¿Ley Mordaza 2?

Un mes después de los fatídicos eventos del 11 de setiembre del 2001 el Presidente George W. Bush firmaba y anunciaba con bombos y platillos la famosa «PATRIOT Act», un cuerpo normativo destinado, como lo dicen sus siglas, a fortalecer y a unir al Estado brindando herramientas que permitan interceptar y obstruir el terrorismo, sin duda un noble y justificado fin que contaría con todo el respaldo de la población.

Sin embargo, el problema en dicha experiencia no fueron los fines, sino los medios empleados. En efecto, la aprobación de la PATRIOT Act generó mucha polémica en Estados Unidos por los medios utilizados para lograr los objetivos trazados. Así, se otorgó mayores atribuciones de supervisión, fiscalización a las entidades del Estado a fin que éstas monitoreen transacciones financieras o vigilen, detengan y deporten a inmigrantes sospechosos de actos terroristas y se introdujo el concepto de «terrorismo doméstico». Diversas entidades de la sociedad civil, tales como el Electronic Frontier Foundation (EFF), Electronic Privacy Information Center (EPIC) y American Civil Liberties Union (ACLU) cuestionaron duramente la norma al incurrir en severas violaciones constitucionales tales como la Cuarta Enmienda por la utilización de medios desproporcionados que ponían en riesgo aspectos como la privacidad de los ciudadanos.

Aparentemente existe un notable y reciente entusiasmo por parte de nuestro Congreso por regular la red (lease Ley Mordaza y Ley de Banda Ancha) y una inusual cobertura en la prensa de situaciones vinculadas al uso de Internet (lease Caso Rudy Palma) que nos traen a la mente a la situación ocurrida en Estados Unidos en el año 2001. El denominador común en el caso peruano es que se pretende utilizar el derecho penal, quizás la herramienta legal más extrema, para intentar combatir el cibercrimen y nuevas practicas delictivas, sin embargo, no parece existir una reflexivo y equilibrado análisis de los medios utilizados.

Recientemente revisando la página del Congreso encontramos dos curiosos proyectos de ley que no sabemos si motivados por los hechos antes mencionados se aventuran a regular nuevos delitos informáticos. Nos referimos a los proyectos de ley 034/2011 y 307/2011 de la Comisión de Justicia y Derechos Humanos del Congreso cuyo pre-dictamen fue programado para discusión el día de hoy tal como consta en la agenda de sesiones de la Comisión. Curiosamente se distingue a ambos proyectos como propuestas para «sancionar penalmente las conductas que afectan de manera relevante la confianza en la informática«.

De la lectura tanto de los proyectos de ley como del pre-dictamen de la Comisión llaman nuestra atención tres artículos en particular, que nos traen reminiscencias «bushísticas»:

Artículo 26: Agente encubierto en el ciberespacio
Con autorización del fiscal, de acuerdo con las circunstancias del caso, se puede emplear el correo electrónico de un detenido por pornografía infantil o por practicar cualquier otro acto ilícito valiéndose de la internet, con el objeto de suplantarlo y obtener más información que ayude a identificar a las demás personas con quienes comete los actos ilícitos mencionados en la presente Ley y el Código Penal, en lo que corresponda.

Artículo 27: Acceso a información de los protocolos de internet
No se encuentra dentro del alcance del secreto de las comunicaciones la información relacionada con la identidad de los titulares de telefonía móvil; los números de registro del cliente, de la línea telefónica y del equipo; el tráfico de llamadas y los números de protocolo de internet (números IP). Por lo tanto, las empresas proveedoras de servicios
de telefonía e internet debe proporcionar la información antes señalada conjuntamente con los datos de identificación del titular del servicio que corresponda, a la Policía Nacional del Perú o al Ministerio Público dentro de las cuarenta y ocho horas de recibido el requerimiento, bajo responsabilidad, cuando estas instituciones actúen en el cumplimiento de sus funciones.

Artículo 28: Intervención y control de las comunicaciones y documentos privados
La facultad otorgada al fiscal para solicitar al juez penal la intervención y control de las comunicaciones, establecida en la Ley 27697, Ley que otorga facultad al fiscal para la intervención y control de comunicaciones y documentos privados en caso excepcional, también puede ser ejercida en la investigación de los delitos informáticos regulados en la presente Ley. En los lugares en los que haya entrado o entre en vigencia el Nuevo Código Procesal Penal, se aplicaran las reglas de este código para la intervención de las comunicaciones.

El secreto de las comunicaciones en nuestro país se encuentra regulado en el artículo 2 inciso 10 de la Constitución Política del Perú en los siguientes términos:

10. Al secreto y a la inviolabilidad de sus comunicaciones y documentos privados.

Las comunicaciones, telecomunicaciones o sus instrumentos sólo pueden ser abiertos, incautados, interceptados o intervenidos por mandamiento motivado del juez, con las garantías previstas en la ley. Se guarda secreto de los asuntos ajenos al hecho que motiva su examen.

Los documentos privados obtenidos con violación de este precepto no tienen efecto legal.

Los libros, comprobantes y documentos contables y administrativos están sujetos a inspección o fiscalización de la autoridad competente, de conformidad con la ley. Las acciones que al respecto se tomen no pueden incluir su sustracción o incautación, salvo por orden judicial.

En el sector telecomunicaciones la norma aplicable que desarrolla dicha disposición constitucional es la Resolución 111-2009-MTC/03 .

Aspectos que preocupan de las disposición contenidas en ambos proyectos de ley:

Se fortalecen las facultades y atribuciones de los fiscales para la persecución de delitos informáticos pero no se aprecian garantías mínimas que, a fin de preservar derechos fundamentales como el debido proceso y la privacidad, deben quedar claramente establecidas tal como lo ordena la norma constitucional.
El artículo 27 del pre-dictamen de la Comisión reduce el ámbito de aplicación del secreto de las comunicaciones en contra de lo establecido en la norma constitucional y en la Resolución 111-2009-MTC/03 con lo cual «la información de los protocolos de Internet», de ser aprobados los proyectos de ley, no requeriría mandato motivado de un juez y deberá ser proporcionada a la Policía y Ministerio Público en un plazo de 48 horas de recibido el requerimiento.

