Noticias de Interés

28/05/2011 Publicada en el BOE la Ley que regula el juego online(PDF) 31/03/2011 Juez obliga a devolver el canon a Nokia # 24/03/2011 La Audiencia Nacional anula la normativa que regula el canon digital # 23/03/2011 Audiencia Provincial de Madrid - Caso Indicedonkey y Caso Spanishshare: Enlazar no es delito # 17/03/2011 Miembro de la Academia de Cine detenido por lucrarse colgando películas en la red de forma presuntamente ilícita # 17/03/2011 Estados Unidos bloquea exvagos.es # 03/03/2011 Sentencia contra el canon en la Audiencia Provincial de Barcelona # 15/02/2011 Se aprueba la Ley Sinde en el Congreso-Ya es definitiva # 04/02/2011 Aprobado Proyecto de Ley de Regulación del Juego ONLINE # 01/02/2011 Comisión de Economía del Senado aprueba la Ley Sinde # 26/1/2011 Twitter bloqueado en Egipto por protestas contra Mubarak # 25/1/2011 Alex de la Iglesia diimite tras nefasta Ley Sinde # 24/1/2011 PP y PSOE pactan ley SINDE # 24/1/2011 Gran operación policial contra la pedofília # 15/1/2011 Anonymous convoca ataque DDoS el 16 de enero a las 18:00 por la votación el 18 de Enero de la ley Sinde # 12/1/2011 Tribunal Constitucional: la sentencia del canon europea ha de aplicarse en España porque forma parte de nuestro derecho interno # 11/1/2011 Convocada por internet primera manifestación contra Ley Antitabaco # 11/1/2011 Victoria judicial de Rapidshare en Alemania # 8/1/2011 Manifestaciones en toda España contra Ley Sinde # 8/1/2011 Manifestación en Murcia pro Wikileaks y contra Ley Sinde # 3/1/2011 Sentencia sobre caso Chipspain.com # 23/12/2010 Detenciones de responsables de webs de descarga y grabadores de screeners # 21/12/2010 Hoy se aprueba la ley SINDE con polémica y movilizaciones # 16/12/2010 Detención y registro TaquillaDivx.com # 13-12-2010 Suspensión medidas cautelares contra PSJailbreak #

lunes, 28 de marzo de 2011

RIP: Muere Paul Baran, uno de los padres de internet. 
 

Noticia aquí. Su aportación aquí
Safe Creative #1012140013368

Cloud Computing: ¿quien es el responsable de nuestros datos?

Ya hemos hablado de la importancia que el Cloud Computing tiene y tendrá en nuestras vidas y en general de sus riesgos, pero me gustaría pormenorizar en aspectos concretos.

Descripción del problema

En el uso de el cloud computing, el usuario gestiona sus datos fuera de su terminal informática y estos se almacenan en servidores de segundas o incluso terceras empresas. Esto evidentemente supone riesgos que ya vimos en el post sobre riesgos del cloud computing.

El usuario tiene derecho a:

1. Disponer de la información relativa a sus datos personales (consultar, modificar o borrar la misma).
2. Conocer en todo momento quien tiene esos datos, donde y con que finalidad.

Este último aspecto puede ser un problema ya que nos encontramos que los datos no los trata la empresa con la que hemos contratado o suscrito un servicio, sino un tercero.  ¿Quien es entonces el responsable? ¿En que medida? ¿Pueden estos datos acabar en un país con un nivel de protección menor?

La LOPD y su ámbito de aplicación

El art. 2 de la Ley Orgánica de Protección de Datos  (LOPD) y su reglamento aprobado por el Real Decreto 1720/2007 en el art. 3 establecen su ámbito de aplicación y haré algún comentario respecto al cloud computing:

- Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento. 

¿Que es un establecimiento en el caso del cloud computing? El artículo parece referirse a un centro de procesamiento físico, lo cual puede ser hasta irrelevante en el caso del cloud computing.

 - Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

 Por interpretación del siguiente apartado se circunscribe al ámbito comunitario sujeto a la  Directiva 95/46/CE.

 - Cuando el responsable del tratamiento no este establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

El Documento de Trabajo WP56 de 2002 del Grupo de Trabajo sobre el artículo 29 ya dictaminó que el uso de cookies (almacenados en el ordenador del usuario) servía para  considerarlo medio utilizado para el tránsito.

- Cuando el establecimiento no se encuentre ubicado en territorio español, pero  pero exista un encargado del tratamiento ubicado en España, serán de aplicación al mismo las normas contenidas en el título VIII del presente reglamento.

 En este título VIII se establece el cumplimiento obligatorio de determinadas medidas de seguridad.

-Si el responsable del tratamiento no está establecido en el territorio de la Unión Europea, pero utiliza medios situados en territorio español, este responsable del tratamiento debe designar un representante establecido en territorio español.

Lo que de ser efectivo facilita la identificación del responsable.

-Y por establecimiento hay que entender cualquier instalación que permita el ejercicio efectivo y real de una
actividad, con independencia de la forma jurídica adoptada.

Así, la determinación del responsable esta bastante delimitada legalmente, lo cual no significa que sea fácil o incluso posible de forma efectiva en todos los casos, pero ¿qué sucede cuando los datos son tratados por un tercero? 

El art. 12 de la LOPD y los arts. 20 a 22 de su Reglamento regulan la relación entre el responsable y ese tercero. 

La cesión de datos esta admitida legalmente en el 12.1: "no se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento", mediante un contrato en el que se especificará "únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas".

El art 20.2 nos dice que será el responsable del tratamiento el que deberá controlar que el tercero que trate estos datos lo hace conforme al reglamento, incluso si este tercero, habilitado por el propio responsable, subcontrata a otra empresa para tal función.

