Después de la sorpresa: sobre la Ley de Delitos Informáticos

La semana pasada, la aprobación de la Ley de Delitos Informáticos en Costa Rica desató una serie de reacciones que me despiertan muchas inquietudes y me preocupan como ciudadana, como ciberactivista, como investigadora en temas de uso de la tecnología de información y comunicación; y como interesada en el tema de los derechos en el mundo digital.

La primera preocupación, tiene que ver con la reacción manipuladora y ¿desinformada? de la prensa. La segunda, con la reacción de la ciudadanía que en unos casos explotó a partir de la desinformación de los medios de comunicación, sin detenerse siquiera a leer la ley, y por la otra desestimó los asuntos que verdaderamente nos afectarán en nuestra libertad de expresión en Internet. La tercera tiene que ver con el funcionamiento de nuestra Asamblea Legislativa, el trabajo de los legisladores y de sus asesores, quienes al parecer consideran que estos temas no requieren de los aportes de personas con el conocimiento del cual ellos carecen. En el caso de esta ley, es relativamente fácil para mí notar las fallas, porque aunque no soy abogada este es un tema del cual me ocupo. Pero ¿qué pasará en el caso de leyes sobre Banca de Desarrollo, Ley de Tránsito y tantas otras que requieren de otros conocimientos especializados? Lo que ya sabemos: mamarrachos de ley. Y la cuarta preocupación: la ignorancia de la ley a nivel general, lo poco o nada que sabemos sobre cómo se redactan, implementan y se interpretan y el escaso interés que le ponemos a disposiciones que nos afectan a todos pero ni siquiera leemos hasta que llegan el día en el que nos acusan de algo. Como muestra, léanse el post de Julio Córdoba sobre leyes friki en Costa Rica.

El grito al cielo: 42 años después

Radio Reloj fue el primer medio en pegar el grito con este titular: Nueva ley de delitos informáticos castigaría con cárcel investigación y publicación periodística. La Nación le siguió con su titular Nueva ley impone cárcel a quien obtenga ‘información secreta política’. En el programa radiofónico de Amelia Rueda según me dicen, los radioescuchas tuvieron que bajarle el volumen a su radio ante la furia de esta comunicadora (aunque no pude encontrar ninguna nota en su sitio, pero es difícil encontrar cualquier cosa ahí). En todas las notas publicadas entre el 11 y el 12 de julio (con excepción de este y otros blogs), se omite que la frase cuestionada del artículo 288 “informaciones secretas políticas” está en el Código Penal costarricense desde 1970 e incluso, la fuente especialista de al menos dos de las notas (el exjuez y especialista en derecho penal Ewald Acuña) no menciona -o no le publican que menciona- ese hecho.

Los artículos que la prensa llama “mordaza”

Los artículos que los representantes de medios de comunicación, del Colegio de Periodistas y el Instituto de Prensa y Libertad de Expresión cuestionan, son los siguientes:

“Artículo 196.- Violación de correspondencia o comunicaciones
Será reprimido con pena de prisión de tres a seis años quien, con peligro o daño para la intimidad o privacidad de un tercero, y sin su autorización, se apodere, accese, modifique, altere, suprima, intervenga, intercepte, utilice, abra, difunda o desvíe de su destino documentos o comunicaciones dirigidos a otra persona.

La pena será de cuatro a ocho años de prisión si las conductas descritas son realizadas por:
a) Las personas encargadas de la recolección, entrega o salvaguarda de los documentos o comunicaciones.
b) Las personas encargadas de administrar o dar soporte al sistema o red informática o telemática, o bien, que en razón de sus funciones tengan acceso a dicho sistema o red, o a los contenedores electrónicos, ópticos o magnéticos.

Para el artículo 196, es incomprensible la sorpresa por parte de la prensa. La violación de correspondencia constituye un delito desde hace décadas y la violación de comunicaciones electrónicas está tipificada desde el año 2001, como explicó José Medrano en su blog. # Olviden el nombre del blog y tomen en serio lo que escribe sobre nuestra legislación relacionada con el entorno digital.

