Publicada en el BOE la Ley que regula el juego online. (PDF).
lunes, 30 de mayo de 2011
viernes, 27 de mayo de 2011
jueves, 26 de mayo de 2011
La Unión Europea abre los brazos a ACTA: acabar con el intercambio de archivos con la excusa de luchar contra la falsificación
Eso provoca que el acercamiento legislativo de los distintos paises sea cauteloso, conscientes del rechazo que causará en amplios espectros de la población.
Pero se perciben movimientos que indudablemente van encaminados a hacer hueco en el panorama normativo a este tratado.
Ejemplo de ello es la reformulación de la Propiedad Intelectual que se discute en el seno de la Comisión Europea, plasmado en este informe de 25 páginas en el cual se analiza el panorama actual.
El propósito del mismo:
- Unificar el sistema de patentes y la protección de las mismas a nivel europeo.
- Actualizar la protección de las marcas y modernizar el sistema de registros.
- Simplificar el acceso a obras protegidas por derechos de autor, especialmente online.
- Creación de un mercado único digital.
El informe se adentra en un análisis con el que estoy bastante de acuerdo, especialmente en lo tocante a proteger a los autores y respetar y facilitar el acceso a la herencia cultural europea. Y si eso se hace respetando los derechos de los ciudadanos y la libertad en internet me parece ideal, sin embargo encuadarlo en un discurso de potenciación de la economía me parece poner la cultura en internet en manos de una industria de medios que frena el crecimiento de muchos otros sectores industriales, como son las telecomunicaciones y las nuevas tecnologías y perjudica, como ha sucedido hasta ahora, el acceso y universalización de la cultura.
Si añádimos a estas insinuaciones las declaraciones recientes de Sarkozy en la cumbre del G8 o de nuestro Ministro Sebastian, parece claro que vamos más dirigidos a una mercatilización de la cultura y penalización de las empresas de telecomunicaciones y TIC que hacia un modelo de cultura y formación universal.
Defender la creatividad obstaculizandola.
Una de las cosas que más me ha llamado la atención es la referencia al material generado por el usuario a partir de contenidos protegidos pero con fines no comerciales (pag 12). El progreso de la humanidad se ha basado en la manipulación de creciones pre-existentes, desde Shakespeare a Edison. La diferencia entre una creación nueva y una copia es bastante obvia. ¿Es necesario aumentar la regulación justo cuando existe el mayor y mejor medio de comunicación y desarrollo de la historia? ¿A qué se refiere la Comisión cuando propone medios de dialogo entre los creadores originales y las que los utilizan las obras para hacer nuevas creaciones? Pueden contemplar creaciones de grandes autores a partir de creaciones de grandes autores en la web Everything is a Remix.
En 2014 se emitirá un paquete de propuestas concretas en estos ámbitos. Habrá que estar al tanto hasta entonces del enfoque final.
Para saber más:
miércoles, 25 de mayo de 2011
Habemus Directiva de Cookies (aplicable de forma directa)... y ¿qué es una cookie?
Y con ella privacidad reforzada del usuario de internet y más competencia en el ámbito de las empresas de telefonía.
En 2009 se aprobó la Directiva 2009/136/EC que reformaba la Directiva 2002/22/EC sobre servicio universal y derechos de los usuarios (de la que viene en parte nuestra Ley de Telecomunicaciones vigente), la cuál sería efectiva de forma directa (sin necesidad de incorporarla a la normativa nacional) el 25 de mayo de 2011 (Hoy). Y la directiva de la que hablamos empuja el proyecto de Reforma de la Ley de Telecomunicaciones que ya ha sido remitido al Congreso (desde ayer).
¿Qué hay de nuevo, viejo?
Para el usuario de telefonía:
- La posibilidad de cambiar de operador sin cambiar de número de teléfono en 24 horas laborables.
- La obligación de los operadores de ofrecer contratos de 12 meses y contratos máximos de 24 meses.
