Archives

bookmark_borderMéxico: reformas al Código Civil y Ley de Notariado derivado de la tecnología

Posted on by Juan Luis Herrera
Reading Time: 2 minutes

El 4 de agosto de 2021, en la Gaceta Oficial de la Ciudad de México se daba a conocer sobre la introducción a la legislación mexicana de normas que resuelven situación derivada de la tecnología. Las normas incorporadas modifican el Código Civil para el Distrito Federal y la Ley del Notariado para la ciudad de México.

Legado de bienes digitales.

En la sección relativa a los bienes que pueden incluirse en los testamentos se agrega que pueden ser bienes o derechos digitales, almacenado en una computadora o en una red. Este tipo de bienes, entre otros, pueden ser :

  • Correos electrónicos, sitios web, videos o fotografías
  • Contraseñas de cuentas bancarias

Un aspecto importante que establece la ley es que los bienes o derechos digitales serán independientes de su valor económico y contenido determinable. También se establece que podrá nombrarse un ejecutor especial, quien procederá en base a las instrucciones del testador y en casos específicos solicitar la eliminación de la información.

Testamento público abierto digital o en medios electrónicos.

Con esta disposición el notario redacta las cláusulas en base a las instrucciones del testador, las lee en vos alta o envía por correo para que se acepte mediante Firma Electrónica Avanzada.

En situaciones especiales, el notario y el testador mediante herramientas de comunicación en tiempo real, donde puedan verse y escucharse, podrán formalizar el testamento.

Oferta por teléfono o medios electrónicos.

Para las ofertas a personas presentes, por telefono o por médios electrónicos, el autor de la misma queda liberado si no se acepta inmediatamente. Para el caso de las ofertas por medios electrónicos, debe entenderse que aplica para medios que permiten la respuesta de forma inmediata, lo que no requiere acuerdo previo entre los contratantes.

Formalización del contrato con uso de firma electrónica avanzada.

Los contratos que requieran forma escrita, podrá ser firmado de forma autógrafa o con Firma Electrónica Avanzada. Esta disposición menciona ya la existencia del Protocolo Digital.

Celebración de asambleas de asociaciones mediante videoconferencia.

Habilita la celebración de asambleas mediante videoconferencias que permitan la comunicación en tiempo real, siempre que la convocatoria determine la plataforma a utilizar, indicando la dirección, código o contraseña. La reunión debe grabarse y quedará a cargo del Administrador.

Actuación Digital Notarial en la Ciudad de México

Habilita la digitalización de los documentos que genera el notario en el ejercicio de su función notarial, dotándole de total validez formal y legal. Son de vital importancia la Firma Electrónica Avanzada, la Firma Electrónica Notarial, el Protocólo Digital y las plataforma de comunicación en tiempo real, tales como mensajería y videoconferencia, que posibilita la celebración entre dos o más comparecientes a crear o modificar obligaciones ante el notario.

Otros elementos clave que establece la normativa son el Sistema Informático y las herramientas que permitan aseguran la identidad de los firmantes, su capacidad, la manifestación inequivoca de su conformidad y comprensión plena del contenido del instrumento otorgado ante Notario.

Bibliografía

bookmark_borderLey antitrámites: la modernización de los trámites públicos (Parte III)

Posted on by Juan Luis Herrera
Reading Time: 5 minutes

Hoy martes 31 de agosto del 2021 se cumple el Vacatio legis establecido en el artículo 43 del Decreto 5-2021 del Congreso de la República. En dos artículos anteriores, el 8 de junio y el 20 de julio, se revisaron los primeros cuatro capítulos de la ley. En esta tercera y última parte, se abordarán los restantes tres capítulos, que desarrollan aspectos administrativos del instrumento legal que ofrece mejorar la situación de los trámites públicos en Guatemala, una dificultad que abordan a diario miles de ciudadanos, quienes afrontan una larga lista de interminables e incomprensibles requisitos. A continuación, el análisis final de la Ley Antitrámites:

Capítulo V – Régimen Institucional

  • Dirección: a través de la Comisión Presidencial de Gobierno Abierto y Electrónico o el ente que designe el Organismo Ejecutivo es la institución que ejercerá las siguientes funciones:
    • Discutir, analizar y proponer los planes de simplificación de trámites.
    • Supervisar permanentemente la ejecución de los planes de simplificación.
    • Evaluar periodicamente los resultados de la ejecución de los planes de simplificación.
    • Propiciar la coordinación entre dependencias a las que aplica la ley.
    • Promover la participación ciudadana en el diseño y control de simplificación de trámites.
    • Propiciar la concentración de trámites, a fin de evitar repetición en trámites con fines comunes.
    • Organizar cursos de capacitación al personal de la administración pública
    • Velar que la implementación de simplificación de trámites garanticen la no discriminación por razones de posición económica, condición social, nacimiento, nacionalidad, origen, credo político, raza, sexo, idioma, edad, religión u opinión del usuario.
    • Promover y coordinar con dependencias del sector público y privado estudios para la simplificación de trámites.
    • Crear, actualizar y evaluar los indicadores de cumplimiento de simplificación de trámites, indicadores de satisfación de usuarios y otros.
    • Publicar ranking de las dependencias que indique que dependencias tienen mayores denuncias.
    • Elaborar propuestas de normativa relacionadas a la simplificación de trámites.
    • Otorgar reconocimientos a las dependencias y funcionarios que trabajan en la simplificación de trámites.
  • El Ministerio de Economía implementará lo que corresponda en materia de trámites para comercio exterior y atracción de inversión .
  • Catálogo electrónico: debe elaborarse una página web que contenga el listado de trámites ante el Organismo Ejecutivo, mostrando los pasos, costo y tiempos de respuesta en cada trámite. Las dependencias deberán colaborar para que la información este actualizada. Comentario: este tipo de recursos es útil, pero a la vez delicado, ya que es bastante común que no se definan políticas o procedimientos eficientes para mantener la información actualizada, además existe la dificultad que es cada dependencia la que desarrolla esta información. Esta situación sucede en instituciones privadas.

