Actividad 2: Investigue sobre leyes, políticas e iniciativas de su país (u otro país limítrofe) vinculadas con ciberseguridad. ¿Cuántas se concentran principalmente en el ciberdelito? ¿Qué aspectos de ciberseguridad se indican como los más acuciantes para su país? ¿Hay alguna mención con respecto al modo en que las leyes, políticas, estrategias y/o iniciativas contribuirán a proteger derechos, como el derecho a la privacidad? ¿Qué grado de apertura a la sociedad civil y el público tuvo el proceso de formulación de estrategias? Incluya sus comentarios en la página de debate correspondiente.
El tema de ciberseguirdad no es mi fuerte, por lo que la búsqueda ha sido bastante interesante y cultural para mi aprendizaje, lo que sabía era que no se tiene ni cuenta con una legislación o ley que vea en especifico el tema de la ciberseguirdad, los temas los llega a ocupar la policía federal en su área de seguridad digital o en su caso el CISEN, intentos de Ley han existido como la LeyFayad (que ya he comentado en este curso en varias ocasiones) y donde todo usuario seria al final un delincuente digital.
Por lo que he encontrado no hay una ley que proteja a usuarios, empresarios, ni a nadie, y esto no tanto por falta de trabajo legislativo, al contrario se ha hecho, pero de muy mala calidad.
Los que han hecho trabajo son las ong´s como R3D, ONG derechos digitales, Social TIC, que promueven campañas de prevención del robo de identidad, de programas espías y etc.
Creo que por lo que leí algo muy recurrente en México ha sido el rodo de identidad y el malwre.
Comparto algunos fragmentos de textos que me parecieron muy ilustrativos. Y sobre el caso México y otros de América Latina el documento Hacking Team: malware para la vigilancia en América Latina (2016)
“La División Cibernética de la Policía Federal (PF) reporta que desde 2012 se han duplicado los incidentes informáticos, entre los cuales el acceso no autorizado aumentó 260%, las infecciones de programas maliciosos o malware crecieron 323% y la suplantación de identidad o phishingsubió 400%.
Los incidentes denunciados ante la PF, que no incluyen aquellos que involucraron a particulares, afectaronen 31% de los casos a instituciones gubernamentales, en 26%a instancias privadas, en 39% a organizaciones académicas y en 4% a otros entes.
En 2015 se han registrado casi 81 mil incidentes informáticos, de los cuales 57% está ligado al uso de malware y 14% al fraude cibernético, según estadísticas de la CNS.” México, enredado con la ciberseguridad,
http://www.proceso.com.mx/419599/mexico-enredado-con-la-ciberseguridad, 30 octubre 2015
“Según el reporte “Tendencias de Seguridad en América Latina y el Caribe” de la Organización de los Estados Americanos (OEA), tan solo en México los costos anuales generados por ciberdelitos en 2014 ascendieron a $3,000 millones de dólares, afectando al sector público, privado y civil. Los riesgos en materia de seguridad cibernética que fueron denunciados incluyen desde malware, phishing y hackeos, hasta incidentes de fraude y extorsión, difamación, amenazas, robo de contraseñas, suplantación de identidad y acoso. […] México cuenta con una calificación global de 32.4 sobre 100, lo cual implica que se encuentra 12.3 puntos por debajo del promedio global. A nivel Latinoamérica, esto implica que México se encuentra por encima de países como Paraguay y Venezuela, pero muy por debajo de otros como Brasil, Uruguay, Argentina, Costa Rica, Chile y Colombia.