- Información más clara sobre los servicios contratados y el nivel mínimo de calidad exigible y compensaciones si no se alcanza (lo que sirve para introducir medidas de control de la red en contra de la neutralidad (recordemos que la UE considera neutralidad = información sobre como discriminamos bytes).
Para el internauta:
- Mejor protección ante las fugas de datos personales y el spam. Obligación de informar sobre la fuga de datos al perjudicado.
- Mejor información y necesidad de consentimiento para almacenar o acceder a información de los usuarios de ordenadores. (COOKIES)
¿Qué es una cookie?
Una cookie es un pequeño archivo que contiene información del usuario de una página o servicio web. Recordemos que un servidor de internet, donde se albergan las páginas que consultamos a diarios, no nos conoce. El protocolo TCP/IP es neutro en ese sentido, no aporta información sobre el emisor de la petición per se. Por ello se crea una especie de registro que se envia junto a la petición con nuestro historial de navegación en cada página web que hemos utilizado. (ver Wikipedia).
¿Por qué es importante esta directiva?
Lo más innovador es que va a obligar a los proveedores de servicios en internet (los google, facebook por poner ejemplos por todos reconocibles pero casi cualquier servicio en internet que se os ocurra) a solicitar consentimiento del usuario cuando en la cookie se vayan a recoger datos no directamente relacionados con el servicio que ofrecen (si pueden almacenar sin consentimiento el idioma del usuario o el carrito de la compra de una tienda online), además de especificarle cuales serán esos datos.
Así, un uso habitual de los cookies, como era registrar nuestro historial de navegación para utilizarlo con fines publicitarios, deberá ser informado y consentido. Nuestra presencia online será por tanto más invisible.
En el pasado SICARM le hice una pregunta al respecto (aquí a partir del minuto 60) a Alejandro Vazquez-Guillén, Director Comercial de Tuenti, el cual me confesó que esta red social, a diferencia de otras muchas, no utiliza información almacenada en los cookies sino la que el usuario facilita en su perfil. Sin embargo parece que la implantación de esta directiva no va a ser del agrado de muchos proveedores de servicios de internet y me planteaba la necesidad de repensar los límites de la privacidad, ya que este tipo de medidas pueden frenar la innovación.
¿Qué sucederá?
Esto es tan sólo una elucubración, las Agencias de Protección de Datos de los distintos estados miembros, deberán coordinar como se va a modificar el uso de las páginas web. Se habla de que puede haber una modificación a nivel de los principales navegadores de internet para que mediante su configuración digamos a que tipo de accesos y/0 datos damos permiso de tal forma que sea totalmente invisible para el usuario.
En el peor de los casos, una simple y molesta ventana saltará para que podamos acceder. Pinchar yes sin leer y a seguir regalando datos.
Para saber más:
domingo, 22 de mayo de 2011
La gran verdad y la gran mentira del 15m: Democracia 2.0 y el error de la plazacracia
Me parece maravilloso lo que ha pasado, como hecho en si, no como resultado.
La gran verdad: Democracia 2.0
El movimiento que se ha producido en internet, los millones de tweets, el compartir ideas, discutir mas allá de los programas y los partidos, que cada ciudadano tenga una voz. Esa es la gran verdad. La democracia 2.0. Y no ha pasado por unos cuantos miles de personas en plazas, aunque eso ha servido para que los medios y los políticos sepan que hay redes sociales. Y para que ciudadanos que no habían adoptado las redes sociales como herramienta democrática ya lo hayan hecho.
Espero que el sistema haya cambiado para mejor. Pero es indiscutible que no va a ser igual.
La gran mentira: La plazacracia.
Lo avisé en mi anterior post, se veía venir y han esperado al día de las elecciones a que se destapara el pastel. El hashtag #democraciarealya era masivo el día 17, pero su (auto)proclamación como un ente unificador de las acampadas, y no les culpo a ellos sino a la #euforiaenred, ha servido mal a esta campaña, ha sido el catalizador y aglutinador de una creación ideológica que hoy han tenido que desmentir en un Comunicado Oficial de Prensa. (aquí). Y lo desmienten cuando su manifiesto del día 17(aquí) era indudablemente partidista.
