Reproduzco aquí las palabras que preparé (y leí) en la inauguración del taller sobre "e-Crime and DNS Abuse" o "Delito cibernético y abusos del Sistema de Nombres de Dominio" que se llevó a cabo el pasado 4 de marzo de 2009 en la Ciudad de México, D.F., en el marco de la 34 reunión de ICANN:
Sean Uds. bienvenidos al Taller “Delito cibernético y abuso del sistema de nombres de dominio” en esta Ciudad de México.
El Taller ha sido organizado por un grupo distinguido de especialistas y de promotores de la difusión del conocimiento técnico y de políticas de ICANN y políticas públicas, al que expreso públicamente mi agradecimiento y seguramente el de todos los presentes.
Como es bien sabido, en Internet se presentan en forma creciente formas delictivas cada vez más sofisticadas, y una parte muy importante de su análisis y el trabajo para prevenirlo, detectarlo, impedirlo, combatirlo, mitigar sus efectos y recuperar de sus efectos a las organizaciones y sistemas se lleva a cabo, necesariamente, en esferas muy ajenas a aquella de la que se ocupa ICANN. ICANN, por su parte, tiene permanentemente a la vista un componente de seguridad en su encargo, que privilegia la estabilidad del sistema de nombres de dominio y por ello debe mantener seguras su infraestructura y operación.
Hay un conjunto muy específico de actividades delictivas que descansa en el abuso del sistema de nombres de dominio en diversas formas. Éstas abarcan desde los casos en que el objeto mismo de la conducta negativa es el nombre de dominio – cybersquatting y similares – hasta una variedad amplia de virus, troyanos y botnets que movilizan un rápidamente cambiante registro de nombres de dominio para dirigir el tráfico inocente hacia sitios en los que se afectan los intereses de los usuarios.
Los “stakeholders” de estas actividades, en un grano más fino que los de la Cumbre Mundial de la Sociedad de la Información, incluyen a usuarios finales de Internet, registrantes de nombres de dominio, bancos y otros intermediarios financieros, autoridades encargadas de vigilar el cumplimiento de las leyes, jueces, abogados, peritos, fiscales, proveedores de servicios de Internet o ISPs, especialistas en seguridad informática, autoridades de defensa del consumidor, alianzas comerciales entre países, etc.
Las organizaciones que han surgido para tratar con algunas de las conductas delictivas de este campo representan formas originales de organización y acción. Un ejemplo primario es el Anti-Phishing Working Group (APWG), en el cual concurren muchos de los actores señalados en el párrafo anterior. El APWG convoca también a CERTs. Conduce sus asuntos con agilidad gracias a una organización horizontal, y a que reúne a personas y entidades que pueden actuar en alguno de los terrenos relevantes como persecución del delito (denuncia, investigación, juicios), eliminación de páginas y programas en Internet que forman parte de la cadena de comisión del delito, registradores y registros de nombres de dominio, etc. El APWG se moldeó espontáneamente, en busca de la solución de un problema específico - “phishing” - con los actores relevantes, y tomó, como la IETF o ICANN, una forma “multistakeholder” de organización acorde con los principios de la CMSI “avant la lettre”.
En una instancia que me es más cercana, y a la que me referiré brevemente como un ejemplo que ilustra y provoca la discusión de las verdaderas complejidades del sistema, formamos un grupo de trabajo informal en México al que uno de los fundadores, el Dr. Alfredo Reyes Krafft, ha dado el nombre de “e-Crime México”. En este grupo nos reunimos inicialmente la dirección de cómputo de la Universidad Nacional, entonces a mi cargo, y UNAM-CERT, parte de la misma unidad, a cargo de Juan Carlos Guel, con el propio Alfredo y otras personas de los bancos, Policía Federal, y abogados.
El grupo alcanzó logros importantes en reducir el tiempo de respuesta para eliminar sitios y software dañinos, incluso en países de otro modo difícilmente accesibles, y en instruir en las necesidades de denuncia oportuna y precisa para concitar la acción de las autoridades con plena base legal. Al mismo tiempo, sus dificultades ilustran las de este complicado mundo. Muestro una con el valor de la anécdota.
Los bancos buscaron que NIC-México (el ccTLD a cargo del dominio .mx) instituyera un proceso de “takedown” (elminiación, o al menos suspensión de la resolución) de nombres de dominio registrados para usos delictivos. Pronto encontramos casos como el nombre bancox.com.mx registrado por el propio banco, fuera del nombre con el que principalmente mantiene su presencia en línea, pero fuera del conocimiento de los operadores y tomadores de decisiones del banco. Haber procedido con la solicitud de “takedown” hubiera sido lesivo para el propio banco y creado una responsabilidad para NIC-México. Otro punto relacionado sería el intento del banco Y de bloquear un uso legítimo del banco X acusándolo de abusivo.
Esto se relaciona con las propuestas de “rapid takedown” de .asia, y otras que el APWG y empresas como MarkMonitor han impulsado.
En la sesión que ahora empieza se presentará un panorama general del delito cibernético, de los usos del sistema de nombres de dominio para el delito, las respuestas posibles por parte de los distintos “stakeholders” y sus comunidades. Después de las exposiciones y discusión, se llevarán a cabo cuatro sesiones paralelas ágiles para tratar entre los participantes las dimensiones del delito cibernético en América Latina, protección al consumidor, papel de ICANN, y relación entre autoridades perseguidoras del delito y ccTLDs. ¡No se pierdan el resto de esta sesión!
blog by Alejandro Pisanty. If I can sustain the effort I'll touch on IT in education, Internet Governance, UNAM projects, university rankings, ICANN, and a subject or two more. Español: blog sobre tecnologías de la información en educación, gobernanza de Internet, proyectos en la UNAM, "rankings" (clasificaciones) de Universidades,ICANN y un par de temas más - si puedo sostener el esfuerzo.
lunes, marzo 09, 2009
e-Crime and DNS Abuse - Delito cibernético y abusos del DNS
Suscribirse a:
Comentarios de la entrada (Atom)
No hay comentarios.:
Publicar un comentario