Ciberseguridad y Delito Cibernético - Diálogos sobre Gobernanza de Internet - México, 4 de noviembre de 2013

Notas de la Mesa 1, Ciberseguridad y Delito Cibernético


MESA 1. CIBERSEGURIDAD, PROCURACIÓN DE JUSTICIA Y TEMAS RELACIONADOS

Julio Téllez, UNAM/INFOTEC presentación

Azucena Sahagún PGR DG Coop Int, antes Subdir Tratados SRE, UIT en su campo
Marco Jurídico del entorno digital.
México retrasado en esta materia; vgr. Agentes del MP no pueden actuar
Código Penal sí contiene algunas conductas punibles: terrorismo, geolocalización, pornografía infantil, acceso ilícito a sistemas
CFPP establece medidas
PGR va de la mano de CNS
No tenemos el estándar para vincularnos a Convenio de Budapest, tarea ardua

Jacobo Bello Joya, Comisión Nacional de Seguridad
Jefe de la Policía Cibernética (Coordinación para la Prevención de Delitos Cibernéticos)
Crecimiento de usuarios, Generación Y: problema, qué tan preparada está la generación X ante la Y
Retos tecnológicos:
Crecimiento exponencial de dispositivos móviles y puntos públicos de acceso dificulta sanción de delitos
Big Data
Nube
Tendencia importante: uso de medios por la delincuencia organizada para robo de datos, phishing, etc.
Prioritario contar con programa de prevención, no sólo para jóvenes sino para toda la población (ABM, AMIPCI, trabajo conjunto)
Fortalecer MPs, jueces, para judicializar y sancionar los delitos
Fortalecer mecanismos de seguridad cibernética en dependencias gubernamentales

Andrés Velázquez, Mattica
Perspectiva: no hay sistema seguro
Regular en Internet va a ser un dolor de cabeza; unir todo lo que hemos visto, personas que han participado, muy difícil
Identificar cómo sumar esfuerzos; vgr. Investigación técnica de delito necesita leyes y autoridades
Necesidad de trabajar en conjunto

Marco Navarro Rivas, Microsoft
Ciberseguridad, 3 aspectos:
1. Cambios de los últimos (6) años
Mejorar cultura de Inernet, seguridad, productividad
El problema sigue siendo el mismo: que la estrategia de seguridad en Internet se convierta en un modus vivendi
Visión de la fundación “Navega Protegido”: el ciudadano ha evolucionado en la forma en que usa los servicios
Tecnología, procesos y gente
En tecnología estamos hablando de modernización vs tecnología obsoleta (Windows XP 12 años de servicio)

2. Propiedad intelectual y piratería de licencias de software
3. Interoperabilidad plataforma abierta vs. plataforma comercial, en cualquier caso estrategias de seguridad

Luis Fernando García @tumbolian

Perspectiva de derechos humanos
Visión más crítica de abordaje tradicional a amenazas cibernéticas (no por ello menos reales y serias)
También están amenazados los derechos humanos
Una amenaza es la pobre tipificación de conductas (muchas no necesitan nueva tipicidad, y es irrelevante si se llevan a cabo por medios informáticos)
Actualizaciones de leyes en las que se cuelan criminalizaciones de infracciones a derechos de autor y otras de mal efecto sobre DDHH; ciertamente incompatible en estados interamericanos
Falta de claridad en algunos tipos – como acceso no autorizado – lleva a criminalización de conductas de manera desproporcionada, vgr. Aaron Swartz

Alberto Nava, prof. Derecho Penal, INFOTEC
3 esferas por resolver:
1. Legislación, tipificación
2. Investigación y regulación de ésta
3. Cómo se lleva ante un juez; valor de la prueba
Otras aristas: leyes hechas por migrantes digitales, delitos y afectados son nativos digitales
La legislación es el primer problema en delitos informáticos – obsoleta desde la estructura, antes de Budapest, antes de como es la red ahora con redes sociales, cómputo en la nube
Catálogo en Código Penal Federal atrapado, sólo ha dado lugar a una consignación 2.11bis.3, sin certeza de condena
No aplica en fuero común, legislación no armonizada en estados o inexistente: caos
Pifias en regulación de la red: legislación local Tabasco, Veracruz, legislación a modo revertida por la SCJN
Alfredo Reyes Krafft, AMIPCI + ICC
Avances, productividad, integración ciberespacio con otros espacios, etc.
Desafíos:
Integridad y conservación de mensajes de datos para dar certeza al comercio electrónico
Autenticación, firma electrónica
Accesibilidad a productos y servicios
Necesidades de legislación: legisla abogado que sabe poco de técnica, técnico que sabe poco de leyes; necesitamos abogados que conozcan tema técnico.
Normativas ineficaces por esa dicotomía
Recomendación: cuidado, sobre todo en esquemas de seguridad, en regular medidas técnicas de seguridad. Llegar a uniformidad aumentará riesgos


