Incidentes - Derecho Informático

Perú: crean página falsa de bono YANAPAY

Posted on 21/09/202103/10/2021 by Juan Luis Herrera

Reading Time: 3 minutes

La Autoriad Nacional de Protección de Datos (ANPD) de Perú, confirmó el 16 de septiembre de 2021 sobre la existencia de un sitio web falso sobre el bono YANAPAY.

A través de la Dirección de Fiscalización e Instrucción (DFI) de la ANPD, se informó a la población sobre la página fraudulenta con dirección https://bonoyanapay.com, que contiene una apariencia y estructura similar a los sitios oficiales del gobierno de Perú. El sitio utiliza un formulario donde los usuarios ingresan su Documento Nacional de Identidad (DNI) y luego solicita información de una tarjeta de crédito o débito, tales como numeración, fecha de vencimiento y código verificador.

Usuarios que se han percadato de la falsedad del sitio detallan algunas características que regularmente identifican este tipo de delitos informáticos:

Los sitios oficiales del gobierno terminan con .GOB.PE no con .COM
Los sitios oficiales del gobierno cuentan con una sección de Políticas de Privacidad
El test para confirmar si quien accede es un humano, siempre muestra el mismo código
Los programa de gobierno no necesitan datos de una tarjeta de crédito o débito
El sitio oficial del programa YANAPAY únicamente solicita DNI y fecha de emisión

Cuando un usuario incauto, proporciona la información sobre su tarjeta de crédito o débito, esta permitiendo a los estafadores poder realizar compras en línea. El Ministerio de Desarrollo e Inclusión Social (Midis) advirtió a la ciudadania en las redes sociales

!Atención, no pongas en riesgo tu información personal!
Si desea obtener información oficial sobre el #YanapayPerú, ingresa a la web yanapay.gob.pe o comunicate a la línea gratuita 101.

El término YANAPAY corresponde al verbo que en culturas Quechua, Aymara y Puquina hace referencia a solidaridad humana, amor humano o amor fraterno. El gobierno de Perú, creo, con el nombre YANAPAY, un programa de ayuda económica de 350 soles peruanos, equivalentes a unos US$ 700, destinado a más de 13.5 millones de peruanos. Las condiciones para recibir la ayuda gubernamental son:

Estar en situación de pobreza o pobreza extrema
Pertenecer a alguno de los programas de gobierno Juntos, Pensión 65 o Contigo
No estar registrado en planilla pública o privada, excepto pensionistas o prácticantes
Tener un ingreso menor a 3 mil soles (US$ 725) al mes por hogar

El programa inició el 13 de septiembre y en 3 días ya existía un sitio falso. La dirección del sitio fraudulento es http://bonoyanapay.com, que ya no se encuentra activo, pero se desconoce cuántos usuarios pudieron haber ingresado y proporcionado su información financiera.

Uno de los efectos de la pandemia COVID-19 ha sido la creción de programas gubernamentales, los que aprovechan las ventajas que ofrece la tecnología para que los beneficiario puedan acceder de una forma sencilla, sin embargo, esta conveniencia tecnológica también es aprovechada por los ciber delincuentes.

En una entrada al blog sobre el Phishing, comenté como los usuarios utilizan los buscadores para acceder a servicios en línea, lo que puede llevarlos a sitios fraudulentos. No sería extraño que los peruanos interesados en el bono, ingresaran en Google el nombre del bono, haciendo click en el primero resultado, con el riesgo que los trasladara a una página falsa como la encontrada por DNI. ¿Será que es la única?

Lo que sucedió con el bono YANAPAY es un problema serio, ya que es relativamente fácil crear sitios web o aplicaciones móviles fraudalentas, que son utilizadas por usuarios que confían en lo que encuentran en Internet. Otro aspecto preocupante es que, al ser descubierto un sitio web falso, no es dificil generar otro, esperando a que otra buena cantidad de internautas caigan en la trampa.

Actualmente existen programas gubernamentales similares a YANAPAY en prácticamente todo el mundo, con una alta probabilidad que también esten siendo utilzados para acceder a información sensible de los beneficiarios, sin que las autoridades lo sepan o puedan hacer algo al respecto. El término YANAPAY en general significa ayuda, pero sin considerar aspectos de Seguridad Informática, parece que también ayuda a los ciber criminales.

Bibliografía

Phishing: un peligro latente para los chapines

Posted on 14/09/202120/09/2021 by Juan Luis Herrera

Reading Time: 4 minutes

Si eres usuario de Banca Electrónica y tu banco tiene ya cierta madurez respecto de la Ciberseguridad, seguramente has recibido en los últimos meses o años, correos de tu proveedor financiero informando y adviertiendo sobre el Phishing.

Revisando en mi historial de correos, encontré uno de Banco Industrial de noviembre de 2016, en el que me recomiendan actualizar mi contraseña mediante algunos consejos para su protección. El correo también incluye los siguientes consejos para evitar ser victima de Phishing:

Asegurar que la dirección de la plataforma sea la correcta y que inicie con https.
No utilizar la plataforma desde cualquier lugar
No ingresar desde conexiones de WiFi pública

¿Qué es y cómo funciona el phishing?

El origen del término es la palabra inglesa fishing -pescar-, que literalmente hace alusión a que los atacantes lanzan un ansuelo a sus víctimas, esperando que alguna de ellas lo muerda. El ansuelo consiste en la utilización de mensajes electrónicos (correo, texto, WhatApp, FaceBook, etc), haciendose pasar por una persona o entidad con la que la víctima tiene alguna relación. La identidad falsa de una persona puede ser de un amigo o familiar, en tanto las entidades pueden ser proveedores comerciales, centros educativos o instituciones gubernamentales. Si el mensaje falso es lo suficientemente convincente, el usuario tendrá confianza en la comunicación, que usualmente tiene por objetivo que inocentemente provea información delicada o confidencial.

La técnica detrás del Phishing requiere conocer cierta información del objetivo, ya que la confianza del proceso se basa en mostrar al usuario información que le hagan creer que la fuente de la comunicación es legítima. El complemento del Phishing es lo que se conoce como Ingenieria Social, que proveé al atacante de información básica sobre el uso frecuente de algún servicio o relación con alguna entidad, para así, suplantar su identidad.

¿Un fenómeno nuevo?

En 2021 se cumplen 25 años de la identificación de este tipo de ataques. En 1996 la plataforma de AOL identificó que sus usuarios estaban recibiendo mensajes falsos, con la intención de que proporcionaran información que le permitiera adueñarse de la cuenta de la víctima, que posteriormente se utiliza para cometer crímenes.

El Anti-Phishing Working Group publicó un informe al primer trimestre de 2021 con datos muy interesantes, entre ellos se mencionan:

245,771 sitios web únicos de Phishing
La industria financiera es la más atacada (24.9%), seguido de las redes sociales (23.6) y luego proveedores de servicios (19.6%)
172,793 textos únicos en ataques mediante correo electrónico

Desde su aparición los atacantes han mejorado la técnica y actualmente se utilizan diversas variantes y/o técnicas de Phishing. Hoy existen millones de plataformas elecrónicas que proveen servicios remotos a los usuarios, todo se realiza desde la comodidad del hogar o la oficina y desde cualquier dispositivo conectado a Internet. El problema radica en que, como usuarios, pocas veces confirmamos que la dirección del servicio al que se accede o del mensaje que se recibe sea legítima, lo que es en sí un problema dificil de resolver dejandolo en manos de los usuarios.

Para iniciar, no siempre es algo facil de comprender. Por ejemplo, en el caso de un sitio web de algun servicio, la forma de acceder es mediante la URL –Uniform Resource Locator-, que es el medio para encontrar recursos en internet, como pueden ser las páginas web, algunos ejemplos son:

Wikipedia: https://www.wikipedia.org
Naciones Unidas: https://www.un.org

Muchos, quizás más del 90 por ciento de los usuarios no escriben la URL de los servicios que utilizan en la barra del navegador… un momento ¿Sábes que existe y qué es verdad? Lo que hacen es escribir en el buscador, seguramente de Google la expresión Wikipedia o Naciones Unidas, que mostrará como resultado los links a páginas relacionadas con el término. Esto lo realizan a diario millones de personas para acceder a sus cuentas de banco, centros de estudio, tiendas en línea o redes sociales.

El riesgo es que uno de los links que muestra Google, apunte a un sitio de apariencia similar, pero que sólo es una imitación maliciosa, cuyo objetivo es que el víctima introduzca su usuario y contraseña, para luego mostrale un mensaje distractor que informe que de momento la plataforma esta en mantenimiento y que lo intente más tarde… !! Para el usuario, ya es demasiado tarde !!

Más dificil, quizás imposible, es pretender que los usuarios puedan identificar que un mensaje de correo electrónico, con toda la apariencia de ser confiable, proviene de un remitente legítimo. Si lográ llegar a la bandeja de entrada de la víctima, posiblemente llamará su atención y si esta bien diseñado el ataque, seguramente realizará acciones que son útiles para el atacante.

¿Cómo esta Guatemala respecto del Phishing?

Guatemala se encuentra muy rezagada en materia de Ciberseguridad. Recientemente la Unión Internacional de Telecomunicaciones publicó el Índice Global de Ciberseguridad 2020. El país se ubica a nivel mundial en el puesto 150 de 182 países y con una calificación de 13.3 puntos de 100, respecto del continente americano ocupa el puesto 26 de 35. Los resultados no son alentadores, lo que implica que existe poca institucionalidad que respalde a los guatemaltecos en materia de Ciberseguridad, lo que deber ser una razón de alerta para todo usuario.

El tema del Phishing, como muchos otros del mundo tecnológico no es sencillo, a pesar que aparenta serlo. La comodidad y conveniencia que ofrecen las diveras plataformas digitales que se utilizan a diario, afectan en gran medida la seguridad, lo que dificilmente es captado y comprendido por los usuarios. Es importante aclarar que no es un tema exclusivo de la banca, pero es un sector de mucho interés para quienes realizan este tipo de ataques.

Extraoficialmente se rumora de muchos casos de Phishing en instituciones bancarias, que han afectado a los usuarios, que han sufrido estáfas y pérdidas financieras que dificilmente logran resolver. Entre los atacantes, que puedan estar en el país o en cualquier lugar del mundo y las instituciones bancarias, que dificilmente aceptan tener algun grado de responsabildid, los usuarios quedan desprotegidos, llegando en muchas ocasiones a tener que aceptar las pérdidas.

Algo positivo que esta ocurriendo es la publicación en medios y páginas de diversas instituciones privadas y públicas sobre el tema de Phishing y Cibersguridad en General. Todo usuario debe conocer los aspectos generales del tema y tomar sus precauciones, de lo contrario, corre el riesgo de aprenderlo de una forma muy dolorosa y posiblemente costosa.

Bibliografía

T-mobile: fuga de datos y robo de identidad

Posted on 07/09/202112/09/2021 by Juan Luis Herrera

Reading Time: 3 minutes

El 17 de agosto de 2021, el operador de red inalámbrica estadounidense T-Mobile confirmó un incidente de seguridad informática conocido como Violación de Datos, data breach en inglés. El ataque es el quinto que sufre este gigante de las telecomunicaciones en los últimos cuatro años, sin embargo, existen reportes de incidentes de seguridad informática desde el año 2009, siendo uno de los más recordados el nombrado Sidekick Data Loss.

En esta ocasión, el ataque que sufrió T-mobile sorprende por la cantidad de usuarios afectados por la filtración de datos privados. El ataque salió a la luz cuando se supo de la venta de la base de datos con información de 100 millones de usuarios de T-Mobile en la Dark Web, lo que levanto las alarmas en diversos sectores de ciberseguridad y la propia compañia. Un aspecto preocupante e interesante del incidente es que la información incluye registros desde el año 2004, que incluye números telefónicos, nombres, PIN de seguridad, fecha de nacimiento, seguro social y licencia de conducir.

El ataque ha sido reconocido por John Binns, un joven de 21 años, ciudadano norteaméricano de descendencia turca, quien actualmente reside en Turquia y que, según sus propias declaraciones, realizó el ataque en represalia por el secuestro y tortura que sufrió a manos de agencias de Estados Unidos. Indica que inició la infiltración a la infraestructura de T-Mobile en julio, logrando detectar un servidor vulnerable que le permitió con herramientas básicas y disponibles en la red, acceder y analizar el data center compuesto de más de 100 servidores de la compañia ubicado en Washington. El atacante también indicó que la seguridad en la infraestructura tecnológica de T-Mobile es muy mala, ya que no le fue muy dificil lograr infiltrarse en la red, además, la información se encontro en texto plano, incluyendo la de años anteriores, es decir, registros que ya no estan en uso. La compañia publicó un comunicado aceptando su responsabilidad y ofreciendo mejorar sus políticas de ciberseguridad.

¿Por qué tanto escándalo?

Muchas veces las personas no comprenden el impacto y el peligro de este tipo de incidentes. El experto en ciberseguridad Steve Gibson, denominó a la información contenida en la base de datos como Las llaves del reino de la identidad. Con dichos datos es posible realizar estafas o fraudes mediante el robo de identidad, que permite al delincuente solicitar créditos o servicios en nombre de terceros, que afectan la reputación de las víctimas y pueden llegar a generar daños importantes en sus finanzas.

A partir de la nueva normalidad que vive el mundo, los casos de robo de identidad se han incrementado exponencialmente. La Comisión Federal del Comercio (FTC) publicó en febrero de 2021, un artículo en el que se informa que durante el año 2020, la Comisión recibió apróximadamente 1.4 millones de reportes sobre robo de identidad, el doble de lo que recibió en 2019. Las solicitudes fraudulentas de ayuda gubernamental por desempleo subieron de 12,900 en 2019 a 394,280 en 2020, si !! 2956.43 % de incremento !!

El robo de identidad no es exclusivo de Estados Unidos. Es un mal que silenciosamente se expande por todo el mundo y que no es del todo conocido o comprendido por las personas. Es común escuchar decir a los usuarios que su información no es importante, que no exista razón para precuparse por que sus datos sean conocidos por terceros, sin embargo, incidentes como el de T-Mobile ponen en rojo las alarmas y es necesario tomar precauciones.

Bibliografía

Kaseya RansomWare: proveeduria al servicio del cibercrimen

Posted on 17/08/202123/08/2021 by Juan Luis Herrera

Reading Time: 4 minutes

Durante el fin de semana de celebración de la independencia de los Estados Unidos, Kaseya, una empresa proveedora de servicios de administrción de infraestuctura de tecnológica y ciberseguridad fue víctima de un ciberataque. El incidente ha sido clasificado como un Ataque a Cadena de Suministro, que afectó entre 800 y 1500 empresas clientes de Kaseya, usuarios del software VSA (Virtual System/Server Administrator), que fué infectado a través de una actualización fraudulenta, que contenia código RansomWare del grupo REvil.

El RansomWare de REvil ha estado involucrado en otros incidentes importantes, entre ellos esta el ataque SolarWinds de finales del año 2020 y más recientemente, el ataque a la empresa procesadora de comida JSB en mayo de 2021. Según varios expertos en ciberseguridad, el grupo ha desaparecido de la red, ya que diversos sitios aparecen fuera de línea, lo que se intrepreta como una reestructuración de sus operaciones. Los últimos ataques de REvil han llamado mucho la atención de las autoridades, sobre todo en Estados Unidos, por lo que existen muchas teorías sobre lo que realmente esta sucediendo.

Los Ataques a Cadena de Suministro suelen ser de gran alcance. La tercerización de servicios IT es una buena alternativa para las empresas, ya que les permite enfocarse en su giro de negocio y dejar en manos de expertos la gestión de todo lo relacionado con su infraestructura tecnológica, una pŕactica que en los últimos años ha incorporado la ciberseguridad. En estos ataques, los cibercriminales se enfocan en los proveedores de las potenciales víctimas, quienes al contar con acceso a alguna parte de sus sistemas, se convierten en el medio idoneo para la infiltración, monitoreo y posterior ejecución del ataque, que puede llegar a ser, como en el caso de Kaseya, a gran escala.

El estudio del caso Kaseya reveló un dato curioso y muy importante para el ataque. El software que utilizan los clientes para que se pueda hacer el monitorio y gestión de infraestructura, requiere que los sistemas de antivirus y antimalware le otorguen el mayor nivel de confianza, con acceso privilegiado al sistema operativo, situación que resultó muy útil para los atacantes, ya que la actualización de software maliciosa que se distribuyó en todos los clientes, se ejecutó sin ningún tipo de revisión o verificación. En pocas palabras, en este tipo de ataques la confianza en el proveedor, es el arma de los atacantes.

Cuando se confirmó el ataque, el CEO de la empresa, Fred Voccola indicó que la estrategía para abordar la situación se basó en dos aspectos: indicar a los clientes que de forma inmediata apagaran los servicores VSA y Kaseya deshabilito las infraestructura VSA SaaS. Luego de contener el ataque, el siguiente paso fue publicar actualizaciones de seguridad para eliminar la vulnerabilidad. Diversos expertos en ciberseguridad han manifestado que la metodología utilizada por los atacantes es muy eficiente e ingeniosa.

La utilización de los proveedores como vectores de ataque no es algo nuevo o exclusivo del mundo informático, pero actualmente representan un gran reto para la industria de ciberseguridad. La cadena comprende un número importante de procesos y socios comerciales, que pueden ser proveedores de materias primas, distribuidores y hasta los propios consumidores. Las organizaciones suelen otorgar a sus proveedores confianza, que se materializa en acceso a lugares o información reservada, pero necesaria para la relación comercial. La situación se complica más cuando en la relación cliente-proveedor intervienen componentes, procesos o sistemas que dificilmente pueden ser supervisados a detalle por alguien de la organización, lo que desvirtua el concepto de confianza, situación que es aprovechada por quienes identificación esta vulnerabilidad. Los proveedores se convierten en un potenciador de los grupos criminales, lo que les permite llegar a una gran cantidad de objetivos.

