Estados Unidos - Derecho Informático

Justicia europea confirma multa a Google

Posted on 11/11/202112/11/2021 by Juan Luis Herrera

Reading Time: 2 minutes

La Corte General Europea confirmó este 10 de noviembre, la multa impuesta hace más de 4 años a Google por €2,424,495.000 euros. La multa también involucra a Alphabet, la compañia matriz de Google.

El 27 de junio de 2017 la Comisión Europea encontró a Google culpable de abusar de su posición dominante en el mercado de buscadores en 13 países del área económica europea. El caso se baso en acusar a Google de ajustar los algoritmos de su motor de busqueda, para presentar los resultados de una forma que visualmente favoresca a sus propios servicios de compras.

Al momento del caso, la comisionada Margrethe Vestager expreso

Google ha creado muchos productos y servicios innovadores que han cambiado nuestras vidas. Esto es algo bueno. Pero la estrategia de Google para su servicio de comparación de precios –Comparison Shopping Service (CSS)- no se trata únicamente de atraer a los clientes haciendo sus productos mejores que los de sus rivales. En lugar de eso, Google abusa su dominio de mercado como motor de busqueda, promoviendo su propio servicio de comparación de precio en los resultados de busquedas, degradando la de los otros competidores.

Google ingreso al mercado europeo de comparación de precios en 2004. Inicialmente su plataforma se llamaba Froogle, en 2008 se llamo Google Product Search y a partir de 2013 se conoce como Google Shopping. Desde 2008 Google cambio su estrategia para empujar su servicio de comparación de precios, basada en el dominio de su motor de busqueda en Internet, lo que segun la Comisión Europea le permitió sistematicamente en cada resultado de busqueda:

Otorgar un lugar privilegiado a su servicio de comparación de precios.
Degradar a los rivales de servicios similares

El posicionamiento en los resultados tras una busqueda en Google son vitales para un servicio en línea. Se estima que el 95% de los clicks ocure en los 10 primeros resultados de la primera página, los de la segunda página solo representan el 1%.

Vestager concluyó

Lo que Google ha hecho es ilegal ante las leyes antimonopolio de la Unión Europea. Le niega a otras empresas la oportunidad de competir en base a meritos e innovación. Y los más importante, niega a los consumidores europeos una oportunidad genuina de servicios y todos los beneficios de la innovación.

La astronomica multa se basó en el reglamento de multas del año 2006, calculando el monto en base a los ingresos de su servicio de comparación de precios en los 13 paises del Área Económica Europea. Google y Alphabet apelaron la decisión de la Comisión Europea, pero la misma fue declarada casi en su totalidad sin lugar. La decisión se basó en 4 puntos:

La naturaleza anticompetitiva de la práctica de Google.
Los efectos dañinos para la competencia.
Se rechaza la justificación objetiva de la conducta de Google.
Se confirma la multa.

En un mensaje de Twitter, la Comisión Europea celebró la decisión asegurando que

La sentencia de hoy transmite el claro mensaje de que la conducta de Google fue ilegal y provee la claridad legal necesaria para el mercado.

La sentencia aclara que la conducta monopolica se limita al mercado de servicio comparación de precios, dejando fuera el mercado de motores de busqueda en general. Aún queda la posibilidad de apelar ante la Corte de Justicia Europea.

Bibliografía

The Facebook Papers: un salón de rumores mal comprendido

Posted on 28/10/202102/11/2021 by Juan Luis Herrera

Reading Time: 4 minutes

Imaginemos una reunión social (boda, graduación, aniversario, etc.) de entre 500 y 2000 personas. Inicialmente se observan mesas de entre 8 y 12 personas bien ubicadas y diferenciadas, quiza en grupos de amistad, parentesco o por algún criterio extraño para que sea un salón ordenado, con espacios claros: el bar, la pista de baile, área de fumadores y las mesas.

Con el pasar de las horas, la dinámica cambia, los asistentes se movilizan y la estructura inicial queda en el olvido. Los asistentes encuentran conocidos que no sabian que estarían presentes, brindan y bailan con desconocidos y crean nuevos lazos de amistad. No resulta extraño que surjan relaciones de nogocios o amorosas, en fin toda una interacción social con resultados inesperados. No pueden faltar por supuesto las miradas de envidia, los comentarios ofensivos y hasta uno que otro enfrentamiento verbal o físico cuando las cosas suben de tono. En cuestion de horas, aquel salón bien estructurado y ordenado se convierte en un salón de rumores mal comprendido.

