Miguel Morachimo

Abogado por la Pontificia Universidad Católica del Perú. Máster en Derecho, Ciencia, y Tecnología por la Universidad de Stanford. Director de la ONG Hiperderecho.

¿Qué diablos fue la SOPA Criolla?

Durante la última semana, se ha hablado mucho de una supuesta Ley SOPA promovida por nuestro Ministerio de Comercio Exterior y Turismo. Al mismo tiempo, se promovieron una serie de reuniones al respecto a través de una página web y una cuenta de Twitter supuestamente asociadas al Ministerio (luego, ambas fueron retiradas sin explicación). Sin embargo, ni el Ministerio ni otro representante autorizado se pronunciaron al respecto. Esta amplia desinformación ha provocado un gran malestar por parte de ciertos usuarios de Internet que llegaron a escribir una petición pública al Ministerio (no faltaron los memes).

Antecedentes

En el 2006, Perú suscribió un Tratado de Libre Comercio con Estados Unidos (TLC) en el medio de una gran polémica. Como con cualquier otro tratado, correspondía adecuar nuestra legislación local a las nuevas obligaciones y estándares a los que nos obligaba el Tratado. El plazo para hacerlo terminó en agosto de 2010 y, efectivamente, se aprobaron y  renovaron muchas normas en ese proceso. Es famoso el «paquete» de Decretos Legislativos que aprobó el Ejecutivo durante el 2008, gracias a las facultades concedidas por el Congreso, y que trataban diversas materias desde libre competencia hasta medio ambiente. Luego de ese plazo, se aprobaron nuevos cambios a través del Congreso sin dictamen previo ni discusión, que se materializaron en la Ley 29316 de enero de 2009.

El capítulo de Propiedad Intelectual del TLC obliga a Perú a contar con normas similares a las de Estados Unidos en materia de protección de los derechos de autor y de la propiedad industrial. La idea es que la legislación peruana sea compatible y ofrezca los mismos niveles de garantías que las de Estados Unidos. Esta adecuación se hizo parcialmente, a través de la referida Ley 29316, que introdujo varios cambios a nuestra Ley sobre el Derecho de Autor como las reglas sobre las medidas tecnológicas efectivas (DRM) o las retransmisiones a través de Internet.

Digo que la adecuación de la Ley sobre el Derecho de Autor fue parcial porque no incluyó la parte correspondiente a las Limitaciones a la Responsabilidad de los Proveedores de Servicios (ISPs). Esta es desde hace un par de años una tarea pendiente del Estado Peruano, que se torna más relevante en la actualidad de cara a la negociación de otros tratados con capítulos fuertes sobre propiedad intelectual, como el TLC con la Unión Europa y el TPP.

¿Qué hay que cambiar?

Lo que hay que hacer es incorporar un sistema que señale en qué casos los que provean servicios de Internet (como empresas de telecomunicaciones) o de Internet (como cualquier página web con contenido generado por usuarios) son responsables por las infracciones a los derechos de autor que comenten sus usuarios. Es decir, se trata regular mecanismos de notificación y bajada de contenidos (notice and takedown) similares a los que tienen la mayoría de páginas web. Estos mecanismos permiten a los titulares afectados solicitar que se retire el contenido de la página. En varios casos, si los propietarios de la página reciben estas solicitudes y no lo hacen serán considerados como responsables de la infracción. Es mucho más lo que se puede decir sobre este tema (por eso, resulta necesario un proceso participativo) pero dejémoslo ahí por ahora.

¿Entonces?

En algún momento, el Ministerio decidió reactivar este proceso y terminar la adecuación de nuestra legislación sobre derechos de autor. Sabían que no iba a ser una tarea fácil por la controversia que ello había ocasionado en países como Chile o Costa Rica. Entonces contrataron al abogado Erick Iriarte para que elabore un Anteproyecto de Ley que sirva de base para empezar el proceso. En paralelo, aparecieron una página web registrada y operada por la empresa Faya Corp. S.A.C. y una cuenta de Twitter en los que se difundía la realización de una serie de talleres participativos con distintos sectores interesados como industrias de contenidos, proveedores de servicios, entre otros. Según las propias declaraciones de Iriarte, tanto la página web como la cuenta de Twitter eran parte de la «Consulta Pública» que estaba llevando a cabo como consultor contratado por el Ministerio y el Banco Interamericano de Desarrollo.

Alguien tuvo la muy mala idea de emparentar esta iniciativa con la de la famosa Ley SOPA. Este Proyecto de Ley, promovido el año pasado por Estados Unidos para combatir las violaciones a los derechos de autor en Internet, imponía un modelo agresivo de persecución a las páginas involucradas en actividades ilícitas (similar al que le aplicaron a Wikileaks.org). Nuestro proceso de adecuación, si bien trata sobre alguno de los temas de la Ley SOPA, tiene poco que ver con el propósito de la norma extranjera porque no se trata de desaparecer páginas sino de cuidar que dentro de ellas no se infrinjan derechos de autor. Al denominarla SOPA Criolla se arrastró buena parte de la imagen negativa que se tenía sobre la Ley SOPA a la iniciativa del Mincetur. Ahí empezaron los problemas.

Pantallazo de la cuenta de Twitter de Responsabilidad ISP Perú

El segundo problema surgió porque los talleres, que tenían fechas especiales para cada sector involucrado, no incluían a las organizaciones de la sociedad civil ni usuarios interesados. Este malestar motivó que se circule una petición virtual dirigida al Ministerio de Comercio Exterior y Turismo y a Erick Iriarte, su aparente vocero, solicitando mayor transparencia en este proceso y que se otorguen los espacios para la sociedad civil.

Facebook de Mincetur

Sin embargo, esta semana ambos canales de comunicación fueron borrados. A través de su cuenta de Facebook, el Ministerio de Comercio Exterior y Turismo ha negado expresamente tener relación alguna con la página web responsabilidad-isp.pe o con la cuenta de Twitter @isp_responsab.

El tercer cuestionamiento al proceso lo hizo el Diario Correo, en una nota publicada ayer, donde señalaba el potencial conflicto de interés que pesaría sobre Erick Iriarte en este caso al despempeñarse profesionalmente también como asesor de diversas empresas productoras de contenidos y proveedores de servicios. Al respecto, el congresista Carlos Tubino (Fujimorista) solicitó al Ministerio actuar con mayor transparencia en este proceso legislativo.