Q&A
León Felipe Sánchez: pide al panel identificar necesidades específicas de legislación
Leticia Luna: capacitación de personas de muy bajos recursos. A Microsoft: cómo cree que va a ser obligación del ciudadano la actualización tecnológica; debe ser RSE. A Jacobo Bello: sobre incremento de malware, usar más software abierto.
APB:
Separación de capas, legislar sobre conducta
Dónde vamos a empezar a ver en México legalidad, transparencia, reclamaciones de condiciones de intervención de comunicaciones
[N]
¿no es más fácil hacer general la legislación, en vez de específica?
[N]
Expicar uso discrecional de geolocalización y datos de redes de telefonía

Respuestas:

Azucena:
Leyes tecnológicamente neutrales: propósito de los Diálogos es mostrar que no sólo es necesaria la actuación del gobierno sino cuestiones éticas y morales. El Derecho Penal es la ultima ratio.
Geolocalización, aclara posición PGR
Los tipos de los delitos deben ser precisos en Derecho Penal

Jacobo Bello:
Sobre malware. Hay de todo (“fraude nigeriano”), ransomware (incluso de pequeña escala, con tarjetas de pago en Oxxo, dos mil pesos)
Prudencia respetuosa en el uso de la palabra “hacker”.

Andrés Velázquez.
NO existen los delitos cibernéticos; son delitos en que se usan medios cibernéticos
Necesidad de legislar: en prueba digital y su validez (vgr. Un correo impreso no es una prueba digital)
Tenemos que empezar con educación.

Marco Navarro (Microsoft)
“Navega Protegido” se enfoca en escuelas, dona software
FUD, FUD, FUD, FUD…
Como ciudadanos tenemos obligación de proteger nuestra información

Luis Fernando García
Concuerda con LFSA y APB: se intenta criminalizar la tecnología, no la conducta
No se debe criminalizar el uso de medidas de “elusión” de candados pues puede estar justificado; respalda esto OEA, ONU
Sobre intervención de comunicaciones y geolocalización: hay disonancia entre interpretación constitucional de privacidad e involabilidad y lo que dicen las leyes y las Cortes. Cita SCJN resoluciones a favor de inviolabilidad de contenido y datos de tráfico. Se requiere orden/autorización judicial.
Pendiente también en SCJN acción de anticonstitucionalidad de geolocalización.
Código Nacional de Procedimientos Penales podría modificarse a favor de privacidad; otro tanto LFTelecom.
Cita como ejemplo de lo positivo necessaryandproportionate.org
Nuevo CFPP ratifica vicios

Alberto Nava
Libro La Prueba Electrónica en Materia Penal
Los tipos penales deben ser específicos (hay más de 1,097 sólo en el ámbito federal); principio de taxatividad, art. 14 constitucional
Coincide con APB: la prueba debe tener licitud y ésta se exige de la intervención de telecomunicaciones
El otro eje rector es el procesamiento de la cadena de custodia

Alfredo Reyes Krafft
Cfr. APB, LFSA, qué se entiende por neutralidad tecnológica, basado en acuerdo en la materia, Costa Rica, 2003: ninguna disposición legal u orden de autoridad podrá exigirte la inclusión de una tecnología específica
En este sentido la ley debe ser tecnológicamente neutra
En temas como comprobante fiscal digital esto da dificultades (vgr. Imposible generarlo en un dispositivo que no sea una PC)
Hay mucho que trabajar en esta materia

Julio Téllez
Sin duda nos estamos preparando bien para el IGF 2016 del que México será sede, y qué bien el diálogo multistakeholder

Nueva ronda Q&A
Manuel Haces: preguntas que vienen de redes sociales – participación remota.
A Jacobo Bello, si son públicas las estadísticas
¿Qué pasa con los intentos de censura?
¿de dónde salen los datos de fraudes y cibercrimen?


Carlos Saavedra (Senado)
Respalda preguntas de LFSA y APB: medidas legislativas concretas
Educación
Modificaciones a CFPP para pruebas digitales

Cedric Laurent
¿Está obligado Microsoft a contestar preguntas sobre la información que proporciona al gobierno de EU? Si no, ¿es porque no sabe o porque no está autorizado, o porque cree que Microsoft no la detecta?

Ricardo García Ortega, Centro de Estudios de Prospectiva y Desarrollo Social
Hablar de regulación de las redes le parece un tema extraño
Desde Budapest cada año se habla del asunto y luego resulta que no hay nada; la sociedad hace como que participa y el gobierno como que actúa, y lo único que sucede es que las empresas se están cubriendo.
Ponerse de acuerdo. Si es Gobernanza, que participe la sociedad, la principal afectada, a la que no se toma en cuenta.
A PGR: ¿cuántos delitos se han perseguido y sancionado? Sabe de 4 o 5
Falta un verdadero esfuerzo para que la sociedad participe en establecer políticas. Que no sea a nivel internacional, hay que hacerlo en México, gobierno y sociedad.