¿Se parece la visión sugerida a la plataforma Facebook?… es una analogía que surgió en mi mente tras leer e investigar sobre los Papeles de Facebook, un escándalo que surgió a inicios de octubre de 2021, cuya protagonista principal es la ingeniera y científica de datos Frances Haugen, que en septiembre compartió documentos internos de Facebook con autoridades estadounidenses. Ella afirma que investigaciones internas de de la compañia revalaron que la red social amplifica el odio, la desinformación y la inestabilidad política, sin embargo, Facebook esconde toda esta preocupante situación. En una entrevista con el programa 60 minutos dio a conocer lo siguiente

Lo que observé una y otra vez en Facebook fue un conflicto de interéses entre lo que es bueno para el público y lo que es bueno para Facebook… pero la compañía eligió siempre por optimizar lo que es bueno soló para sus interéses y cómo ganar más dinero

Haugen ha trabajado por al menos 15 años en compañias muy importantes, entre ellas Google, Pinterest y finalmente en Facebook, la que decidió dejar en mayo, pero no sin antes de hacerse, de forma cuestionable, con copias de miles de documentos internos que son la base de su denuncia, la que inicialmente fue anónima, pero que decidió dar la cara y mostrar al mundo lo que sucede dentro del gigante de las redes sociales.

Un punto clave para comprender lo que Haugen denuncia es el cambio introducido en 2018 por Facebook en el funcionamiento de sus algoritmos. Con la actualización implementada el programa decide que publicaciones se muestran al usuario, utilizando el historial de aquellas publicaciones identificadas como de mayor interés para el propio usuario, con el objetivo de generar mayor interés y mayor tiempo de conexión con la aplicación. Según Haugen

Facebook reconoció lo peligroso del algoritmo para las elecciones de 2020 en Estados Unidos, por lo que desabilitó este comportamiento, pero al terminar el proceso de elección presidencial, nuevamente fué habilitado… lo que es una grave traición para la democracia

En un comunicado oficial, Facebook indicó

Si alguna investigación hubiese encontrado una solución a un reto tan complejo, la industria tecnológica, los gobiernos y la sociedad ya hubieran solucionado el problema hace mucho tiempo.

Todo empresario de espacios de convivencia social sabe que su negocio es un lugar de reuniones de donde surgen relaciones de todo tipo. Sucede en los salones de eventos como el descrito inicialmente, pero también pasa en restaurantes, cafeterías, bares, salones de belleza y muchos más. La genialidad de las plataformas de convivencia virtual es haber logrado generar ingresos extras, aprovechando esa aglomeración de millones de personas las 24 horas del día, con diversidad de intereses, formas de pensar y concebir el mundo.

Si regresamos a la analogía del salón de eventos, no resulta sorpresivo que en los grupos que se forman entre los asistentes, opera una dinámica similar al algoritmo explicado por Haugen. Cada grupo habla de un tema de interés común, que se retroalimenta con comentarios y opiniones sobre el mismo tema, que hace que todos sigan con el interés de hablar de lo mismo, como si aquel tema fuera lo más importante para la socidad, algo de lo que depende el mañana de la humanidad. Sin embargo, lo que se comenta en la mayoría de los grupos, no es más que un momento de charlas irrelavantes para el resto de los otros grupos del salón.

Para muchos la situación que afronta Facebook es la peor crisis en sus 17 años de historia, algo que seguramente marcará un antes y un después. En Estados Unidos se desarrolla un momento clave para la relación entre la Tecnología y el Derecho. De la pugna entre los denunciantes y el sector político contra el gigante de las redes sociales surgirán criterios, directrices y normativa que de no realizarse de forma responsable, afectará una dinámica impresionante y de gran utilidad para millones de personas alrededor del mundo.

Se reclama que Facebook no hace mucho por las actitudes de los usuarios, algo que me hace plantear las siguientes inquietudes:

¿Es Facebook o cualquier otra compañía responsable de lo que transita en sus plataformas?

¿Es factible y razonable hacerle responsable?

Si algún lector considera responder las preguntas planteadas, debe recordar siempre la analogía del salón de eventos.

Considero que las preocupaciones sobre los efectos de la interacción en redes sociales es algo útil y necesario, pero es solo un pequeño aspecto de un problema más grande, algo que lamentable y peligrosamente es mal comprendido por quienes hoy ponen el grito en el cielo. Irónicamente se acude al gobierno a solicitar apoyo contra un peligro o daño social, cuando la manipulación social ha sido, es y será algo de mucho interés para los políticos y gobernantes.

A título personal me sorprende lo que sucede en Estados Unidos, me parecería más lógico en Europa, donde existe una infraestructura normativa más formal y agresiva de control tecnológico, reforzada por una tradición jurídica paternalista de larga trayectoria. Las reflecciones sobre los efectos –positivos y negativos– de la tecnología en la sociedad no son nuevas, pero hoy van tomando importancia en diversos grupos de la sociedad, algo que en principio es positivo, sin embargo, existe el grave riesgo de abordar la situación con poca o ninguna comprensión sobre lo que es tecnología y como ha sido pieza clave para el progreso humano.