Capítulo VI – Regimen Sancionatorio

  • De las infracciones: son infracciones a la presente ley
    • Exigir el cumplimiento de trámites, requisitos o procedimientos que no esten establecidos expresamente en ley o acuerdo gubernativo.
    • Exigir la presentación de información o documentos aportados anteriormente en el mismo procedimiento. Comentario: los funcionarios o empleados públicos no pueden solicitar información o documentos que ya han presentado los usuarios anteriormente.
    • Exigir la presencia física del usuario cuando el trámite sea en línea.
    • No habilitar de manera gratuita, en forma física o en línea los formularios o solicitudes. Comentario: un lugar donde se realiza está práctica es en el 2o reguistro de la propiedad ubicado en zona 9.
    • No publicar en internet los trámites y los requisitos de la dependencia. Comentario: esto será en cada dependencia del Organismo Ejecutivo
    • Negar atención a los usuarios en horarios hábiles.
    • Exigir el cumplimientos de trámites que hayan entrado en vigencia con posterioridad al inicio del trámite. Comentario: una práctica común de los funcionarios, que afecta a los usuarios al tener que regresar a pasos anteriores.
    • No permitir la participación ciudadana previo a la modificación de trámites. Comentario: esto obliga a los funcionarios a convocar antes de hacer cambios.
    • Rechazar solicitudes por contener errores en citas, ortografía, mecanografía o aritmetica cuando el error no resulte relevante para definir el fondo del asunto. Comentario: en muchas dependencias advierten que los formularios no pueden llevar tachones o corrector, lo que deberia dejar de ser una limitante para recibir la solicitud.
    • Exigir declaraciones juradas.
    • Exigir al usuario documentos, constancias o información que sea generada por la propia dependencia. Comentario: esto evitará que el usuario tenga que realizar un trámite previo en la misma dependencia. Esta situación es común en UDEVIPO.
    • Cobrar a los usuarios por consulta de registros públicos regulados en la presente ley. Comentario: esta disposición será de gran utilidad para el usuario. Actualmente los servicios de consulta en forma presencial o en línea de ciertas dependencias son pagados.
    • Exigir legalizar documentos que emiten dependencias públicas. Comentario: muchos trámites requieren documentos de otras dependencias, que de ahora en adelante podrán presentarse copia simple.
    • Exigir que documentos apostillados, sean nuevamente legalizados por el Ministerio de Relaciones Exteriores o traducción del sello de apostilla. Comentario: esta disposición confirma el espíritu de la institución de la Apostilla.
    • Exigir para la reposición de documentos, la presentación de cualquier tipo de denuncia. Comentario: las denuncias por perdida de documentos que tramitan los usuarios ante el Ministerio Público o la Policia Nacional Civil son literalmente de puro trámite, ningun funcionario les da seguimiento.
    • Exigir la presentación de licencias o documentos habilitantes de periódos anteriores, como requisito para la renovación de la misma licencia o documento.
  • Sanciones: las sanciones para empleados, servidores públicos o funcionarios públicos por cometer las infracciones anteriores son:
    • Amonestación verbal, al cometer una infracción
    • Amonestación escrita, al tener dos amonestaciones verbales en el mismo mes calendario
    • Suspensión laboral , al tener dos amonestaciones escritas en el mismo mes calendario
  • La sanción se impondrá por la autoridad superior jerárquica, competente o designada por la dependencia. Comentario: la posible dificultad será el tiempo que tome el trámite administrativo interno, que dificilmente podrá realizarse en un mes calendario.
  • Del trámite de denuncias y quejas: los usuarios podrán realizar su queja ante la autoridad encargada del trámite. Las dependencias deberán informar cada cuatrimestre sobre las quejas recibidas.

Capítulo VII – Disposiciones finales y transitorias

  • Impuesto de circulación de vehículos: obliga al Registro Fiscal de Vehículos a realizar la anotación en un plazo de 10 días, de cambios informados por el usuario.
  • Plazo para publicación de formularios: las dependencias tienen 6 meses, luego de la entrada en vigencia, para publicar los formularios en línea. Comentario: es un plazo muy largo, los 3 meses para la entrada en vigencia son un plazo suficiente.
  • Reducción progresiva de trámites: se otorgan dos plazos importantes para las dependencias públicas
    • Un año: para poner de forma electrónica la información requerida por la ley
    • Dos años: para implementar sistemas electrónicos para la realización de los trámites
  • Los plazos podrán prorrogarse si la dependencia justifica la razón del retraso.
  • Planificación institucional: las dependencias deberan crear un plan de simplificación de trámites en un plazo de 6 meses, incluyendo los costos de software y hardware para su implementación. Ninguna dependencia podrá oponerse a la simplificación de trámites y utlización de medios electrónicos, además deberan ajustar sus manuales a las modificaciones de los trámites.
  • Vigencia: 90 días luego de su publicación en el Diario Oficial.

En términos generales la Ley de Simplificación de Trámites cuenta con disposiciones positivas, sin embargo, considero al menos, algunas debilidades:

  • Pudo aprovecharse la oportunidad para incluir a todo el aparato estatal, ya que la limita su ámbito de aplicación al Organismo Ejecutivo.
  • Los plazos para implementación de cambios son largos y con posibilidad de prorroga, lo que vaticina un retardo malicioso por parte de los funcionarios encargados.
  • Las medidas sancionatorias son muy generales y seguramente será dificil lograr una consecuencia para quienes sean denunciados por infracciones. No hay que olvidar que la denuncia en si misma, constituye otro trámite ante la misma dependencia.

La modernización del Estado puede apoyar a mejorar el servicio a los ciudadanos, pero no es tarea sencilla. Entre la normativa que se publica y su efectiva aplicación suelen haber grandes diferencias, sobre todo si se trata de modificar el desarrollo del trabajo de los funcionarios y empleados públicos. Un elemento clave en la merjoa de los trámites públicos es el conocimiento de los derechos de los usuarios, pero también el reclamo cuando no son respetados y por su puesto la denuncia ante las entidades correspondientes.

bookmark_borderCertificado digital COVID-19: el dilema entre privacidad y salud pública

Posted on by Juan Luis Herrera
Reading Time: 4 minutes

La pendemia que mantiene al mundo entero en crísis sanitaria desde el primer trimestre del año 2020, ha provocado a su vez un decaimiento global en la economía de grandes proporciones. Desde que inició el proceso de vacunación, se vislumbró que en forma paralela debe abordarse la recuperación económica, lo que ha generado diversas iniciativas y políticas públicas sobre como asegurar un retorno seguro a la actividad productiva de millones de personas. La Unión Europea experimentó en el denominado Espacio Schengen, una disminución de circulación sin presedentes desde su habilitación en 1995.

Con miras a buscar soluciones en la circulación segura de los ciudadanos de países miembros, la Comisión Europea emitió el 17 de marzo de 2021 un comunicado al Parlamento Europeo, denominado Por una senda común hacia una reapertura segura y sostenida. En su parte introductoria el documento establece La presente Comunicación traza el camino hacia una política ponderada y un enfoque común de la Unión, señalando los pasos que debemos dar para recuperar lo antes posible nuestras costumbres de vida europeas, si bien de forma segura y sostenible, tomando el control sobre el virus.

