Internet Libre: ¿pretende el artículo 474 del COIP protegernos de delitos

informáticos o amenazar nuestra privacidad?

Por: Karina Astudillo B.

Fecha: 22/11/2013

Email: noski73@gmail.com

El jueves pasado tuve el honor de ser invitada al programa Ventana Ciudadana del canal Ecuador TV bajo la

acertada conducción de Silvita Buendía, para discutir un tópico de actualidad sobre el Internet Libre y el

tan polémico artículo 474 del Código Orgánico Integral Penal (COIP)i.

¿Pero qué es lo que dice el artículo 474 y el porqué de la polémica?

Pues bien, este artículo es parte del proyecto de elaboración del COIP que la Asamblea Nacional ha venido

trabajando desde hace ya bastante tiempo y forma parte de un subconjunto de artículos que buscan prevenir y

sancionar los delitos informáticos.

No obstante, en mi opinión muy personal, el artículo 474 está redactado de una forma muy amplia que deja

lugar para dobles interpretaciones, lo cual me atrevo a observar desde mi punto de vista como profesional de

seguridad informática. Vale decir que no tengo estudios de abogacía ni mayor experiencia en temas legales, sin

embargo el tema salta a la vista y es por ello que su reciente aprobación por la Asamblea Nacional ha desatado

una serie de argumentos opuestos de diversos grupos de interés.

Pero veamos qué dice el famoso artículo:

“Artículo 474.- Conservación de datos y registros. La conservación de datos y registros se

rige por las siguientes reglas:

1. Las o los proveedores y distribuidores de servicios informáticos y de telecomunicaciones

deben conservar los datos de los abonados o usuarios sobre la base de un contrato y

preservar la integridad de los datos sobre números telefónicos, direcciones IP estáticas y

dinámicas, así como el tráfico de conexión, acceso a transacciones y la información de los

enlaces de comunicación inalámbricas del servicio y la vía de comunicación por un tiempo

mínimo de seis meses, a fin de poder realizar las investigaciones correspondientes. Se

siguen los mismos preceptos que las interceptaciones de las comunicaciones.

2. Los abonados de servicios de telecomunicaciones que compartan o distribuyan a terceros su

interconexión de datos o voz de forma comercial o gratuita, deben almacenar los datos

relativos a un usuario sobre la base de un registro físico de conexión y preservar la

integridad de los datos sobre identificación del usuario, fecha y hora de conexión inicial y

final, por un tiempo mínimo de seis meses con la aplicación de medidas de cámaras de video

seguridad, a fin de poder realizar las investigaciones correspondientes.

3. La integridad de los datos es necesaria para la eficacia probatoria de los mismos. Se

deben cumplir los requisitos determinados para el registro de comunicaciones para efectuar

la grabación. La o el juzgador a pedido motivado de la o el fiscal, puede requerir informes

sobre datos que consten en registros, archivos, incluyendo los informáticos. El

incumplimiento de este requerimiento, la falsedad del informe o el ocultamiento de datos

generan responsabilidad penal si la infracción constituye delito.” Asamblea Nacional. (2013).

texto_final_articulado_titulopreliminar_libro1-2_codigo_organico_penal.pdf. Obtenido desde

http://www.asambleanacional.gob.ec/documentos/coip/texto_final_articulado_titulopreliminar_libro1-

2_codigo_organico_penal.pdf.

Si bien se entendería que el objetivo del artículo 474 es contar con información histórica de al menos 6 meses

atrás para acudir a ella cuando se sospeche que ocurrió un delito informático y así dar con la identidad del o los

presuntos perpetradores del hecho - lo cual tiene sentido desde el punto de vista del cómputo forense – hay

varios puntos abiertos o ambiguos que atentarían a nuestro legítimo derecho a la privacidad protegido por la

Carta Magna.

Analicemos a continuación algunas frases claves del artículo.

