Manual de Seguridad en Internet - Colexio de Economistas de A

Manual de Seguridad
en Internet.
Soluciones técnicas y jurídicas
Antonio Martín Ávila
Francisco de Quinto Zumárraga
Financiado por:
Manual de Seguridad en Internet. Soluciones Técnicas y Jurídicas.
Antonio Martín Ávila • Francisco de Quinto Zumárraga
NETBIBLO, S.L., A Coruña, 2003
ISBN: 84-9745-023-X
Materia: Informática. 681.3
Formato: 17 x 24 • Páginas: 288
MANUAL DE SEGURIDAD EN INTERNET. SOLUCIONES TÉCNICAS Y JURÍDICAS.
No está permitida la reproducción total o parcial de este libro, ni su tratamiento informático, ni la
transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia,
por registro u otros métodos, sin el permiso previo y por escrito de los titulares del Copyright.
DERECHOS RESERVADOS 2003, respecto a la primera edición en español, por
© Fundación Una Galicia Moderna.
ISBN: 84-9745-023-X
Deposito Legal: C-1972-2003
Coordinación Editorial: Netbiblo
Diseño: Marco Parra
Compuesto en: Centerprint, S.L. · Eduardo Bóveda
Impreso en: Josman Press
Impreso en España - Printed in Spain.
INTRODUCCIÓN
En la elaboración del libro que tiene en sus manos hay una doble y ambiciosa intención.
Por un lado integrar, en una sola publicación, todo lo relativo a la seguridad en Internet, abarcando el amplio y cambiante espectro técnico junto al necesario marco jurídico.
Una vez fijado el contenido, la segunda intención se centra en el objetivo que persiguen
los autores: ponerlo al alcance de los empresarios y profesionales, principalmente de los más
pequeños y necesitados de conocimiento y ayuda. Por ello ha sido redactado con una clara
vocación divulgativa, huyendo de toda pretensión académica, doctrinal o preciosista. Se ha
optado, también, por incluir múltiples esquemas y resúmenes que ayudan considerablemente
a la consecución de este segundo objetivo.
Por su vocación de síntesis divulgativa este libro se dirige en primer lugar, pero no sólo,
a los directivos de empresas que estén interesados en proceso de “Internetización” de sus negocios y que deseen conocer y estudiar al factor clave de seguridad en sus sistemas de información y, principalmente, a los empresarios de negocios de reducida dimensión por ser aquellos más necesitados de ayuda y orientación externa, al disponer de menos recursos propios.
Además, por el rigor de sus contenidos se dirige a:
- Profesionales, estudiantes y directivos que deseen estudiar conceptos de seguridad
en un marco conjunto técnico como jurídico.
- Los administradores de sistemas interesados en el campo de la seguridad informática en general.
- Personas que se encuentren trabajando en el campo de la seguridad tanto técnica
como jurídica.
- Abogados que deseen conocimiento sobre Derecho en Nuevas Tecnologías.
- Las personas que tengan planes de establecer un equipo de trabajo relacionado con
la seguridad en Internet.
- Toda persona con interés en la seguridad en redes, herramientas de monitoreo,
detección de intrusos y firewalls.
Es obligado cerrar esta presentación agradeciendo, por su apoyo y entusiasmo para con
el buen fin de esta obra, a Roberto Pereira Costa, consultor y asesor de empresas en Santiago
que sabe compatibilizar de forma equilibrada e inteligente la gestión de su despacho con sus
funciones como Presidente de la Delegación santiaguesa del Colegio de Economistas. También al Instituto Galego de Promoción Económica (IGAPE), que ha sabido captar de modo
rápido y acertado las ventajas que se derivan de una obra como la que ahora presentamos para
las pymes gallegas en su obligado proceso de incorporación a las nuevas tecnologías.
Deseamos todos que el lector encuentre en este manual las respuestas a sus cuestiones y
aprenda con nosotros todo el apasionante concepto de la seguridad en algo tan etéreo, transparente y aparentemente infinito como Internet.
Antonio Grandío Dopico
INTRODUCCIÓN ......................................................................................................................................................
PARTE I. ENTORNO: RIESGOS Y OPORTUNIDADES
1. Evolución del proceso y adaptación de las Tecnologías de la Información y
de las Telecomunicaciones (TIC’s)................................................................................................................
1.1. La convergencia de la información con las telecomunicaciones. ........................................................
1.2. La digitalización y sus efectos. ..............................................................................................................
2. La implantación de las TIC’s en España: aproximación al entorno Internet y al comercio electrónico...
2.1. Actuaciones a favor de la sociedad de la información. .........................................................................
2.2. Aspectos sociales.....................................................................................................................................
2.3. Aspectos económicos..............................................................................................................................
2.3.1. La economía digital o nueva economía .......................................................................................
2.3.2. Valoración de empresas .com.......................................................................................................
3. Las Pymes y las nuevas tecnologías..............................................................................................................
4. Las administraciones públicas y las nuevas tecnologías..............................................................................
PARTE II. TECNOLOGÍA Y SEGURIDAD
1. La clave tecnológica .......................................................................................................................................
1.1. Aproximación al concepto técnico de seguridad...................................................................................
1.1.1. ¿Qué queremos proteger?..............................................................................................................
1.1.2 .¿De qué nos queremos proteger?..................................................................................................
1.1.3. ¿Cómo nos debemos proteger? .....................................................................................................
1.2. Tipología en la seguridad informática ...................................................................................................
1.2.1. Seguridad física y lógica...............................................................................................................
1.2.2. Seguridad por red y por máquina................................................................................................
2. Políticas de seguridad corporativas...............................................................................................................
2.1. La administración de la seguridad ........................................................................................................
2.2. Desarrollo de una arquitectura segura de red .......................................................................................
2.3. Copias de respaldo..................................................................................................................................
2.4. Plan integral de seguridad......................................................................................................................
2.5. Ejemplo de una política de seguridad corporativa................................................................................
3. Seguridad en Redes........................................................................................................................................
3.1. Introducción ............................................................................................................................................
3.2. Terminología básica ...............................................................................................................................
3.3. Redes internas.........................................................................................................................................
3.4. Redes externas .........................................................................................................................................
3.5. Internet y el protocolo TCP/IP................................................................................................................
3.5.1. Protocolos de aplicación sobre TCP/IP........................................................................................
3.6. Autenticación en la red............................................................................................................................
3.7. Control de acceso.....................................................................................................................................
3.8. Riesgos para la privacidad y confidencialidad.......................................................................................
3.8.1. En los ataques de intrusos ............................................................................................................
3.8.2. En los agentes de comunicación ..................................................................................................
3.8.3. Derivados del protocolo HTTP ....................................................................................................
3
11
15
17
19
19
20
22
22
24
26
28
33
33
34
34
35
35
35
35
36
36
37
38
39
40
41
41
42
43
43
44
46
47
49
50
50
50
51
3.8.4. Derivados del protocolo TCP/IP ..................................................................................................
3.8.5. Derivados del protocolo FTP .......................................................................................................
4. Cómo proteger nuestro ordenador.....................................................................................................................
4.1. Las típicas vulnerabilidades....................................................................................................................
4.2. Las soluciones..........................................................................................................................................
5. Criptografía, Certificación y PKI .................................................................................................................
5.1. El círculo de confianza...........................................................................................................................
5.2. Criptografía y encriptación ....................................................................................................................
5.2.1. Encriptación simétrica ..................................................................................................................
5.2.2. Encriptación asimétrica................................................................................................................
5.3. Firma electrónica ....................................................................................................................................
5.4. Certificados digitales ..............................................................................................................................
5.5. Certificación y PKI.................................................................................................................................
5.5.1. La infraestructura de clave pública..............................................................................................
5.5.2. Autoridades de certificación.........................................................................................................
5.5.2.1. Tipos de entidades emisoras de certificados .................................................................
5.5.2.2. Jerarquías de entidades raíz...........................................................................................
5.5.3. Aplicaciones de una PKI ..............................................................................................................
5.5.4. Utilización de una PKI .................................................................................................................
5.5.5. Presente y futuro de la PKI ..........................................................................................................
5.5.6. Certificación electrónica en España.............................................................................................
6. Los riesgos en Internet: virus y hackers................................................................................................
6.1. Virus ......................................................................................................................................................
6.1.1. Definición de virus........................................................................................................................
6.1.2. El peligro de Internet ....................................................................................................................
6.1.3. Tipos de virus................................................................................................................................
6.1.4. Evitar sus peligros.........................................................................................................................
6.2. Mecanismos complementarios...............................................................................................................
6.2.1. Hackers: tribus en la Nueva Economía......................................................................................
6.3. Cómo actúa un Hacker............................................................................................................................
6.3.1. Identificación del objetivo...........................................................................................................
6.3.2. Entrada en el objetivo..................................................................................................................
6.3.3. Recopilación de información de la víctima...............................................................................
6.3.4. Identificación de vulnerabilidades..............................................................................................
6.3.5. Obtención del nivel de acceso apropiado...................................................................................
6.3.6. El ataque ......................................................................................................................................
7. Firewalls y otros sistemas de defensa ...........................................................................................................
7.1. Sistemas de defensa básicos...................................................................................................................
7.2. Tipos de Firewalls...................................................................................................................................
7.3. Funcionamiento de un Firewalls............................................................................................................
7.4. Cuadro comparativo de tipos de Firewalls............................................................................................
7.5. Agujeros de seguridad de un Firewalls .................................................................................................
52
52
53
53
55
57
57
57
58
59
60
62
64
64
65
66
66
67
68
68
68
69
69
69
69
69
70
72
72
74
74
75
75
75
76
76
77
77
79
80
82
83
7.6. Sistemas de defensa añadidos ................................................................................................................
7.6.1. Detección de intrusos..................................................................................................................
7.6.2. Seguridad de contenidos.............................................................................................................
7.6.3. Honey Pots...................................................................................................................................
7.6.4. IP Tunneling ................................................................................................................................
8. Correo electrónico seguro .............................................................................................................................
8.1. Agentes....................................................................................................................................................
8.2. Riesgos de privacidad y seguridad ........................................................................................................
8.3. Herramientas de seguridad ....................................................................................................................
8.3.1. Soluciones ....................................................................................................................................
8.3.2. S/MIME.......................................................................................................................................
8.3.3. PGP ..............................................................................................................................................
8.3.4. OpenPGP .....................................................................................................................................
8.4. Configuraciones de seguridad corporativas..........................................................................................
8.4.1. Pasarela o Firewalls de seguridad ................................................................................................
8.4.2. Seguridad en e-mail en cliente ....................................................................................................
8.4.3. Servicio de e-mail seguro basado en web...................................................................................
8.5. Privacidad del correo electrónico en la empresa ..................................................................................
9. Seguridad en el e-commerce.........................................................................................................................
9.1. La evolución del e-commerce................................................................................................................
9.2. Seguridad en las Bases de datos del e-business ...................................................................................
9.3. Soluciones de seguridad .........................................................................................................................
9.3.1. El círculo tecnológico de seguridad...........................................................................................
9.3.2. La confianza on-line ...................................................................................................................
9.3.3. Medios de pago en Internet ........................................................................................................
9.3.4. Protocolos seguros.......................................................................................................................
9.3.4.1. El protocolo SSL .............................................................................................................
9.3.4.2. El protocolo SET ............................................................................................................
9.3.5. Últimas realidades en pago seguro ............................................................................................
9.4. Soluciones a la carta ...............................................................................................................................
9.5. Ejemplo de un e-commerce seguro.......................................................................................................
9.6. Ejemplo de seguridad en un servicio e-business multiagente .............................................................
9.7. ASP (Application Service Provider) ......................................................................................................
10. Movilidad y m-Commerce ............................................................................................................................
10.1. La internet wireless................................................................................................................................
10.2. Pasado, presente y futuro en telefonía móvil.......................................................................................
10.3. Tecnologías wireless..............................................................................................................................
10.3.1. Comunicaciones wireless seguras.............................................................................................
10.3.2. Tecnologías wireless ..................................................................................................................
10.4. El m-commerce: un mercado emergente .............................................................................................
10.5. Vulnerabilidades de seguridad..............................................................................................................
10.6. Soluciones de seguridad en dispositivos móviles ................................................................................
83
83
84
86
86
86
86
87
88
89
89
90
91
92
92
92
92
93
94
94
95
97
97
97
98
99
99
101
102
102
103
105
107
107
107
108
109
109
109
112
113
114
11. Protección de datos personales. Medidas técnicas.........................................................................................
11.1. La adecuación de los ficheros y la empresa..........................................................................................
11.2. La auditoría técnica ...............................................................................................................................
11.2.1. Objetivos y fases de trabajo........................................................................................................
11.2.2. Los ficheros, los Sistemas de Tratamiento y los recursos ........................................................
11.2.3. Un ejemplo práctico: un despacho profesional con Sistemas de Tratamiento
de acceso remoto .........................................................................................................................
11.2.4. Control de acceso ........................................................................................................................
11.2.5. El registro de Accesos de nivel alto ...........................................................................................
11.3. Resumen de medidas técnicas...............................................................................................................
11.4. Soluciones informáticas para la protección de datos personales ........................................................
PARTE III. MARCO JURÍDICO
1. Los componentes de la seguridad jurídica en un entorno TIC´s.................................................................
1.1. Aproximación al concepto de seguridad...............................................................................................
1.2. Los componentes de la seguridad jurídica en un entorno TIC’s. .........................................................
1.2.1. Confidencialidad/privacidad.......................................................................................................
1.2.2. Integridad y autenticidad (o autenticación). ..............................................................................
1.2.3. Disponibilidad. ............................................................................................................................
1.2.4. No repudio: prueba en juicio. .....................................................................................................
1.3. El entorno seguro.....................................................................................................................................
1.3.1. Políticas preventivas ex–ante......................................................................................................
1.3.2. Políticas correctivas ex-post: “las auditorías de seguridad”.....................................................
2. La privacidad: protección de datos personales.............................................................................................
2.1. La regulación en España. .......................................................................................................................
2.1.1. Objeto y ámbito. ..........................................................................................................................
2.1.2. Los derechos de los afectados. ...................................................................................................
2.1.3. El consentimiento de los afectados. ...........................................................................................
2.1.4. Las medidas de seguridad. .........................................................................................................
2.1.5. La Agencia de Protección de Datos (A.P.D.).............................................................................
2.1.6. La legalización de ficheros. ........................................................................................................
2.2. La protección de datos personales en un entorno e-Commerce..........................................................
2.3. Un ejemplo práctico: adaptación de un entorno empresarial a la normativa sobre protección
de datos personales. ................................................................................................................................
2.4. Once respuestas que lo aclaran todo sobre la protección de datos de carácter personal ...................
2.5. Lo que todo empresario debe saber sobre protección de datos personales.........................................
3. La fiscalidad en el marco de las nuevas tecnologías. ...................................................................................
3.1. Las TIC’s, una nueva forma de relación entre los contribuyentes y Hacienda ...................................
3.1.1. Planteamiento ..............................................................................................................................
3.1.2. La fiscalidad en Internet: problemas y oportunidades..............................................................
3.2. La nueva fiscalidad .................................................................................................................................
3.2.1. Impuestos directos.......................................................................................................................
3.2.2. Impuestos indirectos ...................................................................................................................
3.3. Los incentivos fiscales para fomentar la investigación y el desarrollo y la aplicación
de las innovaciones tecnológicas ...........................................................................................................
115
115
116
116
117
119
121
121
122
123
125
125
126
126
129
131
132
134
134
135
137
137
137
138
141
143
146
149
150
151
153
160
163
163
163
163
171
171
175
181
4. Nombres de dominio ......................................................................................................................................
4.1. Concepto e historia .................................................................................................................................
4.2. Operativa del sistema .............................................................................................................................
4.3. Nuevos TLDs (Top Level Domain) para Internet.................................................................................
4.3.1. La creación del dominio de nivel superior de Internet .eu .........................................................
4.4. Gestión y proceso de registro en el dominio de primer nivel .es.........................................................
4.4.1. La regulación en España del registro de nombres adscritos
al dominio de primer nivel .es. La actualización en julio 2001................................................
4.4.2. Protocolo para el registro de nombres bajo el dominio .es.......................................................
4.5. La solución de conflictos........................................................................................................................
4.5.1. El procedimiento del ICANN.....................................................................................................
4.5.2. El procedimiento según la legislación española........................................................................
4.6. Aproximación práctica a los nombres de dominio ...............................................................................
5. Propiedad intelectual......................................................................................................................................
5.1. La intersección de la propiedad intelectual y las TIC’s........................................................................
5.2. La regulación legal de la propiedad intelectual ....................................................................................
5.2.1. Marco legal ..................................................................................................................................
5.2.2. Dos grandes sistemas de protección ..........................................................................................
5.3. Piratería intelectual.................................................................................................................................
5.3.1. Piratería informática...................................................................................................................
5.3.2. El downloading de archivos D.V.D.............................................................................................
5.4. Checklist para prevenir agresiones contra la propiedad intelectual de
los contenidos de una página web .........................................................................................................
6. La contratación en el ámbito de las nuevas tecnologías ..............................................................................
6.1. El estado de la cuestión ..........................................................................................................................
6.2. La normativa europea: directiva 2000/31 C.E., de 8 de junio de 2000...............................................
6.3. La regulación del comercio electrónico en España ..............................................................................
6.4. El Real Decreto 1906/99 por el que se regula la contratación telefónica electrónica
(B.O.E. 313/1999)....................................................................................................................................
6.5. La ley de servicios de la sociedad de la información y del comercio electrónico (LSSI).
Ley 34/2002 ...........................................................................................................................................
6.5.1. Circunstancias y evaluación de la ley ........................................................................................
6.5.2. Objeto...........................................................................................................................................
6.5.3. Ámbito de aplicación ..................................................................................................................
6.5.4. Derechos de los usuarios y obligaciones de los prestadores (responsabilidad).......................
6.5.5. Síntesis del contenido de la LSSI ...............................................................................................
6.5.6. Infracciones y sanciones .............................................................................................................
6.6. Caso yahoo!! Francia..............................................................................................................................
7. La firma electrónica .......................................................................................................................................
7.1. La firma electrónica como factor de seguridad tecnológica y jurídica ...............................................
7.2. Autoridades de certificación en España (A.C.):....................................................................................
7.3. Aproximación jurídica............................................................................................................................
194
194
195
196
198
200
201
202
205
205
209
210
213
213
218
219
220
220
221
222
222
224
224
225
226
226
227
227
230
231
232
233
235
235
237
237
240
245
7.4. Cuestionario básico para aclarar los principales conceptos.................................................................
7.5. La firma electrónica aplicada al ámbito registral de la fe pública.......................................................
7.5.1. El sistema e-notario ....................................................................................................................
7.6. Sociedad limitada nueva empresa..........................................................................................................
7.6.1. Régimen jurídico de la SLNE ....................................................................................................
7.6.1.1. Denominación social (Artículo 131)...............................................................................
7.6.1.2. Objeto social (Artículo 132)...........................................................................................
7.6.1.3. Requisitos subjetivos y unipersonalidad (Artículo 133) ................................................
7.6.1.4. Requisitos constitutivos (Artículo 133) ..........................................................................
7.6.1.5. Capital social y participaciones sociales (Artículos 135 y 136) ..................................
7.6.1.6. Acreditación de la condición de socio (Artículo 137) ..................................................
7.6.1.7. Órganos sociales (Artículo 138 y 139) ...........................................................................
7.6.1.8. Modificaciones estatutarias (Artículo 140) ...................................................................
7.6.1.9. Cuentas anuales (Artículo 141).......................................................................................
7.6.1.10. Disolución (Artículo 142) .............................................................................................
7.6.1.11. Transformación (Artículo 143) .....................................................................................
7.6.1.12. Continuación de operaciones en forma de sociedad de responsabilidad limitada
(Artículo 144)................................................................................................................
7.6.2. El documento único electrónico (due) .......................................................................................
7.6.2.1. Procedimiento para la asignación del código id-circe y su solicitud en los procesos
de tramitación no telemática .........................................................................................
7.6.2.2. Real decreto 682/2003 de 7 de junio por el que se regula el sistema de tratamiento
telemático. .....................................................................................................................
7.6.3. Elementos diferenciales de las SLNE con respecto al régimen general de las SRL:..............
7.6.4. Medidas fiscales aplicables a la sociedad limitada nueva empresa..........................................
7.6.5. Responsabilidad de los administradores....................................................................................
7.6.6. Modelo estandar de estatutos sociales de la Sociedad Limitada Nueva Empresa ..................
8. Delitos en Internet y su prevención...............................................................................................................
8.1. Delitos transfronterizos versus derechos locales ..................................................................................
8.2. Las normas de conflicto en el derecho penal ........................................................................................
8.2.1. Criterios para determinar la jurisdicción competente...............................................................
8.2.2. Criterios para determinar la ley aplicable..................................................................................
8.3. La tipificación de delitos relativos a las TIC’s en el código penal español .........................................
8.3.1. Delitos en relación con la pornografía.......................................................................................
8.3.2. Descubrimiento y revelación de secretos...................................................................................
8.3.3. Delitos de injuria y calumnia con publicidad............................................................................
8.3.4. Delitos relacionados con instrumentos tecnológicos para la manipulación
de accesos y/o contenidos ...........................................................................................................
8.3.5. Delitos relativos a fluidos, radiaciones y emisiones..................................................................
8.3.6. Daños en programas o ducumentos electrónicos, soportes
o sistemas informáticos ..............................................................................................................
8.3.7. Delitos por agresión a la propiedad intelectual .........................................................................
8.4. Los diez delitos y fraudes más usuales en Internet ..............................................................................
247
248
249
250
252
253
253
253
253
253
254
254
254
254
254
254
255
255
256
258
260
261
263
264
271
271
272
272
273
273
275
276
281
282
282
284
284
286
Entorno: riesgos y oportunidades
11
PARTE I. ENTORNO: RIESGOS Y OPORTUNIDADES
1. Evolución del proceso de adaptación de las Tecnologías de la Información y de
las Telecomunicaciones (TIC’s)
Por poner un punto de arranque próximo podríamos situar el origen del proceso a caballo entre finales de la década de los ochenta y principio de la década de los noventa, cuando se producen tres
fenómenos complementarios aunque de distinta naturaleza.
a) Internet supera los estrictos ámbitos en que se gestó e incubó durante los años sesenta
a ochenta; el militar y el académico y aterriza en el mundo económico, la sociedad y la
empresa.
b) Desarrollo y masiva implantación de la informática monopuesto y de los softwares
standars de aplicaciones; office, windows en sus diferentes versiones.
c) Masivo uso de la telefonía móvil.
Estos tres fenómenos comienzan a interrelacionarse entre sí y con otros medios y técnicas;
T.V., transmisión de contenidos por cable (fibra óptica) desarrollo de la tecnología wireless, etc.,
hasta propiciar la eclosión de lo que dio en llamarse LA BURBUJA TECNOLÓGICA que desbordó con mucho el estricto ámbito técnico y anegó sin mesura diferentes entornos; economía, finanzas, sociedad, educación, etc. Al rebufo de esta corriente se configura el Nasdaq como mercado de
cotización de las empresas TIC’s; en donde cotizan, las empresas de comunicaciones, las de tratamiento de información, las tecnológicas y las de contenidos. Llegados a este punto puede resultar
ilustrativo hacer una breve historia de Internet desde sus orígenes hasta nuestros días.
“Para hablar de los orígenes de Internet nos tenemos que remontar a los años 60. En
1965, Roberts, investigador de la agencia americana ARPA (Agencia de Proyectos de Investigación Avanzada para la Defensa) conectó un ordenador en Massachusetts con otro en California
a través de una línea telefónica conmutada de baja velocidad, creando de este modo la primera
(muy reducida, eso sí) red de ordenadores de área amplia. La idea y el resultado fueron excelentes, pero el sistema telefónico resultó inadecuado. Un a año más tarde, Roberts confeccionó,
a partir de su proyecto inicial, otro mucho más ambicioso «ARPANET». El objetivo era conectar entre sí los principales ordenadores militares de los Estados Unidos, de forma que, en caso
de ataque nuclear contra uno o varios centros de mando, las valiosas informaciones militares se
pudiesen seguir utilizando desde los ordenadores aún intactos. Así nació ARPANET, que constituyó el núcleo de lo que hoy conocemos como Internet. Durante años el acceso a ARPANET
estuvo muy limitado: militares, contratistas de Defensa y universidades interesadas en temas
de Defensa eran los usuarios. A finales de los 70 surgieron otras redes para dar servicio a las
universidades, UUCP, UNIX y USENET y en la década siguiente en EE.UU. ya había redes que
daban cobertura a todo el país, como CSNET y BITNET. En 1986 tuvo lugar el nacimiento de
NSFNET (red de la Fundación Científica Nacional) que poco a poco fue sustituyendo a ARPANET en el trabajo de redes de investigación. Cada vez más ordenadores se fueron uniendo a
NSFNET, primero comunidades científicas, más tarde redes comerciales y por último ordenadores domésticos. Esto unido al desarrollo, en 1985, de la famosa World Wide Web por parte de
especialistas del Centro Europeo de Investigación Nuclear (CERN) con TIM BERNERS LEE a
la cabeza supuso una revolución que culminó en lo que hoy conocemos como Internet.
El nuevo mercado responde a otros criterios económico/financieros, diferentes de los tradicionales y se elaboran índices de rentabilidad de maduración de inversiones, de evaluación del
riesgo también distintos. En ese entorno se define el ratio EBITDA como índice de rentabilidad.
La moda desborda al mercado financiero estrictamente americano y se replica en el resto de los
mercados financieros evolucionados, principalmente Europa y Sudeste Asiático. Más adelante
12
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
tendremos ocasión de entrar en el debate de los planteamientos financieros y de evaluación del
riesgo en el entorno TIC. Por ahora nos basta con concluir que el sector TIC’s no es tan diferente
del resto de sectores económicos, las dos variables que los diferencia son:
- Las empresas TIC’s se mueven en entorno de mayor incertidumbre; lo cual implica
MAYOR RIESGO.
- Las empresas TIC’s evolucionan a más velocidad, lo cual implica menores ciclos de
maduración y en definitiva mayor incertidumbre.
A modo de ejemplo podemos citar el plazo que necesitaron diversas tecnologías para alcanzar en el mundo los 50 millones de usuarios.
TECNOLOGIA
PERIODO
Nº AÑOS
RADIO
1922/60
38
TELEFONO
1920/45
25
T.V.
1951/64
13
T.V. CABLE
1976/86
10
INTERNET
1993/98
5
Y ya que entramos en algunas cifras no estaría demás reflejar algunos parámetros claramente ilustrativos de la fuerza del fenómeno que estamos analizando: Un aviso, los datos continúan
siendo válidos a pesar del “parón tecnológico”:
La Red en cifras
· Cada minuto se crea un nuevo sitio web.
· Cada segundo se conectan siete nuevos usuarios.
· El tráfico se dobla cada cien días.
· Cuesta cuatro veces más trasmitir datos sobre redes convencionales que sobre
Internet.
· Una empresa de Internet puede recorrer en un año el camino que una compañía tradicional realiza en siete años.
· Forrester Research estima que el volumen de comercio electrónico en Estados
Unidos será de un billón y medio de dólares. Esto representará un 13% del
PIB del país.
Fuente: Booz, Allen & Hamilton.
• El fin de una ilusión: revienta la “burbuja tecnológica”.
Todo marchaba a pedir de boca hasta que en la primavera del año 2000 se producen una serie de
circunstancias que provocan un frenazo en el frenesí económico/tecnológico y da origen a la primera crisis en la evolución del nuevo sector. Con la perspectiva que da el tiempo transcurrido podemos concluir que las principales causas que propiciaron el cambio de ciclo son las siguientes:
a) Fracaso de la tecnología wap que defraudó entre los usuarios las expectativas con que
había sido anunciado.
Entorno: riesgos y oportunidades
13
b) Excesivo coste de licitación de las licencias por parte de las compañías operadoras, lo
que propició costes elevados de conectividad para los usuarios y drástica reducción de
los márgenes esperados por estas compañías.
c) Coste excesivo para los usuarios, tanto de conexión como de equipamiento (innovación
tecnológica, ley de Moore).
d) El acceso masivo al consumo de las TIC’s por parte de millones de usuarios puso de
manifiesto la desprotección del uso de las TIC’s en términos de INSEGURIDAD en su
doble apreciación; tecnológica y jurídica. En este sentido podríamos decir que la desconfianza sigue lastrando el desarrollo e implantación de Internet a nivel de los usuarios.
e) Por último, pero no lo último, el cambio de ciclo económico general que se inició con
la recesión económica en U.S.A de la que parece que comienza a salir a mediados de
2002, a pesar, o quizás gracias a la tragedia del 11-S.
A pesar de todo hoy Internet dispone de 125 millones de usuarios y presenta una tasa de crecimiento permanentemente desmesurada. La aplicación estrella es sin duda el e-mail utilizado por
el 50% de los usuarios europeos y el 44% de los americanos. El índice para España es del 60% y el
93’6% de los usuarios españoles disponen de una dirección particular de correo electrónico. Todo
ello ha propiciado por ejemplo y a los efectos de patentizar la transcendencia del invento que en la
fatídica jornada del 11-S/2001 el e-mail se rebeló como el medio estrella de comunicación entre
gobiernos, empresas y particulares. Y ya que hemos llegado a la fecha trágica no estaría de más
que nos detuviéramos a analizar su influencia sobre el sector de Nuevas Tecnologías.
No parece razonable hablar de CRISIS en lo relativo a las nuevas tecnologías a pesar del reventón de la burbuja tecnológica acaecido hace dos años y en este sentido cabe decir que Internet
comienza a estar presente en empresas y hogares a una velocidad más que aceptable. En mi opinión, el mercado se encuentra en una situación que ya hubiéramos querido tener a finales de los
años 80 o principios de los 90, cuando comenzaban proyectos en una Red que todavía no era tal.
Son muchos los que han tratado de enmascarar el fracaso de sus proyectos empresariales en
una crisis inventada. A lo largo de estos dos años, se han presentado como estratégicos proyectos
triviales perfectamente reproducibles por cualquiera. La criba actual no sólo tiene inconvenientes;
también aporta sanas ventajas. Una de ellas es que todos los que, en su día, se acercaron a Internet
sólo para hacer «dinero fácil» huyen ahora en desbandada.
A pesar de todo algo ha venido a enturbiar los últimos meses la previsión del desarrollo
TIC’s en términos de “Tierra Prometida” desde la perspectiva económica y así podemos decir que
para el caso español el número de internautas españoles no está creciendo al ritmo esperado y aleja a nuestro país de la media europea.
Internet no pasa por su mejor momento en España. Si en 2000 el número de nuevos
internautas alcanzó los 2,65 millones, el año pasado sólo fueron 1,9 millones los recién llegados
a la red. Teniendo en cuenta que las previsiones para 2001 eran que esta cifra sobrepasara los tres
millones, algo está fallando en el ritmo de crecimiento del medio.
“Hemos tenido un descenso importante a partir del segundo trimestre de 2001, fecha en la
que se empieza a generalizar la decepción en todo el sector de las nuevas tecnologías y, especialmente, en las empresas puntocom”, explica Miguel Pérez Subías presidente de la Asociación de
Usuarios de Internet, (AUI).
Una de las explicaciones del parón es el bajo número de ordenadores que se utilizan en España. Este soporte continúa siendo el principal instrumento para conectarse, dada la lentitud en
la implantación de otros medios, como la televisión interactiva y las nuevas tecnologías móviles,
según los expertos.
14
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
El número de Internautas españoles es de 7,38 millones, lo que supone el 21,2% de los ciudadanos mayores de catorce años, según los datos del EGM de octubre y noviembre de 2001. Para
2002, “el crecimiento del número de usuarios se prevé en torno al 8%, lo cual nos llevará a tener a
finales de año un 30% de españoles que utilicen habitualmente Internet”, afirma Pérez Subías.
Con respecto a Europa, España ocupa el puesto número catorce, alejada de la media, que
es ya de un 36% de internautas. “Las distancias con los países de nuestro entorno han crecido en
2001, lo que debería hacer reflexionar a los agentes implicados”, opina Pérez Subías.
• El número de usuarios de Europa Occidental ha superado al de Estados Unidos.
Esta situación contrasta con los últimos datos de la consultora IDC, que indican que por primera
vez en la historia, el número de usuarios de Europa Occidental –29,8% del total mundial-, supera
al de Estados Unidos –29,2%-.
Número de internautas en España
En millones
Feb.-mar. 99
Abr.-may. 99
Oct.-nov. 99
Febr.-mar. 00
Abr.-may. 00
Oct.-nov. 00
Feb.-mar. 01
Abr.-may. 01
Oct.-nov. 01
2.01
2.44
2.83
3.35
3.94
5.48
6.89
7.07
7.18
En cuanto al comercio on-line en España, su desarrollo también se está viendo limitado por
el parón del número de usuario, pero según un estudio realizado por la Asociación Española de
Comercio Electrónico y la consultora Eyeglue, movió 172 millones de euros durante la pasada Navidad (Dic. 2001) -en B2C-, un 79% más que en 2000, por lo que se puede ser optimista.
España continúa por debajo de la media europea en cuanto a uso de Internet en todos los
ámbitos, según constata el balance final sobre el plan de acción «e-Europe» (2000-2002), presentado por la Comisión Europea. El informe advierte además de una ralentización en el proceso de
implantación en la Unión Europea (UE) de las tecnologías de la información, así como del riesgo
de que se produzca una fisura digital entre los países del norte y los del sur.
En cuanto al uso doméstico de Internet, el informe establece en un 37,7 por ciento la media
europea de hogares que dispone de acceso a la Red, mientras que el porcentaje en España se sitúa
en un 25 por ciento. Este dato influye de manera directa en el desarrollo del comercio electrónico,
mucho menor en España.
La recuperación. A mediados de 2002 todo parece apuntar a un nuevo cambio en la tendencia, esta vez en positivo, una vez se ha absorbido el “pinchazo de la burbuja tecnológica” junto a
la aplicación práctica de nuevos desarrollos tecnológicos y nuevas estrategias y logística para diseñar interacción entre tecnología y contenidos. En este sentido los visitantes que acudieron a la
CeBIT de Hannover, el mayor escaparate tecnológico del mundo, tuvieron ocasión de comprobar,
entre muchas otras cosas, que la telefonía móvil de tercera generación no se encuentra precisa-
Entorno: riesgos y oportunidades
15
mente a la vuelta de la esquina. Es cierto que este año ya se han exhibido modelos reales, en lugar de prototipos, que han demostrado de forma espectacular sus capacidades multimedia, pero
todo parece indicar que los primeros móviles no estarán en el mercado hasta finales de 2003. El
despegue no se producirá, según, PricewaterhouseCoopers, hasta el 2004, año en el que se calcula
que habrán en España 29 millones de móviles y un 6,8% serán UMTS. Este dato contrasta con el
compromiso adquirido entre los operadores y el Ministerio de Ciencia y Tecnología para realizar
el lanzamiento de esta tecnología el próximo 1 de junio. Tal vez esta red de telecomunicaciones
sea una realidad de aquí unos meses, pero sin duda no habrán suficientes terminales en el mercado (por: el momento, tan solo Motorola fabrica un terminal tercera generación) y mucho menos,
una oferta de servicios suficiente para esta tecnología. Las fuertes inversiones realizadas por los
operadores sólo pueden entenderse si tenemos en cuenta será el gran motor que impulsará el sector cara al siglo XXI. Un mercado que en Europa representará más de 156.000 millones de dólares, según la consultora JP Morgan, y en que España tendrá una cuota del 10 por ciento: por otra
parte, los servicios de voz aportarán cada vez menos ingresos a los operadores, hasta convertirse
tan sólo en la mitad del negocio. El resto lo ocuparán los; contenidos, las aplicaciones y los servicios de valor añadido, un área de negocio en la que las principales firmas se apresuran a tomar
posiciones. De hecho, el mercado se encuentra próximo a la saturación en cuanto a número de
móviles, pero la aparición de nuevos servicios permitirá incrementar su uso y renovar los modelos
existentes. Mientras, las tecnologías “puente” 2,5G- se convierten en una alternativa disponible
por la que apuestan cantidad de modelos presentados en CeBIT. Qué duda cabe que los operadores
con licencia GSM intentarán amortizar el coste de la transición al UMTS con tecnologías GPRS o
EDGE. El fracaso del WAP y el éxito del i-mode japonés se han convertido en dos lecciones complementarias, muy a tener en cuenta a la hora de tener éxito con servicios de nueva generación:
sencillez de uso, un precio asequible y estar permanentemente conectados. A pesar de los modestos 40 kilobits por segundo del GPTD –frente a los 2 Mbps del UMTS– hay quién afirma que esta
tecnología pude hacer sombre a la telefonía de tercera generación con un nuevo tipo de mensajería
capaz de enviar imágenes, vídeo, sonido y texto: el Multimedia Messaging Service o MMS. Esta
es la razón por la que los stands del CeBIT se han llenado de modelos con cámara incorporada.
Tras el chat y el MP3, la imagen es el próximo reto. Para verla en movimiento, eso sí, habrá que
esperar al UMTS. Con esta tecnología accederemos a servicios parecidos a los que podemos encontrar hoy en internet, solo que, en lugar de minutos, tardaremos tan sólo segundos en encontrar
lo que estamos buscando.
1.1. La convergencia de la información con las telecomunicaciones
Algo desconcertante está aconteciendo en la evolución de las sociedades avanzadas (quizás también en las que no son tan evolucionadas) y como consecuencia también en nuestras vidas, se conoce como el fenómeno de las Nuevas Tecnologías, que en síntesis supone la convergencia entre
las técnicas de tratamiento de la información (I) y las técnicas de comunicar dicha información
(C). Por eso, de entre todas las posibles denominaciones del fenómeno a mí la que más me gusta es
la de Tecnologías de la Información y de las Comunicaciones, en acróstico TIC’s, que será la simplificación que utilizaremos con mayor frecuencia para referirnos al fenómeno que nos ocupa.
Una vez sintetizada su naturaleza resulta imprescindible hablar de su evolución. No es muy
conocido a nivel de divulgación pero, desde hace décadas, se conoce y se viene cumpliendo hasta la fecha la llamada Ley de Moore que en síntesis enuncia un fenómeno evolutivo, que se viene
cumpliendo religiosamente, en los siguientes términos: “cada 18 meses (un año y medio ni más ni
menos) la capacidad y eficiencia de la tecnología se multiplica por dos y además su coste se divido
por dos”. Quiere ello decir, y repito que no se trata de una mera especulación sino de un fenómeno
sobradamente contrastado, que cada 18 meses, el potencial coste/prestación de las TIC’s se multiplica por 4, a lo que resulta equivalente; cada 3 años el índice evoluciona por un multiplicador 8 y
en los últimos 15 años, el multiplicador ha resultado ser de magnitud (relativa) de 40.