México registra bajos niveles en materia de marcos legales e instituciones encargados de tratar la seguridad en línea, así como en programas de capacitación, certificación, desarrollo de profesionales y certificación de organizaciones de carácter público en esta materia. Este patrón se refleja nuevamente en una falta de mayor desarrollo en materia de marcos para cooperación nacional e internacional y redes de divulgación de información.” http://the-ciu.net/nwsltr/381_1Distro.html
Hasta la fecha tanto leyes como políticas e iniciativas a nivel local se centran en cuestiones de ciberdelito. En este sentido, en 2008 se aprobó la ley 26.388, normativa que tipifica dos clases de delitos, aquellos cuya comisión se produce por medio del uso de las nuevas tecnologías y aquellos cuya comisión tiene por objeto a las nuevas tecnologías. Esta legislación tuvo como fin la tipificación por medio de la incorporación, modificación y/o sustitución de ciertos actos delictivos al Cód. Penal vigente. A su vez, en el 2013 se aprobó la ley 26.904 que incorpora al Cód. Penal el delito de Grooming. Por su parte, en la actualidad se han presentado proyectos de ley en el Congreso de la Nación vinculados a nuevos tipos penales, tal como, el ciberbullying.
Entiendo que a la fecha no existió una gran apertura a la sociedad civil y el público en general. No obstante ello, desde la Dirección Nacional de Políticas y Desarrollo de Internet, perteneciente al Ministerio de Modernización, lanzamos un Grupo de Trabajo de Internet en el que se tratará de abordar temas vinculados a la ciberseguridad y ciberdelito en base a los proyectos que actualmente se han presentado para su correspondiente tratamiento ante el Senado como respecto a aquellas necesidades que desde la sociedad civil, academia, sector privado, otros sectores de gobierno y comunidad técnica se planten como cuestiones claves en la formulación de estrategias en este campo.
El marco legal de Costa Rica se ha modernizado para responder a estas acciones, tanto en temas de colaboración internacional, como en nuevas leyes. Al respecto la nueva Ley de Delitos Informáticos, Ley 9048 y Reforma de varios artículos y modificación de la sección VIII, denominada Delitos Informáticos y Conexos, del título VII del Código Penal, instaura un marco jurídico penal más completo y acorde a los nuevos delitos cometidos por medios tecnológicos, y crea infracciones que responden a escenarios de acciones contra infraestructuras críticas como por ejemplo sabotajes informáticos, espionaje informático, violación de correspondencia o comunicaciones, daño informático, daño agravado, Instalación o propagación de programas informáticos maliciosos, facilitación del delito informático. Además, Costa Rica por medio del decreto Nº 37052-MICIT creó el Centro de Respuesta de Incidentes de Seguridad Informática CSIRT-CR, el cual debe coordinar con los poderes del Estado, instituciones autónomas, empresas y bancos del Estado todo lo relacionado con la materia de seguridad informática y cibernética y concretar el equipo de expertos en seguridad de las Tecnologías de la Información que trabajará para prevenir y responder ante los incidentes de seguridad cibernética e informática que afecten a las instituciones gubernamentales, esto incluye el tema de infraestructura crítica. De igual forma, en busca de mejorar aún más nuestro marco normativo y lograr un mejor accionar ante de la delincuencia informática, que pone en riesgo la infraestructura crítica, nuestro país recientemente ha tomado pasos hacia la adhesión a la “Convención sobre el Cibercrimen” conocida como el “Convenio de Budapest” mediante la publicación del proyecto de ley N. º 18484 “Aprobación de la adhesión al convenio sobre la ciberdelincuencia”, y se encuentra en trámite legislativo para lograr su aprobación.
Quería compartirles que en el caso costarricense para el 2013, presenté para el Informe PROSIC el estado de la Ciberseguridad en Costa Rica, por si desean revisarlo es el Capítulo 10, de esa fecha han variado algunos aspectos, pero la base se mantiene igual
Tal como señaló @SilvanaRivero, en Argentina contamos desde 2008 con la la Ley 26.388 de Delitos Informáticos, que no es una ley específica que regula este tipo de delitos en un cuerpo normativo separado, con figuras propias, sino una ley que modifica, sustituye e incorpora figuras típicas a diversos artículos del Código Penal ya en vigencia. Abarca la regulación de las nuevas tecnologías como medios de comisión de delitos, así como el propio daño a datos, documentos, programas o sistemas informáticos.