En los próximos meses la humanidad atestiguará como lo jurídico aborda lo tecnológico. Seremos testigos del juicio del salón de los rumores. Ojalá se haga de la mejor manera posible, de tal forma que se logre un equilibrio entre los intereses de los creadores de tecnología y los derechos de los usuarios y la ciudadania en general.

Bibliografía

Ataques DDoS contra proveedores de VoIP

Posted on 05/10/202108/11/2021 by Juan Luis Herrera

Reading Time: 2 minutes

A mediados de septiembre de 2021, un proveedor de servicio VoIP, VoIP.ms reportó ser víctima de un ataque de denegación de servicio distribuido -DDoS-.

VoIP –Voice over Internet Protocol– es un servicio que permite utilizar Internet o una red privada para realizar llamadas de voz, haciendo que los mensajes viajen como paquetes, al igual que un correo electrónico por ejemplo. Gracias a este recurso, es posible realizar llamadas telefónicas a cualquier lugar del mundo, sin depender de la infraestructura tradicional de las compañias telefónicas, lo que representa ahorro y conveniencia para los usuarios. Claro está, que sin señal de Internet o datos en el teléfono móvil no pueden realizarse este tipo de llamadas.

Las llamadas se realizan mediante aplicaciones para teléfonos móviles, pero afortunadamente, plataformas de mensajeria como WhatsApp, Telegram y Messenger también incluyen esta función. Lamentablemente, este útil servicio también es de interés para los ciberdelincuentes.

Los ataques de denegación de servicio, afectaron a muchos usuarios corporativos de VoIP. Un experto de Kaspersky explica sobre este tipo de ataques los siguiente:

Este tipo de ataque aprovecha los límites de capacidad específicos que se aplican a cualquier recurso de red, tal como la infraestructura que habilita el sitio web de la empresa. El ataque DDoS envía varias solicitudes al recurso web atacado, con la intención de desbordar la capacidad del sitio web para administrar varias solicitudes y de evitar que este funcione correctamente.

El objetivo de este tipo de ataques es interrumpir el acceso a los usuarios de los servicios en línea. Las personas que intenten acceder al servicio recibiran un mensaje que indica que el recurso no esta disponible o en el mejor de los casos, percibiran una lentitud de respuesta en la plataforma.

Otra victima fue la empresa Bandwidth, que dió a conocer sobre la situación, ofreciendo disculpas a sus clientes y ofreciendo realizar lo que fuese necesario para mitigar el impacto del ataque. Adicionalmente implementaron una página para actualizaciones en tiempo real sobre el incidente.

Otros proveedores también fueron afectados, quienes debieron incorporar a sus plataformas información para sus clientes sobre el estatus de los servicios. Al parecer, lo que le sucedió en Estados Unidos es sólo una parte de algo más grande. Según la Cloud Communications Alliance -CCA-, entre finales de agosto e inicios de septiembre al menos tres proveedores VoIP en el Reino Unido fueron también victimas de ataques de denegación de servicios. Los ataques se basaron en bombardear las red de las empresas con trafico de entre 100 y 450 gigabits por segundo, hasta por 24 horas en varias ocasiones.

Para el 18 de septiembre, se dió a conocer que el grupo criminal ruso REvil, se atribuyó el la autoría del ciberincidente, reclamando un pago de un bitcoin –US$ 45 mil– para detener el ataque, pero en corto tiempo la extorción se incremento a 100 bitcoins –US$ 4.3 millones-.

Desafortunadamente los servicios VoIP no cuentan con estrategias maduras contra ataques DDoS, al igual que muchos otros servicios basados en Internet. Seguramente continuaremos presenciando incidentes que pondrán de manifiesto lo mucho que falta por avanzar.

Bibliografía

T-mobile: fuga de datos y robo de identidad

Posted on 07/09/202112/09/2021 by Juan Luis Herrera

Reading Time: 3 minutes

El 17 de agosto de 2021, el operador de red inalámbrica estadounidense T-Mobile confirmó un incidente de seguridad informática conocido como Violación de Datos, data breach en inglés. El ataque es el quinto que sufre este gigante de las telecomunicaciones en los últimos cuatro años, sin embargo, existen reportes de incidentes de seguridad informática desde el año 2009, siendo uno de los más recordados el nombrado Sidekick Data Loss.