16
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Otro parámetro altamente ilustrativo de la velocidad de cambio que impulsa el fenómeno
que nos ocupa es el de “factor multiplicador de una tecnología” (F.M.T.) concepto atribuido a Miquel Barceló, profesor de Informática en la Universidad Politécnica de Catalunya de Barcelona,
quien lo define como; “número de veces que una tecnología concreta es capaz de mejorar la función u objetivo que le ha sido asignado”. Así por ejemplo:
· El automóvil desplaza personas a 90 Km./h., cuando antes estas personas se desplazaban a pié a 6 Km./h.: 90/6 = 15. Podemos concluir que el automóvil supuso en su día
un FMT de 15.
· Avión a reacción: 900 Km./h. / 6 km./h. = 150 FMT.
· Informática; permite reducir tareas y cálculos de 1 segundo a una millonésima de
segundo: FMT = 1.000.000.
· Telecomunicaciones, por la misma razón; FMY = 1.000.000.
· Las TIC’s, como convergencia de los dos casos anteriores consiguen un FMT de 1
billón de unidades.
Esta es la enorme fuerza y el enorme potencial del fenómeno TIC que consigue una nueva
dimensión, un cambio de escala en la forma de relación del individuo con su entorno.
Pero no todo se reduce a una mera convergencia tecnológica. Aquí y ahora todo (lo positivo)
debe ser capaz de converger. Vivimos la era de la asertividad (del yo) en términos de autoestima,
de proactividad entre individuos (en términos de integración del individuo en el grupo/s) que no
es ni más ni menos que una nueva reformulación del término cooperación o colaboración. Y esta,
aparentemente nueva, exigencia social (por no decir de la especie humana) es a la vez causa y
efecto de la evolución de las TIC’s. En este punto del discurso puede resultar hasta curioso aportar
el enfoque de Lawrence Lessing, abogado americano y profesor de la Universidad de Harvard, respecto de la relación tecnología/regulación jurídica del entorno definido por una determinada tecnología o modo de hacer las cosas (“modus ad quo”). Su tesis plasmada en su famosa obra “Code
and other laws of the cyberspace” editorial xxx;) se resume en la siguiente hipótesis suficiente y
científicamente contrastada en opinión del citado autor:
“El Código, entendido como el conjunto de instrucciones que consiguen que el ciberespacio
funcione, condiciona y define la regulabilidad de la Red”.
Con todos mis respetos a tan reconocido estudioso y profesional de la materia, me veo en la
obligación de señalar que:
a) La originalidad del modelo de inferencia no es de L. Lessig sino del Método del Materialismo Histórico desarrollado por Marx y Engels en la segunda mitad del S. XIX y que
fue tan brillantemente cuestionado “a sensu contrario” por la tesis de Max Weber unas
décadas más tarde.
b) Como consecuencia de la formulación de Marx y la contestación de Weber, sin que
un siglo más tarde los pensadores se hayan puesto de acuerdo sobre el particular, cabe
concluir sin ánimo de sesgar la polémica teórica, que si bien es cierto que el “Código”
(concebido como el conjunto de protocolos y estructuras que permiten el funcionamiento de la red) condiciona las posibilidades de su regulación, no por ello es menos
cierto lo contrario; el modelo de regulación condiciona a su vez un determinado tipo
de “Código”.
Según la tesis de Lessig en el espacio virtual las posibilidades vienen marcadas y predefinidas por el software de código, es decir por la arquitectura. La regulabilidad (la seguridad en definitiva) depende del código y viceversa. En su opinión, aún sin la colaboración del Estado, la Red
se irá desplazando paulatinamente hacia una ARQUITECTURA DE CONTROL, presionada por
las propias exigencias del e-commerce. Esta afirmación es la que da pié a pensar que en la tesis
Entorno: riesgos y oportunidades
17
de Lessig coexisten la tesis y la antitesis antes señaladas. La Arquitectura de control se plasma
en: passwords, cookies, certificados digitales, criptografía y en Sistemas Globales de Vigilancia
(COMMINT). La arquitectura actual dificulta la regulabilidad y al Estado le resulta relativamente más fácil regular la propia Arquitectura; “los autores de código son cada vez más creadores de
leyes, es decir legisladores”. Para terminar sintetizamos las causas que, en su opinión, están impulsando el proceso;
a) Como ya se ha dicho, la implantación del e-commerce. Como dice Zane Ryan de RSL
Iberica; “sin e-confianza, no habrá e-negocios”.
b) La dicotomía globalización/antiglobalización.
c) La situación internacional generada tras el 11-S.
d) La estrategia internacional contra el terrorismo.
1.2. La digitalización y sus efectos
En este punto de la disquisición cabe incorporar una técnica que podría definirse como inamovible y omnipresente en el fenómeno de convergencia tecnológica que nos ocupa; me refiero a la
digitalización. La digitalización se puede sintetizar como la técnica que permite la sustitución de
átomos por bits, la substitución de lo real por lo virtual. Ella aporta elementos fundamentales para
el éxito del modelo, sea éste cual sea; rapidez, economía y fidelidad al modelo. Los dos primeros elementos son de naturaleza cuantitativa y por lo tanto medibles. Por el contrario el tercero de
ellos es cualitativo y en síntesis consiste en la perfecta replicación de los contenidos originales (ya
sean imagen, sonido o audiovisuales) de modo que resulta imposible la distinción entre las copias
y su original.
Vamos a intentar una aproximación comprensible sobre las repercusiones que la digitalización
proyecta sobre el ámbito de la seguridad en el entorno TIC.
Las dos primeras consecuencias/efectos de la digitalización provocan la doble “desubicación” espacial y temporal configurando un nuevo plano relacional que ha dado en denominarse
“realidad virtual”. Este término no es más que un oximorón y como tal no hace más que aportar
confusión e inseguridad en el ámbito de las nuevas relaciones; económicas, sociales, jurídicas, políticas, educativas, etc. ¿Cómo incide este nuevo plano relacional es en la correcta aceptación e
implantación social de las TIC’s? Indudablemente aporta más preguntas que respuestas, más ruido que música. En definitiva genera inseguridad. Esta nueva percepción genera una exigencia a la
regulación jurídica de las nuevas tecnologías (quizás cabría hablar de un Nuevo Derecho, como se
habla de las nuevas tecnologías y hasta de la nueva economía), al tiempo que define las circunstancias que dificultan enormemente la concienciación de respuestas eficaces a las nuevas exigencias.
En este orden de consideraciones y tan sólo a modo de ejemplo podríamos señalar:
a) ¿Cómo es posible compatibilizar un entorno territorial como la U.E. con una rígida
regulación sobre la intimidad y privacidad de los ciudadanos europeos, con la posición
U.S.A. al respecto a partir de una absoluta desregulación legal? La respuesta la encontraremos en el desarrollo de los Códigos Éticos, al modo del acuerdo EU/USA sobre
Protección de Datos Personales conocido como “Safe Harbour”.
b) ¿Cómo adaptar los convenios internacionales sobre Propiedad Intelectual (Comercio de
Berna de 1.886 y sus sucesivas actualizaciones) o la Directiva Europea de la C.E. y el
Consejo sobre el particular a una realidad caracterizada por la desubicación especial?
c) Generalizando la anterior dificultad en relación con la protección de la propiedad intelectual, también cabría preguntarse cómo definir las jurisdicciones civiles y penales y
su legitimación para entender en conflictos reales generados en un espacio virtual.
18
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
A modo de ejemplo citamos el acuerdo alcanzado por una treintena de países, entre ellos
los pertenecientes a la U.E., U.S.A., Canadá, Japón y Sudáfrica, el pasado 23 de noviembre de
2001 en Budapest. Se trata de; “el primer acuerdo internacional contra los delitos en el ciberespacio. El acuerdo alcanzado incluye 48 artículos que han sido objeto de múltiples retoques
y debates políticos durante los cuatro años de trabajo que se han invertido en el proyecto. El
acuerdo es un referente histórico innegable ya que se trata del primer consenso internacional
sobre el tema, aunque no faltan aspectos polémicos. Uno de ellos son los capítulos que atañen
a la privacidad de los usuarios. El segundo, es la aplicación real que harán los respectivos
gobiernos, ya que países como Estados Unidos, tras los ataques terroristas del 11 de septiembre, han anunciado medidas especiales de vigilancia y control sobre Internet”.
El primer acuerdo internacional contra el crimen en Internet se conoce como convencion sobre el ciberespacio y se basa en tres grandes principios:
a) Definir de un mismo modo las prácticas delictivas en Internet. Esta unidad de criterio
es aceptada por todos los países firmantes de la convención.
b) Aceptar, por parte de todos, reglas comunes para los procesos penales que entiendan de
este tipo de delitos.
c) Establecimiento de la suficiente cooperación internacional que funcionará de modo
permanente a través de equipos de control comunes en cada país.
A pesar del hito histórico que supone la firma del acuerdo no todo ha sido fácil y así nos lo
cuenta el Periodista Alex Barnet en La Vanguardia del 24 de noviembre de 2001;
“El consenso alcanzado entre los países no ha sido total. Europa se ha opuesto a la idea
norteamericana de crear una policía sin fronteras para la red. Y las peticiones de Alemania y
Francia para que se prohibiesen todos los contenidos xenófobos y racistas en Internet han sido
aplazadas por Estados Unidos, que ha argumentado el gran valor que su Constitución da a la
defensa de la libertad de expresión. El caso se ha incluido en un protocolo anexo y se debatirá
de nuevo el próximo año”.
El tercero y último efecto de la digitalización antes apuntado el relativo a la fidelidad, por
no decir exactitud, de la copia respecto al original lo que a su vez provoca una necesidad absoluta
de replantear los grandes principios jurídicos en que se basa la regulación de la Propiedad Intelectual. Quizás sea necesario en aras a aportar luz a la actual situación, lanzar una mirada retrospectiva a los orígenes de esta especial regulación jurídica, cuya principal característica consiste en su
relativamente reciente configuración. En efecto, así como el Derecho a la Propiedad en general es
uno de los primeros en su desarrollo y configuración, el tema que nos ocupa no se concreta hasta la invención, desarrollo e implantación de la prensa (el inicio de la llamada Era Guttemberg) y
ello es así porque hasta ese momento no existía “bien jurídico a proteger” por cuanto las copias de
cualquier original era tan costosa y valiosa como éste y quizás los autores tuvieran una especial
predisposición a fomentar las copias controladas de su obra por mor de una mayor difusión en un
entorno de penuria relacional y cultural. El fenómeno de la copia (no cien por ciento fidedigno)
pero rápida y barata propicia el desarrollo del Derecho relativo a la Propiedad Intelectual que desde su origen se desarrolla en una doble dirección que aún hoy en día, cinco siglos más tarde aún,
coexisten a pesar de un lento pero progresivo proceso de aproximación. Por un lado se desarrolla
en el ámbito del “Common Law” el conocido como “copyright” en contraposición posterior con
el más tardío “derecho de autor” que es el eje sobre el que pivota la protección del Derecho a la
Propiedad Intelectual en la Europa continental heredera y tributaria del Derecho Romano. Sirva
esta disquisición como piedra de toque para destacar el hecho de que si la imprenta fue capaz de
provocar semejante desarrollo jurídico que no podemos esperar de la digitalización que no sólo
confunde la copia con el original sino que además convierte el proceso de copiar en más eficaz al
hacerlo más fácil y rápido. En definitiva, mayor calidad a menor coste.
Entorno: riesgos y oportunidades
19
Retomando una perspectiva más elevada podemos detectar la incidencia de la digitalización
en nuestro entorno. En opinión de Manuel Castells Sociólogo de la Universidad de Columbia, el
proceso de digitalización de la tecnología en el ámbito de Internet se caracteriza por:
a) Ha generado una arquitectura abierta y gratuita configurada a partir de redes y nudos.
b) La esencia de Internet es la interacción entre productores y usuarios. Valga como ejemplo la realidad del e-mail.
c) Internet segmenta y discrimina los hábitos y la cultura con mayor fuerza que la cultura
en general. De ahí que se comience a definir la llamada “quiebra generacional”.
d) Variación en los flujos financieros y en los métodos de valoración a partir de la capacidad para generar aceptación en los mercados.
e) Internet acelera la crisis de las organizaciones tradicionales y la aparición de nuevas
organizaciones a partir de intereses comunes. Aparecen nuevos movimientos en torno
a “valores comunes”.
f) Surge la dialéctica entre las Redes Globales (utilizadas por el poder y recientemente
por el anti-poder del terrorismo) y las Redes Locales que son aquellas utilizadas por la
gente normal.
g) A nivel político, los partidos y las organizaciones utilizan Internet, pero a diferencia
de los demás sectores, lo hacen unidireccionalmente, como si de un mero “tablón de
anuncios” se tratara.
La gran potencialidad de Internet en el ámbito político, que es la democracia virtual total y
permanente, no interesa al poder político, porque puede resultar obsesiva y les asusta. En definitiva y en el límite resultaría el asamblearismo permanente, con lo que implica de revolucion
permanente por la imposibilidad de ser controlado.
h) Privacidad: Se deben separar dos planos distintos desde esta perspectiva:
GOBIERNO
Æ
CIUDADANOS
CIUDADANOS
Æ
CIUDADANOS
• INTERNET
• Prohibición gubernamental USA a la ENCRIPTACION SOFISTICADA.
• El sistema carnivor del F.B.I. de vigilancia en prevención del crimen organizado, ha
sido prohibido por el Tribunal Supremo de los EEUU.
• desaparición de la privacidad con internet: Ambos son incompatibles (No se puede
nadar sin mojarse).
Según Castells se puede concluir que Internet es la Nueva Sociedad, a la que incorpora la
novedad de su estructura en “Sociedad Red”.
2. La implantación de las TIC’s en España: aproximación al entorno Internet y al
comercio electrónico
2.1. Actuaciones a favor de la sociedad de la información
En el ámbito institucional, la UE ha sido consciente desde principios de los años 80 de los retos
que planteaba el desarrollo de las nuevas tecnologías. Desde entonces ha multiplicado sus iniciativas en todos los ámbitos de sus crecientes atribuciones, ha logrado dotarse de un marco coherente
y coordinado de actividades impulsoras entre sus Estados miembros (EEMM) y ha propiciado un
ordenamiento jurídico adaptado a las nuevas circunstancias, que ha servido de valioso punto de referencia en las decisiones que han tomado otros países y organizaciones internacionales.
20
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
El Consejo Europeo especial sobre empleo, reforma económica y cohesión social, celebrado
en Lisboa los días 23 y 24 de marzo de 2000 bajo el lema “Hacia una Europa de la innovación y
el conocimiento”, marcó un plazo de 10 años para convertir a la UE en “la economía basada en el
conocimiento más competitiva y dinámica del mundo, capaz de crecer económicamente de manera sostenible con más y mejores empleos y con mayor cohesión social”. Para alcanzar este nuevo
objetivo estratégico de la UE, el Consejo Europeo dispuso que se reuniría cada primavera en una
sesión específica y determinó distintas líneas de acción y metas a llevar a cabo tanto por las Instituciones comunitarias como por los EEMM.
Colateralmente al anterior panorama institucional, se ha ido consolidando en España en el
curso de los últimos años un conjunto de iniciativas en relación con el comercio electrónico por
parte de entidades públicas y privadas. Entre otras muchas pueden citarse las actuaciones de la
Asociación Española de Comercio Electrónico, el Consejo Superior de Cámaras de Comercio, Industria y Navegación, la Fundación para el Estudio de la Seguridad de las Telecomunicaciones,
la Agencia de Certificación Electrónica y, finalmente, la Fábrica Nacional de Moneda y Timbre
– Real Casa de la Moneda, que ha desarrollado el proyecto CERES -Certificación Pública de Transacciones Electrónicas- en colaboración con el Ministerio de Administraciones Públicas y con la
entidad pública empresarial Correos y Telégrafos.
2.2. Aspectos sociales
El núcleo duro del cambio consiste en que se ha evolucionado en la relación entre los individuos y
los grupos con el entorno desde una Estructura Jerarquizada (vertical), pasando por una Estructura
Matricial (horizontal), hasta una Estructura en Red que, tras una primera definición bidimensional
en el plano, ha cobrado volumen y se ha concretado en la famosa GLOBALIZACION (organización a partir de redes sobre esferas).
En opinión de Lluis Mª Pugés, Director General de ESADE; “Cada nuevo paradigma tecnológico comporta una nueva forma de organizar la producción y el trabajo, conceptos estratégicos nuevos y una más compleja internacionalización de las actividades. El resultado operativo
es el siguiente; integración de operaciones internas y externas de la empresa, descentralización,
flexibilidad y rapidez. En el ámbito de la función se detecta un desplazamiento desde las tareas de
poca calificación y repetitivas, hacia aquellas que exigen polivalencia y flexibilidad. Se premia la
capacidad de dirigir personas y equipos y de trabajar con diferentes culturas. El cambio tecnológico exige la formación permanente y se pasa de la “Sociedad de la producción” a la “Sociedad
del Conocimiento”.
Por su parte Barry Wellman, Profesor de Sociología de la Universidad de Toronto ha dedicado su esfuerzo investigador en determinar como las TIC’s (fundamentalmente Internet) han influido en el reforzamiento, supresión o innovación de los modelos standars de relación entre los individuos y los grupos y entre diferentes grupos. A grandes rasgos su conclusión no puede ser más
tajante; realmente estamos ante un nuevo paradigma en el ámbito de la Sociología. Es importante
recordar que ello supone que los sociólogos disponen de un nuevo abanico de realizaciones que
les permite plantear nuevas preguntas y nuevas respuestas. A nivel de detalle con cierta perspectiva, sus conclusiones se pueden concretar como sigue:
a) Los trabajadores tienen más intimidad para realizar su trabajo. Las relaciones entre
compañeros y con los superiores se estructuran de forma global. La gestión de esta
estructura en red, sustituye a las tradicionales en árbol jerárquico o matriciales.
b) Las empresas y corporaciones están menos preparadas para afrontar estrategias en términos de autarquía. Las unidades económicas y organizativas se entremezclan en complejas redes de alianzas e intercambios entre ellos, por encima de consideraciones sobre
la competencia. Algunos tipos de relaciones entre los componentes de una empresa o
sector comienzan a resolverse en el plano virtual, vía videoconferencia.
Entorno: riesgos y oportunidades
21
c) La política de bloques en el comercio y en el Sistema Mundial ha perdido su carácter
monolítico, superando así la dinámica resultante del final de la política de bloques generada al principio de los años noventa. Las redes resultantes han propiciado un incremento de las relaciones entre naciones y zonas comerciales.
Todo ello se ha visto fuertemente alterado, en más o en menos, por la situación surgida tras
los atentados del 11 de septiembre de 2001.
A nivel esquemático, Barry Wellman nos propone la siguiente alteración de patrones relacionales y modelos de estructuras:
Sociedades Basadas
en Grupos Jerárquicos y Matriciales
Sociedades Basadas en Relaciones
(Sociedad Red)
-
Matrimonios seriados y custodia alternativa de
los hijos.
Redes dispersas en el espacio real y virtual.
-
Unidad familiar.
-
Vecindad.
-
-
Organizaciones Voluntarias (Voluntariado).
-
Cara a cara.
-
-
Espacios abiertos.
-
Tiempo libre.
Comunicación pública a través de
computadoras.
Espacios Privados.
-
Unidades de trabajo centralizadas.
-
Organizaciones en red.
-
Trabajo en equipo.
-
Progresar en la profesión.
-
Autarquía.
-
Outsourcing.
-
Fábrica, oficina.
-
Avión, Internet, teléfono, móvil.
-
Adscripción a un grupo.
-
Realización personal.
-
Conglomerados.
-
Alianzas.
-
Enfrentamiento de bloques.
-
Alianzas fluidas y transitorias.
A la vista del anterior resumen, no cabe duda de que algo profundo está cambiando. A pesar
de que en unas sociedades el cambio esté más adelantado que en otras, no cabe sino concluir que
el futuro, si no el propio presente, es diferente.
Una de las primeras dificultades surgidas al abordar el examen de las implicaciones del comercio electrónico reside en la multiplicidad de definiciones. Sin perjuicio de los trabajos en la
OCDE, en el “Estudio de la situación del comercio electrónico en España”, dentro de la Iniciativa
PISTA de la anterior Secretaría General de Comunicaciones, se define el comercio electrónico “en
sentido amplio, como cualquier forma de transacción o intercambio de información comercial basada en la transmisión de datos sobre redes de comunicación, como Internet”.
Incluye, por consiguiente, no sólo la mera adquisición y venta electrónica de bienes, información o servicios, sino también el uso de la Red para las actividades anteriores y posteriores a
la transacción económica.
El comercio electrónico comprende tanto el directo mediante entrega por la Red, en formato digitalizado, de bienes intangibles (comercio online) como el indirecto -pedido electrónico de
bienes tangibles- (comercio offIine). A su vez, puede establecerse una clasificación en función de
los agentes intervinientes. Así se distingue entre las operaciones que se practican entre empresas
(Business to Business o B2B), entre empresas y consumidores (Business to Consumer o B2C) o
viceversa (Consumer to Business o C2B), entre consumidores ((Consumer to Consumer o C2C),
entre empresas y Administraciones Públicas ((Business to Goverment o B2G), etc. Las dos primeras categorías son las más importantes. El comercio electrónico permite la penetración de la globalización económica en las estructuras sociales, lo que autoriza a calificarlo como influir en las
relaciones sociales y económicas. No obstante, su actual importancia mediática no se correspon-
22
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
de con la realidad económica en términos cuantitativos, siendo únicamente destacables sus ratios
de crecimiento.
El comercio electrónico genera, a su vez, dos tipos de tensiones contrapuestas. Por un lado,
es centrípeto, al favorecer grandes concentraciones empresariales y propiciar agrupaciones lingüísticas y culturales de consumidores y usuarios, según diferentes perfiles. Por otro lado, es centrífugo, al otorgar posibilidades de negocio desconocidas a las pequeñas y medianas empresas
(PYMEs) y al provocar una cierta cesión de poder al consumidor final.
El comercio electrónico y, más generalmente, el desarrollo de los servicios de la sociedad
de la información acarrea otras consecuencias económicas. La más destacable es la globalización
económica. Su interacción con la productividad, sobre el empleo y sobre los precios generales de
un país es objeto aún de controversia, apuntando algunas opiniones la expresión “nueva economía” para explicar el nuevo contexto. En cambio, todos los análisis coinciden en sus negativos
efectos redistributivos, tanto a un nivel personal, como sectorial y geográfico, al menos en una primera fase. De ahí la necesidad de promover políticas públicas orientadas a superar dichas barreras,
principalmente en el ámbito educativo, en el mercado laboral, en la utilización activa de las nuevas
tecnologías por parte de las Administraciones Públicas y en la adopción de un marco normativo y
de infraestructuras favorables, con especial atención a las circunstancias de las PYMEs, que favorezca la innovación y la explotación de las nuevas oportunidades de negocios.
Respecto de España, todos los estudios disponibles muestran un rápido crecimiento en la utilización de las nuevas tecnologías, especialmente en el acceso a Internet y en la realización de operaciones de comercio electrónico. Pero siguen siendo comportamientos minoritarios. Asimismo, revelan un elevado grado de desconfianza y una escasa presencia en el tejido productivo; y, cuando la hay,
más reducida es todavía la utilización plena de todas las potencialidades del comercio electrónico.
2.3. Aspectos económicos
2.3.1. La economía digital o nueva economía
Los expertos convienen en que actualmente conviven estrechamente interrelacionados varios tipos
de economías, ninguna por suerte en estado puro, ya que cuando una de ellas se olvida de apoyarse
en las demás los problemas surgen por todas partes.
Las “cuatro economías” como han dado en llamarse y sus elementos identificativos son los
siguientes:
1. ECONOMÍA TRANSNACIONAL. Se caracteriza por el declive del papel del Estado
tradicional a favor de otras estructuras globalizadoras.
FACTOR ESTRATÉGICO: El mercado.
CARACTERÍSTICA: Crecimiento.
2. ECONOMÍA PRODUCTIVA. Es la más “tradicional” de las cuatro y la joya de la corona
de la microeconomía que trabaja hacia la configuración de los agregados macroeconómicos
fundamentales: la inversión y el consumo.
FACTOR ESTRATÉGICO: Productos y servicios.
CARACTERÍSTICA: Innovación y Gestión.
3. ECONOMÍA FINANCIERA. Es como la segunda derivada de la Economía, con todos los
riesgos que conlleva la virtualidad, como término opuesto a la realidad.
FACTOR ESTRATÉGICO: El dinero.
CARACTERÍSTICA: La eficiencia.
4. ECONOMÍA DIGITAL. Como su nombre indica el elemento diferencial es la
digitalización como resultado de la convergencia de las tecnologías de la información
y de las telecomunicaciones.
Entorno: riesgos y oportunidades
23
FACTOR ESTRATÉGICO: El conocimiento.
CARACTERÍSTICA: Aprendizaje y generación de valor añadido a partir de intangibles.
La anterior clasificación es debido a José Cabanelas, profesor del Departamento de Organización de Empresas de la Facultad de Económicas (Universidad de Vigo).
Así definida la ECONOMÍA DIGITAL presenta diversas notas que la caracterizan y la diferencian de las demás formas de “hacer economía”. Podemos destacar por su importancia las siguientes:
a) Se organiza a partir de estructuras flexibles y en red.
b) Efecto apalancamiento sobre las otras economías a través de la creación y difusión del
conocimiento.
c) Nueva consideración del término valor. Hasta ahora el trabajo era un factor considerado como
coste. A partir de la Economía Digital el trabajo queda definido por el conocimiento y como
tal es un Activo de la empresa. Además su uso no genera costes ni amortización, sino que
antes al contrario, el valor de este “nuevo factor” incrementa constantemente su valor.
d) La Economía Digital aporta un nuevo y eficaz canal para la comunicación y relación de negocios, lo que conlleva una importante reducción, sino más, de los costes de transacción.
Las reglas de la economía real son también las reglas de la Nueva Economía. No hay nuevas fórmulas, solamente la adaptación a nuevas circunstancias socioeconómicas. El management ha de saber dirigir la empresa hacia los objetivos y tomar las medidas apropiadas para que
se alcancen: más clientes, más facturación, bottom lines más bajas, etc.
Pese al discurso que encuentra una continuidad entre “vieja” y “nueva”, lo cierto es que el
modelo de negocio ha cambiado, aunque las reglas del juego sigan siendo las de la cuenta de resultados. Muchos mitos del inicio de la era Internet han caído por diversos motivos, entre ellos
la poca importancia de las ventas reales frente a la inversión continuada (Amazon.com), la potencia económica de la publicidad en la red (Yahoo.com) o la creencia de que en Internet no hay
espacio para los segundones y solo el primer (el “First Mover”) acaba controlando el mercado.
La experiencia de los últimos cinco años ha demostrado lo equivocado de estas premisas de negocio. La denominada “crisis de las punto com” ha puesto las cosas en su sitio: Internet no es un
fin de negocio, sino una herramienta más. Un medio que ofrece la oportunidad de no canibalizar
mercados, de liberalizar mercados cautivos o situaciones de monopolios fácticos y de agrandar
el ámbito de negocio a las empresas.
Todo cambia, desde 1996 se ha desarrollado una nueva forma de entender las aventuras empresariales. Al derribar Internet las fronteras espacio-temporales, cualquier empresa
punto.com se convertía en un escaparate accesible desde cualquier lugar en cualquier momento.
El talento emprendedor encontraba financiación a manos llenas de las conservadoras empresas
de capital riesgo que, por primera vez, confiaban sin reparos en iniciativas con fondo tecnológico. Las punto com se convierten, además, en un fenómeno social. Apenas tienen gastos de infraestructura fuera de lo propiamente tecnológico, sus empleados rara vez superan la media de los
27 años de edad y los sueldos –altísimos- que cobran dependen en un gran porcentaje del valor
que alcancen las acciones. De hecho, antes de que una punto com esté totalmente perfilada ya
se empieza a pensar en su salida a bolsa. Paralelamente, las empresas tradicionales ven el potencial de la Red como un nuevo canal de distribución y, con la banca y los medios de comunicación a la cabeza, comienzan a desarrollar sus planes de adaptación a la nueva lógica que propone
Internet. Para ello necesitan sangre nueva y empieza entonces la sucesión ininterrumpida de adquisiciones y fusiones entre empresas de la vieja economía y punto coms que poseen ideas, genio y visión. Como ejemplos, la megafusión entre Time Warner y America On Line y la compra
de la argentina Patagon y del buscador Olé! Por parte del BSCH y Telefónica, respectivamente.
Y así hasta límites insospechados, hasta que la burbuja tecnológica estalló el pasado verano (año
2000) en las manos de quienes la habían alentado.
24
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
La primera baja conocida fue en julio de 2000. Boo, una empresa británica dedicada a la distribución de ropa exclusiva cerraba sus puertas virtuales. El baile de quiebras comenzó entonces
en Estados Unidos con las crisis de Kozmo.com, Egghead.com, Emusic, Drugstore.com o Travelocity entre otras. Entre diciembre de 1999 y julio de 2000 los despidos contabilizados en las punto com norteamericanas ascendían a 7.592. Un mes más tarde la cifra subía a 11.785, según los
datos de la agencia de colocación Challenger & Gray. Amazon se estrella en bolsa, Yahoo! sigue
sus pasos y en Europa empezamos a prepararnos para lo mismo. Efectivamente: en España Terra
se desplomó; experimentos como Recol y Teknoland, que llegó a disfrutar de una capitalización
de 200.000 millones de pesetas y 500 empleados, no llegaron a tomar las uvas el año pasado mostrando, además, la precariedad de las relaciones laborales en la nueva economía.
Pero quizás la actual fase depresiva no sea consecuencia, o quizás no solo, de la fase recesiva del ciclo económico, ni tan siquiera por haber hecho las cosas tan rematadamente mal en
un principio. Porque es cierto que se pone de manifiesto con la perspectiva que aporta el tiempo
transcurrido que incluso las empresas que hicieran muy bien los deberes están sufriendo pérdida
de cotización.
2.3.2. Valoración de empresas .com
Aunque pueda parecer mentira la creación de una burbuja financiera a partir de una nueva idea, un
nuevo territorio por descubrir o una nueva tecnología no es un fenómeno nuevo. Es más se viene
reproduciendo desde el S.XVIII cuando se configuran las grandes compañías anónimas para financiar los grandes proyectos colonizadores en los nuevos territorios americanos y de los Mares
del Sur. Todas, absolutamente todas las burbujas históricas acabaron en un reventón. En este sentido recordemos fenómenos financieros más o menos presentes en nuestra memoria como:
- La subida de Wall Street del 29 y del famoso crack posterior.
- El Tronic Boom de los años 60.
- Las BioTech de los años 80.
A pesar de todo no aprendemos y el fenómeno se repite una y otra vez porque aunque suene extraño no carece de unos ciertos fundamentos lógicos, como pudieran ser entre otros los siguientes:
a) Se produce después de períodos más o menos largos de crecimiento sostenido del P.I.B..
b) Se basa en la aparición de nuevos mercados.
c) No todos los proyectos acaban al estallar la burbuja. Algunas de las sociedades logran
sus objetivos y sus accionistas ganan con ellas.
d) Para distinguir los buenos proyectos de los malos cabe recurrir a correctos métodos de
valoración.
Para seleccionar un método correcto de valoración tan solo hay que recordar que Internet no
es un sector tan diferente del resto de sectores de la economía, simplemente se mueve a más velocidad y ello implica mayor incertidumbre.
Siempre de la mano de la prudencia hay que huir de los métodos exóticos de valoración que
posteriormente todos ellos se manifiestan como de vida efímera. En esta última burbuja hemos
visto la aparición de un amplio número de multiplicadores a partir del número de clientes, o de
suscriptores o de visitantes de un web-site. A finales de los años 90 se puso de moda valorar las
.com a partir de 1 millón de pesetas por cada cliente o visitante de un portal web.
• El método de descuento de flujos de caja (discounted cash flow).
Este método tradicional y por lo tanto conservador se basa en los siguientes principios:
- Se basa en flujos de caja y no en magnitudes contables.
Entorno: riesgos y oportunidades
25
- Permite reflejar con mayor precisión las circunstancias coyunturales.
- Considera el valor temporal del dinero.
- Recoge todos los matices tanto del Balance como de la Cuenta de Pérdidas y Ganancias.
- Recoge correctamente el efecto derivado de las inversiones de la campaña.
Por todo ello es sin duda el método más minucioso de todos los conocidos y así es considerado por los analistas financieros. El cash flow se obtiene extracontablemente a partir del EBITDA
incorporando las siguientes magnitudes:
+ EBITDA
(±) INVERSIONES FIJAS
(±) INVERSIONES EN CAPITAL DE TRABAJO (Circulante)
= CASH FLOW LIBRE DE EXPLOTACION
El EBITDA es el acrónimo inglés del término “Beneficios antes de intereses, impuestos, depreciaciones y amortizaciones”.
Sorprende que sirva para algo serio relacionado con la rentabilidad un concepto como el
EBITDA. ¿Cómo puede manejarse una referencia al beneficio sin descontar todas las magnitudes
que componen el acrónimo de referencia? Pero además la práctica se mixtificó llegándose a utilizar esta magnitud pre-contable como base para valorar las empresas punto.com. Y así, era usual
oir a finales de los años noventa que una empresa tecnológica valía n veces su EBITDA.
Además de las aproximaciones más o menos científicas el mercado debería valorar otros
componentes del RIESGO alguno de ellos muy volátiles por su carácter intangible, pero altamente significativos:
- Potencial de mercado.
- Modelo de Negocio.
- Marca.
- Número y calidad de los usuarios.
- Innovación (positioning = ser el primero).
- Calidad de la dirección.
• Conclusiones:
Después de lo dicho y a pesar de lo impreciso del tema podemos concluir:
1º Los métodos de valoración no cambian ni tienen porqué cambiar.
2º Las incertidumbres son mayores porque los inversores compran opciones sobre negocios que aún no se conocen.
3º En consecuencia los RIESGOS AUMENTAN. En respuesta es necesario recurrir a
diversas aproximaciones al referido riesgo:
a) RIESGO ECONOMICO (sectorial). Sensibilidad de las ventas ante fluctuaciones del
ciclo económico.
b) RIESGO OPERATIVO. Sensibilidad del beneficio de explotación ante variaciones de
las ventas (a).
c) RIESGO FINANCIERO. Impacto sobre rentabilidad de una compañía como
consecuencia de incorporar la deuda en su estructura de Pasivo Exigible.
Realmente todo lo expuesto a tono pasado resulta muy fácil de decir pero difícil de anticipar.
El Nasdaq trabajó desde su creación con criterios innovadores para la toma de decisiones, principalmente la aplicación de diversos multiplicadores y así pasó lo que pasó a finales de los años 90.
26
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Por el contrario el Nuevo Mercado de la Bolsa de Madrid no consistió más que un apartado nominativo sin ninguna variación sustancial ni en sus métodos ni en sus tomas de decisión. La absorción por parte del Indice General del estallido financiero resultó así más fácil. A veces Dios escribe derecho con renglones torcidos aunque también es cierto que el Nuevo Mercado era incluso
proporcionalmente más estrecho que el Nasdaq.
3. Las Pymes y las nuevas tecnologías
Pero no siempre llueve igual para todos y no cabe duda que a día de hoy existe un segmento débil
en lo relativo a implantación y uso de las TIC’s, nos referimos a las pymes a pesar de que representan el mayor porcentaje del PIB y del empleo tanto en España como en la U.E. Por su importancia
cuantitativa y por el gran déficit que presentan en todo lo relativo a seguridad, que como resulta
obligado recordar es el objetivo primordial de este manual, vamos a destinar el próximo epígrafe
a analizar el posicionamiento de las pymes respecto a nuestro tema.
Europa cuenta con más de 19 millones de PYMES, lo que supone para el conjunto más del
99% de las empresas. A la vista del enorme peso específico que representan sobre la creación de
riqueza (PIB) y el empleo, son un factor clave para la creación de empleo y un ámbito idóneo (yo
diría que el ideal) para el desarrollo del espíritu empresarial y de nuevas ideas. Europa sólo se convertirá en el centro neurálgico del comercio electrónico si las PYME europeas se comprometen a
utilizar Internet como herramienta puntera para el desarrollo de su actividad.
Dado que su organización interna es más flexible que la de las empresas de mayor tamaño,
las PYME pueden adaptarse muchas veces a las fluctuaciones de los mercados de manera más rápida y eficaz. No obstante, aunque las cifras sobre la utilización de Internet varían según los Estados miembros y los sectores de actividad, la utilización de Internet con fines comerciales es, en
general, directamente proporcional al tamaño de la empresa; es decir, cuanto más pequeña es la
empresa, menos utiliza las TIC. Por lo tanto, el predominio de las PYME en la economía europea no va parejo con una utilización por éstas de las herramientas del comercio electrónico (véase
cuadro 1). No obstante, conviene observar que la mayoría de las empresas incipientes activas en el
sector del comercio electrónico son PYME.
Utilización de Internet según el tamaño de la empresa, Europa – 1999.
Número de asalariados
1
1-9
10-49
50-249
Total
Con acceso directo a Internet
33%
49%
67%
86%
42%
Difusión de información sobre sus
productos a través de Internet
Distribución de sus productos a
través de Internet
14%
27%
42%
59%
21%
6%
7%
9%
13%
7%
Recepción de pedidos
8%
10%
15%
20%
10%
Confirmación de pedidos
6&
9%
12%
16%
8%
Pago a través de Internet
4%
5%
8%
9%
4%
Recepción de pagos a través de
Internet
Cooperación para ofrecer
conjuntamente productos o
servicios
3%
3%
4%
7%
3%
9%
13%
19%
29%
12%
Fuente: ENSR Enterprise Survey 1999, tal como se utiliza en el Observatorio Europeo de las PYME
Sexto informe, Comisión Europea, 2000.
Entorno: riesgos y oportunidades
27
A las mismas conclusiones llega un estudio más reciente (primavera del año 2001) realizado por ESADE para el conjunto de PYMES catalanas, en donde representan un 99’8% de las
empresas radicadas en Catalunya. La conclusión es que las empresas catalanas utilizan las TIC’s
en grado insatisfactorio “aún por debajo de sus homónimas en la U.E. y muy por detrás del resto
de tipología empresarial en Catalunya”. La investigación de ESADE sobre el sector determina
que sólo el 6’3% de las pequeñas empresas (con menos de 50 trabajadores) usan Internet entendiendo por uso de Internet a efectos de este estudio:
- Disponer de una conexión a Internet,
- Disponer de una web,
- Utilizar habitualmente el e-mail.
En Cataluña la economía basada en Internet presenta un desarrollo asimétrico, presentando un mayor protagonismo en el lado de la demanda que del lado de la oferta. De persistir a largo
plazo esta tendencia se producirá un desequilibrio importante en la economía catalana, porque los
consumidores recurrirán a ofertas foráneas o de grandes empresas.
