Your SlideShare is downloading. ×
Internet libre y el artículo 474 del COIP
Internet libre y el artículo 474 del COIP
Internet libre y el artículo 474 del COIP
Internet libre y el artículo 474 del COIP
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Internet libre y el artículo 474 del COIP

865

Published on

¿Es el artículo 474 del Código Orgánico Integral Penal una ayuda para los auditores forenses en la auditoría de delitos informáticos o es un atentado a la privacidad de la información de los …

¿Es el artículo 474 del Código Orgánico Integral Penal una ayuda para los auditores forenses en la auditoría de delitos informáticos o es un atentado a la privacidad de la información de los ecuatorianos?

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
865
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
12
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Internet Libre: ¿pretende el artículo 474 del COIP protegernos de delitos informáticos o amenazar nuestra privacidad? Por: Karina Astudillo B. Fecha: 22/11/2013 Email: noski73@gmail.com El jueves pasado tuve el honor de ser invitada al programa Ventana Ciudadana del canal Ecuador TV bajo la acertada conducción de Silvita Buendía, para discutir un tópico de actualidad sobre el Internet Libre y el tan polémico artículo 474 del Código Orgánico Integral Penal (COIP) i. ¿Pero qué es lo que dice el artículo 474 y el porqué de la polémica? Pues bien, este artículo es parte del proyecto de elaboración del COIP que la Asamblea Nacional ha venido trabajando desde hace ya bastante tiempo y forma parte de un subconjunto de artículos que buscan prevenir y sancionar los delitos informáticos. No obstante, en mi opinión muy personal, el artículo 474 está redactado de una forma muy amplia que deja lugar para dobles interpretaciones, lo cual me atrevo a observar desde mi punto de vista como profesional de seguridad informática. Vale decir que no tengo estudios de abogacía ni mayor experiencia en temas legales, sin embargo el tema salta a la vista y es por ello que su reciente aprobación por la Asamblea Nacional ha desatado una serie de argumentos opuestos de diversos grupos de interés. Pero veamos qué dice el famoso artículo: “Artículo 474.- Conservación de datos y registros. La conservación de datos y registros se rige por las siguientes reglas: 1. Las o los proveedores y distribuidores de servicios informáticos y de telecomunicaciones deben conservar los datos de los abonados o usuarios sobre la base de un contrato y preservar la integridad de los datos sobre números telefónicos, direcciones IP estáticas y dinámicas, así como el tráfico de conexión, acceso a transacciones y la información de los enlaces de comunicación inalámbricas del servicio y la vía de comunicación por un tiempo mínimo de seis meses, a fin de poder realizar las investigaciones correspondientes. Se siguen los mismos preceptos que las interceptaciones de las comunicaciones. 2. Los abonados de servicios de telecomunicaciones que compartan o distribuyan a terceros su interconexión de datos o voz de forma comercial o gratuita, deben almacenar los datos relativos a un usuario sobre la base de un registro físico de conexión y preservar la integridad de los datos sobre identificación del usuario, fecha y hora de conexión inicial y final, por un tiempo mínimo de seis meses con la aplicación de medidas de cámaras de video seguridad, a fin de poder realizar las investigaciones correspondientes. 3. La integridad de los datos es necesaria para la eficacia probatoria de los mismos. Se deben cumplir los requisitos determinados para el registro de comunicaciones para efectuar