1: “así como el tráfico de conexión”

Este punto es realmente preocupante, la palabra “tráfico” implica “datos transmitidos”. Es decir que no

sólo se guardarían registros de conexiones (dirección IP de origen y destino, protocolo, puerto, cabeceras,

estampa de tiempo, etc.) que es lo que requiere todo auditor forense para su análisis, sino que básicamente se

capturarían TODOS los datos que se transmiten.

¿Saben lo que eso implica? Que si usted o yo enviamos un correo electrónico sin cifrar, como se lo hace

usualmente, todo el mensaje incluido el cuerpo del mismo, no sólo la cabecera, quedaría grabado por 6 meses

en los medios de almacenamiento que su proveedor de Internet utilice para cumplir con esta regulación, hasta

que sea requerida “a fin de poder realizar las investigaciones correspondientes” ¿Pero y quién nos garantiza

que la información se almacenará de forma segura y sin ser vista por los empleados del proveedor o por algún

cracker que logre hackear al ISP? ¿Y en qué casos se realizarán “las investigaciones correspondientes”?

Por supuesto vale indicar, que el caso del correo electrónico es sólo un ejemplo, la palabra “tráfico” es muy

amplia y se refiere a TODOS los datos transmitidos, eso incluye: chat, navegación web, transmisión de

archivos, correo electrónico, mensajes de redes sociales, etc.

La Constitución del Ecuador es muy clara a este respecto:

Capítulo 6to.- Derechos de Libertad, Art. 66 (extracto de la Constitución del Ecuador)

Si el Presidente de la República, Econ. Rafael Correa, no veta el artículo 474 del COIP, será totalmente legal

retener nuestros datos electrónicos y aunque la Constitución indica que no serán abiertos o examinados previa

intervención judicial, en la práctica esto será difícil de garantizar porque dependerá de las medidas de

seguridad informáticas que implementen terceras partes (los proveedores de Internet, ISP’s).

2: “Los abonados de servicios de telecomunicaciones que compartan o distribuyan a terceros su

interconexión de datos o voz de forma comercial o gratuita”

Aquí el punto clave es la palabra “abonados”, porque se entendería que el propósito de los asambleístas al

redactar el artículo era referirse a los cibercafés, ISP’s menores, hot spots inalámbricos compartidos en patios

de comidas, restaurantes, aeropuertos, etc.

Si uno lee las resoluciones del CONATEL verán que hacen una distinción entre abonados y usuarios, sin

embargo en algunos casos la misma CONATEL utiliza el término abonados/clientes, lo cual se entiende que

excluye a los usuarios pero podría prestarse para confusiones. Sería risible que un usuario final que comparte la

conexión de Internet de su casa deba instalar cámaras de video y llevar un registro de conexión de los

familiares y amigos que le prestan la red.

Por ello quizás valdría la pena definir con precisión el término “abonados” en un numeral previo para no dejar

visos de duda de a quiénes aplica. Sin embargo no soy abogada, así que no me crean a ciegas esta parte. Desde

ya invito a mis amigos abogados a realizar comentarios sobre este punto y aclarar nuestras dudas.

3: “por un tiempo mínimo de 6 meses”

Sinceramente no sé qué colega asesoró a los señores asambleístas sobre este tema, pero pretender almacenar

TODO el tráfico de los internautas ecuatorianos por 6 meses es “un gran desafío técnico”, por usar un término

bonito. Esto suponiendo que tuvieron el sentido común de convocar asesores expertos en materia de

infraestructura tecnológica y seguridad informática.

En el Ecuador habemos más de 10 millones de usuarios de Internet, de acuerdo a estadísticas dadas por la

SUPERTELii. Los invito a calcular el tráfico generado por 10 millones de usuarios de Internet en 6 meses.

En todo caso es una buena noticia para mis colegas integradores de sistemas, quienes incrementarán sus

ingresos por venta de hardware y servicios de almacenamiento, por favor avisen si necesitan asesoría en

seguridad informática para proteger sus soluciones ;-) ja ja.