En esta ocasión, el ataque que sufrió T-mobile sorprende por la cantidad de usuarios afectados por la filtración de datos privados. El ataque salió a la luz cuando se supo de la venta de la base de datos con información de 100 millones de usuarios de T-Mobile en la Dark Web, lo que levanto las alarmas en diversos sectores de ciberseguridad y la propia compañia. Un aspecto preocupante e interesante del incidente es que la información incluye registros desde el año 2004, que incluye números telefónicos, nombres, PIN de seguridad, fecha de nacimiento, seguro social y licencia de conducir.

El ataque ha sido reconocido por John Binns, un joven de 21 años, ciudadano norteaméricano de descendencia turca, quien actualmente reside en Turquia y que, según sus propias declaraciones, realizó el ataque en represalia por el secuestro y tortura que sufrió a manos de agencias de Estados Unidos. Indica que inició la infiltración a la infraestructura de T-Mobile en julio, logrando detectar un servidor vulnerable que le permitió con herramientas básicas y disponibles en la red, acceder y analizar el data center compuesto de más de 100 servidores de la compañia ubicado en Washington. El atacante también indicó que la seguridad en la infraestructura tecnológica de T-Mobile es muy mala, ya que no le fue muy dificil lograr infiltrarse en la red, además, la información se encontro en texto plano, incluyendo la de años anteriores, es decir, registros que ya no estan en uso. La compañia publicó un comunicado aceptando su responsabilidad y ofreciendo mejorar sus políticas de ciberseguridad.

¿Por qué tanto escándalo?

Muchas veces las personas no comprenden el impacto y el peligro de este tipo de incidentes. El experto en ciberseguridad Steve Gibson, denominó a la información contenida en la base de datos como Las llaves del reino de la identidad. Con dichos datos es posible realizar estafas o fraudes mediante el robo de identidad, que permite al delincuente solicitar créditos o servicios en nombre de terceros, que afectan la reputación de las víctimas y pueden llegar a generar daños importantes en sus finanzas.

A partir de la nueva normalidad que vive el mundo, los casos de robo de identidad se han incrementado exponencialmente. La Comisión Federal del Comercio (FTC) publicó en febrero de 2021, un artículo en el que se informa que durante el año 2020, la Comisión recibió apróximadamente 1.4 millones de reportes sobre robo de identidad, el doble de lo que recibió en 2019. Las solicitudes fraudulentas de ayuda gubernamental por desempleo subieron de 12,900 en 2019 a 394,280 en 2020, si !! 2956.43 % de incremento !!

El robo de identidad no es exclusivo de Estados Unidos. Es un mal que silenciosamente se expande por todo el mundo y que no es del todo conocido o comprendido por las personas. Es común escuchar decir a los usuarios que su información no es importante, que no exista razón para precuparse por que sus datos sean conocidos por terceros, sin embargo, incidentes como el de T-Mobile ponen en rojo las alarmas y es necesario tomar precauciones.

Bibliografía

Nuevas funciones de Apple generan controversia

Posted on 24/08/202126/08/2021 by Juan Luis Herrera

Reading Time: 2 minutes

Apple recientemente dió a conocer de nuevas características que serán implementadas en sus dispositivos, enfocadas en atacar el abuso sexual de menores, un mal que utiliza las nuevas tecnologías como herramienta para difusión y comercialización de material pornográfico. Muchas veces la velocidad de propagación de las noticias en Internet, evita que se verifique de forma correcta la información, lo que provoca confunsiones en los usuarios.

Existen dos funciones que han generado controversia en diversas plataformas y foros de Internet, las que se enfocan en dos aspectos diferentes. Estas funciones son:

Communication safety in Messages

Con esta función Apple añade funciones que advierten a los menores y sus padres cuando se recibe o envia fotografías sexualex explicitas. Adicional a la advertencia, el material es presentado de forma borrosa. Esta función utiliza algorítmos avanzados, que determinan que la imágen puede ser clasificada como material sexual explícito, sin que se realice algún tipo de análisis sobre mensajes de texto. Importante: la función descrita opera directamente en el dispositivo y únicamente sobre imágenes que se envían o reciben.

CSAM & Icloud Photos

CSAM es el término en inglés utilizado por el National Center for Missing and Exploited Children para referirse al Child Sexual Abuse Material -Material Sexual de Abuso de Niños-, algo que es utilizado por depredadores sexuales para el reclutamiento y abuso de menores. Apple implementará algoritmos de cifrado aplicados a las fotografías en la plataforma ICloud de sus usuarios. El mecanismo ha sido diseñado pensando en la privacidad de los usuarios, ya que antes de que la imágen sea sincronizada con la plataforma, se compara el resultado de una función HASH con la base de datos de códigos HASH de CSAM. Los documentos técnicos aclaran que la función HASH es del tipo Neural Hash, que permite obtener un mismo resultado aún si se cambia el tamaño de la imágen y otras características generales. Si hay coincidencia en un número específico de comparaciones, se suspende la cuenta de ICloud y se alerta a las autoridades. Importante: la función descrita opera únicamente en las imágenes sincronizadas a ICloud, no con las que estan en el dispositivo y solo se limitan a la comparación del HASH, es decir, no revisa el contenido de las imágenes.