  • 2. la grabación. La o el juzgador a pedido motivado de la o el fiscal, puede requerir informes sobre datos que consten en registros, archivos, incluyendo los informáticos. El incumplimiento de este requerimiento, la falsedad del informe o el ocultamiento de datos generan responsabilidad penal si la infracción constituye delito.” Asamblea Nacional. (2013). texto_final_articulado_titulopreliminar_libro1-2_codigo_organico_penal.pdf. Obtenido desde http://www.asambleanacional.gob.ec/documentos/coip/texto_final_articulado_titulopreliminar_libro12_codigo_organico_penal.pdf. Si bien se entendería que el objetivo del artículo 474 es contar con información histórica de al menos 6 meses atrás para acudir a ella cuando se sospeche que ocurrió un delito informático y así dar con la identidad del o los presuntos perpetradores del hecho - lo cual tiene sentido desde el punto de vista del cómputo forense – hay varios puntos abiertos o ambiguos que atentarían a nuestro legítimo derecho a la privacidad protegido por la Carta Magna. Analicemos a continuación algunas frases claves del artículo. 1: “así como el tráfico de conexión” Este punto es realmente preocupante, la palabra “tráfico” implica “datos transmitidos”. Es decir que no sólo se guardarían registros de conexiones (dirección IP de origen y destino, protocolo, puerto, cabeceras, estampa de tiempo, etc.) que es lo que requiere todo auditor forense para su análisis, sino que básicamente se capturarían TODOS los datos que se transmiten. ¿Saben lo que eso implica? Que si usted o yo enviamos un correo electrónico sin cifrar, como se lo hace usualmente, todo el mensaje incluido el cuerpo del mismo, no sólo la cabecera, quedaría grabado por 6 meses en los medios de almacenamiento que su proveedor de Internet utilice para cumplir con esta regulación, hasta que sea requerida “a fin de poder realizar las investigaciones correspondientes” ¿Pero y quién nos garantiza que la información se almacenará de forma segura y sin ser vista por los empleados del proveedor o por algún cracker que logre hackear al ISP? ¿Y en qué casos se realizarán “las investigaciones correspondientes”? Por supuesto vale indicar, que el caso del correo electrónico es sólo un ejemplo, la palabra “tráfico” es muy amplia y se refiere a TODOS los datos transmitidos, eso incluye: chat, navegación web, transmisión de archivos, correo electrónico, mensajes de redes sociales, etc. La Constitución del Ecuador es muy clara a este respecto: Capítulo 6to.- Derechos de Libertad, Art. 66 (extracto de la Constitución del Ecuador)
  • 3. Si el Presidente de la República, Econ. Rafael Correa, no veta el artículo 474 del COIP, será totalmente legal retener nuestros datos electrónicos y aunque la Constitución indica que no serán abiertos o examinados previa intervención judicial, en la práctica esto será difícil de garantizar porque dependerá de las medidas de seguridad informáticas que implementen terceras partes (los proveedores de Internet, ISP’s). 2: “Los abonados de servicios de telecomunicaciones que compartan o distribuyan a terceros su interconexión de datos o voz de forma comercial o gratuita” Aquí el punto clave es la palabra “abonados”, porque se entendería que el propósito de los asambleístas al redactar el artículo era referirse a los cibercafés, ISP’s menores, hot spots inalámbricos compartidos en patios de comidas, restaurantes, aeropuertos, etc. Si uno lee las resoluciones del CONATEL verán que hacen una distinción entre abonados y usuarios, sin embargo en algunos casos la misma CONATEL utiliza el término abonados/clientes, lo cual se entiende que excluye a los usuarios pero podría prestarse para confusiones. Sería risible que un usuario final que comparte la conexión de Internet de su casa deba instalar cámaras de video y llevar un registro de conexión de los familiares y amigos que le prestan la red. Por ello quizás valdría la pena definir con precisión el término “abonados” en un numeral previo para no dejar visos de duda de a quiénes aplica. Sin embargo no soy abogada, así que no me crean a ciegas esta parte. Desde ya invito a mis amigos abogados a realizar comentarios sobre este punto y aclarar nuestras dudas. 