Silencio

Creo que este proceso ha estado plagado de malentendidos ocasionados por la nula estrategia de comunicación del Mincetur para un tema tan sensible. No hay nada de raro en que se contrate a un abogado para que elabore un Anteproyecto (bastante común en el caso de normas especializadas). Tampoco veo problema en que el abogado contratado decida organizar reuniones por su cuenta para conversar el Proyecto con algunas partes interesadas. El problema es que, por la forma en la que fueron presentadas, hacían parecer que se trataban de talleres públicos, organizados por el Ministerio, y donde claramente era necesario incluir a la sociedad civil. Creo que nadie entendió que los talleres promovidos a través de esa web eran absolutamente privados, en el sentido de organizados por un privado. Con su silencio, el Ministerio avaló tácitamente los talleres y quedó como una entidad que no está abierta a la participación de la sociedad civil.

Peor aún, desmentir su vinculación al proceso a través de Facebook luego de que se sacaron las páginas nos deja a todos un mal sabor. A mí, que soy optimista, me deja la idea de que no es algo que se esté llevando a cabo con la seriedad y planificación que merece. Otros han visto en esto un sincero ánimo de enturbiar el debate y dejar de lado a la sociedad civil. Pero lo que realmente necesitamos es una comunicación oficial del Ministerio señalando cómo, cuándo y a través de quién piensa llevar a cabo este proceso de consulta. No más criolladas como la de la SOPA Criolla.

Más sobre el tema en el blog de Chillinfart

Actualización (20/11/12): El Ministerio finalmente publicó una nota de prensa refiriéndose al tema pero sin referirse a los cuestionamientos al proceso en sí.

¿Qué pasó con la Ley de Delitos Informáticos?

Cabina de Internet en Perú

En junio pasado, el Congreso peruano propuso una ley que penalizaba al usuario promedio de Internet por razones ajenas a su propia conducta. El proyecto de Ley de Delitos Informáticos pretendía limitar nuestro derecho constitucional al secreto de comunicaciones y otorgarle a la policía acceso fácil a nuestros datos personales.

Junto a Access Now, ejercimos presión por una nueva ley que proteja los derechos a la privacidad y la libertad de expresión de los usuarios de Internet. Esa lucha no ha terminado: el Proyecto de Ley de Delitos Informáticos aún está latente. Sin embargo, hasta que la sociedad civil no asuma un rol más fuerte en materia de políticas públicas sobre Internet, y los políticos peruanos no nos reconozcan como actores significativos, seguiremos viendo estos mismos problemas en nuevas leyes.

Al igual que muchos países en América Latina y otras regiones, Perú es un estado cuyos representantes políticos no están familiarizados con Internet y tecnologías en general. Nuestras políticas nacionales al respecto siguen siendo directrices genéricas que no sirven de guía para soluciones innovadoras y leyes inteligentes. A diferencia de otros asuntos de interés público, como la violencia política o la discriminación, existen pocas voces que contribuyen al debate público sobre política de Internet en el Perú desde la perspectiva de la sociedad civil. Como resultado de este vacío, los intereses de los usuarios no se ven representados en el Congreso cuando se proponen proyectos de ley que afectan a nuestros derechos.

Esta situación genera un desequilibrio en el resultado del proceso legislativo. A menudo, los únicos puntos de vista externos que se ponen sobre la mesa son los de empresas y inversionistas que pueden contratar abogados para que representen sus intereses. Muchas opiniones y puntos de vista valiosos desde la sociedad civil se pierden en los medios de comunicación y no llegan a transformarse en propuestas reales. A la vez, este desequilibrio también genera una opinión pública parcialmente informada, que solo llega a conocer un lado de la controversia.

Cualquier campaña de la sociedad civil sobre una política pública en Internet en Perú se enfrenta a un doble reto: facilitar la comprensión pública de las cuestiones en debate, por un lado, y equilibrar el debate desde la perspectiva de los derechos de los usuarios y de las libertades, por el otra. De lo contrario, tendremos más leyes como la Ley de Delito Informáticos, con una redacción vaga y errores de técnica legislativa que pueden terminar afectando derechos individuales.

Gracias al interés de muchas instituciones de la sociedad civil, nacionales e internacionales, los miembros del Congreso recibieron cartas con comentarios sobre los aspectos más críticos del proyecto. Recientemente, parece que el Congreso ya no está promoviendo activamente el Proyecto de Ley de Delitos Informáticos y, a cambio, se está trabajando en la adopción de la Convención de Budapest sobre la Ciberdelincuencia (el texto de la Convención puede leerse aquí). Sin embargo, dado no se ha hecho ningún anuncio oficial al respecto, esta batalla aún no ha terminado. De hecho, el pasado 18 de septiembre, el congresista Eguren instó al Congreso de la República a incluir el Proyecto de Ley de Delitos Informáticos en la agenda de debate del Pleno.

En este contexto, es necesario contar con una comunidad bien informada y voces fuertes de la sociedad civil. Por eso, un conjunto de jóvenes profesionales hemos decidido unir sus fuerzas para crear Hiperderecho, un grupo dedicado a estudiar y facilitar la comprensión pública de las políticas públicas en el Internet en el Perú. Como primer proyecto, Hiperderecho ha creado una plataforma educativa y positiva llamada «Una Mejor Ley de Delitos Informáticos». La plataforma tiene la intención de explicar el proyecto, recogiendo toda la información disponible en línea. Además, también propone cinco cambios específicos que ayudarían a lograr un mejor equilibrio de los intereses en el texto del proyecto de ley. El texto completo de la propuesta se puede leer en la página web de Hiperderecho. Por supuesto, se trata de una plataforma social abierta a la retroalimentación y mejora continua. Esperamos contar con su presencia en línea. Además de expresar su opinión, también se puede leer el Proyecto de Ley y el espectro completo de los comentarios realizados a la misma, y tomar acción escribiendo al Congreso o a los congresistas particulares.

La versión original de este post se publicó en inglés en el blog de Access Now.