Es decir, seguimos teniendo al responsable identificado y este será enjuiciable en España.

En breve, una referencia al Movimiento Internacional de Datos.

Para saber mas: 




WP56 de 2002 del Grupo de Trabajo sobre el artículo 29 
Safe Creative #1012140013368

sábado, 26 de marzo de 2011

El HTTPS no es infalible: los grandes son atacados, puede que constantemente

Explicamos el otro día que las conexiones HTTPS aportan un extra de seguridad a las conexiones, pero ojo, no son infalibles.

Los grandes de internet: atacados

Hace un par de días,  Jacob Appelbaum, creador del interesante proyecto de anonimato online TOR e investigador de seguridad, denunciaba que había descubierto un ataque MAN-IN-THE-MIDDLE que había afectado afectaba a grandes compañias como Google o Yahoo. Mediante un falso certificado, un servidor iraní estaba recibiendo las claves privadas que encriptan las contraseñas, así como el resto de paquetes por lo que podría extraerlas. 

El ataque fue solventado sin ser hecho público, mediante actualizaciones en los principales navegadores para que no aceptaran esos certificados.

Luz y taquígrafos

COMODO, empresa dedicada a servicios de seguridad informática (antivirus, firewalls) y proveedor de certificaciones SSL, el certificador suplantado, al parecer desde un servidor iraní, publicó información sobre el ataque sufrido el día 15 de marzo mediante un post en su blog (accesible aquí). 8 días después del ataque.

El HTTPS no es infalible

El hecho de que los navegadores tengan listas de certificados no autorizados es evidencia de que estos ataques se producen continuamente.

Sin embargo el modo de atajarlos es ciertamente preocupante, ya que dependen de una actualización del navegador por parte del usuario, actualización que no es forzada en ningún caso sino meramente recomendable. Es decir, los usuarios pueden quedar expuestos durante mucho tiempo.

Parece que el método de listas de certificados revocados, que en todo caso deberán haber sido incluidas en una actualización del software, como si fuera un error del mismo en lugar de un ataque, no convence a los expertos en seguridad. De hecho, si el cracker esta capturando los paquetes del usuario, en todos los navegadores recibe las claves privadas.Es decir, los ataque dirigidos (al contrario de los aleatorios y en cualquier caso los más peligrosos) no se evitan con estas técnicas.

La proliferación de Certificadores no ayudaThe EFF SSL Observatory ha denunciado la existencia de 650 certificadores sospechosos autorizados por Microsoft y Mozilla.

El principal problema y puede que la solución es que los certificados tienen largas vigencias (1 año o más). Si esta fuera de unos pocos días se minimizarían los riesgos a cambio de una pequeña molestia al usuario (aceptación de certificados). Así que el panorama esta avocado al cambio, o eso espero.

Y mientras tanto, usar una VPN o TOR para nuestras conexiónes vitales puede no ser una mala idea.

Para saber más:





Safe Creative #1012140013368

viernes, 25 de marzo de 2011

OJO: El canon no es ilegal, sino su reglamento

La sentencia que ha llenado los medios de comunicación solamente castiga defectos de forma en la promulgación del reglamento que extendió el canon a dispositivos antes exentos, como los discos duros o los teléfonos móviles.

El canon, por mucho que nos pese, sigue siendo legal.

Derecho en Red hace un estupendo análisis. 

Safe Creative #1012140013368

martes, 22 de marzo de 2011

HTTPS ¿Qué es? ¿Por qué no se usa en todas las conexiones?

Hace unos días mencioné de pasada el HTTPS en el post sobre Riesgos del Cloud Computing. No es un sistema novedoso, y funciona la mayor parte de las veces de forma invisible para el usuario. Pero empecemos por el principio.

¿Qué es HTTP?

Estas siglas significan Hipertext Transfer Protocol o Protocolo de Transferencia de Hipertexto y es uno de los pilares sobre el que descansa la web (World Wide Web) actual. 

De forma llana y entendible, el HTTP es un lenguaje para preguntas y respuestas sobre el que se sostiene toda la información que hay en internet. Así cuando yo quiero entrar en una página web mi ordenador hace una pregunta al servidor en el que según el servidor de DNS esta está almacenada y este me responde enviándome la información solicitada si tiene esa información. Así de sencillo y así de vital.

Es un protocolo sin memoria, es decir, el no contiene información del usuario que hace la petición. Y hay día muchas aplicaciones web necesitan reconocer nuestro estado (quienes somos, que hemos hecho en esa web, etc). Para solucionar esto existen los cookies (concepto que me es necesario para un próximo post sobre la nueva regulación de la UE sobre privacidad) en la que el servidor que contiene la web almacena información del ordenador cliente que hace las preguntas o peticiones. Para que os hagáis una idea, cuando accedéis a vuestro email desde vuestro ordenador puede que os reconozca como usuarios (y os pida la contraseña) o incluso que os de acceso inmediatamente. Eso es gracias a una cookie que se envía junto a la petición aportando dichos datos.

¿Qué peligros tiene el HTTP?

Pues principalmente que alguien puede estar escuchando esa pregunta a la que añadimos una cookie con nuestra información, bien sea de forma pasiva (Eavesdropping) o de forma activa (Ataque Man-in-the-middle) ya que nuestro mensaje pasa por muchos puntos. Aunque a priori la información puede estar cifrada, si se captura la clave pública que usa el servidor, es posible modificar el mensaje para que un intermediario se convierta en receptor de una información privada.

