internet libre y el artículo 474 del coip
DESCRIPTION
¿Es el artículo 474 del Código Orgánico Integral Penal una ayuda para los auditores forenses en la auditoría de delitos informáticos o es un atentado a la privacidad de la información de los ecuatorianos?TRANSCRIPT
Internet Libre: ¿pretende el artículo 474 del COIP protegernos de delitos
informáticos o amenazar nuestra privacidad?
Por: Karina Astudillo B.
Fecha: 22/11/2013
Email: [email protected]
El jueves pasado tuve el honor de ser invitada al programa Ventana Ciudadana del canal Ecuador TV bajo la
acertada conducción de Silvita Buendía, para discutir un tópico de actualidad sobre el Internet Libre y el
tan polémico artículo 474 del Código Orgánico Integral Penal (COIP)i.
¿Pero qué es lo que dice el artículo 474 y el porqué de la polémica?
Pues bien, este artículo es parte del proyecto de elaboración del COIP que la Asamblea Nacional ha venido
trabajando desde hace ya bastante tiempo y forma parte de un subconjunto de artículos que buscan prevenir y
sancionar los delitos informáticos.
No obstante, en mi opinión muy personal, el artículo 474 está redactado de una forma muy amplia que deja
lugar para dobles interpretaciones, lo cual me atrevo a observar desde mi punto de vista como profesional de
seguridad informática. Vale decir que no tengo estudios de abogacía ni mayor experiencia en temas legales, sin
embargo el tema salta a la vista y es por ello que su reciente aprobación por la Asamblea Nacional ha desatado
una serie de argumentos opuestos de diversos grupos de interés.
Pero veamos qué dice el famoso artículo:
“Artículo 474.- Conservación de datos y registros. La conservación de datos y registros se
rige por las siguientes reglas:
1. Las o los proveedores y distribuidores de servicios informáticos y de telecomunicaciones
deben conservar los datos de los abonados o usuarios sobre la base de un contrato y
preservar la integridad de los datos sobre números telefónicos, direcciones IP estáticas y
dinámicas, así como el tráfico de conexión, acceso a transacciones y la información de los
enlaces de comunicación inalámbricas del servicio y la vía de comunicación por un tiempo
mínimo de seis meses, a fin de poder realizar las investigaciones correspondientes. Se
siguen los mismos preceptos que las interceptaciones de las comunicaciones.
2. Los abonados de servicios de telecomunicaciones que compartan o distribuyan a terceros su
interconexión de datos o voz de forma comercial o gratuita, deben almacenar los datos
relativos a un usuario sobre la base de un registro físico de conexión y preservar la
integridad de los datos sobre identificación del usuario, fecha y hora de conexión inicial y
final, por un tiempo mínimo de seis meses con la aplicación de medidas de cámaras de video
seguridad, a fin de poder realizar las investigaciones correspondientes.
3. La integridad de los datos es necesaria para la eficacia probatoria de los mismos. Se
deben cumplir los requisitos determinados para el registro de comunicaciones para efectuar
la grabación. La o el juzgador a pedido motivado de la o el fiscal, puede requerir informes
sobre datos que consten en registros, archivos, incluyendo los informáticos. El
incumplimiento de este requerimiento, la falsedad del informe o el ocultamiento de datos
generan responsabilidad penal si la infracción constituye delito.” Asamblea Nacional. (2013).
texto_final_articulado_titulopreliminar_libro1-2_codigo_organico_penal.pdf. Obtenido desde
http://www.asambleanacional.gob.ec/documentos/coip/texto_final_articulado_titulopreliminar_libro1-
2_codigo_organico_penal.pdf.
Si bien se entendería que el objetivo del artículo 474 es contar con información histórica de al menos 6 meses
atrás para acudir a ella cuando se sospeche que ocurrió un delito informático y así dar con la identidad del o los
presuntos perpetradores del hecho - lo cual tiene sentido desde el punto de vista del cómputo forense – hay
varios puntos abiertos o ambiguos que atentarían a nuestro legítimo derecho a la privacidad protegido por la
Carta Magna.