Foto: Asleeponasunbeam (CC BY-NC-ND)

Proyecto de Ley de Delitos Informáticos y sus implicancias para el acceso a la información

Este año el Open Access Week Perú se lleva a cabo bajo el lema “Publica en acceso abierto. Libera el conocimiento”. Este evento reúne a universidades, organizaciones del desarrollo y gubernamentales de Perú durante el 24 y 25 de octubre con el fin de incrementar la conciencia y el conocimiento acerca de la importancia y necesidad del acceso abierto a publicaciones, investigaciones y documentación digital.

En el segundo día del evento, el jueves 25 de octubre, participaré como ponente en la mesa sobre la Ley de Delitos Informáticos y sus implicancias para el acceso a la información. Mi exposición propondrá una teoría general sobre el acceso a la información y cómo una incorrecta formulación de la Ley de Delitos Informáticos podría terminar criminalizando usos lícitos de la información pública y privada.

También participarán de la mesa Roberto Bustamente, Erick Iriarte y Álvaro Thais. La entrada es completamente libre y empieza a las 7 pm en el Auditorio de GRADE (Grau 915, Barranco).

Una Mejor Ley de Delitos Informáticos

Una Mejor Ley de Delitos Informáticos

Comparto el texto de esta propuesta sobre el Proyecto de Ley de Delitos Informáticos en la que he participado. El texto completo puede leerse desde su página web.

Queremos leyes que nos protejan y nos permitan comunicarnos, hacer negocios y visitar nuestras webs favoritas en un entorno seguro y libre. Como usuarios de Internet, sabemos mejor que nadie lo importante que resulta para una sociedad moderna hacer de Internet un espacio abierto a la libre expresión, la experimentación y el intercambio comercial.

Agradecemos al Congreso por pensar en nosotros y trabajar en una Ley de Delitos Informáticos que le otorgue herramientas a jueces y fiscales para reprimir las conductas criminales llevadas a cabo usando medios informáticos. Por eso, proponemos estos cinco puntos que ayudarán a tener una Ley de Delitos Informáticos que nos otorgue seguridad sin quitarnos libertades fundamentales.

Creemos importante que el Ministerio Público tenga a mano las mejores herramientas para investigar los delitos informáticos

Sin embargo, la información sobre la identidad de los titulares de telefonía móvil, tráfico de llamadas y números IP debe de ser solicitada ante el juez competente, como corresponde siempre que se afectan derechos constitucionales en el marco de la investigación de un delito. Comprendemos que resulta de vital importancia para la investigación que esta información sea proporcionada en forma oportuna por las empresas operadoras, por lo que proponemos mantener el plazo de cuarenta y ocho (48) horas.

También proponemos que las empresas operadoras capaciten a los miembros de la Policía Nacional y el Ministerio Público para comprender las particularidades de esta información. Creemos que estos datos no deben utilizarse como única prueba para vincular al titular de una línea con la comisión de un hecho delictivo. En el caso de los números IP, esta incertidumbre se agrava porque en nuestro país la asignación de números IP es dinámica y puede ser compartida por más de un usuario o equipo, simultáneamente o en momentos distintos.

De lo contrario, por ejemplo, una persona cuya red de Internet inalámbrica esté sin clave podría ser involucrada como sospechosa de la comisión de un delito porque su vecino cometió un hecho delictivo a través de su red inalámbrica.

Creemos que debe de precisarse lo que el Proyecto entiende por “debida autorización” para el uso o manipulación de un sistema informático

Varios artículos del Proyecto señalan como delitos a ciertas conductas que se llevan a cabo sin “autorización” o de forma “indebida”.  Sin embargo, no señalan quién debe de proporcionar dicha autorización o bajo qué condiciones debe otorgarse. Creemos que esta incertidumbre puede generar confusión entre los operadores jurídicos y eventualmente ser utilizada para inculpar a personas bajo criterios distintos de los que inspiran la norma, criminalizando conductas domésticas que no generan un daño a terceros.

Así, por ejemplo, el artículo 14 castiga al que “indebidamente” crea, modifica o elimina un documento o cualquiera de sus datos contenidos en un sistema informático o, de cualquier forma, incorpora en un sistema informático un documento ajeno a este. Bajo una lectura estricta de este artículo podría castigarse a cualquiera que traduce (modifica) un documento descargado de Internet o descarga un archivo de Internet desde la computadora de la oficina (incorpora en un sistema informático) por el delito de falsificación de documentos informáticos, ya que no queda claro qué conductas son las “debidas de realizar” en cada caso.

De la misma manera, el artículo 15 condena al que “sin autorización” captura, graba, copia o duplica cualquier dato informático contenido en un medio de almacenamiento de datos informáticos. Bajo esta redacción, conductas como la descarga temporal de archivos de Internet (cache) necesaria para el funcionamiento diario de todas las páginas web sería considerada un delito dado que para mostrar una página web todas nuestras computadores graban o duplican en su disco duro una serie de textos e imágenes sin autorización.

Proponemos que se determine por ley, en cada caso, cuándo se entenderá que existe una autorización para el uso o aprovechamiento debido de un sistema informático así como la manera en la que ésta será probada o se entenderá por otorgada.

Creemos que debe de quedar claro en el texto del Proyecto que solo resultarán penadas aquellas conductas realizadas con la intención de provocar daños u obtener beneficios ilícitos

El artículo 12 de nuestro Código Penal señala que las penas establecidas por ley solo se aplican si el agente actuó con dolo o intención de cometer el delito. Por ende, solo se puede condenar a alguien por un hecho cometido accidentalmente (culposamente) si es que la ley lo señala en forma expresa. Esto significa que, salvo que la ley misma diga lo contrario, es un elemento importante para determinar la comisión de un delito que el agente haya tenido la intención de hacerlo y estado consciente de sus consecuencias.

Sin embargo, es un error común de técnica legislativa incluir el requisito de la “intención de generar un daño” para determinar la comisión de un delito. De la misma manera, algunos artículos del Proyecto hablan explícitamente de la intención de generar un daño u obtener un provecho y otros artículos, como los de posesión de tecnologías, no lo hacen.

Creemos que esta situación puede generar confusión entre los operadores jurídicos. Por ende, sugerimos que se revise las referencias a los elementos subjetivos de la conducta con la finalidad de quede claro que no se está criminalizando conductas o comportamientos llevados a cabo en entornos digitales sin la intención de provocar un daño y que prime la regla vigente en nuestro Código Penal.