Por ejemplo: Imaginen la banca online sin protección (tranquilos que ya no existe):
  1. Juan quiere comunicar con su Banco y Ladrón quiere obtener información. 
  2. Para iniciar la conversación Juan pide a Banco la Clave Pública que usa con el. 
  3. Ladrón intercepta la respuesta de Banco. 
  4. Ladrón modifica el mensaje usando una Clave Pública distinta y lo envía a Juan falseando identidad.
  5. Este cree recibir respuesta del banco y responde enviando su Clave Privada (su contraseña) a Ladrón.
  6. Ladrón recibe Clave Privada de Juan y puede iniciar proceso con el banco.
Cuidado con Firesheep y las redes públicas

No me cansaré de decirlo, si hace unos años usar un sniffer no era muy complicado (yo hice pruebas capturando mis propias conversaciones de Messenger con Wireshark y algún plugin) hoy es simplemente sencillísimo con aplicaciones como Firesheep, una extensión de Firefox con la que podemos obtener todas las contraseñas no seguras usadas en nuestra red o en una red pública.
  
¿Qués es HTTPS?

Pues una forma de crear una comunicación segura en una red insegura. Para ello esta comunicación esta avalada por una Autoridad de Certificación en la que nosotros confiamos.

¿Qué mejoras de seguridad supone el HTTPS?

 Pues principalmente los siguientes:

1º Tenemos un navegador que reconoce a la autoridad de certificación.

VeriSign o Microsoft por poner un par de ejemplos son autoridades certificadoras de conexión HTTPS. Nuestro navegador acude a ellos para verificar si la web a la que hacemos la petición es quien verdaderamente dice ser (Por ejemplo, si Banco es Banco y no Ladrón). 

La barra de direcciones del navegador suele mostrar un icono distinto cuando estamos en una conexión HTTPS. Y si pulsamos en ella nos da información adicional sobre la autoridad.

2º  El Administrador de la Web a la que accedemos obtiene un Certificado de Clave Pública.

Así, en caso de que una Clave Pública no este identificada como Certificada por la Autoridad de Certificación, nuestro navegador desplegará una alerta. 

3º SSL y TLS, el lenguaje de preguntas y respuestas va encriptado.



La comunicación comienza con una mediación con la Autoridad de Certificación para establecer como la pregunta y la respuesta va a ser encriptada (ambos extremos debemos conocer el método y las claves).

Para ello, cuando preguntamos (clientHello) nuestro navegador añade información sobre que tipos de encriptación soporta y este nos responde (serverHello) con la encriptación elegida. Después, por medio de la Autoridad de Certificación se nos concede o bien una Clave Simétrica para ambos o bien una Clave Pública compartida para descifrar una nueva Clave privada.

Y debajo de estas técnicas de cifrado esta el HTTP, es decir, la pregunta y la respuesta.

4º En ocasiones se garantizan que todos los nodos por los que ha pasado el paquete de datos son seguros.

 ¿Por qué no todo internet funciona con HTTPS?

Esta claro que una comunicación segura es mejor que una que no lo es, y aunque va creciendo el número de comunicaciones que usan el HTTPS, la gran mayoría de estas se producen sin ella. Las razones son enumerables:

1º Alto coste de los certificados de seguridad. 

Las Autoridades de Certificación no son gratis, por ello es normal que los comercios y la banca online, o las grandes corporaciones de internet las utilicen pero no las pequeñas y medianas webs. 

(Edito: En comentarios un lector nos indica que hay una entidad de certificación con un plan gratuito. Grácias por la información). 

2º El HTTPS no produce caché de datos.

Lo que hace que, especialmente cuando accedemos a webs alojadas en servidores lejanos (piensen en datos que tienen que recorrer medio mundo), todo el contenido tenga que ser reenviado, cuando la web normalmente almacena una serie de datos fijos que dan una velocidad aparente a nuestro navegador.

3º La negociación SSL inicial añade retardo.

Si la seguridad no es esencial, solemos preferir la velocidad.

4º No es usable en los Servidores Virtuales.

Esto es algo técnico, pero imaginemos que yo alquilo un espacio de servidor en una gran empresa de servidores y desde el gestiono a nivel software mi propio servidor. Esta es una práctica habitual. No esta bien solucionada la posibilidad de usar HTTPS (si mediante extensiones TLS pero de forma parcial).

¿Que hacer para evitar Firesheep y otros sniffers?

Hay varias extensiones que fuerzan el uso del HTTPS en los servidores que lo admitan. Muchas webs la ofrecen pero no la utilizan por defecto para maximizar la velocidad.





Mas seguro que estos es usar una VPN (Red Privada Virtual) de la que ya hablé el pasado mes (enlace aquí). 
  
Para saber más:



Safe Creative #1012140013368

lunes, 21 de marzo de 2011

Estafando con la Ley Sinde: La Guardia Civil avisa

El GDT (Grupo de Delitos Telemáticos) de la Guardia Civil avisa de una nueva estafa en internet:



Nos llega un correo-tipo de contencioso@sgae.es o similar que dice:

"Su IP ha sido identificada como punto de descarga de contenidos protegidos por derechos de autor, ingrese 100€ en la siguiente cuenta de paypal xxxxxxxx@xxxxxx para evitar la iniciación de un proceso judicial de acuerdo con la normativa aprobada en la Ley de Economía Sostenible (Ley Sinde)."

OJO, el contenido puede variar.

Safe Creative #1012140013368

viernes, 18 de marzo de 2011

Un vistazo a la regulación chilena sobre neutralidad en la red

El pasado 15 de Diciembre Chile aprobó una regulación sobre la Neutralidad en la Red que puede servir de modelo a posibles normas en el resto de países. Pueden acceder a la misma aquí.

Básicamente regula tres principios:

1º Publicidad sobre la conexión. 

Cada ISP deberá establecer una web donde, de forma sencilla y sin complicaciones, cada cliente podrá acceder a la información efectiva de la conexión contratada, es decir, acceder a los "log" de usuario. En ella podrá comprobar si lo contratado se acerca a lo que es en realidad ofrecido por el proveedor de acceso para su conexión en concreto.