Analicemos a continuación algunas frases claves del artículo.
1: “así como el tráfico de conexión”
Este punto es realmente preocupante, la palabra “tráfico” implica “datos transmitidos”. Es decir que no
sólo se guardarían registros de conexiones (dirección IP de origen y destino, protocolo, puerto, cabeceras,
estampa de tiempo, etc.) que es lo que requiere todo auditor forense para su análisis, sino que básicamente se
capturarían TODOS los datos que se transmiten.
¿Saben lo que eso implica? Que si usted o yo enviamos un correo electrónico sin cifrar, como se lo hace
usualmente, todo el mensaje incluido el cuerpo del mismo, no sólo la cabecera, quedaría grabado por 6 meses
en los medios de almacenamiento que su proveedor de Internet utilice para cumplir con esta regulación, hasta
que sea requerida “a fin de poder realizar las investigaciones correspondientes” ¿Pero y quién nos garantiza
que la información se almacenará de forma segura y sin ser vista por los empleados del proveedor o por algún
cracker que logre hackear al ISP? ¿Y en qué casos se realizarán “las investigaciones correspondientes”?
Por supuesto vale indicar, que el caso del correo electrónico es sólo un ejemplo, la palabra “tráfico” es muy
amplia y se refiere a TODOS los datos transmitidos, eso incluye: chat, navegación web, transmisión de
archivos, correo electrónico, mensajes de redes sociales, etc.
La Constitución del Ecuador es muy clara a este respecto:
Capítulo 6to.- Derechos de Libertad, Art. 66 (extracto de la Constitución del Ecuador)
Si el Presidente de la República, Econ. Rafael Correa, no veta el artículo 474 del COIP, será totalmente legal
retener nuestros datos electrónicos y aunque la Constitución indica que no serán abiertos o examinados previa
intervención judicial, en la práctica esto será difícil de garantizar porque dependerá de las medidas de
seguridad informáticas que implementen terceras partes (los proveedores de Internet, ISP’s).
2: “Los abonados de servicios de telecomunicaciones que compartan o distribuyan a terceros su
interconexión de datos o voz de forma comercial o gratuita”
Aquí el punto clave es la palabra “abonados”, porque se entendería que el propósito de los asambleístas al
redactar el artículo era referirse a los cibercafés, ISP’s menores, hot spots inalámbricos compartidos en patios
de comidas, restaurantes, aeropuertos, etc.
Si uno lee las resoluciones del CONATEL verán que hacen una distinción entre abonados y usuarios, sin
embargo en algunos casos la misma CONATEL utiliza el término abonados/clientes, lo cual se entiende que
excluye a los usuarios pero podría prestarse para confusiones. Sería risible que un usuario final que comparte la
conexión de Internet de su casa deba instalar cámaras de video y llevar un registro de conexión de los
familiares y amigos que le prestan la red.
Por ello quizás valdría la pena definir con precisión el término “abonados” en un numeral previo para no dejar
visos de duda de a quiénes aplica. Sin embargo no soy abogada, así que no me crean a ciegas esta parte. Desde
ya invito a mis amigos abogados a realizar comentarios sobre este punto y aclarar nuestras dudas.
3: “por un tiempo mínimo de 6 meses”
Sinceramente no sé qué colega asesoró a los señores asambleístas sobre este tema, pero pretender almacenar
TODO el tráfico de los internautas ecuatorianos por 6 meses es “un gran desafío técnico”, por usar un término
bonito. Esto suponiendo que tuvieron el sentido común de convocar asesores expertos en materia de
infraestructura tecnológica y seguridad informática.
En el Ecuador habemos más de 10 millones de usuarios de Internet, de acuerdo a estadísticas dadas por la
SUPERTELii. Los invito a calcular el tráfico generado por 10 millones de usuarios de Internet en 6 meses.
En todo caso es una buena noticia para mis colegas integradores de sistemas, quienes incrementarán sus
ingresos por venta de hardware y servicios de almacenamiento, por favor avisen si necesitan asesoría en
seguridad informática para proteger sus soluciones ;-) ja ja.