Sorprende entonces que una nota publicada por el Semanario Universidad señale que esta nueva disposición inhibiría la publicación de documentos como el memorando del miedo publicado por ese medio en el 2007, pues desde el 2001 está vigente el mismo artículo, el cual ya no señala únicamente a quien abriera la documentación sino también a quien la hubiera extraído (es decir, al informante) y a quien la difundiera*. De hecho, el artículo 196 parece más bien proteger a los medios de comunicación en estos casos, incluyendo las condiciones “con peligro o daño para la intimidad o privacidad de un tercero”, algo que definitivamente no es lo que se vulneró en el caso del memorando Casas-Sánchez, pues la publicación de ese documento se daba en el marco del interés público y no puede señalarse como un daño a la intimidad de un tercero.

Continuar leyendo “Después de la sorpresa: sobre la Ley de Delitos Informáticos”

Ley de delitos informáticos: más preguntas que respuestas

No tengo respuestas, solo dudas. Y no soy abogada así que pongo esto aquí para que tratemos de responder las preguntas.

Aquí pueden leer el proyecto original y de aquí pueden ver la ley que está en vigencia. La ley nueva está aquí y el Código Penal está aquí.

Artículo 1, reforma al artículo 167 del código penal:

Incluye redes sociales o cualquier otro medio informático o telemático en casos de corrupción de menores o personas “incapaces” (sic). No le veo problema más allá de que mencione a personas incapaces.

Reforma al artículo 196: Violación de correspondencia o comunicaciones

Penas de cuatro a ocho años por violación de correspondencia o comunicaciones a:

a) Las personas encargadas de la recolección, entrega o salvaguarda de los documentos o comunicaciones.

b) Las personas encargadas de administrar o dar soporte al sistema o red informática o telemática, o bien, que en razón de sus funciones tengan acceso a dicho sistema o red, o a los contenedores electrónicos, ópticos o magnéticos.


1. Violar correspondencia siempre ha sido prohibido. Lo que la prensa cuestiona ¿es el aumento de las penas de cárcel? (pasan de entre uno a tres años a penas de cuatro a ocho años) o ¿es porque se añade la publicación? ¿consideran que están en su derecho de interceptar correspondencia y publicarla? Una cosa es interceptarla y otra, recibirla de un informante. El informante es el que en este caso se vería afectado y sí, no parece haber intención alguna de hacer salvedades cuando lo que se informa es de interés nacional. La diferencia central con la reforma del 2001 es que ahora se incluyen las palabras “publique y difunda”.

2. Me parece que deja por fuera a las personas que podrían dar la orden para que eso se ejecute. La responsabilidad recae en el funcionario de soporte o departamento de informática únicamente. Desconozco si se contempla eso en general como incitar a alguien a delinquir. Si yo administrara una red, estaría muy preocupada de ser el chivo expiatorio.

Artículo 196 bis.- Violación de datos personales
Será sancionado con pena de prisión de tres a seis años quien en beneficio propio o de un tercero, con peligro o daño para la intimidad o privacidad y sin la autorización del titular de los datos, se apodere, modifique, interfiera, acceda, copie, transmita, publique, difunda, recopile, inutilice, intercepte, retenga, venda, compre, desvíe para un fin distinto para el que fueron recolectados o dé un tratamiento no autorizado a las imágenes o datos de una persona física o jurídica almacenados en sistemas o redes informáticas o telemáticas, o en contenedores electrónicos, ópticos o magnéticos.

Quisiera saber a qué le llaman datos personales en la ley. ¿Son datos privados o cualquier tipo de dato personal, sea sensible o no sensible?

Por otro lado, este artículo parece tener la intención de protegernos de empresas como Datum si no fuera porque ahora los bancos nos hacen firmar una hoja donde damos autorización para usar nuestros datos personales. Entonces, el vacío da suficiente espacio porque la única condición es el consentimiento sin que existan niveles para por ejemplo, autorizar el uso de los datos pero no la venta de los mismos. O sea, es un saludo a la bandera.