Para dar la vuelta a la situación en un sector tan fundamental para asegurar el desarrollo de
Europa en el uso y aplicación de las TIC’s, cabe superar una serie de obstáculos por suerte bien
conocidos y percibidos a fecha de hoy.
a) La coyuntura económica actual.
b) El débil desarrollo normativo (leyes) así como su escaso conocimiento, aplicación y
exigibilidad de seguridad.
c) Cualificación profesional se refiere a la falta de personal técnico y de gestión con
suficientes conocimientos en materia de TIC. Ante esta situación algunos Estados
miembros han adoptado medidas para atraer a expertos en TIC de terceros países. La
obtención en el exterior de mano de obra cualificada es costosa y ante la competencia
salvaje que reina hoy en el mercado de los especialistas en TIC, las grandes sociedades
y las empresas incipientes de TIC en pleno desarrollo poseen clara una ventaja sobre
las PYME «tradicionales».
d) Tecnología y normas. Más que cualquier otro usuario empresarial, las PYME buscan
soluciones TIC normalizadas y plenamente compatibles que se mantengan relativamente estables con el paso del tiempo. La complejidad y la falta de solidez de numerosas
soluciones TIC desalientan actualmente a muchas PYME. Cuando los programas
informáticos o los sistemas resultan incompatibles con los de los clientes y proveedores, existe un riesgo importante de perder las inversiones en TIC.
Con el fin de dar un vuelco a la situación de partida y superar los obstáculos antes descritos los
Estados miembros de la UE adoptaron el Plan de acción e-Europe 2002 en el Consejo Europeo
de Feira de junio de 2000. El tercer objetivo del Plan de acción, «Estimular el uso de Internet»,
incluye una iniciativa encaminada a alentar a las pequeñas y medianas empresas (PYME) a que
«pasen a la fase digital». El Plan considera a las PYME un elemento esencial para la realización
de la iniciativa eEurope y define objetivos específicos para prepararlas para esta fase. El objetivo
perseguido es el siguiente:
«Alentar a las PYME a que ‘pasen a la fase digital’ mediante actividades coordinadas de
creación de redes para el intercambio de conocimientos sobre mejores prácticas, capacidad de
llevar a cabo comercio electrónico y evaluación comparativa (‘benchmarking’). Los ‘centros de
referencia’ podrían ayudar a las PYME a introducir el comercio electrónico en su estrategia empresarial».
28
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Para ello se define la ESTRATEGIA GO-DIGITAL en el marco del PLAN DE ACCION e-EUROPE 2002. Las prioridades de GO-DIGITAL son las siguientes:
- Fomentar un entorno favorable y las condiciones generales requeridas para estimular el
comercio electrónico y el espíritu empresarial;
- Facilitar la adopción del comercio electrónico, difundiendo ampliamente los resultados
de la investigación y el desarrollo tecnológico (IDT) y permitiendo a las PYME de
todos los sectores beneficiarse de los mismos; y
- Contribuir al suministro de conocimientos en materia de tecnologías de la información
y la comunicación (TIC), subsanando la falta de estos conocimientos en las PYME y
buscando y desarrollando nuevas competencias empresariales para la nueva economía.
El punto débil de estos programas radica en la falta de fondos comunitarios para estos fines
que no están incluidos en los Presupuestos de la U.E. La situación se agrava cuando la apertura al
Este, con la incorporación de un número importante de nuevos socios, provoca de modo más patente que nunca la imposibilidad de distraer fondos ya asignados a otros fines. Ante esta dificultad
la gracia del Plan de Acción e-EUROPE consiste en que acierta a compatibilizar tres niveles de
objetivos claramente vinculados, de modo que ninguno de ellos se podrán alcanzar sin el armónico logro de los restantes:
1º OBJETIVO: Incremento de la competitividad de la economía de la U.E.
2º OBJETIVO: Reducción de las diferencias regionales en lo económico y lo social.
3º OBJETIVO: Los señalados anteriormente como integrantes de la ESTRATEGIA
GO-DIGITAL.
A diferencia del tercero, los dos objetivos primeros sí disponen de recursos presupuestarios asignados a su finalidad específica y gracias a la estrecha interrelación entre los tres resulta posible el desvío
de recursos de cualquiera de los dos primeros hacia las necesidades de financiación del último:
UNION EUROPEA: e-EUROPE y GO-DIGITAL
INCREMENTAR COMPETITIVIDAD
T.I.C. + PYME
REDUCIR DIFERENCIAS REGIONALES
4. Las administraciones públicas y las nuevas tecnologías
Al margen del polémico Plan INFO XXI auspiciado por el Gobierno del Partido Popular, son muchas las iniciativas desarrolladas por diversas instancias de las administraciones públicas españolas con un doble fin:
a) Acercar las administraciones a los ciudadanos para así aumentar su eficacia.
b) Acercar los ciudadanos a la Administración para fomentar el conocimiento y uso de las
nuevas tecnologías por parte de aquellas.
El proyecto más global de entre todos los desarrollados es sin duda el conocido como el portal del ciudadano al que se accede a través del dominio www.administraciones.es. Quizás por su
ansia de universalidad no carece de polémica y a continuación mostramos dos posiciones encontradas a la hora de juzgarlo.
Para Lucía Delgado, portavoz del PP en la Comisión de Internet del Senado; “La puesta en
funcionamiento del Portal del Ciudadano es un primer paso dentro de la iniciativa del Gobierno para
Entorno: riesgos y oportunidades
29
el desarrollo del Plan Info XXI, y pone en marcha la Administración electrónica. Con esta medida, el
ciudadano ve simplificada sus gestiones al evitarle el peregrinaje de ventanilla en ventanilla.
Aunque el portal no ha arrancado con todas las funciones previstas en el proyecto inicial, se
espera que estas se vayan ampliando. A pesar de ello, no deja ya de ser un avance muy significativo en el cumplimiento de los compromisos del Ejecutivo esta página que mejora el acceso de los
ciudadanos a los servicios de la Sociedad de la Información.
No debemos olvidar que en 1996 España contaba con uno de los mercados de telecomunicaciones mas cerrados y monopolísticos de la UE, con uno de los precios de servicios telefónicos
más caros de Europa y con un enorme déficit en infraestructuras y servicios. Ha sido en estos cinco años de gobierno del Partido Popular cuando se han llevado a cabo importantes avances tecnológicos y se han diseñado eficaces medidas legislativas tendentes a facilitar las comunicaciones
entre los ciudadanos.”
Por el contrario Felix Lavilla, portavoz del PSOE en la referida Comisión opinó lo siguiente: “…, se ha vendido la piel del oso antes de cazarlo. Yo daría un suspenso claro a la actual iniciativa. Se esperaba más de este Portal Unico, cuyo presupuesto asciende a mil millones pesetas.
Administracion.es consiste en un simple «refrito» de páginas web ya existentes anteriormente en
cada departamento, unificadas ahora en una misma entrada sin coherencia estética y, peor todavía, sin que el ciudadano tenga la oportunidad de hacer las gestiones concretas que debería facilitar un sitio como éste.
¿Por qué se ha anunciado a bombo y platillo algo que no funciona? Mucho me temo que el
Gobierno, aquejado de pasividad e inoperancia por varios frentes, necesitaba un asunto para arrancar el nuevo curso político y es aquí donde encaja la presentación «accidentada» de una iniciativa
positiva que el Ejecutivo ha malogrado por su precipitación. En España, tener un ordenador o acceso a Internet aún no está al alcance de cualquier ciudadano; por eso, el acceso al Portal Unico
debería ser un derecho de los ciudadanos desde cada Ayuntamiento; así se lo dije al ministro Posada en presencia de un alcalde de su partido, quien se mostró de acuerdo. Esperemos que, en junio,
apruebe el Gobierno y el Portal funcione mucho mejor que ahora.”
Este llamado Portal del Ciudadano es un proyecto auspiciado por el Ministerio de Administraciones Públicas (MAP) que nació con vocación de convertirse en la “ventanilla única virtual”
con una dotación presupuestaria de dos millones de euros y fue desarrollado por Indra. La verdad
es que parece haberse quedado a medio camino de sus posibilidades.
Por su parte los usuarios parecen estar al respecto más de acuerdo con la oposición que con
el Gobierno y así hemos podido recopilar las siguientes opiniones:
A pesar de estas críticas sería injusto ignorar la existencia de brillantes ejemplos de web-sites
tituladas y desarrolladas por diversas instancias de la Administración Central. Entre las mejores es
obligado citar las siguientes:
a) Página web de la Agencia Estatal de Administración Tributaria; www.aeat.es.
b) Página web de la Secretaría de Estado de la Seguridad Social; Sistema Red.
c) Página web de la Agencia de Protección de Datos; www.agenciaprotecciondatos.org.
Los tres son ejemplos de web-sites bien resueltos y animamos a que sean visitados por el lector.
• www.bcn.es. Un proyecto que funciona.
El Ayuntamiento de Barcelona fue uno de los pioneros, a nivel mundial, en ofrecer un portal de
información local a sus ciudadanos desde 1995. La web ha ido creciendo de acuerdo con las necesidades de los usuarios. Todo está al alcance de un clik y para muestra ahí van algunos de sus
contenidos.
30
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
• Agenda:
En Barcelona se convocan gran cantidad de actividades durante todo el año. Desde acontecimientos culturales, hasta exposiciones, pasando por conferencias, deportes, ferias de muestras… La
agenda cuenta con listados detallados que se pueden consultar por día, semana o mes, o bien por
el tipo de evento. En la página principal de la agenda, además, se destacan las actividades más relevantes del momento.
• Guía de Barcelona:
Una de las aplicaciones pioneras de www.bcn.es, desde ella se puede obtener información
cartográfica correspondiente a la guía que se reparte al ciudadano periódicamente en papel. Esta
Guía viene acompañada de funcionalidades añadidas, como siete niveles de zoom (que alejan o
acercan el territorio), consulta de índice de calles o localización de cualquier dirección en el plano. Está disponible en catalán, castellano e inglés.
• Trámites y Gestiones:
La Oficina d’Atenció al Ciutadà por Internet permite gestionar muchos trámites que se pueden hacer en la ciudad, además de consultar información acerca de más de 600 trámites. Podrá consultar
los trámites por listados de los disponibles in Internet, o por listado telemático; también existe la
posibilidad de realizar búsquedas de un trámite concreto o de palabras relacionadas.
• Transporte:
La web “Com anar” facilita al ciudadano los desplazamientos por la ciudad de Barcelona. El sistema busca la combinación más favorable de transporte público. El usuario debe rellenar el formulario con la dirección de salida y la de llegada, y en unos segundos aparecerán en pantalla los medios
de transporte, las líneas recomendadas y el tiempo estimado que tardará en el recorrido.
• Directorio:
La web del Ayuntament dispone de listados detallados de entidades y equipamientos. Estas páginas amarillas locales pueden consultarse desde el índice temático de su página principal, o tecleando el nombre de la entidad de la cual se busca información, incluyendo campos de localización como el distrito.
• Tráfico:
En esta página el ciudadano podrá conocer el estado del tráfico en tiempo real, así como la previsión del mismo con una antelación de 15 minutos. Asimismo se podrá observar el tráfico a través
de las cámaras instaladas en puntos críticos de la ciudad.
• Correo Ciudadano:
Todas las personas empadronadas en la ciudad de Barcelona podrán disfrutar de su propia dirección de correo electrónico a partir de esta página de bcn.es.
Para interrelacionarse con el web-site municipal, los barceloneses disponen de cinco razones diferentes de correo electrónicos:
• Cómo contactar:
El ciudadano tiene línea directa con el Ajuntament a través del correo electrónico. Para ello, dispone de cinco buzones:
· Consultas o sugerencias, para obtener más información.
· Calidad, para proponer mejoras en la ciudad o en los propios servicios municipales.
· Infopime, con lo relativo al mundo de la pequeña y mediana empresa.
Entorno: riesgos y oportunidades
31
· Directorio, en el que pueden hacerse aportaciones a las bases de datos.
· Alcalde, para enviar mensajes al máximo responsable del Ajuntament.
• Otros proyectos en Internet.
Otro proyecto es el desarrollado por la multinacional francesa del sector de las nuevas tecnologías
Transiciel por el que las administraciones públicas podrán traspasar sus contenidos del mundo real
a Internet. Opera bajo la marca Ajunt@net y ofrece varios servicios básicos por un lado, la gestión de los contenidos de uso interno (análisis del padrón para estudios de perfiles de la población,
contrataciones, multas, tributos y a través de un centro de información (o Datawarehouse) al que
también podrán acceder los ciudadanos por Internet para consultar información sobre valores contractuales o multas pendientes; enviar mensajes personalizados a móviles o suscribirse a determinados acontecimientos programados, entre otras aplicaciones.
Ajunt@net también ofrece un servicio de consultoría jurídico-informática orientada a
la administración pública. Su objetivo es estudiar el grado de cumplimiento de la protección y
confidencialidad de los datos que manejan los ayuntamientos, diputaciones o cabildos, entre otros
organismos oficiales; e implantar las medidas correctoras necesarias si no los cumplen.
Por último, Ajunt@net ofrece la posibilidad de crear un portal en Internet que opera en un
entorno multicanal (web, televisión interactiva, emisoras de radio, SMS, Wap, GPRS, teletexto,
etcétera) y que está abierto a la aportación descentralizada de contenidos por parte de aquellas entidades que constituyen el tejido vital de la comunidad.
Otro de los proyectos en desarrollo es el Administracio Oberta de Catalunya (AOC) que se
inicia en 1999 a través del Centre de Telecomunicacions y Tecnologíes de la Informació. El objetivo final de la A.O.C. es crear el marco para que los ciudadanos y las empresas se relacionen electrónicamente con la administración autonómica catalana. El proyecto dotado inicialmente con un
presupuesto de 346 millones de Ptas. se desarrolla en colaboración con la Universitat Politécnica
(U.P.C.) y diversas empresas punteras del sector; Microsoft, I.B.M., Lotus, Oracle, etc. Para más
información sobre el proyecto se puede recurrir a:
www.gencat.es/csi/cat/proyecte/adminitracio/1999/aoc.htm.
Tecnología y Seguridad
33
PARTE II. TECNOLOGÍA Y SEGURIDAD
1. La clave tecnológica
La seguridad de los sistemas de información requiere de la adecuada tecnología y el marco jurídico apropiado que los legisladores deben adecuar a las necesidades de la sociedad, las empresas
y las organizaciones.
Estudiar la tecnología de seguridad en sistemas informáticos y telemáticos es una tarea totalmente dinámica que requiere un continuo trabajo y adecuación constante para conseguir la mayor seguridad posible.
1.1. Aproximación al concepto técnico de seguridad
La seguridad es una característica de cualquier sistema que nos indica si está libre de todo peligro,
daño o riesgo. Debido a que es imposible alcanzarla se suele estudiar y dar soluciones a las vulnerabilidades y proponer sistemas fiables en lugar de sistemas seguros.
Es por ello que a nivel técnico al estudiar la seguridad, nos centramos en minimizar la inseguridad, para conseguir, de esta manera, sistemas seguros.
En los capítulos anteriores y en todo el manual, venimos dando argumentos para subrayar
que la seguridad es un punto fundamental en la planificación de una empresa de servicios en la sociedad de la información. Para conseguir esa seguridad se necesita tecnología, servida por un departamento de la empresa o a través de servicios localizados y de outsourcing total.
La tecnología tendrá que darnos soluciones a la seguridad, confidencialidad de la información, integridad y disponibilidad en cualquier circunstancia, valores fundamentales en las empresas que ofrecen sus servicios por internet o simplemente están conectadas a la red.
En los capítulos siguientes haremos un estudio del estado del arte en materia de seguridad y
privacidad, citando las vulnerabilidades y las soluciones a ellas, ampliando los temas con la tecnología actual y su tendencia, y haciendo especial hincapié en todo lo relacionado a internet.
Estudiaremos las políticas de seguridad empresariales, a partir de las cuales se estructuran los
siguientes capítulos, donde se estudian las tecnologías (recursos, protocolos, soluciones software y
hardware) para averiguar los riesgos y amenazas (hackers, virus, etc), donde, previamente, nos centramos en la seguridad de sistemas, máquinas y redes de empresas conectadas a Internet. El comercio electrónico y los servicios móviles tienen apartados especiales, junto con las medidas técnicas a
tomar por las organizaciones referente a la normativa de protección de datos personales. Por último,
hacemos mención de los servicios de seguridad que ofrecen empresas de TI, como clave en el outsourcing informático.
Para comenzar un estudio de tecnología de seguridad. Vamos a plantearlos en un sencillo esquema formado por preguntas, y cuyas respuestas van a darnos las soluciones tecnológicas:
¿Que queremos proteger?
¿De que nos queremos proteger?
¿Como nos podemos proteger?
34
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
1.1.1. ¿Qué queremos proteger?
El objetivo es que la información que disponen nuestras empresas no se vea alterada, dañada, interrumpida o interceptada por usuarios no autorizados.
Para conseguir este objetivo hay que centrarse en las claves de seguridad. Éstas son (repetidas
en varias ocasiones en este manual) y referidas aquí entre la comunicación entre un emisor y un receptor de un mensaje:
• Autentificación:
Verificar que el mensaje ha sido firmado por una determinada persona, y al firmarlo, la
certeza de que no ha sido alterado.
• Confidencialidad:
Garantizar al remitente que sólo el destinatario podrá leer el mensaje.
• Integridad:
Asegurarse que el contenido de la información no ha sido alterado o dañado en la comunicación o acceso del mismo.
• No repudio:
Se trata de poder tener la certeza de que el emisor de un mensaje no podrá, después, negar
haberlo enviado.
1.1.2. ¿De qué nos queremos proteger?
De LAS VULNERABILIDADES de SEGURIDAD:
• Agujeros de seguridad.
• Vulnerabilidades en la codificación de aplicaciones, en las bases de datos, en los sistemas operativos, en las redes, en los equipos de comunicación.
De LAS PERSONAS:
• Personal de la empresa.
• Ex-empleados.
• Curiosos.
• Crackers.
• Intrusos.
• Terroristas.
De LAS AMENAZAS LÓGICAS:
• Software con errores.
• Incorrectas políticas de seguridad.
• Puertas traseras.
• Trampas y bombas lógicas.
• Virus.
• Gusanos.
• Caballos de Troya.
• Sanciones judiciales, penales o a través de la Agencia de Protección de Datos.
De CATÁSTROFES:
• Naturales/Artificiales.
• Riesgos físicos.
Tecnología y Seguridad
35
1.1.3. ¿Cómo nos podemos proteger?
De alguna manera la manera de protegernos es estudiar las vulnerabilidades, utilizando la tecnología adecuada para defendernos de los peligros. Todo ello implica reunir aspectos jurídicos y técnicos, sobre una correcta política de seguridad para cubrir los riesgos de seguridad y las medidas
y soluciones que se deben tomar.
La respuesta a esta pregunta es el objetivo de todos los capítulos siguientes, donde el lector
podrá encontrar estudios de todo tipo encaminados a conocer los riesgos y las soluciones a ellos.
1.2. Tipología de la seguridad informática
1.2.1. Seguridad física y lógica
Actualmente la seguridad se consigue por lo general mediante defensas añadidas como medio de
reacción frente a los ataques. Este tipo de filosofía para el concepto de seguridad, hace que el disponer de sistemas fiables choque de frente con aspectos comerciales de la empresa, que hacen que
por culpa de estos inhibidores, no se consiga los niveles adecuados en las organizaciones. La seguridad total es ahora mismo cara, y los profesionales de este sector tiene la obligación de hacer
girar el concepto técnico de “seguridad total” al de “seguridad desde el principio”, para que , por
ejemplo, todos los lenguajes de programación no tengan agujeros, todos los sistemas operativos
sean seguros, las bases de datos cajas herméticas de información y los equipos dispositivos infalibles. Aspectos, todos ellos hoy día, utópicos, que hacen que se necesiten soluciones particulares
o globales para alcanzar la deseada seguridad total.
El estudio de la seguridad informática puede plantearse desde dos enfoques:
• Seguridad Física. Protección del sistema ante las amenazas físicas, planes de contingencia, control de acceso físico, políticas de backups, etc. Este tema será tratado en el
capítulo X, Políticas de seguridad corporativas.
• Seguridad Lógica. Protección de la información en su propio medio mediante el
enmascaramiento de la misma usando técnicas de criptografía. Este enfoque propio
de las Aplicaciones Criptográficas será tratado a lo largo de todo el resto de capítulos,
haciendo especial hincapié en la Autenticación y la Privacidad.
1.2.2. Seguridad por red y por máquina
Pensemos en aspectos de ingeniería para acometer la tipología de seguridad. Desde lo más pequeño hasta aspectos macros. De la misma manera que distinguimos por la naturaleza de la seguridad
(física o lógica) podemos distinguir la seguridad informática según le origen o el objetivo de los
ataques y soluciones:
• Seguridad por máquina o por host. Procedimientos, riesgos, políticas, tecnología, etc
para solucionar las vulnerabilidades de una máquina (por ejemplo, un PC) en sí mismo
(conectado o no a internet).
• Seguridad por red. Todos estos procedimientos, riesgos, políticas, tecnología, etc asociados a la red (usualmente internet, o redes privadas), donde estas vulnerabilidades y
soluciones se deben aplicar en sentido general la red y en otros dispositivos (servidores
de comunicaciones, servidores DNS, routers, etc).
A menudo resulta difícil si una vulnerabilidad y su solución está a nivel de máquina o de red,
por ejemplo un cortafuegos (que estudiaremos con detalle en el capítulo V Firewalls), puede actuar
para proteger el PC de nuestra casa o la red local de nuestra empresa.
¿Qué queremos proteger?
¿De qué nos queremos proteger?
¿Cómo nos podemos proteger?
36
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
2. Políticas de seguridad corporativas
2.1. La administración de la seguridad
Una política de seguridad informática es una forma de comunicarse con los usuarios y los gerentes. Las políticas de seguridad establecen el canal formal de actuación del personal, en relación
con los recursos y servicios informáticos importantes de la organización.
No es una descripción técnica de mecanismos de seguridad, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos
proteger y el por qué de ello.
Cada política de seguridad es una invitación de la organización a cada uno de sus miembros
a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Invitación que debe concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos
críticos de la compañía.
Habitualmente en las empresas (pequeñas, grandes y medianas) el papel profesional de la
responsabilidad de la seguridad informática la lleva el comúnmente denominado administrador de
red o director, gerente o responsable informático. Una serie de tareas que hoy en día resulta vitales
en la vida de una empresa, ya que de su trabajo reside, en parte, la continuidad del negocio. Ello
hace que estos profesionales deban estar implicados directamente en la dirección de la empresa,
en los consejos de dirección, y que hoy en día, este hecho desgraciadamente no ocurre en todas
las organizaciones. Por ello, son los directivos, los directores de empresa, los primeros que deben
concienciarse de la importancia de la seguridad informática, y las políticas de seguridad deben
montarse también para ellos y con ellos.
Para simplificar el concepto de administración de seguridad, podemos dividirlo en tres grandes bloques:
∑ Autenticación:
Establecer las entidades (usuarios, perfiles, sistemas) que pueden tener acceso al conjunto de recursos informatizados que la empresa ofrece.
∑ Autorización:
Crear los mecanismos de accesos para estas entidades con autenticación, tengan efectivamente acceso únicamente a las áreas de trabajo e información que realmente deban
acceder y vigilar los accesos ilegales a recursos no permitidos.
∑ Auditoría:
Continua vigilancia en los servicios de producción, desarrollo e implementación de sistemas informáticos y organizativos (nuevos programas, nuevos empleados). También
disponer de listados de usuarios activos, estadísticas de acceso y políticas de acceso
físico a los recursos.
Como detalle en una de las “patas” de la seguridad global, podemos darnos cuenta que estos
tres aspectos coinciden plenamente con la normativa española y europea sobre Protección de datos
personales (Real Decreto 994/1999, LOPD 13 dic. 99, Directiva Europea 95/46/CE y la LSSICE1).
Además de estos tres grandes bloques la autenticación, la autorización, y la auditoría, el esquema para la administración de la seguridad debe centrarse también en un flujo constante de procedimientos y metodologías adecuadas a la empresa, pero que siempre deben seguir un análisis de
riesgos, su plan de continuidad, el centro de respaldo para la posible (y no deseada) recuperación
y las pruebas en él.
1
Ley de Servicios de la Sociedad de la información y del Comercio Electrónico.
Tecnología y Seguridad
37
Plan de
continuidad
Análisis de
riesgos
Centro de
respaldo y pruebas
2.2. Desarrollo de una arquitectura segura de red
El objetivo de un política de seguridad empresarial es definir en la organización un esquema de
red aplicando medidas (técnicas y también jurídicas), que una vez implementadas, minimizan los
riesgos de seguridad.
Para conseguir la arquitectura de red segura, debemos aplicar los métodos en:
∑ La red Interna.
Todo lo relacionado con la seguridad de los terminales, servidores de datos y aplicaciones, monitorizar la red.
∑ Las conexiones de la red con Internet.
Todo lo relacionado con redes externas.
∑ Los aspectos específicos en comercio electrónico.
Medios de pago, autenticación de usuarios, tratamiento de los datos personales.
Los pasos para desarrollar una red segura, forman parte de las tareas de la administración de
red (del responsable de seguridad) y podemos simplificarlas en las siguientes:
1. Diseño de una arquitectura de red segura:
- Esquema de red.
- Mecanismos (routers, firewalls, IDS, servidores proxy).
- Sistemas operativo (de la plataforma de red y de los terminales: Windows, Unix,
AS/400, Novell).
- Protocolos de comunicación (en los SO, en los servidores, etc).
- Diseño de la seguridad en los servidores de las bases de datos.
- Seguridad en las aplicaciones cliente/servidor e internet, tanto internas como externas
(servidores web, ERP, CRM, Bases de datos, email corporativo, etc).
2. Evaluación de los flujos de información:
- Estudio del origen y destino de los datos que viajan por la red.
- Identificación de recursos.
- Identificación de los riesgos.
3. Implementación de la arquitectura segura:
- Mecanismos de seguridad (firewalls, IDS, pasarelas de correo, gateways de
aplicaciones, etc).
- Seguridad en los sistemas operativos de los terminales (opciones de administración,
protocolos permitidos, autenticación de los usuarios, etc).
- Seguridad en las aplicaciones internas (y con acceso remoto) y de las bases de
datos.
- Protección de datos personales. Implantación de medidas técnicas y jurídicas.
- Implementación de la arquitectura de red segura mediante políticas de seguridad.
38
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
2.3. Copias de respaldo
Las copias de respaldo, copias de seguridad y backups representan de por sí el primer paso para
asegurar la información. La información, los datos, representan la riqueza de la empresa. Su almacenamiento debe garantizar la integridad de los datos, su seguridad y su disponibilidad. Estamos hablando, por tanto, de implantar en la empresa los mecanismos adecuados de prevención
de desastres.
Objetivo de una apropiada política de copias de respaldo:
- Proteger la información contra los desastres.
- Disponer del control de los datos, dispersados en las redes corporativas bajo la campana de la arquitectura cliente-servidor.
- Soluciones ágiles para el intercambio de información.
- Ejecución de los backups con rapidez.
- Soluciones de almacenamiento capaces de adaptarse a la evolución de la organización.
- Reducir los costes de backups.
- Estandarización de los soportes utilizados y de los sistemas operativos.
Tecnologías:
1. Copias de respaldo tradicionales en cliente:
Copias de seguridad bajo software de los sistemas operativos sobre los discos duros
de un ordenador utilizando soportes como cintas DAT, CD, DVD, etc. Este sistema se
aplica sobre un ordenador o sobre unidades de red situadas en servidores.
2. NAS – Network Attached Storage:
Dispositivo de almacenamiento unido a la red corporativa. Los sistemas de almacenamiento
se conectan a la red actuando como servidores de ficheros. El modo de comunicación entre
los clientes de la red y el servidor de almacenamiento se basa en protocolos de red bajo TCP/
IP. La administración del sistema se basa a través de agentes implantados en los servidores.
3. SAN – Storage Area Network:
El concepto SAN designa una nueva arquitectura de almacenamiento basada en el concepto de RED DEDICADA AL ALMACENAMIENTO. Una nueva red dedicada al
almacenamiento que se interconecta con la red corporativa, una red rápida basada en
tecnología de alta velocidad, como por ejemplo, Fibre Channel.
Algunas de las características de la red SAN son:
a. Red rápida a la que se unen servidores y sistema de almacenamiento.
b. Administración centralizada y datos distribuidos.
c. Recursos compartidos.
d. Optimización de los movimientos de datos.
e. Conexión de un punto cualquiera de la red corporativa a cualquier otro punto.
f. Protocolos de tipo entrada/salida.
Tecnología y Seguridad
39
Cuadro comparativo NAS-SAN.
Tipo de red
NAS
Se une a la red corporativa existente
(Ethernet, FDI, Token-ring, etc)
SAN
Red específica Fibre Channel, ...
Función de las unidades de
almacenamiento
Servidor de ficheros
Gestión multiprotocolos
Servidores de recursos de
almacenamiento. Ayuda a la
protección y al movimiento de datos
Protocolo de comunicación
(intercambio de datos)
Tipo mensaje (TCP/IP)
Tipo entrada/salida (SCSI)
Ancho de banda
En función de la red existente
Ethernet: 100/1000 Mbps
FDDI: 100 Mbps
ATM: 155/622 Mbps
Con Fibre Channel:
n x 1000 Mbps
Administración del sistema
A través de un servidor central
Administración directa, inclusive la
infraestructura SAN
Fuente: Bull Libro Blanco SAN.
Recuerde:
Existen actualmente dos formas de almacenamiento en red: NAS, donde el servidor de
almacenamiento se implanta en la red empresarial y NAS, una red rápida dedicada exclusivamente al almacenamiento.
2.4. Plan integral de seguridad
Para acometer un plan integral de seguridad de nuestra empresa que finalice con una política de
seguridad debemos empezar con un análisis de seguridad que consistirá en estudiar todos los elementos relacionados con los sistemas informáticos.
El siguiente esquema nos puede ayudar al trabajo de una AUDITORÍA DE SEGURIDAD (ésta es
una opción elaborada por el autor, y no es ni mucho menos la mejor ni la única):
PLAN INTEGRAL DE SEGURIDAD
ANÁLISIS DE RIESGOS
En los elementos
• FACTOR HARDWARE
 Hardware de red
 Servidores
• FACTOR SOFTWARE
 Aplicaciones
 Sistemas operativos
 Software de red
IDENTIFICACIÓN DE RECURSOS
IDENTIFICACIÓN DE AMENAZAS
MEDIDAS DE PROTECCIÓN
ESTRATEGIAS DE RESPUESTA
(PLANES DE CONTINGENCIA),
GESTIÓN Y RETROALIMENTACIÓN
• SEGURIDAD LÓGICA
 Factor organizacional
 Auditoría y Control
 Información: Protección, privacidad,
control accesos
• SEGURIDAD EN COMUNICACIONES
 Integridad
 Confidencialidad
 Disponibilidad
 Autenticación
 Arquitectura segura
• PROTECCIÓN DE DATOS PERSONALES
 Aspectos jurídicos (registro fichero y
derechos afectados)
 Medidas técnicas
El PLAN INTEGRAL finaliza con una
POLÍTICA DE SEGURIDAD DE LA ORGANIZACIÓN
Fig. II-2. El plan de seguridad integral.
40
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
2.5. Ejemplo de una política de seguridad corporativa
En este apartado se pretende mostrar un ejemplo de una política de seguridad de una empresa (al
nivel de una pyme) que disponga de un responsable de seguridad (habitualmente el administrador de sistema o de la red). Este ejemplo no pretende ser una regla fija para la política de seguridad de cada empresa ya que la metodología debe ser la adecuada a cada caso y necesidad, sólo un
acercamiento a la filosofía de un planteamiento de seguridad en base a una política que sirva de
práctica real para la seguridad, nuca mejor dicho, de la información de la empresa en el sistema
informático y de comunicaciones.
Lo más importante es realizar un exhaustivo análisis de seguridad (medidas proactivas y reactivas) para asegurar la privacidad y la integridad de los datos sin olvidar que las políticas de seguridad deben incluir elementos de retroalimentación que permitan adecuarse a las exigencias del entorno de la empresa (básicamente realizar las auditorías periódicas).
• Origen:
Lo primero de todo es acometer como el responsable de seguridad realiza la política:
• Propia.
Diseñada e implementada por el responsable de seguridad (normalmente el administrador
de red) de la misma empresa.
• Outsourcing.
El servicio se contrata a una empresa especializada en planes integrales de seguridad.
• RIS.
El servicio se contrata a una empresa especializada para que haga un análisis de riesgos,
y con éstos, el responsable de seguridad acomete y realiza la política de seguridad.
• Protección de datos.
Debido a la normativa de protección de datos (obligatoria para las empresa
que dispongan de ficheros automatizados), la empresa realiza su documento de
seguridad que se convertirá en la el documento interno de seguridad donde estarán
las políticas y procedimientos de seguridad.
• Protección del hardware:
El hardware es normalmente el elemento más caro de todo sistema informático. Por
tanto, las medidas encaminadas a asegurar su integridad son una parte importante de la
seguridad física de cualquier organización, especialmente en las dedicadas a I+D: universidades, empresas de informática, centros de investigación, etc suelen tener entre
sus equipos máquinas caras, desde servidores hasta dispositivos de comunicaciones:
switches, routers, fibra óptica, etc:
• Desastres naturales, continuidad energética, control ambiental, medidas contra
intrusión, fuego, robos, inundaciones, ruido eléctrico, etc. Todas las medidas
relacionadas con la seguridad física.
•
•
•
•
•
Identificación de recursos y personas.
Inventario de soportes, terminales, servidores, workstations y portátiles.
Listado de usuarios.
Medidas para PCs portátiles de uso por varias personas.
Mecanismos de prevención y medidas de protección.
- Identificación.
- Autenticación.
Tecnología y Seguridad
41
- Control de acceso.
- Separación de sistemas y recursos modulable.
- Obligaciones de los usuarios.
- Confidencialidad de los datos.
- Medidas a tomar cuando un empleado deja de pertenecer a la plantilla.
- Procedimiento de cambios y comunicación de contraseñas.
- Medidas Antivirus en terminales.
- Configuración y reglas para los Firewalls.
- Configuración segura de correo corporativo (Antivirus y bugs).
• Mecanismos de detección.
- Auditoría.
- Detección de intrusos y amenazas.
- Firewalls (reglas de emtrada).
• Mecanismos de recuperación.
- Hardware (balanceo/clusters).
- Copias de seguridad (back-ups/SAN/NAS).
- Recuperación contra desastres.
• Medidas técnicas según la normativa “Protección de Datos”.
• Registro del fichero.
• Documento de seguridad (apartado especial para protección de datos en las
políticas de seguridad).
• Derechos de los afectados (textos en formularios web y en aplicaciones informáticas,
sistemas que permitan el acceso, cancelación y rectificación de los usuarios a sus datos).
• Complemento de las medidas con el resto de puntos de la política.
• Mecanismos de información internos:
• Procedimientos con flujo de información con empresas externas (también en
medidas sobre protección de datos).
• Publicación de las políticas en la Intranet.
• Relación con el departamento de Recursos Humanos.
• Relación con los enlaces sindicales.
• Relación con las medidas de riesgos laborales.
• Formación a administradores y usuarios en general.
• Implicación en alta dirección de la empresa (“la seguridad es algo serio en la
continuidad del negocio”).
3. Seguridad en Redes
3.1. Introducción
En este capítulo empezamos a estudiar con detalle la problemática de seguridad en Internet, ya que
cuando hablamos de redes, estamos hablando realmente de “la red”, de Internet. Podríamos desde
estas líneas estudiar los riesgos de seguridad y las soluciones a ellos, englobado desde la perspectiva de empresa o de usuario. Cada uno de estos detalles: los hackers, los cortafuegos y las políticas de seguridad los dejamos para capítulos posteriores, ya que representan de por sí un estudio
42
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
especial. Es por ello que este capítulo representa una introducción a la problemática de seguridad
de las empresas y organizaciones y que en puntos siguientes iremos detallando.
Un estudio que empezará por unas básicas definiciones para poder continuar con el estudio
de redes internas y externas (las redes móviles requieren un capítulo aparte especial y que hacemos hincapié en lo que se está denominando como la Internet wireless). Un estudio del protocolo TCP/IP y la arquitectura ISO nos permitirá entrar en la autenticación y el control de acceso en
las redes seguras y los riesgos derivados del protocolo IP, riesgos a nivel de privacidad y de aplicación, relacionados con los servicios y protocolos a este nivel y que en posteriores capítulos estudiamos sus soluciones (Firewalls, detección de de intrusos, seguridad de contenidos, antivirus,
arquitectura de 3 capas, seguridad en las bases de datos, seguridad en terminales,etc).
3.2. Terminología básica
Para poder estudiar las vulnerabilidades de las redes y sus soluciones conviene conocer más nomenclatura relacionada con redes e Internet:
• Protocolos en la red:
Habíamos adelantado en el anterior capítulo la defi nición de protocolo:
“Un protocolo es un lenguaje utilizado por nuestro equipo para comunicarse con otros.”
Con más detalle, un protocolo es un lenguaje utilizado por dos máquinas para comunicarse entre sí, según el nivel de comunicación del estándar OSI.
Fig. III-1. La torre OSI y el protocolo TCP/IP.
En la anterior figura podemos ver los diferentes niveles según el estándar OSI, entre los
diferentes niveles el lenguaje de comunicación es un protocolo. Así para comunicarse
dos máquinas a nivel de red, éstas lo pueden hacer a través del protocolo IP, y a nivel
de transporte, a través del protocolo TCP. Por eso decimos que IP es un protocolo de
red y TCP un protocolo de transporte.
• Extranet:
Parte privada de Internet destinada a usuarios que requieren una autenticación no básica, normalmente clientes de una empresa.
• Intranet:
WebSite interno de una organización donde los empleados acceden mediante Internet
a los recursos corporativos.
Tecnología y Seguridad
43
• Redes virtuales privadas (VPNs):
Redes privadas seguras dentro del ámbito de Internet que interconectan empresas,
organizaciones y por las que corren aplicaciones web/email.
3.3. Redes internas
La seguridad de redes, empieza como no, por las redes internas. Una red interna como suma de terminales, servidores de datos y aplicaciones, reúne una cantidad de recursos (hardware, software, datos, personas, etc) que necesitan de una arquitectura segura y de una política de seguridad a cumplir
por cada uno de los recursos de la misma. Una seguridad que bien debemos aplicar máquina por máquina, o que, resultando mucho más fácil, debemos aplicar al conjunto de la organización.
El responsable de seguridad (normalmente el administrador de red) de una organización conoce de sobras su entorno (o debería conocerlo). La plataforma de red (Uníx, Lynux, Mac, NT),
el sistema operativo de los terminales y servidores, las aplicaciones cliente/servidor instaladas en
los terminales (ERP/CRM/Intranet, etc), las unidades de red compartidas por los usuarios, las bases de datos corporativas y debe aplicar en los usuarios, los diferentes permisos para poder instalar, consultar, eliminar carpetas, datos, aplicaciones, etc.