El documento establece en la sección número 3, una reapertura segura, con una recuperación de la libertad de circulación en condiciones de seguridad, disponiendo además adoptar una propuesta legislativa que establece un marco común para un certificado verde digital. El 20 de mayo de 2021 el Parlamento Europeo y el Consejo llegaron a un acuerdo con respecto al certificado digital COVID de la Unión Europea, el cual entró en vigor el 1 de julio en toda la Unión. La normativa establece 3 tipos de certificados que establecen si la persona:

  • Ha sido vacunada contra COVID-19
  • Se ha realizado una prueba con resultado negativo
  • Se ha recuperado de COVID-19

El certificado es gratuito, podrá ser extendido y verificado en todos los países miembros de la Unión, tanto en centros de pruebas o autoridades sanitarias, como directamente en los portales de salud electrónica. Puede almacenarse en un dispositivo electrónico o utilizar la versión en papel, con su respectivo código QR y la firma digital que respalda la autenticidad del certificado y evita su falsificación. Los certificados pueden validarse a través del portal creado por la Unión Europea, que no requiere de los datos personales del titular. El certificado COVID-19 de la Unión Europea no es el primero de su clase, ya que países como Israel y China lo implementaron en febrero y marzo de 2021 respectivamente.

A pesar del entusiamo de las autoridades de la Unión, diversos sectores han expresado que la medida puede atentar contra el Derecho a la Privacidad y generar discriminación. Se ha señalado que la implementación del certificado, no debe afectar los derechos establecidos en la normativa vigente de Protección de Datos Personales. Adicionalmente, debe aclararse a la ciudadania que el Certificado no es un documento obligatorio, pero si mejora las condiciones de movilidad entre países, ya que exime de restricciones vigentes, como la obligatoriedad de una cuarentena. La mayoría de las preocupaciones se fundamentan en que los datos que recoge el certificado son clasificados como sensibles, por ser información médica del titular y que el Reglamento General de Protección de Datos prohibe su tratamiento.

¿Qué pasa en Estados Unidos?

Debido al sistema jurídico norteamericano, la implementación a nivel federal de un certificado digital único y centralizado no es una tarea sencilla. Desde marzo de 2021, la administración de Biden en cooperación con compañias privadas iniciaron esfuerzos por proveer una solución estandarizada enfocada en la nueva normalidad. Existen implementaciones aisladas en algunos estados como California, Luisana y Nueva York, que ofrecen a sus residentes plataformas web y aplicaciones que permiten verificar los registros de vacunación. También existen iniciativas como la Vaccination Credential Initiativa (VCI), que agrupa al menos 300 organizaciones privadas y públicas, cuyo objetivo es proveer un formato único para diversos mecanismos de validación, al que se le denomina SMART Health Card. Otra plataforma interesante es CommonPass, que ofrece a los usuarios informar de una forma segura el estatus de su salud respecto del COVID-19, lo que les permite retomar sus actividades laborales, escolares y de viajes. Expertos en el tema advierten que, en la implementación de un certificado o pasaporte digital para el COVID-19, la administración estatal debe competir con al menos 20 iniciativas existentes identificadas y además asegurar la privacidad de los datos de los usuarios.

Resulta evidente que la forma norteamericana y la europea de tratar la implementación de un certificado digital para el COVID-19 son muy diferentes. En los próximos meses posiblemente podrá evaluarse el resultado de ambas tradiciones jurídicas.

¿Y Latinoamérica?

Tras la entrada en vigencia del certificado COVID-19 en la Unión Europea, el Consejo Mundial de Viajes y Turismo, recomendó evaluar la implementación de medidas similares en Latinoamérica, lo que ayudaría a facilitar los viajes de turistas de esos países a la Unión Europea. La vacunación tiene un aspecto complejo derivado de las diferentes opciones de vacuna que existen alrededor del mundo. La Unión Europea a través de la Agencia Europea de Medicamentos, únicamente ha aprobado las vacunas Johnson & Johnson, Moderna, Pfizer/BioNTech y AstraZeneca. En Latinoamérica, diversos países estan utilizando vacunas de China y de Rusia, lo que podría afectar la circulación de ciudanos de esos países en la Unión Europea y Estados Unidos.

Desde mayo de 2021, se dió a conocer una alianza de 6 países en America del Sur para implementar un certificado de vacunación COVID-19. Actualmente Colombia, Brasil, Perú, Uruguay, Chile, Argentina y Ecuador cuentan con implementaciones digitales para verificación de vacunación de sus ciudadanos. En algunos casos han existido inconvenientes, como el caso de Colombia, que por dudas del manejo de los datos sensibles de los usuarios, ha tenido que suspender su implementación momentaneamente.

La batalla mundial contra el COVID-19 ha encontrado en la tecnología un buen aliado, pero su implementación no es algo sencillo, sobre todo por la dificultad de abordar soluciones únicas e integrales.

Bibliografía

bookmark_borderNuevas funciones de Apple generan controversia

Posted on by Juan Luis Herrera
Reading Time: 2 minutes

Apple recientemente dió a conocer de nuevas características que serán implementadas en sus dispositivos, enfocadas en atacar el abuso sexual de menores, un mal que utiliza las nuevas tecnologías como herramienta para difusión y comercialización de material pornográfico. Muchas veces la velocidad de propagación de las noticias en Internet, evita que se verifique de forma correcta la información, lo que provoca confunsiones en los usuarios.

Existen dos funciones que han generado controversia en diversas plataformas y foros de Internet, las que se enfocan en dos aspectos diferentes. Estas funciones son:

Communication safety in Messages

Con esta función Apple añade funciones que advierten a los menores y sus padres cuando se recibe o envia fotografías sexualex explicitas. Adicional a la advertencia, el material es presentado de forma borrosa. Esta función utiliza algorítmos avanzados, que determinan que la imágen puede ser clasificada como material sexual explícito, sin que se realice algún tipo de análisis sobre mensajes de texto. Importante: la función descrita opera directamente en el dispositivo y únicamente sobre imágenes que se envían o reciben.

CSAM & Icloud Photos

CSAM es el término en inglés utilizado por el National Center for Missing and Exploited Children para referirse al Child Sexual Abuse Material -Material Sexual de Abuso de Niños-, algo que es utilizado por depredadores sexuales para el reclutamiento y abuso de menores. Apple implementará algoritmos de cifrado aplicados a las fotografías en la plataforma ICloud de sus usuarios. El mecanismo ha sido diseñado pensando en la privacidad de los usuarios, ya que antes de que la imágen sea sincronizada con la plataforma, se compara el resultado de una función HASH con la base de datos de códigos HASH de CSAM. Los documentos técnicos aclaran que la función HASH es del tipo Neural Hash, que permite obtener un mismo resultado aún si se cambia el tamaño de la imágen y otras características generales. Si hay coincidencia en un número específico de comparaciones, se suspende la cuenta de ICloud y se alerta a las autoridades. Importante: la función descrita opera únicamente en las imágenes sincronizadas a ICloud, no con las que estan en el dispositivo y solo se limitan a la comparación del HASH, es decir, no revisa el contenido de las imágenes.