En el mundo tecnológico millones de productos y servicios digitales son resultado de un complicado sistema comercial entre muchos participantes, que proveen componentes de hardware y software, que van ensamblandose y dando forma a un resultado final, que puede haber sido comprometido en alguna de sus fases de creación o, como hoy es común, en los procesos de actualización remota y automatizada. Pretender evitar estos incidentes es casi imposible. La empresa de seguridad ESET, propone una lista de recomendaciones útiles para esta situación

Conozca su software: mantenga un inventario de todas las herramientas patentadas y de código abierto que utiliza su organización
Esté atento a las vulnerabilidades conocidas y aplique los parches; de hecho, los ataques que involucran actualizaciones contaminadas no deben disuadir a nadie de actualizar su software
Manténgase alerta a las brechas que afecten a los proveedores de software de terceros
Elimine los sistemas, servicios y protocolos redundantes u obsoletos
Evalúe el riesgo de sus proveedores desarrollando una comprensión de sus propios procesos de seguridad
Establezca requisitos de seguridad para sus proveedores de software
Solicite auditorías de código periódicas y pregunte por las revisiones de seguridad y los procedimientos de control de cambios para los componentes del código
Infórmese sobre las pruebas de penetración para identificar peligros potenciales
Solicite controles de acceso y doble factor de autenticación (2FA) para proteger los procesos de desarrollo de software
Ejecute software de seguridad con múltiples capas de protección

El incidente de Kaseya demuestra como los Ataques a Cadena de Suministro cuentan con una amplia superficie de actuación, que regularmente se materializa en el eslabón más debil y que dificilmente es conocido por las organizaciones hasta que lamentablemente … !! Es demasiado tarde !!

Bibliografía

Derecho Informático

Justicia europea confirma multa a Google

11/11/2021Reading Time: 2 minutes La Corte General Europea confirmó este 10 de noviembre, la multa impuesta hace más de 4 años a Google por €2,424,495.000 euros. La multa también involucra a Alphabet, la compañia matriz de Google. El 27 de junio de 2017 la Comisión Europea encontró a Google culpable de abusar de su posición dominante en el mercado de buscadores en 13 países del área económica europea. El caso se baso en acusar a Google de ajustar los algoritmos de su motor de busqueda, para presentar los resultados de una forma que visualmente favoresca a sus propios servicios de compras. Al momento del caso, la comisionada Margrethe Vestager expreso Google ha creado muchos productos y servicios innovadores que han cambiado nuestras vidas. Esto es algo bueno. Pero la estrategia de Google para su servicio de comparación de precios –Comparison Shopping Service (CSS)- no se trata únicamente de atraer a los clientes haciendo sus productos mejores que los de sus rivales. En lugar de eso, Google abusa su dominio de mercado como motor de busqueda, promoviendo su propio servicio de comparación de precio en los resultados de busquedas, degradando la de los otros competidores. Google ingreso al mercado europeo de comparación de precios en 2004. Inicialmente su plataforma se llamaba Froogle, en 2008 se llamo Google Product Search y a partir de 2013 se conoce como Google Shopping. Desde 2008 Google cambio su estrategia para empujar su servicio de comparación de precios, basada en el dominio de su motor de busqueda en Internet, lo que segun la Comisión Europea le permitió sistematicamente en cada resultado de busqueda: Otorgar un lugar privilegiado a su servicio de comparación de precios. Degradar a los rivales de servicios similares El posicionamiento en los resultados tras una busqueda en Google son vitales para un servicio en línea. Se estima que el 95% de los clicks ocure en los 10 primeros resultados de la primera página, los de la segunda página solo representan el 1%. Vestager concluyó Lo que Google ha hecho es ilegal ante las leyes antimonopolio de la Unión Europea. Le niega a otras empresas la oportunidad de competir en base a meritos e innovación. Y los más importante, niega a los consumidores europeos una oportunidad genuina de servicios y todos los beneficios de la innovación. La astronomica multa se basó en el reglamento de multas del año 2006, calculando el monto en base a los ingresos de su servicio de comparación de precios en los 13 paises del Área Económica Europea. Google y Alphabet apelaron la decisión de la Comisión Europea, pero la misma fue declarada casi en su totalidad sin lugar. La decisión se basó en 4 puntos: La naturaleza anticompetitiva de la práctica de Google. Los efectos dañinos para la competencia. Se rechaza la justificación objetiva de la conducta de Google. Se confirma la multa. En un mensaje de Twitter, la Comisión Europea celebró la decisión asegurando que La sentencia de hoy transmite el claro mensaje de que la conducta de Google fue ilegal y provee la claridad legal necesaria para el mercado. La sentencia aclara que la conducta monopolica se limita al mercado de servicio comparación de precios, dejando fuera el mercado de motores de busqueda en general. Aún queda la posibilidad de apelar ante la Corte de Justicia Europea. Bibliografía European commision fines Google €2.42 billionGeneral Court dismisses Google’s actionGoogle loses appeal against €2.4 billion EU fine over its shopping service [...]

The Facebook Papers: un salón de rumores mal comprendido

28/10/2021Reading Time: 4 minutes Imaginemos una reunión social (boda, graduación, aniversario, etc.) de entre 500 y 2000 personas. Inicialmente se observan mesas de entre 8 y 12 personas bien ubicadas y diferenciadas, quiza en grupos de amistad, parentesco o por algún criterio extraño para que sea un salón ordenado, con espacios claros: el bar, la pista de baile, área de fumadores y las mesas. Con el pasar de las horas, la dinámica cambia, los asistentes se movilizan y la estructura inicial queda en el olvido. Los asistentes encuentran conocidos que no sabian que estarían presentes, brindan y bailan con desconocidos y crean nuevos lazos de amistad. No resulta extraño que surjan relaciones de nogocios o amorosas, en fin toda una interacción social con resultados inesperados. No pueden faltar por supuesto las miradas de envidia, los comentarios ofensivos y hasta uno que otro enfrentamiento verbal o físico cuando las cosas suben de tono. En cuestion de horas, aquel salón bien estructurado y ordenado se convierte en un salón de rumores mal comprendido. ¿Se parece la visión sugerida a la plataforma Facebook?… es una analogía que surgió en mi mente tras leer e investigar sobre los Papeles de Facebook, un escándalo que surgió a inicios de octubre de 2021, cuya protagonista principal es la ingeniera y científica de datos Frances Haugen, que en septiembre compartió documentos internos de Facebook con autoridades estadounidenses. Ella afirma que investigaciones internas de de la compañia revalaron que la red social amplifica el odio, la desinformación y la inestabilidad política, sin embargo, Facebook esconde toda esta preocupante situación. En una entrevista con el programa 60 minutos dio a conocer lo siguiente Lo que observé una y otra vez en Facebook fue un conflicto de interéses entre lo que es bueno para el público y lo que es bueno para Facebook… pero la compañía eligió siempre por optimizar lo que es bueno soló para sus interéses y cómo ganar más dinero Haugen ha trabajado por al menos 15 años en compañias muy importantes, entre ellas Google, Pinterest y finalmente en Facebook, la que decidió dejar en mayo, pero no sin antes de hacerse, de forma cuestionable, con copias de miles de documentos internos que son la base de su denuncia, la que inicialmente fue anónima, pero que decidió dar la cara y mostrar al mundo lo que sucede dentro del gigante de las redes sociales. Un punto clave para comprender lo que Haugen denuncia es el cambio introducido en 2018 por Facebook en el funcionamiento de sus algoritmos. Con la actualización implementada el programa decide que publicaciones se muestran al usuario, utilizando el historial de aquellas publicaciones identificadas como de mayor interés para el propio usuario, con el objetivo de generar mayor interés y mayor tiempo de conexión con la aplicación. Según Haugen Facebook reconoció lo peligroso del algoritmo para las elecciones de 2020 en Estados Unidos, por lo que desabilitó este comportamiento, pero al terminar el proceso de elección presidencial, nuevamente fué habilitado… lo que es una grave traición para la democracia En un comunicado oficial, Facebook indicó Si alguna investigación hubiese encontrado una solución a un reto tan complejo, la industria tecnológica, los gobiernos y la sociedad ya hubieran solucionado el problema hace mucho tiempo. Todo empresario de espacios de convivencia social sabe que su negocio es un lugar de reuniones de donde surgen relaciones de todo tipo. Sucede en los salones de eventos como el descrito inicialmente, pero también pasa en restaurantes, cafeterías, bares, salones de belleza y muchos más. La genialidad de las plataformas de convivencia virtual es haber logrado generar ingresos extras, aprovechando esa aglomeración de millones de personas las 24 horas del día, con diversidad de intereses, formas de pensar y concebir el mundo. Si regresamos a la analogía del salón de eventos, no resulta sorpresivo que en los grupos que se forman entre los asistentes, opera una dinámica similar al algoritmo explicado por Haugen. Cada grupo habla de un tema de interés común, que se retroalimenta con comentarios y opiniones sobre el mismo tema, que hace que todos sigan con el interés de hablar de lo mismo, como si aquel tema fuera lo más importante para la socidad, algo de lo que depende el mañana de la humanidad. Sin embargo, lo que se comenta en la mayoría de los grupos, no es más que un momento de charlas irrelavantes para el resto de los otros grupos del salón. Para muchos la situación que afronta Facebook es la peor crisis en sus 17 años de historia, algo que seguramente marcará un antes y un después. En Estados Unidos se desarrolla un momento clave para la relación entre la Tecnología y el Derecho. De la pugna entre los denunciantes y el sector político contra el gigante de las redes sociales surgirán criterios, directrices y normativa que de no realizarse de forma responsable, afectará una dinámica impresionante y de gran utilidad para millones de personas alrededor del mundo. Se reclama que Facebook no hace mucho por las actitudes de los usuarios, algo que me hace plantear las siguientes inquietudes: ¿Es Facebook o cualquier otra compañía responsable de lo que transita en sus plataformas? ¿Es factible y razonable hacerle responsable? Si algún lector considera responder las preguntas planteadas, debe recordar siempre la analogía del salón de eventos. Considero que las preocupaciones sobre los efectos de la interacción en redes sociales es algo útil y necesario, pero es solo un pequeño aspecto de un problema más grande, algo que lamentable y peligrosamente es mal comprendido por quienes hoy ponen el grito en el cielo. Irónicamente se acude al gobierno a solicitar apoyo contra un peligro o daño social, cuando la manipulación social ha sido, es y será algo de mucho interés para los políticos y gobernantes. A título personal me sorprende lo que sucede en Estados Unidos, me parecería más lógico en Europa, donde existe una infraestructura normativa más formal y agresiva de control tecnológico, reforzada por una tradición jurídica paternalista de larga trayectoria. Las reflecciones sobre los efectos –positivos y negativos– de la tecnología en la sociedad no son nuevas, pero hoy van tomando importancia en diversos grupos de la sociedad, algo que en principio es positivo, sin embargo, existe el grave riesgo de abordar la situación con poca o ninguna comprensión sobre lo que es tecnología y como ha sido pieza clave para el progreso humano. En los próximos meses la humanidad atestiguará como lo jurídico aborda lo tecnológico. Seremos testigos del juicio del salón de los rumores. Ojalá se haga de la mejor manera posible, de tal forma que se logre un equilibrio entre los intereses de los creadores de tecnología y los derechos de los usuarios y la ciudadania en general. Bibliografía The Facebook FilesFacebook Whistleblower Frances Haugen: The 60 Minutes InterviewThe Facebook Papers may be the biggest crisis in the company’s history [...]

Perú: crean página falsa de bono YANAPAY

21/09/2021Reading Time: 3 minutes La Autoriad Nacional de Protección de Datos (ANPD) de Perú, confirmó el 16 de septiembre de 2021 sobre la existencia de un sitio web falso sobre el bono YANAPAY. A través de la Dirección de Fiscalización e Instrucción (DFI) de la ANPD, se informó a la población sobre la página fraudulenta con dirección https://bonoyanapay.com, que contiene una apariencia y estructura similar a los sitios oficiales del gobierno de Perú. El sitio utiliza un formulario donde los usuarios ingresan su Documento Nacional de Identidad (DNI) y luego solicita información de una tarjeta de crédito o débito, tales como numeración, fecha de vencimiento y código verificador. Usuarios que se han percadato de la falsedad del sitio detallan algunas características que regularmente identifican este tipo de delitos informáticos: Los sitios oficiales del gobierno terminan con .GOB.PE no con .COMLos sitios oficiales del gobierno cuentan con una sección de Políticas de PrivacidadEl test para confirmar si quien accede es un humano, siempre muestra el mismo códigoLos programa de gobierno no necesitan datos de una tarjeta de crédito o débitoEl sitio oficial del programa YANAPAY únicamente solicita DNI y fecha de emisión Cuando un usuario incauto, proporciona la información sobre su tarjeta de crédito o débito, esta permitiendo a los estafadores poder realizar compras en línea. El Ministerio de Desarrollo e Inclusión Social (Midis) advirtió a la ciudadania en las redes sociales !Atención, no pongas en riesgo tu información personal! Si desea obtener información oficial sobre el #YanapayPerú, ingresa a la web yanapay.gob.pe o comunicate a la línea gratuita 101. El término YANAPAY corresponde al verbo que en culturas Quechua, Aymara y Puquina hace referencia a solidaridad humana, amor humano o amor fraterno. El gobierno de Perú, creo, con el nombre YANAPAY, un programa de ayuda económica de 350 soles peruanos, equivalentes a unos US$ 700, destinado a más de 13.5 millones de peruanos. Las condiciones para recibir la ayuda gubernamental son: Estar en situación de pobreza o pobreza extremaPertenecer a alguno de los programas de gobierno Juntos, Pensión 65 o ContigoNo estar registrado en planilla pública o privada, excepto pensionistas o prácticantesTener un ingreso menor a 3 mil soles (US$ 725) al mes por hogar El programa inició el 13 de septiembre y en 3 días ya existía un sitio falso. La dirección del sitio fraudulento es http://bonoyanapay.com, que ya no se encuentra activo, pero se desconoce cuántos usuarios pudieron haber ingresado y proporcionado su información financiera. Uno de los efectos de la pandemia COVID-19 ha sido la creción de programas gubernamentales, los que aprovechan las ventajas que ofrece la tecnología para que los beneficiario puedan acceder de una forma sencilla, sin embargo, esta conveniencia tecnológica también es aprovechada por los ciber delincuentes. En una entrada al blog sobre el Phishing, comenté como los usuarios utilizan los buscadores para acceder a servicios en línea, lo que puede llevarlos a sitios fraudulentos. No sería extraño que los peruanos interesados en el bono, ingresaran en Google el nombre del bono, haciendo click en el primero resultado, con el riesgo que los trasladara a una página falsa como la encontrada por DNI. ¿Será que es la única? Lo que sucedió con el bono YANAPAY es un problema serio, ya que es relativamente fácil crear sitios web o aplicaciones móviles fraudalentas, que son utilizadas por usuarios que confían en lo que encuentran en Internet. Otro aspecto preocupante es que, al ser descubierto un sitio web falso, no es dificil generar otro, esperando a que otra buena cantidad de internautas caigan en la trampa. Actualmente existen programas gubernamentales similares a YANAPAY en prácticamente todo el mundo, con una alta probabilidad que también esten siendo utilzados para acceder a información sensible de los beneficiarios, sin que las autoridades lo sepan o puedan hacer algo al respecto. El término YANAPAY en general significa ayuda, pero sin considerar aspectos de Seguridad Informática, parece que también ayuda a los ciber criminales. Bibliografía YANAPAY ¿Qué es y a quiénes beneficia?ANPD advierte sobre página falsa [...]