Y creo que ha servido mal porque en cuanto se han acogido principios políticos en un movimiento supuestamente apartidista e incluso apolítico, se ha olvidado lo esencial: consultar los programas de lo que hoy se podía votar y recordar en que medida los programas se cumplieron en el pasado. Es decir, se ha errado el tiro de lo que inicialmente suponía el movimiento #nolesvotes.
No se puede representar a un país desde 100 plazas o 1000 plazas, por mucho protagonismo que hayan cobrado. La plazacracia es una mentira igual a la partitocracia. Yo no les he elegido y cualquier idea que vaya más allá de mejorar el sistema electoral y concienciar al ciudadano de la importancia de reactivar la democracia mediante un uso inteligente de su voto, me parece mal incluso si estoy de acuerdo.
Hoy me ha encantado la video-reflexión de @gallir (uno de los que iniciaron el #nolesvotes) que podeis ver abajo o los mínimos (4 propuestas bastante sensatas) que ha publicado @iescolar (aquí), con el que no suelo estar de acuerdo.
Espero que el pueblo soberano haya sido inteligente a la hora de meter sus papeletas y esta revolución no sea un paso en falso.
Y recordar, como decía @cotino: "La plaza es soberana... de eso nada, monada."
jueves, 19 de mayo de 2011
Tus datos: barato,barato
Ahhh los datos personales, esa cosa que los usuarios de internet despreciamos tanto, que se regalan amablemente a googles y facebooks, que nuestros propios amigos reparten libremente, que no valoramos...
Pero nuestros datos somos nosotros, aunque no nos demos cuenta. Y en esta personalidad online que estamos creando estamos más desnudos y desprotegidos que nunca. Bueno hay una norma que ampara a esos pobres datos y una Agencia que hace una labor estupenda, pero el día a día supone exposición continua.
La gente se preocupa poco de lo barato que es internet. Correo gratis, vídeos gratis, redes sociales gratis... pero no amigo, no es gratis, gratis no hay casi nada. Internet es un mercado donde lo que se vende eres tu, tus datos, esa personalidad o perfil online que tan desprotegida tenemos. Y que lo sepas, tus datos, aunque para nosotros puede que en un futuro no tengan precio, son muy baratos. Valemos poca cosa.
Una filtración de Rapleaf, una empresa cuyo modelo de negocio consiste en pedirnos gratis los datos para revenderlos a cambio de que esas empresas nos envien publicidad a medida ("ayudamos a empresas a comprometerse con los clientes y nos envien el mensaje oportuno en el momento indicado), ha hecho que sepamos cuanto valen algunos de nuestros datos. A saber...
Edad, género y localización: grátis.
Estado civil, ingresos, número de hijos, si somos propietarios y de que tipo, valor de nuestro inmueble o años de residencia en el mismo:0,01$ por cada uno, o 0,05$ por un paquete.
Nº de vehículos en el domicilio, si son nuevos o usados y tipo de vehículo: 0,01$.
Probabilidad de uso de servicios financieros, inversiones o interés del préstamo: 0,01€.
¡¡¡Y muchos más oiga!!! Internet lo sabe todo de nosotros: donde estamos, que páginas vemos, quienes son nuestros amigos, que términos susceptibles de recibir publicidad escribimos o leemos en nuestros correos, que búsquedas hacemos... y a partir de ahí van a planificar nuestro futuro y nuestro desarrollo.
Y por suerte en este caso podemos saber a que empresas se ceden estos datos, cosa que no siempre es así, como en el "escape de datos fortuíto" de Facebook hace poco días.
Como reza el socorrido refrán:
"No valemos un pimiento."
Y lo peor es que no me sorprende.
Para saber más:
Fuente: Forbes
#nolesvotes #democracia2.0 #democraciaenred no es lo mismo que #movimiento15m #democraciarealya
Desde el día 0 he seguido el movimiento #nolesvotes. Cuando entré en su web el número del contador de visitas no llegaba a 2000 cuando hoy supera el 1.900.000. Leí los post iniciales de Javier de la Cueva, Enrique Dans, Ricargo Galli o Carlos Sánchez Almeida en los días de su publicación, después de que nuestros gobernantes volvieran la vista a los gobernados mediante la aprobación de la Ley Sinde el 15 de Febrero. Así empezó todo.