Es sabido que los primeros problemas de seguridad ocurren en la misma organización interna, no siempre debidos a intrusiones maléficas de empleados, sino muchas de las veces por fallos
de seguridad o puertas abiertas que se ejecutan “sin quererlo”.
Muchas organizaciones optan en la seguridad de su red interna, por no dar permisos de instalación de aplicaciones en sus terminales de empleados, evitando de esta manera los primeros
problemas de seguridad derivados de acciones desde aplicaciones no deseadas por la administración de la red.
Un tema importante y básico es la autenticación de los usuarios en la red. La seguridad interna empieza por la autenticación de los usuarios en un servidor central. Para identificar los usuarios normalmente los sistemas operativos incorporan la suficiente tecnología para ello y habría
que disponer de sistemas más fuertes, según las características de la información y los recursos a
acceder por los usuarios de la red.
La seguridad interna de la red de una organización, debe ser administrada por profesionales
en la materia, de sobrado conocimiento de la plataforma (sistema operativo, aplicaciones y bases
de datos), y regida sobre una política de seguridad que implique a todos los recursos del sistema.
3.4. Redes externas
Cuando hablamos de aplicaciones en la red interna que permiten la conexión hacia fuera (Internet,
RAS, punto a punto, etc), entonces la seguridad es mucho más importante, ya que entran más peligros: “los de fuera”.
Los peligros pueden venir de:
• Ataques dedicados:
Un intruso que nos elige y que intenta colarse en nuestra red.
• Ataques aleatorios:
Un hacker desconocido que ha descubierto un dominio y una IP y curiosea puertos para
ver hasta donde puede llegar.
Sus herramientas son fácil de encontrar (Internet es su mejor biblioteca), sus mecanismos
fáciles de realizar y por ello la red interna puede ser blanco fácil para los ataques. Estudiamos con
más detalles en el Capítulo de hackers, la manera de realizar sus fechorías, pero adelantamos en
este punto algunos ejemplos, para poner de manifiesto la obligada seguridad cuando nuestra red
está conectada al exterior:
44
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
• Una pasarela de correo electrónico permite a los empleados conectarse con los clientes de la empresa y enviarse documentación, ofreciendo por ejemplo un servicio de
Call Center a través del email, pero este servidor de correo, asociado al dominio de la
empresa, puede ser la puerta de entrada de intrusos.
• Un servidor web y FTP, permitirá a los clientes de nuestra empresa conectarse directamente con nosotros (extranet/servicios B2C, B2B, etc), pero también puede ser una
puerta muy fácil de entrar por un intruso que en pocos minutos, podría detectar los
puntos vulnerables de estos servicios.
Para desarrollar nuestra red externa teniendo en cuenta los peligros que significa abrir la red
a Internet y para mantenerla segura, debemos tener en cuenta los siguientes puntos:
• Seguridad en la arquitectura de las comunicaciones:
Soluciones firewall, conexión de routers, etc.
• Seguridad en la conexión a Internet:
Servidores DMZ, Servicios de seguridad del operador de telecomunicaciones, aplicaciones web/ftp/email seguras, servidor de comunicaciones con separación de la red
interna, etc.
• Acceso a aplicaciones seguras:
La tendencia empresarial es que la organización ofrezca mecanismos para que los
empleados y colaboradores puedan acceder de forma remota y segura a través de internet
a las aplicaciones internas, englobado en el entorno denominado business to business
(B2B), o como podemos conocerlo más común como teletrabajo.
• Autenticación remota:
Mediante usuario y contraseña, certificados digitales o tarjetas hardware. Temas que
trataremos con detalle en capítulos siguientes.
3.5. Internet y el protocolo TCP/IP
Internet es una red de ordenadores que se comunican entre sí utilizando el protocolo de control y
transporte de internet, TCP/IP. Éste es el protocolo básico de transmisión de datos en Internet y
que todos los servicios dependen de él. Este protocolo es sencillo de instalar en cualquier máquina
y no depende de ningún sistema informático y operativo.
Aunque habíamos estudiado brevemente este protocolo en el Capítulo II, vamos a estudiarlo más
a fondo, pues representa el punto básico técnico de la redes informáticas, y por tanto de Internet.
Las redes TCP/IP se basan en la transmisión de pequeños paquetes de información. Estos
paquetes contienen la dirección IP del emisor y del destinatario. Relacionado con el protocolo de
transporte IP existe el sistema de nombres de dominio DNS, que es un mecanismo de asignación
de nombres de ordenadores identificados con una dirección IP. Por ejemplo podemos relacionar la
dirección IP 183.56.78.2 con el nombre de dominio www.miempresa.com (ejemplo no real).
Tecnología y Seguridad
45
Fig. III-2. Familia de protocolos TCP/IP y la torre OSI.
Los protocolos de comunicaciones están asociados a la torre OSI y son como el lenguaje
entre dos dispositivos (que cada uno dispone de toda la torre) para comunicarse entre sí. Los protocolos están definidos en cada nivel. Así, como vemos en la fig.III-1, el protocolo IP está en el
Nivel 3. En Telecomunicaciones este nivel ofrece por sí mismo escasas garantías de seguridad, ya
que permite acceder a cualquier servidor en una red. Un ordenador con TCP/IP puede establecer
múltiples comunicaciones simultáneamente, a través de los denominados puertos. Un puerto es
como un canal de un televisor: a través de un único cable llegan infinidad de emisiones (según la
frecuencia escogida de la señal), de las cuales podemos escoger cuál ver con sólo seleccionar el
canal correspondiente (eligiendo una cierta frecuencia).
Los puertos están asociados a números como los canales a frecuencias, existiendo puertos
destinados a tareas concretas. Así el puerto 80 se emplea para servir páginas web, y el 21 para la
transferencia de ficheros. Los demonios (daemon, en inglés) son programas que se encargan de
escuchar a través de un puerto en espera de establecer comunicaciones. Así, el puerto 80 tiene un
demonio asociado, esperando recibir peticiones de páginas web, para establecer la comunicación
solicitada por el usuario.
Puerto
Servicio
21
FTP
23
Telnet
25
SMTP
43
Whois
80
HTTP
110
POP3
119
NNTP (News)
Fig. III-3. Algunos puertos TCP/IP y las funciones asociadas.
46
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
3.5.1 Protocolos de aplicación sobre TCP/IP
TCP define una amplia gama de protocolos a nivel de aplicación , los cuales representan puntos
débiles en la red IP:
• PING:
Debido a que este protocolo del nivel IP el módulo servidor se implementa en el sistema
operativo, por lo que es la prueba “más baja” para saber si un terminal está conectado
a la red, funcionando, incluso si existen servicios basados en TCP de nivel superior no
estén funcionando.
• TELNET:
Es el protocolo estándar para acceso remoto. Corre sobre TCP. Bajo Telnet no se puede
dar por hecho que la conexión sea segura. Comúnmente se deberán tratar de implementar mecanismos de seguridad en los niveles de seguridad inferiores, como niveles
de transporte o de red.
• RLOGIN:
Similar a Telnet, Rlogin permite en Unix a un usuario conectarse a otro host a través
de una red. Existen versiones para usar autenticación Kerberos, citado más adelante.
• RSH:
Es un comando de conectividad Unix originado en Berkeley para ejecutar un comando
dado en un host remoto, comunicándose con un daemon en éste.
• FTP:
Es un protocolo cliente-servidor que habilita la transferencia de archivos entre dos
computadoras entre redes TCP/IP.
• TFTP:
Muy similar a FTP, este protocolo simple de transferencia de archivos, se utiliza para
transferir código de arranque (boot) a las estaciones de trabajo sin disco.
• SMTP:
Protocolo básico de transferencia de correo electrónico. De por sí representa numerosas vulnerabilidades, puesto que su contenido puede ser leído por cualquiera, sino se
aplican otras capas de seguridad.
• KERBEROS.
• DNS Name.
• NFS.
• SNMP:
Protocolo básico de administración de red. Presente en todos los sistemas operativos.
Últimamente están apareciendo diferentes vulnerabilidades que hacen peligrar el
corazón de las administraciones de redes.
• PROTOCOLO CHAP:
El protocolo CHAP es un sistema empleado para verificar la contraseña de los usuarios que se conectan a un servidor de forma remota.
Este sistema guarda los nombres de todos los usuarios que tienen permitido el acceso
y sus respectivas contraseñas, y sólo permite completar la conexión en caso de que el
ordenador remoto le envíe un nombre de usuario y una clave válidas.
• HTTP
HyperText Transfer Protocol. En español, Protocolo de transferencia de Hipertexto.
Es un lenguaje pensado para mostrar texto con formato (títulos, efectos, tablas, etc.),
así como incluir otro tipo de contenidos (imágenes, audio, etc).
Tecnología y Seguridad
INSEGUROS
SEGUROS
Telnet
SSH
FTP
SCP
TCP
HTTPS
HTTP
IMAP sobre SSL
47
POP3
NetBios
Fig. III-4. Protocolos seguros e inseguros.
3.6. Autenticación en la red
En el siguiente cuadro se resumen las diferentes tecnologías de autenticación y control de acceso
en entorno NT y Unix/Lynux. Algunas de estas tecnologías se explican con más detalle en los siguientes puntos del presente capitulo (certificados digitales y PKI), y con más detalles y ejemplos
prácticos en el capítulo sobre seguridad en el comercio electrónico.
MÉTODO
SEGURIDAD
SERVIDOR
CLIENTE
UTILIDADES
Ningún
requisito,
sólo el poder
acceder al
servidor
Sólo para áreas públicas del
servidor que no necesiten
aparentemente seguridad
Orientado para intranets,
directorios corporativos
Anónimo
Ninguna
Tener habilitado el
usuario IUSR-host
(para NT)
Autenticación
NT
Alta e
integrada en
Windows
Cuentas de usuarios
NT
Internet
Explorer
Básico
Usuario y
contraseña
Cuentas de usuarios
Ventana de
autenticación
Kerberos
Alta
Usuarios y servidores
Certificados
Muy alta
PKI
Tarjetas
inteligentes
Muy alta
Software apropiado
Biométricas
Muy alta
Hard y soft
Tener
instalado el
certificado
Software
apropiado
Hard y soft
No encripta la información
por internet, por lo que
debe adaptarse a sistemas
apropiados
Sistema de seguridad basado
en la encriptación que
proporciona autentificación
mutua entre usuarios y
servidores en un entorno
de red
PKI, aplicaciones de los
certificados
Seguridad en entornos
internos
Seguridad en entornos
internos
Fig. III- 5. Diferentes sistemas de autenticación.
48
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Internet no tiene el equivalente al modelo de “presencia física” para transacciones de crédito
que no son tan importantes en el mundo físico. Esto significa que el pago en internet, con tarjetas
de crédito está sujeto a alto grado de fraude. Por ello las empresas que emiten tarjetas de crédito
cargan altas comisiones en las transacciones que se realizan por internet.
El cuadro 3.1 es la teoría de los sistemas de autenticación actuales y que en este punto vamos a estudiar con los servicios ofrecidos por internet.
El comercio electrónico requiere de utilización de métodos para el establecimiento de identidades, de sistema de pago y de mecanismos de resolución de disputas legales similares a las tradicionales. La tecnología que debe utilizarse en entornos de negocios a través de la red deberán
proporcionar una infraestructura digital de confianza.
Para esta infraestructura segura, debemos diferenciar dos grandes grupos, cada uno de los
cuales requerirán a la hora de ofrecer sus servicios por internet, sistemas de autenticación y privacidad adecuados al público al que están destinados, la estructura y acceso de los datos y a la calidad de la información que viaja por la red:
• Intranets:
Normalmente las empresas usan intranets privadas para facilitar las comunicaciones
internas entre sus empleados. En este entorno todos los usuarios son conocidos y la
autenticación puede realizarse en conexión con procesos establecidos (usuarios para el
acceso a la LAN) y a fuentes de datos internos de la empresa (usuarios y contraseñas
para acceder a las bases de datos).
Fig. III-6. La autenticación básica (usuario-password)
resulta ineficiente para sistemas Extranet o B2B.
• Extranet entre empresas:
En general en los entornos de negocios entre empresas (B2B), donde los valores de la
transacciones son más elevados, el riesgo de fraude aumenta drásticamente. Por ejemplo una aplicación internet sobre una VPN que permita a una empresa comprar sus productos conectándose directamente con la planta de su proveedor, requerirá una autenticación apropiada como el uso de un usuario y contraseña personales para el responsable de compras o en algunos casos el uso de certificados digitales para operaciones
“delicadas” (certificado digitales para VPNs).
• Sitios web de comercio electrónico:
La infraestructura del negocio deberá comenzar con conseguir la confianza on-line
del usuario a través de un marketing orientado a internet. A partir de aquí disponer de
la tecnología y protocolos de seguridad necesarios. Por ejemplo, una típica tienda virtual (abierta a cualquier usuario) donde por ejemplo, podemos adquirir un CD o publicar nuestro CV para que nos encuentren las mejores empresas, requiere pagar con una
Tecnología y Seguridad
49
tarjeta de crédito Una compra que requerirá en el pago, un protocolo de comunicación
que encripte la información (típicamente SSL). Además el website deberá cumplir la
normativa sobre Protección de datos e informar por ejemplo, al usuario de la fi nalidad
de los datos que se le piden.
Fig. III-7. La autenticación en aplicaciones B2C suele combinar
usuario y password y certificados de servidor (SSL).
3.7. Control de acceso
El control de acceso constituye una herramienta para proteger la entrada a un sitio web o a una
máquina que presta servicios en la red. Esta protección de la información puede ser a la máquina
completa, a ciertos directorios o a ciertos recursos o programas.
El control de acceso consta de tres fases:
1. La identificación:
Identifica al usuario o a la máquina que intenta acceder a los recursos que debemos o
intentamos proteger.
2. La autenticación:
El sistema que asegura que el usuario o la máquina que accede sea realmente quien
“dice” ser.
3. La autorización para el acceso:
Una vez el usuario ha sido reconocido o autenticado, el sistema le da privilegios de
acceso a ciertos recursos, le dota de autorización de acceso a programas, páginas web,
bases de datos, etc.
50
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Fig. III-8. Las medidas biométricas de autenticación son sistemas muy seguros. Entre los que se muestran
en esta imagen, la geometría de la mano es la más difícil de “imitar” y por tanto es el sistema de
autenticación biométrico más seguro.
3.8. Riesgos para la privacidad y confidencialidad
Los riegos o vulnerabilidades en la seguridad de internet deben ser sumados a todos los que hemos
citado en la protección de nuestro PC (Capítulo II), además añadimos una serie de posibles riesgos
inherentes a internet, en especial aquellos relacionados con la privacidad:
3.8.1. En los ataques de intrusos
Los hackers tienen infinidad de sistemas y medios (el mismo internet) para entrar en nuestro PC y en
nuestra red. En “Cómo proteger nuestro PC” (capítulo II) hemos estudiado algunos puntos de vulnerabilidades que utilizan estos individuos para atacar los sistemas informáticos.
Hacemos mención especial en este punto, a los ataques de negación de servicio, de especial
relevancia para servidores de datos, web o de correo electrónico. Los hackers realizan miles de
ataques SYN2 al servidor de red y para dificultar la identificación y seguimiento del hacker, cada
petición es falseada con una dirección de origen errónea. Cuando un servidor recibe miles de peticiones de este tipo, queda sobrecargado y no puede gestionar las peticiones internas (las “buenas”), por lo que deniega el servicio a los usuarios autorizados.
3.8.2. En los agentes de la comunicación
∑ Los proveedores de servicios Internet (ISP):
Estos servidores registran la identificación de la línea de llamada (en caso de ser proveedores de acceso a Internet) y disponen del canal de comunicación: el tráfico de red. Los
sistemas internacionales de espionaje Carnivore y Echelon captan en esta etapa (podríamos hacer sólo un libro sobre este tema) el contenido de correos electrónicos y páginas
web susceptibles de ser investigados por temas de fraude, pornografía o terrorismo.
∑ Los routers (o encaminadores):
ROUTER: La información que se envía a través de Internet se divide en paquetes de
datos que viajan por la Red hasta llegar a su destino.
2
SYN: inicios de sesión.
Tecnología y Seguridad
51
El recorrido se lleva a cabo, generalmente, en varias etapas, en las que se va decidiendo el camino a seguir. Para ello, se emplean dispositivos llamados routers (en español caminadores o enrutadores). Este dispositivo sabe en qué dirección debe enviar
un paquete según su destino. En el siguiente salto se repetirá el proceso, hasta que el
paquete llegue a la última etapa, la de la red del receptor, momento en el que la información llega a su destino.
En el camino entre antes el proveedor de servicios de internet y el sitio web visitado,
el tráfico pasa por varios routers que dirigen los datos entre entre la dirección IP del
usuario de Internet y la dirección IP (y nombre de dominio) del sitio web. Respecto al
almacenamiento y tratamiento de datos de carácter personal, estos encaminadores se
consideran elementos neutrales, aunque se puedan aplicar en ellos recursos destinados
a interceptar el tráfico de Internet. Por ello, en estos dispositivos existe un riesgo de
interceptación ilegal de información.
∑ Sitios web visitados:
El posible tratamiento de datos personales deberá estar adecuado a la normativa pertinente:
- Registro de peticiones a otros sitios web.
- Registro de visitas realizadas.
- Registro de datos personales del usuario (mediante formularios).
- Pagos on-line.
- Registro de páginas remitentes.
- Envío de cookies al disco duro del usuario.
- Elaboración de perfiles.
- Registro de palabras clave introducidas (en buscadores, peticiones de información, etc)
3.8.3. Derivados del protocolo HTTP
Este protocolo presenta una importancia estratégica ya que es el más utilizado en la Web, y puede ofrecer servicios como el correo electrónico, y los foros, que hasta ahora ofrecían los protocolos especializados de alto nivel, POP3, SMTP, o NNTP3. También utilizado por aplicaciones de
uso cotidiano por usuarios de Internet, como IRC, Chat e ICQ.
∑ Cabeceras HTTP:
En cualquier petición de acceso a una página web se generan cabeceras HTTP, 4
que contienen diversa información del software que tenemos instalado (dependiendo del
navegador utilizado), del lenguaje (español, inglés, etc), del sistema operativo, etc.
∑ Links invisibles:
Si un sitio web contiene en su código HTML la llamada a una página externa 5 o una
imagen de un sitio web publicitario o de cibermarketing, ésta conocerá la página remitente 6 antes de enviar el banner o el código HMTL solicitado. Esto significa que aunque naveguemos por páginas a priori seguras, éstas puede recabar datos de nuestra
conexión sin nuestro conocimiento expreso, y lo peor de todo compartirlas por otras.
∑ Acciones de navegación no esperadas:
En algunas páginas web, el código HMTL “nos obliga” a visitar sitios web no esperados, que contengan todos estos “inconvenientes”. Este tipo de acciones es normal en
3
DINANT, Jean Marc, Law and technology Convergence in Data Protection Filed?, Proyecto ESPRIT 27028.
Definidas técnicamente en le RFC 1945 del estandar HTTP 1.0.
5
A través de <frames> o <iframes> que hacen componer una página en varios “trozos”.
6
Gracias a la variable HTTP_REFERER de la cabecera HTTP.
4
52
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
sitios web de carácter pornográfico o de publicidad agresiva, donde empiezan a aparecer ventanas no esperadas y un día recibimos un e-mail, que no sabemos de donde
proviene nuestra dirección de correo, invitándonos con un mensaje muy corto a visitar
“chicas dulces a tu gusto”.
∑ Cookies:
Las cookies son datos que crea un servidor web y pueden almacenarse en ficheros de
texto en el disco duro del usuario de Internet, y de los que el sitio web pueden conservar una copia. Forman parte de la cabecera HTTP y existen dos tipos: las duraderas
y las de sesión. Estas cookies aumentan la capacidad de los sitios web de almacenar y
personalizar la información sobre sus visitantes.
La combinación de estos cuatro factores proporcionan los medios necesarios para elaborar un
perfil inteligente de cada usuario de Internet que utiliza un navegador estándar instalado en su sistema operativo y que navega en un sitio web. Este perfil no está vinculado en sí mismo al protocolo http,
como ha definido el W3C 7 y representa un peligro evidente para la privacidad de nuestros datos.
3.8.4. Derivados del protocolo TCP/IP 8
∑ El camino o la ruta que siguen los paquetes TCP/IP es dinámica:
Depende más de la congestión de la red, que de la distancia física entre los routers
(encaminadores). En el camino de un mensaje correo que se divide en paquetes, podría
ser que alguno de ellos pasara por algún país fuera de la UE, donde no hubiera una
política de privacidad y protección de datos adecuada. Además, el usuario medio de
Internet no dispone de medios técnicos para modificar esta ruta, sí el conocerla (por
ejemplo con el famosos programa TraceRoute).
∑ Los servidores DNS:
La traducción entre el nombre de dominio y la dirección IP de un web site se realiza
en los servidores DNS. A menudo, quienes mantienen estos servidores de nombre de
dominio suelen ser los proveedores de acceso a Internet, que disponen de capacidad
técnica para conocer mucho más que eso.
∑ La IP del usuario abierta al mundo:
Al conectarnos a internet cualquier usuario puede saber si estamos conectados utilizando el comando ping (desde MS-DOS, Uníx, Lynux, etc). No sabremos quien ha podido
hacer esta petición ni porqué. Es debido a que el protocolo IP está a nivel 3 (nivel de
red en la torre OSI).
3.8.5. Derivados del protocolo FTP
En los últimos años, se ha incrementado el debate en torno a los problemas relacionados con el comando PORT del protocolo del FTP. Estos problemas se basan el uso erróneo de dicho comando.
Para entender estos ataques, es necesario tener una comprensión básica del protocolo FTP.
Un cliente abre una conexión al port (puerto) de control de ftp (21) de un servidor FTP. De
este modo, para que el servidor sea capaz luego de enviar datos de nuevo a la máquina del cliente, una segunda conexión (de datos) debe abrirse entre el servidor y el cliente. Para hacer esta segunda conexión, el cliente envía un comando PORT al servidor. Este comando incluye parámetros
que indican al servidor cuál IP ADDRESS conectar y qué puerto abrir en aquella dirección. El
servidor luego abre aquella conexión, siendo la fuente de la conexión el puerto 20 del servidor y
el destino el port identificado en los parámetros del comando PORT. El comando PORT se utiliza
7
El World Wide Web Consortium (W3C) es una organización sin ánimo de lucro, albergada por el INRIA (Francia),
el MIT (USA) y la Universidad de Keio (Japón). Microsoft, AOL y Netscape también pertenecen a este grupo.
8
Fuente: Grupo de Trabajo sobre protección de datos del artículo 29 (Directiva 95/46/CE de la UE). Documento
5063/00/ES/FINAL. Privacidad en Internet, 21-11-2000.
Tecnología y Seguridad
53
generalmente sólo en el “modo activo” del ftp (por default). No se suele utilizar en modo pasivo
(PASV). Debe notarse que los servidores de ftp generalmente implementan ambos modos en ejecución, y el cliente especifica qué método utilizar.
Conforme con el protocolo FTP, el comando PORT hace que la máquina que lo origina especifique una máquina de destino y un puerto arbitrarios para la conexión de datos. Sin embargo,
esto también significa que un hacker puede abrir una conexión a un puerto del hacker eligiendo
una máquina que puede no ser el cliente original. Hacer esta conexión a una máquina arbitraria es
hacer un ataque “ftp bounce”.
4. Cómo proteger nuestro ordenador
4.1. Las típicas vulnerabilidades
Hagamos un esquema de las vulnerabilidades posibles de nuestro ordenador conectado a la red:
1. Uso por parte de personal no autorizado de nuestro ordenador.
Algo evidente que no podemos olvidar y es que nuestro ordenador puede estar en peligro por el uso de otras personas, y no siempre por su mala intención, puede provocar
la alteración, pérdida o sustracción de la información que contiene.
2. Configuración de red.
Un protocolo es un lenguaje utilizado por nuestro equipo para comunicarse con otros.
Siguiendo la estructura OSI, existen dos tipos de protocolos, de red y de transporte 9.
Los protocolos se encargan de enlazar servicios (clientes de redes Microsoft, compartir
archivos e impresoras con adaptadores hardware (módem, ADSL/cable módem, tarjeta
de red local, etc).
Fig. IV-1. Enlaces entre servicios de red, protocolos y hardware.
El no disponer de una correcta configuración de protocolos (muy en especial en entornos de
redes Microsoft), puede poner en peligro la seguridad de nuestra máquina.
Normalmente al instalar un sistema operativo todos los protocolos de redes Microsoft (TCP/
IP, NetBios-NetBeui10 e IPX/SPX11) aparecen todos enlazados.
9
Ejemplo: TCP protocolo de red. IP, protocolo de transporte.
10
NetBios NetBeui son protocolos sencillos diseñados por Microsoft para comunicaciones de equipos en redes de
área local -LAN- entre 20 y 200 estaciones de trabajo. La tecnología de Windows de redes está basada en estos protocolos.
11
IPX/SPX . Protocolo de red/transporte equivalente a TCP/IP para Redes Novell.
54
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
La incorrecta interconexión entre los servicios de red y los adaptadores hardware pueden
provocar puertas abiertas a nuestro sistema, haciéndolo inseguro.
3. Entradas indeseadas por puertos de comunicaciones.
Asociados a los servicios de red están los puertos de comunicaciones. Éstos son como
las oficinas de una empresa. La empresa es la dirección IP y las oficinas tienen una labor
y un número identificativo. Así la manera de entrar a un servidor web será mediante la
dirección IP de la máquina (por ejemplo 193.44.67.223) y sobre el puerto 80.
El disponer de puertos abiertos en nuestro ordenador (que no deberían estarlo) permitiría “entrar” en nuestro máquina por hackers o curiosos.
Fig. IV-2. Consultando la dirección http://grc.com podemos hacer un escaneo de los puertos abiertos de
nuestro sistema. Este servicio gratuito en Internet nos avisa de que puertos están abiertos y de los peligros
que ello conlleva. En este ejemplo, el sistema detecta que el puerto 80 está abierto
(Personal Web server de Windows 98).
4. Tarifa plana e IP fija.
Últimamente el mercado al consumidor se inunda de ofertas de tarifa plana, alguna de las
cuales asociadas a IPs fijas. Esto tiene un peligro evidente, pues nuestra máquina siempre
tendrá el mismo identificativo en Internet, poniendo así más fácil el trabajo de curiosos.
5. Virus.
Visitando ciertas páginas web o ejecutando correos electrónicos maléficos pueden provocar
la entrada de virus en nuestra máquina si nos disponemos de protección adecuada para ello.
6. Sistema Operativo.
Una vez el posible atacante de nuestra máquina ha conocido el terreno identificando el
sistema operativo de nuestro terminal (Windows 95/NT/200, Unís, Lynux, etc), podrá
aplicar el conocimiento de sus agujeros de seguridad para hacer fiel a su nombre. Utilizando nuestra máquina para esconder su rastro de ataques a otras (más importantes
que nuestra máquina), servirse de funcionalidades de nuestra red, etc.
Todo el hacking del sistema es difícil de evitar pues “viene incorporado” cuando compramos una máquina que ya viene con un famoso y estándar sistema operativo instalado.
Tecnología y Seguridad
55
Otro tipo de vulnerabilidades en el sistema operativo radican en la mala configuración
del sistema por parte del usuario. Los sistemas operativos actuales disponen de diversas herramientas para proteger nuestro PC y evitar por ejemplo ataques al sistema que
puedan provocar negación de servicios, inutilizando por ejemplo la funcionalidad de
un programa residente de correo en un servidor web.
7. Software instalado.
Los productos de software basados en comunicaciones están a la escucha de conexiones en puertos específicos en nuestro ordenador. El numero y el tipo de puertos dependen enteramente del software. Nos podríamos quedar sorprendidos de cuantos usuarios
disponen de aplicaciones de control remoto sin conocerlo y sin autorización.
Las debilidades (hacking del software) que pueden explotar estas aplicaciones de control pueden ser:
∑ Nombres de usuarios y contraseñas sin encriptar.
∑ Contraseñas débiles (utilizando algoritmos fáciles de desencriptar).
∑ Contraseñas conocidas o reveladas (extraídas de otros ficheros de nuestro ordenador).
∑ Perfiles conocidos.
4.2. Las soluciones
1. Uso indebido de la máquina:
Solución: Primeramente aplicarnos simples políticas de seguridad: vigilar nuestra
máquina y no dejarla en cualquier lado. Si nuestro ordenador lo utilizan diferentes personas la solución se basa en disponer de identificación y autenticación (usuario y password)
al comienzo de la sesión de trabajo o en mejores casos disponer de software específico
para asegurarnos de un cierto usuario no pueda acceder a ciertos servicios de la máquina, conectarse a Internet, etc.
2. Configuración de red:
Solución: El protocolo TCP/IP correspondiente a cada adaptador hardware no debe
tener enlazado ningún cliente de red; esta es la premisa más importante para evitar
que un atacante entre en nuestro PC utilizando NetBios. Hay que eliminar, por tanto,
los enlaces correspondientes en cada una de las entradas que comiencen por TCP/IP.
En el siguiente esquema mostramos la correcta configuración adecuada de los enlaces entre
protocolos, servicios de red y componentes hardware:
Compartir archivos e
impresoras
Clientes de redes Microsoft
TCP/IP
Acceso telefónico
a redes
NetBeui
ADSL/Cable módem
IPX/SPX
Adaptador de red
local
Fig. IV-3. La mejor y más flexible configuración es ésta utilizando sólo TCP/IP para internet
56
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
3. Puertos de comunicaciones:
Solución: Una medida básica es conocer qué puertos tenemos, cuales están abiertos, porqué
y cuales pueden traer problemas de seguridad. Para ello podemos disponer de herramientas
de escaneo de puertos y después de averiguar cuáles debemos no abrir bloquearlos o utilizar firewalls para ello.
Un puerto típico que nos puede traer problemas es el puerto 139 asociado al protocolo NetBios de Windows. Es el protocolo TCP/IP asociado al servicio de red compartir archivos
e impresoras. Esta facilidad de compartir recursos de nuestra máquina la hace totalmente vulnerable ya que con simplemente conocer nuestra dirección IP podría utilizar nuestra
máquina como transporte de ataque a otros o simplemente como objetivo primero.
Esta medida de seguridad viene a ilustrar la solución que dábamos anteriormente para
configuración de red en ordenadores con sistemas operativos Windows:
Fig. IV-4. El puerto 139 está asociado al protocolo TCP/IP sobre el servicio de red “Compartir archivos e
impresoras”. Se recomienda no enlazarlos para el acceso telefónico a redes, ya que podría provocar entradas
indeseadas en nuestra máquina desde Internet.
4. Tarifa plana e IP fija:
Solución: Al conocer con detalle estas últimas problemáticas y sus soluciones, nos podemos dar cuenta que estar conectado a internet con IP fija, aumenta la posibilidad de ataques.
Por ello los ISP (proveedores de acceso internet), ya no suelen dar IPs fijas para sus clientes
de tarifa plana, aunque conviene saber que si no desconectamos nuestro sistema de la red,
ésta mantendrá nuestra IP y por ello la facilidad de encontrarnos algún hacker.
5. Virus:
Solución: Es muy simple, disponer de un software antivirus actualizado y seguir una serie
de normas que explicamos con detalle en el capítulo VIII Las amenazas de los virus.
6. Sistema operativo:
Solución: Conocer las vulnerabilidades de los sistemas operativos y actualizarlos con
los parches oficiales que editan los fabricantes. Disponer de licencias oficiales de los
sistemas operativos ayuda sin duda, a disponer de las últimas versiones.
7. Software instalado:
Solución: Disponer de un firewall personal para filtrar qué sale de nuestro ordenador y
qué entra es una solución básica y perfecta para controlar cuando nuestros programas
se conecten a la red sin nuestro consentimiento.
Tecnología y Seguridad
57
5. Criptografía, Certificación y PKI
5.1. El círculo de confianza
La seguridad integral en la red se centra en ofrecer un círculo de confianza entre todas las posibles
partes de una comunicación electrónica, por ejemplo:
1. Comunicación entre dos usuarios, a través de correo electrónico, ICQ, chat a través de
web, consolas UNÍX, etc.
2. Comunicación entre un usuario y un servicio en internet, ofrecido por un website (ecommerce o B2C).
3. Comunicación entre oficinas remotas (redes locales, VPNs, etc).
4. Comunicación de una empresa con sus clientes y usuarios potenciales que se puedan
conectar a su sistema informático (a través de web, aplicaciones cliente/servidor a través de la red, e-mail, ftp, telnet, etc).
Fig. V-1. El círculo de confianza en la red.
En este círculo de confianza todas las partes que intervienen necesitan para la confianza que
su comunicación que se cumplan las claves de seguridad (interior del círculo). Crear esta estructura
donde se ven involucrados todos los agentes de internet (incluido las personas y las organizaciones)
es el reto de las Nuevas Tecnologías, donde actualmente la PKI (Infraestructura de clave pública) se
ofrece como alternativa global de seguridad.
En los siguientes puntos estudiaremos la criptografía como medio de encriptar la información que viaja por la red, la firma digital para asegurarnos de la entidad del emisor y receptor de
una comunicación y por último los certificados digitales y la PKI, como finalización del objetivo
de este ideal círculo de confianza de seguridad.
5.2. Criptografía y encriptación
Etimológicamente, las raíces de la palabra criptografía provienen de las palabras griegas kriptos,
que significa ‘oculto’, y graphos, que significa ‘escritura’. Podríamos definir la criptografía como
el arte o ciencia cuya finalidad es proteger la información alterando su representación de forma
que resulte enigmática e incomprensible. Existen una serie de términos asociados a la criptografía
cuya definición es preciso conocer para un completo entendimiento de la materia:
58
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
∑ Criptografía:
Criptografía es la ciencia que tiene como objetivo proteger la información por medio
de un cifrado.
∑ Criptoanálisis:
Criptoanálisis es la ciencia cuyos fines son justamente los opuestos a los de la criptografía: desencriptar los criptogramas y acceder de manera ilegítima a la información
contenida en los mensajes mediante ciertas técnicas.
∑ Criptología:
La criptología comprende el conjunto de ambas ciencias, criptografía y criptoanálisis.
∑ Clave:
La clave puede ser un número, palabra o frase, dependiendo del sistema de cifrado, en
función de la cual se cifra el mensaje en claro.
El tamaño de la clave en los sistemas informáticos se expresa normalmente en bits y
en función de un tamaño n se obtiene el número de posibles claves según la fórmula:
claves = 2 n.
El tamaño de clave es un factor decisivo en la seguridad de un cifrado: Cuanto mayo sea
n mayor será la seguridad de la encriptación, pero en detrimento será más costosa la operación de procesado del texto cifrado (mayor requerimientos de hardware y software).
La criptografía es probablemente tan antigua como la propia escritura. A lo largo de la historia ha sido empleada por diversas civilizaciones, casi siempre para guardar secretos de estado o
de carácter militar. De hecho, los primeros usos de la criptografía de los que se tiene constancia
se hicieron en las guerras entre Atenas y Esparta (siglo V a.C.) y durante la época de Julio César
(siglo I a.C.).
En esta tercera generación donde Internet es el epicentro y el canal de todas las comunicaciones, la
criptografía define dos divisiones, que se corresponden a dos filosofías distintas:
∑ Criptografía de clave privada o simétrica: se utiliza la misma clave para cifrar y descifrar un mensaje y su seguridad reside en mantenerla en secreto.
∑ Criptografía de clave pública o asimétrica: en este caso se emplean dos claves distintas
para cifrar y descifrar un mensaje y su seguridad reside en mantener en secreto la de
descifrado.
La encriptación utiliza la criptografía para poder cumplir cada uno de las aspectos básicos
de la seguridad.
El proceso de encriptación o cifrado es un mecanismo matemático, habitualmente en encriptación hablaremos de algoritmos. Éste puede ser realizado por un programa (software) y en algunos casos por dispositivos físicos (hardware). En los procesos de encriptación y desencriptación
se necesitan claves secretas (conocidas únicamente por algunas de las partes de la comunicación)
o públicas (conocidas por todos ellos).
Los métodos de encriptación que se utilizan actualmente son:
5.2.1. Encriptación simétrica
La clave secreta con que se encripta el mensaje es la misma con la que se desencripta.
El uso de una misma clave para cifrar y descifrar la información es la manera más simple
para encriptar, por ejemplo, un mensaje de correo electrónico. El agente emisor que pretende enviar un mensaje encriptado a un agente receptor debe enviar éste la clave de encriptación mediante algún mecanismo seguro. Estos sistemas son mucho más rápidos que los de clave pública, y resultan apropiados para el cifrado de grandes volúmenes de datos. Ésta es la opción utilizada para
Tecnología y Seguridad
59
cifrar el cuerpo de los mensajes en el correo electrónico o los datos intercambiados en las comunicaciones digitales. Los algoritmos más utilizados son:
∑ DES (Data Encription Standard):
Algoritmo basado en encriptacióp de paquetes de 56 bits. Está regulado por leyes de
seguridad de EE.UU.
∑ Triple DES:
Se trata de una evolución del DES. El triple DES por su propio nombre cifra la información a 128 bits y por tanto será más seguro de descifrar que el primero, siendo totalmente compatible con éste.
∑ RC4 (Rivest’s Code 4):
RC4 es un algoritmo de cifrado de flujo de clave de tamaño variable. RC4 es un algoritmo
que se utiliza en diversos productos comerciales, como Lotus Notes y Oracle secure SQL.
∑ IDEA (International Data Encription Algorithm):
Está siendo utilizado en sistemas europeos de alta seguridad.
∑ CAST:
Algoritmo que utiliza un tamaño de bloque de 64 bits utilizando la clave de encriptado/
desencriptado también de 64 bits.
∑ Skipjack:
Skipjack es un algoritmo secreto desarrollado por la NSA (National Security Agency,
Agencia Nacional de Seguridad de los EE.UU.) para implementación hardware. Es un
algoritmo del que no se conocen detalles, por estar evidentemente clasificado. La clave
que utiliza tiene un tamaño de 80 bits.
∑ Blowfish:
Es un algoritmo de cifrado de bloque muy rápido, compacto (puede funcionar con solamente
5 Kb de memoria) y la clave que utiliza es de tamaño variable de cómo máximo 448 bits.
5.2.2. Encriptación asimétrica
El sistema actual de encriptamiento asimétrico más usado es el denominado de clave pública
RSA.
Desarrollado en 1977 por Rivest, Shamir y Adleman en el MIT.
Su teoría matemática no es muy compleja, y conceptualmente es sencillo de entender.
∑ Se usan dos claves:
∑ Una Clave Privada (el dueño debe mantenerla en secreto, es su responsabilidad).