Creemos que pueden mejorarse las normas penales sobre infracciones a los derechos de autor

La aplicación de las normas sobre derechos de autor es un debate mundial que no pretendemos cerrar promulgando una norma. Sin embargo, sí creemos que es posible realizar modificaciones para mejorar las leyes que ya tenemos sin desconocer nuestros compromisos internacionales. Al respecto, hay dos acciones puntuales que podemos tomar.

En primer lugar, proponemos que se elimine el artículo 16 del Proyecto porque legisla un tema ya legislado y lo hace para reducir las penas. La redacción de este artículo no ha tomado en cuenta el actual artículo 218 del Código Penal, que ya señalaba una pena de cuatro a ocho años para la reproducción, distribución o comunicación pública de una obra (como puede ser un software) cuando se realiza con fines comerciales u otro tipo de ventaja económica sin la autorización previa y escrita del autor o titular de los derechos. La única diferencia es que el artículo propuesto por el Proyecto exige que la obra se haya obtenido mediante el acceso a cualquier sistema informático o medio de almacenamiento de datos informáticos. Sin embargo, incluso en estos casos puede aplicarse el artículo 218 que consigna un rango de pena mayor y no hace distinción sobre la forma en la que se obtuvo la obra.

Además, con el ánimo de mejorar nuestro marco legal al respecto, proponemos que se modifique el vigente artículo 217 del Código Penal para incorporar en su último párrafo que la interpretación respecto de cuándo se ha incurrido en el tipo penal se haga conforme al régimen de excepciones y usos permitidos del nuestra Ley sobre el Derecho de Autor, Decreto Legislativo 822. Este régimen señala una serie de conductas como la reproducción parcial para fines académicos o el préstamo en bibliotecas que son lícitas respecto de obras divulgadas.

Creemos que el Estado debe comprometerse a capacitar a jueces y fiscales para que puedan aplicar correctamente la Ley

En nuestro país, tenemos muchas leyes y muy poca capacidad institucional para aplicarlas. Creemos que la política de combate a la criminalidad informática debe ser integral y comprender la correcta transferencia de conocimientos y capacidades a jueces y fiscales que aplicarán esta norma. Son ellos quienes apreciarán la variedad de conductas y motivaciones existentes con la finalidad de aplicar la Ley a quien efectivamente merece ser sancionado.

De lo contrario, la Ley de Delitos Informáticos tendrá la misma escasa aplicación que han tenido los artículos correspondientes del Código Penal que están vigentes desde el año 2000. En nuestro sistema jurídico, la jurisprudencia también es una fuente de Derecho y sirve para interpretar mejor la casuística existente y contribuir a la seguridad jurídica. Sin operadores legales correctamente capacitados para entender las relaciones y complejidades de los entornos digitales, las conductas criminales no podrán ser efectivamente combatidas y podrían terminar afectando libertades.

Infografía: ¿Qué es el TPP?

Infografía sobre el TPP

El Trans Pacific Partnership Agreement es un nuevo tratado comercial que viene discutiéndose en privado y de cuyas negociaciones Perú forma parte. De lo poco que se conoce de este tratado, su capítulo sobre Propiedad Intelectual Para saber más sobre el Trans Pacific Partnership Agreement pueden leer el dossier que preparó la ONG Derechos Digitales de Chile.

Infografía elaborada por El Bello Público

Comisión de Justicia aclara dudas sobre el Pre Dictamen de la Ley de Delitos Informáticos

El Presidente de la Comisión de Justicia y Derechos Humanos, Alberto Beingolea, ha declarado al diario Perú 21 sobre las observaciones realizadas al texto del Pre Dictamen en este blog.

El legislador dijo que, en efecto, en la “Exposición de Motivos” de la propuesta de ley hay partes que han sido tomadas casi textualmente de otros trabajos sin que se haya consignado la fuente original, pero sostuvo que eso es solo referencial.

“Es un documento de trabajo. En el camino se hacen varios pre dictámenes. Al que se hace referencia es uno de octubre del año pasado”, dijo a Perú21 Beingolea, tras subrayar que lo sustantivo es el texto de la ley en sí, el cual –dijo– está “impecable” y es de “avanzada”, porque se ha consultado con reconocidos expertos en el tema del país y del extranjero.

Perú 21: Alberto Beingolea: “Pre dictamen no es un documento oficial” (02/07/12)

Sabemos que alguna versión de este Pre Dictamen fue objeto de discusión el último martes 26 de junio, conforme lo señala la Agenda de dicha sesión publicada en la página web del Congreso. Me alegra saber que estas omisiones no estarán presentes en el Dictamen final que, entiendo, debería de ser publicado muy pronto dado que cierta versión de este Pre Dictamen fue aprobada la semana pasada en la Comisión de Justicia, conforme lo declaró el congresista Octavio Salazar. Por cierto, no estaría mal preguntarle a cualquiera de los congresistas que acudió a esa Comisión qué versión del Pre Dictamen le fue entregada.

Creo que se comete una nueva omisión al señalar que el Pre Dictamen que se difundió a través de Internet y fue analizado data de octubre de 2011. Como puede apreciarse, en la página 17 del propio documento se refiere a la comunicación recibida del Ministerio de Justicia de fecha 20 de enero de 2012. Eso significa que la versión se filtró en Internet fue, en el peor de los casos, de enero de 2012.

La tarea de la Comisión de Justicia es demostrarnos en el dictamen que publique en los próximos días cuánto ha enriquecido su investigación desde que se ensayó este borrador. No creo que lo deban hacer para salvar el roche o quedar bien con todos. Creo que lo deben hacer porque la función de un Dictamen es otorgar los criterios y explicaciones necesarias para que el resto de parlamentarios, que pueden no ser abogados, entiendan las razones del proyecto. Ese es el verdadero reto y eso es lo que queremos ver.

Actualización (04/07/12):

Consultado sobre los hechos por Diario 16, el Presidente de la Comisión de Justicia y Derechos Humanos amplió su descargos refiriéndose a este blog. Aparentemente, los blogs no tienen derecho a opinar sobre este tema salvo que estén directamente interesados.

“Quisiera hacer otra aclaración. Me parece muy sospechoso que un bloguero se tome el trabajo y el tiempo de revisar este predictamen. Esta ley preocupa precisamente a las personas que cometen delitos informáticos, puede ser aquí donde comienza el ‘lobby’ de las personas a las que perjudica que esta ley se promulgue”, finalizó el congresista.