No sabemos a ciencia cierta si nos encontramos frente a una Ley Mordaza No. 2 con dosis de PATRIOT Act, lo cierto es que, si bien son atendibles y justificados los fines de persecución del delito, ello debe en todo momento ir de la mano con lo establecido en el marco constitucional y las garantías previstas en dicho cuerpo normativo, lo cual no queda muy claro en los proyectos antes mencionados.

Rudy Palma, hacker por accidente

De niño vi muchas veces en la televisión el clásico ochentero WarGames (John Badham, 1983). En la película, un adolescente hábil con las computadoras intenta infiltrarse en la red de su proveedor de videojuegos favoritos para probar su próximo juego Global Thermonuclear War antes de su lanzamiento. Por accidente, termina conectándose a una red militar y el juego que piensa que está jugando en realidad podría desencadenar la tercera guerra mundial. Cuando el Estado lo descubre, es detenido e interrogado bajo los cargos de espionaje y de colaboración con los rusos. El funcionario que lo interpela no le cree cuando le dice que él solo estaba jungado. ¿Cómo lo logró? Adivinando que la contraseña de acceso sería el nombre del hijo de una de las personas cuyo nombre aparecía en la carpeta. Era un hacker, sí, porque descubrió una puerta trasera del sistema pero él quería hackear a una empresa de videojuegos y no poner en riesgo la seguridad nacional. Era un hacker con suerte.

Rudy Palma, nuestro así llamado primer ciber-hacker-periodista-2.0, es todo lo contrario: no es un hacker y tuvo muy mala suerte. Este caso ha llamado mi atención por varias razones. Creo que cometió un delito, como él mismo lo ha confesado. Sin embargo, también creo que no hemos comprendido exactamente de qué trata este caso, la forma tendenciosa en la que han sido consignados los cargos y las implicancias que esto tiene para todos.

Las contraseñas

Rudy Palma tiene 35 años y antes de trabajar en Perú 21, según su perfil de LinkedIn, había trabajado en el Ministerio de la Mujer y en el Instituto Prensa y Sociedad. Quizás por su experiencia laboral o por mera intuición, un día se le ocurrió que podía acceder a cuentas de correos ajenas usando como contraseña el nombre del usuario del correo. A todos nos ha pasado: nos dan una cuenta de correo o los datos de acceso a cierto sistema y por dejadez o desconocimiento nunca cambiamos la contraseña. Aprovechando esta mala costumbre, Rudy Palma tuvo acceso a las cuentas de correo de varios ministros y autoridades de alto rango. Según informes, se ha determinado que accedió hasta veinticinco veces en un solo día a la cuenta del Ministro de Comercio Exterior y Turismo.

Los encargados de sistemas, cuya labora es precisamente cuidar la seguridad de la red, lógicamente niegan esta teoría. Ellos dicen que las contraseñas eran “muy complejas”, dando a entender que era imposible que se llegue a ellas por deducción y que seguramente Rudy Palma debió de apelar a recursos más sofisticados. Traen a nuestra cabeza imágenes de hackers amaneciéndose frente a computadoras llenas de códigos. Yo creo que es una defensa apresurada para no asumir la responsabilidad que les toca por tener prácticas tan malas respecto del manejo de contraseñas y la seguridad de su red. ¿Se imaginan que Google les diese por defecto una contraseña igual a su nombre de usuario cuando abren una cuenta en Gmail? ¿No pensarían que es una irresponsabilidad de su parte?

Ya sé que suena ilógico creer que varias decenas de autoridades públicas coincidan todos en tener como contraseña para sus cuentas de correo electrónico su propio nombre de usuario. Pero suena todavía menos coherente pensar que alguien con la capacidad y el tiempo para quebrar sofisticadas estructuras de seguridad accedería a estas cuentas de correo: (i) desde la computadora de su trabajo, (ii) vía web (HTTP) y no a través de otro protocolo menos rastreable, y, (iii) sin usar una máscara de IP. Incluso los pedófilos y los estafadores, en el peor de los casos, operan desde una cabina Internet. Peor aún, ¿se imaginan a un hacker reenviándose estos correos electrónicos a una cuenta de correo que asociada a su nombre y apellido? En una de sus últimas declaraciones filtradas por la prensa, Rudy Palma dijo que también intentó acceder a las cuentas de correo de Palacio de Gobierno pero desistió porque la página tardaba demasiado en cargar.

La pista

Apoya la teoría de las contraseñas adivinadas el que, aparentemente desde el 2008, Rudy Palma hacía lo mismo con distintas cuentas y entidades sin levantar la más mínima sospecha por parte de sus víctimas o los encargados de sistemas. Al haber adivinado la contraseña, el periodista se conectaba como si fuese el propio usuario y no generaba ninguna respuesta anómala por parte del servidor de correo. Si hubiese roto algún sistema de seguridad, hubiese dejado una huella lo suficientemente severa como para no pasar desapercibido cuatro años.

En muchos casos, pudo haber configurado alguna regla en el buzón de correo para que todos los correos que le lleguen sean reenviados a su cuenta, con lo que no necesitaba saber en todo momento las contraseñas. En otros, parece que tuvo la suerte de que esas cuentas de correo no cambien de contraseña durante ciertos periodos de tiempo. Les apuesto a que muchas todavía siguen teniendo la misma contraseña.

Según el reportaje de Caretas, alguien amenazó al Ministro de Educación Silva Martinot con revelar cierta información de su vida privada a la que había tenido acceso a través de su correo electrónico institucional. El Ministro, al comprobar que efectivamente se trataban de sus correos, recurrió al área de sistemas del Ministerio para averiguar cómo pudieron filtrarse. Recién entonces vieron la lista de las IPs desde donde se había accedido al correo del Ministro y descubrieron, entre ellas, que aparecía una que correspondía al diario Perú 21.

El Ministro llevó estos registros al diario y, a su vez, el personal de sistemas de Perú 21 identificó que dichos accesos al correo del ministro provenían desde la computadora de Rudy Palma. Inmediatamente, el diario despidió al redactor y lo puso a él y a su computadora a disposición de la Fiscalía. Luego, emitió un comunicado de prensa en donde se desvinculaban de haber participado directa o indirectamente en estos hechos. Palma no negó los hechos, reconoció haber accedido a esas cuentas y declaró haber actuado en solitario.