La controversia:

Apple asegura que las funciones a implementar han tomado en cuenta tanto el objetivo de mejorar la seguridad de los menores, como la privacidad de todos los usuarios de sus dispositivos. Sin embargo, diversos grupos han dejado sentir su reclamo, señalando que las propuestas de Apple introducen una puerta trasera –BackDoor- que amenaza con afectar las protecciones fundamentales a la privacidad de todos los usuarios de Apple. También se han dejado sentir preocupaciones del colectivo LGBTQ+, considerando que la propuesta de Apple puede afectar sus derechos.

El mundo digital no escapa a conflictos como el generado por el plan de Apple. La compañía ha indicado que, a pesar de las críticas y las dudas, seguirá adelante con su plan, y que siempre tiene presente la importancia de la privacidad de los usuarios.

Bibliografía

bookmark_borderKaseya RansomWare: proveeduria al servicio del cibercrimen

Posted on by Juan Luis Herrera
Reading Time: 4 minutes

Durante el fin de semana de celebración de la independencia de los Estados Unidos, Kaseya, una empresa proveedora de servicios de administrción de infraestuctura de tecnológica y ciberseguridad fue víctima de un ciberataque. El incidente ha sido clasificado como un Ataque a Cadena de Suministro, que afectó entre 800 y 1500 empresas clientes de Kaseya, usuarios del software VSA (Virtual System/Server Administrator), que fué infectado a través de una actualización fraudulenta, que contenia código RansomWare del grupo REvil.

El RansomWare de REvil ha estado involucrado en otros incidentes importantes, entre ellos esta el ataque SolarWinds de finales del año 2020 y más recientemente, el ataque a la empresa procesadora de comida JSB en mayo de 2021. Según varios expertos en ciberseguridad, el grupo ha desaparecido de la red, ya que diversos sitios aparecen fuera de línea, lo que se intrepreta como una reestructuración de sus operaciones. Los últimos ataques de REvil han llamado mucho la atención de las autoridades, sobre todo en Estados Unidos, por lo que existen muchas teorías sobre lo que realmente esta sucediendo.

Los Ataques a Cadena de Suministro suelen ser de gran alcance. La tercerización de servicios IT es una buena alternativa para las empresas, ya que les permite enfocarse en su giro de negocio y dejar en manos de expertos la gestión de todo lo relacionado con su infraestructura tecnológica, una pŕactica que en los últimos años ha incorporado la ciberseguridad. En estos ataques, los cibercriminales se enfocan en los proveedores de las potenciales víctimas, quienes al contar con acceso a alguna parte de sus sistemas, se convierten en el medio idoneo para la infiltración, monitoreo y posterior ejecución del ataque, que puede llegar a ser, como en el caso de Kaseya, a gran escala.

El estudio del caso Kaseya reveló un dato curioso y muy importante para el ataque. El software que utilizan los clientes para que se pueda hacer el monitorio y gestión de infraestructura, requiere que los sistemas de antivirus y antimalware le otorguen el mayor nivel de confianza, con acceso privilegiado al sistema operativo, situación que resultó muy útil para los atacantes, ya que la actualización de software maliciosa que se distribuyó en todos los clientes, se ejecutó sin ningún tipo de revisión o verificación. En pocas palabras, en este tipo de ataques la confianza en el proveedor, es el arma de los atacantes.

Cuando se confirmó el ataque, el CEO de la empresa, Fred Voccola indicó que la estrategía para abordar la situación se basó en dos aspectos: indicar a los clientes que de forma inmediata apagaran los servicores VSA y Kaseya deshabilito las infraestructura VSA SaaS. Luego de contener el ataque, el siguiente paso fue publicar actualizaciones de seguridad para eliminar la vulnerabilidad. Diversos expertos en ciberseguridad han manifestado que la metodología utilizada por los atacantes es muy eficiente e ingeniosa.

La utilización de los proveedores como vectores de ataque no es algo nuevo o exclusivo del mundo informático, pero actualmente representan un gran reto para la industria de ciberseguridad. La cadena comprende un número importante de procesos y socios comerciales, que pueden ser proveedores de materias primas, distribuidores y hasta los propios consumidores. Las organizaciones suelen otorgar a sus proveedores confianza, que se materializa en acceso a lugares o información reservada, pero necesaria para la relación comercial. La situación se complica más cuando en la relación cliente-proveedor intervienen componentes, procesos o sistemas que dificilmente pueden ser supervisados a detalle por alguien de la organización, lo que desvirtua el concepto de confianza, situación que es aprovechada por quienes identificación esta vulnerabilidad. Los proveedores se convierten en un potenciador de los grupos criminales, lo que les permite llegar a una gran cantidad de objetivos.

En el mundo tecnológico millones de productos y servicios digitales son resultado de un complicado sistema comercial entre muchos participantes, que proveen componentes de hardware y software, que van ensamblandose y dando forma a un resultado final, que puede haber sido comprometido en alguna de sus fases de creación o, como hoy es común, en los procesos de actualización remota y automatizada. Pretender evitar estos incidentes es casi imposible. La empresa de seguridad ESET, propone una lista de recomendaciones útiles para esta situación

  • Conozca su software: mantenga un inventario de todas las herramientas patentadas y de código abierto que utiliza su organización
  • Esté atento a las vulnerabilidades conocidas y aplique los parches; de hecho, los ataques que involucran actualizaciones contaminadas no deben disuadir a nadie de actualizar su software
  • Manténgase alerta a las brechas que afecten a los proveedores de software de terceros
  • Elimine los sistemas, servicios y protocolos redundantes u obsoletos
  • Evalúe el riesgo de sus proveedores desarrollando una comprensión de sus propios procesos de seguridad
  • Establezca requisitos de seguridad para sus proveedores de software
  • Solicite auditorías de código periódicas y pregunte por las revisiones de seguridad y los procedimientos de control de cambios para los componentes del código
  • Infórmese sobre las pruebas de penetración para identificar peligros potenciales
  • Solicite controles de acceso y doble factor de autenticación (2FA) para proteger los procesos de desarrollo de software
  • Ejecute software de seguridad con múltiples capas de protección

El incidente de Kaseya demuestra como los Ataques a Cadena de Suministro cuentan con una amplia superficie de actuación, que regularmente se materializa en el eslabón más debil y que dificilmente es conocido por las organizaciones hasta que lamentablemente … !! Es demasiado tarde !!