Diario 16: Acusan de ‘pirateo’ a comisión de Justicia del Congreso (03/07/12)

¿Comisión de Justicia del Congreso pirateó la ley de delitos informáticos?

El Proyecto de Ley de Delitos Informáticos pronto entrará a discusión en el Congreso. La semana pasada se filtró el Pre Dictamen elaborado por la Comisión de Justicia y Derechos Humanos y despertó justificadas preocupaciones. El dictamen se discutió el último martes y se espera que en los próximos días aparezca el texto que finalmente será discutido por el Pleno.

Hasta ahora, todo lo que tenemos es el Pre Dictamen y el texto original de los proyectos de ley 0034/2011-CR y 0307/2011-CR. Podría decirse que ambos han sido combinados en el Pre Dictamen, donde por suerte han desaparecido propuestas tan controversiales como la responsabilidad penal accesoria de los Proveedores de Acceso a Internet por el conocimiento de la comisión de delitos sobre su red.

Tratando de entender mejor de qué trataba este proyecto me di el trabajo del leer las 17 páginas que preceden al texto mismo de la propuesta legal. Este preámbulo, presente en todos los proyectos de ley, es llamado “Exposición de Motivos” y sirve de justificación y explicación de los cambios propuestos por el proyecto y sus implicancias. En el caso de una Ley de esta implicancia, resulta importantísimo prestar atención a este estudio introductorio de la norma y es el único insumo del que disponemos para entender por qué se propone el proyecto.

Todo empezó cuando noté que el tono y la redacción del texto cambiaba según la sección del documento. Una sospecha me llevó a copiar parte de esa oración en Google. A la media hora, había detectado hasta siete páginas web distintas desde donde se había copiado literalmente o con muy pocas modificaciones el íntegro del texto de la Exposición de Motivos. Un descuido que, de ser cierto, en la mayoría de universidades equivaldría a un proceso disciplinario y quizás la suspensión definitiva.

Detalle de las páginas copiadas

En esta imagen, los textos resaltados en amarillo han sido encontrados idénticos en varios artículos publicados en páginas como Monografías.com, blogs sobre derecho argentino y libros sobre derecho informático. En ninguno de los casos, el Proyecto de Ley menciona que ha utilizado otros trabajos como fuentes. Las únicas partes que no han sido tomadas libremente de Internet son la que se refiere a la regulación de los delitos informáticos en Perú y la que señala los cambios que ha introducido el texto sustitutorio respecto de los proyectos de ley iniciales. Es decir, las únicas partes que no han sido tomadas desde Internet son las que no podían encontrarse ahí porque hablaban del propio Proyecto de Ley.

Para los incrédulos y curiosos, me he tomado el trabajo de preparar un PDF con las partes cuestionadas resaltadas y con enlaces a los artículos originales, donde también he resaltado las partes utilizadas. Pueden visitar los artículos originales aquí (1, 2, 3, 4, 5, 6, 7).

Pero no nos quedemos en esta anécdota, que ojalá sea corregida en el Dictamen Final. Reflexionemos mejor sobre lo siguiente. Después de casi un año de ingresados los Proyectos de Ley y de haber sostenido reuniones con expertos y distintos niveles del entidades estatales, más de la mitad de la exposición de motivos del Dictamen de la Comisión haya sido copiado y pegado de páginas sin ningún rigor académico como Monografías.com. ¿Es esa toda la investigación que merece un Proyecto de Ley de esta magnitud?

Foto: Congreso de la República (CC BY)

Actualización (02/07/2012, 3 pm):

Amplío algunos puntos para los interesados.

  1. El Proyecto de Ley 0034-2011/CR presentado por Juan Carlos Eguren en agosto de 2011 incluía en su página 3 una revisión de la legislación comparada y, como nota al pie, consignaba «Recogido de monografias.com». Esta referencia se perdió cuando el mismo texto fue reproducido en el Pre Dictamen que revisamos. Además, aparecieron otros textos que no estaban en ninguno de los dos proyectos de ley originales y que han sido encontrados en más de una página web como se detalla en el PDF anotado.
  2. Es difícil determinar la autoría original de los textos utilizados, ya que se encuentran replicados por todo Internet usados como parte de otros trabajos y hasta de otros Proyectos de Ley extranjeros (como este del Congreso Paraguayo, que data del 2009).
  3. Es difícil pensar que todas estas páginas web se copiaron del Pre Dictamen peruano dada la limitada circulación que ha tenido este documento y la multiplicidad de coincidencias con más de una página web. Algunas fuentes no registran fechas pero la que sí lo hacen datan de antes del año 2011.

Congreso peruano regula la Neutralidad de Red (nuevamente)

Pleno de Congreso de la República

El último viernes, literalmente minutos antes de terminar la legislatura 2012-1, se aprobó la Ley de Promoción de la Banda Ancha y Construcción de la Red Dorsal Nacional de Fibra Óptica (en adelante, la «Ley») en el Congreso  por 72 votos a favor, cero en contra y 25 abstenciones.

En su primera parte, la Ley señala el deber del Estado de promover la Banda Ancha y su aprovechamiento por todos. A continuación, declara de necesidad pública e interés nacional la construcción de una Red Dorsal de Fibra Óptica y establece una serie de reglas sobre el desarrollo, financiamiento y utilización de esta red dorsal. Esta era una política que se había prometido desde la campaña electoral, sobre la cual incluso se había dado un Decreto Supremo durante el gobierno anterior y que ahora está materializándose con normas específicas.

La verdadera estrella de esta Ley, que bien puede ser una metáfora de los errores en su investigación y sustento, la encontramos en este artículo:

Artículo 6.— Libertad de uso de aplicaciones o protocolos de Banda Ancha
Los proveedores de acceso a Internet respetarán la neutralidad de red por la cual no pueden de manera arbitraria bloquear, interferir, discriminar ni restringir el derecho de cualquier usuario a utilizar una aplicación o protocolo, independientemente de su origen, destino, naturaleza o propiedad.
El Organismo Supervisor de Inversión Privada en Telecomunicaciones – OSIPTEL determina las conductas que no serán consideradas arbitrarias, relativas a la neutralidad de red.

