, sobre todo si se trata de modificar el desarrollo del trabajo de los funcionarios y empleados públicos. Un elemento clave en la merjoa de los trámites públicos es el conocimiento de los derechos de los usuarios, pero también el reclamo cuando no son respetados y por su puesto la denuncia ante las entidades correspondientes.