Phishing: un peligro latente para los chapines

14/09/2021Reading Time: 4 minutes Si eres usuario de Banca Electrónica y tu banco tiene ya cierta madurez respecto de la Ciberseguridad, seguramente has recibido en los últimos meses o años, correos de tu proveedor financiero informando y adviertiendo sobre el Phishing. Revisando en mi historial de correos, encontré uno de Banco Industrial de noviembre de 2016, en el que me recomiendan actualizar mi contraseña mediante algunos consejos para su protección. El correo también incluye los siguientes consejos para evitar ser victima de Phishing: Asegurar que la dirección de la plataforma sea la correcta y que inicie con https. No utilizar la plataforma desde cualquier lugarNo ingresar desde conexiones de WiFi pública ¿Qué es y cómo funciona el phishing? El origen del término es la palabra inglesa fishing -pescar-, que literalmente hace alusión a que los atacantes lanzan un ansuelo a sus víctimas, esperando que alguna de ellas lo muerda. El ansuelo consiste en la utilización de mensajes electrónicos (correo, texto, WhatApp, FaceBook, etc), haciendose pasar por una persona o entidad con la que la víctima tiene alguna relación. La identidad falsa de una persona puede ser de un amigo o familiar, en tanto las entidades pueden ser proveedores comerciales, centros educativos o instituciones gubernamentales. Si el mensaje falso es lo suficientemente convincente, el usuario tendrá confianza en la comunicación, que usualmente tiene por objetivo que inocentemente provea información delicada o confidencial. La técnica detrás del Phishing requiere conocer cierta información del objetivo, ya que la confianza del proceso se basa en mostrar al usuario información que le hagan creer que la fuente de la comunicación es legítima. El complemento del Phishing es lo que se conoce como Ingenieria Social, que proveé al atacante de información básica sobre el uso frecuente de algún servicio o relación con alguna entidad, para así, suplantar su identidad. ¿Un fenómeno nuevo? En 2021 se cumplen 25 años de la identificación de este tipo de ataques. En 1996 la plataforma de AOL identificó que sus usuarios estaban recibiendo mensajes falsos, con la intención de que proporcionaran información que le permitiera adueñarse de la cuenta de la víctima, que posteriormente se utiliza para cometer crímenes. El Anti-Phishing Working Group publicó un informe al primer trimestre de 2021 con datos muy interesantes, entre ellos se mencionan: 245,771 sitios web únicos de PhishingLa industria financiera es la más atacada (24.9%), seguido de las redes sociales (23.6) y luego proveedores de servicios (19.6%)172,793 textos únicos en ataques mediante correo electrónico Desde su aparición los atacantes han mejorado la técnica y actualmente se utilizan diversas variantes y/o técnicas de Phishing. Hoy existen millones de plataformas elecrónicas que proveen servicios remotos a los usuarios, todo se realiza desde la comodidad del hogar o la oficina y desde cualquier dispositivo conectado a Internet. El problema radica en que, como usuarios, pocas veces confirmamos que la dirección del servicio al que se accede o del mensaje que se recibe sea legítima, lo que es en sí un problema dificil de resolver dejandolo en manos de los usuarios. Para iniciar, no siempre es algo facil de comprender. Por ejemplo, en el caso de un sitio web de algun servicio, la forma de acceder es mediante la URL –Uniform Resource Locator-, que es el medio para encontrar recursos en internet, como pueden ser las páginas web, algunos ejemplos son: Wikipedia: https://www.wikipedia.orgNaciones Unidas: https://www.un.org Muchos, quizás más del 90 por ciento de los usuarios no escriben la URL de los servicios que utilizan en la barra del navegador… un momento ¿Sábes que existe y qué es verdad? Lo que hacen es escribir en el buscador, seguramente de Google la expresión Wikipedia o Naciones Unidas, que mostrará como resultado los links a páginas relacionadas con el término. Esto lo realizan a diario millones de personas para acceder a sus cuentas de banco, centros de estudio, tiendas en línea o redes sociales. El riesgo es que uno de los links que muestra Google, apunte a un sitio de apariencia similar, pero que sólo es una imitación maliciosa, cuyo objetivo es que el víctima introduzca su usuario y contraseña, para luego mostrale un mensaje distractor que informe que de momento la plataforma esta en mantenimiento y que lo intente más tarde… !! Para el usuario, ya es demasiado tarde !! Más dificil, quizás imposible, es pretender que los usuarios puedan identificar que un mensaje de correo electrónico, con toda la apariencia de ser confiable, proviene de un remitente legítimo. Si lográ llegar a la bandeja de entrada de la víctima, posiblemente llamará su atención y si esta bien diseñado el ataque, seguramente realizará acciones que son útiles para el atacante. ¿Cómo esta Guatemala respecto del Phishing? Guatemala se encuentra muy rezagada en materia de Ciberseguridad. Recientemente la Unión Internacional de Telecomunicaciones publicó el Índice Global de Ciberseguridad 2020. El país se ubica a nivel mundial en el puesto 150 de 182 países y con una calificación de 13.3 puntos de 100, respecto del continente americano ocupa el puesto 26 de 35. Los resultados no son alentadores, lo que implica que existe poca institucionalidad que respalde a los guatemaltecos en materia de Ciberseguridad, lo que deber ser una razón de alerta para todo usuario. El tema del Phishing, como muchos otros del mundo tecnológico no es sencillo, a pesar que aparenta serlo. La comodidad y conveniencia que ofrecen las diveras plataformas digitales que se utilizan a diario, afectan en gran medida la seguridad, lo que dificilmente es captado y comprendido por los usuarios. Es importante aclarar que no es un tema exclusivo de la banca, pero es un sector de mucho interés para quienes realizan este tipo de ataques. Extraoficialmente se rumora de muchos casos de Phishing en instituciones bancarias, que han afectado a los usuarios, que han sufrido estáfas y pérdidas financieras que dificilmente logran resolver. Entre los atacantes, que puedan estar en el país o en cualquier lugar del mundo y las instituciones bancarias, que dificilmente aceptan tener algun grado de responsabildid, los usuarios quedan desprotegidos, llegando en muchas ocasiones a tener que aceptar las pérdidas. Algo positivo que esta ocurriendo es la publicación en medios y páginas de diversas instituciones privadas y públicas sobre el tema de Phishing y Cibersguridad en General. Todo usuario debe conocer los aspectos generales del tema y tomar sus precauciones, de lo contrario, corre el riesgo de aprenderlo de una forma muy dolorosa y posiblemente costosa. Bibliografía APWG 1st Querter 2021En 2021 se registró pico histórico en la cantidad de sitios de phishingAlerta contra el Phishing (Banco Industrial) Qué es el Phishing y cómo evitarlo (Banco G&T Continental)Evite ser pescado por el Phishing (Prensa Libre)Global Cybersecurity Index 2020 [...]

Chivo Wallet: expectativas y temores de la implementación del Bitcoin en El Salvador

09/09/2021Reading Time: 4 minutes El 8 de junio de 2021, la Comisión Financiera de la Asamblea Legislativa de El Salvador emitió el tercer dictamen favorable al expediente 73-6-2021-1, que contiene la iniciativa presentada por el el presidente Nayib Bukele. El dictamen referido contiene antecedentes, ventajas del uso de la criptomoneda Bitcoin y dictamen del decreto presentado. Dentro de las ventajas del uso del Bitcoin, el documento establece: Es una moneda globalEs una moneda divisibleTransacciones en tiempo real Se señala que debido a que la moneda no esta regulada por ningun ente público o privado, es una oportunidad para que el país sea un referente en su utilización. Indica además que en el caso de El Salvador, no es una práctica nueva, ya que en el lugar conocido como Playa El Zonte, el uso del Bitcoin ha representado un mecanismo idoneo y efectivo para llevar a cabo prácticas comerciales, lo que puede mejorar la inclusión financiera de muchos ciudadanos . El documento concluye con la emisión del DICTAMEN FAVORABLE -en mayúsculas y negrilla-, lo que daria vida al Decreto No. 57, conocido como Ley Bitcoin. La Ley Bitcoin esta compuesta de únicamente 2 capítulos y 16 artículos, que da a la criptomoneda la categoría de moneda de curso legal, con poder liberatorio, ilimitado en cualquier transacción y cualquier título que las personas naturales o jurídicas, públicas o privadas requiera realizar. Otras disposiciones básicas de la ley establecen: El tipo de cambio entre Bitcoin y el Dolar sera establecido libremente por el mercadoTodo precio y contribuciones tributarias (impuestos), podrán ser expresados en BitcoinLas transacciones en Bitcoin no estan sujetas a impuestos de ganancia de capitalTodo agente deberá aceptar Bitcoin cuando así lo desee el consumidor, sin embargo, si es notorio que un proveedor de bienes o servicios no tiene acceso a la tecnología no será obligatorio.Se crea un fideicomiso en el banco BANDESALLa ley entra en vigencia el 7 de septiembre de 2021 El Reglamento El 27 de agosto de 2021, se publicó el reglamento de la Ley Bitcoin emitido por el Ministerio de Economía, que entro en vigencia un días despues de la entrada en vigencia de la ley. El reglamento de tan solo 8 artículos, se emite para desarrollar, facilitar y asegurar la Ley Bitcoin. Algunos aspectos importantes del reglamento son: Registro de Proveedores de Servicios de Bitcoin. Establece además normas de conducta para dichos proveedores.Billeteras digitales para bitcoin ofrecidas por el Estado. La billetera digital Chivo Wallet La billetera digital para manejo del Bitcoin se denomina Chivo Wallet, una aplicación desarrollada por el Gobierno de El Salvador, que fue puesta para uso de los salvadoreños el 7 de septiembre de 2021 y con una carga inicial de 30 dolares equivalentes en Bitcoin. El término “Chivo” en el El Salvador es utilizado como sinónimo de “Bonito”, por lo que la idea que se vendió con la aplicación es una “Billetera bonita”. La página del gobierno sobre la billetera digital aclara que el uso del bitcoin es opcional y nadie esta obligado a usarlo, que el dolar es la moneda de referencia del país para los precios, los salarios y los registros contables del país. Sin embargo, existe mucha información confusa en las redes y blogs de tecnología, lo que se agrava con lo establecido por el artículo 7 de la ley. Antes de su entrada en vigencia las opiniones a favor y encontra del proyecto de la presidencia no se hicieron esperar. Luego de la entrada en vigencia de la ley y la habilitación de la aplicación, con más de medio millon de descargas, las fallas por una implementación apresurada y con poco análisis técnico salieron a la luz. El propio presidente reconoció las fallas, aceptando que nos pusimos un reto demasiado alto y cometimos errores. Por una parte esta bien aceptar la falla, pero no es aceptable por tratarse de recursos públicos ¿Habrá alguna consecuencia? Existen además otros señalamientos y preocupaciones sobre la el uso de Bitcoin y la aplicación: Vulneración de privacidad y datos personalesAcceso a componentes del movil que no tienen relación con el uso de la aplicación (cámara, micrófono, etc.)No hay garantía en materia de seguridad digitalAl ser centralizada, presenta muchos problemas de compatibilidad con diversas plataformas de teléfonos celularesNo hay posibilidad de comunicación con otras billeteras digitales. Importante: ¿Qué significa esto? ¿Es una plataforma exclusiva para el proyecto del gobierno?No es clara la responsabilidad por fallas de la aplicación. Ver artículo 5 de los Términos y Condiciones del desarrollador (consultado el 08/09/2021).Una encuesta realizada por UCA obtuvo los siguientes resultados de opinión de los salvadoreñosEl 95.9% considera que el uso de Bitcoin debe ser voluntario7 de cada 10 consideran que la Ley Bitcoin debe ser derogada7 de cada 10 tienen una noción imprecisa sobre lo que es Bitcoin8 de cada 10 están poco o nada interesados en descargar la Chivo Wallet4 de cada 10 salvadoreños abondonarían el país si el uso del Bitcoin afecta su economía familiar Las criptomonedas han fomentado un sinfín de negocios desde su popularización en 2009, creando un mercado de miles de millones de dolares a nivel mundial, sin embargo también han dado lugar a muchas estafas y problemas de credibilidad. Hay que tener claro que las criptomonedas no son en principio un medio de intercambio ordinario e idoneo, sobre todo por la volatilidad que experimentan y las complicaciones tecnológicas que su uso implica . Las dudas y riesgos de las criptomonedas, no implican que no puedan implementarse proyectos sobre su utilización, pero en mi opinión, debe ser de una forma menos agresiva y en entornos del tipo Sandbox, para evitar daños innecesarios a las personas y sus finanzas. Contrario a lo que sucede en el Salvador, la mayoría de paises que analizan el uso de criptomonedas, lo han considerado con muchas reservas y precauciones. El proyecto del presidente salvadoreño es interesante, si tiene éxito será algo sin precedentes, sobre todo al tratarse de un país pequeño y con poco impacto en el sector financierio mundial. De fallar, que hay muchas apuestas por ese resultado, las consecuencias serán desastrozas. Por un lado los perdedores serán los usuarios y las finanzas gubernamentales, por el otro, los ganadores serán expertos en el mundo de la especulación financiera y el cibercrimen, quienes seguramente ven el ambiente como un botín a manos llenas. Bibliografía Ley BitcoinReglamento de Ley BitcoinReDCo: Chivo wallet vulnera privacidad, datos personales y seguridad digitalChivo Wallet, Gobierno de El SalvadorChivo Wallet, página oficial del desarrolladorFear and excitement in El Salvador as Bitcoin becomes legal tender [...]

T-mobile: fuga de datos y robo de identidad

07/09/2021Reading Time: 3 minutes El 17 de agosto de 2021, el operador de red inalámbrica estadounidense T-Mobile confirmó un incidente de seguridad informática conocido como Violación de Datos, data breach en inglés. El ataque es el quinto que sufre este gigante de las telecomunicaciones en los últimos cuatro años, sin embargo, existen reportes de incidentes de seguridad informática desde el año 2009, siendo uno de los más recordados el nombrado Sidekick Data Loss. En esta ocasión, el ataque que sufrió T-mobile sorprende por la cantidad de usuarios afectados por la filtración de datos privados. El ataque salió a la luz cuando se supo de la venta de la base de datos con información de 100 millones de usuarios de T-Mobile en la Dark Web, lo que levanto las alarmas en diversos sectores de ciberseguridad y la propia compañia. Un aspecto preocupante e interesante del incidente es que la información incluye registros desde el año 2004, que incluye números telefónicos, nombres, PIN de seguridad, fecha de nacimiento, seguro social y licencia de conducir. El ataque ha sido reconocido por John Binns, un joven de 21 años, ciudadano norteaméricano de descendencia turca, quien actualmente reside en Turquia y que, según sus propias declaraciones, realizó el ataque en represalia por el secuestro y tortura que sufrió a manos de agencias de Estados Unidos. Indica que inició la infiltración a la infraestructura de T-Mobile en julio, logrando detectar un servidor vulnerable que le permitió con herramientas básicas y disponibles en la red, acceder y analizar el data center compuesto de más de 100 servidores de la compañia ubicado en Washington. El atacante también indicó que la seguridad en la infraestructura tecnológica de T-Mobile es muy mala, ya que no le fue muy dificil lograr infiltrarse en la red, además, la información se encontro en texto plano, incluyendo la de años anteriores, es decir, registros que ya no estan en uso. La compañia publicó un comunicado aceptando su responsabilidad y ofreciendo mejorar sus políticas de ciberseguridad. ¿Por qué tanto escándalo? Muchas veces las personas no comprenden el impacto y el peligro de este tipo de incidentes. El experto en ciberseguridad Steve Gibson, denominó a la información contenida en la base de datos como Las llaves del reino de la identidad. Con dichos datos es posible realizar estafas o fraudes mediante el robo de identidad, que permite al delincuente solicitar créditos o servicios en nombre de terceros, que afectan la reputación de las víctimas y pueden llegar a generar daños importantes en sus finanzas. A partir de la nueva normalidad que vive el mundo, los casos de robo de identidad se han incrementado exponencialmente. La Comisión Federal del Comercio (FTC) publicó en febrero de 2021, un artículo en el que se informa que durante el año 2020, la Comisión recibió apróximadamente 1.4 millones de reportes sobre robo de identidad, el doble de lo que recibió en 2019. Las solicitudes fraudulentas de ayuda gubernamental por desempleo subieron de 12,900 en 2019 a 394,280 en 2020, si !! 2956.43 % de incremento !! El robo de identidad no es exclusivo de Estados Unidos. Es un mal que silenciosamente se expande por todo el mundo y que no es del todo conocido o comprendido por las personas. Es común escuchar decir a los usuarios que su información no es importante, que no exista razón para precuparse por que sus datos sean conocidos por terceros, sin embargo, incidentes como el de T-Mobile ponen en rojo las alarmas y es necesario tomar precauciones. Bibliografía The Cyberattack Against T‑Mobile and Our Customers: What happened, and what we are doing about it.Security now, episodios #833 y #834T-Mobile Hacker Who Stole Data on 50 Million Customers: ‘Their Security Is Awful’El robo de identidad aumentó durante la pandemia [...]

México: reformas al Código Civil y Ley de Notariado derivado de la tecnología

02/09/2021Reading Time: 2 minutes El 4 de agosto de 2021, en la Gaceta Oficial de la Ciudad de México se daba a conocer sobre la introducción a la legislación mexicana de normas que resuelven situación derivada de la tecnología. Las normas incorporadas modifican el Código Civil para el Distrito Federal y la Ley del Notariado para la ciudad de México. Legado de bienes digitales. En la sección relativa a los bienes que pueden incluirse en los testamentos se agrega que pueden ser bienes o derechos digitales, almacenado en una computadora o en una red. Este tipo de bienes, entre otros, pueden ser : Correos electrónicos, sitios web, videos o fotografíasContraseñas de cuentas bancarias Un aspecto importante que establece la ley es que los bienes o derechos digitales serán independientes de su valor económico y contenido determinable. También se establece que podrá nombrarse un ejecutor especial, quien procederá en base a las instrucciones del testador y en casos específicos solicitar la eliminación de la información. Testamento público abierto digital o en medios electrónicos. Con esta disposición el notario redacta las cláusulas en base a las instrucciones del testador, las lee en vos alta o envía por correo para que se acepte mediante Firma Electrónica Avanzada. En situaciones especiales, el notario y el testador mediante herramientas de comunicación en tiempo real, donde puedan verse y escucharse, podrán formalizar el testamento. Oferta por teléfono o medios electrónicos. Para las ofertas a personas presentes, por telefono o por médios electrónicos, el autor de la misma queda liberado si no se acepta inmediatamente. Para el caso de las ofertas por medios electrónicos, debe entenderse que aplica para medios que permiten la respuesta de forma inmediata, lo que no requiere acuerdo previo entre los contratantes. Formalización del contrato con uso de firma electrónica avanzada. Los contratos que requieran forma escrita, podrá ser firmado de forma autógrafa o con Firma Electrónica Avanzada. Esta disposición menciona ya la existencia del Protocolo Digital. Celebración de asambleas de asociaciones mediante videoconferencia. Habilita la celebración de asambleas mediante videoconferencias que permitan la comunicación en tiempo real, siempre que la convocatoria determine la plataforma a utilizar, indicando la dirección, código o contraseña. La reunión debe grabarse y quedará a cargo del Administrador. Actuación Digital Notarial en la Ciudad de México Habilita la digitalización de los documentos que genera el notario en el ejercicio de su función notarial, dotándole de total validez formal y legal. Son de vital importancia la Firma Electrónica Avanzada, la Firma Electrónica Notarial, el Protocólo Digital y las plataforma de comunicación en tiempo real, tales como mensajería y videoconferencia, que posibilita la celebración entre dos o más comparecientes a crear o modificar obligaciones ante el notario. Otros elementos clave que establece la normativa son el Sistema Informático y las herramientas que permitan aseguran la identidad de los firmantes, su capacidad, la manifestación inequivoca de su conformidad y comprensión plena del contenido del instrumento otorgado ante Notario. Bibliografía Gaceta Oficial Ciudad de México [...]