Se trata de la primera vez que una norma legal peruana habla explícitamente del tan polémico principio de neutralidad de red. Sin embargo, no es la primera vez que un concepto parecido está regulado por las normas legales peruanas. En el mismo sentido, desde el año 2005, el artículo 7 del Reglamento de Calidad de los Servicios Públicos de Telecomunicaciones aprobado mediante Resolución de Consejo Directivo Nº 040-2005-CD/OSIPTEL señalaba:

Artículo 7.— Los operadores locales que brinden servicio de Internet y/o ISP’s no podrán bloquear o limitar el uso de alguna aplicación, en ningún tramo (Usuario-ISP-ISP-Usuario) que recorra determinada aplicación. Esta prohibición alcanza al tráfico saliente y entrante internacional, salvo aquellas a solicitud expresa del abonado o usuario y/o algunos casos excepcionales por motivos de seguridad, los cuales deben ser comunicados y estarán sujetos a aprobación de OSIPTEL

En otras palabras, la nueva Ley de Banda Ancha intenta regular un tema que ya está regulado por OSIPTEL hace siete años. La existencia de esta norma anterior no aparece ni por asomo en su Exposición de Motivos ni en el Dictamen favorable de la Comisión. Pero incluso, se trata de una regulación mucho más restrictiva que la que tenemos vigente. Sobre el punto, toda la investigación y sustento que demuestra la Exposición de Motivos se limita a tres párrafos y la cita a la Ley chilena, donde solo uno de ellos habla de neutralidad de red señalando:

Aquí surge el nuevo concepto de neutralidad de red, donde el usuario final (persona o empresa) de hoy en día no debe tener un costo elevado para acceder al internet para suministrar contenidos o servicios a su elección; los operadores por ningún motivo, deberán bloquear o degradar servicios legales, en particular los de voz sobre IP, que compiten con sus propios servicios. Es necesario abordar estas cuestiones de la gestión del tráfico, el bloqueo y la degradación, la calidad del servicio y la transparencia de las aplicaciones. Los obstáculos de la neutralidad de red son: bloqueo o regulación del tráfico, congestión del tráfico y falta de transparencia.

En este párrafo confuso toma «prestadas» frases textuales una comunicación de la Comisión de Comunicaciones al Parlamento Europeo  del año pasado donde, todo lo contrario, se concluía que no resultaba apropiado regular la neutralidad de red por la falta de información sobre cómo las nuevas normas del Paquete Telecom funcionarán en el mercado comunitario. Hubiese resultado provechoso que quienes elaboraron la Exposición de Motivos de la Ley de Banda Ancha leyerán también esta parte del documento que citan:

La neutralidad de la red afecta a varios derechos y principios consagrados en la Carta de Derechos Fundamentales de la Unión Europea, en particular el respeto de la vida privada y familiar, la protección de los datos personales y la libertad de expresión e información. Por este motivo, cualquier propuesta legislativa en este ámbito estará sometida a una evaluación en profundidad de su impacto sobre los derechos fundamentales y su conformidad con la mencionada Carta[9].

La eventual regulación adicional no debe actuar como elemento disuasorio de la inversión ni de los modelos de negocio innovadores, pero sí favorecer un uso más eficiente de las redes y crear nuevas oportunidades de negocio a distintos niveles de la cadena del valor de internet, al tiempo que preserva para los consumidores la ventaja que supone poder elegir unos productos de acceso a internet ajustados a sus necesidades.

En su versión original, como fue presentado en el Proyecto de Ley de la Bancada Nacionalista, el artículo establecía la obligación de neutralidad de red exclusivamente para la Red Dorsal de Fibra Óptica. Probablemente, un exceso de entusiasmo y una pobre investigación motivaron a la Comisión de Transportes y Comunicaciones a querer ampliar la obligación de neutralidad de red para todas las redes de banda ancha colisionando, con ello, con la regulación pre existente del OSIPTEL.

Será precisamente tarea del OSIPTEL definir este problema. Históricamente, el Regulador había venido esquivando pronunciarse sobre cómo debemos de leer el artículo 7 del Reglamento de Calidad y solo se tiene noticia de un caso de poca trascendencia donde intentó aplicarse. Ahora será el encargado de determinar qué prácticas de gestión de red no serán consideradas «arbitrarias», en los términos de la nueva ley de Banda Ancha.

Resulta una verdadera lástima que, mientras en otros países se llevaron a cabo procesos de consulta pública y se realizaron serias investigaciones de mercado, en Perú se haya vuelto a tocar legislativamente este tema sin mayor debate ni difusión. Ya sucedió hace siete años cuando OSIPTEL dio el Reglamento de Calidad y nunca nadie comprendió en realidad de qué trata esa norma. Lamentablemente, empezamos a acostumbrarnos a que los gallos y la media noche sean nuestros legisladores estrella.

Más información

Foto: Congreso de la República (CC BY)

Rudy Palma, hacker por accidente

3055389463_029e344d5c_o

De niño vi muchas veces en la televisión el clásico ochentero WarGames (John Badham, 1983). En la película, un adolescente hábil con las computadoras intenta infiltrarse en la red de su proveedor de videojuegos favoritos para probar su próximo juego Global Thermonuclear War antes de su lanzamiento. Por accidente, termina conectándose a una red militar y el juego que piensa que está jugando en realidad podría desencadenar la tercera guerra mundial. Cuando el Estado lo descubre, es detenido e interrogado bajo los cargos de espionaje y de colaboración con los rusos. El funcionario que lo interpela no le cree cuando le dice que él solo estaba jungado. ¿Cómo lo logró? Adivinando que la contraseña de acceso sería el nombre del hijo de una de las personas cuyo nombre aparecía en la carpeta. Era un hacker, sí, porque descubrió una puerta trasera del sistema pero él quería hackear a una empresa de videojuegos y no poner en riesgo la seguridad nacional. Era un hacker con suerte.

Rudy Palma, nuestro así llamado primer ciber-hacker-periodista-2.0, es todo lo contrario: no es un hacker y tuvo muy mala suerte. Este caso ha llamado mi atención por varias razones. Creo que cometió un delito, como él mismo lo ha confesado. Sin embargo, también creo que no hemos comprendido exactamente de qué trata este caso, la forma tendenciosa en la que han sido consignados los cargos y las implicancias que esto tiene para todos.