En España se puede acceder a datos medios, que normalmente publica el Blog de la CMT, pero no a los datos de la conexión de cada cliente.

2º  Prohibición de bloquear, interferir, discriminar o restringir cualquier contenido, aplicación o servicio legal de forma arbitraria ni basándose en la fuente de origen o la propiedad de estos.

Es decir, prohibe que se censuren determinados protocolos (VoIP, P2P, video-streaming).

3º Abre la puerta a un Internet de sin acceso a determinados protocolos y a las medidas de gestión de tráfico.

Esta es la parte oscura de este reglamento. Por un lado en el art. 7, el mismo que prohibe el bloqueo de servicios, dice que deberá proveerse a cada usuario: "un servicio de acceso a Internet o de conectividad al proveedor de acceso a Internet según corresponda, que no distinga arbitrariamente contenidos, aplicaciones o servicios, basados en la fuente de origen o propiedad de éstos, habida cuenta de las distintas configuraciones de las conexiones a Internet, las que varían según el tipo de contrato vigente con cada usuario". Además el art. 9 afirma que los ISP podrán bloquear contenidos, aplicaciones o servicios a petición expresa del usuario, diferenciado del control parental, obligado mas abajo. ¿Podrán lanzar modalidades contractuales con bloqueos?

Se puede interpretar que no puede haber un control arbitrario pero si basado en modalidades de contrato. Por ejemplo, un contrato sin VOIP mas barato u otro sin P2P (aunque su contenido sea legal).

Por otra parte el art. 8 establece la posibilidad ("podrán tomar acciones necesarias")  para llevar a cabo gestión de tráfico siempre y cuando esto no pueda afectar a la libre competencia. Y estas medidas no serán arbitrarias si hay información al usuario y no haya discriminaciones injustificadas. Es decir, se habilitan las restricciones aunque su norma general de Telecomunicaciones (Ley 18168 art 24 H) las prohibe sin excepciones.

Esto puede esconder que se privilegien todos los servicios de pago de forma igualitaria (que son los que de forma efectiva ejercen competencia) sobre los servicios gratuito (por ejemplo, streaming de video o audio gratis legal).

Repercusiones

Quizás por estas zonas oscuras, que da posibilidades a un cambio en la gestión y forma de Internet, la norma no ha despertado todas las simpatías esperadas. De hecho, recientemente se ha presentado un requerimiento legal en contra de esta regulación.  

Mi opinión es que una regulación es necesaria, pero no cualquier regulación es válida. Nuestro Senado ya hizo de forma unánime una declaración al respecto en 1 de Diciembre de 2010.

¿Qué nos deparará a los españoles? 
Safe Creative #1012140013368
"Cada cliente debería ser capaz de acceder a cada servicio, y cada servicio debería ser capaz de acceder a cada cliente... La web ha crecido tan rápido porque teníamos dos mercados independientes, uno para la conexión y otro para contenido y aplicaciones."

"Every customer should be able to access every service, and every service should be able to access every customer ... The web has grown so fast precisely because we have had two independent markets, one for connectivity, and the other for content and applications."

Tim Berners-Lee, uno de los creadores de internet. 

16 de Marzo de 2011.
Safe Creative #1012140013368

jueves, 17 de marzo de 2011

Internet sin protocolos: cambiando carreteras por muros

Si ayer veíamos las pretensiones de una internet de dos velocidades, otra variedad de desintegración de internet, la que existe desde el primer día en las plataformas móviles y amenaza con trasladarse a las conexiones fijas, es la que afecta a los protocolos que utilizan los distintos servicios, y puede darse en dos modalidades:

1 Que varios protocolos de internet no puedan utilizarse a menos que los contrates por separado. Es decir, un internet básico al cual, si quieres VOIP tienes que pagarlo, si quieres P2P tienes que pagarlo, si quieres Streaming de video tienes que pagarlo o si quieres videojuego online tienes que pagarlo.

2 Que todos los servicios comerciales tengan prioridad sobre los no comerciales. Mi correo electrónico tarda 10 segundos más porque tres vecinos están pegándose tiros en un juego online y otro esta viendo una película para adultos en mi barrio. O no puedo ver sin saltos un documental público en la web de RTVE (como todos los programas de Documentos TV por poner un ejemplo) porque alguien esta viendo por Streaming "Mentiras y Gordas".

Y eso, de nuevo, produciría un daño enorme a la configuración actual de internet, sería cortarle las alas a lo que la ha hecho la invención mas importante y que mas riqueza ha producido en la historia de la humanidad. Para colmo, todas las empresas que se han lucrado gracias a la cesión al mundo de los protocolos de internet y el TCP/IP, no pagaron un céntimo por ello (en 1995 se eliminaron las últimas restricciones comerciales al uso de internet). 

Soy comprensivo con el problema de las infraestructuras y entiendo que pertenecen a empresas, y que para maximizar beneficios lo más lógico es minimizar la inversión en su mejora. Sin embargo, internet no es un lujo, ni un servicio añadido. Creo que coincidirán conmigo que ya es algo tan esencial como el agua corriente, el alcantarillado o la luz eléctrica. La ONU o nuestro Ministro de Industria se han referido a Internet como un derecho fundamental. Finlandia lo incluyó así en su constitución el pasado 1 de Julio de 2010.
 
Si internet tiene una tarificación por protocolos o por usos, como advierte Broadband Stakeholder Group (unión de los proveedores de servicio en Reino Unido) sería como si, el agua para lavarse la cara por las mañanas valiera mas barata que la que usamos para cocinar o para darnos un baño de burbujas. Y pagaríamos dos veces: velocidad contratada y uso. Al menos han declarado que tendrán la decencia de informarnos.