Ley antitrámites: la modernización de los trámites públicos (Parte III)

31/08/2021Reading Time: 5 minutes Hoy martes 31 de agosto del 2021 se cumple el Vacatio legis establecido en el artículo 43 del Decreto 5-2021 del Congreso de la República. En dos artículos anteriores, el 8 de junio y el 20 de julio, se revisaron los primeros cuatro capítulos de la ley. En esta tercera y última parte, se abordarán los restantes tres capítulos, que desarrollan aspectos administrativos del instrumento legal que ofrece mejorar la situación de los trámites públicos en Guatemala, una dificultad que abordan a diario miles de ciudadanos, quienes afrontan una larga lista de interminables e incomprensibles requisitos. A continuación, el análisis final de la Ley Antitrámites: Capítulo V – Régimen Institucional Dirección: a través de la Comisión Presidencial de Gobierno Abierto y Electrónico o el ente que designe el Organismo Ejecutivo es la institución que ejercerá las siguientes funciones:Discutir, analizar y proponer los planes de simplificación de trámites.Supervisar permanentemente la ejecución de los planes de simplificación.Evaluar periodicamente los resultados de la ejecución de los planes de simplificación.Propiciar la coordinación entre dependencias a las que aplica la ley.Promover la participación ciudadana en el diseño y control de simplificación de trámites.Propiciar la concentración de trámites, a fin de evitar repetición en trámites con fines comunes. Organizar cursos de capacitación al personal de la administración públicaVelar que la implementación de simplificación de trámites garanticen la no discriminación por razones de posición económica, condición social, nacimiento, nacionalidad, origen, credo político, raza, sexo, idioma, edad, religión u opinión del usuario.Promover y coordinar con dependencias del sector público y privado estudios para la simplificación de trámites.Crear, actualizar y evaluar los indicadores de cumplimiento de simplificación de trámites, indicadores de satisfación de usuarios y otros.Publicar ranking de las dependencias que indique que dependencias tienen mayores denuncias.Elaborar propuestas de normativa relacionadas a la simplificación de trámites.Otorgar reconocimientos a las dependencias y funcionarios que trabajan en la simplificación de trámites.El Ministerio de Economía implementará lo que corresponda en materia de trámites para comercio exterior y atracción de inversión .Catálogo electrónico: debe elaborarse una página web que contenga el listado de trámites ante el Organismo Ejecutivo, mostrando los pasos, costo y tiempos de respuesta en cada trámite. Las dependencias deberán colaborar para que la información este actualizada. Comentario: este tipo de recursos es útil, pero a la vez delicado, ya que es bastante común que no se definan políticas o procedimientos eficientes para mantener la información actualizada, además existe la dificultad que es cada dependencia la que desarrolla esta información. Esta situación sucede en instituciones privadas. Capítulo VI – Regimen Sancionatorio De las infracciones: son infracciones a la presente leyExigir el cumplimiento de trámites, requisitos o procedimientos que no esten establecidos expresamente en ley o acuerdo gubernativo.Exigir la presentación de información o documentos aportados anteriormente en el mismo procedimiento. Comentario: los funcionarios o empleados públicos no pueden solicitar información o documentos que ya han presentado los usuarios anteriormente. Exigir la presencia física del usuario cuando el trámite sea en línea.No habilitar de manera gratuita, en forma física o en línea los formularios o solicitudes. Comentario: un lugar donde se realiza está práctica es en el 2o reguistro de la propiedad ubicado en zona 9.No publicar en internet los trámites y los requisitos de la dependencia. Comentario: esto será en cada dependencia del Organismo Ejecutivo Negar atención a los usuarios en horarios hábiles.Exigir el cumplimientos de trámites que hayan entrado en vigencia con posterioridad al inicio del trámite. Comentario: una práctica común de los funcionarios, que afecta a los usuarios al tener que regresar a pasos anteriores.No permitir la participación ciudadana previo a la modificación de trámites. Comentario: esto obliga a los funcionarios a convocar antes de hacer cambios.Rechazar solicitudes por contener errores en citas, ortografía, mecanografía o aritmetica cuando el error no resulte relevante para definir el fondo del asunto. Comentario: en muchas dependencias advierten que los formularios no pueden llevar tachones o corrector, lo que deberia dejar de ser una limitante para recibir la solicitud.Exigir declaraciones juradas. Exigir al usuario documentos, constancias o información que sea generada por la propia dependencia. Comentario: esto evitará que el usuario tenga que realizar un trámite previo en la misma dependencia. Esta situación es común en UDEVIPO.Cobrar a los usuarios por consulta de registros públicos regulados en la presente ley. Comentario: esta disposición será de gran utilidad para el usuario. Actualmente los servicios de consulta en forma presencial o en línea de ciertas dependencias son pagados. Exigir legalizar documentos que emiten dependencias públicas. Comentario: muchos trámites requieren documentos de otras dependencias, que de ahora en adelante podrán presentarse copia simple.Exigir que documentos apostillados, sean nuevamente legalizados por el Ministerio de Relaciones Exteriores o traducción del sello de apostilla. Comentario: esta disposición confirma el espíritu de la institución de la Apostilla.Exigir para la reposición de documentos, la presentación de cualquier tipo de denuncia. Comentario: las denuncias por perdida de documentos que tramitan los usuarios ante el Ministerio Público o la Policia Nacional Civil son literalmente de puro trámite, ningun funcionario les da seguimiento.Exigir la presentación de licencias o documentos habilitantes de periódos anteriores, como requisito para la renovación de la misma licencia o documento. Sanciones: las sanciones para empleados, servidores públicos o funcionarios públicos por cometer las infracciones anteriores son:Amonestación verbal, al cometer una infracciónAmonestación escrita, al tener dos amonestaciones verbales en el mismo mes calendarioSuspensión laboral , al tener dos amonestaciones escritas en el mismo mes calendario La sanción se impondrá por la autoridad superior jerárquica, competente o designada por la dependencia. Comentario: la posible dificultad será el tiempo que tome el trámite administrativo interno, que dificilmente podrá realizarse en un mes calendario. Del trámite de denuncias y quejas: los usuarios podrán realizar su queja ante la autoridad encargada del trámite. Las dependencias deberán informar cada cuatrimestre sobre las quejas recibidas. Capítulo VII – Disposiciones finales y transitorias Impuesto de circulación de vehículos: obliga al Registro Fiscal de Vehículos a realizar la anotación en un plazo de 10 días, de cambios informados por el usuario.Plazo para publicación de formularios: las dependencias tienen 6 meses, luego de la entrada en vigencia, para publicar los formularios en línea. Comentario: es un plazo muy largo, los 3 meses para la entrada en vigencia son un plazo suficiente. Reducción progresiva de trámites: se otorgan dos plazos importantes para las dependencias públicasUn año: para poner de forma electrónica la información requerida por la leyDos años: para implementar sistemas electrónicos para la realización de los trámitesLos plazos podrán prorrogarse si la dependencia justifica la razón del retraso.Planificación institucional: las dependencias deberan crear un plan de simplificación de trámites en un plazo de 6 meses, incluyendo los costos de software y hardware para su implementación. Ninguna dependencia podrá oponerse a la simplificación de trámites y utlización de medios electrónicos, además deberan ajustar sus manuales a las modificaciones de los trámites.Vigencia: 90 días luego de su publicación en el Diario Oficial. En términos generales la Ley de Simplificación de Trámites cuenta con disposiciones positivas, sin embargo, considero al menos, algunas debilidades: Pudo aprovecharse la oportunidad para incluir a todo el aparato estatal, ya que la limita su ámbito de aplicación al Organismo Ejecutivo. Los plazos para implementación de cambios son largos y con posibilidad de prorroga, lo que vaticina un retardo malicioso por parte de los funcionarios encargados. Las medidas sancionatorias son muy generales y seguramente será dificil lograr una consecuencia para quienes sean denunciados por infracciones. No hay que olvidar que la denuncia en si misma, constituye otro trámite ante la misma dependencia. La modernización del Estado puede apoyar a mejorar el servicio a los ciudadanos, pero no es tarea sencilla. Entre la normativa que se publica y su efectiva aplicación suelen haber grandes diferencias, sobre todo si se trata de modificar el desarrollo del trabajo de los funcionarios y empleados públicos. Un elemento clave en la merjoa de los trámites públicos es el conocimiento de los derechos de los usuarios, pero también el reclamo cuando no son respetados y por su puesto la denuncia ante las entidades correspondientes. [...]

Certificado digital COVID-19: el dilema entre privacidad y salud pública

26/08/2021Reading Time: 4 minutes La pendemia que mantiene al mundo entero en crísis sanitaria desde el primer trimestre del año 2020, ha provocado a su vez un decaimiento global en la economía de grandes proporciones. Desde que inició el proceso de vacunación, se vislumbró que en forma paralela debe abordarse la recuperación económica, lo que ha generado diversas iniciativas y políticas públicas sobre como asegurar un retorno seguro a la actividad productiva de millones de personas. La Unión Europea experimentó en el denominado Espacio Schengen, una disminución de circulación sin presedentes desde su habilitación en 1995. Con miras a buscar soluciones en la circulación segura de los ciudadanos de países miembros, la Comisión Europea emitió el 17 de marzo de 2021 un comunicado al Parlamento Europeo, denominado Por una senda común hacia una reapertura segura y sostenida. En su parte introductoria el documento establece La presente Comunicación traza el camino hacia una política ponderada y un enfoque común de la Unión, señalando los pasos que debemos dar para recuperar lo antes posible nuestras costumbres de vida europeas, si bien de forma segura y sostenible, tomando el control sobre el virus. El documento establece en la sección número 3, una reapertura segura, con una recuperación de la libertad de circulación en condiciones de seguridad, disponiendo además adoptar una propuesta legislativa que establece un marco común para un certificado verde digital. El 20 de mayo de 2021 el Parlamento Europeo y el Consejo llegaron a un acuerdo con respecto al certificado digital COVID de la Unión Europea, el cual entró en vigor el 1 de julio en toda la Unión. La normativa establece 3 tipos de certificados que establecen si la persona: Ha sido vacunada contra COVID-19Se ha realizado una prueba con resultado negativoSe ha recuperado de COVID-19 El certificado es gratuito, podrá ser extendido y verificado en todos los países miembros de la Unión, tanto en centros de pruebas o autoridades sanitarias, como directamente en los portales de salud electrónica. Puede almacenarse en un dispositivo electrónico o utilizar la versión en papel, con su respectivo código QR y la firma digital que respalda la autenticidad del certificado y evita su falsificación. Los certificados pueden validarse a través del portal creado por la Unión Europea, que no requiere de los datos personales del titular. El certificado COVID-19 de la Unión Europea no es el primero de su clase, ya que países como Israel y China lo implementaron en febrero y marzo de 2021 respectivamente. A pesar del entusiamo de las autoridades de la Unión, diversos sectores han expresado que la medida puede atentar contra el Derecho a la Privacidad y generar discriminación. Se ha señalado que la implementación del certificado, no debe afectar los derechos establecidos en la normativa vigente de Protección de Datos Personales. Adicionalmente, debe aclararse a la ciudadania que el Certificado no es un documento obligatorio, pero si mejora las condiciones de movilidad entre países, ya que exime de restricciones vigentes, como la obligatoriedad de una cuarentena. La mayoría de las preocupaciones se fundamentan en que los datos que recoge el certificado son clasificados como sensibles, por ser información médica del titular y que el Reglamento General de Protección de Datos prohibe su tratamiento. ¿Qué pasa en Estados Unidos? Debido al sistema jurídico norteamericano, la implementación a nivel federal de un certificado digital único y centralizado no es una tarea sencilla. Desde marzo de 2021, la administración de Biden en cooperación con compañias privadas iniciaron esfuerzos por proveer una solución estandarizada enfocada en la nueva normalidad. Existen implementaciones aisladas en algunos estados como California, Luisana y Nueva York, que ofrecen a sus residentes plataformas web y aplicaciones que permiten verificar los registros de vacunación. También existen iniciativas como la Vaccination Credential Initiativa (VCI), que agrupa al menos 300 organizaciones privadas y públicas, cuyo objetivo es proveer un formato único para diversos mecanismos de validación, al que se le denomina SMART Health Card. Otra plataforma interesante es CommonPass, que ofrece a los usuarios informar de una forma segura el estatus de su salud respecto del COVID-19, lo que les permite retomar sus actividades laborales, escolares y de viajes. Expertos en el tema advierten que, en la implementación de un certificado o pasaporte digital para el COVID-19, la administración estatal debe competir con al menos 20 iniciativas existentes identificadas y además asegurar la privacidad de los datos de los usuarios. Resulta evidente que la forma norteamericana y la europea de tratar la implementación de un certificado digital para el COVID-19 son muy diferentes. En los próximos meses posiblemente podrá evaluarse el resultado de ambas tradiciones jurídicas. ¿Y Latinoamérica? Tras la entrada en vigencia del certificado COVID-19 en la Unión Europea, el Consejo Mundial de Viajes y Turismo, recomendó evaluar la implementación de medidas similares en Latinoamérica, lo que ayudaría a facilitar los viajes de turistas de esos países a la Unión Europea. La vacunación tiene un aspecto complejo derivado de las diferentes opciones de vacuna que existen alrededor del mundo. La Unión Europea a través de la Agencia Europea de Medicamentos, únicamente ha aprobado las vacunas Johnson & Johnson, Moderna, Pfizer/BioNTech y AstraZeneca. En Latinoamérica, diversos países estan utilizando vacunas de China y de Rusia, lo que podría afectar la circulación de ciudanos de esos países en la Unión Europea y Estados Unidos. Desde mayo de 2021, se dió a conocer una alianza de 6 países en America del Sur para implementar un certificado de vacunación COVID-19. Actualmente Colombia, Brasil, Perú, Uruguay, Chile, Argentina y Ecuador cuentan con implementaciones digitales para verificación de vacunación de sus ciudadanos. En algunos casos han existido inconvenientes, como el caso de Colombia, que por dudas del manejo de los datos sensibles de los usuarios, ha tenido que suspender su implementación momentaneamente. La batalla mundial contra el COVID-19 ha encontrado en la tecnología un buen aliado, pero su implementación no es algo sencillo, sobre todo por la dificultad de abordar soluciones únicas e integrales. Bibliografía Comunicación de la comisión al parlamento europeoEl certificado COVID-19, la gran apuesta de la Unión Europea para este verano‘Vaccine passports’ are on the way, but developing them won’t be easyChile, Uruguay, Argentina, Paraguay y Colombia firman alianza regional para crear certificado de vacunación para Covid-19 en LatinoaméricaPor falta de seguridad y confidencialidad, Secretaría de Salud de Bogotá tendrá que adoptar medidas para proteger datos de ciudadanos [...]

Nuevas funciones de Apple generan controversia

24/08/2021Reading Time: 2 minutes Apple recientemente dió a conocer de nuevas características que serán implementadas en sus dispositivos, enfocadas en atacar el abuso sexual de menores, un mal que utiliza las nuevas tecnologías como herramienta para difusión y comercialización de material pornográfico. Muchas veces la velocidad de propagación de las noticias en Internet, evita que se verifique de forma correcta la información, lo que provoca confunsiones en los usuarios. Existen dos funciones que han generado controversia en diversas plataformas y foros de Internet, las que se enfocan en dos aspectos diferentes. Estas funciones son: Communication safety in Messages Con esta función Apple añade funciones que advierten a los menores y sus padres cuando se recibe o envia fotografías sexualex explicitas. Adicional a la advertencia, el material es presentado de forma borrosa. Esta función utiliza algorítmos avanzados, que determinan que la imágen puede ser clasificada como material sexual explícito, sin que se realice algún tipo de análisis sobre mensajes de texto. Importante: la función descrita opera directamente en el dispositivo y únicamente sobre imágenes que se envían o reciben. CSAM & Icloud Photos CSAM es el término en inglés utilizado por el National Center for Missing and Exploited Children para referirse al Child Sexual Abuse Material -Material Sexual de Abuso de Niños-, algo que es utilizado por depredadores sexuales para el reclutamiento y abuso de menores. Apple implementará algoritmos de cifrado aplicados a las fotografías en la plataforma ICloud de sus usuarios. El mecanismo ha sido diseñado pensando en la privacidad de los usuarios, ya que antes de que la imágen sea sincronizada con la plataforma, se compara el resultado de una función HASH con la base de datos de códigos HASH de CSAM. Los documentos técnicos aclaran que la función HASH es del tipo Neural Hash, que permite obtener un mismo resultado aún si se cambia el tamaño de la imágen y otras características generales. Si hay coincidencia en un número específico de comparaciones, se suspende la cuenta de ICloud y se alerta a las autoridades. Importante: la función descrita opera únicamente en las imágenes sincronizadas a ICloud, no con las que estan en el dispositivo y solo se limitan a la comparación del HASH, es decir, no revisa el contenido de las imágenes. La controversia: Apple asegura que las funciones a implementar han tomado en cuenta tanto el objetivo de mejorar la seguridad de los menores, como la privacidad de todos los usuarios de sus dispositivos. Sin embargo, diversos grupos han dejado sentir su reclamo, señalando que las propuestas de Apple introducen una puerta trasera –BackDoor- que amenaza con afectar las protecciones fundamentales a la privacidad de todos los usuarios de Apple. También se han dejado sentir preocupaciones del colectivo LGBTQ+, considerando que la propuesta de Apple puede afectar sus derechos. El mundo digital no escapa a conflictos como el generado por el plan de Apple. La compañía ha indicado que, a pesar de las críticas y las dudas, seguirá adelante con su plan, y que siempre tiene presente la importancia de la privacidad de los usuarios. Bibliografía Child Sexual Abuse MaterialApple Child SafetyNeural HashApple’s controversial new child protection features, explainedAn Open Letter Against Apple’s Privacy-Invasive Content Scanning TechnologyHow LGBTQ+ Content is Censored Under the Guise of “Sexually Explicit” [...]