Las contraseñas

Rudy Palma tiene 35 años y antes de trabajar en Perú 21, según su perfil de LinkedIn, había trabajado en el Ministerio de la Mujer y en el Instituto Prensa y Sociedad. Quizás por su experiencia laboral o por mera intuición, un día se le ocurrió que podía acceder a cuentas de correos ajenas usando como contraseña el nombre del usuario del correo. A todos nos ha pasado: nos dan una cuenta de correo o los datos de acceso a cierto sistema y por dejadez o desconocimiento nunca cambiamos la contraseña. Aprovechando esta mala costumbre, Rudy Palma tuvo acceso a las cuentas de correo de varios ministros y autoridades de alto rango. Según informes, se ha determinado que accedió hasta veinticinco veces en un solo día a la cuenta del Ministro de Comercio Exterior y Turismo.

Los encargados de sistemas, cuya labora es precisamente cuidar la seguridad de la red, lógicamente niegan esta teoría. Ellos dicen que las contraseñas eran “muy complejas”, dando a entender que era imposible que se llegue a ellas por deducción y que seguramente Rudy Palma debió de apelar a recursos más sofisticados. Traen a nuestra cabeza imágenes de hackers amaneciéndose frente a computadoras llenas de códigos. Yo creo que es una defensa apresurada para no asumir la responsabilidad que les toca por tener prácticas tan malas respecto del manejo de contraseñas y la seguridad de su red. ¿Se imaginan que Google les diese por defecto una contraseña igual a su nombre de usuario cuando abren una cuenta en Gmail? ¿No pensarían que es una irresponsabilidad de su parte?

Ya sé que suena ilógico creer que varias decenas de autoridades públicas coincidan todos en tener como contraseña para sus cuentas de correo electrónico su propio nombre de usuario. Pero suena todavía menos coherente pensar que alguien con la capacidad y el tiempo para quebrar sofisticadas estructuras de seguridad accedería a estas cuentas de correo: (i) desde la computadora de su trabajo, (ii) vía web (HTTP) y no a través de otro protocolo menos rastreable, y, (iii) sin usar una máscara de IP. Incluso los pedófilos y los estafadores, en el peor de los casos, operan desde una cabina Internet. Peor aún, ¿se  imaginan a un hacker reenviándose estos correos electrónicos a una cuenta de correo que asociada a su nombre y apellido? En una de sus últimas declaraciones filtradas por la prensa, Rudy Palma dijo que también intentó acceder a las cuentas de correo de Palacio de Gobierno pero desistió porque la página tardaba demasiado en cargar.

La pista

Apoya la teoría de las contraseñas adivinadas el que, aparentemente desde el 2008, Rudy Palma hacía lo mismo con distintas cuentas y entidades sin levantar la más mínima sospecha por parte de sus víctimas o los encargados de sistemas. Al haber adivinado la contraseña, el periodista se conectaba como si fuese el propio usuario y no generaba ninguna respuesta anómala por parte del servidor de correo. Si hubiese roto algún sistema de seguridad, hubiese dejado una huella lo suficientemente severa como para no pasar desapercibido cuatro años.

En muchos casos, pudo haber configurado alguna regla en el buzón de correo para que todos los correos que le lleguen sean reenviados a su cuenta, con lo que no necesitaba saber en todo momento las contraseñas. En otros, parece que tuvo la suerte de que esas cuentas de correo no cambien de contraseña durante ciertos periodos de tiempo. Les apuesto a que muchas todavía siguen teniendo la misma contraseña.

Según el reportaje de Caretas, alguien amenazó al Ministro de Educación Silva Martinot con revelar cierta información de su vida privada a la que había tenido acceso a través de su correo electrónico institucional. El Ministro, al comprobar que efectivamente se trataban de sus correos, recurrió al área de sistemas del Ministerio para averiguar cómo pudieron filtrarse. Recién entonces vieron la lista de las IPs desde donde se había accedido al correo del Ministro y descubrieron, entre ellas, que aparecía una que correspondía al diario Perú 21.

El Ministro llevó estos registros al diario y, a su vez, el personal de sistemas de Perú 21 identificó que dichos accesos al correo del ministro provenían desde la computadora de Rudy Palma. Inmediatamente, el diario despidió al redactor y lo puso a él y a su computadora a disposición de la Fiscalía. Luego, emitió un comunicado de prensa en donde se desvinculaban de haber participado directa o indirectamente en estos hechos. Palma no negó los hechos, reconoció haber accedido a esas cuentas y declaró haber actuado en solitario.

Si no hubiese sido por este intento de chantaje, nadie hubiese notado hasta ahora la actividad silenciosa aunque torpe de Rudy Palma. Hasta donde se conoce, no se ha logrado vincular a Palma con los correos amenazadores recibidos por el Ministro Silva Martinot aunque sí se ha encontrado que algunos de estos fueron reenviados desde la cuenta del Ministro a la de Palma. La revista Caretas publica hoy que, incluso luego de la detención del periodista, el Ministro seguía recibiendo los mismos mensajes de chantaje.

Los cargos

Rudy Palma usaba esta información como insumo para elaborar notas periodísticas para el diario donde trabajaba como redactor de Economía. Una forma bastante heterodoxa de conseguir exclusivas, sin duda. Las investigaciones han encontrado varias de estas noticias filtradas, como cambios de funcionarios, proyectos normativos y agendas de reuniones.

Por estos hechos, Rudy Palma está siendo procesado como presunto autor de tres delitos distintos: (i) violación de la correspondencia, (ii) delito informático en la modalidad de utilización indebida del sistema informático, y (iii) delito contra el Estado y la Defensa Nacional en la modalidad de revelación de secretos nacionales.

Violación de la correspondencia

El artículo 161 del Código Penal señala que el que “abre, indebidamente, una carta, un pliego, telegrama, radiograma, despacho telefónico u otro documento de naturaleza análoga” que no le está dirigido, “o se apodera indebidamente de alguno de estos documentos, aunque no esté cerrado” comete el delito de violación de correspondencia. En este caso, el correo electrónico se entiende como un medio análogo y el tipo penal encaja perfectamente con los hechos. Todos estamos de acuerdo, conforme a la confesión de Palma, que cometió el delito de violación de la correspondencia. Este delito tiene como pena máxima dos (2) años.