La controversia:

Apple asegura que las funciones a implementar han tomado en cuenta tanto el objetivo de mejorar la seguridad de los menores, como la privacidad de todos los usuarios de sus dispositivos. Sin embargo, diversos grupos han dejado sentir su reclamo, señalando que las propuestas de Apple introducen una puerta trasera –BackDoor- que amenaza con afectar las protecciones fundamentales a la privacidad de todos los usuarios de Apple. También se han dejado sentir preocupaciones del colectivo LGBTQ+, considerando que la propuesta de Apple puede afectar sus derechos.

El mundo digital no escapa a conflictos como el generado por el plan de Apple. La compañía ha indicado que, a pesar de las críticas y las dudas, seguirá adelante con su plan, y que siempre tiene presente la importancia de la privacidad de los usuarios.

Bibliografía

Kaseya RansomWare: proveeduria al servicio del cibercrimen

Posted on 17/08/202123/08/2021 by Juan Luis Herrera

Reading Time: 4 minutes

Durante el fin de semana de celebración de la independencia de los Estados Unidos, Kaseya, una empresa proveedora de servicios de administrción de infraestuctura de tecnológica y ciberseguridad fue víctima de un ciberataque. El incidente ha sido clasificado como un Ataque a Cadena de Suministro, que afectó entre 800 y 1500 empresas clientes de Kaseya, usuarios del software VSA (Virtual System/Server Administrator), que fué infectado a través de una actualización fraudulenta, que contenia código RansomWare del grupo REvil.

El RansomWare de REvil ha estado involucrado en otros incidentes importantes, entre ellos esta el ataque SolarWinds de finales del año 2020 y más recientemente, el ataque a la empresa procesadora de comida JSB en mayo de 2021. Según varios expertos en ciberseguridad, el grupo ha desaparecido de la red, ya que diversos sitios aparecen fuera de línea, lo que se intrepreta como una reestructuración de sus operaciones. Los últimos ataques de REvil han llamado mucho la atención de las autoridades, sobre todo en Estados Unidos, por lo que existen muchas teorías sobre lo que realmente esta sucediendo.

Los Ataques a Cadena de Suministro suelen ser de gran alcance. La tercerización de servicios IT es una buena alternativa para las empresas, ya que les permite enfocarse en su giro de negocio y dejar en manos de expertos la gestión de todo lo relacionado con su infraestructura tecnológica, una pŕactica que en los últimos años ha incorporado la ciberseguridad. En estos ataques, los cibercriminales se enfocan en los proveedores de las potenciales víctimas, quienes al contar con acceso a alguna parte de sus sistemas, se convierten en el medio idoneo para la infiltración, monitoreo y posterior ejecución del ataque, que puede llegar a ser, como en el caso de Kaseya, a gran escala.

El estudio del caso Kaseya reveló un dato curioso y muy importante para el ataque. El software que utilizan los clientes para que se pueda hacer el monitorio y gestión de infraestructura, requiere que los sistemas de antivirus y antimalware le otorguen el mayor nivel de confianza, con acceso privilegiado al sistema operativo, situación que resultó muy útil para los atacantes, ya que la actualización de software maliciosa que se distribuyó en todos los clientes, se ejecutó sin ningún tipo de revisión o verificación. En pocas palabras, en este tipo de ataques la confianza en el proveedor, es el arma de los atacantes.

Cuando se confirmó el ataque, el CEO de la empresa, Fred Voccola indicó que la estrategía para abordar la situación se basó en dos aspectos: indicar a los clientes que de forma inmediata apagaran los servicores VSA y Kaseya deshabilito las infraestructura VSA SaaS. Luego de contener el ataque, el siguiente paso fue publicar actualizaciones de seguridad para eliminar la vulnerabilidad. Diversos expertos en ciberseguridad han manifestado que la metodología utilizada por los atacantes es muy eficiente e ingeniosa.