Cibercrimen en la mira de la ONU

10/08/2021Reading Time: 3 minutes El 27 de Julio de 2021, el embajador ruso en Estados Unidos, Anatoly Antonov, presentó ante la ONU el primer borrador del tratado mundial contra la ciberdelincuencia titulado Lucha contra la utilización de las tecnologías de la información y las comunicaciones con fines delictivos. El embajador explicó en Twitter que su país esta abierto a una beneficiosa cooperación mutua y honesta, sin agendas ocultas y politizadas. El borrador del nuevo convenio busca expandir la lista de delitos cibernéticos y el control de las criptomonedas. Actualmente impera a nivel internacional el Convenio de Budapest, aprobado por el Comité de Ministros del Consejo de Europa en 2001, que en su redacción original incluyó 9 delitos, que luego de la aprobación del Protocolo Adicional, agregó figuras delictivas relacionadas con el racismo y xenofobia. El Convenio de Budapest cumplirá 20 años de su aprobación en noviembre de 2021, pero no ha tenido la aceptación global que pudiera esperarse. A nivel latinoamericano diversos países aún no toman en serio el tema, lo que es aún más crítico para Centroamérica. En Febrero de 2020, el Instituto Panameño de Derecho y Nuevas Tecnologías –IPANDETEC– publicó el documento titulado Centroamérica Segura, en el que concluye que después de analizar detalladamente la situación de ciberseguridad en la región de Centroamérica y República Dominicana, llegamos a la conclusión que nos encontramos ante un subcontinente muy inmaduro en materia de ciberseguridad. A raíz de la pandemia del COVID-19, los ciberataques han reflejado un crecimiento exponencial, afectando a millones de usuarios alrededor del mundo. También se han registrado y documentado cientos de ataques a sectores comerciales, gubernamentales y educativos, que han representado perdidas de miles de millones de dolares, tanto por los daños a la infraestuctura, equipo e información de las víctimas, como por los pagos que han recibido los atacantes en los casos de Ransomware. El borrador presentado por Rusia, es resultado de un esfuerzo multilateral de varios países. Desde octubre del año 2019 la Asamblea General de las Naciones Unidas aprobó la resolución con la que se decició establecer un comité intergubernamental especial de expertos de composición abierta, representativo de todas las regiones, a fin de elaborar una convención internacional integral sobre la lucha contra la utilización de las tecnologías de la información y las comunicaciones con fines delictivos. La resolución fué redactada por Rusia, China, Corea del Norte, Nicaragua y Venezuela. El proyecto es resultado del informe presentado en julio de 2019, que recoge la opinión de los Estados Miembros sobre los problemas que enfrentan en la lucha contra la ciberdelincuencia. La opinión de Guatemala no figura en dicho informe. Desde que se dió a conocer el interés de Rusia, China y sus países aliados sobre un estándard internacional en materia de cibercrimen, diversos países y organizaciones defensoras de los Derechos Humanos han manifestado serias preocupaciones. La crítica se centra en la concepción amplia de cibercrimen incluida en el borrador, ya que además de abordar los constantes y dañinos ataques ciberneticos a infraestructuras críticas y empresas multinacionales, también incluye una intromisión preocupante y peligrosa en los Derechos Fundamentales de los ciudadanos. Un tema recurrente es la postura represiva en contra del cifrado, que limita la intromisión de terceros en las telecomunicaciones, entre ellos los propios gobiernos. La presentación del tratado ocurre en medio de un vaiven de tensiones y pláticas entre Estados Unidos y Rusia, derivado de ataques cibernéticos a grandes corporaciones norteamericanas, donde se ha identificado grupos organizados rusos y chinos. También se ha identificado actividad de vigilancia digital por parte de Agencias Nacionales rusas. A nivel político Rusia ha proyectado una imágen muy conciliadora. En septiembre de 2020 el presidente ruso Vladímir Puttin, propuso a Estados Unidos un programa para restaurar la cooperación en el campo de la seguridad, en el uso de las tecnoloǵias de la información y la comunicación, con el objetivo de evitar una confrontación a gran escala en el campo digital. La propuesta se basa en cuatro aspectos: Restaurar el dialogo bilateral Mantener de forma continua y eficiente los canales de comunicación Desarrollar un acuerdo bilateral de prevención de ciberincidentesGarantizar la no intervención extranjera –mediante tecnología– en asuntos internos, incluidos los procesos electorales. Aunque su discusión tomará al menos un par de años más, la posible aprobación de un tratado en materia de ciberdelitos a nivel mundial es un evento muy importante. El Derecho Informático parece estar tocando a las puertas de la casa grande, lo que podría representar un vehículo muy apropiado para su incorporación a todos los Estados Miembros de las Naciones Unidas. Bibliografía Cybercrime convention draft shows Russia’s approaches are responsible – envoy to USONU, 74 periodo de sesionesONU, Lucha contra la utilización de las tecnologías de la información y las comunicaciones con fines delictivos [...]

Colombia declara al Internet como servicio público esencial y universal

03/08/2021Reading Time: 3 minutes El gobierno de Colombia aprobó el 29 de julio de 2021 la Ley No. 2108, identificada como Ley de Internet como servicio público esencial y universal, que modifica la Ley TIC 1341 del año 2009. La iniciativa de la nueva ley data de octubre de 2020, pero fué hasta abril de 2021 que recibió la aprobación por el pleno del Senado colombiano. No es la primera modificación que se hace a la Ley 1341, pero dada la importancia actual del uso de lnternet, se considera de gran importancia para los ciudadanos colombianos. El presidente colombiano, Ivan Dúque declaro “Con esta ley, la Internet pasa a convertirse en un servicio público esencial. Esto quiere decir que su importancia y necesidad para los colombianos es equiparable con el agua, la luz y el gas. Por consiguiente, los operadores deberán garantizar la continua provisión del servicio para todos y en situaciones de emergencia, como la pandemia, no podrán suspender las labores de instalación, adecuación y mantenimiento de las redes”. Con tan sólo 12 artículos, la ley tiene por objeto establecer dentro de los servicios públicos de telecomunicaciones, el acceso a Internet como uno de carácter esencial. Desarrolla además otras ideas importantes Establece la universalidad como el onceavo principio orientador en la intervención del Estado en el sector de las TIC. Masificación del uso de las TIC y cierre de la brecha digital, priorizando a los sectores vulnerables.Declara el acceso a Internet como un servicio público escencial, lo que implica su acceso de forma ininterrumpida por los usuarios. Se hace la aclaración de los deberes y obligaciones de los suscriptorios y usuarios del servicio.En casos de emergencia los usuarios tendrán asegurado el acceso a servicios mínimos como envío de mensajes de texto y acceso a portales gubernamentales.Establecimiento de cargas u obligaciones diferenciales en zonas de servicio universalAcceso sin costo (zero rating) a usuarios de portales educativos del gobierno. El Derecho de Acceso a Internet forma parte de los llamados Derechos Digitales, un término muy discutido hoy en día, pero que fue propuesta por Robert B. Gelman en 1997 en su trabajo Declaración de Derechos Humanos en el Ciberespacio, alineada con la Declaración Universal de Derechos Humanos de 1948. Existen otros antecedentes de diversos autores y organizaciones sobre el término, pero el referente común es la concepción de Internet como un recurso democrático para el acceso al conocimiento, la mejora de la condición humana y de la sociedad. En 2016 el Consejo de Derechos Humanos de las Naciones Unidas, en el período 32 de sesiones, reconoció la importancia de la expansión de las tecnologías de la información y las comunicaciones para : Acelerar el progreso humanoSuperar la brecha digital yDesarrolar las sociedades del conocimiento En la región latinoamericana existe gran preocupación por las limitaciones de acceso a Internet que sufren millones de usuarios en la región. En la Sexta Cumbre de las Américas del año 2012, en Cartagena de Indicas, Colombia, La relatora de Libertad de Expresión en Internet, Catalina Boterno Marino, señaló que “El principio de acceso universal se refiere a la necesidad de garantizar la conectividad y el acceso universal, ubicuo, equitativo, verdaderamente asequible y de calidad adecuada, a la infraestructura de Internet y a los servicios de las TIC…“ Países como México y Argentina cuentan desde hace varios años con normativa relativa al acceso a Internet como un derecho fundamental, que debe ser prestado no solo de forma universal, sino además, con altos estándares de calidad, a precios justos y razonables. Eventos de alcance mundial como la pandemia, han puesto de manifiesto la utilidad de contar con acceso a Internet para temas educativos, laborales, médicos y muchos más. Cuando no se cuenta con este servicio se genera una situación de exclusión, que en algunas regiones registra altos índices, evitando que muchas personas logren aprovechar los beneficios de la tecnología. Aunque se reconoce la importancia del acceso a Internet a la mayor cantidad de usuarios posible, no deja de ser preocupante o al menos interesante, incluirlo en la categoría de Derechos, cuando es un servicio que requiere de la participación de muchos intermediarios. Además el Internet es una red que trasciende las fronteras nacionales, por lo que hay limitaciones en cuanto al alcance de la normativa, aspecto que es poco comprendido por los legisladores y usuarios. Bibliografía Ley de Internet como servicio público escencial y universalPresidente Iván Duque y Karen Abudinen, ministra de las TIC, promulgaron Ley de Internet como servicio público esencial y universalLa cuarta ola de Derechos Humanos: Los Derechos DigitalesLibertad de expresión en Internet [...]

Ley antitrámites: la modernización de los trámites públicos (Parte II)

20/07/2021Reading Time: 7 minutes En esta entrada continúo con el análisis de la Ley para la Simplficación de Requisitos y Trámites Administrativos, decreto número 5-2021. El mes pasado abordé los primeros 2 capítulos de la ley que ofrece mejorar la difícil situación que abordan los ciudadanos al realizar trámites en diversas instituciones del Estado. Sin más esperar, avancemos Capítulo III – Medios Electrónicos Medios electrónicos: las dependencias deben implementar de forma progresiva de medios electrónicos, con el fin de poder realizar los trámites a distancia, tomando en cuenta la seguridad. Deben también ir reduciendo progresivamente elementos que no permita que el resultado final del trámite pueda extenderse o enviarse de forma electrónica. Los medios electrónicos, como portales web y sistemas, no deben tener restricción de horarios. Comentario: es el primer artículo donde se menciona la seguridad en el sentido de “seguridad de la información”, lo cual no tiene mucha relevancia a los largo de todo el texto de la ley. Respecto del acceso sin restricción de horario pareciera innecesario, sin embargo, existen portales de instituciones del Estado que no siempre funcionan. Un ejemplo es el Registro de la Propiedad, que siempre queda inaccesible a las 7 de la noche por 1 o 2 horas.Obligación de informar sobre los trámites administrativos: las dependencias deben publicar El listado de trámites que pueden gestionarse en dicha dependenciaLos requisitos El costo del trámiteProcedimiento (pasos) a seguir por el usuarioEl tiempo de respuesta Normativa aplicableNo será necesaria la presencia física para informar sobre el trámite o notificar alguna resolución. También deben implementar mecanismos de trazabilidad. Comentario: es un recurso muy útil para los usaurios, muchas veces no hay forma de conocer que trámites se pueden obtener en una dependencia, ni siquiera los funcionarios lo saben. Tambien es dificil poder tener certeza del procedimiento, tiempos o costos. Informar o notificar de forma electrónica o adistancia también evita a los usaurios perder tiempo visitando las dependencias solo para enterarse que no ha pasado nada o que nadie sabe del trámite. Implementar un sistema de trazabilidad también es útil, pues permite a los interesados saber en que paso y con que funcionario se encuentra el trámite. Trámite a distancia: las dependencias deben implementar la realización de trámites a distancia, automatizando sus procesos. Tambien debe implementarse, si la ley no lo prohibe, que el resultado final del trámite pueda obtenerlo el usuario de forma electrónica. Otra alternativa es el envío del resultado mediante servicios de mensajeria a costa del usuario. Comentario: un poco redundante, la parte inicial de este artículo. Lo interesante es poder utilziar servicios de mensajeria para entrega de resultados en forma física. Es una altenativa útil si lo electrónico no es posible, sobre todo ahora que existen en el país muchas empresas que prestan este servicio. Formularios: las dependencias deberan colocar formularios en internet para que puedan ser descargados por los usuarios. Cuendo exista un sistema para el trámite, este deberá incorporar la generación del formulario. Cuando existan formularios para descargar o electrónicos, no será obligatorio presentarlos de forma física. Ninguna dependencia podrá cobrar por los formularios. Comentario: los formularios descargables o en línea son de gran utilidad. El Registro Mercantil y el Registro General de la Propiedad, por ejemplo, ya los utilizan y mejoran mucho los procesos. La prohibicion de cobrar es de gran ayuda, un caso muy molesto es el Registro de Quetzaltenango que actualmente cuenta con una oficina en la zona 9 de la capital. Para ciertos trámites utilizan formularios que solo se pueden obtener comprándolos, además hay que hacer cola con todos los que llegan a realizar trámites solo para obtener los formularios.Documentos y copias: los documentos electrónicos o digitalizados, firmados con firma electrónica avanzada enviados a una dependencia pública no requeriran entrega de copia física. Las dependencias conservarán copias digitales de los mismos. Los documentos en todo trámite podran ser firmados y presentados electrónicamente. Solo en caso de duda, podrá pedirse en las dependencias el documento en forma física. Comentario: el reconocimiento de comunicaciones y firmas electrónicas esta regulado desde el año 2008, pero lamentablemente muy poco utilizado por el Estado, espermos que eso cambie. El Registro Mercantil tiene implementado trámites totalmente electrónicos, que se realizan sin poner un pie en dicha dependencia y de una forma más rápida. Recientemente el Registro General de la Propiedad habilitó el tramite de certificaciones complementa en línea y puedo decir que funciona muy bien. Expediente y archivo electrónico: las dependencias deberan implentar el “expediente electrónico”, que contendrá toda la información del trámite. Se utilizaran bases de datos con las medidas de seguridad necesarias. Cuando varias dependencias esten involucradas en un mismo trámite deberan compartir base de datos o archivos. Se utilzaran servidores locales o remotos, propios o de terceros, contratando servicios especializados. Cuando un usuario no de seguimiento a un trámite por más de 3 meses, ya sea que no presente o realice algun paso solicitado por una dependencia o no recoja el resultado final, este se archivara de oficio. También se promoverá la transición de archivos físicos a electrónicos, implementando sistemas de consulta con las medidas de seguridad necesarias. Comentario: un expediente electrónico es una excelente idea, sin embargo, su implementación no es algo sencillo, lo que se complica aún más si hay varias dependencias involucradas. Un aspecto importante y hasta preocupante es la seguridad de la información y la privacidad de los datos de los usaurios, un aspecto poco trabajado en las dependencias públicas y con poca normativa en el país. El traslado de lo físico a lo digital es un proceso delicado y tratandose de información legal deberá ser realizado de una forma responsable y profesional. Acceso a la información en registros públicos: los registros públicos deben implementar mecanismos de consulta y validación de los datos que posean. No podrá cobrarse por la consulta de la información que administran. Deberan permitir la consulta a distancia, sin la necesidad de crear cuentas o registrar correos electrónicos. Deberan proteger los datos considerados como “sensibles” por la Ley de Acceso a la Información Pública. Las dependencias públicas deberan implementar mecanismos electrónicos de intercambio de información, tanto con entidades públicas como privadas. Comentario: los sistemas de consulta son muy útiles, sin embargo, esta disposición me parece confusa, ya que no aclara que sean sistemas a distancia o electrónicos y además, que no es necesario tener cuenta de usuario o algun correo electrónico para su utilización. Otro aspecto curioso es que indica que no se cobraran las consultas, lo cual creo que en la práctica no será realizable.Validez de documentos e información transmitida electrónicamente: los documentos e información transmitida electrónicamente tienen el mismo valor y eficacia que los documentos físicos. Los documentos con firma electrónica avanzada prevalecen sobre la versión física. La versión física es considerado original si tiene un mecanismo de validación. Se podrá obtener información entre dependencias, sin necesidad que sea el usuario quien tramite dicha información o documentos. Comentario: la parte final de esta disposición es muy importante. Muchas veces los usuarios deben solicitar en una dependencia, un documento que requiere otra dependencia. En estos casos todos hemos expresado que estamos “de Herodes a Pilatos”, por lo que si es posible que las dependencias se comuniquen y envien la información que así sea en beneficio de los usuarios.Interconectividad del Estado: las dependencias del Estado deberán coordinar esfuerzos para el intercambio y homologación de información, a fin de poder generar información estadistica de una mejor manera. No será necesario suscribir acuerdos o convenios adicionales interinstitucionales para el cumplimiento de este precepto , temas de transparencia, trazabilidad o simplificacion de trámites. Comentario: la interconectividad estatal es un objetivo muy importante. Actualmente deben existir cientos o miles de fuentes de información dispersa y en diversos formatos, situación que hace imposible conocer con exactitud cualquier dato que provea el Estado. Esta situación pasa en las empresas pequeñas y grandes, por lo que a nivel estatal seguramente es un caos de fuentes de información. Capítulo IV – Portales Interinstitucioales Portales interinstitucionales: las pedendencias relacionadas con trámites o sectores específicos trabajaran mediante portales interinstitucionales, que integrarán todo lo que sea necesario tramitar por los usuarios, ya sea de forma electrónica o física. Las dependencias determinaran la ubicación física o virtual del portal. También será obligatorio un portal interinstitucional, cuando en un trámite intervengan varias dependencias. Comentario: los portales interinstitucionales son una buena idea, pero pueden ser un problema debido a la dinámica propia de las instituciones públicas. Aunque la último disposición del capitulo anterior aclara que no será necesario realizar nuevos convenios, será imposible evitar la generación de documentos oficiales por cada portal interinstitucional, lo que seguramente implicará muchos pasos y reuniones. Creo que estos famosos portales no veran la luz pronto. Funciones de los portales interinstitucionales: tendran las funciones siguientes:Información de los trámites, requisitos, costos y duración.Generación o recepción de los formularios , documentos y requisitos de los trámites.Gestión y custodia de expedientes.Comunicar decisiones, entregar comunicaciones y resoluciones de trámite o finalesNotificaciones sobre el trámite y su trazabilidadRecepción y atención de quejas o sujerenciasPromover mejoras de los serviciosConsulta sin costo de los expedientesRecepción de pagos, pudiendo unificarlo y distribuirlos en las dependencias involucradasOtras que acuerden las dependencias En esta segunda parte sobre la Ley antitrámites, se analizaron los capítulos relativos a lo que ofrece el Estado y sus dependencias a los usuarios en la gestión de trámites públicos. Los medios electrónicos y los portales interinstitucionales se presentan como los medios idóneos para superar la desgastante situación que hoy por hoy afronta todo ciudadano ante las dependencias públicas. El papel que juega la tecnología y los medios de comunicación electrónicos es fundamental, sin embargo, no se trata de una varita mágica, que de forma automática dotará de eficiencia a los servicios públicos. El diseño, desarrollo e implementación de sistemas informáticos, tanto locales como en la nube requiere de conocimientos y experiencia, de lo contrario, tal como ha pasado por decadas en la iniciativa privada, se términa en un mar de sistemas y fuentes de información descoordinados, que llevado a la dimensión de los servicios públicos puede resultar siendo la cura peor que la enfermedad. Existe desde hace un buen tiempo un peligro poco conocido o comentado inclusive por los expertos en sistemas, el cual resulta de la afectación causada a los usuarios de dichas herramientas por decisiones de quienes las diseñan e implementan. Trasladado al sector público, resulta común encontrar que muchas características de los sistemas informáticos lesionan derechos y garantías de los ciudadanos, convirtiendo a los desarroladores en los nuevos legisladores de ventanilla, que al desconocer de aspectos legales, implementan soluciones sin tener en cuenta que sus decisiones son de alcance nacional, y que pueden afectar seriamente la vida de muchos ciudadanos. En la siguiente y última entrada de análisis de la ley, se analizarán los restantes 3 capítulos de dicha normativa, que abordan el régimen institucional, sancionatorio y lo que no puede faltar en toda nueva norma: las disposiciones finales y transitorias. [...]