Si no hubiese sido por este intento de chantaje, nadie hubiese notado hasta ahora la actividad silenciosa aunque torpe de Rudy Palma. Hasta donde se conoce, no se ha logrado vincular a Palma con los correos amenazadores recibidos por el Ministro Silva Martinot aunque sí se ha encontrado que algunos de estos fueron reenviados desde la cuenta del Ministro a la de Palma. La revista Caretas publica hoy que, incluso luego de la detención del periodista, el Ministro seguía recibiendo los mismos mensajes de chantaje.

Los cargos

Rudy Palma usaba esta información como insumo para elaborar notas periodísticas para el diario donde trabajaba como redactor de Economía. Una forma bastante heterodoxa de conseguir exclusivas, sin duda. Las investigaciones han encontrado varias de estas noticias filtradas, como cambios de funcionarios, proyectos normativos y agendas de reuniones.

Por estos hechos, Rudy Palma está siendo procesado como presunto autor de tres delitos distintos: (i) violación de la correspondencia, (ii) delito informático en la modalidad de utilización indebida del sistema informático, y (iii) delito contra el Estado y la Defensa Nacional en la modalidad de revelación de secretos nacionales.

—Violación de la correspondencia

El artículo 161 del Código Penal señala que el que “abre, indebidamente, una carta, un pliego, telegrama, radiograma, despacho telefónico u otro documento de naturaleza análoga” que no le está dirigido, “o se apodera indebidamente de alguno de estos documentos, aunque no esté cerrado” comete el delito de violación de correspondencia. En este caso, el correo electrónico se entiende como un medio análogo y el tipo penal encaja perfectamente con los hechos. Todos estamos de acuerdo, conforme a la confesión de Palma, que cometió el delito de violación de la correspondencia. Este delito tiene como pena máxima dos (2) años.

—Delito informático

El caso del delito informático es un poco más complejo. Según el artículo 207-A del Código Penal, se considera delito informático utilizar o ingresar indebidamente a una base de datos, sistema o red de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar, o para interferir, interceptar, acceder o copiar información en tránsito o contenida en una base de datos. Es decir, el Código considera tanto el ingreso indebido como la utilización indebida (entiendo: no autorizada) de una base de datos, sistema o red de computadoras con la finalidad de interferir, interceptar, acceder o copiar información.

Según los hechos, Palma habría ingresado de forma no autorizada (indebida) a una cuenta de correo electrónico (parte de una base de datos) con la finalidad de acceder y copiar información ahí contenida. Este delito tiene como pena máxima dos (2) años. Si lo hizo con la finalidad de obtener un beneficio económico, como podría argumentarse en este caso, la pena se extiende a tres (3) años.

—Difusión de Secretos Nacionales

La imputación más polémica es la de revelación de secretos nacionales. En concreto, la Fiscalía cree que al haber tenido acceso y usado como base para elaborar notas periodísticas una Agenda de Consejo de Ministros, detalles sobre la negociación de un tratado comercial con Venezuela y la entrada al país de una unidad naval y personal militar de Chile se habrían revelado secretos nacionales. Este delito tiene como pena máxima quince (15) años, la misma que le corresponde a las lesiones por violencia familiar, la trata de personas y la violación de persona en estado de inconsciencia.

Creo que la Fiscalía confunde la calificación de “secreto nacional”, que el Código Penal define como aquellos secretos que el interés de la República exige guardar, con la información prohibida de ser revelada para el régimen de publicidad de los actos estatales. La Ley de Transparencia y Acceso a la Información pública distingue, en su artículo 15, tres tipos de información que están exceptuadas del régimen de transparencia: (i) secreta: información militar o de inteligencia previamente clasificada por los funcionarios autorizados para hacerlo; (ii) reservada: información cuya revelación originaría un riesgo a la seguridad e integridad territorial del Estado y la defensa nacional en el ámbito externo, al curso de las negociaciones internacionales y/o la subsistencia del sistema democrático previamente clasificada; y, (iii) confidencial: aquella que afecte a terceros o contenga consejos, recomendaciones u opiniones producidas como parte del proceso deliberativo y consultivo previo a la toma de una decisión de gobierno.

Cuando el Código Penal alude a secretos que el interés de la República exige guardar y le asigna una pena de quince (15) años está pensando en información secreta de especial cuidado y previamente clasificada como tal por parte de las autoridades competentes. Los documentos cuyo contenido supuestamente Palma divulgó, por el contrario, más parecen información reservada (autorización de entrada de militares extranjeros) y cuya revelación no está en capacidad de poner en riesgo las relaciones internacionales ni el orden interno. La información que Palma reveló es tan confidencial como lo son las actas de sus propias declaraciones en este caso, a los que la prensa ha tenido acceso y difundido indiscriminadamente como en tantos casos, o como lo es cualquier expediente administrativo en trámite de Indecopi u Osiptel.

Lo siguiente

Si lo difundido por la prensa es cierto, Palma no es un hacker. Podría decirse que incluso su conocimiento sobre redes informáticas y buzones de correo es limitada. Me recuerda mucho más a Chris Chaney, ese treintañero aburrido y desempleado de un suburbio de Estados Unidos, quien respondiendo a las preguntas de verificación de identidad logró acceder a las cuentas de correo electrónico de Scarlett Johansson, Mila Kunis, entre otras celebridades, y filtrar sus fotografías personales. Él tampoco quiso ser un hacker, recién tuvo una computadora propia a los veinte años, y su curiosidad lo llevó a una condena de sesenta años en prisión.

Hay muchos que han visto en este caso un enseñamiento contra un medio de prensa o la excusa perfecta para introducir regulación más estricta sobre la prensa. De hecho, ciertas irregularidades procesales y la inclusión del delito de revelación de secretos estatales no parecen fortuitas.

Yo creo que, si se desestima el cargo de los secretos estatales, esta es una oportunidad excelente para el Estado de demostrar cómo se puede impartir justicia y condenar a periodistas por delitos que efectivamente cometieron sin poner el riesgo las garantías para la libertad de expresión. Mientras tanto, Rudy Palma ha sido trasladado al penal que le corresponde y espera su proceso. En su foto de perfil en Facebook ahora hay un perro. Otra de sus fotos es una ilustración donde se lee: El mundo necesita de gente que ame lo que hace.