Un tema muy citado en relación a la ciberseguridad en las normativas nacionales es el de los menores y la pornografía infantil. La Ley 26.061 de Protección Integral de los Derechos de las Niñas, Niños y Adolescentes, la Ley 26.904 de Grooming y la Ley 863 de la Legislatura de la Ciudad Autónoma de Buenos Aires (que establece que los establecimientos comerciales que brinden acceso a Internet deben instalar y activar filtros de contenido sobre páginas pornográficas) son algunos ejemplos.
La usurpación de identidad online y el ciberacoso escolar o ciberbullyng son dos temas cuyo reclamo de regulación a menudo aparece en la agenda de los medios (en especial el último) pero, más allá de ello, el nivel de involucramiento de la sociedad civil en la definición de políticas es bastante bajo, a excepción de las ONGs especializadas.
Ya @SilvanaRivero y @FlorBianco dieron el marco de situación respecto al cibercrimen en Argentina. Paso a hablar sobre los temas restantes.
Durante el lapso de un año, desarrollamos una investigación en ADC enfocada en explorar justamente la temática de la ciberseguridad, sobre la cual publicamos recientemente su informe final, los invito a leerlo: Ciberseguridad en la era de la vigilancia masiva (disponible también en inglés).
Las políticas de ciberseguridad en Argentina podría decirse que nacen en 1999 con la creación del primer CERT estatal. En el año 2011 se crea el Programa de Infraestructuras Críticas de Información y Ciberseguridad (ICIC), dentro de la Jefatura de Gabinete de Ministros. A mediados de 2015 el Programa ICIC pasaba a manos de la Subsecretaría de la Protección de Infraestructuras Críticas de Información y Ciberseguridad (siguiendo dentro de la JGM). Tras el cambio de gobierno, a fines de 2015 se crea la Subsecretaría de Tecnología y Ciberseguridad dentro del Ministerio de Modernización de la Nación, que pasa a tener bajo sus manos prácticamente todos los aspectos de la ciberseguridad del país.
En cuanto al ámbito de la inteligencia, a mediados de 2015 se introdujo la nueva doctrina de inteligencia nacional, que establece a los “atentados contra la ciberseguridad” como una problemática de la cual debe encargarse la Agencia Federal de Inteligencia.
Cito a continuación parte de la conclusión del informe:
Las iniciativas de los últimos años en el campo de la ciberseguridad, mostraron un paso en la dirección correcta al buscar focalizar el trabajo de esta temática desde el Estado, estableciendo objetivos y tareas que resultaban adecuados para comenzar a desarrollar una verdadera agenda de ciberseguridad que pudiera expandirse a nivel nacional. Como describimos en su pertinente capítulo, en la realidad esta situación no se concretó, no solo debido a la falta de presupuesto correspondiente a los organismos encargados de llevar a cabo estas tareas, sino también a la forma en que los responsables optaron por trabajar la temática, fundamentalmente no trabajando desde la transparencia de sus tareas, acciones y resultados, ni en forma abierta, alentando la participación de expertos en la temática que pudieran aportar su visión, conocimiento y experiencia para mejorar las políticas llevadas a cabo desde el Estado.
Ante la falta de consensos internacionales en cuanto a las definiciones y límites de la ciberseguridad, América Latina aún tiene la oportunidad de avanzar hacia un nuevo concepto de ciberseguridad que no se derive exclusivamente del ámbito militar, de defensa e inteligencia, sino también que se enmarque en el reconocimiento y respeto por los derechos fundamentales de los ciudadanos y los estándares internacionales de derechos humanos como presupuesto de la ciberseguridad, evitando copiar literalmente las prácticas de otras regiones y de países que se encuentran en contextos diferentes a los nuestros.
En Venezuela existe, desde el año 2001, la Ley Especial contra Delitos Informáticos que contempla básicamente sanciones penales contra la incursión o vulneración ilegítima de sistemas que utilizan tecnologías de información. Es una vieja legislación que no ha sido actualizada o reformada. Aun así reconoce la privacidad de las personas, sus datos y comunicaciones, cuya violación contempla sanciones que van de dos a seis años de prisión. Pero no existen términos como ciberseguridad, ni las complejidades que esta dinámica ha desarrollado en los últimos diez años.