∑ Una Clave Pública, que el dueño comparte con quienes intercambia información.
∑ La función de encriptación, que transforma el documento original en un documento
indescifrable, cumple:
∑ El documento encriptado con la clave privada solo puede ser descifrado con la clave
pública.
∑ El documento encriptado con la clave pública solo puede ser descifrado con la clave
privada.
Este esquema permite confidencialidad e inclusive verificar la identidad del EMISOR.
Si EMISOR y RECEPTOR usan este esquema para el intercambio de datos se logra privacidad y autenticidad. Se tiene un canal seguro para la comunicación de datos.
60
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Fig.V-2. Encriptación asimétrica: Para encriptar un mensaje el EMISOR encripta el mensaje con la CLAVE
PÚBLICA del RECEPTOR. Para desencriptar o descifrar el mensaje, el RECEPTOR debe aplicar su
CLAVE PRIVADA.
Recuerde
La finalidad de la ENCRIPTACIÓN es que el emisor envíe un mensaje que exclusivamente el receptor pueda leer:
• Encriptación simétrica
cuando se emplea la misma clave en las operaciones de cifrado y descifrado, se
dice que el criptosistema es simétrico o de clave secreta.
• Encriptación asimétrica
Cuando se utiliza una pareja de claves para separar los procesos de cifrado y
descifrado. Una clave, la privada, se mantiene secreta, mientras que la segunda
clave, la pública, es conocida por todos.
5.3. Firma electrónica
Sabemos quien es el autor o el responsable de un documento escrito en papel verificando la firma
al pie del mismo. Normalmente todo documento escrito en papel está firmado por su autor, o por
las personas que son responsables y están aludidas en dicho documento.
En forma similar un documento electrónico necesita la firma electrónica o digital del autor.
La firma electrónica es por tanto como una huella digital de un documento encriptada con
la clave privada del autor.
∑ Un mensaje electrónico fi rmado digitalmente no le deja dudas al receptor, sobre quien
es el autor.
∑ Una vez estampada o aplicada una firma digital, el titular no la puede desconocer.
∑ Cuando un documento es fi rmado digitalmente, se puede verificar y autenticar.
∑ Integridad:
La huella digital como código verificador, permite comprobar la integridad del
documento, que no haya sido alterado.
∑ Autenticar:
La fi rma electrónica es un bloque de caracteres que acompaña a un documento o
fichero acreditando quien es el autor (autenticar).
Tecnología y Seguridad
61
∑ No Repudio.
En el proceso de encriptación del mensaje el autor utiliza su clave privada, por lo
que impide que luego pueda negar su autoría.
Tanto en las firma digital como en los certificados digitales se utilizan dos juegos de claves,
en lugar de sólo uno. Ello obedece a que la utilización de claves distintas para encriptar y firmar,
refuerza la seguridad del sistema.
Cuando se firma electrónicamente un mensaje, se utiliza la clave privada de autenticación
para generar la firma digital y que se adjuntará al mensaje. Cuando se encripta este mensaje que
quiere enviar el emisor, se utiliza la clave pública de encriptación del receptor. Sólo el receptor podrá desencriptar el mensaje, gracias a la clave privada de confidencialidad.
Visto de manera esquemática, el proceso en el emisor, para obtener el mensaje encriptado
con la firma electrónica adjunta, es el siguiente:
Fig. V-3. Proceso desde el emisor para obtener su mensaje encriptado con firma digital.
CÉSAR
∑ César conoce la clave pública de María.
∑ César quiere recibir un texto fi rmado de tal forma que tenga la seguridad
de que el texto, tal y como lo recibe sólo ha podido ser enviado por María
(CONFIDENCIALIDAD).
∑ Aunque un tercero pueda manipular el texto, César al verificar la firma, que
el texto no es el mismo que envió María (INTEGRIDAD Y AUTENTICACIÓN).
∑ César podría probar ante terceros que el texto que tiene en su poder ha sido
enviado por María (NO REPUDIO).
En este esquema intervienen los siguientes nuevos agentes:
∑ Funcion hash:
Función criptográfica que cuando se aplica a un texto lo reduce a un tamaño fijo.
∑ Mensaje digest:
62
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Versión reducida del mensaje que encriptado con la clave privada del emisor se obtiene
la firma digital. En el proceso de desencriptación el mensaje digest deberá ser el mismo.
La autenticidad de la firma electrónica se verifica a través de dos fases mediante la función
hash y el mensaje digest:
1. Comprobación de que el certificado fi rmante no ha sido manipulado.
Para verificar la autenticidad del certificado fi rmante:
a. Se obtiene un resumen de los datos del certificado C con un algoritmo (MD5–SHA1).
b. Se descifra la fi rma que realizó la CA cuando concedió el certificado con la clave
pública de la FNMT.
c. Si el resultado de a) y b) es el mismo, se tiene la certeza que el certificado de usuario
no ha sido manipulado y la clave pública del signatario del mensaje es la que se
generó en la petición del certificado.
∑
Comprobar la autenticidad de la firma.
Los datos que intervienen en el proceso de verificación de firma son:
1. Mensaje con los datos que se fi rmaron.
2. Los datos de la propia fi rma electrónica.
3. Parte pública del certificado fi rmante.
Para verificar la autenticidad de la firma:
a. Se obtiene un resumen del mensaje A con un algoritmo (MD5 – SHA1).
b. Se descifra la firma B con la clave pública del signatario validada en el proceso 1.
c. Si el resultado de a) y b) es el mismo, se tiene la certeza que el certificado de usuario
no ha sido manipulado y la clave pública del signatario del mensaje es la que se generó
en la petición del certificado.
Recuerde
La finalidad de la Firma Electrónica es que el emisor sea reconocido por el receptor del mensaje como el autor del mismo.
5.4. Certificados digitales
Un certificado digital es un contenedor de datos que alberga identidades (por ejemplo de una persona, sus nombre, dirección e mail) con un par de claves encriptadas públicas y/o privadas. Los certificados se usan en una gran variedad de contextos de seguridad en red para establecer la autenticación
y privacidad entre usuarios de red y usuarios de aplicaciones.
La diferencia entre la firma y el certificado digital reside en que éste último es una especie
de DNI electrónico con el que además de firmar, se encripta el documento electrónico por una Autoridad de Certificación (CA).
Los certificados digitales forman la estructura tecnológica más avanzada y son soportados
por casi todos los protocolos de internet y aplicaciones en red.
Tecnología y Seguridad
63
CERTIFICADO DIGITAL
Tipo de certificado
Número de certificado
Algoritmo de la firma digital del titular
Fecha de inicio y caducidad
TITULAR
CLAVE PÚBLICA DEL TITULAR
Autoridad de certificación
Identificador del Titular
Fig.V-4. Estructura de un certificado digital.
El certificado digital proporciona absolutas garantías de seguridad respecto a las cuatro claves fundamentales:
∑ Autenticar si quien envía el mensaje al que se adjunta el documento es efectivamente
quien dice ser.
∑ La Integridad de la transacción garantizando que el mensaje (la transacción), no ha sido
manipulada.
∑ La Confidencialidad de la comunicación, permitiendo el acceso de lectura de la misma
solamente a aquellos que hayan sido previamente autorizados.
∑ El no-repudio, asegurando que el mensaje (la comunicación, la transacción), una vez
aceptada no puede ser rechazada por negar su origen.
La función principal de un certificado es asegurar la validez de una clave pública. Es por tanto, muy importante estar realmente seguros de que la clave pública que manejamos para verificar
una firma o cifrar un texto, pertenece realmente a quine creemos que pertenece.
Tipos de CERTIFICADOS
∑ Certificado de servidor:
Se instala en el servidor por ejemplo para establecer el protocolo seguro SSL,
que permite que los datos entre el cliente y el servidor (entre el usuario y el
proveedor) viajen por la red encriptados.
∑ Certificados Personales:
Sirven para autentificar, firmar y encriptar un archivo. Un ejemplo son los
certificados emitidos por la FNMT que sirven para realizar ciertas operaciones con la Agencia Tributaria para pagar o cobrar la declaración de Renta o
a la Seguridad Social a través del sistema RED por internet.
∑ Certificados para VPNs:
Permite la autentificación de un usuario que se conecta a lo servicios de una
VPN, red privada virtual, una red interna, donde los empleados o proveedores que la utilizan deben ser reconocidos por el sistema.
∑ Certificados para WAP:
Localizado en el proveedor de servicios o en dispositivos inalámbricos. Permite firmar digitalmente los pedidos a través del móvil.
64
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
5.5. Certificación y PKI
5.5.1. La infraestructura de clave pública
Imaginemos un grupo de usuarios que se quieran intercambiar mensajes encriptados con sistema
de clave pública y privada. AL existir múltiples pares de claves para mantener comunicaciones
distintas con grupos diferentes resulta esencial plantear un método para administrar y controlar su
utilización. Nace aquí la PKI, Infraestuctura de clave pública.
En octubre de1995 se constituyó un grupo de trabajo denominado PKIX Working Group con
la intención de desarrollar estándares en Internet para poder soportar PKIs. Uno de los primeros trabajos de este grupo fue la recomendación emitida por la ITU-I sobre los certificados X.509. Actualmente este grupo sigue trabajando en trabajos y en enero de 2001 se hizo público un documento titulado como “Internet X.509 Public Key Infraestructure Roadmap”, en el cual se define una infraestructura de clave público como el conjunto de hardware, software, personas, políticas y procedimientos necesarios para crear, gestionar, almacenar, distribuir y revocar certificados digitales basados en
clave pública: es decir, el auténtico corazón de la PKI, sus funciones y obligaciones.
Fig. V-6. EL Círculo de confianza y el papel de la PKI.
Hablar de PKI, como bien resume su acrónimo, es hablar de clave pública. Como hemos estudiado, los sistemas de encriptación de clave pública funcionan con dos claves: una clave pública utilizada para encriptar el mensaje, y otra clave privada, utilizada para desencriptarlo. La clave
privada evidentemente debe mantenerse en secreto, mientras que la pública debe estar accesible al
público, normalmente alojada en una web o en un directorio de claves. En una PKI este directorio
de claves suele ser una aplicación Internet donde acceder a todas ellas:
Fig. V-7. Listado de claves públicas en PGP.
Tecnología y Seguridad
65
Debido a este inconveniente en la gestión de claves públicas para conseguir una credibilidad
e integridad del sistema hace falta un marco legal y técnico para que el sistema de encriptación
pueda funcionar de forma eficaz: la PKI.
La función principal de una PKI es crear confianza entre las partes que intervienen en las
comunicaciones y transacciones On-line, comerciales (B2C) legales, empresariales (B2B). Estas
funciones giran desde tres factores: tecnológicamente, factores de negocio y factores legales.
Recuerde
La PKI es la infraestructura que gestiona las claves y certificados para personas, programas, y sistemas. La Infraestructura de Clave Pública deberá suministrar mecanismos de
autenticación, integridad, confidencialidad y no repudio entre todas las partes.
Los componentes esenciales de una PKI son:
∑ Autoridad de certificación (CA), entidad que emite los certificados digitales alojados
en el servidor web o en el terminal cliente.
∑ El directorio que contiene las claves públicas y los certificados (ver figura IV-7). PKI
debe implementar un repositorio central donde se almacenan y se consultan los certificados. Además almacena las denominadas Listas de Certificados Revocados (CRL).
∑ El management de la infraestructura que marca y establece la Política de seguridad de
la PKI.
∑ Key Recovery Service (Servicio de recuperación de claves) que se debe utilizar cuando
se pierde una clave.
∑ Autoridad de Registro (RA). Proporciona el interfaz entre el usuario y al CA, capturando y autenticando la identidad de éstos, además de entregar la solicitud de certificados
a la CA. La calidad en este proceso de intercambio de identidades (CA-RA) establece
el nivel de confianza que puede otorgarse a los certificados.
5.5.2. Autoridades de certificación
En la emisión de los certificados, las Autoridades de Certificación, CA, deben:
∑ Aceptar una solicitud de certificado.
∑ Comprobar la información del solicitante, de acuerdo con la directiva de la entidad
(plasmada en la política de seguridad de la PKI).
∑ Utilizar su clave privada para aplicar su fi rma digital al certificado.
Las Autoridades de Certificación son la base de confianza de una PKI, ya que gestionan los certificados de clave pública durante toda su vida, ya que:
∑ Emiten los certificados vinculando la identidad del usuario a una clave pública con su
fi rma digital.
∑ Incluyen los certificados emitidos en el directorio (o repositorio).
∑ Programan las fechas en las que expiran los certificados.
∑ Garantizan que los certificados se revocan cuando son necesarios.
∑ Publican las listas de revocación de certificados, CR.
Además, pueden asumir responsabilidades sobre el uso de los certificados, como podría ser
el caso de la FNMT17 que emite certificados para trabajar con la Agencia Tributaria y la Seguridad
Social, donde la CA juega un papel de Entidad pública de certificación.
17
La Fábrica Nacional de Moneda y Timbre, la misma entidad que fabrica los Euros.
66
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Los certificados emitidos por las CAs pueden clasificarse, según los siguientes criterios:
∑ Objeto de la certificación:
Podría ser únicamente la firma digital, identificación y autenticación para pago en
comercios electrónicos.
∑ Aplicación:
Correo electrónico, pagos seguros, servicios web, movilidad y m-commerce, acceso
remoto a intranets, etc.
∑ Tipo de identidad:
En el caso de certificados de identidad, éste puede ser un ciudadano, una organización,
un sistema informático, etc.
∑ Nivel de garantía:
Un ejemplo de esta clasificación son los distintos certificados que emite la FNMT. Esta entidad pública emite tres tipos de certificados:
∑ FNMT clase 1 CA.
∑ FNMT clase 1S CA.
∑ FNMT clase 2 CA.
Para, por ejemplo, identificar el nivel de garantía que ofrece cada certificado, y según el cual
sea el cual una aplicación puede aceptarlo o no, se definen clases, o niveles, a los que se asignan
los certificados emitidos. Cada uno de estos certificados estas destinados a distintas aplicaciones
que por su naturaleza requieren un nivel mayor o menor de seguridad o menor.
5.5.2.1. Tipos de entidades emisoras de certificados
Los tipos de entidades emisoras de certificados son:
∑
Entidad emisora de certificados con autofirma:
La clave pública de certificado y la clave utilizada para comprobar el certificado son la misma.
∑
Entidad emisora de certificados subordinada:
La clave pública del certificado y la utilizada para comprobar los certificados son diferentes. Este proceso, donde una entidad emite un certificado a otra entidad emisora, se
conoce como certificación cruzada.
∑
Entidad emisora de certificados de certificados raíz:
El cliente confía plenamente en una entidad emisora de certificados raíz, que ocupa es
escalafón más alto en una jerarquía de certificados.
5.5.2.2. Jerarquías de entidades raíz
Un administrador puede crear una jerarquía de entidades emisoras de certificados comenzando
por un certificado de entidad emisora raiz, y a continuación, ir agregando entidades intermedias
que emitirán certificados a entidades subordinadas. La cadena de Cas termina cuando una entidad
emite un certificado a un usuario final.
Una jerarquía CA es una estructura de fiabilidad por la cual una CA se ubica en la parte superior de la estructura y hasta x capas de CA subordinadas se ubican por debajo de ella. Cuando
los usuarios o los servidores se registran en una CA, reciben un certificado firmado por la CA y
heredan la jerarquía de certificación de las capas superiores. En una estructura PKI, una CA puede
configurarse para formar parte de una jerarquía interna, ascendente o descendente.
Tecnología y Seguridad
67
Fig. V-8. Jerarquías en las CAs.
5.5.3. Aplicaciones de la PKI
La PKI posibilita que dos personas o entidades se comuniquen de forma segura sin necesidad de
conocerse o que exista una relación de confianza electrónica. Esto es posible por la figura de la
Autoridad de Certificación, CA, que gestiona los usuarios, las claves y los certificados.
Todas aquellas aplicaciones que requieran comunicaciones seguras entre dos partes (conocidas o no), serán potencialmente aplicaciones posibles de PKI:
∑
Redes virtuales privadas (VPN):
La PKI permite a las empresas y organizaciones crear redes privadas seguras dentro del
ámbito de Internet. El estándar en este ámbito es el Internet Protocol Security (IPSEC),
que sirve para asegurar la red privada en lugar de las aplicaciones.
∑
E-mail seguro:
La utilización de tecnología de clave pública en el correo electrónico permite que el envío de la información pueda realizarse de forma más segura utilizando para ello el protocolo S/MIME.
∑
E-Commerce:
Aprovechar Internet para el desarrollo del comercio electrónico es quizás el objetivo
principal de las claves públicas. Los protocolos utilizados en las transacciones On-line
son el SSL y el SET:
∑
∑
o
Servicios de banca a distancia.
o
Compra-venta-marketplaces.
o
Servicios B2b en el ámbito del e-Procurement (ventas a proveedores).
Software seguro:
o
Firma del software (authenticode).
o
Descarga de software seguro.
o
Sistema de archivos encriptados NTFS de Windows NT/200/xp (sistema
EFS).
Servicios públicos en Internet:
La administración pública, la AEAT, la Seguridad Social, dispone con la PKI, una herramienta de comunicación con el ciudadano, en la que otros organismos, como por ejem-
68
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
plo Tráfico, el Gobierno, etc pueden aprovecharse de las CA, como la FNMT, y crear así
una aplicación útil y directa para el ciudadano.
Otros ejemplos pueden ser la PTT Post (servicios postales de Holanda) o la UPU en Suiza, donde se garantiza la seguridad de mensajes EDIFACT referidos a transferencias de
fondos entre organismos postales nacionales.
5.5.4. Utilización de una PKI
El proceso para que un usuario requiera entrar en una PKI y acceda a un servidor seguro de esta
infraestructura es el siguiente:
1.
El usuario pide un certificado digital a la Autoridad de Registro, AR.
2.
La Autoridad de Registro, RA, verifica la identidad de un usuario pidiendo a la Autoridad de Certificación, CA, que emita el certificado.
3.
La Autoridad de Certificación, CA, expide este certificado almacenándolo en el directorio y enviando una copia al usuario.
A partir de aquí el usuario ya está en disposición de utilizarlo:
4.
El usuario accede a un servidor seguro con su certificado personal previamente obtenido
mediante peticiones a la AR (y ésta a la AC).
5.
El servidor seguro se comunica con el usuario mediante su certificado de servidor.
6.
El usuario y el servidor validan los certificados (comprobándose en el directorio de certificados). Una vez que esta comprobación se haya validado, la autenticación se habrá
completado y el usuario tiene permiso de acceso al servidor.
5.5.5. Presente y futuro de la PKI
Actualmente existen diversas aplicaciones PKI en Internet, todas ellas propietarias de un sistema
de relación B2B o B2C. Montar una PKI no es un proceso fácil, requiere tecnología, hardware,
software, bases de datos y gestión contínua.
Al haber diferentes PKI instauradas, existen diferentes CAs y RAs que autentiquen sus
usuarios y certificados. Cuando estas entidades sean capaces de entenderse entre sí, estaremos hablando de la consolidación de la PKI como estructura básica de seguridad en el comercio electrónico a escala global.
5.5.6. Certificación electrónica en España
∑ Agencia de Certificación Electrónica (ACE): http://www.ace.es
∑ Cámaras de Comercio (España): http://www.camerfi rma.com
∑ FNMT. Entidad pública de certificación (AEAT, Seguridad Social, ayuntamientos,
etc), http://www.fnmt.es
∑ TRUSTe: http://www.truste.com
∑ JurisNET: http://www.jurisnet.ch
∑ FESTE: http://www.feste.es
Recuerde
Una infraestructura de clave pública es el conjunto de todas las tecnologías que aplicadas a
procesos de negocio en una organización, permiten establecer el adecuado marco de seguridad para el desarrollo de transacciones comerciales a través de Internet o entre intranets
corporativas.
Tecnología y Seguridad
69
6. Los riesgos en Internet: virus y hackers
6.1. Virus
6.1.1. Definición de virus
Los virus son pequeños programas diseñados y escritos intencionadamente para instalarse ejecutarse en ordenadores sin el conocimiento del usuario que se lo utiliza. Su funcionamiento maléfico se basa en el hecho que se reproduce y se propaga y transmite terceros ordenadores gracias
por ejemplo a Internet.
Los virus infectan archivos de ordenadores y ejecutan procesos sobre ellos. Cuando un archivo de un ordenador es infectado y se ejecuta (normalmente sin intención explícita por parte del
usuario), éste se transmite a otros archivos y se propaga sin control, enviando por ejemplo archivos
infectados a otros usuarios vía correo electrónico (el caso del famoso I love you).
6.1.2. El peligro de Internet
Los primeros registros que se tiene constancia de programas dañinos constan de 1937, donde en
la Universidad de Delaware se propago un virus que hacía cambiar el nombre del prompt (C:)
del sistema operativo de la red universitaria. Desde entonces, programadores de software han utilizado los lenguajes Pascal, C o Ensamblador para diseñar sus “programas”. Hoy en día, debido
al auge de Internet y a los entornos de programación asociados a la web y al e-mail, es más fácil
programar virus: el lenguaje JAVA y los lenguajes SCRIPT (VBasic, JavaScript) permiten ejecutar ordenes peligrosas en paginas HMTL o correos que un usuario puede visitar a recibir sin sospechar de su efecto.
Internet por tanto ha hecho crecer los medios de propagación y transmisión de los virus, que
antes sólo se propagaban a través de dispositivos de almacenamiento. Los medios son las herramientas de la red: las páginas web que soporta cada día más lenguajes y programas plug-ins, el correo
electrónico, el ICQ, el CHAT y el IRC. Este peligro evidente en las empresas hacen indispensable
tomar medidas que se basan en disponer de un programa Antivirus de calidad con los servicios de
mantenimiento en regla.
6.1.3. Tipos de virus
• Virus sobre VAX/VMS:
Diseñados para ser ejecutados en entornos de estos sistemas operativos. Estos son los
primeros y más antiguos virus entre los que destacan el CHRISMAT LETTER.
• Puertas traseras:
Conjunto de instrucciones dentro de un programa o sistema operativo que permiten su
acceso sin dejar rastro en los controles de seguridad o auditoría. Denominados puertas traseras pues son diseñadas expresamente por programadores expertos.
• Macrovirus:
Diseñados para infectar programas muy populares como el Word, Excel, Adobe Acrobat. Ejemplos famosos son los virus MELISSA o el ETHAN.
• Caballos de Troya (o troyanos):
Programas que a primera vista son útiles, pero que esconden código no esperado y
generalmente maléfico. Ejemplos son el NETBUS y el BACK ORIFICE.
• Bombas lógicas:
Código indeseable que se ejecuta en aplicaciones de uso cotidiano según ciertas acciones o circunstancias (por ejemplo un código de teclas). Ejemplos son el VIERNES 13
y el MIGUEL ANGEL.
70
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
• Bacterias:
Son programas que se replican a sí mismo continuamente hasta detener el sistema del
ordenador, bien por memoria, CPU o tamaño del disco duro.
• Virus de código script:
Las páginas HTML y los mensajes de correo-e pueden ser contendores de peueños programas escritos en lenguaje script de cliente (se ejecutan en el ordenador de un usuario que se
conecta a un cierto sitio web o recibe un peligroso mensaje). La ejecución de estos programas (y que el usuario no controla puede tener resultados desastrosos. Son ejemplos relevantes los virus AVM, INTERNAL y el famoso I LOVE YOU.
• Virus sobre Java:
No tan famosos como los virus de script, pero más dañinos pues el lenguaje JAVA permite más interacción con el sistema. Ejemplos destacados son los virus BEANHIVE y
el STRANGEBEAN.
• Gusanos:
Los gusanos utilizan las redes para propagarse y reproducirse. Diseñados al principio
para reproducirse a través del correo electrñonico, los gusanos escudriñan las tablas de
ruta de los ordenadores y servidores de red, las listas de correo para copiarse a sí mismo
y propagarse por ellas. El peligro consiste en que está distribución del programa infectado puede ser exponencial, como una reacción en cadena. De esta manera es posible infectar en poco tiempo una MAN completa. Esta propagación no sólo se realiza a través del
email, sino a través de LOGINs en sistemas, conectándose el gusano como usuario en
otros sistemas y una vez en ellos, propagándose en otros, mediante esta u otra manera.
Ejemplos de estos virus son el SIRCAM, el LOVETTER y el MAGISTR.
• HOAX:
Los HOAX no propiamente virus. Traducidos al castellano, bulos o engaños. Son mensajes –normalmente a través del email– que nos informan de falsos virus o amenazas. Son
textos que aparentemente serios asociados a alguna empresa de renombre en el mundo de
la informática IBM, AOL, Microsoft, etc y que bajo contenido normalmente catastrófico
pretende crear miedo entre los usuarios. Un ejemplo es un mensaje recibido por muchos
usuarios que invitaban a escribir en el WORD la frase Q33 NY y pasando la fuente la
letra a Windings. El falso mensaje es que Q33 NY era el código de vuelo de uno de los
aviones del 11 sept. Pasando este texto a la fuente citada se pegará un buen susto (Q33
NY). La mentira: Q33 NY no era realmente el código de vuelo.
6.1.4. Evitar sus peligros
• Programas de antivirus:
La norma primera y evidente es disponer en nuestro ordenador personal y en nuestra
red corporativa de una programa Antivirus adecuado a nuestras necesidades con el
consecuente servicio de mantenimiento que nos actualice el programa de defensa para
los virus recientes aparecidos. En este sentido cabe mencionar que para proteger una
red de ordenadores se necesitan programas diferentes que para un portátil.
• Actualización del antivirus:
Actualizar los programa de antivirus al menos cada diez días. Todos los programas de antivirus disponen de servicio de actualización automática por internet.
Tecnología y Seguridad
71
Existen numerosos recursos en Internet para conocer lo último en virus. En el ejemplo se muestran los
virus más atacados en las últimas 24 horas en la zona del sur de Europa (www.trendmicro.com).
• Escaneos periódicos:
Realizar escaneos de los discos duros y ordenadores de la red con cierta periodicidad.
• Instalación de programas:
Vigilar qué programas se instalan en los ordenadores. Internet es una fuente de programas de cualquier origen que no podemos fiarnos de su seguridad.
• Servidores de correo electrónico:
Si en nuestra empresa se dispone de servidores de correo, este programa deberá disponer de programas de seguridad añadidos para evitar que entren correos con códigos
Script o ActiveX dañinos.
• Programas de correo:
Modificar las características de los programas de correo para por ejemplo, no ejecutar
los emails nada más llegar, sino después de aceptarlos (evitando así una posible infección). En este sentido, existen añadidos de los programas de antivirus para proteger
especialmente el Eudora, Lotus Notes y MS Outlook, puerta de entrada para los virus
de los últimos años. Antes de todo vigilar que programas se van a aceptar: mensajes
pornográficos, ejecutables, etc. Existen archivos altamente peligrosos que lo mejor es
no abrirlos: archivos con extensión .exe, .vbs, etc).
• Mentiras en la red:
No hacer caso de mensajes de correo con la aparición de ciertos virus. Sólo hacer caso
de aquellos que vengan de la mano (origen de la cuenta de correo) de empresas en las
que se confíe.
• Backups de datos:
Realizar copias de seguridad con la frecuencia necesaria. A veces los desastres producidos por los virus sólo pueden ser solucionados con el formateo de los discos duras.
• Arranque en disquetera:
Para limpiar un disco duro, arrancar el sistema desde la disquetera (asegurando este
disco previamente).
72
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
• Políticas de seguridad:
Las empresas deben disponer de medidas proactivas para evitar los virus Este ejemplo
de recopilatorio de medidas debería formar parte de estas políticas empresariales.
6.2. Mecanismos complementarios
Aunque con los mecanismos indicados hasta ahora se garantiza en alto grado la ausencia de virus
en el sistema informático, hay una serie de medidas complementarias que contribuyen a aumentar
nuestra seguridad y nuestra tranquilidad ante la posible presencia de virus. Algunos de estos mecanismos complementarios son de índole mecánica y otros son de procedimiento.
1. Llaves de cierre. Existen en el mercado dispositivos adaptables a las disqueteras del
ordenador que pueden cerrarse con llave y que evitan que puedan introducirse disquetes. Si necesita proteger de manera total alguno de sus ordenadores, éste es un mecanismo muy efectivo.
2. Auditoría de Seguridad antivirus. Aunque se estén tomando medidas para evitar la
introducción de virus en nuestro sistema, es necesario que, de forma periódica, se
concierte una auditoría que certifique que el proceso que se está realizando cumple
las especificaciones mínimas que aquí se indican. Siempre pueden producirse errores
humanos en la operatoria que no son detectables a no ser mediante la inspección ocular
de un experto en la operación.
3. Revisión periódica del plan antivirus. Los cambios en la configuración del sistema
informático, los cambios en el personal encargado de los procesos y la aparición de nuevos virus (y sus correspondientes ativirus) hacen recomendable que el plan antivirus se
revise de forma periódica. Como en el caso anterior, la revisión por parte de un experto
ayudará a poner de manifiesto cuáles son los posibles defectos de su plan actual.
4. Por qué certificar periódicamente? A pesar de los mecanismos de comprobación indicados en los apartados anteriores, nunca se puede tener la completa seguridad de que
absolutamente todos los disquetes pasan por una certificación antes de ser introducidos
en el sistema informático. Ante esto, la única posibilidad de garantizar la total limpieza del sistema es certificar periódicamente que todos los ordenadores de nuestro sistema
informático están libres de virus. Esta certificación consiste en ejecutar en cada ordenador un programa detector de virus.
6.2.1 Hackers: tribus en la Nueva Economía
El significado de la palabra hacker ha ido evolucionando. En un principio hacía referencia al nombre que se daba a las personas que efectuaban ataques maléficos a sistemas informáticos. Normalmente estos avezados eran estudiantes que descubrían en los principios de internet, el ancho poder
de entrar en “cualquier sitio” y hacer “cualquier cosa”.
Tras la aparición de los primeros virus y caballos de troya, los hackers ya se hicieron con
este nombre y partir de entonces se ha ido creando en Internet una especie de ética de estos expertos usuarios de la red pero sin fines maléficos.
Hoy por hoy, se utilizan los términos de hackers, crackers, vándalos, y curiosos. Incluso
existen organizaciones creadas como hackers.com cuya política y ética es precisamente la de no
atacar con fines destructivos sino la de informar y estudiar los agujeros de seguridad de las redes,
los sistemas operativos y los programas informáticos que son puertas abiertas para que curiosos y
vándalos hagan de las suyas.
Así que ningún “hacker” se nos enfade cuando utilicemos este término sobre todo al hablar de
“hacking”, vocablo evolucionado en el lenguaje informático y que los profesionales del sector entendemos como entradas a sistemas, redes y programas por medios y conductos ilegales, por suplantación de usuarios y en contra de las políticas de seguridad y procedimientos de estos sistemas.
Tecnología y Seguridad
73
Entonces ¿Qué es un hacker?
Hacker es una expresión idiomática inglesa cuya traducción literal al español tiene varios significados, siendo el más popular el atribuido a “una persona contratada para un trabajo rutinario” y
que por la naturaleza del mismo su trabajo es tedioso, entregado, hasta se podría maniático.
El apelativo de hacker se crea a fines del siglo pasado cuando los Estados Unidos de América empieza a recibir un masivo movimiento migratorio de personas de todos los países del mundo
que esperaban encontrar en el “país de las oportunidades” un bienestar económico y progreso.
Un hacker se define hoy en la comunidad Internet, como un programador fervientemente
dedicado, por hobby, a explotar ordenadores al máximo y con resultados útiles para otras personas. Este concepto es, por tanto, contrario al habitualmente aceptado, que asocia “hacker” a un
pirata informático.
¿Y un cracker o vándalo?
El cracker es un hacker que no actúa de forma altruista, por amor al arte o por investigación y curioseo. Un cracker suele tener ideales políticos o filosófico y motivados por darse a conocer a sí
mismo, o simplemente algo tan viejo como la ambición y la avaricia. Un cracker una vez entra en
el sistema (algo que también hace un hacker), hace “crack” obteniendo un beneficio propio, robando o destruyendo información. Un tipo de cracker sería un cyberocupa, una típica acción con fines maléficos que consiste en cambiar la relación IP/dominio de tal manera que cuando queremos
acceder a un sitio web determinado, obtenemos otro en lugar del pedido, “ocupando” ilegalmente
el dominio de la víctima por páginas web desconocida, normalmente pensadas para hacer daño o
simplemente hacerse publicidad gratuita.
¿Qué es un intruso?
Los intrusos en sistemas informáticos son usuarios que penetran en ellos y que desconociendo por
parte de sus víctimas cuales son sus intenciones, presentan de por sí un peligro, ya que los ataques
no viene firmados por la filosofía del atacante. EN el capítulo de Firewalls estudiamos herramientas para detectar intrusos.
¿Qué es un pirata informático?
Un pirata informático en la comunidad hispana es considerado aquel que se dedica a la copia y
distribución de software ilegal. En contra de lo que algunos creen el término “pirata informático”,
no es la traducción de hacker.
Al software no original se le denomina “copia pirata”, pero en términos reales y crudos debería llamarse un software robado.
La palabra pirata, asociada al uso ilegal del software, fue nombrada por primera vez por
William Gates en 1976, en su “Carta abierta a los Hobistas” mediante la cual expresó su protesta
debido a que muchos usuarios de computadoras estaban haciendo uso de un software desarrollado por él, sin su autorización.
¿Qué es un phreaker?
El phreaker es una persona que con amplios conocimientos de telefonía puede llegar a realizar actividades no autorizadas con los teléfonos, por lo general celulares. Construyen equipos electrónicos artesanales que pueden interceptar y hasta ejecutar llamadas de aparatos telefónicos celulares
sin que el titular se percate de ello. En Internet se distribuyen planos con las instrucciones y nomenclaturas de los componentes para construir diversos modelos de estos aparatos.
Las acciones de los intrusos, crackers, cyberocupas y piaratas son tratadas también desde el punto de vista jurídico en todo lo relacionado con los delitos en Internet, estudiado con
detalle en la parte III.
74
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
En el transcurso de los siguientes puntos del capítulo, nos referiremos normalmente
al término hacker, aunque en algún momento su ataque se convierta en un cracking (cuando
hace daño).
6.3. Cómo actúa un Hacker
El concepto que podemos tener de un hacker es que su ataque lo hace a través de internet.
Esto no es del todo cierto. Hay que tener claro que no sólo las redes conectadas a Internet son
vulnerables a los ataques de los hackers, sino cualquier red de ordenadores puede ser víctima de un ataque.
Independientemente de adonde ataca y cómo, un hacker será siempre una persona que pondrá en jaque la seguridad de nuestra información, y si cumple su cometido, verse reflejado con un
hecho claro las consecuencias que acarrear no disponer de un sistema seguro.
Es importante reseñar que las acciones maléficas de un intruso no obedecen a una simple casualidad, son la consecuencia de un apurado trabajo que requiere el conocimiento necesario.
Para estudiar como trabaja un hacker, podemos estudiar las fases de su “trabajo” en diferentes fases:
Fig. VI-1. Las fases de actuación del hacking.
6.3.1 Identificación del objetivo
La primera fase consiste en saber a quien atacar. El hacker puede actúar con una IP determinada
asociada al dominio de una empresa, o simplemente hacer de su ataque una víctima aleatoria (muchas ahora por la proliferación de tarifas planas en la red). Por ello según su naturaleza podríamos
distinguir a los ataques de hackers como:
• Pasivos
• Coordinados
Las herramientas para acceder a qué máquina atacar o cuál es la IP de un dominio es través
del comando unís Whois (implementado en Windows y en numerosas páginas de Internet), y mediante el comando de MS DOS/Uníx ping.
Tecnología y Seguridad
75
6.3.2. Entrada en el objetivo
El método más común de acceder ilegalmente a un sistema es a través de un terminal de la propia red de la organización. En principio cualquier persona con acceso físico a un terminal tiene la
oportunidad de ingresar. Por ello los primeros posibles hackers son los empleados de la empresa,
pués son los que disponen de primera mano de este acceso físico.
6.3.3. Recopilación de información de la víctima
Una vez el hacker haya conseguido entrar en una red, su objetivo será la de intentar recopilar la
mayor información posible. Está atacando a una red y no sabe que terminales, servidores , bases
de datos, etc existen. Por el contrario si su ataque es específico irá directamente a entrar al objetivo
(por ejemplo el ataque a la información de una base de datos).
Si el ataque del hacker es de intentar “encontrar lo que hay”, utilizará herramientas de exploración de red y de puertos. El objetivo será por tanto determinar qué puestros están abiertos
en el sistema de la víctima. Para ello existen diferentes herramientas que pasan a través de una
conexión TCP enviando a un puerto un paquete SYN y estudiando su respuesta. De igual manera
puede utilizar el protocolo UDP. Pero de todas maneras, no hace falta que “sepa tanto”, existen en
Internet numerosas herramientas para escanear puertos, como Nmap y Netcat (denominada como
la navaja suiza).
La mejor defensa para estas exploraciones de puertos son los IDS, estudiados en el capítulo
de Firewalls y otros sistemas de defensa.
6.3.4. Identificación de vulnerabilidades
El objetivo principal de un hacker es aprovecharse de los agujeros de seguridad para entra en los sistemas y realizar operaciones (de destrucción, modificación, entrada de información, etc).
Sus medios se pueden centrar en aprovecharse de los agujeros de seguridad para por ejemplo
mediante suplantación de usuarios, disponer de la administración total de una LAN. Podríamos
distinguir los agujeros de seguridad en:
• Agujeros de seguridad físicos.
• Agujeros de Seguridad en la red.
En Internet se pueden encontrar una amplia variedad de herramientas para monitorear y analizar
redes, llamadas packet sniffers, las que actúan revisando los paquetes de información electrónica que
circulan por una determinada red. Generalmente dichos paquetes de una red no están encriptados.
En el caso de redes conectadas a la Internet, los hackers pueden alterar su identidad, haciendo
creer al computador que da acceso a una determinada institución que son computadores “autorizados” a ingresar o confiables (Address Spoofing), existen numerosos procedimientos.
• VPN.
• Acceso telefónico.
• Dispositivos de red.
• Firewalls.
• Ataques al control por IP o nombre.
• Agujeros de Seguridad en sistemas operativos
• Windows 95/98/Me/NT/2000.
• AS 400.
• Unix, Lynux.
• Novell Netware.
• Hacking de servidores web.
76
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
• Agujeros de Seguridad en el Software.
• Agujeros de Seguridad por Incompatibilidades Software/hardware.
Se da cuando, por falta de experiencia, o por descuido, el administrador del sistema hace
funcionar software sobre un hardware para el que no está optimizado, dando lugar a posibles resultados inesperado y fallos que pueden dañar seriamente la seguridad del sistema. Es la incompatibilidad entre software y hardware la que crea agujeros de seguridad.