Bibliografía

bookmark_borderCibercrimen en la mira de la ONU

Posted on by Juan Luis Herrera
Reading Time: 3 minutes

El 27 de Julio de 2021, el embajador ruso en Estados Unidos, Anatoly Antonov, presentó ante la ONU el primer borrador del tratado mundial contra la ciberdelincuencia titulado Lucha contra la utilización de las tecnologías de la información y las comunicaciones con fines delictivos. El embajador explicó en Twitter que su país esta abierto a una beneficiosa cooperación mutua y honesta, sin agendas ocultas y politizadas. El borrador del nuevo convenio busca expandir la lista de delitos cibernéticos y el control de las criptomonedas.

Actualmente impera a nivel internacional el Convenio de Budapest, aprobado por el Comité de Ministros del Consejo de Europa en 2001, que en su redacción original incluyó 9 delitos, que luego de la aprobación del Protocolo Adicional, agregó figuras delictivas relacionadas con el racismo y xenofobia. El Convenio de Budapest cumplirá 20 años de su aprobación en noviembre de 2021, pero no ha tenido la aceptación global que pudiera esperarse. A nivel latinoamericano diversos países aún no toman en serio el tema, lo que es aún más crítico para Centroamérica. En Febrero de 2020, el Instituto Panameño de Derecho y Nuevas Tecnologías –IPANDETEC– publicó el documento titulado Centroamérica Segura, en el que concluye que después de analizar detalladamente la situación de ciberseguridad en la región de Centroamérica y República Dominicana, llegamos a la conclusión que nos encontramos ante un subcontinente muy inmaduro en materia de ciberseguridad.

A raíz de la pandemia del COVID-19, los ciberataques han reflejado un crecimiento exponencial, afectando a millones de usuarios alrededor del mundo. También se han registrado y documentado cientos de ataques a sectores comerciales, gubernamentales y educativos, que han representado perdidas de miles de millones de dolares, tanto por los daños a la infraestuctura, equipo e información de las víctimas, como por los pagos que han recibido los atacantes en los casos de Ransomware.

El borrador presentado por Rusia, es resultado de un esfuerzo multilateral de varios países. Desde octubre del año 2019 la Asamblea General de las Naciones Unidas aprobó la resolución con la que se decició establecer un comité intergubernamental especial de expertos de composición abierta, representativo de todas las regiones, a fin de elaborar una convención internacional integral sobre la lucha contra la utilización de las tecnologías de la información y las comunicaciones con fines delictivos. La resolución fué redactada por Rusia, China, Corea del Norte, Nicaragua y Venezuela. El proyecto es resultado del informe presentado en julio de 2019, que recoge la opinión de los Estados Miembros sobre los problemas que enfrentan en la lucha contra la ciberdelincuencia. La opinión de Guatemala no figura en dicho informe.

Desde que se dió a conocer el interés de Rusia, China y sus países aliados sobre un estándard internacional en materia de cibercrimen, diversos países y organizaciones defensoras de los Derechos Humanos han manifestado serias preocupaciones. La crítica se centra en la concepción amplia de cibercrimen incluida en el borrador, ya que además de abordar los constantes y dañinos ataques ciberneticos a infraestructuras críticas y empresas multinacionales, también incluye una intromisión preocupante y peligrosa en los Derechos Fundamentales de los ciudadanos. Un tema recurrente es la postura represiva en contra del cifrado, que limita la intromisión de terceros en las telecomunicaciones, entre ellos los propios gobiernos.

La presentación del tratado ocurre en medio de un vaiven de tensiones y pláticas entre Estados Unidos y Rusia, derivado de ataques cibernéticos a grandes corporaciones norteamericanas, donde se ha identificado grupos organizados rusos y chinos. También se ha identificado actividad de vigilancia digital por parte de Agencias Nacionales rusas. A nivel político Rusia ha proyectado una imágen muy conciliadora. En septiembre de 2020 el presidente ruso Vladímir Puttin, propuso a Estados Unidos un programa para restaurar la cooperación en el campo de la seguridad, en el uso de las tecnoloǵias de la información y la comunicación, con el objetivo de evitar una confrontación a gran escala en el campo digital. La propuesta se basa en cuatro aspectos:

  • Restaurar el dialogo bilateral
  • Mantener de forma continua y eficiente los canales de comunicación
  • Desarrollar un acuerdo bilateral de prevención de ciberincidentes
  • Garantizar la no intervención extranjera –mediante tecnología– en asuntos internos, incluidos los procesos electorales.

Aunque su discusión tomará al menos un par de años más, la posible aprobación de un tratado en materia de ciberdelitos a nivel mundial es un evento muy importante. El Derecho Informático parece estar tocando a las puertas de la casa grande, lo que podría representar un vehículo muy apropiado para su incorporación a todos los Estados Miembros de las Naciones Unidas.

Bibliografía

bookmark_borderColombia declara al Internet como servicio público esencial y universal

Posted on by Juan Luis Herrera
Reading Time: 3 minutes

El gobierno de Colombia aprobó el 29 de julio de 2021 la Ley No. 2108, identificada como Ley de Internet como servicio público esencial y universal, que modifica la Ley TIC 1341 del año 2009. La iniciativa de la nueva ley data de octubre de 2020, pero fué hasta abril de 2021 que recibió la aprobación por el pleno del Senado colombiano. No es la primera modificación que se hace a la Ley 1341, pero dada la importancia actual del uso de lnternet, se considera de gran importancia para los ciudadanos colombianos.

El presidente colombiano, Ivan Dúque declaro “Con esta ley, la Internet pasa a convertirse en un servicio público esencial. Esto quiere decir que su importancia y necesidad para los colombianos es equiparable con el agua, la luz y el gas. Por consiguiente, los operadores deberán garantizar la continua provisión del servicio para todos y en situaciones de emergencia, como la pandemia, no podrán suspender las labores de instalación, adecuación y mantenimiento de las redes”.

Con tan sólo 12 artículos, la ley tiene por objeto establecer dentro de los servicios públicos de telecomunicaciones, el acceso a Internet como uno de carácter esencial. Desarrolla además otras ideas importantes

  • Establece la universalidad como el onceavo principio orientador en la intervención del Estado en el sector de las TIC.
  • Masificación del uso de las TIC y cierre de la brecha digital, priorizando a los sectores vulnerables.
  • Declara el acceso a Internet como un servicio público escencial, lo que implica su acceso de forma ininterrumpida por los usuarios. Se hace la aclaración de los deberes y obligaciones de los suscriptorios y usuarios del servicio.
  • En casos de emergencia los usuarios tendrán asegurado el acceso a servicios mínimos como envío de mensajes de texto y acceso a portales gubernamentales.
  • Establecimiento de cargas u obligaciones diferenciales en zonas de servicio universal
  • Acceso sin costo (zero rating) a usuarios de portales educativos del gobierno.