Europa opina que quizás deba ser el propio mercado quien dirima la cuestión. Neelie Kroes, comisario de la Agenda Digital Europea dijo que los usuarios que no podían usar Skype con su proveedor simplemente deberían cambiar de proveedor. ¿Y si no hay alternativa?

Cesar Alierta, Director General de Telefónica, propone que los buscadores y proveedores de servicio participen en el coste de las infraestructuras, mirando de reojo a Google. De ser así, los fabricantes de aparatos eléctricos deberían asumir los costes de la instalación del tendido o los fabricantes de coches deberían patrocinar a los constructores de las vías públicas. 

Pero claro, las vías públicas son estatales.  ¿Debiera serlo también internet? Es una cuestión complicada.

Para saber más:





Safe Creative #1012140013368

miércoles, 16 de marzo de 2011

Internet de dos velocidades = fin de internet


Una de las amenazas a la neutralidad de la Red viene por parte de los principales ISP o proveedores de servicio: un internet de dos velocidades. Y no deja de ser un eufemismo, ya que no se trata de que haya dos velocidades a contratar (ahora mismo hay muchas mas) sino que se puedan contratar el acceso a determinadas aplicaciones de forma privilegiada. 

Internet puede acabar convirtiéndose en una isla privada en lugar de "la plaza del pueblo de la aldea global" (Definición de Bill Gates).

Razones alegadas 

En muchas ocasiones los ISP son dueños de la infraestructura física (ONO, Telefónica), una infraestructura que puede estar llegando a su límite explotación comercial, ya que el límite de conexiones físicas, al contrario que la móviles, tiene escasa perspectiva de crecimiento. 

Sin embargo los usuarios (y las aplicaciones web) seguimos exigiendo mayor estabilidad y mejores velocidades, una operación que requiere costosas mejoras de infraestructuras. Una de las necesarias implantación de fibra óptica para permitir velocidades de 100 megas por segundo o incluso mayores (la CMT nos decía en febrero que hay media línea de fibra óptica por cada 100 usuarios de internet).

El crecimiento en el uso de ancho de banda es exponencial, y amenaza una saturación de las infraestructuras existentes y obviamente los proveedores, como empresas que son, quieren minimizar el coste de la mejora de estas. Para ello proponen que los servicios de alto uso de banda, o se paguen a parte, o se contraten ya privilegiados. ¿Cuales son estos usos? Pues por ejemplo el vídeo online, la música o la "polémica y susodicha" descarga que ha sido a la vez denigrada y usada como incentivo publicitario para el cliente.

Este pago adicional puede recaer sobre el usuario, sobre el proveedor de servicios o sobre ambos. Todavía no se ha definido claramente, aunque estoy seguro que va a ser el caballo de batalla de los ISP en el próximo par de años.

¿Y el usuario que esta contratando ahora?

Aunque pueda parecer que la postura de las ISP no es irracional, no deja de ser maliciosa. Ya existe una tarificación en internet relacionada al volumen de información que quieres consumir. Si yo quiero ver los videos de youtube en HD 1080p sin ningún tipo de retardo contrato un internet de al menos 6 megas, lo que quiere decir, que contrato que se me garantice que en todo momento, y bajo cualquier circunstancia, pueda acceder a ese máximo de ancho de banda, ya sea para ver ese video de Youtube, para ver una película alta definición en Streaming con el servicio de PlayStation Store o para recibir por torrent el vídeo de la comunión de mi sobrina de Alemania en 10 minutos.

Si no uso en cada momento todo ese ancho de banda es cosa mía. 

Lo que sucede es que los proveedores ofertan un ancho de banda, pero si vamos a las condiciones contractuales, no garantizan mas que un mínimo porcentaje de la misma de forma estable. ¿Publidad engañosa? Puede, pero en todo caso, ha sido permitida por la CMT.

Así pues, los ISP aprovechan que los usuarios normalmente no utilizan de forma constante todo el ancho que han contratado, para minimizar la mejora en infraestructuras. El problema que se les viene encima es que esa política llevada a cabo durante años con éxitos económicos se enfrenta ahora al problema del crecimiento en el consumo masivo de ancho de banda.

Dos velocidades y dos tipos de daño.

Es improbable que una internet de dos velocidades, por las razones expuestas en el párrafo anterior,  se aplique a los usuarios particulares, porque ya tenemos una internet de muchas velocidades distintas que contratar. 

Lo más obvio y son los proyectos existentes en el ámbito europeo por BT o Deutsche Telekom, es que este sobrecargo en el pago se aplique a los proveedores de servicio, es decir, empresas que operan en internet y nos dan el vídeo online, el torrent, etc. Estas empresas ya pagan por un volumen de banda de ancha, pero por el momento su tráfico tiene el mismo trato que cualquier otro paquete de bits enviado por un usuario cualquiera (o al menos es así en teoría).

A las empresas establecidas, claro esta, no les parece tan mal. De ahí que, en el ámbito móvil, este habiendo acuerdos de colaboración en este sentido, por ejemplo, el acuerdo de Google con Verizon en USA o el de la red social Tuenti con Movistar en España.

El primer daño

Lo primero en ser dañado sería la creatividad y la innovación que ha impulsado internet hasta nuestros días. Bajo este formato no podrá haber una nueva Youtube o la siguiente Google, ya que ninguna nueva empresa podrá competir en condiciones de igualdad con las ya establecidas, es decir, intenet pasará a ser el mercado de unos pocos.

El segundo daño.

Los ISP que tienen múltiples intereses se convertirán en operadores privilegiados. Así por ejemplo, Comcast en USA o Telefónica en España tienen intereses que van más allá de las telecomunicaciones, poseen derechos deportivos, intereses cinematográficos y cadenas de televisión. Y además poseen la mayor parte de las infraestructuras (aunque en España Telefónica esta obligada a compartirlas con la competencia por el proceso de liberalización del mercado que supuso la privatización de la compañía).