Lo que sigue es incomprensible:

La pena será de cuatro a ocho años de prisión cuando las conductas descritas en esta norma:

a) Sean realizadas por personas encargadas de administrar o dar soporte al sistema o red informática o telemática, o bien, que en razón de sus funciones tengan acceso a dicho sistema o red, o a los contenedores electrónicos, ópticos o magnéticos.

b) Cuando los datos sean de carácter público o estén contenidos en bases de datos públicas.

De nuevo la responsabilidad es de los funcionarios de mandos medios o bajos.

¿A qué le llaman datos públicos? Si los datos son públicos es obligación del Estado ponerlos a disposición de la ciudadanía. Este debería ser el artículo criticado por la prensa, digo yo.

Artículo 288.- Espionaje

Será reprimido con prisión de cuatro a ocho años al que procure u obtenga indebidamente informaciones secretas políticas o de los cuerpos de policía nacionales o de seguridad concernientes a los medios de defensa o a las relaciones exteriores de la nación, o afecte la lucha contra el narcotráfico o el crimen organizado.

La pena será de cinco a diez años de prisión cuando la conducta se realice mediante manipulación informática, programas informáticos maliciosos o por el uso de tecnologías de la información y la comunicación.”

Lo primero que diré, es que lo cuestionable de este artículo ya está en el Código Penal actual. No comprendo la sorpresa de la prensa, aunque sí la nuestra porque es una aberración. En principio, parecería que es un asunto de resguardar la seguridad nacional pero:

1. ¿Qué son “informaciones secretas políticas”? Este detalle está hecho a la medida del Memorándum del Miedo, evidentemente. Y como no parece haber intención alguna de transparencia, toda la información pública que no se nos brinda aunque tengamos derecho a ella, ¿es secreta?

2. ¿A qué se refieren con “las relaciones exteriores” de la nación? ¿Pedir las actas de la comisión fantasma de la trocha es afectar las relaciones exteriores?

Artículo 229 ter.- Sabotaje informático

Se impondrá pena de prisión de tres a seis años al que, en provecho propio o de un tercero, destruya, altere, entorpezca o inutilice la información contenida en una base de datos, o bien, impida, altere, obstaculice o modifique sin autorización el funcionamiento de un sistema de tratamiento de información, sus partes o componentes físicos o lógicos, o un sistema informático.

“altere (…) modifique sin autorización” ¿autorización de quién? Ojo. Que no nos salgan luego con que modificar un software Open Source es sabotaje informático.

ARTÍCULO 3.- Modifícase la sección VIII del título VII de la Ley N.o 4573, Código Penal, de 4 de mayo de 1970, y sus reformas; se corre la numeración de los artículos subsiguientes. El texto dirá (…)

En Estados Unidos, Reino Unido, Australia, Canadá, Jamaica entre otros países se protege la figura del whistleblower (o “soplón”) pero en Costa Rica, estamos muy lejos de eso y vamos para atrás. La ley parece estar hecha a la medida de los revoltosos en Internet y de los funcionarios del Ministerio de Hacienda que filtraron información. El verdadero gol de la Ley de Delitos Informáticos es este:

“Artículo 230.- Suplantación de identidad
Será sancionado con pena de prisión de tres a seis años quien
suplante la identidad de una persona en cualquier red social, sitio de Internet, medio electrónico o tecnológico de información. La misma pena se le impondrá a quien, utilizando una identidad falsa o inexistente, cause perjuicio a un tercero.
La pena será de cuatro a ocho años de prisión si con las conductas anteriores se causa un perjuicio a una persona menor de edad o incapaz”.

Identidad falsa es El Infierno en Costa Rica, El Chamuco o mi nick de twitter, mi blog de blogger del 2004. Y perjuicio ¿qué es?

Artículo 231.- Espionaje informático

Se impondrá prisión de tres a seis años al que, sin autorización del titular o responsable, valiéndose de cualquier manipulación informática o tecnológica, se apodere, transmita, copie, modifique, destruya, utilice, bloquee o recicle información de valor para el tráfico económico de la industria y el comercio.