3: “por un tiempo mínimo de 6 meses” Sinceramente no sé qué colega asesoró a los señores asambleístas sobre este tema, pero pretender almacenar TODO el tráfico de los internautas ecuatorianos por 6 meses es “un gran desafío técnico”, por usar un término bonito. Esto suponiendo que tuvieron el sentido común de convocar asesores expertos en materia de infraestructura tecnológica y seguridad informática. En el Ecuador habemos más de 10 millones de usuarios de Internet, de acuerdo a estadísticas dadas por la SUPERTELii. Los invito a calcular el tráfico generado por 10 millones de usuarios de Internet en 6 meses. En todo caso es una buena noticia para mis colegas integradores de sistemas, quienes incrementarán sus ingresos por venta de hardware y servicios de almacenamiento, por favor avisen si necesitan asesoría en seguridad informática para proteger sus soluciones ;-) ja ja. Respecto a esto último, fuera bromas, me preocupa ¿cómo van a proteger nuestra información los dueños de los cibercafés? Por favor que no se me mal entienda, no tengo nada en contra de los hombres y mujeres emprendedores que con su esfuerzo han invertido en un negocio propio para proveer un servicio honesto de conexión a Internet. Pero por sentido común y de acuerdo al INECiii, la rentabilidad de un cibercafé no es altísima como para que se les pida invertir en dispositivos de almacenamiento, cámaras IP, hardware y software para seguridad perimetral e interna. Entonces sólo me queda preguntar ¿en qué estaban pensando los señores asambleístas cuando escribieron el artículo 474? Desde mi punto de vista muy personal, agradezco a la Asamblea por incluir artículos para tratar de combatir los crímenes informáticos y penalizarlos como es debido, pero no se puede de ningún modo poner en peligro el
  • 4. derecho a la privacidad que tenemos no sólo los ecuatorianos sino todos los ciudadanos del planeta al aprobar un artículo que no ha sido analizado desde el punto de vista técnico de expertos en seguridad informática y de los principales afectados, los usuarios de Internet del Ecuador, poniendo en riesgo el activo más valioso: nuestra información. Mi humilde pedido al Sr. Presidente de la República, Econ. Rafael Correa, si es que llega a ser escuchado por esta vía, es que vete el artículo 474. Pero si lo último no ocurre, los usuarios estamos en nuestro pleno derecho de mantener nuestra información privada como tal: confidencial. Por ello los invito a estar pendientes de los próximos artículos que publicaré en mi blog http://www.SeguridadInformaticaFacil.com sobre seguridad defensiva. Los verdaderos criminales informáticos no se verán afectados por el artículo 474 porque, al igual que quienes trabajamos del lado defensivo, conocen técnicas para ocultar sus rastros, cifrar datos, navegar anónimamente, etc. Son los usuarios no-técnicos, quienes verán sus datos confidenciales en estos repositorios de información, y es a ellos a quienes debemos proteger. Esa será mi misión en los próximos artículos, escribir sobre técnicas defensivas descritas paso a paso para que tanto un usuario no-técnico, como otro más avanzado, puedan mantener sus datos privados protegidos adecuadamente mientras navegan el Internet. Contacte con la autora        Blog: http://www.SeguridadInformaticaFacil.com Amazon: http://www.amazon.com/author/karinaastudillo Facebook: http://www.facebook.com/kastudi Twitter: http://twitter.com/KAstudilloB Linkedin: http://ec.linkedin.com/in/kastudi Google+: http://plus.google.com/+SeguridadInformaticaFacil YouTube: http://www.youtube.com/noski73 Notas de descargo  Los comentarios aquí expresados pertenecen exclusivamente a la autora del artículo y no son necesariamente compartidos por ninguna de las empresas o instituciones con los que la autora tiene relación.  Los nombres de empresas, instituciones, marcas y marcas registradas mencionados en este artículo son propiedad de sus respectivos dueños. Referencias i Asamblea Nacional. (2013). Texto final articulado título preliminar libro 1-2 código orgánico penal. Recuperado de http://www.asambleanacional.gob.ec/documentos/coip/texto_final_articulado_titulopreliminar_libro1-2_codigo_organico_penal.pdf ii Supertel. (2013). Estadísticas de Acceso a la Internet. Recuperado de http://supertel.gob.ec/pdf/estadisticas/acceso_internet_2013.xls. Ver también: El Comercio. (2013). 10 millones de usuarios de Internet habrá en Ecuador para el 2014. Recuperado de http://www.elcomercio.com.ec/sociedad/tecnologia-internet-Ecuador_0_850115125.html. iii Instituto Nacional de Estadísticas y Censos (INEC). (2013). Sistema de Consultas para Emprendedores. Recuperado de http://www.ecuadorencifras.com/siemprende/PreCenec.html.

×