Problemas como este son muy difíciles de encontrar una vez que el sistema esta montado y
funcionando, de manera que es muy conveniente el leer atentamente la documentación del software y del hardware que se va a montar (o que pretendemos atacar) y estar muy atento a cualquier
noticia o actualización.
• Agujeros por incorrectas políticas de seguridad.
6.3.5. Obtención del nivel de acceso apropiado
Una vez el intruso ha logrado estudiar su víctima mediante las vulnerabilidades que ha encontrado y recopilado información del sistema informático, el hacker necesita adquirir el nivel de acceso
apropiado para entrar al objetivo final.
Normalmente disponer del nivel de acceso necesario es disponer de los privilegios de administrador, tanto del sistema operativo del algún servidor o de alguna base de dato que el intruso
quiere atacar. Obtener la contraseña del administrador sería el recurso mejor que podría encontrarse el intruso. Tarea no fácil, pero no imposible.
La contraseña del administrador se pueden encontrar en sistemas Uníx en el archivo /etc/
password. En NT, se puede encontrar en el archivo SAM (Security Accounts Manager). Después
de disponer de este archivo, el intruso necesita crackearla para poder conocer su valor real. Para
ello existen herramientas fáciles de encontrar en Internet como el Lophtcrack (www.securitysoftw
aretech.com) de uso para sistemas NT y John The Ripper (www.openwall.com/john) para Uníx.
6.3.6. El ataque
Una vez el hacker la logrado todo lo necesario para lanzar su ataque, debe tener en cuenta dos aspectos:
• Eliminar sus huellas
Para eliminar huellas, el hacker suele utilizar otras máquinas (otras Ips) diferentes de
las huellas, y utilizar alguna máquina de la red (que por lo tanto, también sufrirá un
ataque), para limpiarse las manos.
• Realizar alguna operación, para evitar todo el trabajo anterior para futuros ataques.
Instalar una puerta trasera, será el objetivo por tanto del intruso: creación de usuarios,
instalación de programas, etc. Las herramientas más utilizadas son los rootkits y los
troyanos (como BackOrifice, www.bo2k.com) , que permiten el control remoto total de
la máquina.
Algunos ataques típicos son:
• Ataque por Negación de Servicio (DoS):
Mediante ataques al servidor por constantes peticiones de paquetes SYN, o de UDP o
ICMP, el hacker puede conseguir bloquear un servidor y que no pueda realizar sus servicio en la red interna, provocando por lo tanto, un serio problema en la empresa.
• Ataques al control de IP y dominio:
Mediante Tunneling o ataques al DNS (ver capítulo V, en agujeros de Firewalls), el
hacer consigue cambiar la relación IP(nombre de dominio y conseguir, por ejemplo que
si un usuario intenta entrar en la web de una organización, salga otra página.
Tecnología y Seguridad
77
Son famosos en la prensa este tipo de ataques, que han hecho a los hackers ponerlos en
la fama. Otros tipos de ataques son el Spoofi ng (cambio de la dirección de origen) o el
Hijacking (secuestro de una sesión con sus privilegios).
• Snooping y Downloading:
Los ataques de este tipo tienen el objetivo de obtener información de la red pero sin
modificarla. EL hacker intercepta el tráfico de red y consigue descargarse en su máquina (download) archivos de sus víctima (documentos, email, datos, etc).
• Tampering o Data Diddling:
Esta categoría se refiere a la modificación desautorizada a los datos, o al software instalado en un sistema, incluyendo borrado de archivos. Son posibles sujetos los casos de
empleados, ex-empleados, etc que por ejemplo crean falsas cuentas para derivar cuentas, estudiantes que modifican sus notas, o contribuyentes que modifican sus datos tributarios.
• Jamming o flooding:
Este tipo de ataques desactivan o saturan los recursos de un sistema. Por ejemplo, un
atacante puede consumir toda la memoria o espacio. Ataques a un ISP mediante TCP
o el envío de millares de e-mails sin sentido a todos los usuarios de una organización
y de forma contínua, saturando así el servidor de correo de destino.
Recuerde
A menudo el problema principal de entrada de un intruso es la falta de percepción y el entendimiento por parte del profesional responsable de seguridad. Software perfecto, hardware
protegido, y componentes compatibles no funcionan a menos que se haya elegido una política de seguridad correcta y que se hayan puesto en marcha las partes del sistema que la refuerzan. Soluciones que se basan en el desarrollo de una arquitectura de red segura y que
mediante cortafuegos y software de detección de intrusos, podemos minimizar el peligro del
underground de Internet.
7. Firewalls y otros sistemas de defensa
7.1. Sistemas de defensa básicos
Actualmente las redes se encuentran en el centro de las empresas actuales, transmitiendo información vital y en muchos casos, confidencial, mientras los usuarios –internos o externos- tienen la posibilidad de conectarse a los recursos y sistemas de información esenciales. A medida que aumenta
78
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
el tamaño de las empresas, crece también el tamaño y la complejidad de sus redes, y cada vez resulta
más difícil protegerlas de amenazas, tales como ataques de protocolos de bajo nivel y la intrusión de
servidores y equipos workstations. También entrañan otros peligros los virus y otros contenidos malignos, como applets, Actives o códigos Script, que malintencionadamente entran en la red interna.
Es necesario detectar y bloquear con adecuados sistemas de defensa, el acceso no permitido a los
servidores y ordenadores de sobremesa, los servicios de red, las aplicaciones, y las bases de datos.
Si nuestro ordenador o nuestra red corporativa está conectada a Internet y necesitamos
compartir ficheros a través de la red, entonces necesitaremos un firewall:
•
Si necesitamos acceder a ficheros remotamente a través de la red.
•
Si en algún servidor de la LAN o en nuestro PC disponemos de algún tipo de programa
servidor, como el Personal Web Server o el Internet Information Server.
•
Si utilizamos algún programa de control de máquinas remotas, como el PC Anywhere o
WinGate.
•
Si podemos proteger nuestro sistema de ataques de intrusos o de caballos de Troya como
NetBus y Back Orifice que pueden hacer abrir nuestra red.
Fig. VII-1. El firewall: seguridad básica. Fuente www.grc.com.
Un cortafuegos o Firewall es un sistema de defensa de una red informática o de un Pc. Está
basado en el hecho de que todo tráfico de entrada o salida a la red debe pasar obligatoriamente
por un sistema de seguridad capaz de autorizar, negar y registrar todo aquello que ocurre en la
comunicación interna-externa.
El cortafuegos está a mitad de camino entre la seguridad por máquina y por red y representa
hoy la segunda medida utilizada por las empresas para la seguridad de sus datos, siendo la primera
herramienta la instalación de sistemas Antivirus.
Un firewall es un sistema de defensa que se basa en la instalación de una barrera entre un PC y
la red por la que circulan todos los datos. Este tráfico entre la red y un PC es autorizado o denegado
por el firewall , siguiendo las instrucciones (las reglas) que le hayamos configurado en su instalación
y parametrización posterior.
Básicamente su funcionamiento se basa en hacer de barrera entre internet y nuestra red local o PC:
Tecnología y Seguridad
79
Fig. VII-2. Arquitectura de red con un firewall (Fuente: El autor).
Existen medidas (no soluciones) firewall bien de hardware (routers o servidor dedicado) o software.
• Hardware. Los sistemas hardware son más difíciles de configurar y más costosos que
los sistemas software. Existen numerosas opciones de mercado. Siempre destinados a
grandes corporaciones por el coste que tiene.
• Software. Son fáciles de instalar y generalmente llevan configurados una serie de
reglas predeterminadas para diferentes niveles de seguridad, permitiendo al usuario
adaptar estas reglas a las necesidades de seguridad necesarias para la arquitectura de
red (servidor web contra base de datos Caché).
Aunque hay programas que se venden bajo la nominación de Firewall, un cortafuegos NO
es un programa. Un Firewall consiste en un conjunto de medidas hardware y software destinadas
a asegurar una instalación de red.
7.2. Tipos de Firewalls
Cualquier Firewall puede clasificarse dentro de uno de los siguientes tipos o como una combinación de los mismos.
• Packet Filters (filtrado de paquetes):
Su función consiste en filtrar paquetes 13 a través de la capa de red dejando pasar únicamente cierto tipo de tráfico. Los paquetes que puedan entra salir lo hacen a partir de
las ACL (listas de control de accesos tolerantes) preinstalas en el cortafuegos y de las
reglas que se configuran en la instalación del mismo. Estos filtros pueden implementarse a partir de routers. (Ejemplos Firewall-1 de Check Point, Cisco PIX).
Fig. VII-3. Diagrama de OSI en firewalls tipo packet filters.
13
Un filtrado de paquetes consiste en una regla y acción (tupla) aplicada a los paquetes que circula por la red.
80
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
• Application Gateway (pasarelas a nivel de aplicación):
Estas pasarelas se ocupan de comprobar que los protocolos a nivel de aplicación (FTP, http,
telnet,etc.) se están utilizando de forma correcta sin explotar los posibles problemas que
pudiera tener el software de red. El inconveniente de este tipo de Firewall es que deben estar
constantemente actualizados ya que no habría forma de saber si alguien está intentando atacar la red de nuestra empresa. Estos Firewalls también se led denomina Servidores Proxy.
• Circuit Gateways (Proxy):
En este tipo de Firewall la pasarela actúa del mismo modo que un simple cable via software conectando nuestra red interna con el exterior (Internet). En general se requiere
que el usuario esté autorizado para acceder al exterior o interior y que tenga una cuenta
de salida en el Proxy.
• Combinaciones de routers y cortafuegos multifunción:
También conocidos como “Cajas God”. Estos cortafuegos diseñados para grandes
empresas tienen gran complejidad y requieren una gran experiencia, sólidos conocimientos y contínuo mantenimiento.
Fig. VII- 4. Diagrama de OSI en firewalls tipo Application gateway.
7.3. Funcionamiento de un Firewalls
El funcionamiento básico del tipo más común de firewall se basa en el filtrado de paquetes sobre
los puertos de comunicaciones. Todo dato o información que circule entre nuestro PC y la Red es
analizado por el programa firewall con la misión de permitir o denegar su paso en ambas direcciones (comunicación internet- PC y PC-internet). Podríamos situar en el esquema de la figura IV-1,
la capa de firewall:
Es importante resaltar que la misión del firewall es la de aceptar o denegar el trafico, pero
no el contenido del mismo:
Tecnología y Seguridad
81
Servicios de red
Protocolos de comunicación
Adaptadores hardware
Fig. VII-5. Servicios, protocolos y adaptadores hardware.
• En el momento que un determinado servicio o programa intente acceder a Internet o a
nuestro PC el cortafuegos nos lo hará saber.
• En ese momento aceptaremos la comunicación o la denegaremos.
• El fi rewall no va a decirnos que es correcto o incorrecto.
• A partir de entonces el fi rewall actuará siempre cn la decisión que hayamos tomado.
Por ejemplo si en las reglas de nuestro cortafuegos aceptamos entradas y salidas de correo
electrónico, si entra un email con un virus, el cortafuegos no lo frenará (porque le dimos permiso en la configuración) y nuestra máquina podrá infectarse. Necesitaremos por tanto sistemas de
seguridad añadidos, en este caso, un programa Antivirus. Por eso hablamos del firewall como la
primera barrera, pero no la única.
Se nos abre un inconveniente a la hora de hacer funcionar nuestro firewall: la decisión de
las reglas. Por eso, como todas las herramientas informáticas, la formación de su funcionalidad es
básica. Podemos tener el mejor firewall del mundo y nuestra red sufrir ataques debido a la falta de
conocimiento de toda su potencialidad.
Para empezar a trabajar con un cortafuegos doméstico (nos podemos descargar uno gratuitamente en www.zonealert.com) una buena política debería ser, ante la duda, no aceptar nunca
cualquier acceso hasta comprobar que es necesario para un correcto funcionamiento del servicio
que pretendamos usar y no es potencialmente peligroso para el sistema. Si denegamos el acceso y
nuestro sistema sigue funcionando bien, no nos es necesario por lo que lo debemos denegar.
Recuerde
•
Con la instalación de un firewall conseguiremos hacer nuestro PC y nuestra red local mucho menos vulnerable a intrusiones en nuestro sistema.
•
Un cortafuegos bien diseñado, configurado y sobre el que se efectúe el mantenimiento adecuado es, prácticamente, impenetrable.
82
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Puntos fuertes
Puntos débiles
Filtrado de paquetes
• Dado que la mayor parte del software de
enrutadores ya incorpora la capacidad de
filtrado de paquetes, resulta muy rápido
y económico instalar un control basado
en esta solución, ya que no se necesitaría
comprar software ni hardware adicional.
• Si el número de reglas creadas no es muy
elevado, tampoco llega a imponer una
sobrecarga importante de procesamiento
en el enrutador, por lo que el rendimiento
de la red no se verá afectado.
• No suelen correr sobre sistemas
operativos generales, como Unix o NT,
por lo que no son vulnerables a ataques
contra ellos.
• Una ventaja importante es que resultan
totalmente transparentes, por lo que las
máquinas de la red no necesitan que se
les instale software adicional ni que los
usuarios tengan que hacer nada especial.
• Definir las regalas de filtrado puede
convertirse en una tarea muy complicada,
si no se conocen a fondo para su correcta
configuración, pueden dejar abierta la
puerta a ataques variados (ataques de
falsificación de dirección IP origen,
ataques de enrutamiento de origen,
ataques de fragmentación, etc.).
• Cuanto mayor sea el número de reglas,
menor será el rendimiento del router, que
en principio está diseñado únicamente para
enrutar paquetes, no para tomar decisiones
acerca de si debería o no debería hacerlo.
• Por operar a un nivel tan bajo, desconoce
el contenido de los paquetes. Aunque
puede bloquear un servicio, si lo acepta
no es capaz de bloquear selectivamente
ciertos comandos del servicio o rechazar
ciertos contenidos, por lo que son
susceptibles a ataques basados en datos.
Pasarelas de aplicaciones
• Proporcionan al administrador de red
un control absoluto sobre los servicios a
los que los usuarios tienen acceso, ya que
sólo pueden utilizar aquellos servicios
soportados por el proxy y, dentro de cada
servicio, sólo los comando permitidos.
• Dado que las aplicaciones proxy son
componentes software ejecutándose en
el bastión, se trata del lugar ideal para
realizar registros de actividad (logging),
informes de auditorías y controles de
acceso.
• Pueden utilizarse como traductores de
direcciones de red (NAT), ya que por ellas
pasa todo el tráfico en uno y otro sentido,
por lo cual pueden enmascarar la dirección
de las máquinas de la red interna.
• Por último, hay que tener en cuenta que la
definición de las reglas de filtrado a nivel
de aplicación es mucho más sencilla que
a nivel de paquete, pudiendo implementar
reglas más conservadoras con mayor
flexibilidad.
• Los más antiguos requieres que el
usuario de la red interna instale software
de cliente especial para cada servicio
proxy al que se conecta, o bien que,
utilizando el software de cliente habitual,
siga ciertas instrucciones especiales de
uso. Nuevas aplicaciones de Internet
exigían escribir e instalar nuevos servicios
proxy en el corta fuegos y nuevos clientes
proxy en los ordenadores de los usuarios.
Actualmente, los modernos cortafuegos
de nivel de aplicación son completamente
transparentes para los usuarios finales.
• Desde el punto de vista de la seguridad,
los servicios proxy son útiles sólo si se
utilizan junto con un mecanismo que
restrinja las comunicaciones directas entre
las máquinas de la red interna y las del
exterior, como por ejemplo el filtrado de
paquetes. De nada sirve un cortafuegos
de nivel de aplicación si se puede salir al
exterior a través de otro punto.
Inspección multinivel de estados
7.4. Cuadro comparativo de tipos de Firewalls
• El cortafuegos es transparente para las
aplicaciones y usuarios, que no necesitan
modificar o instalar software adicional.
El motor de inspección puede adaptarse
a protocolos y aplicaciones nuevamente
definidos. Esta característica facilita la
escalabilidad.
• Dado que operan principalmente a los
niveles bajos de la pila de protocolos, son
más rápidos que las aplicaciones proxy,
por lo que el rendimiento de la red no se ve
notablemente afectado, aunque aumente el
número de usuarios conectados a través
del cortafuegos.
• En la medida en la que las implantaciones
reales el filtrado no inspecciona datos de
nivel de aplicación, aunque teóricamente
sería posible, SMLI no es capaz de
evitar los ataques más sofisticados
enmascarados a nivel de aplicación, como
desbordamiento de búfer o comando de
aplicación ilegales o inseguros.
• A pesar de la propaganda con la que
se anuncian, la mayoría de expertos en
seguridad convienen en aceptar que la
arquitectura de cortafuegos basados en
psarelas de aplicación son más seguros
que los sistemas basados en filtrado de
paquetes, incluso SMLI.
Tecnología y Seguridad
83
7.5. Agujeros de seguridad de un Firewalls
A pesar de todas sus virtudes y ventajas, los cortafuegos no proporcionan la solución definitiva a
todos los problemas de seguridad. Existen amenazas fuera del alcance del cortafuegos, contra las
cuales deben buscarse otros caminos de protección:
• Ataques desde el interior de la red local: evidentemente, el cortafuegos no puede proteger ataques de empleados desleales que roban un disco duro con información confi dencial y salen con él bajo el brazo (recordad Los Alamos).
• Ataques que no pasan por el cortafuegos: el cortafuegos se encuentra impotente ante
accesos directos a ordenadores de la red protegida a través de módem o a través de
redes privadas virtuales:
• Tunneling:
Se aprovecha un ordenador que estás detrás de del filtro o tiene permisos de acceso
para utilizarlo de plataforma de ataque. El ordenador externo recibe una conexión
del interno y a partir de ésta realiza los ataques.
• Ataques al DNS:
Modificar las memorias caché de los servidores DNS, falsificando las relaciones IP/
nombre de dominio.
Fig. VII-6. Algunos ataques pueden “pasar” por un firewall tipo servidor proxy porque dentro de su nivel de
aplicación se pueden esconder un falso DNS o falsa IP y si la aplicación y el origen van parejos esta incoherencia en la entrada de la LAN puede provocar fallos de integridad en ataques a bases de datos corporativas.
• Ataques basados en datos: si los programas que son accedidos a través del cortafuegos,
como el servidor web, ocultan errores graves, un hacker podría explotarlos haciendo uso
exclusivamente de tráfico HTTP. Los virus constituyen una amenaza difícil de rechazar
incluso para los cortafuegos más sofisticados.
• Ataques creativos: los buenos cortafuegos pueden proteger ante muchos ataques desconocidos aún por llegar, pero no frente a todos. Los hackers siempre corren un paso por delante
de los fabricantes de productos de seguridad, pertenecen al underground creativo de la red
y van normalmente por delante de la tecnología, ya que ellos “descubren” los agujeros.
7.6. Sistemas de defensa añadidos
7.6.1 Detección de intrusos
Un sistema de detección de intrusos, conocido como IDS, tiene la función de detectar POSIBLES
intrusiones. Específicamente, pretende detectar ataques o abusos al sistema, alertando con los pormenores del ataque. Proporciona una seguridad parecida a la que un sistema de alarma instalado
84
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
en casa puede suponer. Mediante varios métodos, ambos detectan si un intruso, atacante o ladrón
está presente, y en consecuencia disparan una alarma.
• Los sistemas de detección de intrusiones ayudan a los administradores de redes a
enfrentarse a los hackers antes de que causen daños irreparables. Estos sistemas deben
repeler los ataques externos y:
• Mecanismos de alertas cuando se detectan ataques.
• Detección del ataque interrumpiendo la comunicación con el exterior.
• Lanzar contraofensivas.
• Impedir daños colaterales.
• Actualización de posibles ataques (al mismo estilo que los antivirus).
• Servicios gestionados.
Existen diferentes tipos de IDS, entre los más utilizados distinguimos:
1. NIDS, Network-Based Intrusión Detection Systems:
Se trata de sondas de red, originadas por sistemas hardware o software, no direccionables (y
por ello “invisibles”) y que se dedican a analizar todo el tráfico de red en busca de patrones.
2. HIDS, Host-Based Intrusion Detection Systems:
Funciones software instaladas en el servidor central que vigilan acciones y actividades
dentro del mismo (intentos erróneos de login, registros de log, control de integridad de
ficheros sensibles, etc.) con el mismo objetivo.
Ambos sistemas pueden ser complementarios. Se pueden configurar de forma que, ante determinados ataques, generen alertas (vía SNMP, e-mail, mensajes SMS, etc) o realicen acciones
con el objeto de parar el ataque (vgr. Reconfigurar el filtrado a nivel de router o firewall o finalizar sesiones TCP/IP).
Fig. VII-7. Las reglas para la entrada permitida/protegida de entradas en un IDS.
Fuente: Computer Associates.
7.6.2. Seguridad de contenidos
Una plataforma de seguridad basada en firewall nos puede proteger los paquetes que entren y salgan de la red, filtrar los datos a nivel de aplicación (proxy), pero podemos dejar pasar contenidos
que una vez situados en la red puede peligrar la protección, integridad y privacidad de los sistemas. Para ello necesitamos una capa de seguridad añadida que se preocupe de filtrar estos contenidos y dejar pasar aquellos que no sean maléficos. Este tipo de peligros se denominan “vandals”,
asi un AntiVandal Gateway es un aplicativo de protección de contenidos.
Tecnología y Seguridad
85
Los peligros pueden venir de la mano de:
• Java.
• Activex.
• Scripts (JScript, VBScript).
• Cookies.
¿Dónde se esconden estos “vandals”, contenidos malignos?
Contenidos web:
Lasnuevas tecnologías sobre Internet, especialmente Java y ActiveX, son usadas para
crear sitios web dinámicos, los cuales se alimentan de sistemas de información que se
sitúan detrás del e-commerce y que se ejecutan en el terminal cliente (el del usuario).
Desafortunadamente estos modernos components que hacen rica y atractiva la web,
también aumentan los riegos de peligros. Applets de Java y controles Actives son descargados y ejecutados automáticamente simplememnete al visualizar una web que los
contiene. A partir de entonces, desde el navegador se está permitiendo que un “desconocido” entre en la red y se ejecute. Por ello todos los navegadores comerciales disponen de funcionalidades de parametrización para evitar poder ejecutar (o avisar) este
tipo de posibles contenedores malignos.
•
E-mails:
Los emails son posibles contenedores de código HTML que pueden transportar
cualquiera de los contenidos malignos, como Actives, applets java, códigos scripts
(como el famoso caso del virus I love you, un script Vbasic que enviaba a la lista de
distribución de correo una replica de si mismo, además de realizar otras operaciones con archivos gráficos).
•
Descarga de ficheros:
Evidentemente el peligro más fuerte es descargar directamente de la red un programa dañino. A veces esta descarga puede estar escondida con un falso nombre que
te invita a bajarte un útil freeware que no dudas en hacer clic y ejecutarlo. Lo que
viene después puede ser cualquier cosa.
•
Fig. VII-8. Existen numerosas aplicaciones en el mercado que permiten el control de contenidos malignos,
como éste que “vigila” los contenidos que pueden entrar vía FTP, http, SMTP sobre Java y ActiveX,
realizando auditorías de red e informes del status de la network.
Fuente: Computer Associates-eSafe.
86
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
7.6.3. Honey Pots
Los Honey Pots o “Tarros de miel” representan una nueva técnica de seguridad que consiste en
instalar servidores y administración de sistemas y red, diseñados específicamente para atraer la
atención de los hackers. Cuando estos intrusos intentan sacar jugo del falso fallo de seguridad (la
trampa del tarro de miel), los honey pots registran sus movimientos y actúan como un módulo
más en los sistemas de detección de intrusos (cortafuegos, alertas, gestión continuada, zonas desmilitarizadas).
7.6.4. IP Tunneling
El Tunneling es una familia de protocolos de nivel 2 (nivel de enlace). Éste Sistema que permite
encapsular paquetes IP encriptados a través de Internet. La encriptación utilizada es mediante el
algoritmo DES. Esta es una solución válida para VPNs conocidas en esta estructura como la solución IPSec, (integrada por ejemplo dentro de las soluciones de seguridad de Windows 2000 y en
las carácterísiticas del nuevo estándar en Internet, el IPv6) y en servidores de autenticación RADIUS. IPSec asegura la confidencialidad (encriptación), autenticación e integridad mediante un
conjunto de recomendaciones y protocolos definidos para proteger datos sobre IP.
8. Correo electrónico seguro
8.1. Agentes
La propia estructura de la red IP causa que la transmisión de información a través de las redes que
los emplean sea insegura. Esto se debe a que los paquetes enviados por el originario de la información tienen que ser leídos por un numero indeterminado de routers y dispositivos varios, antes
de llegar a su destino.
Para estudiar las vulnerabilidades y las soluciones de seguridad en la transmisión y recepción de un mensaje de correo electrónico, debemos tener claro este circuito desde que el emisor
envía un mensaje, hasta que es recibido por el receptor. En todo este camino, intervienen varios
agentes, que son todos ellos, a priori, vulnerables:
Fig. VIII.1. Agentes en una comunicación de correo electrónico.
1. El software de correo-e del cliente.
2. La cuenta de origen del emisor. Ésta puede ser enmascarada por varios sistemas.
3. El mensaje puede ser alterado, eliminado o puede contener virus.
4. El servidor de correo del emisor y su software, alojado en proveedor de servicios
internet (o en la propia empresa caso de disponer de software de correo servidor).
5. El canal: internet, donde los hackers pueden interceptarlo, otros proveedores de telecomunicaciones, los routers, servidores DMZ, etc.
6. El servidor de correo del destino y su software (asociado al dominio de la cuenta y al
ISP donde esté alojado este dominio).
7. El software del correo del receptor (MS Outlook, Lotus Notes, Eudora, etc).
Tecnología y Seguridad
87
Todos estos agentes son potencialmente puntos de riesgo en la seguridad de un envío de correo electrónico y que en el siguiente punto estudiamos con más detalle.
8.2. Riesgos de privacidad y seguridad
Los riesgos los podemos agrupar en tres grupos:
1. La falsificación y/o suplantación de mensajes.
Por ejemplo la utilización por parte de un usuario de una cuenta de internet (por ejemplo
de hotmail, servicio gratuito de email), de alguien que dispone de nuestra contraseña y
que suplanta nuestra persona enviando correos, que nosotros no hemos enviado. La solución para este punto es claramente la firma electrónica.
2. La transmisión de mensajes a través de Internet:
• Los servidores de correo (origen y destino):
Los servidores que gestionan éste utilizan los protocolos llamados SMTP y POP3 que mantienen un “diálogo” en un lenguaje especial con tu programa de correo cada vez que envías un mensaje.
El resultado de cada operación lo almacena el servidor en su propio archivo de registro.
Lo primero que se archiva son dos datos:
• La fecha y la hora de la conexión.
• Dirección IP del usuario conectado.
A continuación, lo primero que deberá hacer el programa de correo es enviar el nombre de
usuario y la contraseña que le sirven para identificarse. El archivo de registro procesa esta
información y muestra el Nombre de usuario y el resultado de la operación. A continuación,
se producirá la recepción de los mensajes. La información que se almacena después suele
incluir el número de mensajes descargados y la hora de la desconexión. Cuando se envía
correo también quedan registradas todas las operaciones. Se registra el tamaño en bytes, la
dirección de origen, la dirección de destino y si el mensaje se ha enviado con éxito.
• Datos sobre tráfico.
Son los datos que los protocolos de comunicación necesitan para realizar correctamente
la transmisión del email. Los datos sobre tráfico constan, por una parte, de la información que proporciona el emisor (los datos del mismo emisor y la dirección de correo del
destinatario), y por otra de información técnica generada de forma automática durante
el procesamiento del mensaje(por ejemplo, la fecha y hora del envío o la IP del emisor).
En la práctica, normalmente, los servidores de correo electrónico del emisor y del receptor almacenan los datos sobre tráfico. Esto también podrían hacerlo los servidores de
retransmisión en el camino en Internet.
• Contenido del correo electrónico.
De manera especial la confidencialidad de las comunicaciones está protegida por el artículo 5 de la Directiva 97/66/CE donde “ninguna persona distinta de los usuarios podrá
leer el contenido de un correo electrónico entre dos partes. Si durante la transmisión el
contenido del mensaje se almacena en servidores de retransmisión, debería borrarse tan
pronto como haya sido enviado”. En grandes empresas es común por parte de la administración de red, llevar cierto control de entradas y salidas de correo electrónico, almacenando en algunos casos copias de mensajes que entran y salen en la red corporativa, vulnerando de manera evidente la confidencialidad del mensaje. Este punto es actualmente
de gran controversia, pues aunque el responsable de red nos comunique que la cuenta de
correo que dispone la empresa al trabajador es una herramienta de trabajo, ello no implica
la puerta abierta a almacenar su contenido (incluso si lo hemos borrado de nuestro terminal). Se abre aquí, un auténtico dilema, pues chocan los principios fundamentales de la
persona, defendidos en la Constitución, la potestad de la empresa de hacer tratamien-
88
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
to informático de información asociada a personas e incluso temas de recursos humanos y sindical.
• El email bomming se caracteriza por el exceso de enviar repetidamente un mensaje
email idéntico a una dirección particular.
• Email spamming es una variante de bomming, está referido al envío de mensajes a
cientos o miles de usuarios (o a una lista que expande a muchos usuarios). El email
spamming puede hacerse más grave si los receptores contestan al email, ocasionando
que todas las direcciones de origen reciban la respuesta. El spamming es casi imposible
de prevenir porque un usuario con una dirección email válida puede “spam” cualquier
otra dirección válida. Ambos sistemas de “ataques”, están muy prohibidos en los anteproyectos de la LSSI, y en espera de su defi nitiva aprobación, resulta evidente que en
el marco legislativo español, este sistema agresivo por parte de empresas, para enviar
información comercial, estará castigado.
Recuerde
• Al enviar un email sin cifrar, éste puede ser leído por infi nidad de agentes, haciendo la comunicación realmente insegura.
• Cuando grandes cantidades de email se dirigen a/o mediante un dominio único, el
sitio puede sufrir una negativa de servicio mediante la pérdida de conectividad de
la red, sistema colisionado, o el fallo de un servicio a causa de:
• sobrecarga de conexiones de red.
• uso de todos los recursos disponibles del sistema.
• llenar el disco como resultado de múltiples accesos.
8.3. Herramientas de seguridad
8.3.1. Soluciones
Desde el punto de vista del usuario, son varias las cuestiones pertinentes según el tipo de correo
electrónico:
• La confidencialidad, que es la protección de los datos transmitidos contra la curiosidad
de terceros. Una posible forma de garantizar la confidencialidad consiste en encriptar
el e-mail que se va a enviar.
La encriptación y la desencriptación se basan en software complementario de los programas habituales de correo electrónico (programas accesorios o plugg-ins) o en programas
de correo electrónico y navegadores que ofrecen estos servicios.
• La integridad puede obtenerse calculando un código especial basado en el texto que se
transferirá encriptado junto con el propio texto. El receptor podrá entonces descifrar el
código y, volviéndolo a calcular, comprobar si el mensaje ha sido modificado.
• La autentificación se puede verificar mediante el intercambio de fi rmas digitales basadas en certificados electrónicos. No es necesario que dichos certificados mencionen el
verdadero nombre del abonado, que, en virtud de lo establecido en el artículo 8 de la
Directiva 95/46 relativa a la fi rma electrónica, puede sustituirse por un seudónimo.
• La fi rma electrónica. Si el email es enviado mediante un certificado digital el receptor
podrá reconocer la identidad del emisor mediante la fi rma electrónica.
Tecnología y Seguridad
Confidencialidad
Integridad
Autenticación
Firma
89
Mediante sellos de “confidencial”. Si alguien abriera el sobre diferente que el
receptor al que va destinado se vería mediante la manipulación del sobre.
La integridad de una carta postal se denota por ejemplo en la protección del sobre y en las propiedades del papel y la tinta.
Mediante sistemas grafológicos podríamos detectar si la carta ha sido escrita
por quien dice haberla hecho. También el matasellos de la oficina postal nos
indicaría su origen.
También mediante sistemas grafológicos podríamos verificar la identidad del
remitente en la firma de la carta.
Fig. VIII-2. Analogía de las claves de seguridad con el correo postal.
Las herramientas de seguridad para lograr estos objetivos pueden ser:
a) Sistema antivirus (instalados bien en cliente o en el servidor del correo corporativo).
El correo electrónico es la vía de entrada más común de los virus. Disponer de programas antivirus
es básico para la seguridad de la empresa.
b) Encriptación (clásica como RSA o específica para e-mail como PGP).
c) Firma electrónica.
d) Certificados digitales (tanto en el emisor como en el receptor).
e) Sistemas basados en Autenticación fuerte (tokens, certificados y sistemas biométricos)
f) S/MIME.14 Formato de encriptación y firma digital estándar aceptado por los principales proveedores de software de clientes. Microsoft Outlook y Lotus Notes. A pesar de ser un sistema estándar
existen diferentes versiones de S/MIME haciendo más problemática la seguridad integral en la transmisión de un mensaje de correo electrónico.
8.3.2. S/MIME
Para estudiar más detalles sobre este formato de encriptación y firma digital en correo electrónico debemos citar que los primeros sistemas de seguridad funcionaban directamente sobre SMTP, estos eran:
• PGP. No tiene restricciones para su distribución.
• PEM. Desarrollado por la NSA para fines militares (actualmente no utilizado comercialmente).
Después apareció el estándar MIME como una extensión al SMTP para dotar al email de contenidos multimedia, mejorar en general del protocolo de comunicación, mejorar también el formato
de mensajes, y adaptarlo de sistemas de seguridad, como la firma digital y los certificados.
Actualmente los nuevos y antiguos sistemas de seguridad se han adaptado a MIME:
• DMS. Desarrollado por USA para funciones militares.
• MOS. Es el PEM adaptado a MIME y con algunas mejoras.
• PGP/MIME y OpenPGP. Son versiones del PGP adaptadas al MIME y con algunas mejoras.
• S/MIME.
Sistema abierto desarrollado por RSA y actualmente el estándar del IETF. Es un formato
de encriptación y firma digital estándar aceptado por los principales proveedores de software de clientes. Microsoft Outlook y Lotus Notes. A pesar de ser un sistema estándar
existen diferentes versiones de S/MIME haciendo más problemática la seguridad integral en la transmisión de un mensaje de correo electrónico. Existen diferentes estándares
de criptología pública creados por RSA son los denominados PKCS.
El sistema S/MIME permite:
14
Secure Multiporpose Internet Mail Extension.
90
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
1. Confidencialidad.
2. Autenticación e integridad sin firma.
3. Firma Digital.
El protocolo S/MIME trabaja con certificados X.509 y permite autoridades de certificación,
está, además, preparado para jerarquías CA y permite CRLs.
Las nuevas versiones actualizadas en sistemas seguros de correo electrónico son: PGP/
MIME y OpenPGP. PGP/MIME15 es una versión del PGP adaptado a la estructura de correo
MIME. A continuación estudiamos con más detalles los sistemas PGP y OpenPGP.
8.3.3. PGP
PGP (Pretty Good Privacy, privacidad bastante buena) es un programa freeware de cifrado de datos, principalmente utilizado para correo electrónico, que incluye además múltiples funciones de
seguridad adicionales y de gestión de claves.
Fue originalmente creado por Phillip R. Zimmermann, un defensor del derecho a la intimidad, como un medio que permitiera a cualquier persona protegerse de la inseguridad del correo
electrónico. PGP fue en un principio un programa objeto de gran controversia, debido a diversos
problemas legales. Este hecho fue el que contribuyó en mayor medida a aumentar la popularidad
de PGP y extender su uso a nivel internacional. En la actualidad se han resuelto todos los problemas legales y el uso de PGP es completamente legal en todo el mundo, a excepción de aquellos
estados con regímenes totalitarios, en los que el uso de criptografía está perseguido, y algún que
otro país, como Francia, con leyes muy restrictivas sobre este tema.
PGP está disponible en múltiples plataformas y sistemas, entre los que se incluyen Unix,
MS-DOS y Windows. Existen diversas versiones de PGP, dependiendo tanto del uso que se vaya a
hacer del programa (fines personales o comerciales) como del lugar de residencia del usuario (el
empleo de determinadas versiones es legal o ilegal dependiendo de si se hace dentro o fuera de los
EE.UU. y Canadá). La utilización de PGP puede asimismo variar en función del sistema empleado y de la versión del programa.
El PGP presenta los siguientes servicios en las claves de seguridad:
Servicios
Descripción y Algoritmos utilizados
Confidencialidad
IDEA y RSA.
Firma
RSA y MD5.
Compresión
ZIP.: La compresión debe hacerse después de la firma y antes de la
confidencialidad para mantener la firma independiente del algoritmo
utilizado para comprimir, ya que éste con el tiempo pueden cambiar,
pero el mensaje y su firma asociada deben continuar vigentes.
Compatibilidad
Radix 64: Muchos sistemas de correo electrónico sólo permiten
caracteres ASCII de 7 bits, no permitiendo por tanto el envío de
ciertos caracteres símbolos y caracteres especiales. Para solucionar
esto se utiliza un sistema para mapear los símbolos de 8 bits en
palabras de 7 bits: el sistemas RADIX 64.
Segmentación
PGP ofrece un servicio de segmentación para enviar mensajes de
gran tamaño.
Fig. VIII-4. Servicios que incorpora el sistema de encriptación PGP.
15
PGP/MIME está definido el RFC 2015 del IETF.
Tecnología y Seguridad
91
Cada clave de PGP se almacena dentro de un certificado de clave, junto con otra información relativa a la misma. Un certificado está formado por:
• La clave pública en sí.
• Su tamaño (en bits) y su identificador asociado.
• La fecha en que fue creada.
• El identificador o identificadores de usuario de la persona propietaria de la clave.
• Opcionalmente, una lista de fi rmas digitales pertenecientes a otras personas. Estas fi rmás avalan la autenticidad de esa clave.
En la siguiente figura podemos observar las partes de este certificado de clave:
Fig. VIII-5. Gestión de claves públicas en PGP, alojadas en un directorio común al que damos confianza al
utilizar este sistema.
Recuerde
Hoy en día, el PGP es un sistema muy utilizado, debido sobre todo a su condición de
freeware, sobretodo entre usuarios domésticos de Internet.
8.3.4. OpenPGP
OpenPGP es una mejora del sistema PGP que incorpora:
• Nuevos formatos de mensajes (publicado en el RFC 2440 del IETF).
• Adaptación a Autoridades de certificación, CA en PKI.
• Introducción de MIME.
El OpenPGP se trabaja desde un grupo del IETF junto empresa Network Associates, que
compró en su día la empresa PGP Inc.
• Confidencialidad y firma digital (autenticación e integridad).
Igualdades entre S/MIME y OpenPGP
Diferencias entre S/MIME y
OpenPGP
• Algoritmos de encriptación: TRIPLE DES, SHA-1, MD5
(aunque con diferentes métodos.
• Los formatos de los mensajes son incompatibles.
• La encapsulación MIME de datos firmados.