El Derecho de Acceso a Internet forma parte de los llamados Derechos Digitales, un término muy discutido hoy en día, pero que fue propuesta por Robert B. Gelman en 1997 en su trabajo Declaración de Derechos Humanos en el Ciberespacio, alineada con la Declaración Universal de Derechos Humanos de 1948. Existen otros antecedentes de diversos autores y organizaciones sobre el término, pero el referente común es la concepción de Internet como un recurso democrático para el acceso al conocimiento, la mejora de la condición humana y de la sociedad. En 2016 el Consejo de Derechos Humanos de las Naciones Unidas, en el período 32 de sesiones, reconoció la importancia de la expansión de las tecnologías de la información y las comunicaciones para :

  • Acelerar el progreso humano
  • Superar la brecha digital y
  • Desarrolar las sociedades del conocimiento

En la región latinoamericana existe gran preocupación por las limitaciones de acceso a Internet que sufren millones de usuarios en la región. En la Sexta Cumbre de las Américas del año 2012, en Cartagena de Indicas, Colombia, La relatora de Libertad de Expresión en Internet, Catalina Boterno Marino, señaló que “El principio de acceso universal se refiere a la necesidad de garantizar la conectividad y el acceso universal, ubicuo, equitativo, verdaderamente asequible y de calidad adecuada, a la infraestructura de Internet y a los servicios de las TIC…

Países como México y Argentina cuentan desde hace varios años con normativa relativa al acceso a Internet como un derecho fundamental, que debe ser prestado no solo de forma universal, sino además, con altos estándares de calidad, a precios justos y razonables. Eventos de alcance mundial como la pandemia, han puesto de manifiesto la utilidad de contar con acceso a Internet para temas educativos, laborales, médicos y muchos más. Cuando no se cuenta con este servicio se genera una situación de exclusión, que en algunas regiones registra altos índices, evitando que muchas personas logren aprovechar los beneficios de la tecnología.

Aunque se reconoce la importancia del acceso a Internet a la mayor cantidad de usuarios posible, no deja de ser preocupante o al menos interesante, incluirlo en la categoría de Derechos, cuando es un servicio que requiere de la participación de muchos intermediarios. Además el Internet es una red que trasciende las fronteras nacionales, por lo que hay limitaciones en cuanto al alcance de la normativa, aspecto que es poco comprendido por los legisladores y usuarios.

Bibliografía

bookmark_borderPrint-Nightmare: una vulnerabilidad parchada… pero no del todo

Posted on by Juan Luis Herrera
Reading Time: 2 minutes

El Servicio de Cola de Impresión o PSS –Print Spooler Service- de Microsoft nuevamente ocupo los titulares de noticias de ciberseguridad, tanto de Microsoft como de portales especializados. La noticia fué la causa de mucha confusión entre los usuarios ya que en principio se tenia por arreglado el problema, sin embargo, resulto que eran dos los problemas que de forma independiente afectaban el PSS, que se ejecuta con total acceso a los componentes básicos del sistema operativo.

Hace poco más de 10 años, se ejecutó un ataque a sistemas SCADA en Iran, en instalaciones nucleares de la empresa alemana Siemens. El incidente tuvo como uno de los vectores de vulnerabilidad el PSS. El incidente de aquellos días se relacionó con el gusano informátic Stuxnet, el primero quizá con capacidad de espíar y reprogramar sistemas industriales. El experto en seguridad Steve Gibson explica que muchos de los problemas que afrontan los sistemas de empresas como Microsoft, es que fueron diseñados cuando no existia Internet y varios de sus componentes aún se encuentran en las nuevas versiones, con vulnerabilidades que no pudieron ser previstas en su creación.

La dificultad y confusión con la vulnerabilidad resulta de la actualización o parche liberado por Microsoft el 8 de junio, que corrigió la vulnerabilidad CVD-2021-1675. Microsoft implemento su actualización en base a lo reportado por el investigador de seguridad Will Dorman, lo que resultó ser una solución deficiente e incompleta. Al menos 2 investigadores de seguridad informática, publicaron durante el mes de junio pruebas de concepto sobre como explotar la vulnerabilidad del PSS para obtener escalada de privilegios y ejecución remota de código.

Un poco a regañadientes, Microsoft aceptó la existencia de una segunda vulnerabilidad en el PSS, la cuál se registro como CVE-2021-34527 y que fue corregida con la actualización liberada el 7 de julio. Una lección aprendida es que no se puede abordar una vulnerabilidad de forma superficial, los técnicos de Microsoft únicamente se enfocaron en lo reportado por Will Dorman, sin investigar con mayor profundidad las causas del problema.

Algunas de las recomendaciones para este caso son las siguientes:

  • Instalar las actualizaciones constantemente
  • Si no se necesita el PSS, desinstalarlo
  • En servidores de dominio no es necesario tenerlo instalado o activo

Microsoft ha venido sufriendo por meses una serie de dificultades con sus actualizaciones, cayendo en una especia de historia sin fin, ya que las actualizaciones corrigen algunas cosas, pero afectan otras. Expertos en tecnología aseguran que hay más vulnerabilidades aún no dadas a conocer en el PSS y que la pesadilla aún no termina.

Bigliografía

bookmark_borderLey antitrámites: la modernización de los trámites públicos (Parte II)

Posted on by Juan Luis Herrera
Reading Time: 7 minutes

En esta entrada continúo con el análisis de la Ley para la Simplficación de Requisitos y Trámites Administrativos, decreto número 5-2021. El mes pasado abordé los primeros 2 capítulos de la ley que ofrece mejorar la difícil situación que abordan los ciudadanos al realizar trámites en diversas instituciones del Estado. Sin más esperar, avancemos