Robocalls: el imparable problema del spam teléfonico

13/07/2021Reading Time: 3 minutes Las llamadas automáticas pregrabadas –Robocalls-, han sido utilizadas por un buen tiempo como una forma eficiente de llegar a los clientes. Han sido utilizadas en áreas de Marketing y también para fines políticos, llegando en muchas ocasiones a ser un verdadero dolor de cabeza para los usuarios. En el año 2019, en el Mobile World Congress se dió a conocer que el crecimiento de este tipo de llamadas habia crecido un 325 a nivel mundial, con una cifra estimada de 85 mil millones de registros. Desde el año 2017 la Alliance for Telecommunications Industry Solutions -ATIS- y la Federal Communications Commission -FCC- permiten a los operadores tomar medidas para frenar este tipo de llamadas, lo que dio vida a un campo de desarrollo de soluciones diversas. El crecimiento de incidentes es impactante, derivado de la pandemia COVID 19 inicialmente parecia ir en disminución, sin embargo la industria logro una adaptación interesante, la situación empeoró a nivel global y las autoridades ven con procupación los peligros que representa para los usuarios. Algunos datos estadísticos interesantes: Mundialmente (2019): 26 billones de usuarios afectados entre enero y octubreMundialmente (2020): 31.3 billones de usuarios afectados entre enero y octubreEuropa (2020): varios países aparecieron por primera vez en el top 20 de este tipo spam Brazil (2020): los usuarios recibieron 50 llamadas mensuales, el mayor número por paísEstados Unidos (2021): en febrero se registraron 4.6 billones de llamadas En 2019, durante la administración de Donald Trump se promulgo el Telephone Robocall Abuse Criminal Enforcement and Deterrence Act -TRACED Act-, una ley que impone penas de decomiso por violar la prohibicion de cierto tipo de llamadas automatizadas, sean estos actos intencionales o no. Tambien requiere a los proveedores desarrollar tecnologías de identificación de llamadas, a fin de evitar el spoofing telefónico, confirmando la autenticidad de las lineas involucradas mediante el ID del emisor de la comunicación. La norma tambi{en requiere que la Federal Communications Commission -FCC- a crear reglas, politicas y procedimientos para proteger a los individuos de las llamadas fraudalentas, incluyendo también mensajes de texto desde numeros no autenticados. El TRACED Act constituye un avance a un tema resagado por muchas decadas, ya que es una enmienda al Communications Act de 1934. En marzo de 2021, la FCC dió a conocer sobre la multa de 225 millones de dolares, impuesta a una compañia de telemarketing ubicada en Texas. Es la multa más larga en la historia de la FCC, impuesta por transmitir apróximadamente un billon de llamadas fraudalentes, para vender planes de seguros de salud, suplantando la identidad de compañias de seguros de renombre. El dueño de la compañía admitió haber realizado millones de llamadas diaras durante el primer semestre del 2019, a sabiendas que se realizaban a consumidores que expresamente indicaron no autorizar recibirlas. Las llamadas fraudulentas relacionadas con servicios de seguros de salud se han visto incrementadas desde el año 2018. Como parte de los esfuerzos para detener este tipo de llamadas, el 30 de junio venció el plazo para implementar el protocolo Stir –secure telephone identity revisited- /Shaken –signature-based handling of assesrted information using tokens-. Los mayores proveedores de servicios de vos en Estados Unidos, como AT&T, Verizon y T-Mobile deben implementar dicha tecnología en la que las llamadas pueden ser rastraedas para mitigar las que sean consideradas fraudulentas. Las llamadas automáticas pregrabadas difilmente desapareceran, seguramente surgiran nuevas modalidades de este tipo de spam. Bibliografía Robocall Statistics: 40+ Important Stats to Know in 2021Pallone-Thune Telephone Robocall Abuse Criminal Enforcement and Deterrence Act (TRACED Act)El spam telefónico estalló en pandemia y buscan nuevas medidas para mitigarloThe Identity Problem, RIBBONMWC 2021: GSMA beefs up efforts to fight fake phone callsFCC Issues Record $225 Million Fine for Spoofed RobocallsSTIR/SHAKEN [...]

Ley antitrámites: la modernización de los trámites públicos (Parte I)

08/06/2021Reading Time: 6 minutes El 5 de mayo de 2021 el Congreso de la República de Guatemala decretó la Ley para la Simplificación de Requisitos y Trámites Administrativos, decreto número 5-2021, conocida popularmente como Ley Antitrámites. En los considerandos de la ley resalta lo siguiente: Que es imperativo promover acciones intdiegrales en favor de la optimización de los recursos del Estado; impulsar la agilización, desconcentración y digitalización de los procedimientos en la atención a la población guatemalteca en su condición de usuarios de la administración pública, atendiendo a los principios de celeridad, eficacia y sencillez. Integrada por 43 artículos distribuidos en 7 capítulos, constituye un cambio positivo para la situación de los trámites en Guatemala. El Banco Interamericano de Desarrollo -BID- en la publicación titulada “El fin del trámite eterno” establece que el trámite es lo que conecta a los ciudadanos y las empresas con el gobierno. Sin embargo, la experiencia de millones de personas sobre este tipo de diligencias es muy negativa, a tal punto que se considera una de las más dificiles y frustrantes actividades que pueda una persona enfrentar. A continuación una revisión sobre los aspectos más importantes de cada capítulo: Capítulo I – Disposiciones Generales Objeto: modernizar la gestión administrativa, promedio de la simplificación, agilización y digitalización de tramites administrativos, utilizando las tecnologías de la información y comunicación para facilitar la interacción entre personas individuales o jurídicas y dependencias del Estado. Ambito de aplicación es para los trámites administrativos ante el Organismo Ejecutivo, dejando abierta la adopción de la ley a otras entidades si asi lo desean. Comentario: una lástima no haber incorporado a todo el Estado en la ley. El proyecto de Ley estableció explicaciones no convicentes al respecto. Si es una Ley, debe ser de aplicación general, nuevamente una verdadera lástima.Principios:Celeridad: através del uso de tecnología y sin afectar la calidadConsolidación: unificar pasos similares o de igual naturalezaCoordinacion: intercambio de información de forma electrónica entre instituciones. Comentario: excelente punto, ya que regularmente son los usuarios que terminan llevando y trayendo documentos entre instituciones.Participación ciudadana: tomar en cuenta sugerencias y necesidades de los usuarios. Comentario: quien mejor para opinar que el usuario de los tortuosos trámites.Presunción de buena fe: los documentos presentados se presumen auténticos, lo que evita tener que legalizarlos ante notario. Comentario: un gran aporte al usuario, ya que es un gasto adicional. La contraparte es el reclamo que ya ha realizado el gremio notarial.Publicidad: acceso a las actuaciones del trámite. Comentario: muy útil, ya que en la práctica muchas veces los funcionarios públicos se niegan a proporcionar datos o documetnos del trámite.Simplicidad: los trámites deben ser claros, sencillos, agiles y de facil entendimiento para los usuarios. En caso de duda se favorece al usuario . Comentario: un gran reto para la administración pública, sobre todo por la mentalidad procedimiental de los propios burócratas, que dificilmente buscan soluciones prácticas.Transparencia: informar sobre los trámites que pueden realizar los usuarios. Comentario: implica que deben también estar los requisitos y formas que establece la ley.Trazabilidad: proveer de herramientas a los usuarios para conocer el estado del trámite. Comentario: al conocer del avance y los pasos que se han dado, podrá evaluarse la eficiencia de la institucion y los funcionarios involucrados. La forma deberá ser mediante plataformas electrónicas. Capítulo II – Normas comúnes en materia de trámites administrativos Legalidad: que limita a las autoridades a exigir requisitos que únicamente esten en ley a acuerdo gubernativo.Derechos de los usuarios: A ser informados de la situación de sus trámitesA no presentar documentos o cumplir requisitos que no esten vigentesA no tener que presentar los mismos documentos más de una vez, en la misma dependencia para el mismo trámite. Comentario: una situación muy común en las dependencias públicas, quizá la más conocida por todos es copia de DPI en diversas instancias del mismo trámite.A poder delegar el trámite, salvo que la ley no lo permita. Comentario: existen trámites que un familiar o amigo podría realizar, pero muchas dependencias no lo permiten o exigen documentos legales onerosos. Habrá que evaluar también la forma de garantizar la representación del interesado, para evitar trámites en su nombre sin su conocimiento o autorización.A poder realizar varios trámites simultaneamenteA exigir el cumplimiento de la ley. Comentario: es una verguenza tener que poner en una ley que los usuarios tienen derecho a exigir el cumplimiento de la ley.Atención al público: deben atender en el horario establecido y de ser necesario habilitar horarios especiales, sobre todo para la recepción o entrega de expedientes. También debe permitirse realizar el trámite en forma presencial o a distancia mediante tecnología, tomando en cuenta que hay personas que no pueden utilizar medios electrónicos o no tienen acceso a Internet. Comentario: el concepto tras este artículo es la atención “multicanal“, que permite atender a usuarios por diversos medios, sin dejar de lado a quienes no cuentan con tecnología. En todo caso, al habilitarse portales electrónicos para los trámites, los horarios dejan de ser relevantes para esa modalidad de atención a los usuarios. Análisis de calidad regulatoria y de procedimientos: Las instituciones deberan revisar los trámites y eficientarlos, buscando reducir costos a la administración pública, a tal grado que de encontrarse procedimientos innecesarios, ilegales o que afecten la transparencia deben ser eliminados. También debe evitarse situaciones donde el trámite o alguno de sus pasos quede al criterio subjetivo del funcionario. Comentario: mucho trabajo por hacer, ya que existen infinidad de trámites con pasos innecesarios y sin sentido, en los que el funcionario público se escuda que únicamente esta cumpliendo la ley. Transparencia: publicar con un mes de anticipación las propuestas de cambios, con el fin de poder recibir opiniones de los usuarios. Comentario: la participación de los usuarios puede mejorar mucho los procesos, ojalá los funcionarios aceptan las sugerencias y deciden implementar aquellas que resulten útiles.Mecanismos de evaluación del servicio: implementar formas de evaluación por parte de los usuarios. Comentario: es una buena forma de mejorar la meritocracia, sin embargo, será necesario verificar si hay consecuencias por un mal servicio del funcionario público.Calificación única: al recibir un expediente, la revisión debe ser una sola vez, no pueden haber revisiones parciales. Si falta algún requitiso, deberá solicitarse al intereado para que subsane y pueda presentar nuevamente su expediente. Comentario: es común que algunas instituciones al encontrar que falta algun requisito, los funcionarios no revisen todo el expediente, por lo que pueden volver a devolver el expediente a medida que avanzan. El fondo de este árticulo es que soliciten lo que falta una sola vez.Declaraciones juradas no son obligatorias: la declaración del usuario, de forma física o electrónica será suficiente y tendera efectos de declaración bajo juramento. Comentario: en muchas dependencias se acostumbra exigir a los usuarios presentar declaraciones jurdadas, que implican un gasto por los honorarios que se deben pagar a un notario. No exisgirla es de gran ayuda al usuario, sin embargo, el gremio notarial no esta muy contento con esta disposición.No se puede exigir documentos de la propia dependencia: los documentos, certificaciones, constancias o información que conste en la dependencia donde se realiza el trámite y que deba ser parte del expediente, la debe incorporar de oficio la propia dependencia. Comentario: aunque parezca algo de sentido común, en la actualidad muchas dependencias exigen a los usuarios incorporar documentos que deben tramitarse en la misma dependencia, generando una serie de trámites previos o paralelos al trámite principal.Validez jerarquica de documentos: un documento que requiera de otros documentos previos de igual o menor jerarquia, libera al usuario de tener que presentar esos otros documentos. Comentario: esta disposición es muy útil, un ejemplo sería el siguente: si ya cuenta el usuario con una resolución o certificación, no pueden exigir en el expdiente la solicitud o el recibo de pago con que se obtuvo o solicitó dicho documento.Firmas legalizadas no son oblogatorias: las firmas de usuarios o representantes legales de entidades no requieren legalización notarial, ya sea que sean puestas de forma física o de forma electrónica. Comentario: es similar a lo de las declaraciones juradas, un beneficio para los usuarios.Validez de documentos públicos: un documento emitido por funcionario público se presume auténtico y no requiere ser legalizado. Comentario: similar a lo de las declaraciones juradas o firmas legalizadas, aplicado a documentos extendidos por funcionarios públicos. Es común que un documento público requerido para un trámite, lo soliciten legalizado, lo que una vez más incrementa los costos y pasos al usuario. Lo que no resulta claro es si pueden presentarse copias o debe ser el documento original. Validez de documentos otorgados en el extranjero: los documentos apostillados o certificados por funcionario guatemalteco en el extranjero, no requieren tramites adicionales para su plena validez. Comentario: esta disposición evitará la discrecionalidad de ciertas dependencias de solicitar tramites adicionales por documentos provenientes del extranjero. No exigencia denuncia por pérdida de documentos: ninguna dependencia puede exigir la denuncia de perdida de documentos para tramitar su reposición. Comentario: es una disposición muy útil para caso de perdida/robo de DPI o licencia de conducir, sin embargo, habrá que analizar si esto no es una oportunidad para tramitar documentos de forma fraudulenta.Solicitud de renovaciones de permisos, licencias o autorizaciones: cuando se solicite renovación dentro del plazo legal establecido, se tendrá por prorrogado hasta que la dependencia emita la resolución correspondiente. Comentario: es una disposición muy buena, ya que en ocasiones las dependendias no resuelven pronto sobre la solicitud de renovación, dejando al interesado en una especia de limbo legal.Modalidad de pago: se habilitan formas de pago en banca virtual, tarjetas de crédito y débito, bancos o cualquier otro medio electrónico. Comentario: una forma muy útil y común en la actualidad, pero no deben omitirse formas de pago físicas para evitar así, afectar a usuarios que no tienen acceso a esas formas de pago. Recibos de pago: los recibos pueden ser físicos o electrónicos. En esta primera entrega se analizaron los primeros dos capítulos del Decreto 5-2021. El contenido se presenta muy optimista y de gran beneficio para los usuarios, claro está con la limitación de su alcance a solo una parte del extenso aparato burocrático guatemalteco. Desde el punto de vista del diseño institucional, considero que se debe tener precaución y reserva en los efectos legales de la relajación de requisitos, algo que en principio pareciera ser una buena idea, sin embargo, la debilidad institucional y falta de controles cruzados podría ser un mal mayor que los beneficios proyectados, ya que se puede prestar a usos fraudulentos por quienes logren detectar vulnerabilidades en los trámites. Nos vemos en la próxima entrega. [...]

Guatemala: Ley de avisos electrónicos

31/05/2021Reading Time: 3 minutes El 23 de octubre de 2018 el Congreso de la República aprobó el Decreto 24-2018, denominado Ley de Avisos Electrónicos, la que dentro de sus considerandos resalta la necesidad de adecuar la legislación a los cambios sociales y tecnológicos para dotarla de mayor certeza jurídica y failitar el acceso a la información, con el propósito de disminiur de forma efectiva los costos y la burocracia en beneficio de los gobernados. El decreto de tan sólo 4 artículos fue publicado en el Diario Oficial el 15 de noviembre de 2018. Su contenido básico es el siguiente: Creación del Portal Electrónico del Diario de Centroamérica, cuyo acceso será público y gratuitoLas publicaciones estarán sujetas al cobro de un arancelSe utilizarán certificaciones físicas o electrónicas para que los interesados puedan presentarlas en las entidades correspondientes donde gestionan sus trámites.Las publicaciones ordenadas por ley serán en el Portal Electrónico del Diario de Centroamérica, con excepción de Leyes de rango constitucional Leyes que requieran mayoría especial para su aprobación por el congresoPublicaciones relacionadas con registros públicos que cuentan con su respectivo Portal ElectrónicoEntrada en vigencia el 15 de diciembre de 2018 El 17 de diciembre de 2018 fue habilitado el Portal Electrónico del Diario de Centroamérica, sin embargo, Grupo LH, Sociedad Anónima, entidad dueña del diario guatemalteco La Hora, interpuso una accion de Inconstitucionalidad General Parcial, en contra del primer parrafo del artículo 3 de la ley, logrando que La Corte de Constitucionalidad decretara la suspensión provisional de la norma el 27 de febrero de 2019, cuyo texto es el siguiente: A partir de la creación del Portal Electrónico del Diario de Centro América, se suprime la obligación contenida en cualquier ley, reglamento o disposición que ordene una publicación en ‘Diario Oficial’, ‘Diario de Centro América’ o ‘diario de mayor circulación’, la que se sustituirá por la obligación de publicar en el Portal electrónico del Diario de Centro América La inconstitucionalidad se fundamentó en violación a los siguientes derechos constitucionales Artículo 2. Deberes del EstadoArtículo 4. Libertad e IgualdadArtículo 35. Libre emisión del pensamientoArtículos 44 y 46. Derechos Humanos que conforman el el Bloque de Constitucionalidad ¿Qué es un edicto? La publicación de un edicto tiene como objetivo dar a concer a la población en general del trámite que se esta realizando, para que así, cualquier interesado pueda hacer valer sus derechos. En el ámbito jurídico suele denominarsele comunicación procesal. La legislación guatemalteca contiene diversos procesos judiciales y notariales que ordenan la publicación de edictos, que deben publicarse en el Diario Oficial y en ocasiones también requiere que se publique en otros de mayor circulación. Inconstitucionalidad no aceptada El 21 de mayo de 2021 la Corte de Constitucionalidad, en una sentencia compuesta de 52 páginas, declaró sin lugar la acción de inconstitucionalidad planteada, dejando además sin efecto la suspensión provisional, por lo que retoma su vigencia. La acción legal del periódico La Hora es interpretada por diversos sectores como una defensa de sus propios intereses, ya que la normativa afecta directamente un segmento de los servicios que ha ofrecido al público por años, como lo es la publicación de edictos por ser un diario de mayor circulación. Aún no se puede asegurar que el proceso ha finalizado, pues existen aún recursos legales que pueden ser plantados en contra de la resolución. La ley de avisos electrónicos es un avance positivo para el fin que persiguen los edictos, ya que pone a disposición de toda la ciudadania un medio de consulta en Internet, que mejora la situación respecto de un diario impreso, sobre todo por la pérdida de circulacion que sufren por la misma tecnología. No es necesario invertir en comprar el periódico, sin embargo, no debe olvidarse que debe contarse con un dispositivo electrónico con acceso a Internet, algo que cada día es más accesible a casi toda la ciudadania. Bibliografía Ley de avisos electrónicosPortal Electrónico del Diario de CentroméricaDelimitación del bloque de constitucionalidad en el caso guatemaltecoExpediente 6117-2018 [...]