• La encapsulación MIME de datos encriptados.
Fig. VIII-6. Analogías y diferencias entre los sistemas S/MIME y OpenPGP.
92
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
8.4. Configuraciones de seguridad corporativas
Si queremos disponer de correo en nuestra empresa y que todos nuestros empleados dispongan
de cuentas de correo personales (o bien de grupo), tenemos la posibilidad de albergar en nuestro
equipo de red un servidor de correo, o bien utilizar los servicios de un ISP que albergue este servidor asociado al dominio de nuestra empresa.
Existen diferentes arquitecturas de seguridad para dotar al correo corporativo de las garantías suficientes de fiabilidad.
8.4.1. Pasarela o Firewall de seguridad
Fig. VIII-7. Arquitectura de seguridad de correo-e con pasarela de seguridad.
La opción más sencilla de seguridad consiste en situar un gateway (pasarela de correo) en
el servidor saliente. Esta pasarela tiene la función de firmar, encriptar, aplicar filtros antivirus y
reglas de seguridad al estilo de los Firewalls (por ejemplo, evitar enviar e-mails a cuentas de un
cierto dominio).
8.4.2. Seguridad de e-mail en cliente
Fig. VIII-8. Seguridad en e-mail cliente.
Situar niveles de seguridad en el cliente representa un mayor nivel de éxito pero implica otros inconvenientes. Es necesario instalar en cada equipo de sobremesa el certificado digital para usar la clave
privada del emisor. Cada usuario necesita un certificado digital diferente. Estos dos puntos necesitan una
instalación en el software del terminal, tarea que requiere un cierto grado de formación por lo que el administrador de red debería ir ordenador por ordenador de la empresa para instalar la seguridad integral. Una
tarea que requiere tiempo y no muy recomendada para empresas que los usuarios pueden utilizar distintos
terminales para trabajar o en empresas donde hay cambios continuos en la plantilla de personal.
8.4.3. Servicio de e-mail seguro basado en web
Fig. VIII-9. Servidor host de correo electrónico seguro.
Tecnología y Seguridad
93
Una opción para acceder o enviar correo electrónico es a través de programas alojados en un
sitio web que ofrezca este servicio. El usuario envía o recibe un e-mail a través de una conexión segura SSL donde su mensaje es encriptado por el ISP. Este sistema a primera vista parece sencillo y
eficaz pero plantea inconvenientes para certificados digitales en el receptor.
La cuestión más problemática es crear un directorio de certificados digitales sobre un servidor LDAP (Light Weigth Directory Access Protocol). Aunque hay tecnologías disponibles para el
correo electrónico seguro su despliegue resulta todavía problemático.
8.5. Privacidad del correo electrónico en la empresa
El uso del correo electrónico como herramienta de trabajo es cada día más evidente. El ahorro de
costes que supone disponer de una herramienta tan versátil y rápida para enviar documentos, imágenes, etc, ha convertido al email como la estrella del universo Internet.
Hoy en día es habitual que los empleados de las empresas y organizaciones, dispongan de
una cuenta de correo propia, bautizadas (en teoría,inicialmente) por la empresa como “herramientas de trabajo”.
Nacen como consecuencia de esta herramienta, en manos de un empleado de una empresa,
las posibles problemáticas:
•
Una puerta abierta insegura a la empresa, además, “multipuerta”, si no se ha implantado en
la organización un sistema de correo corporativo con sus seguridad debida. Unos “multiagujeros” por donde colarse los virus y que pueden hacer que algunas organizaciones eviten
este sistema de comunicación y se piensen el volver atrás, y disponer en sus locales de un
único servidor, a modo de estafeta, que sea el único con el servicio de correo electrónico.
•
La privacidad del correo electrónico de los empleados, tanto a nivel de protección de datos personales, como de ética profesional por parte de la dirección de la empresa.
•
Uso del correo electrónico (y su tratamiento) por parte de entidades relacionadas con la
empresa, como comités de empresas, sindicatos, mutuas de trabajo, etc.
Todas esta problemática hace necesaria por parte de los responsables de seguridad (y como no,
de la dirección de la empresa), de disponer de una normativa interna del uso de la herramienta por parte
de empleados y colaboradores (usos, finalidades, qué sistemas de protección dispone y las medidas que
se realizan sobre su contenido). Esta normativa debe además hacerse pública a la empresa.
Un ejemplo de esta normativa podría ser:
• Usos y finalidades de la cuenta de correo corporativa (derechos y obligaciones). Hasta
qué punto es posible usar la cuenta de correo, etc.
• Aviso de si el sistema en red almacena los mensajes y de su contenido. Es normal que
muchas organizaciones efectúe estas medidas , pero en algunos casos no informan a
sus empleados. Fuera de pensar si existe o no legislación sobre ello, en este aspecto
aún queda camino por recorrer, lo que sí parece ético es informar al empleado de estas
medidas, antes de discutir si invaden la intimidad del empleado versus una herramienta de trabajo corporativa.
• Normativa para información comercial.
Adaptación a la LSSICE. Implica disponer en la base de datos de clientes de un campo
que esté informado el consentimiento de recibir e-mails comerciales.
• Usos del email para sindicatos y comités de empresa.
• Implantación de medidas técnicas necesarias para evitar males mayores por entradas de
contenidos maléficos a través del email personal de cada empleado:
• Política de back-ups del servidor de correo.
94
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
• Software de detección de intrusos a través de los puertos relacionados con email
(SMTP, etc).
• Listas ACL en los gateways de aplicaciones (servidores proxy) y cortafuegos, para
filtrar los contenidos posiblemente maléficos (no dejar pasar archivos .exe, .vbs que
podrían dar entrada a virus y gusanos).
• Antivirus central, gestionado por la administración de red e instalado en terminal
de trabajo (no sólo es Internet la fuente de los virus).
• Auditorías internas para la correcta configuración del software cliente de cada
terminal.
• Herramientas de encriptación (si es el caso) de contenidos (S/MIME, certificados,
firma, etc), habilitado para algunos empleados (Consejo de dirección, gerentes, etc).
Recuerde
Son muchos los problemas que la dirección de las organizaciones podría ahorrarse si hiciera
pública la normativa de uso de correo electrónico a sus empleados, colaboradores y clientes.
9. Seguridad en el e-commerce
9.1. La evolución del e-commerce
Habíamos definido el e-commerce o comercio electrónico como parte del e-business, orientado a
la venta y compra de productos y servicios a través de internet. La seguridad y la privacidad de la
información son fundamentales, por tanto, a la hora de adquirir un producto o servicio que ofrezca al usuario doméstico o a la empresa en una web.
El e-commerce en España está todavía por desarrollar y llegar a los niveles de otros países
del nivel tecnológico equivalente, sobre todo a niveles de consumidor. Basta con citar la comparación de que por ejemplo en EEUU el 80% de los billetes se compran a través de websites de
compañías aéreas y agencias de viajes. En el ámbito europeo, muchas de las incertidumbres que
existen para la explosión y crecimiento del comercio electrónico se han centrado en la seguridad
de las transacciones. Por lo que este crecimiento previsto se debe “aprovechar” para adecuar las
tiendas virtuales a los niveles requeridos sobre seguridad y privacidad.
EL E-COMMERCE EN ESPAÑA
1997
4,81
1998
20,43
1999
51,09
2000
126,21
2001
383,15
2002
1.532,58
UN DATO CLAVE
Según la Agencia de Protección de
Datos el 80% de los websites no cumplen
la normativa sobre protección de datos.
Cifras en millones de euros.
Fuente: ACE
Fig. IX-1. Algunos datos relevantes del e-commerce en España.
Tecnología y Seguridad
95
9.2. Seguridad en las Bases de datos del e-business
Las aplicaciones de negocio internas y externas de una organización dentro de su e-business suelen
funcionar junto con bases de datos, las cuales son los contenedores de la información, alguna de ella
restringida, y representan por lo tanto, el corazón de la seguridad de la información. Esta capa de información, la última empezando por el usuario es la contenedora del repositorio de valor de la empresa:
aquello que quiere proteger la empresa es la información y ésta se localiza en las bases de datos.
Las aplicaciones de las empresas orientadas a Internet que utilizan bases de datos podemos
clasificarlas en:
• ERP. Conjunto de aplicaciones de gestión para llevar la facturación, contabilidad, recursos humanos, gestión de almacén, clientes, etc.
• Extranets. Donde el cliente de la empresa accede directamente a su información para
poder consultarla (por ejemplo, las facturas pendientes) y en algunos casos poder interactuar con ella.
• CRM (Costumer Relationships Manager). Aplicaciones orientadas a mejorar el servicio al
cliente para ofrecerle el mejor servicio desde la identificación de sus necesidades a la captación de clientes perdidos. Son aplicaciones orientadas al equipo comercial y de marketing.
• Business Intelligence-Datawarehouse. Representan un último grado de conocimiento de
la información interna de la empresa, para poder extrapolar conocimiento de las mismas
bases de datos de los ERP, CRM, etc, y tomar conclusiones de negocio.
Las técnicas asociadas a la seguridad en las bases de datos, están tendiendo en las siguientes
áreas de trabajo:
• Técnicas de control de acceso y modelos de seguridad. Este campo estará orientado tanto
al diseño de nuevas técnicas de control de acceso como al perfeccionamiento de técnicas de
control de acceso ya existentes, incorporándole aspectos de otras modalidades de control de
acceso, como por ejemplo considerar el control de acceso obligatorio, añadiendo la clasificación tanto de objetos como de sujetos en roles. Las últimas versiones de bases de datos, SQL
Server, Oracle, etc, disponen de herramientas de seguridad de control de acceso y autenticación para poder disponer de un sistema homogéneo de seguridad en la organización.
• Bases de datos Multinivel. Investigaciones en el diseño de bases de datos multinivel que
permitan clasificar en diversos niveles de seguridad tanto los objetos como los sujetos,
estableciendo arquitecturas que aseguren la confidencialidad de la información, de tal
forma que sólo aquellos sujetos que tengan un nivel de autorización suficiente puedan
acceder a la información dependiendo del nivel de seguridad que ésta tenga.
• Seguridad en DataWarehouse. Tanto la aparición de los almacenes de datos (data warehousing) como la utilización de técnicas de recuperación de datos (data mining) están
provocando la necesidad de establecer nuevas técnicas de seguridad debido a problemas
arquitecturales, de inferencia, de administración, de auditoría y de privacidad. Por lo
tanto la investigación de estas técnicas será una de las actividades a las que prestaremos
más atención dentro de la red temática de seguridad.
• Metodologías para el diseño de bases de datos seguras. Se pretende realizar investigaciones sobre metodologías completas para el diseño de bases de datos seguras multinivel, considerando nuevos ciclos de vida, nuevos modelos y nuevas técnicas de seguridad,
de tal forma que la seguridad esté presente en todas las fases de las metodologías. Todas
estas metodologías de seguridad deben estra orientadas a la normativa de Protección de
Datos Personales.
• Seguridad en bases de datos orientadas a web. Puesto que el desarrollo del Comercio
Electrónico depende de la comunicación entre front-ends de acceso a la información
basados en un servidor Web y de sistemas de bases de datos que mantienen la informa-
96
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
ción que se ofrece, resulta muy importante realizar investigaciones para garantizar la
seguridad de la información almacenada en esas bases de datos, y del flujo de información a través de las redes. Estos servicios orientado normalmente en Extranets.
Fig. IX-2. La plataforma CCS Profesionales incorpora funcionalidades BI mediante el módulo
CMI-Cuadro de Mando Integral. CMI es una herramienta de análisis de datos y de ayuda en la toma de
decisiones para despachos profesionales.
Fig. IX-3. Las Bases de datos alojadas en servidores web, son algunos servicios que pueden ofrecer un
ISP. La seguridad se hace en este caso vital, teniendo cada BBDD su usuario y su rol, como es el caso del
ejemplo con SQL Server funcionando en hosting.
• Criptografía en Bases de Datos. Uno de los principales aspectos característicos de la
seguridad es la confidencialidad, y para poder garantizarla es necesario evitar que sujetos no autorizados accedan a la información confidencial. Puesto que en muchos casos
las bases de datos almacenan información secreta, que debe ser protegida por su carácter
personal, o que requiere ser especialmente protegida, es vital cifrar la información con
nuevas técnicas de criptografía que garanticen la confidencialidad de la información.
Añadimos aquí las copias de respaldo de las bases de datos que de igual manera conviene cifralas por los mismo motivos anteriores.
Tecnología y Seguridad
97
Recuerde
El objetivo principal de la seguridad en Internet y en el comercio electrónico reside en
la seguridad de la información, cuyo repositorio final son las BASES DE DATOS de la
organización, que deberán aportar todas las herramientas y funciones de seguridad posibles.
9.3. Soluciones de seguridad
9.3.1. El círculo tecnológico de seguridad
Fig. IX-4. El círculo tecnológico de seguridad en Internet.
El siguiente cuadro pretende resumir las tecnologías de seguridad en una arquitectura ebusiness
enfocadas en las claves de seguridad (o requisitos) que juntos formarían la arquitectura de seguridad de
la organización, soluciones a integrar en el CIRCULO DE SEGURIDAD:
AUTENTICACIÓN
Contraseñas, tokens, Certificados digitales –firma electrónica-, dispositivos biométricos.
CONTROL DE ACCESO
Filtrado IP/host, Socks, Gateways, DMZ, ACLs, Certificados.
CONFIDENCIALIDAD
Encriptación simétrica/asimétrica.
INTEGRIDAD
Message Authenticaction Code (MAC), Hash, Firma electrónica, Antivirus.
NO REPUDIO
Firma electrónica, Trusted Third Parties, Certificados, Rostro de auditoría.
DISPONIBILIDAD
Tolerancia a fallos, Redundancia, Respaldo y recuperación, Políticas de seguridad.
PRIVACIDAD
Riesgos de ataques (internos/externos), Formación a empleados, privacidad
del email corporativo, Protección de datos personales.
9.3.2. La confianza on-line
La seguridad es parte fundamental en muchos de los negocios en Internet. En el momento en que
se registran datos del usuario para acceder a servicios y, como no, en el proceso de compra on-line,
la confianza del usuario se asocia completamente a factores de seguridad. El concepto denominado e-trust se convierte en la clave de éxito del e-commerce.
En una serie de estudios realizados en EEUU por Yahoo se llegaron a las siguientes conclusiones acerca de la confianza y la seguridad en websites:
98
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
∑
Generar confianza requiere tiempo:
Los procesos de confianza comienzan cuando el usuario, habiendo conocido un website,
percibe signos que le ofrecen seguridad en sus transacciones y transmisiones de datos.
∑
El usuario percibe lo bueno y lo malo:
Tras ya varios años de experiencia los profesionales en el mundo del comercio electrónico conocen que los usuarios perciben en Internet tanto amenazas como oportunidades.
∑
Relación directa entre ser conocido y generar confianza:
En las diversas encuestas realizadas, los internautas asociaban aquellos portales más seguros,
como los más conocidos. Es por tanto la seguridad, una asignatura que ganar para las empresas que empiezan a presentar sus servicios en la Red, y cuyo nombre y prestigio se deben ganar con el tiempo y las visitas de los usuarios.
∑
El mostrar la política de seguridad aumenta el factor seguridad:
Es habitual y hoy por hoy obligatorio en el marco nacional español (según la Agencia
de Protección de Datos) mostrar explícitamente la política de seguridad de un sitio web
cuya lectura en el usuario hace generar confianza.
Fig. IX-5. El mostrar en la web la política de seguridad, representa un factor clave en la confianza on-line.
9.3.3. Medios de pago en Internet
Existen diversas formas de gestionar los pagos en Internet. Éstos los podemos clasificar en:
∑ Medios basados en tarjetas de crédito o débito.
∑ Medios basados en dinero electrónico (tarjetas inteligentes y monederos electrónicos) diseñados específicamente para el comercio electrónico.
∑ Los sistemas de micropagos que se basan en transacciones pequeñas y que representan pocos
problemas de vulnerabilidades por el bajo aporte que podrían obtener hackers e intrusos.
Tecnología y Seguridad
Método
Tradicional
SSL
Descripción
Ventajas
En metalico, tarjetas de crédito o de débito.
Protocolo de seguridad diseñado especificamente para
Internet sobre canales seguros que incorpora cifrado de
datos, autenticación de servidores.
Nos fiamos de ellas. El método de toda la vida...
Componente que incorpora la seguridad necesaria de
una forma personalizada
para los websites .
Protocolo desarrollado exclusivamente para realizar
comercio electrónico con
tarjetas de crédito.
SET
Smart Cards
Smart Cards
Mondex
Walllets
Micropagos
99
Desventajas
La posible falsificación del
papel moneda o la tarjeta.
No proporciona un solución integrada (aspectos de
registro).
No hay autenticación del
usuario.
Permite a los comercios el
pago off-line (sistema no
fiable).
Vincula a todos los agentes Se centra en el pago dejanpara que se autentiquen evi- do de lado las relaciones
tando así los fraudes.
directas entre el cliente y el
Se presenta no sólo sobre
servidor.
TCP/IP, sino para otros sis- Las relaciones entre el
temas presentes y futuros.
cliente y su banco quedan
fuera de SET.
Autenticación alta.
Falta de acuerdo en los estándares y fracasos de algunos casos pilotos (JJ.OO de
Atlanta).
Tarjeta inteligentes con microchip que incorpora encriptación y memoria de caantidades, donde el usuario
previamente ha descontado
dinero de su cuenta.
Un estándar en tarjetas inte- Acepta multidivisa.
ligentes.
Software localizados en los
ordenadores que pretenden
imitar los monederos tradicionales.
Sistemas de pagos de cantidades pequeñas, funcionando por tokens o por suscripción gracias a intermediarios llamados brokers.
Falta de lectores.
Modelo de negocio complicado.
Manera fácil mediante
Necesidad de instalar softtokens (usuario-banco) de
ware extra.
entrada en el comercio elec- Falta de acuerdo de estántrónico.
dares.
Modelo de negocio impreciso.
Apropiado para servicios
Escasez de servicios y proque por sus costes otros
ductos on-line que los utisistemas los haría antiecolizan.
nómico.
Cifrado débil.
Fig. IX-6. Medios de pago en Internet.
9.3.4. Protocolos seguros
9.3.4.1. El protocolo SSL
El protocolo SSL fue desarrollado por Netscape Communications y RSA Data Security.
El objetivo del protocolo SSL (Socket Secure Layer) es lograr que la comunicación de
datos entre dos computadores en Internet, sea confidencial, verificable y autenticable.
En sus estado actual proporciona los siguientes servicios:
∑ Cifrado de datos:
La información transferida entre el navegador y el servidor, aunque caiga en manos de un
atacante, será indescifrable, garantizando así la confidencialidad.
∑ Integridad de mensajes:
Impide que modificaciones intencionadas o accidentales se efectúen en la información que viaje por la red.
100
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
∑ Autenticación de servidores:
El usuario puede asegurarse la identidad del servidor al que se conecta.
Para poder utilizar el protocolo SSL se necesita una navegador web que tenga incorporado el
servicio SSL (actualmente todos en general), y un CID (certificado de identificación digital) instalado. Los navegadores de Internet actuales, soportan plenamente el SSL. Desde el Explorer 3.x de
Windows y desde el Navigator 2.x de NetScape, en adelante, pueden establecer conexiones seguras.
El servidor Web también tiene que disponer del SSL y de un CID, para poder establecer comunicaciones seguras, con usuarios que emplean un navegador de Internet seguro.
Entre el Servidor Web y el Navegador del usuario, se produce un diálogo mediante mensajes, con el fin de implementar las funciones requeridas por una conexión segura, confidencial
y auténtica. Al iniciar la conexión, el Servidor y el usuario, intercambian sus CIDs, con el fin de
poder identificarse mutuamente, y saber que cada cual es quien dice ser. Una vez, la fase de autenticación ha terminado exitosamente, se establece una clave de sesión para encriptar el flujo de
datos. Tan pronto como servidor y navegador terminan de negociar la clave de sesión, se inicia la
comunicación segura de datos entre ambos. Los datos se encriptan usando la clave de sesión, y
la clave de sesión a su vez se encripta usando la clave pública del receptor. Solamente el receptor
puede abrir el paquete de datos y descifrar su contenido.
La clave de sesión permite encriptar el flujo de datos y su longitud determina su grado de
vulnerabilidad. Una clave de sesión de 128 bits (16 caracteres) se considera que es imposible de
vulnerar, y como consecuencia es imposible descifrar los flujos de datos.
Una clave de sesión de 40 bits (5 caracteres) es considerada de seguridad aceptable para las
aplicaciones comunes, pero mediante un ataque exhaustivo se la puede vulnerar, aunque se requieren buenos recursos de computación y un gasto de unos 10,000 dólares actualmente! Por restricciones de exportación en los EE.UU. los Visores Web americanos solo pueden aceptar una clave
de sesión de 40 bits (5 caracteres).
Cuando se necesita mantener plenamente confidencial un flujo de datos, no se posible recomendar el uso de una clave de 5 caracteres (40 bits). Tiene que usar una clave de 128 bits. Verifique en la sección Seguridad en Internet de su Visor Web, si necesita saber cual es el nivel de seguridad del protocolo SSL que está usando.
Aún en el nivel mas bajo (40 bits) es suficiente para las aplicaciones comunes, piense que
una sesión de transmisión de datos normalmente es breve, unos pocos minutos en promedio, por
lo cual no es negocio invertir 10,000 dólares en descifrar sus datos.
¿Qué se requiere para establecer conexiones seguras mediante el SSL? El servidor Web y el
browser del usuario deben tener el protocolo SSL y un CID.
El usuario puede iniciar una conexión segura SSL empleando la instrucción https.
Es habitual establecer una conexión segura, solo cuando la información es confidencial, a los
efectos de hacer más ágil la transmisión y reducir la carga de trabajo en el servidor.
Empleando SSL es posible implementar operaciones de comercio electrónico en forma segura y confidencial. Un usuario puede con toda seguridad efectuar sus compras en Internet, porque
sus datos personales y los datos de su tarjeta de crédito, se pueden mantener en forma confidencial. No hay peligro de que el número de su tarjeta y sus datos personales puedan ser interceptados
y luego usados en un fraude.
Recuerde
El protocolo SSL es la principal herramienta para implementar transmisiones seguras en
Internet. Permite transmitir mensajes y archivos de todo tipo de forma confidencial para el
usuario.
Tecnología y Seguridad 101
9.3.4.2. El protocolo SET
SET es un protocolo de transmisión de datos en Internet, diseñado para que los pagos mediante tarjeta
de crédito sean seguros y confidenciales. En Febrero de 1996 fue presentado el protocolo SET, como
resultado del acuerdo entre VISA, MasterCard, IBM, Microsoft, NetScape, Verisign y otros. El estándar de SET especifica el formato de los mensajes que se intercambian entre el vendedor, el comprador
y los otros participantes (bancos, agencia de autorización, etc.). La seguridad y privacidad se logra mediante la encriptación de los mensajes, y mediante la autenticación de todos los participantes.
Funcionalidad
Seguridad
Encriptación
Autenticación
Confidencialidad
Integridad
No repudio
Firma digital
SSL
SET
Medio de pago básico
en Internet
Medio de pago basado
en tarjetas de crédito
Entre el titular de la
tarjeta de crédito, el
comercio electrónico y
la pasarela de pago
SÍ
SÍ
SÍ
SÍ
SÍ
SÍ
Entre el usuario
(navegador) y el
servidor web
SÍ
NO para el usuario
SÍ
SÍ
NO
NO
IPSEC
Destinado a VPNs
De pasarela a pasarela
SÍ
SÍ
Opcional
SÍ
NO
NO
Fig.IX-7 Diferencias entre los protocolos SET-SSL-IPS.
Fig. IX-8. Las empresas pueden simplificar sus enlaces a Internet sobre VPN, se pueden simplificar mediante SSL, en lugar de utilizar sistemas hardware VPN IPSec mucho menos económicos. En este esquema en
los pasos de conexión entre un cliente y un servidor web seguro, podemos observar los tres puntos en el
camino de conexión.
102
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
9.3.5. Últimas realidades en pago seguro
Las dos grandes compañías que dominan el mercado español, Visa y Mastercard, han desarrollado
nuevos sistemas de seguridad para autenticar los pagos con tarjeta por Internet:
∑ 3D Secure (Visa):
Basada en el modelo de 3 dominios (el dominio del usuario, el de internet, y el del ecommerce). Con este sistema Visa se centra en el dominio de interoperabilidad. También existen los modelos 3D SET, donde el banco ejecuta el pago mediante SET y en
nombre del titular y del e-commerce; 3D PA (Payer Authentication) y el citado 3D
Secure.
∑ SPA/UCAF (Mastercard):
Igual que su competidora el sistema funciona mediante una tarjeta auténtica, garantizando
la transacción en una web con la garantía de la identidad del usuario.
Ambos sistemas pretenden garantizar el pago seguro, paliando así uno de los grandes problemas de los comercios en Internet: el rechazo de la operación por parte del titular, dejando de
ser responsables de las operaciones los propietarios del comercio electrónico.
El reto de las tarjetas es la sustitución de la banda magnética por un chip. Una realidad ya
en el mercado que deberá imponerse en los pagos por la red.
9.4. Soluciones a la carta
En este punto hacemos una síntesis de diferentes soluciones de seguridad que hemos ido estudiando en capítulos anteriores y que representan el abecedario para el responsable de seguridad:
• Protección de los terminales de la red local.
• Encriptación.
• Autenticación.
• Firma electrónica.
• Certificados digitales.
• Infraestructuras PKI.
• Firewalls.
• Sistemas Antivirus.
• Protección de las bases de datos:
A menudo las bases de datos están conectadas a la red, asociadas a aplicaciones
internet, programas cliente/servidor, etc.
En estas bases de datos deberemos aplicar medidas internas de seguridad (normalmente propias en el software de la base de datos), autenticación de usuarios, detección de
intrusos, auditorías de sistemas, perfiles de usuarios adecuados, backups, etc.
• Anuladores de cookies:
Los navegadores habituales aportan la posibilidad de no aceptar cookies o de preguntar su aceptación, aunque cabe reseñar que ciertos sitios web requieren su aceptación. Si añadimos que existen vínculos invisibles y frames continuos que requieren cookies, el usuario acaba por aceptar en las opciones de su navegador la aceptación de éstas, para no “agotarse” haciendo clicks en numerosas ventanas de preguntas.
Existen además freeware (como cookie washer o cookie master) que realizan estas
opciones de seguridad fuera de las opciones del navegador.
• Servidores Proxy:
El servidor Proxy es un servidor intermediario entre el usuario de internet y la red.
Tiene varias funcionalidades, como la gestión de usuarios de acceso, caché web. En
Tecnología y Seguridad 103
general, mejora el funcionamiento de la conexión de una empresa a internet, ya que con
una misma conexión, todos los usuarios son capaces de conectarse a la red. El servidor
Proxy no envía a la red la dirección IP del usuario y puede filtrar las cabeceras http.
• Software que garantiza el anonimato:
Estos programas permiten a los usuarios interactuar de forma anónima cuando visitan
sitios web, pues primero pasan por un sitio que garantiza su anonimato disfrazando su
identidad. (Ejemplos: Anonymizer, Zero Knowledge System, Privada.com, iPrivacy).
• Detección de intrusos.
• Honey Pots.
• IP Tunneling.
Y por último no cabe olvidar, dos soluciones evidentes:
• Políticas y auditorías de seguridad.
• Medidas técnicas sobre Protección de datos.
Recuerde
La seguridad es un requisito fundamental para las empresas que ofrecen sus servicios por
Internet, por ello las soluciones de seguridad que debe disponer deben ser adaptadas contínuamente.
9.5. Ejemplo de un e-commerce seguro
Como hemos visto continuamente en este libro, la creciente importancia del comercio electrónico
lleva consigo una necesidad de sistemas de pago adecuados para la venta de productos y servicios.
Dos de los factores más importantes que limitan la expansión del comercio electrónico son las
preocupaciones por parte de los usuarios acerca de los riesgos que implica el envío por Internet de
detalles de la tarjeta de crédito y la posibilidad que su información confidencial se revele ilegalmente a terceros. Pero el usuario debe saber que hay otras posibles vulnerabilidades. Estos riesgos
también hay que evaluarlos para la empresa que coloca su tienda virtual para vender sus productos. El no tener un sistema seguro puede acarrearle problemas que pueden hacer peligrar la continuidad de su negocio.
Hoy en día, los servicios de pago en internet se basan en conexiones seguras (típicamente
SSL), que se implemente en los navegadores más utilizados y establece un canal seguro entre los
ordenadores del consumidor y del website a través de encriptación y certificados digitales.
Para atreverse a comprar en la red con las garantías suficientes para nuestros datos sean utilizados únicamente para comprar lo que hemos escogido, podemos citar una serie de características, que deberían cumplir cualquier servicio de comercio electrónico:
∑ Seguridad de las transacciones. A la hora de comprar y pagar sobre internet es necesario proteger los datos bajo protocolos de seguridad como SSL y con autoridades de
certificación que conozca nuestro navegador, o en las que confiemos y demos por válida el origen del certificado digital que utilice.
∑ Transacciones directamente sobre la entidad bancaria. Muchas de las tiendas virtuales
muestra su página de pago donde se nos pregunta el número de la tarjeta VISA y su
fecha de caducidad (habitualmente la última página en el proceso de compra) en páginas de su dominio. En cambio otros e-commerce se conectan directamente con pasarelas de pagos virtuales. El uso de esta segunda alternativa es más segura para el usuario,
pues sus datos sólo serán conocidos por la entidad fi nanciera y no serán almacenadas
en bases de datos del e-commerce, aumentando por tanto, el peligro de su privacidad.
104
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Comercio electrónico
Web de la entidad financiera
SSL
Cesta de la compra
Total... 200 
Tarjeta nº
El comercio electrónico no captura los datos
de la tarjeta, lo hace la entidad financiera a
través de una conexión segura
Su compra ha sido
procesada OK / no OK
Pago correcto/incorrecto
Caducidad
Certificado de servidor
Compra OK/no OK
Fig. IX-9. Transacciones seguras a través de la TPV virtual de la entidad financiera.
∑ Protección de las bases de datos del e-commerce:
Las bases de datos donde se almacenen la información del comercio virtual, deberá
disponer de usuarios y contraseñas, conocidas únicamente por los administradores del
sistema (incluso protegidos a programadores), y deberán cambiarse periódicamente.
∑ Protección de los programas en servidor web:
Existen ciertas vulnerabilidades en servidores web (IIS de Microsoft o Apache de Linux),
que permiten a hackers o “curiosos de la red”, poder ver, por ejemplo, el código fuente
de scripts16 que se ejecutan en servidor, y donde podrían conocer como acceder a ciertos
datos, como números de tarjetas de crédito, de usuarios que han utilizado los servicios
de compra de un cierto comercio electrónico.
∑ Información sobre protección de datos personales:
Un ecommerce seguro17 deberá informar al usuario de:
1. La fi nalidad de los datos que se le piden y almacenan.
2. Cómo acceder a los derechos de acceso, rectificación y cancelación de los datos que se
le piden.
3. Si el sistema utiliza cookies, u otros métodos de detección de perfiles y patrones de
uso y navegación.
4. Los protocolos de seguridad utilizados en las transacciones.
5. El responsable de seguridad y del tratamiento de los datos.
∑ Un ISP seguro.
Un proveedor de servicios que aloje una tienda virtual debería ofrecer en sus servicios y
ser utilizados por el e-commerce, cortafuegos y sistemas de detección de intrusos, para
aumentar la seguridad de “curiosos” que quieran entrar por “otras puertas”. Esta información podrá ser diferencial a la hora de elegir un ISP para alojar un negocio electrónico.
Actualmente los DataCenters18 de servicios avanzados de internet, ofrecen en su portafolio
de productos y servicios, valores y aspectos de seguridad en todos los ámbitos.
16
Los scripts son pequeños programas independientes, que se ejecutan en el ordenador del usuario (por ejemplo
Java Script) o en el servidor (ASP ó PHP). Conocer para un usuario el código script de servidor es un peligro para
la seguridad de acceso a los datos.
17
Ver Real Decreto Recomendación de la Agencia de protección de datos sobre sitios web y Ley de las Sociedad
sobre Servicios de la Información.
18
Servicios avanzados de internet donde se agrupan el alojamiento de espacio web (hosting), conexión a internet de
servidores (housing) con la posibilidad de conectividad a otros proveedores (co-location).
Tecnología y Seguridad 105
Fig. IX-10. Arquitectura de un e-Commerce seguro.
9.6. Ejemplo de seguridad en un servicio e-business multiagente
Estudiamos un caso particular de negocio en Internet, donde se ven implicados diversas partes, donde la seguridad de los datos que se tratan y viajan por la red es fundamental.
En un entorno de trabajo entre las asesorías que realizan los trámites fiscales (impuestos, etc)
y laborales de empresas, la Administración tributaria (AEAT) y las entidades financieras, se creó
por parte de la Administración pública, el protocolo NRC que permite la interconexión entre estos
agentes para el pago de declaraciones (impuestos) a través de los servicios de banca a distancia y la
web de la Agencia Tributaria. El sitio web de la AEAT (www.aeat.es) dispone de diversos servicios
telemáticos para el usuario final que presenta su declaración de la renta, y para los asesores fiscales
y laborales que presentan estas declaraciones por sus clientes.
106
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
En este entorno plenamente B2B, estudiamos en estas líneas la Seguridad en el tratamiento y
envío de Presentaciones telemáticas por lotes NRC, donde se ven implicados tres agentes: el asesor,
la entidad financiera y la Agencia Tributaria.
En el tratamiento y envío telemático de declaraciones mediante el protocolo NRC (envío por
lotes de diversos contribuyentes y declaraciones en un solo paso) intervienen tres agentes:
∑
El sistema de información del asesor fiscal
El módulo NRC integrado en la plataforma de aplicaciones de CCS Profesionales, que
gestiona la solicitud de NRCs a partir de los programas de gestión, lee las respuestas de
la entidad financiera, gestiona los archivos devueltos correctos y no correctos para prepararlos
en el formato de la AEAT (además de otras gestiones diversas: listados, integración con otros
aplicativos, etc).
La seguridad en este sistema de información debe:
• Seguridad en el control de acceso al aplicativo que gestiona los ficheros y la información
de los mismos (identificación del usuario y autenticación).
• Seguridad en la base de datos asociada al sistema de información (en este caso la base de
datos Caché).
• Por temas de protección de datos personales, el asesor debe disponer de un contrato
con sus cliente (el “contribuyente” para la AEAT), ya que el asesor en este caso hace la
funciones de encargado del tratamiento.
∑ El programa de Banca a distancia de la entidad financiera que incorpora la lectura de
solicitudes de ficheros NRC, los procesa y envía las respuestas (ficheros con el NRC)
al usuario:
• La identificación y autenticación del usuario (el asesor fiscal) se realiza en el website
también bajo SSL.
• Seguridad en la transmisión de la información. El servicio de banca a distancia vía
web suele funcionar bajo el protocolo SSL que encripta los datos entre el asesor y la
entidad financiera.
• El asesor debe firmar un contrato de servicios con la entidad financiera. Este contrato junto
con los que el asesor firma con sus clientes forman la prestación de servicios “expresa y
por escrito”, según la LOPD.
• Los sistemas técnicos que garantizan la seguridad interna obvia de los sistemas de
información de la entidad financiera.
∑ La AEAT que a través de sus servicios en la web, el asesor presenta las liquidaciones
previamente procesadas por los anteriores agentes.
∑ La seguridad en la comunicación viene garantizada por el certificado digital de la FNMT del
asesor, que asegura la confidencialidad e integridad así como la autenticación del mismo ante
la AEAT, ya que incorpora la firma del titular y la de la autoridad de certificación (la FNMT)
en la que confían emisor y receptor del servicio. Una PKI entre el asesor, la Administración
tributaria y la FNMT.
• El sistema de información del asesor crea ficheros de solicitud de NRC a partir de
información de los aplicativos de gestión.
• El asesor se conecta al servicio de banca a distancia, mediante una comunicación
segura, para enviar la solicitud de los archivos NRC.
• El asesor descarga de Internet estos archivos NRC (con su código de error si existe)
y se incorporan al sistema de información del asesor para su control, gestión y
posterior envío a la AEAT.
Tecnología y Seguridad 107
• El asesor se conecta a la web de la AEAT y mediante su certificado digital se
autentica con el sistema. Desde el applet java de la web se procede al envío de los
ficheros preparados por los anteriores agentes.
• El asesor visualiza el comprobante del envío (correcto o no).
9.7. ASP (Application Service Provider)
Los proveedores de aplicaciones o ASP (Application Service Provider) se encargan de gestionar
aplicaciones de software estandarizadas para diversos clientes en régimen de alquiler y a través
de Internet. El amplio y creciente mercado abierto ante las innumerables posibilidades que ofrece Internet ha convertido a los proveedores de aplicaciones en Internet en uno de los sectores que
mayor protagonismo está cobrando, basando su principal foco de negocio en la gestión de aplicaciones de software estandarizadas y personalizadas en régimen de alquiler y a través de la red.
Los ASPs como servicios de alojamiento deberá incorporar todas las medidas necesarias de
seguridad posibles, ya que precisamente el convencer a su cliente de que sus datos, a partir del día
que contrata sus servicios, ya no estarán en su empresa , sino que en un ISP, será la tarea más difícil. Una tarea de comunicación donde la palabra SEGURIDAD será la clave del argumentario:
∑ Seguridad física.
∑ Seguridad lógica:
• PKI.
• Política de certificados.
• Firewalls.
• Antivirus, contenidos malignos y detección de intrusos.
• Alta disponibilidad.
∑ Seguridad de aplicaciones y BBDD:
• Seguridad para los administradores de cada cliente.
• Seguridad para los usuarios finales (clientes de los clientes del ASP).
∑ Servicios de gestión continuada (24x7x365).
∑ Seguridad de las comunicaciones:
• Acceso a Internet y al ISP.
Un servicio posible que puede ofrecer un ASP es el denominado “Back-up Remoto”, que consiste en una funcionalidad extra de copias de seguridad, de tal manera que se efectúa una copia de
resplado hacia el ASP, por ejemplo cada noche. Esta es una medidad de las bautizadas como “contra
desastres” y puede formar parte de un plan de contingencia bien organizado, para tener esta copia de
la información en un lugar fuera de la empresa.
10. Movilidad y m-Commerce
10.1. La internet wireless
La internet sin hilos realmente representa el hito a conseguir por la tecnología de comunicaciones, software y harware. Un ideal que todos los que trabajamos con la red y los usuarios domésticos, vemos cada
día más cerca con la proliferación de los dispositivos móviles y los servicios asociados a ellos.
Con los teléfonos móviles está pasando algo parecido que pasó antes de la web. Cuando con
terminales Unís y antes de que estuviera el Mosaic, navegábamos mediante gopher para decubir cosas en la red y comunicarnos mediante chat en entorno host con colegas de universidades de otros
países. Hoy en día los mensajes SMS son los gophers de antes, y representan el preludio del WAP,
y éste de GPRS y éste del esperado UMTS,donde prodremos recibir en un dispositivo móvil y pequelño “casi de todo”.