La utilización de los proveedores como vectores de ataque no es algo nuevo o exclusivo del mundo informático, pero actualmente representan un gran reto para la industria de ciberseguridad. La cadena comprende un número importante de procesos y socios comerciales, que pueden ser proveedores de materias primas, distribuidores y hasta los propios consumidores. Las organizaciones suelen otorgar a sus proveedores confianza, que se materializa en acceso a lugares o información reservada, pero necesaria para la relación comercial. La situación se complica más cuando en la relación cliente-proveedor intervienen componentes, procesos o sistemas que dificilmente pueden ser supervisados a detalle por alguien de la organización, lo que desvirtua el concepto de confianza, situación que es aprovechada por quienes identificación esta vulnerabilidad. Los proveedores se convierten en un potenciador de los grupos criminales, lo que les permite llegar a una gran cantidad de objetivos.

En el mundo tecnológico millones de productos y servicios digitales son resultado de un complicado sistema comercial entre muchos participantes, que proveen componentes de hardware y software, que van ensamblandose y dando forma a un resultado final, que puede haber sido comprometido en alguna de sus fases de creación o, como hoy es común, en los procesos de actualización remota y automatizada. Pretender evitar estos incidentes es casi imposible. La empresa de seguridad ESET, propone una lista de recomendaciones útiles para esta situación

Conozca su software: mantenga un inventario de todas las herramientas patentadas y de código abierto que utiliza su organización
Esté atento a las vulnerabilidades conocidas y aplique los parches; de hecho, los ataques que involucran actualizaciones contaminadas no deben disuadir a nadie de actualizar su software
Manténgase alerta a las brechas que afecten a los proveedores de software de terceros
Elimine los sistemas, servicios y protocolos redundantes u obsoletos
Evalúe el riesgo de sus proveedores desarrollando una comprensión de sus propios procesos de seguridad
Establezca requisitos de seguridad para sus proveedores de software
Solicite auditorías de código periódicas y pregunte por las revisiones de seguridad y los procedimientos de control de cambios para los componentes del código
Infórmese sobre las pruebas de penetración para identificar peligros potenciales
Solicite controles de acceso y doble factor de autenticación (2FA) para proteger los procesos de desarrollo de software
Ejecute software de seguridad con múltiples capas de protección

El incidente de Kaseya demuestra como los Ataques a Cadena de Suministro cuentan con una amplia superficie de actuación, que regularmente se materializa en el eslabón más debil y que dificilmente es conocido por las organizaciones hasta que lamentablemente … !! Es demasiado tarde !!

Bibliografía

Cibercrimen en la mira de la ONU

Posted on 10/08/202117/08/2021 by Juan Luis Herrera

Reading Time: 3 minutes

El 27 de Julio de 2021, el embajador ruso en Estados Unidos, Anatoly Antonov, presentó ante la ONU el primer borrador del tratado mundial contra la ciberdelincuencia titulado Lucha contra la utilización de las tecnologías de la información y las comunicaciones con fines delictivos. El embajador explicó en Twitter que su país esta abierto a una beneficiosa cooperación mutua y honesta, sin agendas ocultas y politizadas. El borrador del nuevo convenio busca expandir la lista de delitos cibernéticos y el control de las criptomonedas.

Actualmente impera a nivel internacional el Convenio de Budapest, aprobado por el Comité de Ministros del Consejo de Europa en 2001, que en su redacción original incluyó 9 delitos, que luego de la aprobación del Protocolo Adicional, agregó figuras delictivas relacionadas con el racismo y xenofobia. El Convenio de Budapest cumplirá 20 años de su aprobación en noviembre de 2021, pero no ha tenido la aceptación global que pudiera esperarse. A nivel latinoamericano diversos países aún no toman en serio el tema, lo que es aún más crítico para Centroamérica. En Febrero de 2020, el Instituto Panameño de Derecho y Nuevas Tecnologías –IPANDETEC– publicó el documento titulado Centroamérica Segura, en el que concluye que después de analizar detalladamente la situación de ciberseguridad en la región de Centroamérica y República Dominicana, llegamos a la conclusión que nos encontramos ante un subcontinente muy inmaduro en materia de ciberseguridad.

A raíz de la pandemia del COVID-19, los ciberataques han reflejado un crecimiento exponencial, afectando a millones de usuarios alrededor del mundo. También se han registrado y documentado cientos de ataques a sectores comerciales, gubernamentales y educativos, que han representado perdidas de miles de millones de dolares, tanto por los daños a la infraestuctura, equipo e información de las víctimas, como por los pagos que han recibido los atacantes en los casos de Ransomware.

El borrador presentado por Rusia, es resultado de un esfuerzo multilateral de varios países. Desde octubre del año 2019 la Asamblea General de las Naciones Unidas aprobó la resolución con la que se decició establecer un comité intergubernamental especial de expertos de composición abierta, representativo de todas las regiones, a fin de elaborar una convención internacional integral sobre la lucha contra la utilización de las tecnologías de la información y las comunicaciones con fines delictivos. La resolución fué redactada por Rusia, China, Corea del Norte, Nicaragua y Venezuela. El proyecto es resultado del informe presentado en julio de 2019, que recoge la opinión de los Estados Miembros sobre los problemas que enfrentan en la lucha contra la ciberdelincuencia. La opinión de Guatemala no figura en dicho informe.