#nolesvotes no es incendiar el Congreso de los Diputados ni destruir la democracia ni acabar con los partidos políticos, #nolesvotes es #democracia2.0.
En los informes del Centro de Investigaciones Sociológicas los ciudadanos han venido castigando la situación política de nuestro país. Queda patente el hartazgo. Aquí se puede ver la pregunta correspondiente al informe de Marzo 2011.
| PREGUNTA 3 |
| Refiriéndonos ahora a la situación política general de España, ¿cómo la calificaría Ud.: muy |
| buena, buena, regular, mala o muy mala? |
| % | (N) | |
|---|---|---|
| Muy buena | 0.2 | (4) |
| Buena | 3.7 | (90) |
| Regular | 24.0 | (590) |
| Mala | 37.5 | (922) |
| Muy mala | 29.7 | (730) |
| N.S. | 4.0 | (98) |
| N.C. | 1.1 | (27) |
| TOTAL | 100.0 | (2461) |
En el mismo informe se indica que la clase política es el tercer problema de nuestro país (ver pregunta 5).
Y sin embargo estamos en un sistema próximo a la partitocracia, donde hay dos opciones mayoritarias y un sistema electoral que les beneficia. Dos opciones que según las encuestas no escuchan al electorado. La política sigue siendo maniqueista en España, es la rémora del Siglo XX y, al final, como decía Antonio Machado en 1912, nos ha helado el corazón.
Ahí es donde entra la #democracia2.0 o #democraciaenred de #nolesvotes. Los partidos políticos no tienen que estar presentes en las redes sociales sino viceversa. Debe haber una fluidez entre ciudadanos y partidos que no ha existido en la madurez de nuestra joven democracia.
Pero no olvidemos que este poder de los ciudadanos, adquirido gracias a las nuevas herramientas conllevan una gran responsabilidad. Y sobre todo honestidad. Y es lo que pide la democracia 2.0. Hay que votar, pero sabiendo que se vota, sabiendo a quién se vota, con memoria e independencia. Y el mensaje de #nolesvotes ha hecho gala de neutralidad e independencia. No habla de ideales sino de responsabilidad. (Ver manifiesto).
Es neutralidad de puede ver en este análisis del hastag de twitter #nolesvotes realizado por Marcos G. Piñeiro.
El impulso de la red ha sido aprovechado por otras organizaciones de independencia difusa. #DemocraciaRealYa ha enarbolado una bandera que no le pertenece, o al menos esa es mi opinión, tan respetable como la de cualquiera. Y aunque en su web se mantienen neutrales, lo cierto es que en la calle, los que se resguardan bajo su paraguas, no hacen lo mismo (muchas personas acampadas lo han denunciado en las propias redes sociales, incluso mediante fotos (aquí) y el hecho de que eso se pueda denunciar al instante me parece lo mejor de todo esto). Pero respeto mucho su intención de mantener limpios los espacios de #acampadasol, de que no haya violencia, etc.
Los partidos tradicionales han tenido la desfachatez de intentar aprovechar el rebufo de este movimiento. Incluso el PSOE llegó a publicar el manifiesto en su web para quitarlo en cuanto se dieron cuenta que era un manifiesto contra ellos.
Pero en general, la intención es buena. Las formas de participación y construcción política no serán las mismas después de las elecciones del 22 de Mayo.
Los ciudadanos se están dando cuenta. Y los partidos, si son inteligentes, tendrán una lección aprendida. O eso espero.
Para saber más:
Ricargo Galli - Sobre el nacimiento de no les votes
miércoles, 18 de mayo de 2011
Los nuevos delitos telemáticos en el Código Penal 3: Ataque DDOS
Siguiendo con la serie de post sobre los nuevos delítos telemáticos introducidos tras la reforma por LO 5/2010 continuamos con un tipo que por su descripción no puede existir más allá de las redes de telecomunicación:
Los ataques DDOS
La wikipedia define un ataque DDOS como (ampliar aquí):
"Un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.
Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le dice "denegación", pues hace que el servidor no dé abasto a la cantidad de usuarios."
 |
| Imagen de ataque Ddos |
El tipo penal queda descrito de la siguiente forma en el artículo 264.2:
"El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años."
Es un tipo bien descrito en cuanto al resultado técnico de un ataque DDOS, pero mal descrito en relación al elemento subjetivo. Y esto es así, porque el propósito único de los accesos debe ser obstaculizar el funcionamiento y no otro, cuando no se dice nada de ello en este sentido. Mientras que la autorización es algo irrelevante siendo la mayor parte de los servicios web de entidad abierta.
¿Por qué?
Pues porque un ataque no es lo mismo que un intento de acceso. Imaginen una norma desquiciante del gobierno, algo como, retirada del sistema de pensiones. Se hace público y todos los ciudadanos buscan la manera de hacer público su desacuerdo. Medio obvio e inmediato: internet. Entre accesos a la web del congreso y correos a los congresistas el servidor cae.
¿Soy un ciudadano no autorizado? Puede, en la medida que no necesito autorización. ¿Obstaculizo de manera grave? Entre mi conexión y la de otros 2 millones de personas hacemos caer el servidor. ¿Hago inaccesibles los datos? Claro.
¿Y como se distingue la conducta típica de la atípica?
Pues deberá ser el juez.
En primer lugar, es difícil que existan los medios técnicos para registrar todas las IP que realizan la conexión de manera simultanea.
En segundo lugar, es difícil también identificar las conexiones que buscan cometer el bloqueo o inutilización de los accesos ordinarios a la web o servicio (reiteración de solicitudes tal vez, pero si quiero acceder para manifestar mi opinión y no lo consigo reiteraré mi conexión haciendo muchos clicks).
Y tercero, analizar quien se esconde detrás de las IP es para delitos considerados graves (no para resultados graves de delitos). El art. 13 en relación con el 33 nos indican que son graves los delitos con pena de prisión mayor de 5 años. Este delito del 264.2 la tiene de 6 meses a 3 años. Y la ley 25/2007 sólo permite identificar a los sujetos detrás de la IP en el marco de delitos graves.
Art. 1: "Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales."
Por lo tanto, la propia norma pone dificil la persecución de la conducta.
Una oportunidad desperdiciada o una reforma innecesaria, ya que con el sabotaje informático se podría acoger perfectamente el tipo.
Para saber más:
Decisión Marco 2005/222/JHA relativa a los ataques contra los sistemas de información (Bilingüe Inglés-Español)
martes, 17 de mayo de 2011
Los nuevos delítos telemáticos en el Código Penal 2: Cracking
Como veíamos en el post anterior, la reforma del Código Penal por Ley Orgánica 5/2010, introduce descripciónes de tipos relativos a los delitos informáticos. Veamos otro.
Cracking
Mediante la reforma se modifica la redacción de los artículos 263 (pasa de la descripción general a contener también modalidades agravadas) y 264, dando entrada, dentro de la modalidad de daños y sabotajes al daño informático por excelencia: el cracking.
264.1 CP: "El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años."
Esta reforma supone una actualización del anterior delito de sabotaje informático que se encontraba, antes de la reforma, en el art.264.1.6º: "La misma pena se impondrá al que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos."
En primer lugar se observa que ahora si existe un elemento intencional y además una descripción taxativa de conductas, cosa que en articulo relativo al hacking no aparece, mucho más actualizada respecto al delito telemático como el borrado, la supresión o el hacer inaccesible. Añade además un resultado grave como condicionante, que evidentemente será interpretado por el juez.
El tipo esta muy bien descrito, casi copiado.
Se recogen ni más ni menos las conductas descritas en la decisión 2005/222.