Imaginen que Netflix quiere llegar a España pero no puede competir porque Telefónica en su red puede dar un trato privilegiado a su propia plataforma.

¿Que puede suceder? Que para poder hacer uso de determinados servicios tengas que contratar internet con una compañía concreta o que a través de ese proveedor una empresa de contenidos informativos no pueda competir en condiciones de igualdad con otra empresa de contenidos informativos de ese grupo.

Con un grupo mediático y sin regulación lo que puede suceder es una privatización "de facto" de internet. 

La paradoja es que mientras se considera cada vez mas que el acceso a internet no es un servicio sino un derecho fundamental (ONU 1997) las infraestructuras de la red dependen exclusivamente de la iniciativa privada. 

¿Se debe regular su uso?

¿Deben ser un servicio independiente de otros intereses?

¿Cómo se va a garantizar el libre mercado? 

¿Debería haber participación estatal en su mejora para garantizar un uso neutral?

 Para saber más:









Safe Creative #1012140013368

lunes, 14 de marzo de 2011

Cloud computing: riesgos y peligros

Hablé hace unos meses con entusiasmo del cloud computing pero como todo en esta vida no esta exento de visicitudes. Trataré de hacer un breve repaso de las inmediatas y dejaré para mas adelante un riesgo mediato: la neutralidad de la red.

Falta de seguridad en la transmisión de datos o en la API

Aunque el HTTPs (se añade al final la s de secure)  se esta convirtiendo en un estandar de seguridad y ya se utiliza por los principales servicios que tratan nuestros datos (los principales proveedores de webmail como google o hotmail ya lo usan, así como la banca online y muchos comercios) y hay extensiones para los extraprecavidos como HTTPSeverywhere, lo cierto es que la seguridad en la transmisión de nuestros datos es uno de los principales problemas de la computación en la nube.

Estos riesgos se dan en servicios que puedan admitir un uso anónimo, que reutilicen tokens para identificar al usuario directamente o a través de un servicio que reutilice la API o en conexiones sin cifrar (sin HTTPs).

Consejos:

- Evitar usar datos personales y contraseñas en redes abiertas o públicas, especialmente si el servicio no es HTTPS (se indica en el navegador en la parte izquierda de la barra de direcciones).

- Verificar que la conexión es por https (en algunos navegadores puede no funcionar, como por ejemplo en google chrome, hotmail (la competencia) no me establece conexión segura, pero si en firefox o opera).

- Usar contraseñas de mas de 6 caracteres que mezclen letras y números. 

- Cuidar en que ordenadores dejamos cookies.

Fallos en la gestión por la propia empresa de Cloud Computing

La nube tiene en cuanto a la seguridad en el tratamiento de nuestros datos una doble perspectiva, si bien por un lado nos aporta seguridad al tener los datos alejados de nuestros fallos informáticos, virus, averías de discos duros, incendios, etc... cabe el problema de que un error en la administración por parte de la empresa que nos suministra el servicio (por ejemplo los recientes errores de Flickr y Gmail).

En algunos casos pueden producirse filtrado de datos de unos usuarios a otros, problemas a la hora de dar la baja a un usuario, borrado de datos, etc...

Consejos:

- No dejar en la nube la única copia de nuestros datos, pero si es un excelente respaldo.

- Controlar con asiduidad los servicios en los que tenemos almacenados nuestros datos.

- Revisar nuestras bajas en servicios de pago o gratuitos y borrar previamente a la baja todos nuestros contenidos.

Usos cuasi-delictivos o delictivos de la potencia del cloud computing 

Extensión del troyano Zeus
Esto afecta principalmente a la nube como Infraestructura como servicio (LAAS) o en menor grado Plataforma como servicio (PAAS) (ver descripción en el post general).


Se han usado servicios en la nube por bots que secuestran datos mediante troyanos como ZEUS para analizar los mismos. Sólo en 2010 la empresa Symantec detectó 220.000 ordenadores infectados. El uso de estas plataformas acelera la obtención de datos y sirve para el anonimato de los crackers que los secuestran.


Consejos:


- En este caso las medidas deben ser tomadas por las empresas, pero al margen de eso la protección de cada internauta es fundamental y un antivirus en cada ordenador es esencial (al menos si estas trabajando desde windows).

- Denunciar los delitos informáticos (aunque no sean de mucha entidad) en la policía nacional, hay gente que se ha lucrado estafando 100€ a muchas personas. Individualmente no eran de entidad, pero en masa si, como el caso de los estafadores por phising que habían conseguido 320.000€ (noticia aquí).


Uso de nuestros recursos por terceros


Otro problema exclusivo de LAAS, donde otros usuarios mediante el uso de exploits o malware han accedido a recursos que no tenían contratados pasando por encima del administrador.

Consejos:

- Controlar que tenemos uso completo de los recursos contratados y notificarlo si no es así.

- Usar sistemas de autenticación férreos.

Secuestro de nuestra sesion


Mas de una vez ha pasado que de alguna forma una persona adquiere nuestras contraseñas(recuerdo hace unos años como era sencillo hurtar la contraseña de cualquier usuario de hotmail o las técnica de ingeniería social para que demos voluntariamente nuestros datos). Con la creciente importancia de la nube este problema se esta convirtiendo en un problema mayor. De hecho muchas tiendas online conservan nuestros datos bancarios, y si bien, es difícil acceder de forma completa a ellos, si se pueden realizar compras.

Hace un par de días, por ejemplo, la tienda de aplicaciones para el iPhone y iPad ha empezado a exigir en cada compra la contraseña de la cuenta, ya que en casos de extravío o hurto del terminal podía tener consecuencias desastrosas.