Capítulo III – Medios Electrónicos

  • Medios electrónicos: las dependencias deben implementar de forma progresiva de medios electrónicos, con el fin de poder realizar los trámites a distancia, tomando en cuenta la seguridad. Deben también ir reduciendo progresivamente elementos que no permita que el resultado final del trámite pueda extenderse o enviarse de forma electrónica. Los medios electrónicos, como portales web y sistemas, no deben tener restricción de horarios. Comentario: es el primer artículo donde se menciona la seguridad en el sentido de “seguridad de la información”, lo cual no tiene mucha relevancia a los largo de todo el texto de la ley. Respecto del acceso sin restricción de horario pareciera innecesario, sin embargo, existen portales de instituciones del Estado que no siempre funcionan. Un ejemplo es el Registro de la Propiedad, que siempre queda inaccesible a las 7 de la noche por 1 o 2 horas.
  • Obligación de informar sobre los trámites administrativos: las dependencias deben publicar
    • El listado de trámites que pueden gestionarse en dicha dependencia
    • Los requisitos
    • El costo del trámite
    • Procedimiento (pasos) a seguir por el usuario
    • El tiempo de respuesta
    • Normativa aplicable
  • No será necesaria la presencia física para informar sobre el trámite o notificar alguna resolución. También deben implementar mecanismos de trazabilidad. Comentario: es un recurso muy útil para los usaurios, muchas veces no hay forma de conocer que trámites se pueden obtener en una dependencia, ni siquiera los funcionarios lo saben. Tambien es dificil poder tener certeza del procedimiento, tiempos o costos. Informar o notificar de forma electrónica o adistancia también evita a los usaurios perder tiempo visitando las dependencias solo para enterarse que no ha pasado nada o que nadie sabe del trámite. Implementar un sistema de trazabilidad también es útil, pues permite a los interesados saber en que paso y con que funcionario se encuentra el trámite.
  • Trámite a distancia: las dependencias deben implementar la realización de trámites a distancia, automatizando sus procesos. Tambien debe implementarse, si la ley no lo prohibe, que el resultado final del trámite pueda obtenerlo el usuario de forma electrónica. Otra alternativa es el envío del resultado mediante servicios de mensajeria a costa del usuario. Comentario: un poco redundante, la parte inicial de este artículo. Lo interesante es poder utilziar servicios de mensajeria para entrega de resultados en forma física. Es una altenativa útil si lo electrónico no es posible, sobre todo ahora que existen en el país muchas empresas que prestan este servicio.
  • Formularios: las dependencias deberan colocar formularios en internet para que puedan ser descargados por los usuarios. Cuendo exista un sistema para el trámite, este deberá incorporar la generación del formulario. Cuando existan formularios para descargar o electrónicos, no será obligatorio presentarlos de forma física. Ninguna dependencia podrá cobrar por los formularios. Comentario: los formularios descargables o en línea son de gran utilidad. El Registro Mercantil y el Registro General de la Propiedad, por ejemplo, ya los utilizan y mejoran mucho los procesos. La prohibicion de cobrar es de gran ayuda, un caso muy molesto es el Registro de Quetzaltenango que actualmente cuenta con una oficina en la zona 9 de la capital. Para ciertos trámites utilizan formularios que solo se pueden obtener comprándolos, además hay que hacer cola con todos los que llegan a realizar trámites solo para obtener los formularios.
  • Documentos y copias: los documentos electrónicos o digitalizados, firmados con firma electrónica avanzada enviados a una dependencia pública no requeriran entrega de copia física. Las dependencias conservarán copias digitales de los mismos. Los documentos en todo trámite podran ser firmados y presentados electrónicamente. Solo en caso de duda, podrá pedirse en las dependencias el documento en forma física. Comentario: el reconocimiento de comunicaciones y firmas electrónicas esta regulado desde el año 2008, pero lamentablemente muy poco utilizado por el Estado, espermos que eso cambie. El Registro Mercantil tiene implementado trámites totalmente electrónicos, que se realizan sin poner un pie en dicha dependencia y de una forma más rápida. Recientemente el Registro General de la Propiedad habilitó el tramite de certificaciones complementa en línea y puedo decir que funciona muy bien.
  • Expediente y archivo electrónico: las dependencias deberan implentar el “expediente electrónico”, que contendrá toda la información del trámite. Se utilizaran bases de datos con las medidas de seguridad necesarias. Cuando varias dependencias esten involucradas en un mismo trámite deberan compartir base de datos o archivos. Se utilzaran servidores locales o remotos, propios o de terceros, contratando servicios especializados. Cuando un usuario no de seguimiento a un trámite por más de 3 meses, ya sea que no presente o realice algun paso solicitado por una dependencia o no recoja el resultado final, este se archivara de oficio. También se promoverá la transición de archivos físicos a electrónicos, implementando sistemas de consulta con las medidas de seguridad necesarias. Comentario: un expediente electrónico es una excelente idea, sin embargo, su implementación no es algo sencillo, lo que se complica aún más si hay varias dependencias involucradas. Un aspecto importante y hasta preocupante es la seguridad de la información y la privacidad de los datos de los usaurios, un aspecto poco trabajado en las dependencias públicas y con poca normativa en el país. El traslado de lo físico a lo digital es un proceso delicado y tratandose de información legal deberá ser realizado de una forma responsable y profesional.
  • Acceso a la información en registros públicos: los registros públicos deben implementar mecanismos de consulta y validación de los datos que posean. No podrá cobrarse por la consulta de la información que administran. Deberan permitir la consulta a distancia, sin la necesidad de crear cuentas o registrar correos electrónicos. Deberan proteger los datos considerados como “sensibles” por la Ley de Acceso a la Información Pública. Las dependencias públicas deberan implementar mecanismos electrónicos de intercambio de información, tanto con entidades públicas como privadas. Comentario: los sistemas de consulta son muy útiles, sin embargo, esta disposición me parece confusa, ya que no aclara que sean sistemas a distancia o electrónicos y además, que no es necesario tener cuenta de usuario o algun correo electrónico para su utilización. Otro aspecto curioso es que indica que no se cobraran las consultas, lo cual creo que en la práctica no será realizable.
  • Validez de documentos e información transmitida electrónicamente: los documentos e información transmitida electrónicamente tienen el mismo valor y eficacia que los documentos físicos. Los documentos con firma electrónica avanzada prevalecen sobre la versión física. La versión física es considerado original si tiene un mecanismo de validación. Se podrá obtener información entre dependencias, sin necesidad que sea el usuario quien tramite dicha información o documentos. Comentario: la parte final de esta disposición es muy importante. Muchas veces los usuarios deben solicitar en una dependencia, un documento que requiere otra dependencia. En estos casos todos hemos expresado que estamos “de Herodes a Pilatos”, por lo que si es posible que las dependencias se comuniquen y envien la información que así sea en beneficio de los usuarios.
  • Interconectividad del Estado: las dependencias del Estado deberán coordinar esfuerzos para el intercambio y homologación de información, a fin de poder generar información estadistica de una mejor manera. No será necesario suscribir acuerdos o convenios adicionales interinstitucionales para el cumplimiento de este precepto , temas de transparencia, trazabilidad o simplificacion de trámites. Comentario: la interconectividad estatal es un objetivo muy importante. Actualmente deben existir cientos o miles de fuentes de información dispersa y en diversos formatos, situación que hace imposible conocer con exactitud cualquier dato que provea el Estado. Esta situación pasa en las empresas pequeñas y grandes, por lo que a nivel estatal seguramente es un caos de fuentes de información.