El Derecho al Olvido en Internet

11/05/2021Reading Time: 3 minutes Dentro del tema de Protección de Datos Personales vinculados con internet se encuentra el concepto de Derecho al Olvido, el cual puede entenderse de dos formas. La primera se refiere a la información crediticia adversa, derecho que se encuentra vigente en muchas legislaciones desde hace años, y que permite al afectado ejercer un derecho de supresión sobre su historial de deudas, logrando así que dicha información sea eliminada de cualquier registro. El derecho de supresión de información se sustenta en la idea de que no se puede castigar para siempre a las personas por cuestiones de su pasado, siempre y cuando está información no sea de interés público. La segunda surge con el uso masivo de internet y los motores de busqueda, que permite obtener información de forma rápida y sencilla, dando un giro a la aparente neutralidad de la tecnología en los derechos de las personas, ya que la evolución surgida a partir de la Web 2.0, debe mucho su éxito a los datos que los propios usuarios comparten en internet, sin importar si dicha información constituye datos personales propios o de terceros. La consecuencia inmediata de la dinámica descrita es una aparente deshinibición de las personas en cuanto a su privacidad e intimidad, situación que muchas veces es percibida muy tarde. La información en la era digital es extremadamente dificil de borrar, inclusive para los expertos informáticos. Aunque se utilicen los comandos que teoricamente eliminan archivos, correos, fotos, videos y mensajes de texto la información no desaparece, no existe un mecanismo que asegure el borrado al cien por ciento de archivos en medios digitales, ni siquiera los golpes, el agua o el fuego pueden evitar la recuperación de información. En pocas palabras se puede decir que la huella digital es inborrable, lo que irónicamente es un incentivo para la interacción en internet en muchos aspectos de la vida diaria. El derecho al olvido es un intento desde lo jurídico por dar protección a los datos y a la intimidad de las personas sobre la información que ya existe en internet, impulsado por la normativa de protección de datos de la Unión Europea, concepto que tomo relevancia en mayo del año 2014, cuando el español Mario Costeja demando a Google para evitar que su nombre apareciera ligado a un anuncio de una subasta de bienes por un embargo por deudas con la Seguridad Social, publicado en 1998 en las páginas de La Vanguardia por orden de las autoridades competentes. El Tribunal de Justicia de la UE dicto una sentencia en contra de Google, indicando que los motores de búsqueda son “responsables” del tratamiento de los datos de carácter personal que aparecen en las páginas webs en internet, aunque estos sean publicadas por terceros, y debe atender las solicitudes que les presenten los afectados. A mi criterio el derecho al olvido presenta tres dificultades, la primera es de carácter técnico –la tecnología es más veloz que la norma-, el enfoque judicial hacia los motores de búsqueda no es correcto, la información que perjudica al interesado sigue publicada en al menos el sitio que fué indexado por el buscador demandado, siendo casi seguro además, que este en otros buscadores y publicaciones de usuarios en redes sociales, documentos y cualquier cantidad de sitios que sería imposible asegurar que el tan deseado olvido ha sido efectivo. La segunda es una mezcla entre aspectos políticos y comerciales, no parece ser compatible el derecho al olvido con la tradición norteaméricana, lugar donde se desarrollan todas las grandes corporaciones tecnológicas y que tienen claro que el motor de su industria es la información que transita libremente en el internet. La tercera es la más compleja, tiene que ver con la idea de privacidad e intimidad que parece estar siendo modificada por la interacción digital, son los propios usuarios quienes compartes sus datos y pareciera ser que la frontera entre la información pública y privada que se publica en internet, va desapareciendo rápidamente. Una crítica presentada por juristas en torno al derecho al olvido, es la posibilidad de una reconstrucción de la historia digital de una persona, enfocandose el interesado únicamente en la información que no le favorece, afectando de está manera el derecho a la información y la libertad de expresión de terceros. En latinoamérica ya hay regulación al respecto, Colombia, Argentina y Perú, entre otros han avanzado en el tema, cuentan ya con la figura del derecho al olvido dentro de sus sistemas juírdicos como medida de protección de datos personales y el derecho a la intimidad. ¿Estará la legislación de Guatemala preparada para estos temas? El derecho al olvido plantea un debate entre el derecho a la informacion y la libertad de expresión frente al derecho a la vida privada y la protección de datos de carácter personal. ¿Quién ganará la batalla? ¿Será posible una solución conciliatoria? Bibliografía Agencia española de protección de datos. Derecho de cancelación y oposición. El derecho al olvido en internet. Guatemala. 2004.FERNANDEZ D., Horacio. Derecho al olvido en internet. Argentina. 2015.RALO L., Artemi. El derecho al olvido y su protección. Revista Dosier No. 85. Diciembre 2010.Noticia: La Justicia europea reconoce el derecho al olvido defendido por España ante GoogleNoticia: Mario Costeja, el español que venció al todopoderoso Google [...]

Brazil: tribunal laboral reconoce relación laboral de conductor de Uber

27/04/2021Reading Time: 2 minutes El Tribunal Laboral de Minas Gerais, en el sureste de Brazil, reconoció el vínculo laboral entre un conductor de solicitud y Uber de Brazil. El proceso se inició en el juzgado 2o. de Trabajo de Belo Horizonte, donde un conductor de Uber solicitó que se reconociera la relación laboral entre él y la empresa Uber. El planteamiento se baso en las siguientes cuestiones : En la relación se da de forma fáctica los supuestos de los artículos 2 y 3 del CLT (Códificación de las leyes de trabajo)La prestación de servicios como conductor se realizó de forma subordinada, con el uso de medios telemáticos de mando, control y supervisión.No existe autonomía en la prestación de servicios, ya que Uber definicía el tipo de vehículo a utilizar, el cliente a atender, la fijación de los precios y la ruta de servicio.El trabajo se realiza de forma no contingente, es decir, la afirmación de que podía elegir días y horas para trabajar es falaz, ya que podría sufrir bloqueos temporales en caso de incumplimiento de las exigencias de la aplicación o no participación en promociones. El demadado, Uber, argumentó que no existía relación laboral, ya que lo celebrado es un contrato de arrendamiento de plataforma, utilizada para el acercamiento a sus clientes. El juzgado rechazo la solicitud, por lo que el conductor presento recurso de apelación. Al resolver la apelación se considero lo siguiente: El precio del servicio fue fijado por Uber, lo que quita la supuesta autonomía del conductor. La prueba documental también mostró que la empresa adopta la política de pagar primas a los conductores que se destacanEn cuanto a la no posibilidad, el juez explicó que la continuidad en la prestación de los servicios, que formaban parte de la actividad económica del imputado, quedó acreditada por el historial de viajes del conductorLa subordinación, en cambio, elemento primordial en la caracterización de la relación laboral, quedó evidenciada, según el relator, por el conjunto probatorio En opinión del juez, tales reglas hacen evidente el trabajo subordinado. “Uber ejerció plenamente su poder directivo al emitir normas relacionadas con el comportamiento y las condiciones laborales del conductor” . Agregó el el voto prevaleciente, parece cierto que el servicio de chofer que se realiza bajo demanda, como en este caso, recibe interferencias de la empresa, que adopta el control por programación o algoritmo, apuntando al estándar de calidad para el desempeño del trabajo y, en consecuencia, la rentabilidad. El magistrado destacó que el único párrafo del artículo 6 de la CLT equipara los medios de supervisión telemáticos e informatizados con los medios de mando personales y directos. La conclusión final fue la de reconocer la relación laboral del demandante con el demandado, ya que La actividad del acusado no se limita de ninguna manera a poner a disposición la plataforma digital de su propiedad mediante el pago de una tarifa. Es ella quien dicta las condiciones en las que se deben prestar los servicios, el precio del servicio, además de mantener un rígido y eficiente control electrónico de la actividad laboral del demandante. Bibliografía https://portal.trt3.jus.br/internet/conheca-o-trt/comunicacao/noticias-juridicas/justica-do-trabalho-reconhece-vinculo-de-emprego-de-motorista-com-a-uber [...]

Evidencia Digital: Un producto de la informática forense

20/04/2021Reading Time: 4 minutes En el artículo del 18 de septiembre titulado Informática Forense, se mencionó el proceso de adquirir, preservar, obtener y presentar evidencia digital, actividad que tiene como objetivo garantizar su integridad desde la propia escena del crimen hasta el momento en que ha de ser puesta a disposición de quienes decidiran si es una evidencia relevante. En el campo jurídico, la prueba constituye el medio que otorga a los jueces la convición sobre los hechos que interesan en juicio, sin éste requisito resulta impensable una adecuada administración de justicia. En la actualidad muchos acuerdos, negocios y contrataciones laborales se realizan de forma digital, utilizando el correo electrónico y una diversidad de redes sociales, existiendo además los denominados delitos informáticos, considerados como una evolución de las forma de delinquir, que incluye delitos tradicionales realizados por vías informáticas y una creciente y preocupante aparición de nuevos actos ilíticos. El experto en crímenes informáticos Ajoy Ghosh define la evidencia digital como “Cualquier información, que sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático”. Aunque la obtención de cualquier medio de prueba no es sencillo, la evidencia digital requiere un manejo diferente. A diferencia de la física, la información digital posee dos características interesantes Facil de copiar, es posible generar copias identicas sin dejar rastro, lo que dificulta establecer diferencias entre original y duplicado. Ésta facilidad de duplicidad permite que el procesamiento de la evidencia digital no se utilice la información original, para ello se realizan duplicados mediante procedimientos que garantizan su integridad bit a bit, utilizando programas especializados en informática forense. Existen también programas para verificar que una aparente copia identica no coincide con la original.Inborrable, la información digital es muy dificil de borrar, no importa que los usuarios e inclusive expertos en computación intenten eliminar registros informáticos, es posible su recuperación. Cuando la información se encuentra o transita por Internet –sitios web, correo electrónico, redes sociales- las posibilidades de eliminarla son aún más remotas. Es importante advertir que la evidencia digital, no es lo mismo que evidencia electrónica, que constituye el elemento material o físico en un sistema informático, es decir, el hardware en que se almacena o por el que se transmite la información, por ejemplo, no se debe confundir el teléfono celular –evidencia electrónica- con el mensaje de texto mediante el cual se concreta un negocio o se recibe una extorción –evidencia digital-, sin embargo, ambos elementos son parte del proceso. El reconocimiento adecuado de la evidencia digital, implica también establecer que rol juega dentro del iter criminis, logrando identificar que: Es un delito en si misma, por ejemplo si se trata de una copia no autorizada de software o información confidencial.Es un instrumento, por ejemplo el software malicioso que puede dañar sistemas informáticos o recopiliar información no autorizada.Es evidencia en la comisión de otros delitos, sean estos informáticos o no, por ejemplo los registros de acceso no autorizado a sistemas informáticos. Es la interacción de los usuarios con los sistemas informáticos lo que produce los registros que contienen la evidencia digital, los cuales se clasifican de la siguiente manera: Registros almacenados en computador, que constituye la información generada por los usuarios, tal es el caso de documentos, fotografías, mensajes, etc. En estos registros es importante determinar el autor, la fecha de creación o modificación. Es util también establecer la fuente u origen, situación que se da cuando es a través de una red local o remota, donde un documento de word almacenado en un servidor en Estados Unidos pudo ser creado por un usuario desde Singapur, Australia o Alemania. La interconectividad hoy permite que adicional a la creación remota de registros, está pueda realizarse através de computadoras personales, laptos, tablets, teléfonos y hásta consolas de juego o televisores inteligentes.Registros generados por computador, que no son generados por los usuarios, sino por las computadoras en los que se lleva el registro de eventos de usuario o logs. Los registros generados por computador pueden contener una cantidad extensa de información sobre la actividad de los usuarios, lo que permite identificar con precisión cada una de las acciones realizadas en los sitemas informáticos involucrados, constituyendo un rastro inborrable de cada elemento utilizado por los usuarios, que se relaciona con el famoso principio forense de Transferencia o Intercambio de Locard, el cual implica que “cada contacto deja un rastro“, el cual se aplica también al ámbito informático.Registros híbridos, que combinan los dos anteriores, es decir, contienen registros almacenados en computador por los usuarios y generados por computador. Los retos que representa el manejo de evidencia digital son complejos, uno de los más críticos es la cantidad de información que puede llegar a necesitar evaluarse, un volúmen muy extenso de registros causa en principio problemas de almacenamiento y toma un tiempo considerable para lograr algun resultado positivo. Existe tambien la cadena de custodia que implica la capacidad de identificar quien ha tenido acceso a los registros en cualquier momento, desde la recolección inicial hasta la presentación de la evidencia. Las deficiencias en la cadena de custodia constituyen un mecanismo efectivo para desacreditar la incorporación de evidencia en procesos judiciales. La evidencia digital como producto de la informática forense, garantiza la integridad y relevancia de los elementos que resolveran conflictos surgidos desde las nuevas tecnologías de la información, superando además las limitaciones que la prueba documental o testimonial padecen al no coincidir necesariamente con la realidad. Es común que los documentos –aún redactados con calidad de declaración jurada o respaldados con la fé pública notarial-, contengan información falsa o que las declaraciones de supuestos testigos –aunque sin intención de mentir-, se refieran a situaciones o hechos distintos a los que realmente sucedieron. Los registros digitales, mediante el uso de técnicas apropiadas, permiten una reconstrucción de hechos con menor riesgo a equivocaciones, lo cual mejora sustancialmente los resultados en el proceso de averiguación de la verdad. La cantidad de evidencia digital que se produce día a día con los millones de interacciones de usuarios es increible, constituye la huella de sus actividades cotidianas, que contiene el momento, lugar y dispositivos desde donde se realizan, información que sin lugar a dudas forma parte ya de extensas bases de datos. Bibliografía Importancia, definición y naturaleza de las pruebas judicialesHandbook Guidelines for the management of IT evidence, Ajoy GhoshManual de Manejo de Evidencias Digitales y EntornosInformáticos. Versión 2.0, Dr. Santiago Acurio Del Pino [...]

Google My Activity: registro de nuestro comportamiento en línea

13/04/2021Reading Time: 2 minutes ¿Qué tanto sabrá Google de nosotros? Es posible que sepa más de lo que nosostros mismos sabemos. A finales de junio del presente año, el gigante informático Google fué motivo de noticias y artículos a nivel mundial por el lanzamiento de su aplicación: My Activity. El nuevo servicio consiste en un registro de toda nuestra actividad en internet al utilizar Gmail, Chrome, Youtube, Facebook o las aplicaciones utilizadas con dispositivos Android entre otros. No resulta novedoso que nuestra actividad en línea quede registrada, es una posibilidad que cobra mayor conciencia en los usuarios cada día, sin embargo, al proveer una herramienta que permita el acceso sistematizado y cronológico a nuestro historial en la nube, Google puso en evidencia el nivel de exposición de nuestra información personal en la era digital. El servicio My Activity ha sido considerado por algunos como la manifestación de una sociedad donde se practica la vigilancia masiva, idea central de la obra 1984 de George Orwell, donde la privacidad en la vida es muy limitada. Las teorías conspirativas sobre la información digital pueden ser muy interesantes o motivo de preocupación, pero ¿Cuál es el objetivo de Google al ofrecer un producto que sea capaz de registrar el detalle de nuestra actividad en internet? La web ha evolucionado de ser un lugar donde se presenta información a ser un entorno donde se produce información por los mismos usuarios, la cantidad de servicios en forma gratuita que utilizamos de Google puede llegar a sorprendernos: correos, videos, buscadores, etc. El objetivo de Google se relaciona con la publicidad, enfocandose en nuestra actividad en línea y con ello poder crear campañas publicitarias segmentadas, creando a su vez una experiencia personalizada de navegación, idea que no es del todo nueva, ya que en 2015 se anunció en el Reino Unido que compañias de publicidad implementarian vallas publicitarias que cambian según quién pase por delante. El concepto se conoce como Sistema de Publicidad Exterior Personalizada, tomado del film de Steven Spielberg Minority Report, pelicula de ciencia ficción del año 2002 en el que mediante dispositivos de reconocimiento biométrico, los anuncios en las carteleras publicitarias son personalizados en tiempo real en base a las preferencias de la persona identificada. Para tranquilidad de los usuarios Google, indica que la información de My Activity solo está disponible para el propio usuario y que la herramienta le permite borrar el historial de información que desee. Es posible que con el uso de ésta herramienta se tome conciencia de la información que se registra en los servidores, generando en los usuarios un mayor sentido de responsabilidad en cuanto a lo que ponen a disposición de la red. Bibliografía Esto es lo que Google sabe de tiLa publicidad exterior personalizada de Minority Report llega a EuropaMy Activity, ¿qué sabe Google de nosotros?Qué es Google My Activity y para qué sirve [...]