Consejos:

- No dar alegremente nuestras contraseñas (muy común en la era del messenger para saber si algún amigo nos bloqueaba o actualmente en tiendas online).

- Usar distintas contraseñas para distintos servicios (la cuenta de correo es la llave común de muchos servicios, pero deberíamos usar distintas contraseñas para mantener cada servicio estanco).

- Prohibir que se puedan compartir credenciales (difícil determinar después la responsabilidad).

- Que los servicios soliciten cada cierto tiempo la autenticación (sobre todo si detecta inactividad), es algo común en la banca online.

- Conectarse en redes seguras para evitar que nuestros paquetes de datos sean capturados por sniffers como Firesheep.


Problemas derivados de la localización de los datos

 Cuando trabajamos en la nube nuestros datos pueden estar situados en cualquier parte del mundo lo que puede provocar un choque entre distintas jurisdicciones, así nosotros estamos sujetos a la jurisdicción española, Google o Amazon son americanas y los datos pueden estar localizados en Finlandia.

La profundidad de esta problemática merece un tratamiento diferenciado, así que lo dejaré para mas adelante.

Posibilidad de BackUp de nuestros datos

Una de las principales ventajas de la nube es que los datos no tienen porque estar ubicados en un mismo lugar. Siempre es conveniente tener nuestros datos a resguardo de forma local, pero en el caso de que ocurra un accidente, las empresas en la nube deberían ofrecernos la posibilidad de recuperar los mismos en bloque de los datos en bruto.

No todas las empresas ofrecen esta posibilidad así que es algo a tener en cuenta a la hora de contratar un servicio u otro.

Acceso a logs de nuestra sesión

Es un servicio a tener en cuenta para poder verificar el uso de la misma.

Viabilidad a largo plazo.

Internet es un mundo reciente en el que muchas empresas comienzan pero no todas llegan a término. Por tanto, antes de adecuar nuestros datos a un determinado servicio conviene analizar su viabilidad en el tiempo.

A grandes líneas estos son los problemas que puede entrañar el cloud computing, casi todos merecen un análisis personalizado, con incidencias y explicaciones, pero sirva este entrante de motivo para la reflexión y la cautela.








 
Para saber mas:



Safe Creative #1012140013368

domingo, 13 de marzo de 2011

Nuevo golpe a la neutralidad de la red

El cielo sobre la neutralidad de la red pinta oscuro, un nuevo espaldarazo (el anterior en Febrero) a la imperfecta pero valiente e innovadora regulación de la Federal Communications Commission sobre la neutralidad de la red por parte esta vez del Subcomité de Comunicaciones y Tecnología del Congreso de los Estados Unidos donde por una votación de 15 a 8, los Republicanos (conservadores) han aprobado propuestas contrarias a la regulación realizada, alegando la falta de competencia de la Comisión Federal de Comunicaciones. 

Estas propuestas serán ahora examinadas por el Comité de Energía y Comercio, pero es de esperar una resolución similar, ya que los mismos lobbies estarán presionando a una mayoría idéntica.

Recordemos que básicamente la FCC no afectaba a las comunicaciones móviles, próximo campo de expansión económica, y básicamente pretendía que los ISP (provedores de internet) no pudieran privilegiar un tipo de tráfico sobre otro ni bloquear determinados contenidos por motivos puramente comerciales.

Para saber más:


Safe Creative #1012140013368

sábado, 12 de marzo de 2011

HOY 12 DE MARZO ES 

EL DIA MUNDIAL CONTRA LA CENSURA EN INTERNET


Países que censuran internet
(Reporteros sin Fronteras)

Safe Creative #1012140013368

viernes, 11 de marzo de 2011

1libro1euro cuenta con 9 libros en catálogo. 1€ para Save the children. 

Primera Cosecha (Adolfo Suarez), Fuckowski, Memorias de un ingeniero (Alfredo de Hoces), Ladrones de Historia (Pablo Núñez), Oficina de Recuerdos Perdidos (Víctor Navarro Remesal), Navigatio (Javier González) entre otros.
 
NO DESAPROVECHES ESTA INICIATIVA.
Safe Creative #1012140013368

Nuevos datos sobre el caso Youkioke.com

El día 28 de Febrero publiqué un post sobre una noticia de prensa que hablaba, ya intuí que sin mucho fundamento, de "golpe a la piratería de periódicos y revistas".

Hoy se han conocido nuevos datos sobre el caso mediante Nota de Prensa de MILporMIL Ltd, la empresa que dice ser responsable de esta web (accesible aquí).

¿Error en la  identificación de la parte?

En primer lugar resulta que esta empresa dice no haber sido parte del procedimiento iniciado ni llamada al mismo. Habría que aclarar como se ha identificado a la empresa en el procedimiento, cosa que no nos dicen, pero admiten haber conocido por parte de los denunciados las "medidas cautelares" que no "golpe contra la piratería" o "batalla ganada" que ha impuesto el tribunal.

¿Medidas cautelares impuestas a quien no puede cumplirlas? Eso parece.

Se hizo la luz.

Como señalé en su momento, por la descripción de la prensa, se veía claramente que este no era un juicio por piratería de contenidos, aunque el portador de la noticia, obviamente interesado, quisiera hacerlo pasar por ello, sino un juicio de metatags en las páginas webs (explicado en el post precedente).

Esto a quedado claro en la nota de prensa de youkioske.com que afirma haber retirado el uso de metatags referidos que permitían una mejora en la localización por buscadores y en atención al derecho de notificación de infracción de copyright de los titulares de las marcas han eliminado las marcas pertenecientes al mismo de la web (revistas como Vogue, Cosmopolitan o Esquire).

No es piratería porque no suben los contenidos

El propio comunicado, así como el aviso legal de la propia web, deja claro que ellos no son responsables de los contenidos enlazados (en todo caso, según mi opinión, lo son los que los alojan y los que los suben.