Desde que se dió a conocer el interés de Rusia, China y sus países aliados sobre un estándard internacional en materia de cibercrimen, diversos países y organizaciones defensoras de los Derechos Humanos han manifestado serias preocupaciones. La crítica se centra en la concepción amplia de cibercrimen incluida en el borrador, ya que además de abordar los constantes y dañinos ataques ciberneticos a infraestructuras críticas y empresas multinacionales, también incluye una intromisión preocupante y peligrosa en los Derechos Fundamentales de los ciudadanos. Un tema recurrente es la postura represiva en contra del cifrado, que limita la intromisión de terceros en las telecomunicaciones, entre ellos los propios gobiernos.

La presentación del tratado ocurre en medio de un vaiven de tensiones y pláticas entre Estados Unidos y Rusia, derivado de ataques cibernéticos a grandes corporaciones norteamericanas, donde se ha identificado grupos organizados rusos y chinos. También se ha identificado actividad de vigilancia digital por parte de Agencias Nacionales rusas. A nivel político Rusia ha proyectado una imágen muy conciliadora. En septiembre de 2020 el presidente ruso Vladímir Puttin, propuso a Estados Unidos un programa para restaurar la cooperación en el campo de la seguridad, en el uso de las tecnoloǵias de la información y la comunicación, con el objetivo de evitar una confrontación a gran escala en el campo digital. La propuesta se basa en cuatro aspectos:

Restaurar el dialogo bilateral
Mantener de forma continua y eficiente los canales de comunicación
Desarrollar un acuerdo bilateral de prevención de ciberincidentes
Garantizar la no intervención extranjera –mediante tecnología– en asuntos internos, incluidos los procesos electorales.

Aunque su discusión tomará al menos un par de años más, la posible aprobación de un tratado en materia de ciberdelitos a nivel mundial es un evento muy importante. El Derecho Informático parece estar tocando a las puertas de la casa grande, lo que podría representar un vehículo muy apropiado para su incorporación a todos los Estados Miembros de las Naciones Unidas.

Bibliografía

Robocalls: el imparable problema del spam teléfonico

Posted on 13/07/202113/08/2021 by Juan Luis Herrera

Reading Time: 3 minutes

Las llamadas automáticas pregrabadas –Robocalls-, han sido utilizadas por un buen tiempo como una forma eficiente de llegar a los clientes. Han sido utilizadas en áreas de Marketing y también para fines políticos, llegando en muchas ocasiones a ser un verdadero dolor de cabeza para los usuarios. En el año 2019, en el Mobile World Congress se dió a conocer que el crecimiento de este tipo de llamadas habia crecido un 325 a nivel mundial, con una cifra estimada de 85 mil millones de registros. Desde el año 2017 la Alliance for Telecommunications Industry Solutions -ATIS- y la Federal Communications Commission -FCC- permiten a los operadores tomar medidas para frenar este tipo de llamadas, lo que dio vida a un campo de desarrollo de soluciones diversas.

El crecimiento de incidentes es impactante, derivado de la pandemia COVID 19 inicialmente parecia ir en disminución, sin embargo la industria logro una adaptación interesante, la situación empeoró a nivel global y las autoridades ven con procupación los peligros que representa para los usuarios. Algunos datos estadísticos interesantes:

Mundialmente (2019): 26 billones de usuarios afectados entre enero y octubre
Mundialmente (2020): 31.3 billones de usuarios afectados entre enero y octubre
Europa (2020): varios países aparecieron por primera vez en el top 20 de este tipo spam
Brazil (2020): los usuarios recibieron 50 llamadas mensuales, el mayor número por país
Estados Unidos (2021): en febrero se registraron 4.6 billones de llamadas

En 2019, durante la administración de Donald Trump se promulgo el Telephone Robocall Abuse Criminal Enforcement and Deterrence Act -TRACED Act-, una ley que impone penas de decomiso por violar la prohibicion de cierto tipo de llamadas automatizadas, sean estos actos intencionales o no. Tambien requiere a los proveedores desarrollar tecnologías de identificación de llamadas, a fin de evitar el spoofing telefónico, confirmando la autenticidad de las lineas involucradas mediante el ID del emisor de la comunicación. La norma tambi{en requiere que la Federal Communications Commission -FCC- a crear reglas, politicas y procedimientos para proteger a los individuos de las llamadas fraudalentas, incluyendo también mensajes de texto desde numeros no autenticados. El TRACED Act constituye un avance a un tema resagado por muchas decadas, ya que es una enmienda al Communications Act de 1934.