¿Esto o está regulado ya como secreto comercial? ¿Qué es lo que cabe como “información de valor”?

Artículo 232.- Instalación o propagación de programas informáticos maliciosos

Será sancionado con prisión de uno a seis años quien sin autorización, y por cualquier medio, instale programas informáticos maliciosos en un sistema o red informática o telemática, o en los contenedores electrónicos, ópticos o magnéticos.

Quien redactó eso no sabe que el spyware y otros tipos de software malicioso es instalado por la persona usuaria sin saberlo. Recomiendo una vez más pasarse a software libre porque si no, van todos para la cárcel.

La pena será de tres a nueve años de prisión cuando el programa informático malicioso:

i) Afecte a una entidad bancaria, financiera, cooperativa de ahorro y crédito, asociación solidarista o ente estatal.

¿Y como por qué las asociaciones solidaristas y no los sindicatos, las cooperativas de otro tipo, las organizaciones no gubernamentales en general?

Artículo 236.- Difusión de información falsa

Será sancionado con pena de tres a seis años de prisión quien, a través de medios electrónicos, informáticos, o mediante un sistema de telecomunicaciones, propague o difunda noticias o hechos falsos capaces de distorsionar o causar perjuicio a la seguridad y estabilidad del sistema financiero o de sus usuarios.

Ver el caso Jeanfer en Guatemala. Ya saben, nada de trollear a los bancos.

————-

Los problemas de la ley no se resuelven con redactarla mejor. Hay que empujar una ley de transparencia y rendición de cuentas que convierta los datos públicos en datos públicos (ahora no lo son) y elimine el adjetivo “secreto” a la información política. Así resolvemos el problema de una vez y dejamos de hacer parches.

Tenemos que resolver también la definición de Secreto de Estado.

Además, el Colegio de Profesionales en Informática y Computación, las universidades e incluso CAMTIC deberían pronunciarse. Esto pone en peligro la profesión.

Las mejores noticias

Un extracto de lo que publica Linux News Here en Google+ hoy.

“De acuerdo con Zacchiroli, las razones para conseguir que Debian sea apoyado por la FSF son varias: desde la prevención de duplicación de esfuerzos en muchas distribuciones derivadas de Debian hasta los problemas en las relaciones públicas que el proyecto está experimentando porque la distribución original no está incluida en la lista de la FSF (…) Para completar sus planes, Zacchiroli dice que está buscando personas voluntarias para que clasifiquen los problemas relacionados con esta situación. Su meta es lograr que Debian sea incluida en la lista de la FSF o preparar documentación que establezca claramente por qué la distribución no está incluida. En este último caso, espera que Debian al menos se deshaga de la confusión que experimentan potenciales personas usuarias cuando descubren que el proyecto – a la vez que claramente se adhiere a los ideales del software libre- no está apoyado oficialmente por la FSF”

 

Los fallos en la nube y el mito de la web descentralizada

Esta es mi traducción para un artículo de Andrés Guadamuz publicado el 1° de julio de 2012. Se puede leer la versión original en su blog Technollama. Esta versión ha sido aprobada por el autor 🙂

 

Sí hay mal que por bien no venga…

Cuando se escriba la historia de la Internet, el 30 de Junio de 2012 deberá ser recordado como El Día en el que la Nube Falló. Un importante centro de datos de la Elastic Compute Cloud (EC2) de Amazon (EC2) ubicado en Virginia, fue afectado por una poderosa tormenta que lo dejó sin energía eléctrica (impulsando variantes del titular “Nubes reales se traen abajo a las virtuales”. ¡Qué ingenio!). Este centro en particular contuvo contenido importante de varios servicios de Internet hasta por seis horas, incluyendo a Netflix, Pinterest, e Instagram. Puede insertar su propio meme a la Obi-Wan Kenobi aquí: “He sentido una gran perturbación en la Fuerza, como si de pronto millones de [hipsters/amas de casa/fotos de gatos] gritaran de terror y luego se produjera el silencio”.