Delito informático

El caso del delito informático es un poco más complejo. Según el artículo 207-A del Código Penal, se considera delito informático utilizar o ingresar indebidamente a una base de datos, sistema o red de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar, o para interferir, interceptar, acceder o copiar información en tránsito o contenida en una base de datos. Es decir, el Código considera tanto el ingreso indebido como la utilización indebida (entiendo: no autorizada) de una base de datos, sistema o red de computadoras con la finalidad de interferir, interceptar, acceder o copiar información.

Según los hechos, Palma habría ingresado de forma no autorizada (indebida) a una cuenta de correo electrónico (parte de una base de datos) con la finalidad de acceder y copiar información ahí contenida. Este delito tiene como pena máxima dos (2) años. Si lo hizo con la finalidad de obtener un beneficio económico, como podría argumentarse en este caso, la pena se extiende a tres (3) años.

Difusión de Secretos Nacionales

La imputación más polémica es la de revelación de secretos nacionales. En concreto, la Fiscalía cree que al haber tenido acceso y usado como base para elaborar notas periodísticas una Agenda de Consejo de Ministros, detalles sobre la negociación de un tratado comercial con Venezuela y la entrada al país de una unidad naval y personal militar de Chile se habrían revelado secretos nacionales. Este delito tiene como pena máxima quince (15) años, la misma que le corresponde a las lesiones por violencia familiar, la trata de personas y la violación de persona en estado de inconsciencia.

Creo que la Fiscalía confunde la calificación de “secreto nacional”, que el Código Penal define como aquellos secretos que el interés de la República exige guardar, con la información prohibida de ser revelada para el régimen de publicidad de los actos estatales. La Ley de Transparencia y Acceso a la Información pública distingue, en su artículo 15, tres tipos de información que están exceptuadas del régimen de transparencia: (i) secreta: información militar o de inteligencia previamente clasificada por los funcionarios autorizados para hacerlo; (ii) reservada: información cuya revelación originaría un riesgo a la seguridad e integridad territorial del Estado y la defensa nacional en el ámbito externo, al curso de las negociaciones internacionales y/o la subsistencia del sistema democrático previamente clasificada; y, (iii) confidencial: aquella que afecte a terceros o contenga consejos, recomendaciones u opiniones producidas como parte del proceso deliberativo y consultivo previo a la toma de una decisión de gobierno.

Cuando el Código Penal alude a secretos que el interés de la República exige guardar y le asigna una pena de quince (15) años está pensando en información secreta de especial cuidado y previamente clasificada como tal por parte de las autoridades competentes. Los documentos cuyo contenido supuestamente Palma divulgó, por el contrario, más parecen información reservada (autorización de entrada de militares extranjeros) y cuya revelación no está en capacidad de poner en riesgo las relaciones internacionales ni el orden interno. La información que Palma reveló es tan confidencial como lo son las actas de sus propias declaraciones en este caso, a los que la prensa ha tenido acceso y difundido indiscriminadamente como en tantos casos, o como lo es cualquier expediente administrativo en trámite de Indecopi u Osiptel.

Lo siguiente

Si lo difundido por la prensa es cierto, Palma no es un hacker. Podría decirse que incluso su conocimiento sobre redes informáticas y buzones de correo es limitada. Me recuerda mucho más a Chris Chaney, ese treintañero aburrido y desempleado de un suburbio de Estados Unidos, quien respondiendo a las preguntas de verificación de identidad logró acceder a las cuentas de correo electrónico de Scarlett Johansson, Mila Kunis, entre otras celebridades, y filtrar sus fotografías personales. Él tampoco quiso ser un hacker, recién tuvo una computadora propia a los veinte años, y su curiosidad lo llevó a una condena de sesenta años en prisión.

Hay muchos que han visto en este caso un enseñamiento contra un medio de prensa o la excusa perfecta para introducir regulación más estricta sobre la prensa. De hecho, ciertas irregularidades procesales y la inclusión del delito de revelación de secretos estatales no parecen fortuitas.

Yo creo que, si se desestima el cargo de los secretos estatales, esta es una oportunidad excelente para el Estado de demostrar cómo se puede impartir justicia y condenar a periodistas por delitos que efectivamente cometieron sin poner el riesgo las garantías para la libertad de expresión. Mientras tanto, Rudy Palma ha sido trasladado al penal que le corresponde y espera su proceso. En su foto de perfil en Facebook ahora hay un perro.  Otra de sus fotos es una ilustración donde se lee: El mundo necesita de gente que ame lo que hace.

Ilustración: Ben Heine (C)

Malas prácticas en la publicación de PDFs en el Estado: Informe Conga

El tan ansiado informe pericial sobre el Proyecto Minero Conga fue presentado el día de ayer en una conferencia de prensa bastante parca. La Presidencia del Consejo de Ministros anunció que el informe completo se haría público a través de su web en un período máximo de veinticuatro (24) horas.

El informe fue publicado en un archivo PDF de 31.7 MB en el sitio de la PCM, que a las pocas horas colapsó y ahora es casi inaccesible. Luego, el diario El Comercio republicó el mismo archivo en su sitio web, que permitió que más personas puedan descargarlo.

Sin embargo, el archivo publicado por la Presidencia del Consejo de Ministros tiene varios problemas de accesibilidad. En primer lugar, se trata de un documento escaneado, lo que hace que el archivo sea más pesado. Si el informe se redactó en una computadora, ¿por qué se imprimió y se volvió a digitalizar para su difusión pública? ¿Por qué no se subió una versión en PDF generada directamente desde el procesador de texto?

Pero lo peor es que la versión escaneada que subieron a la web está especialmente protegida con contraseña para que no pueda imprimirse, copiar o leer en voz alta usando programas especiales para personas con discapacidad visual. ¿Por qué? Ojo que se trata de una medida que se ha tomado especialmente para otorgarle esta protección al documento, no de una configuración por defecto. De la misma forma, el PDF publicado por el Ministerio del Ambiente también está protegido

Este es un excelente ejemplo de cómo no se debe de publicar la información pública. Por suerte, los amigos de informática de la Presidencia del Consejo de Ministros no son tan inteligentes ni nosotros tan brutos. Así que acá les traigo el Informe Pericial del Proyecto Minero Conga sin restricciones, para su descarga, impresión y lectura.

Para los que no pueda usar en enlace de arriba, aquí un enlace directo.