Informática Forense: El manejo integral de la evidencia digital

09/03/2021Reading Time: 3 minutes El creciente uso de Internet y las nuevas tecnologías de la información han derivado en una interacción digital extraordinaria y en constante crecimiento, de tal forma que en la actualidad, muchas actividades cotidianas se realizan de forma electrónica. El proceso de generación de información digital requiere de dispositivos electrónicos, redes de comunicación y personas, pero identificar cuales y de que forma estuvieron involucrados es una cuestion extremadamente compleja y dificil. La Informática Forense – conocida también como cómputo forense, computación forense o análisis forense digital – es la aplicación de técnicas informáticas en el proceso de adquirir, preservar, obtener y presentar datos que han sido procesados y/o almacenados de forma electrónica y que son relevantes en el ámbito judicial. El elemento forense del término hace referencia a lo judicial, sin embargo, en lo privado puede aplicarse para la detección de ataques informáticos o accesos no autorizados a información de empresas y organizaciones, sin que sea necesaria la intervención de profesionales o autoridades del área jurídica. El objeto de estudio y análisis de la Informática Forense son los sistemas informáticos que de alguna manera estén involucrados en un hecho o acto de interes jurídico, lo que convierte esta disciplina en una rama auxiliar de la justicia, que se enfoca en el manejo apropiado de las evidencias de tipo digital, lo cual permite establecer hechos y formular hipótesis. A diferencia de la documentación en papel, los registros electrónicos requieren el uso de técnicas y procedimientos que permitan garantizar su uso como evidencia, lo cual representa una doble dificultad: por un lado es posible realizar reproducciones idénticas de cualquier información digital, lo que tiene una incidencia directa en la concepción de documento auténtico, por el otro, es posible manipularla y alterarla sin que sea sencillo determinar esta situación por cualquier persona, incluidos los sujetos procesales, abogados y operadores de justicia, que repercute en el concepto de cadena de custodia. La informática forense suele relacionarse con los delitos informáticos, sobre todo por la creciente vulnerabilidad identificada en usuarios, empresas y gobiernos ante los ataques informáticos, pero su aplicación no se limita al ámbito penal; la interacción digital abarca relaciones de tipo civil, mercantil y laboral, entre otras, lo que hace evidente la importancia que tomará en los próximos años la utilización de conocimientos informáticos en el campo jurídico. Hoy en día son comunes las contrataciones laborales y despidos mediante correos electrónicos o redes sociales, igual situación se da entre clientes y proveedores, quienes realizan y confirman pedidos, que sin lugar a dudas constituyen acuerdos de voluntades, plazmados en forma electrónica y que generan derechos y obligaciones, los cuales en caso de incumplimiento será necesario presentar en instancias judiciales como evidencias. El conocimiento informático en la actividad forense abarca diversas áreas, además del dominio de software y hardware, es necesario conocer de redes, hacking, cracking y otrás habilidades informáticas con el fin de poder superar las dificultades que representa la fragilidad de la información digital. El profesional del derecho requiere al menos, un entendimiento básico de los resultados aportados por la Informática Forense, que son de carácter técnico y científico, de tal forma que pueda participar dentro del proceso juidicial o extrajudicial de que se trate, con los argumentos necesarios que respalden sus escritos o intervenciones en debate. El manejo integral de la evidencia digital requiere de la metodología que ofrece la Informática Forense, para garantizar que llegado el caso, pueda ser aceptada legalmente en un proceso judicial . El aporte que desde la informática se da a lo jurídico requiere una doble comprensión: de los profesionales informáticos en cuanto a la importancia del resultado de su trabajo en los procesos judiciales y extrajudiciales que se sustentan con evidencia digital; y de los profesionales del derecho en cuanto a la importancia de actualizar sus conocimientos respecto de los efectos que las nuevas tecnologías de la información requieren de su profesión. La Informática Forense abre un vínculo interesante y necesario entre los profesionales de la informática y del derecho, lo cual requiere la construcción de puentes de comunicación, de tal forma que desde ambas visiones se puedan abordar apropiadamente las repercusiones que la información digital tiene sobre el manejo de las evidencia que pueden ser la base de los procesos judiciales. Bibliografía La informática forense en la investigación de delitosAnálisis forense digital. Lopez Delgado, Miguel.Computo Forense.Del disco flexible a la nube: pasado, presente y futuro de la informática forense. Pages Lopez, Javier.Evidencia digital e informática forense. Beltran Santana, Salvador Clemente.Informática forense. Zuccardi, Giovanni & Gutierrez, Juan David.The cuckoo’s egg. Stoll, Clifford. [...]

Virgina, EEUU: aprueba ley de Protección de Datos de los Consumidores

02/03/2021Reading Time: 2 minutes El gobernador del Estado de Virginia, aprobó la Ley de Protección de Datos de los Consumidores de Virginia (VCDPA), la cual entrará en vigencia en 2023. El objeto de la normativa, cuyo nombre es SB 1392 Consumer Data Protection Act, es regular la forma cómo las empresas manejan los datos personales de sus usuarios, permitiendo a estos ejercer sus derechos de acceso y control de su información personal. Con esta acción, Virginia se convierte en el segundo Estado con una ley de alto nivel en materia de privacidad, siendo la primera la existente en el Estado de California. Ambas normas se basan en el modelo del Reglamento General de Protección de Datos europeo. La VCDPA esta dirigida a todas las instituciones, organizaciones o entidades que lleven a cabo actividades comerciales en la Commonwealth de Virginia o que produzcan productos o servicios dirigidos a los residentes de la Commonwealth y que durante el periodo de un año: Controlen o procesen datos personales de al menos 100,000 residentes de VirginiaObtengan mas del 50% de los ingresos brutos de venta de datos personales La nueva ley regula los derechos de los usuarios y las obligaciones de los responsables del tratamientos de datos personales. Los derechos de los usuarios, contenidos en la sección 59.1-573, son: Confirmar si sus datos personales están siendo procesados por un controlador; Corregir las inexactitudes de sus datos;Eliminar los datos personales obtenidos del consumidor o sobre él;Obtener una copia de los datos que el consumidor proporcionó previamente al responsable del tratamiento en un formato portátil y “fácilmente utilizable”; yExcluirse de la recopilación de datos si éstos se recogen “con fines de publicidad dirigida, venta de datos personales o elaboración de perfiles para promover decisiones que produzcan efectos jurídicos o de importancia similar en relación con el consumidor”. En cuanto a los responsables del tratamiento, las obligaciones contenidas en la sección 59.1-574 son: Limitar la recopilación de datos personales a lo que sea “adecuado, pertinente y razonablemente necesario” en relación con los fines del tratamiento, que debe ser revelado al consumidor;Abstenerse de procesar los datos personales con fines distintos a los revelados, a menos que el consumidor dé su consentimiento;Establecer, aplicar y mantener prácticas razonables de seguridad administrativa, técnica y física de los datos para proteger la confidencialidad, integridad y accesibilidad de los datos personales.No procesar los datos personales en violación de las leyes antidiscriminatorias, ni discriminar a los consumidores por ejercer cualquier derecho del consumidor bajo la CDPA.Abstenerse de procesar datos “sensibles” del consumidor sin su consentimiento. La protección de datos en la tradición anglosajona, específicamente en Estados Unidos, es un poco distinta a la de otras tradiciones jurídicas, ya que se centra en la figura de usuario como consumidor, por lo tanto, puede dejar fuera de la protección o otros usuarios de las plataformas en línea. Adicionalmente no existe una autoridad central en materia de protección de datos, ya que son regulaciones propias de cada Estado, lo que representa un aspecto interesante a evaluar a futuro. Bibliografía Virginia governor signs key privacy bill into lawSB 1392 Consumer Data Protection ActLa Ley de Protección de Datos de los Consumidores de Virginia (VCDPA) [...]

Costa Rica considera su ley de Proteccion de Datos obsoleta

02/02/2021Reading Time: 2 minutes Costa Rica cuenta desde el año 2011 con una norma de protección de datos personales. La ley número 8968 de Protección de la Persona frente al Tratamiento de sus Datos Personales dio vida a la Agencia de Protección de Datos de las Habitantes –PRODHAB– , adscrita al Ministerio de Justicia y Paz. Su principal objetivo es garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes. Sectores relacionados con la normativa y la protección de datos personales en Costa Rica consideran que la ley vigente se ha quedado corta, teniendo como referente para dicha preocupación la creciente proliferación de iniciativas de ley en el mundo, inspiradas en el Reglamento General de Protección de Datos de la Unión Europea (RGPD). Un segundo factor, pero no por eso menos importante, es la preocupación surgida en 2020 por la presentación de una iniciativa para crear un repositorio único de datos biométricos y encargar su administración al Tribunal Supremo Electoral (TSE). Dicho proyecto establece acceso ilimitado a las autoridades judiciales y de investigación criminal de Costa Rica, con el objetivo de apoyar el combate a la criminalidad. Dicha propuesta ha generado preocupación ante la posiblidad de lesionar derechos de los ciudadanos, situación que se dió en febrero de 2020 cuando desde Casa Presidencial se dirigió un incidente de violación de la privacidad de las personas. Ante las preocupaciones sociales sobre la situación de protección de datos, el partido oficialista presentaron una iniciativa de ley que plantea una reforma a la norma vigente. Algunas de las principales características del proyecto son: Amplía la lista derechos, incluyendo el derecho a la portabilidad y a no ser objeto de decisiones basadas únicamente en tratamiento automatizado Propone una aplicación extraterritorial de la ley para más protección a las personas independientemente de dónde y quién realice el procesamiento de los datosMejora la Agencia de Protección de Datos de los Habitantes convirtiéndola en una autoridad con independencia funcional, administrativa, técnica, presupuestaria y de criterioEstá basado en principios inspirados en el Reglamento General de Protección de Datos Personales de la Unión Europea Con la aprobación de las reformas propuestas, Costa Rica podrá actualizar su marco normativo a nivel de estándares internacionales, además, le permitiría al país centroamericano adherirse al Convenio 108 de la Unión Europea sobre Protección de Datos Personales. Bibliografía Costa Rica: proponen una moderna ley de datos personalesCosta Rica: reforma para protección de datos personalesNormativa de protección de datos personales vigente en Costa RicaAllanan la casa presidencial en Costa Rica por caso de presunta violación de datos [...]

Autoridad peruana de Protección de Datos Personales emite mas de cien sanciones

19/01/2021Reading Time: 2 minutes Algunos países en Latinoamérica cuentan con legislación relacionada con los efectos que la tecnología ha generado en la sociedad. Perú cuenta desde el año 2011 con una Ley de Protección de Datos Personales, ley numero 29733 del Congreso de la República. Debido a la pandemia del COVID-19, en 2020 se registro un crecimiento exponencial de la actividad en línea de los usuarios en Internet. Actividades de todo tipo fueron realizadas a través de plataformas de organizaciones publicas y privadas, permitiendo a los usuarios adquirir productos y servicios, recibir educación y hasta resolver tramites administrativos y judiciales. Tanta interacción remota representa a la vez un riesgo para los datos de los usuarios, lo que no siempre se puede garantizar por la ausencia o deficiencia de políticas de Protección de Datos Personales de las mismas plataformas. La Autoridad Nacional de Protección de Datos Personales (ANPD) del Ministerio de Justicia y Derechos Humanos de Peru fiscalizó a más de 300 entidades públicas y privadas, que derivaron en al menos un centenar procedimientos administrativos sancionatorios (PAS). Bancos, clínicas, universidades, supermercados, redes sociales, agencias de riesgo de crédito, entre otras forman parte de las entidades sancionadas por el mal tratamiento de los datos personales de sus usuarios. Uno de los casos más importantes como antecedente judicial fue la sanción impuesta a una red social internacional, lo que confirmó la competencia de la ANPD para sancionar entidades extranjeras que manejan datos personales de ciudadanos peruanos. Dentro de las deficiencias tomadas en cuenta para sancionar se encuentran Quebrantar el deber de confidencialidadUtilizar datos de riesgo para realizar perfilamientoNo cumplir con obtener el consentimiento válido ni con el deber-derecho de informarNo informar el uso de los datos obtenidos de los usuariosRecopilar informanción sensible –como religión-, no necesaria para el proceso Las sanciones impuestas en Peru por una autoridad del Estado, confirman que la Seguridad de la Información no es un asunto de estándares tecnológicos, ya que existen sanciones jurídicas reales. Bibliografía https://www.gob.pe/institucion/minjus/noticias/324309-anpd-fiscalizo-a-305-entidades-emitio-mas-de-100-resoluciones-e-impuso-multas-por-mas-de-3-5-millones-de-soles-durante-el-2020Autoridad de Protección de Datos Personales, PerúLey de protección de datos, Perú [...]

Derecho Informático: 50 años después

05/01/2021Reading Time: 4 minutes Ha transcurrido ya más de 50 años desde que en la decada de los años 70 del siglo XX, el alemán Wilhelm Steinmuller utilizara quizá, por primera, vez la expresión Derecho Informático. Diversos ensayos e investigaciones le atribuyen al académico de la Universidad de Regensburg en Alemania, el haber acuñado el término Rechtinformatik, luego de dar a conocer un extenso trabajo en alemán compuesto de cinco partes titulado Informations Technologie Und Gesellschaft, einfuhrung in die angewandte informatik, conocido como el primero y más comprensivo texto existente de informática aplicada. A partir de la segunda mitad del siglo XX, junto con el desarrollo tecnológico en computación e informática se fueron generando efectos sociales que dificilmente pudieron haber sido anticipados. La incorporación gradual de las computadoras a la vida social, que en principio fue sólo a ciertos sectores, fue moldeando una relación cada vez más estrecha entre los individuos y las computadoras –cibernética-. Gracias a la informática los seres humanos ven surgir ante sí, capacidades de procesamiento de información sin precedentes, con infinidad de aplicaciones a la vida en sociedad, que con el pasar de las decadas fueron trasladandose de ambientes sofisticados y exclusivos a entornos simples y de grandes masas. informática Jurídica La automatización de procesamiento de grandes cantidades de información no demoró en llegar al campo jurídico, así en Estados Unidos se inician proyectos de recuperación automatizada de documentos legales. A finales de 1960, en el Health Law Center de la Universidad de Pittssburgh, el profesor John Horty hacia una demostración de un sistema automatizado de recuperación de leyes estatales en una reunión de la American Bar Association, lo que motivo a otras asociaciones a trabajar en proyectos similares. Para finales de los años 80, más de tres mil bases de datos de leyes estaban disponibles en los Estados Unidos, lo que no tardó en extenderse a muchos países debido a su gran utilidad en el campo legal. La aplicación de tecnología informática al campo jurídico se conoce como Informática Jurídica, que a su vez se divide en 3 áreas: Informática Jurídica Documental. Recuperación de textos de indole jurídica (legislación, sentencias, investigaciones, etc.) en base a diversos criterios de búsqueda. En sus inicios la información se encontraba en computadoras fíjas o medios de almacenamiento como discos, sin embargo, hoy en día pueden ser consultados en línea.Informática Jurídica Decisional. Conocida también como Informática Metadocumental, que se utiliza para proveer soluciones a casos jurídicos, partiendo de una información inicial utilizada como entrada al proceso, que luego, dará como salida una solución de alcance jurídico. Estos procedimientos han evolucionado y hoy en día son parte de una disciplina de mucho auge, conocida como Inteligencia Artificial, sin embargo, existen muchas dudas de su correcta aplicación al campo jurídico.Informatica Jurídica de Gestión. Conocida también como Informática Judiciaria, que se utiliza en la automatización de los procesos jurisdiccionales, apoyando las agendas de los juzgados, llevando el control de los pasos o etapas de los distintos procesos y en la generación automática o semiautomática de textos jurídicos como pueden ser resoluciones de trámite y hasta sentencias. Derecho Informático Aunque la Informática Jurídica es de gran beneficio para el Derecho, no es lo mismo que Derecho Informático o como algunos le denominan Derecho de la Informática. Los grandes personajes de la informática, jamás previeron los alcances de sus aportes e invenciones en la sociedad, mucho menos pudieron imaginar que tendrían un impacto muy especial en el campo jurídico. Es común pensar que las creaciones tecnologicas, dificilmente impliquen peligro o una amenaza para los usuarios, sin embargo, poco a poco fueron surgiendo reflexiones y señalamientos sobre la necesidad de poner atención en los efectos negativos que puede tener la tecnología informática en las personas o sus bienes. En 1991 el Dr. Julio Tellez, propuso en su obra Derecho Informático un concepto de Derecho de la Informática, indicando que es el conjunto de leyes, normas y principios aplicables a los hechos y actos de la informática, haciendo la aclaración que para esos días, era muy escasa o nula, la legislación relacionada con la informática. En 1996, el Dr. Tellez al hablar del origen de este nuevo derecho asegura que se da en el seno de la cibernética, que tiene su base y funcionamiento en el factor social, es decir se origina de la necesidad social de un desarrollo socio económico, político y científico. El abogado argentino, Miguel Sumer Elías, especializado en delítos informáticos, ciberseguridad, privacidad y protección de datos personales, al hablar de Derecho Informático indica que Consiste en el conjunto de normas y principios que regulan los efectos jurídicos nacidos de la informática y de las tecnologías de información y comunicación (TIC). Así, la Ciencia Jurídica analiza las transformaciones que la informática produce en todos los ámbitos de la sociedad con el fin de poder regularlas adecuadamente. Han pasado tres decadas desde que Julio Tellez se aventuró a dar un concepto a una rama jurídica que genera escepticismo entre muchos estudiantes y profesionales del Derecho. A partir de la segunda mitad del presente siglo, nuevos avances tecnológicos expandieron a niveles globales el aprovechamiento de los productos informáticos, a tal grado que son considerados básicos para el desarrollo de actividades cotidianas. Resultado de la pandemia que afronta la humanidad desde marzo del año 2020, millones de personas se vieron forzadas a utilizar las nuevas tecnologías, debido a que el confinamiento obligatorio, dejo como única alternativa la comunicación e interacción remota, para lo cual es necesario utilizar dispositivos conectados a Internet. La hiperconexión que ha experimentado la raza humana durante la pandemia, ha puesto de manifiesto los peligros que algunos han advertido por varias decadas. Hoy se abre un espacio para el Derecho Informático, una rama jurídica autónoma, que se asoma por el horizonte con características, método y objeto propio, pero que deberá superar varios obstáculos para ocupar un lugar formal en la ciencia del Derecho. Bibliografía https://web.archive.org/web/20060515203218/http://www.informaticsapplied-textbook.info/Electronic Databases in Legal Research: Beyond Lexis and Westlas, S. Blaid Kauffman, 1987Derecho Informático, Julio Tellez Váldez, 1991Derecho Informático e Informática Legal, Miguel Sumer Elías, 2005.Las nuevas tecnologías en tiempos del COVID-19 [...]