Respecto a esto último, fuera bromas, me preocupa ¿cómo van a proteger nuestra información los dueños de

los cibercafés? Por favor que no se me mal entienda, no tengo nada en contra de los hombres y mujeres

emprendedores que con su esfuerzo han invertido en un negocio propio para proveer un servicio honesto de

conexión a Internet. Pero por sentido común y de acuerdo al INECiii, la rentabilidad de un cibercafé no es

altísima como para que se les pida invertir en dispositivos de almacenamiento, cámaras IP, hardware y

software para seguridad perimetral e interna.

Entonces sólo me queda preguntar ¿en qué estaban pensando los señores asambleístas cuando escribieron el

artículo 474?

Desde mi punto de vista muy personal, agradezco a la Asamblea por incluir artículos para tratar de combatir

los crímenes informáticos y penalizarlos como es debido, pero no se puede de ningún modo poner en peligro el

derecho a la privacidad que tenemos no sólo los ecuatorianos sino todos los ciudadanos del planeta al aprobar

un artículo que no ha sido analizado desde el punto de vista técnico de expertos en seguridad informática y de

los principales afectados, los usuarios de Internet del Ecuador, poniendo en riesgo el activo más valioso:

nuestra información.

Mi humilde pedido al Sr. Presidente de la República, Econ. Rafael Correa, si es que llega a ser escuchado por

esta vía, es que vete el artículo 474.

Pero si lo último no ocurre, los usuarios estamos en nuestro pleno derecho de mantener nuestra información

privada como tal: confidencial. Por ello los invito a estar pendientes de los próximos artículos que publicaré en

mi blog http://www.SeguridadInformaticaFacil.com sobre seguridad defensiva.

Los verdaderos criminales informáticos no se verán afectados por el artículo 474 porque, al igual que quienes

trabajamos del lado defensivo, conocen técnicas para ocultar sus rastros, cifrar datos, navegar anónimamente,

etc. Son los usuarios no-técnicos, quienes verán sus datos confidenciales en estos repositorios de información,

y es a ellos a quienes debemos proteger.

Esa será mi misión en los próximos artículos, escribir sobre técnicas defensivas descritas paso a paso para que

tanto un usuario no-técnico, como otro más avanzado, puedan mantener sus datos privados protegidos

adecuadamente mientras navegan el Internet.

Contacte con la autora Blog: http://www.SeguridadInformaticaFacil.com

Amazon: http://www.amazon.com/author/karinaastudillo

Facebook: http://www.facebook.com/kastudi

Twitter: http://twitter.com/KAstudilloB

Linkedin: http://ec.linkedin.com/in/kastudi

Google+: http://plus.google.com/+SeguridadInformaticaFacil

YouTube: http://www.youtube.com/noski73

Notas de descargo

Los comentarios aquí expresados pertenecen exclusivamente a la autora del artículo y no son

necesariamente compartidos por ninguna de las empresas o instituciones con los que la autora tiene

relación.

Los nombres de empresas, instituciones, marcas y marcas registradas mencionados en este artículo

son propiedad de sus respectivos dueños.

Referencias

i Asamblea Nacional. (2013). Texto final articulado título preliminar libro 1-2 código orgánico penal. Recuperado de http://www.asambleanacional.gob.ec/documentos/coip/texto_final_articulado_titulopreliminar_libro1-2_codigo_organico_penal.pdf ii Supertel. (2013). Estadísticas de Acceso a la Internet. Recuperado de http://supertel.gob.ec/pdf/estadisticas/acceso_internet_2013.xls. Ver también: El Comercio. (2013). 10 millones de usuarios de Internet habrá en Ecuador para el 2014. Recuperado de http://www.elcomercio.com.ec/sociedad/tecnologia-internet-Ecuador_0_850115125.html. iii Instituto Nacional de Estadísticas y Censos (INEC). (2013). Sistema de Consultas para Emprendedores. Recuperado de http://www.ecuadorencifras.com/siemprende/PreCenec.html.