En marzo de 2021, la FCC dió a conocer sobre la multa de 225 millones de dolares, impuesta a una compañia de telemarketing ubicada en Texas. Es la multa más larga en la historia de la FCC, impuesta por transmitir apróximadamente un billon de llamadas fraudalentes, para vender planes de seguros de salud, suplantando la identidad de compañias de seguros de renombre. El dueño de la compañía admitió haber realizado millones de llamadas diaras durante el primer semestre del 2019, a sabiendas que se realizaban a consumidores que expresamente indicaron no autorizar recibirlas. Las llamadas fraudulentas relacionadas con servicios de seguros de salud se han visto incrementadas desde el año 2018. Como parte de los esfuerzos para detener este tipo de llamadas, el 30 de junio venció el plazo para implementar el protocolo Stir –secure telephone identity revisited- /Shaken –signature-based handling of assesrted information using tokens-. Los mayores proveedores de servicios de vos en Estados Unidos, como AT&T, Verizon y T-Mobile deben implementar dicha tecnología en la que las llamadas pueden ser rastraedas para mitigar las que sean consideradas fraudulentas.

Las llamadas automáticas pregrabadas difilmente desapareceran, seguramente surgiran nuevas modalidades de este tipo de spam.

Bibliografía

Virgina, EEUU: aprueba ley de Protección de Datos de los Consumidores

Posted on 02/03/202111/07/2021 by Juan Luis Herrera

Reading Time: 2 minutes

El gobernador del Estado de Virginia, aprobó la Ley de Protección de Datos de los Consumidores de Virginia (VCDPA), la cual entrará en vigencia en 2023. El objeto de la normativa, cuyo nombre es SB 1392 Consumer Data Protection Act, es regular la forma cómo las empresas manejan los datos personales de sus usuarios, permitiendo a estos ejercer sus derechos de acceso y control de su información personal. Con esta acción, Virginia se convierte en el segundo Estado con una ley de alto nivel en materia de privacidad, siendo la primera la existente en el Estado de California. Ambas normas se basan en el modelo del Reglamento General de Protección de Datos europeo.

La VCDPA esta dirigida a todas las instituciones, organizaciones o entidades que lleven a cabo actividades comerciales en la Commonwealth de Virginia o que produzcan productos o servicios dirigidos a los residentes de la Commonwealth y que durante el periodo de un año:

Controlen o procesen datos personales de al menos 100,000 residentes de Virginia
Obtengan mas del 50% de los ingresos brutos de venta de datos personales

La nueva ley regula los derechos de los usuarios y las obligaciones de los responsables del tratamientos de datos personales. Los derechos de los usuarios, contenidos en la sección 59.1-573, son:

Confirmar si sus datos personales están siendo procesados por un controlador;
Corregir las inexactitudes de sus datos;
Eliminar los datos personales obtenidos del consumidor o sobre él;
Obtener una copia de los datos que el consumidor proporcionó previamente al responsable del tratamiento en un formato portátil y “fácilmente utilizable”; y
Excluirse de la recopilación de datos si éstos se recogen “con fines de publicidad dirigida, venta de datos personales o elaboración de perfiles para promover decisiones que produzcan efectos jurídicos o de importancia similar en relación con el consumidor”.

En cuanto a los responsables del tratamiento, las obligaciones contenidas en la sección 59.1-574 son:

Limitar la recopilación de datos personales a lo que sea “adecuado, pertinente y razonablemente necesario” en relación con los fines del tratamiento, que debe ser revelado al consumidor;
Abstenerse de procesar los datos personales con fines distintos a los revelados, a menos que el consumidor dé su consentimiento;
Establecer, aplicar y mantener prácticas razonables de seguridad administrativa, técnica y física de los datos para proteger la confidencialidad, integridad y accesibilidad de los datos personales.
No procesar los datos personales en violación de las leyes antidiscriminatorias, ni discriminar a los consumidores por ejercer cualquier derecho del consumidor bajo la CDPA.
Abstenerse de procesar datos “sensibles” del consumidor sin su consentimiento.

La protección de datos en la tradición anglosajona, específicamente en Estados Unidos, es un poco distinta a la de otras tradiciones jurídicas, ya que se centra en la figura de usuario como consumidor, por lo tanto, puede dejar fuera de la protección o otros usuarios de las plataformas en línea. Adicionalmente no existe una autoridad central en materia de protección de datos, ya que son regulaciones propias de cada Estado, lo que representa un aspecto interesante a evaluar a futuro.

Bibliografía