Illegal data interference: "Each Member State shall take the necessary measures to ensure that the intentional deletion, damaging, deterioration, alteration,
suppression or rendering inaccessible of computer data on an
information system is punishable as a criminal offence when
committed without right, at least for cases which are not minor."
(Cada estado miembro deberá tomar las medidas necesarias para asegurar que el borrado, daño, deterioro, alteración, supresión o inaccesibilidad de datos informáticos en un sistema de información es perseguible como delito cuando sea cometido sin permiso, al menos en los casos no menores.)
Pero... ¿la pena es excesiva?
Lo que resulta curioso es que la pena no esta graduada en relación al delito de hacking, y parece que uno y otro haya sido redactado por personas que no hayan tenido contacto alguno. La mera intromisión sin daño tiene la misma pena que la intromisión más el daño. Y para colmo, el daño tiene que ser grave cuando para la intromisión basta cualquier conducta.
No creo que se pueda aplicar que cuando haya conductas de cracking se cometan dos delitos hacking y cracking, acceso y destrucción, de forma separada, ya que el propio tipo de cracking describe la conducta como "por cualquier medio", es decir, el acceso ilegítimo es parte de la descripción mas idónea del tipo, por lo que difícilmente se aplicará otro argumento.
En definitiva, buena descripción del tipo, acorde con los requerimientos europeos, pero pésima adecuación de la pena obviando la necesaria proporcionalidad de la ley penal.
Para saber más:
Decisión Marco 2005/222/JHA relativa a los ataques contra los sistemas de información (Bilingüe Inglés-Español)
17 de Mayo: Día de Internet y Día Mundial de las Telecomunicaciones y la Sociedad de la Información
Fue un 17 de Mayo de 1865 cuando se fundó en París la Unión Internacional de Telégrafos, que pasaría a ser la Unión Internacional de Telecomunicaciones en 1934. Y en 2005 se decidió añadir Sociedad de la Información.
Desde aquél día de 1865 el mundo se ha estado haciendo más y más pequeño, la economía mundial más y más grande y las relaciones humanas más y más estrechas.
En España lo celebramos con:
- una Ley que frena el desarrollo de las TIC (Ley Sinde)
- una de las tarifas de conexión más caras de Europa (sin entrar en nivel de renta que todavía nos empeora)
- un DNI-e repartido pero de excasísima utilización
- un desalojo (vídeo aquí) a internautas y ciudadanos pacíficos (que carecían de permiso y tuvieron la torpeza de no haber leído aquí y aquí, bastaba con notificar 24 horas antes) de la Plaza del Sol de Madrid.
El uso de internet tiene que mejorar, el uso de los ciudadanos de los recursos que nos da internet debe mejorar y el uso y comprensión de internet por parte de las administraciones públicas y nuestro gobierno debe mejorar y mucho.
Dicho lo cual: Feliz Día de Internet.
domingo, 15 de mayo de 2011
Los nuevos delítos telemáticos en el Código Penal 1: Hacking
Con la Ley orgánica 5/2010 se modificó nuestro Código Penal de tal forma que el 23 de diciembre de 2010 se describen nuevos tipos relacionados con la informática y las telecomunicaciones. En los siguientes post haré un repaso por los mismos.
Hacking
A diferencia del Proyecto de Reforma de 2007 no se ha incluido la palabra hacker o hacking en la descripción del tipo, cosa que sin duda es un acierto, porque la sociedad no suele identificar correctamente el término (recordar la diferencia entre white hat hacking por un lado y black hat hacking o cracking por otro). Sin embargo, si se ajusta a una conducta de hacking la descripción del tipo, pero no del elemento subjetivo (intencionalidad) de la conducta.
Art 197.3: "El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tengo el legítimo derecho a excluirlo, será castigado con pena de prisión de 6 meses a dos años."
La novedad es que se criminaliza el mero acceso, y cualquier acceso, en contraposición a la situación anterior del Código Penal donde el tipo se basaba en la apropiación o descubrimiento de secretos, donde se requería al menos una apropiación de datos y no la posibilidad de que esta exista.