Respecto a esto último, fuera bromas, me preocupa ¿cómo van a proteger nuestra información los dueños de
los cibercafés? Por favor que no se me mal entienda, no tengo nada en contra de los hombres y mujeres
emprendedores que con su esfuerzo han invertido en un negocio propio para proveer un servicio honesto de
conexión a Internet. Pero por sentido común y de acuerdo al INECiii, la rentabilidad de un cibercafé no es
altísima como para que se les pida invertir en dispositivos de almacenamiento, cámaras IP, hardware y
software para seguridad perimetral e interna.
Entonces sólo me queda preguntar ¿en qué estaban pensando los señores asambleístas cuando escribieron el
artículo 474?
Desde mi punto de vista muy personal, agradezco a la Asamblea por incluir artículos para tratar de combatir
los crímenes informáticos y penalizarlos como es debido, pero no se puede de ningún modo poner en peligro el
derecho a la privacidad que tenemos no sólo los ecuatorianos sino todos los ciudadanos del planeta al aprobar
un artículo que no ha sido analizado desde el punto de vista técnico de expertos en seguridad informática y de
los principales afectados, los usuarios de Internet del Ecuador, poniendo en riesgo el activo más valioso:
nuestra información.
Mi humilde pedido al Sr. Presidente de la República, Econ. Rafael Correa, si es que llega a ser escuchado por
esta vía, es que vete el artículo 474.
Pero si lo último no ocurre, los usuarios estamos en nuestro pleno derecho de mantener nuestra información
privada como tal: confidencial. Por ello los invito a estar pendientes de los próximos artículos que publicaré en
mi blog http://www.SeguridadInformaticaFacil.com sobre seguridad defensiva.
Los verdaderos criminales informáticos no se verán afectados por el artículo 474 porque, al igual que quienes
trabajamos del lado defensivo, conocen técnicas para ocultar sus rastros, cifrar datos, navegar anónimamente,
etc. Son los usuarios no-técnicos, quienes verán sus datos confidenciales en estos repositorios de información,
y es a ellos a quienes debemos proteger.
Esa será mi misión en los próximos artículos, escribir sobre técnicas defensivas descritas paso a paso para que
tanto un usuario no-técnico, como otro más avanzado, puedan mantener sus datos privados protegidos
adecuadamente mientras navegan el Internet.
Contacte con la autora Blog: http://www.SeguridadInformaticaFacil.com
Amazon: http://www.amazon.com/author/karinaastudillo
Facebook: http://www.facebook.com/kastudi
Twitter: http://twitter.com/KAstudilloB
Linkedin: http://ec.linkedin.com/in/kastudi
Google+: http://plus.google.com/+SeguridadInformaticaFacil
YouTube: http://www.youtube.com/noski73
Notas de descargo
Los comentarios aquí expresados pertenecen exclusivamente a la autora del artículo y no son
necesariamente compartidos por ninguna de las empresas o instituciones con los que la autora tiene
relación.
Los nombres de empresas, instituciones, marcas y marcas registradas mencionados en este artículo
son propiedad de sus respectivos dueños.
Referencias
i Asamblea Nacional. (2013). Texto final articulado título preliminar libro 1-2 código orgánico penal. Recuperado de http://www.asambleanacional.gob.ec/documentos/coip/texto_final_articulado_titulopreliminar_libro1-2_codigo_organico_penal.pdf ii Supertel. (2013). Estadísticas de Acceso a la Internet. Recuperado de http://supertel.gob.ec/pdf/estadisticas/acceso_internet_2013.xls. Ver también: El Comercio. (2013). 10 millones de usuarios de Internet habrá en Ecuador para el 2014. Recuperado de http://www.elcomercio.com.ec/sociedad/tecnologia-internet-Ecuador_0_850115125.html. iii Instituto Nacional de Estadísticas y Censos (INEC). (2013). Sistema de Consultas para Emprendedores. Recuperado de http://www.ecuadorencifras.com/siemprende/PreCenec.html.