No existen iniciativas vigentes asociadas con la ciberseguridad en términos legislativos. Es a nivel del Ministerio de Defensa que se proyectó hace unos meses la necesidad de gestar un Plan Nacional de Ciberseguridad y Ciberdefensa, con un enfoque unilateral para hacer frente una guerra que vive el país, según el gobierno nacional (de acuerdo al discurso gubernamental, el país vive una crisis inducida por la oposición política, empresarios y potencias extranjeras que buscan desmantelar el proceso bolivariano, visto como una amenaza para los intereses capitalistas). La intención es apoyar este plan en la Ley de Infogobierno, vigente desde 2014, para proteger la estructura informática estatal.
Es un enfoque que busca proteger al Estado, incluso de sus ciudadanos. Y aunque la violación a la privacidad de las comunicaciones es un delito desde hace 15 años, esta legislación es abiertamente ignorada por los mismos funcionarios públicos y dirigentes políticos progobierno al exponer comunicaciones privadas de ciudadanos bajo criterios de enemistad partidista o de “traición a la patria”, sin pasar por ningún procedimiento judicial.
Fuera de esta ley del 2001 y la protección de la privacidad garantizada en la Constitución Nacional, no existe ningún tipo de iniciativa o instrumento que obligue a la protección de datos privados en bases públicas (cuyo uso discrecional fue expuesto tras la implementación del sistema biométrico de compras).
En México hubo una iniciativa de Ley en el 2015, conocida como Ley Fayad que buscaba fungir como Ley Federal para prevenir y sancionar delitos informáticos. Esta iniciativa que estaba muy mal redactada, criminalizaba de entre otras cosas: el destruir, inutilizar o “alterar el funcionamiento de un sistema informático o alguno de sus componentes”, incumplir los términos de uso de páginas de sistemas o de equipos informáticos, difundir información de desestabilice la paz pública, agredir o maltratar verbalmente a alguien mediante Internet. Además define el código malicioso, como cualquier código que sea utilizado para obtener información, lo que criminaliza casi cualquier código.
Lo principal de lo que se habla sobre ciberseguridad es la protección de la “infraestructura crítica, la protección contra ciberataques provocados por gobiernos de otros países o por grupos de hacktivistas. No se habla de la protección de derechos como la privacidad cuando se habla de ciberseguridad y hasta dónde yo se no hay gran apertura a la sociedad civil sobre el diseño de la estrategia de ciberseguridad. Entre los elementos más sensibles dentro de la ciberseguridad se habla de ataques a infraestructura crítica, a páginas oficiales por partes de hacktivistas, fraude (principalmente mediante phishing) y pornografía infantil. Existe una tendencia en los últimos meses (la campaña no al sexting) que criminaliza el sexting, cuándo esta práctica no representa un crimen (el crimen es la distribución de las imágenes sin consentimiento), cuándo existen formas seguras de practicarlo, y sobre todo cuándo al criminalizarlo se está prohibiendo una forma de ejercer la sexualidad.
La formas en que se ha buscado incluir la participación de organizaciones de la sociedad civil, mediante foros, la mayoría de las veces sucede cómo simulaciones, en las que la agenda ya está definida antes de que se consulte a estos grupos y se les invita para “legitimizar” la iniciativa, sin que las organizaciones de la sociedad civil puedan ejercer una influencia verdadera en éstos espacios. Para ejercer influencia resulta más útil criticar las iniciativas mediante publicación de análisis que son retomados por la sociedad y por los medios de comunicación, cómo ocurrió con la Ley Fayad en 2015.
Durante ano de 2015 discutiu-se no Brasil diversas medidas para garantia de segurança na Internet no âmbito da Comissão Parlamentar de Inquérito de Crimes Cibernético - CPICIBER. Esta todavia apresentou uma série de pontos problemáticos principalmente no que se refere à possibilidade de controle/vigilância pelo Estado, liberdade de expressão, neutralidade da rede e nesse sentido, organizações mobilizaram-se para pontuar as questões em uma Nota Técnica que está disponível nesse link: https://cpiciber.codingrights.org/
Quisiera compartir una publicación de Hiperderecho al respecto de los delitos informáticos en el Perú.