Ilustración: Ben Heine (C)

El asunto «Megaupload» y el futuro de Internet

Aurelio Lopez-Tarruella Martinez, Profesor Titular de Derecho internacional privado. Universidad de Alicante (España). Investigador principal Proyecto «Aspectos jurídicos de los contratos internacionales de I+D» Coordinador del Módulo de Derecho de las nuevas tecnologías del Magister Lvcentinus de Derecho de Propiedad industrial, intelectual y Sociedad de la información, amigo y colaborador de esta tribuna nos alcanza este interesante artículo sobre el sonado caso Megaupload y las consecuencias del mismo para Internet. Muchas gracias Aurelio.

El asunto «Megaupload» y el futuro de Internet

(Originalmente publicado en Lucentinus)

Inevitablemente, el tema de conversación de este fin de semana ha sido «Megaupload» y el amigo Kim Dotcom y su cadillac rosa. Acabados los gintonics y superada la resaca (aunque ésta no me ha permitido leer todo lo que hay sobre el tema), aquí están una serie de reflexiones apresuradas sobre el asunto.

En un primer momento, uno siente indignación por la prepotencia con la que pareció actuar el FBI (aquí la acusación gracias a F. Garau y R. Ramirez): ¿Cómo es posible que detengan a unos tipos que ofrecen servicios de alojamiento? Los que cometen las infracción de PI son los usuarios que utilizan sus servicios para almacenar contenidos protegidos por PI!!!! (personas que, por cierto, prefieren gastar dinero en una suscripción para compartir ilegalmente contenidos protegidos por PI antes que contratar un servicio para disfrutar de esos contenidos legalmente, servicios que probablemente tenga un precio similar al de megaupload). Ahora bien, algo más debía haber tal y como ponen de relieve las noticias publicadas al respecto: intercambio de e-mails que demostraban que Kim y compañía sabían qué estaban haciendo los usuarios y las páginas que enlazaban a Megaupload. Además, las cifras del negocio son descomunales, por lo que como bien dice Technollama, poca simpatía se le puede tener a los detenidos: «it accounted for 4% of Internet traffic and received an estimated 50 million visitors per day… income estimated at $150 million USD in subscription fees and $25 million USD from advertising«.

Si los datos de la acusación (y los publicados por la prensa) son ciertos, lo de hablar de «crimen organizado» no queda muy alejado.

Ante esta situación, el futuro de servicios similares a Megaupload se llena de claroscuros:

Muchos servicios de almacenamiento (recordemos, en esto consiste buena parte del negocio del cloud computing) y muchas páginas de enlaces que se nutría de los archivos de megaupload han empezado a cerrar o a limitar su oferta (curioso el anuncio de los fundadores de seriesyonkis hace unas semanas de que ya no están detras del sitio web) y ello aunque sus servidores estén ubicados fuera de Estados Unidos y aunque hipervincular a páginas web con contenidos ilícitos siga sin ser infracción en nuestro país. Esto puede verse como algo positivo para la protección de la PI y ayudará a que afloren servicios de streaming que cumplan con la legalidad (¿Cuándo aparecerá el Spotify de las series de televisión? ¿Será youzee.com o habrá que esperar a netflix en Europa). No obstante el cierre de megaupload tambien tiene un lado negativo: Megaupload u otros servicios similares tampoco van a poder ser utilizados con finalidades lícitas. Estoy seguro que Dropbox ya han empezado a preocuparse por la acusación contra megaupload. ¿Debe la plataforma tomar medidas para evitar el ser utilizada por los usuarios para intercambiar contenidos protegidos por PI? ¿No convertirá esto a los PSI en la policía del cloud computing? ¿Conllevará esta medida serios obstáculos para el florecimiento de la industria del cloud computing?
¿Qué pasa con todos los usuarios que tenían depositada información de todo tipo en los servidores de Megaupload? Supongo que en algún momento el FBI les dará acceso a esa información. Mucha gente ha podido resultar altamente perjudicada por el embargo de sus archivos. De no recuperarlos dicho perjuicio puede ser mucho mayor.
Recordemos que «Megaupload» se ha podido cerrar porque tres de sus servidores se encuentran ubicados en Estados Unidos. Supongo que, para el cierre del servidor en Holanda (si es que se ha cerrado), el FBI habrá contado con la ayuda de las autoridades de ese país. En el asunto «rojadirecta«, las autoridades estadounidenses sólo pudieron bloquear el nombre de dominio «.com», pero nada más. Lo mismo ocurriría si el FBI intentara cerrar servicios similares a megaupload (o de paginas de enlace) ubicados fuera de USA, salvo que cuenten con el apoyo de las autoridades del país de ubicación del servidor y de que, en dicho país, la actividad sea considerada ilícita. De ahí la necesidad para USA (y para la UE) de una mayor nivel de protección de la PI (ACTA, TPP) de sus socios comerciales. De lo contrario, resulta muy fácil eludir la acción de la justicia de Estados Unidos.

Una solución alternativa (y respetuosa con la soberanía de otros Estados para ofrecer la regulación que consideren más conveniente a la protección de la PI en su territorio) consiste en que las autoridades de USA obliguen a los PSI estadounidenses a bloquear el acceso de los residentes en US a sitios web donde se infringen derechos de PI (esta medida alternativa se ha adoptado recientemente por autoridades holandesas en relación con Pirate Bay). Esta solución, sin embargo, no es satisfactoria pues lo que desean las autoridades de ese país es que los derechos de PI de su industria dejen de ser infringidos en cualquier lugar del mundo. Además, esto llevaría a una segmentación de Internet por países. China ya limita el acceso a Internet a sus ciudadanos por otros motivos: No debemos dejar que las mismas medidas sean tomadas por otros países y la censura se convierta en la regla general en Internet. Ello implicaría perder uno de sus principales valores: su globalidad. Para evitarlo sólo queda hacer dos cosas: una mayor coordinación entre autoridades y una progresiva armonización de las legislación de PI que tome en consideración el nivel de desarrollo económico de cada país. La tarea no es nada fácil pero, precisamente, por ello es más apasionante.