Son claves la ausencia de intención de producir cualquier perjuicio y la vulneración intencional de las medidas de seguridad establecidas, dejando claro con esta última que no se penalizan los accesos fortuítos.
Y a nivel internacional...
La reforma se plasma así de la forma más estricta sugerida por la Decisión Marco 2005/222/JHA de donde deriva, en la cual se decía:
"Each Member State shall take the necessary measures to ensure that the intentional access without right to the whole or any part of an information system is punishable as a criminal offence, at least for cases which are not minor."
(Cada Estado Miembro deberá tomar las medidas necesarias para asegurar que el acceso intencional sin derecho a un sistema de información o parte de el es castigable como delito, al menos en los casos no menores).
También plasma de la forma más dura posible el tipo dentro del Marco del Convenio de Budapest 2001:
"Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the access to the whole or any part of a computer system without right. A Party may require that the offence be committed by infringing security measures, with the intent of obtaining computer data or other dishonest intent, or in relation to a computer system that is connected to another computer system."
(Cada estado miembro deberá adoptar a nivel legislativo y de otras formas las medidas necesarias para establecer como delito bajo su ley doméstica, cuando se haya cometido de forma intencional, el acceso a un sistema de ordenadores o parte del mismo sin derecho. El Estado miembro puede requerir si la ofensa a sido cometida infringiendo medidas de seguridad, con el intento de obtener datos informáticos o otras intenciones deshonestas, o en relación a un ordenador que esta conectado a una red o sistema).
Se ha optado así por no atender a la calidad del acceso, quizás para zanjar los problemas de prueba que eso puede ocasionar.
Pero...
Sin embargo la clave que ofrece de forma optativa el Convenio de Budapest es muy interesante y debiera haberse plasmado para delinear mas correctamente el tipo frente al espíritu del derecho penal y en concreto del artículo donde se encuentra, el 197, donde se habla del descubrimiento y revelación de secretos: la intencionalidad de obtener datos informáticos o otras intenciones deshonestas.
Porque un hacker es aquel que llega a la perfección máxima de su ciencia mediante el conocimiento absoluto del medio y las herramientas que se utilizan. La labor de un hacker informático es encontrar todas las imperfecciones de seguridad de una red o sistema. Y esto, va a ser delito. El hacker no podrá desarrollar su ciencia en sistemas existentes y, según el tipo penal, no podrá indicar la existencia de fallos en el mismo. Se dejará que llegue el cracker primero para destruir o apoderarse del sistema.
Aquí el tipo de describe de forma demasiado abierta por un lado y se olvida de todo elemento subjetivo.
Aquí el tipo de describe de forma demasiado abierta por un lado y se olvida de todo elemento subjetivo.
Una pena que se podría haber solucionado con dos palabras: intencionalidad deshonesta.
Para saber más:
Convenio Internacional de Budapest sobre Ciber-Crimen 2001 (inglés)
Decisión Marco 2005/222/JHA relativa a los ataques contra los sistemas de información (Bilingüe Inglés-Español)
LO 5/2010 de reforma el Código Penal (PDF).
Para saber más:
Convenio Internacional de Budapest sobre Ciber-Crimen 2001 (inglés)
Decisión Marco 2005/222/JHA relativa a los ataques contra los sistemas de información (Bilingüe Inglés-Español)
LO 5/2010 de reforma el Código Penal (PDF).
martes, 3 de mayo de 2011
La amenaza BOTNET se combate desde los ordenadores de los usuarios por el FBI, pero ¿qué es un botnet?
 |
| Fiscal General en la presentación de la operación |
Ha sido noticia estos últimos días la novedosa forma de combatir una botnet que ha utilizado el FBI. Tras conseguir autorización judicial en el marco de la llamada operación Adeona, mediante los servidores de DNS de Estados Unidos, indicando un dirección distinta, los ordenadores infectados dirigirán sus peticiones a un cuartel general diferente (y controlado por el propio FBI) del que habitualmente hace uso el botnet Coreflood, para emitir instrucciones de desinstalación del mismo.