Hay que recordar, sin embargo, que hace pocos días en el caso elrincondejesus.com se ha considerado ilícita (sin demasiado fundamento) la conducta de la descarga directa y el streaming (que es ánalogo a lo que hace esta web).

Esperemos a ver como transcurre el asunto. 


Safe Creative #1012140013368

viernes, 4 de marzo de 2011

Caso elrincondejesus.com: Condenado por streaming y descarga directa

elrincondejesus.com ha sido condenado por la Audiencia Provincial de Barcelona por colgar enlaces a web de descarga directa y streaming en una desinformada sentencia que demuestra que el tribunal no comprende lo que es un enlace, no comprende lo que es streaming y no comprende lo que es albergar un contenido.

En la sentencia se explican los enlaces P2P y porque no supone comunicación pública:

"En una red de archivos compartidos p2p, quien, disponiendo de un archivo musical o de una película, lo introduce en una carpeta de archivos compartidos a la que cualquiera puede tener acceso mediante un programa cliente p2p, además de llevar un acto de reproducción no amparado por la excepción del art. 31.2 TRLPI, pues no cabría hablar de un uso privado, está poniendo estos dispositivos a disposición del público, y por ello realiza un acto de comunicación pública prevista en el art. 20.2.i) TRLPI. Pero el titular de la página web, que facilita el enlace, además de la previa selección de los archivos, aunque contribuye indirectamente a esta infracción de los derechos de propiedad intelectual afectados por la comunicación pública, no lleva a cabo directamente estos actos. Por supuesto que no realiza ninguna reproducción, ya que se limita a suministrar el link (...). Pero el ofrecimiento del enlace no supone un acto de disposición del archivo (...).

Esta argumentación es bastante correcta a la hora de entender un archivo P2P. Sobra alguna cosa:

- "aunque contribuye indirectamente a esta infracción": la contribución indirecta no hay ni que mencionarla, es casi de parbulario ¿contribuye el médico que escribe un libro sobre el lugar donde esta el corazón a que un asesino apuñale en esa parte? ¿contribuye quien le dice que en la cocina hay cuchillos? No se puede entender que hay cooperación necesaria porque ese enlace que comparte se localiza mediante una simple búsqueda en el propio software emule o en buscadores especializados de la red, de igual forma que de muchas formas se puede saber en que parte del cuerpo esta el corazón o hay cuchillos. 

En esa frase se advierte que el enjuiciador no se mueve con seguridad por este ámbito.

Profundiza sobre el P2p:

"cuando un usuario acude a la página de enlaces y pulsa en un link, se ejecuta el programa cliente que ese usuario tiene instalado (eMule), y se inicia la descarga (...), los datos no pasan por el servidor donde se aloja el sitio web de enlaces, de modo que el usuario que descarga no recibe los datos (la obra) a través del sitio de enlaces, sino directamente desde los ordenadores que alojan ese archivo. No hay, pues, ni siquiera una participación en la transmisión de los datos que pudiera entenderse como una suerte de "retransmisión".

Correcto.

Y sin embargo condena por la descarga directa y el streaming cuando tiene casi la misma descripción:

"No queda acreditado que los archivos musicales hayan sido colgados por el demandado en su página web lo que hubiese supuesto un acto de reproducción (...) pero si a través de la página web se permite la reproducción, al facilitar al usuario de la web la descarga directa y la comunicación pública, al facilitarle la posibilidad de escuchar el contenido de un archivo musical".

"El demandado (...) lleva a cabo una puesta a disposición del público (...). Y del mismo modo al permitir también la audición de los archivos, sin descarga (...). En la medida que ambas operaciones se realizan desde la página web del demandado, puede concluirse que es éste quien lleva a cabo la puesta a disposición del público, al margen de si ha sido él u otro quien las haya colgado en la red. 

"Los informes son muy claros cuando muestran cómo opera quien visita la página web para acceder a esos archivos".

Aquí puede verse que el tribunal se ha asesorado mal o que el perito de la parte denunciada no ha sabido demostrar que es descarga directa o streaming.

En la página web del rincondejesus no se realizan las actividades de descarga directa o streaming, sino que se suministra un enlace, igual que el enlace P2P que defiende el propio tribunal como carente de comunicación pública y la información proveniente de ese enlace (el contenido protegido por derechos de autor) va desde un servidor de una empresa tercera que lo alberga "de modo que el usuario que descarga no recibe los datos (la obra) a través del sitio de enlaces, sino directamente desde los ordenadores que alojan ese archivo" (nótese que empleo la misma frase que utiliza el tribunal para el P2P)

Hay un programa cliente (como en el P2P) entre la web (el código html que se alberga en el servidor contratado por el administrador) y el usuario que visita esta web: el navegador de internet. En el código html de la web no hay ninguna modificación por oir en streaming una canción, esta modificación se produce en el ordenador del cliente (se suele registrar en la caché y el navegador necesita tener un software adicional o estar actualizado para poder reproducirlo). 

La diferencia es que aquí se añade un intermediario, la empresa o servidor que alberga el contenido (megaupload, rapidshare, o incluso google). Quienes realizan la comunicación pública son: el servidor que aloja el contenido y el sujeto que lo ha subido a ese servidor, pero no quien solo proporciona un enlace

La sentencia es fruto del desconocimiento, y esto es evidente, porque usa para eximir una conducta los mismos caracteres que se dan en la conducta que es apreciada como ilícita.

Para saber más:

Safe Creative #1012140013368
Cultura recuerda que todas las empresas tienen que pagar el canon (es decir la sentencia le da igual) Aquí.

Solución: SATURAR los tribunales reclamando el canon. 
Safe Creative #1012140013368