La naturaleza de los bienes en mundos virtuales

Pocas cosas tan interesantes para el mundo del Derecho como la naturaleza de los derechos de propiedad sobre bienes creados o generados en mundos virtuales, metaversos, entropías o rarezas por el estilo (SecondLife, Habbo, Sanalika, Smeet o Club Penguin). Estos mundos virtuales no son otra cosa que plataformas a través de las cuales las personas, mediante un avatar, pasan a formar parte de un ecosistema que les permite interactuar con otros avatares, realizar transacciones y, claro está, adquirir bienes virtuales.

No es un secreto que los bienes que se comercian en estos mundos virtuales no existen en la realidad. Son representaciones de cosas que sólo tienen materialidad en la inmaterialidad del mundo virtual, por tanto, existen en el nivel de la estructura de software de estos universos. Es decir, los acuerdos, pactos y compras al interior de estos mundos dependen únicamente del software que las materializa. Mantener este software activo implica en la práctica la protección no sólo de este patrimonio virtual, sino de la propia existencia del avatar. La pregunta entonces cae de madura: ¿Es posible hablar de algún tipo de derecho de propiedad en estos mundos virtuales?

Sin entrar en profundidades, recientemente la Corte Suprema en lo Penal de Holanda cree que sí es posible. Explicaremos el caso.

Los hechos

En septiembre de 2007, dos muchachos (de quince y dieciséis años) interceptan y atrapan a otro chico de trece mientras iba en bicicleta camino a casa desde el colegio. Bajo amenaza y violencia, los agresores obligan al menor a acudir a casa de uno de ellos, a iniciar su sesión en Runescape y a transferir dinero virtual y bienes (un amuleto y una máscara) desde su cuenta a la cuenta de uno de los agresores. La víctima acudió a la policía, los ladrones reales de mundos virtuales fueron arrestados y el caso terminó en un proceso penal.

En el año 2009 , un juzgado penal de Leeuwarden encontró a estos dos malhechores culpables de robo con violencia y amenaza de violencia. Los agresores fueron condenados a cumplir 160 horas de servicio comunitario o alternativamente 80 días de detención juvenil.

El Código Penal holandés

Los jóvenes ladrones apelaron la decisión del juzgado. En la apelación se sostuvo de que el delito no podía tipificarse como un robo dado que los objetos virtuales transferidos a punta de cuchillo no podían considerarse bienes en los términos del Código Penal holandés.

El artículo 310 del Código Penal holandés (Wetboek van Strafrecht) señala que es culpable de robo quien se apropia ilegalmente total o parcialmente de los bienes de otra persona. Cabe destacar que el Código Penal holandés es del año de 1886, es decir, de una época sin ningún atisbo de mundos virtuales en el horizonte.

La sentencia de la Corte Suprema

Al resolver la apelación, la Corte Suprema holandesa recordó que desde el año 1921 (HR 23 mei 1921, NJ 1921, p. 521) la jurisprudencia ha considerado que dado que el artículo 310 del Código Penal tiene por objeto proteger cualquier tipo de bien también protege la posesión de bienes inmateriales, como por ejemplo, la electricidad.

La apelación centró su defensa, básicamente, en dos argumentos que parecen muy interesantes y relacionados entre sí: (i) estos objetos virtuales no son bienes, sino una ilusión visual de «bits y bytes», y, (ii) que estos objetos coinciden con la definición de «datos» por lo que no pueden ser considerado como bienes.

Para la Corte, los objetos virtuales, sobre los que la víctima tenía un control exclusivo tienen un valor real. Fue intención del legislador proteger la capacidad del titular de determinados derechos para disponer de sus bienes, así, la jurisprudencia ha determinado que la definición de bienes puede aplicarse no sólo a los objetos materiales. Por tanto, la naturaleza virtual de los objetos robados a punta de cuchillo, no impide que se les considere como bienes en el sentido del artículo 310.

Por otro lado, para la Corte, el hecho que un objeto pueda constituir una serie de «datos» no se opone a que sea al mismo tiempo un bien en el sentido señalado en el Código Penal. En un caso límite, donde los elementos no materiales muestran atributos tanto de ‘bien’ -material se entiende- como de ‘datos’, la interpretación jurídica dependerá de las circunstancias del caso y de su valoración por parte del juez. En nuestro caso, queda claro que para la justicia holandesa los bienes virtuales robados bajo amenaza a punta de cuchillo están dentro de la protección otorgada por el Código Penal holandés.

En frisón clásico

Para la Corte, los objetos virtuales son bienes, pueden ser robados y vas preso por hacerlo. Robados desde el mundo real hay que aclarar, porque suponemos que en el mundo virtual se aplicarán las reglas del fabricante o programador.

Más sobre el caso:

TechnoLlama (Dutch Supreme Court says virtual goods are property )
Greg Lastowka en TerraNova (Dutch Court recognizes Runescape items as legal «goods»).

La sentencia:

LJN: BQ9251, Hoge Raad , 10/00101 J del 30 de enero de 2012.

Sobre bienes virtuales:

Lastowka, Greg. Virtual Justice: The New Laws of Online Worlds. Yale University Press: 2010. Pp. 122 y ss. (Disponible gratuitamente sin SOPA ni PIPA, aquí)

Sobre piratas, la SOPA, INDECOPI y derechos de autor en Gestión

Entrevista en Gestión del blawyer Abel Revoredo (@watsamara) (aquí).

En resumidas cuentas, Abel consiedera que en un hipotético escenario en el que la ley SOPA (Stop Online Piracy Act – Ley para el cese de la piratería en línea) fuera aprobada, su aplicación no afectaría mayormente a las páginas web peruanas. No obstante, los internautas podrían sufrir en alguna medida las consecuencias de lo que él llama una «bomba atómica para matar mosquitos«.

Sobre la sopa en Blawyer: Luego de SOPA y PIPA ¿qué viene o debería venir?, Actualización: ¿Quien financia la SOPA? y La SOPA que definiría el futuro de Internet.

Les dejamos con la entrevista.