Coreflood recogía claves de seguridad y toda clase de datos bancarios del usuario y los remitía a servidores remotos. Presuntamente infectaba a 2 millones de ordenadores en Estados Unidos (fuera hay muchos más) y los datos recopilados podían superar los 50 GB.
Es una forma novedosa de luchar contra este tipo de amenaza, que, al margen de sus implicaciones de privacidad, en el futuro puede ser bloqueada por los creadores de botnets con estrategias como hacer que borren archivos del ordenador que reciba una instrucción no autenticada.
Para entender mejor como se esta atajando a esta botnet ampliaré el concepto.
Es un ejercito de pequeños trozo de software que viven y evolucionan de forma orgánica pero no aisladamente, sino que tienen un cuartel general, capaz de darles ordenes y de coordinar sus funciones, aunque estén separados por miles de kilómetros, funcionando mediante una estructura P2P.
Su finalidad puede ser múltiple, y su capacidad de evolucionar hace que este riesgo aumente ya que pueden mutar para cambiar su destino.
¿Qué características tienen?
En un intento de evadir la localización y su desactivación se caracterizan por funcionar en esquemas de estrella, haciendo uso de múltiples servidores, con organización jerárquica y aleatoria.
¿Cómo se estructuran?
Pues hay diversas modalidades pero, suele tener un esquema parecido al siguiente para dificultar su clausura o bloqueo. Podemos distinguir varios niveles:
- C&C (Command & Control) o Cuartel General: Suele estar situado en un país de pocas garantías jurídicas, como Rusia o Irán (entre muchos otros) y basado en un servidor Apache (Software Libre).
- Proxy principal Nginx: Nginx es un servidor HTTP opensource capaz de enfrentarse múltiples peticiones. Es la primera capa de ocultación.
- Proxys secundarios Nginx: Repartidos alrededor del mundo y muchas veces cambiando su ubicación, ocultan al proxy principal.
- Nodos Públicos
- Ordenadores infectados, también llamados zombies. Envían la información de forma encriptada mediante protocolos P2P similares a los utilizados por edonkey o kademilia (parte del emule).
¿Cuáles son sus principales propósitos?
- Ataques DDoS (Denegación de servicio distribuída).
- Ya que el Cuartel General controla a en ocasiones millones de ordenadores, y tiene acceso a sus recursos y a su banda ancha es la herramienta ideal para dirigir un ataque de peticiones a un servicio online.
- Spamming:
- El bot instalado en cada ordenador se apropia de todas las direcciones de email que hay en el ordenador para pasarlas a un gran archivo destinado a spam (correo basura) además de poder utilizar el propio cliente de correo del usuario para enviar emails con un perfil no reconocido como spam por los filtros de correo.
- Sniffing:
- Análisis de los paquetes de datos que enviamos desde nuestro ordenador para obtener información como contraseñas o hábitos de navegación.
- Keylogging:
- El bot registra las teclas pulsadas en el teclado y lo envía al Cuartel General del que depende en formato de texto plano, que pasará a analizarlo para extraer toda la información posibles (passwords, claves, números de cuenta, etc.)
- Usurpación de identidad o phishing:
- Estos bot pueden adquirir tal cantidad de datos que con ellos se puede suplantar la identidad en internet de una persona y mediante esta realizar otros ataques o cyberdelitos sin miedo a ser identificados, ya que a todos los efectos, actúan como otra persona.
- Fraude mediante click:
- Los bots instalados en miles de ordenadores acceden de forma invisible a una web mediante un enlace que, en origen pertenece a un banner de publicidad, aumentando de forma virtual el número de accesos y así los ingresos por publicidad que recibe una persona.
Algunas botnets famosas:
 |
| Ordenadores infectados por el botnet Zeus |
- BredoLab -> 30 millones de zombies.
- Mariposa -> 12 millones de zombies.
- Conficker -> 11 millones de zombies.
- Zeus -> Entre 5 y 12 millones de zombies.
Para saber más:
Suscribirse a:
Entradas (Atom)