Este no es en realidad un incidente aislado. Este centro de datos en particular ya había fallado en este mes y al parecer la web está comenzando a acostumbrarse a algo que parecía impensable hace unos años atrás: el fantasma de la inactividad o el downtime prolongados. Los cortes de la nube se están haciendo tan comunes que han surgido sitios web (y cuentas de Twitter) para documentar cada nuevo suceso. Ningún proveedor es inmune, desde Amazon hasta Microsoft, los fallos en la nube son ahora algo esperable.

Tal vez todos esos fallos de la nube sean los dolores de crecimiento de una Internet que continúa expandiéndose a un ritmo casi exponencial. Todos esos videos de gatos tienen que almacenarse en alguna parte, después de todo. El problema es que la computación en nube se vendió precisamente como una forma de evitar el downtime del tipo que estamos experimentando. En la medida en que los negocios en línea prosperan, los servicios en la nube permiten a las empresas alquilar a proveedores con la infraestructura para manejar grandes cantidades de usuarios, espacio de almacenamiento, procesamiento de bases de datos y uso de aplicaciones. La idea detrás de los grandes servicios en la nube es que el almacenamiento y procesamiento son distribuidos entre distintos centros de datos, algo que en teoría haría más difícil los cortes. Todo el principio de la distribución descansa en el supuesto de la resiliencia en red: si usted baja un servidor, otros pueden asumir la carga. Este es uno de los pilares fundamentales de la Internet como la conocemos.

Sin embargo, algo le ha estado sucediendo a nuestro modelo descentralizado y distribuido de la web; ya no sirve para describir lo que está pasando. Hemos estado migrando nuestro contenido de un modelo distribuido hacia servicios más y más centralizados. El primer tipo de centralización es geográfico: de los 10 proveedores más importantes enlistados por un sitio especializado, todos están en los Estados Unidos. Aunque algunos ofrecen servicios locales, la mayoría de sus servicios están hospedados ahí. De manera similar, la cuota de mercado de los proveedores principales está creciendo, con Amazon por sí sola captando el 15% del mercado de la nube. Esto no implica que Amazon hospeda ahora al 15% de la Internet pero significa que un gran número de servicios importantes están hospedados por ellos, como se evidenció en el fallo de ayer.

Esto es problemático por todo tipo de razones. La obvia, es que una Internet en crecimiento centralizado no es tan resiliente a eventos fortuitos como una distribuida, porque el fallo de nodos importantes puede traer consigo fallos en cascada en los servicios inferiores que dependen de ese centro. Aún más, una web más centralizada es más susceptible de sufrir controles regulatorios, que es una de las razones para la creciente importancia de contar una nueva legislación desde una perspectiva global. Jaeger y otros comentaron sobre esto en un artículo del 2009 sobre la política de la nube:

“Cuando se le pregunta sobre esto, un tecnologista de seguramente sonreirá y responderá algo como: “La localización de la nube es irrelevante. Cualquiera será capaz de aprovechar el poder de la nube desde cualquier lugar”. Esta respuesta, aunque es técnicamente correcta, deja por fuera un importante conjunto de problemas. La tesis principal de este artículo es que la computación en nube representa una centralización de la información y de los recursos computacionales, los cuales pueden ser fácilmente controlados por las corporaciones y los gobiernos”

Todo lo que hemos experimentado desde que ese párrafo fue escrito solo contribuye a corroborar que cada vez más, estamos colocando todos nuestros huevos colectivos en unas pocas canastas. Desde Amazon removiendo el contenido de Wikileaks de sus servicios en la nube, hasta el acceso a los datos de Megaupload, la dependencia continua de pocos proveedores ha hecho que el control de la Internet sea una tarea más sencilla. Mientras muchos defensores de la Internet abierta (yo mismo incluido) nos concentramos en luchar contra SOPA, PIPA, ACTA y CISPA, parece que no estamos viendo el verdadero peligro. La muerte de la red abierta y distribuida ocurre con cada contrato de computación en nube.

Entonces ¿qué pasó con el sueño de una red abierta?