[vsw id=»35967021″ source=»vimeo» width=»425″ height=»344″ autoplay=»no»]

La vida después de Megaupload

El jueves 19 de enero se inició proceso penal ante una corte del distrito de Virgina contra los propietarios de Megaupload y sus sitios asociados, y se ordenó el cierre provisional de sus páginas así como la detención inmediata de su propietario y trabajadores. La intervención de Megaupload por parte del gobierno estadounidense abre una nueva etapa en la lucha contra la distribución no autorizada de material protegido por derechos de autor a través de internet, la cual puede tener consecuencias sobre el futuro de la distribución de contenidos en línea.

Si hemos visto una película en línea o descargado un disco en los últimos meses, es probable que hayamos visitado Megaupload o un sitio parecido.Si alguien ha tratado de enviar un archivo muy pesado a través de correo electrónico o de distribuirlo entre un gran número de personas, debe haber experimentado con algún servicio de almacenamiento remoto como Megaupload. Se trata de páginas que ofrecen a sus usuarios la posibilidad de subir archivos de gran tamaño en sus servidores generando un enlace permanente desde el cual se puede descargar el contenido alojado. Las hay gratuitas y de pago, con mayor o menor distribución, y a menudo ofrecen opciones de descarga regular para usuarios no registrados y de mayor velocidad para aquellos que han comprado una cuenta premium. Para nadie es un secreto que buena parte de los archivos alojados en estos servicios son copias no autorizadas de obras protegidas porderechos de autor, puestas ahí para que sus enlaces sean distribuidos a través de páginas especializadas en descargas que se salvan de cualquier acción legal gracias al argumento de que ellos solo enlazan contenidos alojados por terceros (ej. Taringa,Cuevana, SeriesYonkis, etc.).

Conforme a la DMCA, una página que muestra contenidos generados por sus usuarios debe cumplir ciertos requisitos para ser excluida de responsabilidad frente a cualquier infracción cometida por estos. Estos requisitos son: (i) no tener conocimiento de la existencia del material infractor; (ii) no estar al tanto de los hechos o circunstancias de las cuales se deriva la ilegalidad aparente de la actividad infractora; y (iii) actuar expeditamente para remover, o deshabilitar el acceso al material infractor.

Para la Corte de Virginia, Megaupload no ha cumplido con los requisitos para ser exceptuado de responsabilidad por la distribución de contenido infractor subido por sus usuarios. La tesis principal es que Megaupload se había convertido en algo más que un servicio de alojamiento de archivos a largo plazo para usuarios domésticos. La denuncia penal describe una sofisticada red de agentes y empresas subsidiarias que habrían sido usadas para hacer de la difusión de material protegido por derechos de autor un modelo de negocio. De hecho, si un contenido subido por un usuario no era descargado tras un periodo de 21 días pasaba a ser retirado de los servidores. Megaupload parecía más interesado en privilegiar los archivos más populares que, casi siempre, resultaban siendo material infractor de los derechos de autor. A través de su sistema de premios, llegaban a entregar sumas de dinero a los usuarios que subían los contenidos más solicitados y supuestamente tenían una relación estrecha con las páginas que distribuían sus enlaces.

El proceso recién se ha iniciado, por lo que muchas preguntas sobre qué pasará con los usuarios y los contenidos lícitos alojados en la página aún están sin responder. Sin embargo, además de este caso particular, la principal preocupación tiene que ver con el futuro de las páginas similares a Megaupload (como Mediafire, RapidShare, FileSonic, entre otras). No cabe lugar a dudas de que su servicio es necesario y a menudo es usado lícitamente para distribuir contenidos por creadores y titulares de derechos de autor. Aplicar un escrutinio demasiado intenso sobre estos servicios podría llevar a su desaparición, lo cual afectaría a los agentes que usan sus servicios como una forma de sortear los problemas que representa enviar y recibir grandes archivos a través de internet.

Sin ir muy lejos, existe un proceso aún no concluido en el que Viacom acusa a Youtube de haberse hecho popular a costa de hacer de la distribución de videos protegidos por derechos de autor su primer modelo de negocio. Sin lugar a dudas, la internet que tengamos en el futuro dependerá de cómo se armonicen los niveles de protección adecuados para creadores y titulares, y de las condiciones suficientes para que el mercado siga desarrollándose.

Descarga: Megaupload Indictment (.pdf, 72 páginas)

Publicado originalmente en Punto Edu, el 20 de enero de 2012

Tecnología GPS y privacidad

Recientemente la Corte Suprema de Estados Unidos ha enfrentado un caso muy interesante que pone nuevamente sobre el tapete la relación entre la tecnología y el derecho. La Corte Suprema se hizo la siguiente pregunta: ¿puede el gobierno monitorear a un individuo por la supuesta comisión de un delito utilizando un dispositivo GPS sin contar con una orden judicial? Primero abordaremos algunos aspectos técnicos sobre el sistema GPS para luego comentar los aspectos legales involucrados.

¿Qué es el GPS?

Son las siglas detrás de Global Positioning System (GPS), un sistema de navegación satelital compuesto de veinticuatro satélites puestos en órbita y gestionados por el gobierno de los Estados Unidos. Inicialmente se trató de un tipo de tecnología de uso exclusivamente militar; sin embargo, a inicios de los años ochenta se liberalizó de manera que pudiera ser utilizado por cualquier individuo y de manera gratuita. Es este sistema el que nos permite ubicar direcciones a través de nuestros dispositivos móviles, ubicarnos geográficamente de manera efectiva en lugares desconocidos y hasta ubicar vehículos (no en vano ingeniosos taxistas limeños anuncian sus servicios de transporte ofreciendo como garantía de seguridad el contar con un sistema de GPS).

¿De qué trata el caso?

La policía y el FBI colocaron, subrepticiamente y sin contar con una orden judicial, un dispositivo GPS en el auto de Antoine Jones ubicado en una playa de estacionamiento ante las sospechas de que éste era narcotraficante. Jones fue monitoreado por veinticuatro horas al día durante veintiocho días y parte de la evidencia obtenida por las autoridades fue utilizada en el proceso judicial que se abrió en su contra y llevó a su eventual condena. Posteriormente una corte de apelación revirtió el fallo de la instancia inferior al descubrir que la utilización del dispositivo violó la Cuarta Enmienda que indica lo siguiente:

El derecho de los individuos a que tanto ellos como sus domicilios, papeles y efectos se encuentren a salvo de inspecciones y embargos arbitrarios, será inviolable, y no se expedirán para tales efectos ordenes ó autorizaciones que no se encuentren sustentandas en un motivo verosímil (probable cause), estén fundamentados a través de juramento o declaración y describan con particularidad el lugar que deba ser inspeccionado y las personas o cosas que han de ser detenidas o embargadas.