[N]
Si la educación te parece cara prueba con la ignorancia.
¿Y los niños? Nadie revisa los portales de seguridad
Aspecto analógico: comercial de “mucho ojo”, llegar por ese lado
UNICEF y el video del hombre de algodón
PGR, Microsoft etc. deberían hacer alianzas para educar
¿Tienen una estrategia?

Juan Carlos Castañeda, comunicador
Sí hay leyes pero no se aplican
¿hasta dónde ha llegado México en consignación de delitos?

RESPUESTAS DEL PÁNEL
Azucena Sahagún
Coincide con Andrés, hace falta un trabajo conjunto
No solamente la regulación se centra en eso; en materia preventiva la Policía Cibernética tiene políticas
Problemática de la PGR:
Falta de denuncia (pocos casos son de oficio); sin querella no puede el MP iniciar una investigación
En la investigación falta conocimiento de MP y peritos
Acaba de haber un 2º. Congreso sobre Cibercriminalidad sobre tratamiento de la prueba digital, protegerla, salvaguardarla, no modificarla.
Sobre judicialización, escapa al poder de la PGR pero hay que capacitar jueces
Sobre Budapest, no hay consenso internacional sobre otro mecanismo y es lo que hay. Toca aspectos sensibles; en caso de derechos de autor, retoma cuestiones de otros tratados (OMPI), foros multistakeholder – debe seguir habiéndolos.
El ciberespacio simplemente es un medio comisivo. Los delitos existían desde antes.

Jacobo Bello:
Sobre datos estadísticos, tema relevante.
Fuentes de información de CNS son principalmente denuncias ciudadanas. Han logrado que en 30% de las denuncias se ayude a levantarlas ante MP, mientras que el global de la ONU es 1%.
Mandamientos judiciales y ministeriales son otra fuente de información
CERT – el de la UNAM y el de la CNS, intercambios de información y alertas
Vienen más acciones preventivas.

Andrés Velázquez
Estamos hablando a diferentes niveles.
A nivel internacional la legislación que hay no sirve; sólo se aplica si hay cooperación y ésta sólo se usa en casos de alto perfil como terrorismo.
Sobre la regulación: un auto también es un arma. ¿por qué no lo vemos como a Internet?
El tema es cómo se hace uso de Internet.

Marco Navarro
Microsoft no provee acceso directo o indirecto a ningún gobierno para poder privilegiar datos de nuestros clientes.
Temas de interoperabilidad: una organización lidia con unas 20 marcas (no sólo Microsoft y Linux). Por eso las organizaciones necesitan Data Governance, información clasificada, sensible o de uso compartido.
El exceso publicitario del cómputo en la nube, por las propias empresas.
Canal conéctate seguro en Internet, Microsoft y AMIPCI
Hace falta llevar a cabo talleres a través de asociaciones, para tecnólogos, abogados, legisladores, etc. para dar lugar a leyes que se apliquen
Consideraciones sobre transjurisdiccionalidad del delito y necesidad de colaboración internacional.

Luis Fernando García
Sobre discusiones legislativas actuales: CNPP, LFT, Ley Penal General (piso para armonizar legislación penal en estados). Oportunidad para mulstistakeholderismo para aportar a la construcción de una legislación adecuada.
Sobre intervención de comunicaciones: se debe introducir una vigilancia de la sociedad vgr. a través del IFAI. La retención de datos actual en telcos es anticonstitucional pues se debe requerir orden judicial; lo mismo para geolocalización.
Caminar juntos y no olvidar las obligaciones de derechos humanos.

Alberto Nava
El nicho de oportunidad para la delincuencia crece al crecer la población usuaria de Internet. Falta legislación adecuada. Hace analogía entre supercarretera de la información y la ley de 1999 como un carrito de modelo antiguo.
Hay que discutir Budapest y que se juzgue por lo que se haga y no por lo que hemos dejado de hacer en 12 años.

Alfredo Reyes Krafft
Enfatiza concepto de Equivalencia Funcional, para ayudar a dar precisión y agilidad a tipos penales
Prevención del delito y promoción de la denuncia: debe estar apalancada en confianza en autoridades. No se denuncia por falta de ésta.
También es importante la cooperación internacional.

Julio Téllez intenta consenso:
Política pública. Mencionada en Plan Nacional de Desarrollo. ¿se mencionará, se explicitará? ¿tendrá lugar en la Estrategia Digital Nacional? ¿funcionará a través de una sola coordinación la inteligencia naval, militar y civil, el CISEN?
Tipificación de delitos: la vorágine, la dinámica no permite que se actualicen, pero es obligación de legisladores. Común/federal deben ser compatibles.
Problematiza el anonimato como causa de impunidad.
Ciudadanos: prepararnos, capacitarnos, educarnos. Sí en efecto: padres de familia, internautas, niñas, niños y adolescentes, los más vulnerables.
Estos diálogos no terminan.