Capítulo IV – Portales Interinstitucioales

  • Portales interinstitucionales: las pedendencias relacionadas con trámites o sectores específicos trabajaran mediante portales interinstitucionales, que integrarán todo lo que sea necesario tramitar por los usuarios, ya sea de forma electrónica o física. Las dependencias determinaran la ubicación física o virtual del portal. También será obligatorio un portal interinstitucional, cuando en un trámite intervengan varias dependencias. Comentario: los portales interinstitucionales son una buena idea, pero pueden ser un problema debido a la dinámica propia de las instituciones públicas. Aunque la último disposición del capitulo anterior aclara que no será necesario realizar nuevos convenios, será imposible evitar la generación de documentos oficiales por cada portal interinstitucional, lo que seguramente implicará muchos pasos y reuniones. Creo que estos famosos portales no veran la luz pronto.
  • Funciones de los portales interinstitucionales: tendran las funciones siguientes:
    • Información de los trámites, requisitos, costos y duración.
    • Generación o recepción de los formularios , documentos y requisitos de los trámites.
    • Gestión y custodia de expedientes.
    • Comunicar decisiones, entregar comunicaciones y resoluciones de trámite o finales
    • Notificaciones sobre el trámite y su trazabilidad
    • Recepción y atención de quejas o sujerencias
    • Promover mejoras de los servicios
    • Consulta sin costo de los expedientes
    • Recepción de pagos, pudiendo unificarlo y distribuirlos en las dependencias involucradas
    • Otras que acuerden las dependencias

En esta segunda parte sobre la Ley antitrámites, se analizaron los capítulos relativos a lo que ofrece el Estado y sus dependencias a los usuarios en la gestión de trámites públicos. Los medios electrónicos y los portales interinstitucionales se presentan como los medios idóneos para superar la desgastante situación que hoy por hoy afronta todo ciudadano ante las dependencias públicas. El papel que juega la tecnología y los medios de comunicación electrónicos es fundamental, sin embargo, no se trata de una varita mágica, que de forma automática dotará de eficiencia a los servicios públicos.

El diseño, desarrollo e implementación de sistemas informáticos, tanto locales como en la nube requiere de conocimientos y experiencia, de lo contrario, tal como ha pasado por decadas en la iniciativa privada, se términa en un mar de sistemas y fuentes de información descoordinados, que llevado a la dimensión de los servicios públicos puede resultar siendo la cura peor que la enfermedad.

Existe desde hace un buen tiempo un peligro poco conocido o comentado inclusive por los expertos en sistemas, el cual resulta de la afectación causada a los usuarios de dichas herramientas por decisiones de quienes las diseñan e implementan. Trasladado al sector público, resulta común encontrar que muchas características de los sistemas informáticos lesionan derechos y garantías de los ciudadanos, convirtiendo a los desarroladores en los nuevos legisladores de ventanilla, que al desconocer de aspectos legales, implementan soluciones sin tener en cuenta que sus decisiones son de alcance nacional, y que pueden afectar seriamente la vida de muchos ciudadanos.

En la siguiente y última entrada de análisis de la ley, se analizarán los restantes 3 capítulos de dicha normativa, que abordan el régimen institucional, sancionatorio y lo que no puede faltar en toda nueva norma: las disposiciones finales y transitorias.

bookmark_borderRobocalls: el imparable problema del spam teléfonico

Posted on by Juan Luis Herrera
Reading Time: 3 minutes

Las llamadas automáticas pregrabadas –Robocalls-, han sido utilizadas por un buen tiempo como una forma eficiente de llegar a los clientes. Han sido utilizadas en áreas de Marketing y también para fines políticos, llegando en muchas ocasiones a ser un verdadero dolor de cabeza para los usuarios. En el año 2019, en el Mobile World Congress se dió a conocer que el crecimiento de este tipo de llamadas habia crecido un 325 a nivel mundial, con una cifra estimada de 85 mil millones de registros. Desde el año 2017 la Alliance for Telecommunications Industry Solutions -ATIS- y la Federal Communications Commission -FCC- permiten a los operadores tomar medidas para frenar este tipo de llamadas, lo que dio vida a un campo de desarrollo de soluciones diversas.

El crecimiento de incidentes es impactante, derivado de la pandemia COVID 19 inicialmente parecia ir en disminución, sin embargo la industria logro una adaptación interesante, la situación empeoró a nivel global y las autoridades ven con procupación los peligros que representa para los usuarios. Algunos datos estadísticos interesantes:

  • Mundialmente (2019): 26 billones de usuarios afectados entre enero y octubre
  • Mundialmente (2020): 31.3 billones de usuarios afectados entre enero y octubre
  • Europa (2020): varios países aparecieron por primera vez en el top 20 de este tipo spam
  • Brazil (2020): los usuarios recibieron 50 llamadas mensuales, el mayor número por país
  • Estados Unidos (2021): en febrero se registraron 4.6 billones de llamadas

En 2019, durante la administración de Donald Trump se promulgo el Telephone Robocall Abuse Criminal Enforcement and Deterrence Act -TRACED Act-, una ley que impone penas de decomiso por violar la prohibicion de cierto tipo de llamadas automatizadas, sean estos actos intencionales o no. Tambien requiere a los proveedores desarrollar tecnologías de identificación de llamadas, a fin de evitar el spoofing telefónico, confirmando la autenticidad de las lineas involucradas mediante el ID del emisor de la comunicación. La norma tambi{en requiere que la Federal Communications Commission -FCC- a crear reglas, politicas y procedimientos para proteger a los individuos de las llamadas fraudalentas, incluyendo también mensajes de texto desde numeros no autenticados. El TRACED Act constituye un avance a un tema resagado por muchas decadas, ya que es una enmienda al Communications Act de 1934.

En marzo de 2021, la FCC dió a conocer sobre la multa de 225 millones de dolares, impuesta a una compañia de telemarketing ubicada en Texas. Es la multa más larga en la historia de la FCC, impuesta por transmitir apróximadamente un billon de llamadas fraudalentes, para vender planes de seguros de salud, suplantando la identidad de compañias de seguros de renombre. El dueño de la compañía admitió haber realizado millones de llamadas diaras durante el primer semestre del 2019, a sabiendas que se realizaban a consumidores que expresamente indicaron no autorizar recibirlas. Las llamadas fraudulentas relacionadas con servicios de seguros de salud se han visto incrementadas desde el año 2018. Como parte de los esfuerzos para detener este tipo de llamadas, el 30 de junio venció el plazo para implementar el protocolo Stir –secure telephone identity revisited- /Shaken –signature-based handling of assesrted information using tokens-. Los mayores proveedores de servicios de vos en Estados Unidos, como AT&T, Verizon y T-Mobile deben implementar dicha tecnología en la que las llamadas pueden ser rastraedas para mitigar las que sean consideradas fraudulentas.

Las llamadas automáticas pregrabadas difilmente desapareceran, seguramente surgiran nuevas modalidades de este tipo de spam.

Bibliografía