El caso fue elevado a la Corte Suprema y ésta aceptó revisarlo. El clásico análisis de la cuarta enmienda consiste en determinar si la persona contaba con una expectativa de privacidad y si dicha expectativa es una que la sociedad se encuentra preparada para asumir como ‘razonable’. Un análisis nada sencillo pero sobre el cual existe diversa jurisprudencia que ha ido sentando los criterios a tomar en cuenta.

Posiciones de las partes.

Durante la audiencia pública llevada a cabo el pasado 8 de noviembre, el procurador general declaró que la propia Corte Suprema había indicado en casos anteriores que no existía expectativa de privacidad cuando un individuo se moviliza en la vía pública y que la tecnología GPS permitió acceder a información que ya se encontraba expuesta y a disposición de cualquier interesado en acceder a ella. Al respecto cabe precisar que, efectivamente, en United States v. Knotts (1983) la Corte Suprema no calificó como inspección el monitoreo que hizo la policía con un beeper del vehículo de un individuo. Asimismo, indicó que no existió una expectativa razonable de privacidad en su traslado de un lugar a otro a través de la vía pública. En tal sentido la policía no tuvo la necesidad de solicitar un mandato judicial y actuó correctamente.

Por su parte, la defensa indicó que no existiría ninguna expectativa razonable de privacidad en que una autoridad instale un dispositivo subrepticiamente de manera que éste monitoree la vida de un ciudadano veinticuatro horas por veintiocho días.

En el Perú la regulación de la privacidad no goza de un desarrollo profundo y extenso. En todo caso existe culturalmente una preocupación más cercana a la utilización de la información personal por parte de privados que por parte del Estado (contrario a lo ocurrido en Estados Unidos, donde hay mayor presión regulatoria con respecto al accionar del gobierno). Curioso ya que tenemos antecedentes de gobiernos que han hecho uso irresponsable de vasta información personal para fines ilícitos.

El caso resulta interesante además porque plantea muchas interrogantes como dónde queda el límite entre el uso de la tecnología y la esfera íntima del individuo, más aún en aquellos casos donde existen razones de interés público que requieren una acción rápida de las autoridades. Por otro lado que ocurre con las cámaras de vigilancia ciudadana que se encuentran instaladas en diversas ciudades del mundo incluso en Lima, ¿existe ahí una expectativa razonable de privacidad ó en el presente caso nos encontramos frente a una situación distinta?¿el interés público contenido en la seguridad ciudadana implica acaso cierta renuncia de la privacidad? Estaremos pendientes de la resolución final de este caso ya que sentará nuevos criterios dentro de la regulación de la privacidad en Estados Unidos.

Mayores detalles del caso acá

¿Soñó Henry Ford con dirigir un panóptico?, en Gaceta Constitucional

El número en distribución de la revista Gaceta Constitucional incluye un artículo que he escrito junto a mi amigo el abogado laboralista Felipe Gamboa Lozada. Nuestro artículo se publica dentro de un dossier especial sobre derechos y deberes de los trabajadores al usar las herramientas informáticas que les facilita el empleador, a propósito de una sentencia reciente del Tribunal Constitucional.

Partiendo de la imagen de Henry Ford como ideólogo de la empresa moderna, nos preguntamos si este modelo asumía al trabajador no solo como un insumo sino como un sujeto de derecho. En el centro del debate está la pregunta de qué puede y qué no puede hacer un empleador para controlar la forma en que sus trabajadores usan las herramientas informáticas de las que dispone.

Nuestro estudio parte de un repaso del escenario legal, jurisprudencial y tecnológico que rodea el asunto. Concluímos que el marco legal existente permite al empleador adoptar una serie de medidas de supervisión sobre la forma en la que se utilizan los recursos informáticos de la empresa. Sin embargo, dichas potestades no incluyen el escrutinio de mensajes de comunicaciones personales. El alcance del derecho a la inviolabilidad de las comunicaciones, conforme está denido en la Constitución, obliga a que los mecanismos de intervención sean menos intrusivos en la esfera del trabajador.

También participan del número también Jorge Toyama, Javier Dolorier, Luz Pacheco, Sandro Núñez, Daniel Ulloa, entre otros especialistas. Más información en su página web.

Descarga :
¿Soñó Henry Ford con dirigir un panóptico? Uso y control de herramientas tecnológicas en el centro laboral (pdf)

La protesta como una forma de piratería informática

Esta es la historia de cómo un conflicto laboral terminó en un caso judicial por sabotaje a los equipos informáticos del empleador.

Los Hechos

Pulte Homes de Bloomfield Hills en Michigan, la mayor constructora de viviendas en los Estados Unidos, despidió a ocho de sus trabajadores. Hasta aquí nada de extraordinario, sin embargo, hay que anotar que los trabajadores pertenecían al Sindicato Internacional de Trabajadores de América del Norte (Laborers’ International Union of North America – LiUNA). Para el LiUNA, siete de los trabajadores fueron despedidos por mostrar su apoyo al Sindicato y no por un bajo rendimiento laboral. Como represalia por los despidos, LiUNA inició una agresiva campaña dirigida a sabotear e interrumpir las comunicaciones de Pulte Homes.

El sitio web del sindicato difundió un aviso animando a sus miembros a inundar de llamadas telefónicas las oficinas de ventas de Pulte y de saturar con correos electrónicos las cuentas de tres de sus ejecutivos. Para facilitar la tarea, LiUNA contrató un servicio de marcación de llamadas automáticas y su web proporcionó un correo electrónico pre-dirigido listo para ser enviado a los ejecutivos de Pulte Homes.

Como respuesta a esta campaña -como no podía ser de otro modo tratándose de los Estados Unidos-, Pulte demandó a LiUNA por violación de la Ley de Abuso y Fraude Informático (Computer Fraud and Abuse Act – CFAA). En su demanda, Pulte presentó dos reclamaciones alegando sendas violaciones a la CFAA, una por realizar daño a través de un acceso no autorizado y la otra por causar daño mediante la transmisión de información o de un programa.

La Ley de Abuso y Fraude Informático

Para Reid Skibell (Cybercrimes & Misdemeanors: a Reevaluation of the Computer Fraud and Abuse Act) la aprobación de la CFAA se debió en parte al temor que generó la película Juegos de guerra (WarGames (1983) de John Badham), hecho indicativo de cómo históricamente existe una muy baja relación entre políticas públicas cuerdas y la idoneidad de las leyes sobre seguridad informática.

Un año después de la exhibición de WarGames, en 1984, el Congreso de los Estados Unidos aprobó la CFAA. La ley fue ampliamente criticada por ser demasiado vaga. Para corregir estas deficiencias, el Congreso llevó a cabo un estudio más cuidadoso de los delitos informáticos y revisó completamente la Ley en 1986. Desde entonces, la CFAA ha sido modificada ocho veces.

El fallo del Tribunal de Distrito

Regresando al caso Pulte. En primera instancia, el Tribunal de Distrito rechazó la demanda. De acuerdo con el Tribunal, para que la transmisión de correos sea considerada ilegal en términos de la CFAA éstos deben dañar intencionalmente un computador protegido, lo cual no se había demostrado en el caso. En cuanto al acceso no autorizado, el Tribunal concluyó que LiUNA no pudo acceder a la computadora de Pulte simplemente con un correo de voz o mediante un correo electrónico.

El fallo del Sexto Circuito

El Sexto Circuito revocó la decisión del Tribunal de Distrito, encontrando que las llamadas telefónicas o una campaña de bombardeo de correo electrónico sí está en la capacidad de constituir una violación de la CFAA.

El fallo reconoció que el teléfono y los sistemas de correo electrónico de Pulte se han configurado para recibir llamadas y correos electrónicos sin ninguna restricción, por lo que en este sentido el LiUNA estaba autorizado a usarlos. Sin embargo, lo determinante en este caso fue la interpretación dada al termino daño en la CFAA. El Sexto Circuito señaló que la ley sólo define el daño como «deterioro de la integridad o la disponibilidad de datos, de un programa, de un sistema, o de la información«. En la medida que la CFAA no define «deterioro», «integridad» o «disponibilidad», el fallo revisa el sentido de estos términos. En atención al significado común de los términos señalados, el Sexto Circuito concluyó que causa daño una transmisión que debilita un sistema informático o, que disminuye la capacidad del demandante para el uso de un sistema de datos. Por lo tanto, el aluvión de llamadas y correos electrónicos disminuyó la capacidad de transmisión de Pulte a utilizar sus sistemas y redes de datos, ya que impidió que Pulte recibiera algunas llamadas y el acceso o el envío de por lo menos algunos mensajes de correo electrónico.

Con respecto a la intencionalidad, el Sexto Circuito, encontró que este requisito se encontraba plenamente satisfecho en la medida que: (1) LiUNA dio instrucciones a sus miembros para que enviaran miles de correos electrónicos a los ejecutivos de Pulte, (2) los correos electrónicos provenían del servidor de LiUNA, (3) LiUNA alentó a sus miembros a » luchar «, después de que Pulte despidió a varios empleados, (4) LiUNA utilizó un servicio de marcación automática, y (5) algunos de los mensajes incluyeron amenazas u obscenidades.

Finalmente, y como un dato curioso, el Sexto Circuito coincidió con el Tribunal de Distrito en desestimar los alegatos de Pulte, por incumplir una formalidad menor contenida en una norma relativa a los conflictos laborales, la Ley Norris-Laguardia (Norris-Laguardia Act).

Recomendamos: Eric Goldman (Sixth Circuit: Email and Phone Advocacy Campaign Can Violate the Computer Fraud & Abuse Act), Nik Akerman (Can a Labor Union Be Sued Under the Computer Fraud and Abuse Act for Spamming an Employer’s Voice and Email Systems?) y techdirt (Court Says Sending Too Many Emails To Someone Is Computer Hacking).

Nuevo Congreso, nuevos proyectos de ley

El nuevo Congreso de la República para el Periodo 2011 – 2016 se ha instalado hace un par de semanas y ya tenemos algunos proyectos para empezar a comentar. En particular, llaman mi atención dos proyectos de ley presentados por la bancada de Alianza por el Gran Cambio.

El primer Proyecto de Ley (.pdf), presentado por Ricardo Bedoya el 11 de agosto de 2011, es un viejo conocido. Se trata de un nuevo intento por cambiar el Código Penal para tipificar como un delito la difusión de conversaciones privadas a través de medios de comunicación. Durante la legislatura anterior, hubo dos proyectos, incluyendo uno del propio Bedoya, que pretendían lo mismo y que consideré poco acertados. Este nuevo intento parece haber refinado la técnica y se incluye expresamente que no habrá delito cuando el contenido de la comunicación difundida tiene un contenido delictivo. De aprobarse, el artículo 162 del Código Penal quedaría como sigue.

Artículo 162.— lnterferencia y difusión de comunicaciones privadas
El que, indebidamente, interfiere, escucha o difunde una comunicación privada, independientemente del medio a través cual haya tenido lugar, será reprimido con pena privativa de libertad no menor de dos ni mayor de cuatro años.
Si el agente es funcionario público, la pena privativa de libertad será no menor de tres ni mayor de cinco años e inhabilitación conforme al artículo 36, incisos 1, 2 y 4.
Está exenta de responsabilidad la difusión de comunicaciones que tenga un contenido delictivo persegulble por acción penal pública.

El segundo, presentado por Juan Carlos Eguren el 11 de agosto de 2011, propone una Ley de Delitos Informáticos (.pdf) como una ley penal especial. El Proyecto de Ley recoge los delitos ya presentes en el Código Penal (ampliando sus penas) e incorpora nuevos relacionados con la violación de datos personales, sistemas informáticos, pornografía infantil, entre otros. Sin duda, se trata de una norma ambiciosa y que —espero— traiga mucho debate. Veo cosas positivas como la tipificación del manejo fraudulento de medios electrónicos de pago (como duplicar la página de un Banco para capturar contraseñas) y cosas que hay que leer con cuidado, como las penas para la reproducción con fines de lucro de obras protegidas por derechos de autor.