108
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
En este capítulo vamos a estudiar los conceptos y aspectos de seguridad en tecnologías de acceso inalámbrico, en dos vertientes, una dentro de organizaciones y otra orientada a usuarios finales.
Estos conceptos los hemos agrupado en los términos movilidad y m-Commerce:
• Movilidad:
El acceso móvil a información corporativa ya está al alcance de las empresas, gracias a
la tecnología GSM y GPRS, en el camino de la espera de la tercera generación a través
de UMTS.
Utilizamos el término “Movilidad”, porque gracias a entornos de acceso a datos sin
cables, los empleados y clientes pueden acceder a los sistemas informáticos con dispositivos como teléfonos WAP, terminales PDA y portátiles. Los conceptos de trabajar fuera
del despacho, fuera de la oficina, sin fronteras de movilidad, se abren a las empresas para
que los ejecutivos, comerciales y consultores, dispongan de acceso al e-mail corporativo,
aplicaciones de trabajo, con disponer sólo del dispositivo apropiado.
• M-Commerce:
Los servicios de comercio electrónico a través de dispositivos móviles para el usuario,
está emergiendo como un vía rápida de acceso a servicios y productos en Internet , donde
la seguridad representa un factor clave para su desarrollo.
10.2. Pasado, presente y futuro en telefonía móvil
Ambos conceptos, el del acceso del usuario doméstico a Internet y el de uso por organizaciones a
datos en redes inalámbricas las podemos estudiar en las generaciones de telefonía móvil, resumidas en el siguiente cuadro:
• Tecnologías:
•
AMPS (USA).
•
USDC (United States Digital Cellular System).
•
ETACS (Europa)-España Telefónica Moviline (400.000 usuarios en el año 2000,
4% cuota mercado.
Soporte digital de voz y datos
• Tecnologías:
•
IS-95 (USA).
Compatible con el sistema AMPS.
Velocidad de datos a 9.6 kbps, 14,4 kbps y 115,2 kbps.
•
GSM (Europa-Australia, países sudamericanos y otros).
Implantado desde 1993.
Voz, fax, videotexto y teletexto.
Velocidad de datos a 9.6 kbps.
Encriptación de datos.
2G
SEGUNDA GENERACIÓN
PRIMERA
GENERACIÓN
1G
Voz analógica, implantada por primera vez en 1983
•
2.5G
•
xG
FUTURAS
GENERACIONES
•
•
TERCERA
GENERACIÓN
3G
SEGUNDA-TERCERA GENERACIÓN
Tecnología y Seguridad 109
WAP:
Sistema de mensajes avanzados para terminales digitales que permiten acceder a
Internet en teléfonos móviles adaptados al protocolo mediante el lenguaje WML.
Protocolo de seguridad WTLS (análogo del SSL).
GPRS:
Ofrece un acceso de datos por conmutación de paquetes sobre la red GSM. Máxima
velocidad de 171.2 kbps, conexión inmediata y conectividad con redes TCP/IP
(internet).
GSM EDGE:
Sobre la red GSM utilizando diversos canales se consigue mayor velocidad de
acceso (máximo de 64 kbps).
GSM HSCSD:
También desarrollada sobre la red GSM pero requiriendo terminales móviles
especiales, este sistema basado en modulación denominada 8PSK puede llegar a
alcanzar velocidades de transmisión de datos de 48 kbps.
Los sistemas de telefonía movil de tercera generación se ha diseñado para proveer
servicios multimedia (voz, internet, imagen):
•
Velocidades de hasta 2 Mbps.
•
Compatibilidad con sistemas de 2G.
•
Accesos simultáneos de servicios (hablar y conectarse a Internet al mismo tiempo).
La estandarización de los diferentes sistemas pasa por el UMTS que actualmente (junio
2002) no se ha clarificado, existiendo diversos sistemas como el CDMA2000 (USA) y
el WCDMA (Europa).
•
Wireless LANs (redes sin hilos) a 10 Mbits/s.
•
Estaciones estaratosféricas para conseguir velocidades de hasta 47 GHz que
requerirán roaming entre sistemas (terminales que soporten diferentes sistemas).
•
Redes inteligentes, ITS (Intelligent Transport System), redes
integraninformación, telecomunicaciones, carreteras, vehículos, etc.
que
10.3. Tecnologías wireless
10.3.1. Comunicaciones wireless seguras
Un sistema de comunicación es seguro cuando el receptor recibe exactamente aquello que el emisor ha enviado. El canal de comunicación puede ser una vía de inseguridad, para ello se utilizan
sistemas de codificación, además de la posible intervención directa de la comunicación (curiosos,
hackers, etc), para ello se utilizan sistemas de criptografía.
En general la seguridad en redes inalámbricas y dispositivos móviles , se puede definir en
tres niveles:
• Seguridad operacional, cuando los datos deben llegar correctamente al destinatario.
• Seguridad del operador, de tal manera que el sistema lo utilice aquel que paga el servicio.
• Seguridad del usuario. Hace referencia a la confidencialidad y privacidad de la información que viaja por la red asociada al usuario que la está utilizando.
10.3.2. Tecnologías wireless
• WI-FI (Wireless Fidelity):
Basada en el protocolo 802.11b, para el acceso a redes locales, proporciona una ancho
de banda de 11 Mbps a distancias de hasta 100 m. Tiene importantes problemas de
seguridad, por lo que se han desarrollado estándares como WEP, (Wired Equivalent
110
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Privacy) sobre el IEE 802.11, para implementar medidas adicionales de seguridad
(Radius, Kerberos, VPN, SSL, PKI, etc).
• WAP:
El Wireless Application Protocol es el protocolo por excelencia de aplicaciones por
internet sin cable. Es un sistema no propietario, como C-HTML (HTML compacto
y válido para terminales internet con pantallas pequeñas), y a diferencia del Web
Clipping que es un sistema prpietario de las PDAs de Palm. WAP, a diferencia que CHTML es algo más que un lenguaje de tags , es un conjunto de protocolos específicos
para la red móvil. Esto le hace más complicado, pero para nuestro interés, más fiable.
Aunque WAP utiliza sus propios protocolos (como WML o WTSL, el paralelo de SSL
sobre la red móvil), está diseñado para ser completamente compatible con internet. Así una
página que sirva cualquier website y por el protocolo HTTP sobre TCP/IP podrá convertirse
a WAP al pasar por la pasarela entre internet y la red sin cable. En esta transición de redes,
en la pasarela o gateway, es donde pueden encontrarse las vulnerabilidades básicas, fáciles
de resolver, pero costosas.
Fig. X-1. Arquitectura WAP.
• Bluetooth:
La nueva tecnología Bluetooth nace de la necesidad de solucionar las limitaciones de
movilidad en el entorno de ordenadores y periféricos y de su interconexión entre ellos.
Establece un nuevo estándar basado en un sistema de rediofrecuencia de corto alcance
con el objetivo de permitir la comunicación. Esta tecnología permite la comunicación
inalámbrica a pequeñas distancias (10 m. aproximadamente) con una ancho de banda
de 1 Mbps. Bajo Bluetooth, se han desarrollado multitud de aplicaciones en dispositivos
electrónicos (periféricos de ordenadores personales, tarjetas contact-less, teléfonos
móviles, reproductores de sonido, PDA’s, etc).
La clave de esta tecnología es la interoperabilidad, de tal manera de cualquier dispositivo que
disponga del sello Bluetooth, pueda conectarse con otro independientemente del fabricante.
Fue Ericsson quien desarrolló Bluetooth para comunicar sus teléfonos móviles con
ordenadores. A partir de entonces, otros fabricantes se apuntaron al estándar: Intel, IBM,
Nokia, Toshiba, etc. Actualmente son más de 1500 compañías las que desarrollan software y
hardware bajo la firma BlueTooth.
Tecnología y Seguridad 111
BlueTooth
• Comunicación entre todo tipo de dispositivos dentro de una determinada cobertura.
• Sistema de homologación muy estricto para conseguir la compatibilidad total, versión
actual 1.1.
• Sustitución del cable.
• Acceso a voz y datos.
• Radiofrecuencia a 2.45 GHz – velocidad de transmisión a 1 Mbps.
• Alcance 10 m (0 dbm). Se pueden conseguir más distancias con antenas y
amplificadores (hasta 100 m y 2 Mbps).
•
GPRS:
Hasta ahora, la transmisión de datos en teléfonos móviles tuvo siempre en los servicios de voz
su principal utilización. El primer servicio WAP en España apenas apareció en el año 2000 y
el SMS solo comenzó a utilizarse en gran escala hace poco más de un o dos años. A pesar de
que los fabricantes de redes y dispositivos comunicaciones móviles están ya desarrollando la
tercera generación de teléfonos móviles (UMTS), que permitirá adelantos sin precedentes en
el campo de la Internet móvil, existen otras tecnologías que intentarán hacer el puente entre la
2ª e 3ª generación con relación a la transmisión de servicios de datos. El General Packet Radio
Service (GPRS) es uno de estos nuevos adelantos apellidados de 2.5 G (segunda generación
y media) debido al echo de posibilitaren un mayor abanico de opciones que los sistemas de 2ª
generación pero aún se situaren detrás del UMTS con relación al vídeo y multimedia.
GPRS, por tanto es la red de comunicaciones móviles creada específicamente para la
transmisión de datos, y está totalmente operativa a precios asequibles para empresas
en el mercado español.
El retraso de UMTS y la recesión económica que ha obligado a las empresas, a buscar
la máxima rentabilidad en sus inversiones en Tecnologías de la Información y Comunicaciones, han hecho desarrollar con éxito la tecnología GPRS, como una nueva forma
de trabajar en las empresas, logrando que la Internet móvil se convierta de un mito a
una realidad palpable. GPRS permite un mayor ancho de banda mayor que GSM (40
kbps frente a los 9 kbps de GSM) y es ideal para proporcionar acceso desde el móvil
(conectado al portátil o integrado en la PDA) a las redes IP y sus servicios asociados
(acceso a internet/Intranet, WAP, email, etc).
Sobre aspectos de seguridad, GPRS dispone del estándar 3GPP, donde se recogen los
mecanismos a implementar en la red para poder autenticar al usuario y al terminal, garantizar la confidencialidad del usuario y la integridad de la comunicación. Los sistemas
que cubren estos aspectos se basan en mecanismos de desafío/respuesta sobre el IMEI
(International Mobile Equipment Identity), algoritmos asimétrcicos como el A3 y el A5,
y el empleo de una TLI (Temporary Logical Link Identity) para la confidencialidad de la
información. Las soluciones de seguridad como VPN y PKI se pueden implementar sobre
GPRS, y existen soluciones concretas como Firewalls específicos (como Firewall-1 GX
de Check-Point), para filtrar los paquetes en conexiones roaming, identificando y previniendo la entrada de paquetes “anormales” o desconfigurados, al mismo tiempo que no
se pierde la calidad de servicio requerido por los usuarios de móviles.
112
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
GPRS
•
•
Acceso móvil a Internet, desde un PC o PDA mediante un teléfono GPRS como móvil
•
Acceso móvil a Intranet
•
Acceso móvil a aplicaciones corporativas, ERP/CRM/SCM
•
Máxima velocidad teórica a 171.2 kbps
•
Ancho de banda bajo demanda
•
Aplicaciones
•
Chat
•
Navegación en la red y WAP sobre GPRS
•
Imágenes
•
Transferencia de archivos
•
Email y Audio
•
Control remoto de sistemas
UMTS:
Como hemos citado antes el UMTS promete ser la tecnología en la tercera generación de
dispositivos móviles. El UMTS será por tanto el sistema universal de telecomunicaciones
móviles. Es un protocolo de banda ancha de transmisión de paquetes e inalámbrico, que
ofrecerá una velocidad de transmisión superior a 2 Mbps. Este nuevo protocolo de banda
ancha permitirá la transmisión de señales digitales de vídeo a aparatos portátiles con la
misma calidad de la televisión. Actualmente la red GSM permite velocidades en torno a los
11 kbps, suficientes para transmitir señales sonoras pero no imágenes en movimiento.
10.4. El m-commerce: un mercado emergente
Las compras a través de nuestros terminales de teléfono móvil se hacen cada vez más habituales,
este tipo de comercio, denominado m-commerce, se encuentra actualmente en una fase de crecimiento acelerado, que han dejado “puertas abiertas”, “agujeros de seguridad” que requieren soluciones de arquitecturas adecuadas.
El comercio electrónico desde dispositivos móviles plantea diferente problemática que el
acceso desde un terminal donde llega la información por cable. Ocurre, que debido a estas soluciones de seguridad que no han crecido al mismo nivel que la venta de móviles, pueda incluso al
m-commerce, verse frenado, haciendo de esta manera, urgente el plantearse la seguridad y la privacidad como punto indispensable a tratar cuando una empresa quiere entrar en el mundo de los
negocios a través de la red móvil.
Sobre la red móvil viajan actualmente aplicaciones de banca, tiendas virtuales, publicidad,
aplicaciones de localización, juegos, programas informáticos, que hacen que no sólo sea indispensable la seguridad, sino también la privacidad, como venimos citando en varias ocasiones en
el presente manual.
En el despegue de lo inalámbrico, tenemos que pensar que los dispositivos móviles no sólo
pueden ser utilizados por personas, sino también por otras máquinas que la utilicen de forma automática. Por ejemplo una máquina tragaperras o un terminal que dispone de datos personales, y
que envía información por GSM de su facturación diaria. Punto también de importancia al pensar
en la privacidad de los datos.
Existe además un problema relacionado con la misma evolución de la tecnología. Los teléfonos móviles de hoy que acceden a internet mediante el protocolo WAP (por eso también se concibe el término w-commerce), serán mañana terminales UMTS y dispositivos de 3G, y dejarán obsoletas las soluciones y técnicas de hoy, para dar paso a las nuevas.
Tecnología y Seguridad 113
10.5. Vulnerabilidades de seguridad
Teléfonos móviles GSM, consolas Palm, dispositivos WAP, etc son canales de venta para el comercio
electrónico o aplicaciones que requieran alta seguridad y que por su arquitectura de información por
vía radio, pueden tener los siguientes problemas sobre seguridad y privacidad.
• Tamaño de los dispositivos:
Básicamente un problema que pueda parecer sorprendente como el tamaño es que los dispositivos móviles son aparatos fáciles de perder y por tanto, fáciles de utilizar por personas que
únicamente con conocer un código PIN y quizás una password, podrán efectuar compras por
internet. Además el hecho de que las pantallas son más pequeñas, hace que las soluciones mcommerce, utilicen mecanismos de autenticación con “menos letras”, guardando información
del tipo cookie en los dispositivos, y haciendo más fácil la vulnerabilidad del uso ilegítimo.
• Soluciones de encriptación mas costosas:
La encriptación entre la red inalámbrica y la alámbrica se pierde, debido a que la gateway
que precisamente hace esta conversión, necesita trabajar con los datos digitales sin encriptación, por lo que las soluciones m-commerce con transacciones deberían adquirir la gateway
detrás del cortafuegos, estando normalmente en el ISP.
• Privacidad:
Existen numerosas soluciones basadas en la localización física del movil y del usuario que
la utiliza, tecnología e-positionning que podría incurrir en materia de protección e datos y
en todo caso vulnerar la confidencialidad del de la persona que lo utiliza.
Vulnerabilidad: normalmente los gateways wap, se
sitúan en la red del operador
DISPOSITIVO
MOVIL
SERVIDOR
WAP
GATEWAY
SSL
WTLS
Con esta arquitectura, los datos en este
punto aparecen desencriptados
Fig. X-2.
114
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Aumentar la seguridad: Situar la pasarela detrás del
cortafuegos, implica mayor gasto para la empresa de soluciones
m-commerce, a diferencia de sistemas TI alámbricos que la
situarían en el ISP
FIREWAL
GATEWAY
Back-end corporativo
Fig. X-3. Riesgo y solución en la pérdida de la encriptación con el protocolo SSL.
10.6. Soluciones de seguridad en dispositivos móviles
Las soluciones de seguridad y privacidad sobre dispositivos móviles deben proteger el acceso, los contenidos y las transacciones:
• Arquitectura de red:
Hemos visto en el esquema anterior la vulnerabilidad que presenta la transición de la red fija
a móvil. Para la empresa que quiera incorporar el m-commerce en sus estrategias de negocio y quiera evitar la costosa implantación de pasarelas de conversión de datos (gateways),
necesita contratar una solución de servicios englobada en un ISP que ofrezca la conversión
WAP, la integración con la red inalámbrica, servicios de hosting y co-location, así como
acceso a bases de datos e integración con VPNS. Otras tendencias tecnológicas sobre radio
son LDMS (Banda ancha pero actualmente costosas licencias de adquisición).
• Autenticación:
• Password based.
• Clave pública PKI sobre RSA.
• Certificados digitales.
Certificados integrados en los móviles o en los servidores WAP, permiten realizar
compras seguras identificando al usuario y encriptando la información.
• Por voz:
La última tendencia tecnológica en autenticación sobre dispositivos móviles es el
reconocimiento de voz. Identificar al usuario de telefonía movil en operaciones de
comercio electrónico mediante su voz, sin necesidad de utilizar certificados, contraseñas,
PINs, simplifica el proceso de compra y aumenta las posibilidades del m-commerce. Las
tecnologías de reconocimiento de voz se basan en soluciones soft sobre sistemas operativos
inteligentes, como el Nuance 7, apoyadas por sistemas hardware de reconocimiento de
señales acústicas humanas en tiempo real.
• Encriptación:
• DES, 56 bits.
• A5 sobre GSM. La seguridad entre dispositivos GSM es de las más desarrolladas.
• Protocolo WLTS. El protocolo SSL equivalente sobre la red móvil. Es un protocolo de la
familia WAP.
Tecnología y Seguridad 115
• Virus:
Debido a la funcionalidad limitada de los dispositivos móviles, el riesgo de que llegue un
virus a un móvil o PDA es menor que a un PC doméstico. Pero no podemos olvidar el riesgo que ello supone y así lo advierten las compañías anti-virus que deben vigilar e investigar
día a día la tecnología y los peligrosos creadores de tales criaturas informáticas. Los riesgos
más cercanos pueden venir, por ejemplo, por Wscript o por envíos masivos de mensajes SMS
desde PCs (como el caso del virus Timofónica).
Fig. X-4. Estructura de red de PKI para una red inalámbrica. Fuente RSA Security.
Recuerde
El acceso móvil a información corporativa y a servicios a usuarios finales, ya está al alcance
de todos, con tecnologías cada vez más “rápidas”, donde la seguridad representa un factor
clave en el desarrollo e implementación de las mismas.
11. Protección de datos personales. Medidas técnicas
11.1. La adecuación de los ficheros y la empresa
La adecuación de una empresa u organización a la normativa de protección de datos representa
cumplir diferentes medidas englobadas en tres grupos:
• Medidas organizativas:
• Reestructuración de ficheros y de sus responsable.
• Responsables de seguridad, del fichero, etc según la normativa de protección de
datos, LOPD 13 dic 99 y Real Decreto 994/199.
• Medidas técnicas:
• Reestructuración de ficheros, Sistemas de Tratamiento y recursos.
• Usuarios, contraseñas, control de acceso, copias de seguridad, etc.
• Medidas legales:
• Relacionadas con la legitimación de la información: contratos de outsourcing,
entrada, salida de información.
• Procedimientos de cesión de datos , medidas a tomar en la baja de empleados, etc.
Para situar la auditoría técnica y la implantación de las medidas apropiadas según el nivel de
seguridad requerido (bajo, medio o alto), observamos en el siguiente esquema gráfico su rol en la
globalidad de las actuaciones que se deben realizar en la empresa para adecuarla a la normativa:
116
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
FICHERO
Legitimación
Documento de seguridad
Implantación de medidas técnicas sobre:
• Los Sistemas de Tratamiento
• Los RECURSOS
Registro frente a la APD
Fig. XI-1. Las obligaciones de las empresas que tratan ficheros que contienen datos personales. Donde
situar la adecuación técnica.
• Legitimación: Toda la entrada de datos personales en el fichero debe ser “legitimada”.
• Documento de seguridad. Reglamento interno de seguridad que más tarde estudiaremos.
• Medidas técnicas para cumplir el nivel de seguridad requerido.
• Registro del fichero ante la Agencia de Protección de Datos.
11.2. La auditoría técnica
11.2.1. Objetivos y fases de trabajo
En la auditoría técnica (informática y de comunicaciones) de cumplimiento de la normativa de protección de datos personales se pueden distinguir dos fases principales:
1. Identificación de ficheros, sistemas, recursos, datos, contenido, calidad, etc. Un control
técnico de un profesional adecuado deberá ser capaz de identificar todos estos agentes que
conformarán el siguiente paso.
2. La implantación de medidas técnicas y de procedimientos. Todo ello adecuado al nivel de
seguridad requerido.
La lectura y estudio del Real Decreto 994/1999 conlleva en la auditoría técnica, las siguientes
etapas de manera, que detallamos en este esquema de manera más específica:
Tecnología y Seguridad 117
Identificación
Medidas técnicas
Procedimientos
15. Ficheros
16. Sistemas de Tratamiento y recursos
17. Calidad y contenido de los datos
18. Usuarios y accesos a los datos
19. Nivel de seguridad
5. Identificación y autenticación
6. Control de acceso
7. Copias de respaldo
8. Ficheros temporales
9. Pruebas con datos reales
10. Redes de comunicaciones
11. Control de acceso físico
12. Auditorías (a partir de nivel medio)
13. Registro de acceso (sólo nivel alto)
14. Cifrado (sólo nivel alto)
1. Registro de incidencias
2. Control de entrada y salida de soportes informáticos
3. Inventario de soportes
4. Política de contraseñas
Fig. XI-2.
11.2.2. Los ficheros, los Sistemas de Tratamiento y los recursos
Según la normativa sobre protección de datos estudiada con detalle en la parte III del manual, las medidas técnicas recopiladas en el RD 994/99, hay que aplicarlas sobre el FICHERO en su totalidad. Sobre
esta medida general y debido a la infraestructura informática de las empresas y organizaciones (programas informáticos de diferentes proveedores) se deben aplicar estas medidas en diferentes sistemas.
Repasamos las definiciones que nos interesan para este punto, extraídas de la LOPD 13 dic.
99 y el RD 994/99:
1. Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la
forma o modalidad de su creación, almacenamiento, organización y acceso.
2. Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado
o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
3. Sistema de información: Conjunto de ficheros automatizados, programas, soportes y
equipos empleados para el almacenamiento y tratamiento de datos de carácter personal.
4. Recurso: Cualquier parte componente de un sistema de información.
Una lectura de estas definiciones nos hace cuestionar ¿A nivel técnico qué es un fichero
y dónde debemos aplicar en la práctica las medidas técnicas?. Una respuesta técnica-jurídica (y
obligatoriamente práctica) debe considerar que se deben aplicar las medidas al conjunto de todo
el FICHERO. Por ello resulta vital, generalizar al máximo el termino FICHERO y dividirlo en los
Sistemas de Tratamiento que lo componen y los recursos que tratan los datos personales, sobre
todo al regular los mecanismos de control de acceso, identificación y autenticación.
118
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
FICHERO
Sistema
Tratamiento 1
Sistema
Tratamiento 2
Recurso 1
Recurso 2
Fig. XI-3. La estructura de ficheros, Sistemas de Tratamiento y recursos.
¿Cuándo distinguir entre distintos ficheros?
Es una de las preguntas clave en la auditoría de protección de datos. La respuesta más sencilla es
la que debe tener en cuenta que al registrar un fichero, las medidas técnicas se deben aplicar a todo
el conjunto del mismo. Por lo tanto puede ser conveniente en un ejemplo real, reestructurar la información (Sistemas de Tratamiento y ficheros) en dos ficheros: uno de nivel básico y otro de nivel
alto, para evitar aplicar medidas técnicas como cifrado de la información a todos los aplicativos
informáticos de una empresa, y sólo hacerlo en aquellos que traten datos del nivel alto.
La decisión de cuantos ficheros adecuar representa también un factor organizativo, de gestión y de trámites con la Agencia de Protección de datos, por lo que resulta práctico disponer del
mínimo número de ficheros posibles.
¿Cuándo distinguir entre diferentes Sistemas de Tratamiento?
El control de acceso a los recursos informáticos nos permitirá diferenciar los distintos Sistemas
de Tratamiento. Cuando a un conjunto de programas accedamos de la misma manera (con el mismo usuario y password, por ejemplo), estos recursos formarán un sistema y agruparemos en otros
cuando el control de acceso sea distinto.
Habitualmente habrá diferentes Sistemas de Tratamiento cuando haya diferentes proveedores de software, puesto que además de que sus bases de datos son diferentes, la manera de acceder
a los recursos son también diferentes disponiendo en la mayoría de casos de listados de usuarios
y contraseñas diferentes.
Un punto importante es considerar un sistema de información aparte todo lo relativo a la conexión externa a Internet de la organización. Englobamos en este caso el acceso web, email, ftp,
etc. Por ejemplo un empleado de una empresa utiliza diferentes recursos (el navegador, el programa de correo y otros) susceptibles de tratar (entrar y salir y almacenar datos personales) que agrupados formaría un sistema de información denominado “sistema de información internet”.
¿Cuál es la mejor opción en la auditoría técnica de una empresa?
Entenderemos fichero, por tanto, a todo el conjunto de datos informatizados de la empresa, y definiendo en todo lo posible un solo fichero (ya que disponer de varios, significa disponer de varios responsables por fichero, varios documentos de seguridad, etc). Será oportuno declarar varios ficheros
Tecnología y Seguridad 119
cuando las medidas técnicas a aplicar a todo el CONJUNTO DE DATOS sea difícil de implantar y
en algunos casos inviable, por ejemplo cuando medidas de cifrado de la información (si el fichero es
de nivel alto) sea difícil de realizar en todos los Sistemas de Tratamiento de la organización.
11.2.3. Un ejemplo práctico: un despacho profesional con Sistemas de Tratamiento de
acceso remoto
Para aclarar esta distinción entre ficheros, Sistemas de Tratamiento y recursos, pensemos en un
ejemplo de una asesoría laboral-fiscal que dispone de cantidad de datos personales:
• Sus clientes personas físicas a las que realiza gestiones fiscales (Declaración de la
renta), trámites de gestoría, seguros, etc.
• Sus clientes personas jurídicas a los que realiza las nóminas de sus trabajadores y toda la
gestión laboral, además de las liquidaciones tributarias (IVA, IRPF, etc) de la empresa.
• Datos personales de sus empleados, donde en la misma asesoría se le realizan sus
nóminas y otras gestiones propias de recursos humanos.
Pensemos que la asesoría dispone (como es evidente) de una serie de programas informáticos
de gestión para realizar todos los procesos que trate por ejemplos datos de nómina donde el
dato de persona discapacitada puede estar informada y los trate en programas informáticos, el
fichero a declarar y proteger será de nivel alto. El acceso remoto a estos datos deberá encriptarse
(típicamente en internet utilizando SSL). Si esta medida de encriptación las aplicáramos a todo el
conjunto de programas informáticos del despacho, puede resultar imposible implantar esta medida
técnica, y por ello oportuno declarar (y hacer diferentes documentos de seguridad e implantación
de medidas) en dos ficheros: uno por ejemplo denominado administración y otro, por ejemplo,
laboral internet.
Red local de la gestoría-asesoría
donde existen datos personales de
sus clientes y de los “empleados y
clientes de sus clientes”.
En esta gestoría existen Sistemas
de Tratamiento para llevar la
gestión fiscal y laboral de las
empresas a las que asesora y
además existe otro sistema de
información de acceso remoto
(por Internet) a información
laboral PARA CIERTOS
CLIENTES
Aplicación internet
con identificación
de usuarios
El cliente del despacho
gestiona la información
laboral de sus empresas
conectándose por
Internet con su gestoría
Fig. XII-4. Un caso práctico con dos Sistemas de Tratamiento, uno de ellos de acceso remoto por Internet.
El siguiente esquema sería válido para entender la tipología de arquitectura técnica del fichero de una asesoría laboral y fiscal que dispone de datos de personas físicas y jurídicas en una
plataforma de aplicativos informáticos de CCS Profesionales (CCSP), además de un software de
gestión laboral donde el cliente de la asesoría se conecta al despacho para hacer ciertas gestiones
on-line a través de internet:
120
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Fichero 1
ADMINISTRACIÓN
Sistema de tratamiento 1
CCSP CACHE NT
Fichero 2
LABORAL
INTERNET
Sistema de tratamiento 2
CCSP acceso Telnet
Por cada fichero se debe disponer de un
documento de seguridad y aplicar las medidas
técnicas (y jurídicas) en su conjunto
Sistema de tratamiento 3
Otras plataformas de programas
Los Sistemas de Tratamiento del fichero se
distinguen por el CONTROL DE ACCESO a
los datos, la IDENTIFICACIÓN de los
usuarios, el procedimiento de COPIAS DE
RESPALDO y la AUTENTICACIÓN de los
usuarios (contraseñas, etc)
Recurso 1
CCSP LABORAL
Recurso 2
CCSP RENTA
Recurso 3
CCSP FISCAL
Los recursos son los aplicativos informáticos que
comparten el mismo sistema de información
(típicamente la misma base de datos o el mismo
proveedor de software).
Cada usuario del despacho podrá entrar a los
recursos que el sistema le permita (CONTROL
de ACCESO)
Fig. XI-5. Esquema de Sistemas de Tratamiento y recursos en el ejemplo.
Fig. XI-6. El software GPD de CCS Profesionales permite gestionar y almacenar la información relativa a
los sistemas de tratamiento y recursos asociados, de los que el control de acceso y la política de copias de
seguridad son comunes.
Tecnología y Seguridad 121
11.2.4. Control de acceso
El control de acceso constituye una herramienta para proteger la entrada a una aplicación informática que trate datos personales, un sitio web o a una máquina que presta servicios en la red. Esta
protección de la información puede ser a la máquina completa, a ciertos directorios o a ciertos recursos o programas.
Como habíamos estudiado anteriormente, el control de acceso consta de tres fases:
1. La identificación.
2. La autenticación.
3. La autorización para el acceso.
11.2.5. El registro de Accesos de nivel alto
A finales de junio de este año entrará en vigor el nivel alto de seguridad para los ficheros automatizados que contengan datos de carácter personal. Dicho nivel afecta a aquellos ficheros que
contengan datos personales relativos a: ideología, religión, creencias, origen racial, salud y vida
sexual. El punto principal de las especificaciones técnicas concretas de nivel alto es que deberá
existir un Registro de accesos con las siguientes características básicas:
1. De cada acceso a un dato de nivel alto se guardarán, como mínimo, la identificación
del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si
ha sido autorizado o denegado.
2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información
que permita identificar el registro accedido.
Usuario
Sistema operativo
Sistema de información
FICHERO
Recursos o aplicativos
Base de datos
Dato personal
Fig. XI-7. El registro de accesos al fichero se puede diseñar en cualquier “etapa” informática en el proceso
de acceso a los datos, desde el sistema operativo hasta la base de datos donde se alberga la información a
proteger. Los mecanismos de registro de acceso que marcan la normativa para los ficheros de nivel alto,
se podrán realizar en cualquiera de estas etapas, aunque lo ideal sería en los propios aplicativos pués son
los que acceden directamente a los datos conociendo su calidad y cantidad, a diferencia de los sistemas
operativos por donde pueden correr infinidad de recursos desconociendo el SO su naturaleza y por lo tanto,
las medidas técnicas a aplicar.
122
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
11.3. Resumen de medidas técnicas
Autenticación
FICHERO
Sistemas de tratamiento
Identificación
Back-ups
Control de Acceso
Acceso remoto
Política de contraseñas
Nivel Básico
Nivel Medio
Nivel Alto
Distinción de Sistemas
de Tratamiento y
recursos
SÍ
SÍ
SÍ
Identificación
SÍ
Distinción de usuarios
Distinción de usuarios
Autenticación
SÍ
SÍ
SÍ
Registro de accesos
--
SÍ
SÍ
Fichcros temporales
Mismo nivel de
seguridad
Mismo nivel de
seguridad
Mismo nivel de
seguridad
Copias de seguridad
SÍ
SÍ
Almacenadas en lugares
distintos del servidor
Calendario de copias
de seguridad
SÍ
SÍ
SÍ
Procedimiento
recuperación de copias
--
SI
SI
Aplicar el mismo nivel
de seguridad que en la
red local
Aplicar el mismo nivel
de seguridad que en la
red local
Aplicar el mismo nivel
de seguridad que en la
red local
Política de usuarios
SÍ
SÍ
SÍ
Política de contraseñas
--
Posible método de
autenticación. Aplicar
Periodicidad
Posible método de
autenticación. Aplicar
Periodicidad
Limitación accesos
reiterados
--
SÍ
SÍ
Encriptación/cifrado
de datos
--
--
Aplicada en la
transmisión de los datos
Acceso remoto
Tecnología y Seguridad 123
11.4. Soluciones informáticas para la protección de datos personales
•
•
•
•
•
Sistemas operativos y bases de datos:
Los propios sistemas operativos y las bases de datos comerciales ya disponen de gestión de
usuarios, niveles de identificación, autenticación (passwords), control de acceso, registro de
acceso, control de las copias de seguridad, etc. Medidas necesarias todas ellas para la adecuación de los Sistemas de Tratamiento a la normativa de protección de datos personales.
De gestión:
Para gestionar los controles periódicos las auditorías internas y mantener el documento de
seguridad totalmente actualizado, disponer de un registro de incidencias, inventario de soportes y el registro de entrada y salida de soportes.
De Control de acceso a los sistemas:
Un punto importante en las medidas técnicas es el registro de acceso. Si el fichero es de
nivel alto se deben almacenar el usuario, la fecha y hora, el tipo de acceso y si este ha sido
aceptado o no por el sistema. Normalmente este registro y control lo sirven los sistemas
operativos y las bases de datos donde están funcionando los recursos informáticos, pero
en le caso de que dispongamos en el mismo servidor de diferente Sistemas de Tratamiento
deberemos habilitar en las aplicaciones (en los recursos) el control de acceso obligado.
De Auditoría de sistemas y de red:
Existen diferentes soluciones en el mercado que permiten disponer de un registro de accesos a los terminales, aplicaciones informáticas, bases de datos, etc, realizando un “rastro”
de las operaciones efectuadas por el usuario, dejando así claramente especificado el registro de accesos que marca la normativa para los archivos de nivel alto.
De protección y privacidad:
Para cumplir los niveles requeridos de seguridad obviamente son necesarias herramientas
de autenticación y encriptación: cuentas de usuarios, política de contraseñas, certificados
digitales, protocolos de encriptación, etc.
Marco jurídico 125
PARTE III. MARCO JURÍDICO
1. Los componentes de la seguridad jurídica en un entorno TIC’s
1.1. Aproximación al concepto de seguridad
Es evidente que el término “seguridad” es un vocablo de amplio espectro en el sentido que podemos
llegar a definirlo desde diversas aproximaciones del modo más científico y objetivo posible. Pero
además cada uno de nosotros tiene una personal interiorización del concepto seguridad.
Cualquier concepto integrante del saber humano, por muy complejo que resulte, se puede definir a través de dos caminos diferentes. Uno de ellos consiste en compararlo con conceptos y términos
próximos pero distintos, tanto por su complementariedad como por su competitividad. Entendemos
por conceptos complementarios aquellos que pueden crecer o decrecer en su gradación de forma paralela. Por contra los competitivos son aquéllos que a medida que uno aumenta el otro disminuye y
viceversa. En esta línea definitiva podemos señalar que en principio “Seguridad” parece un concepto competitivo de “libertad” en el sentido antes descrito, pero nada más lejos de la realidad porque
se llega a un punto de inflexión en la evolución de ambas variables de modo que por debajo de un
umbral mínimo de “libertad” la “Seguridad” no sólo deja de aumentar sino que también inicia un
proceso decreciente pudiendo llegar a niveles bajo mínimos. Siguiendo con el discurso encadenado,
si aceptamos que en niveles normales “Seguridad” e “Intimidad” son conceptos complementarios
porque se retroalimentan en su evolución ya sea creciente o decreciente y aceptando como cierto el
silogismo que vincula “Seguridad” con “Libertad”, en los términos antes descritos, podemos llegar
a la siguiente paradoja:
1) A más libertad, más Intimidad.
2) A más Intimidad, más Seguridad.
3) En consecuencia a más Libertad más Seguridad lo cual es una contradicción con la vinculación que hemos establecido entre ambas variables en condiciones normales.
Esta paradoja del raciocinio se produce porque los tres conceptos que venimos analizando no
son unidimensionales (con permiso de Umberto Eco) sino por al contrario son poliedros de innumerables caras. Las relaciones causa/efecto son ciertas a medias y en determinadas circunstancias.
El otro camino de aproximación a cualquier concepto complejo consiste en realizar un proceso de análisis e intentar descomponer lo complejo en elementos más simples. En esta línea también
cabe hacer una tarea de análisis desde diversas aproximaciones disciplinares; histórica, lingüística,
antropológica, filosófica y eurística. Con un enfoque de esta naturaleza y para el caso que nos ocupa
no podemos ignorar, que debemos incorporar la aproximación desde el punto de vista de la Tecnología y del Derecho y todo ello con la debida observación dinámica que resulta inherente al término
aproximación. En nuestro caso vienen a cuenta por las razones expuestas las siguientes reflexiones:
1. La SEGURIDAD como concepto está profundamente enraizado con el instinto de conservación tanto a nivel de individuo como a nivel de especie y como tal concepto atávico
tiene, necesariamente, una descomposición en factores conceptuales integradores. Más
adelante habrá ocasión de entrar en dicho desglose.
2. La INTIMIDAD, uno de los integrantes sin duda de la “seguridad”, también es un concepto complejo que permite una aproximación multidisciplinar. Siguiendo al Dr. Josep
Monserrat Catedrático de la Universitat Ramón Llull cabria una relación directa entre
“propiedad” e “intimidad” y así parece confirmarlo el origen histórico de ambos conceptos y sus respectivos derechos vinculados y ahondando un poco más, encontraremos un
concepto más profundo e individualista, eco la idea de que; “en la intimidad encuentra
refugio aquello que nos define” (sic) en alusión a la persona, espiritual e irreductible al
yo diferenciable, etc.
126
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
3. No podemos hacer abstracción de que estamos intentando proyectar conceptos tradicionales en el plano real sobre un nuevo entorno definido por las TIC’s y cuando menos
deberíamos hacer una pregunta: ¿Los integrantes del concepto “Seguridad” en el plano
real, son los mismos que ayudan a definir el mismo concepto en el plano virtual? Como
primera aproximación a la respuesta vamos a establecer algunos de los componentes que
integran el CONCEPTO SEGURIDAD en el PLANO REAL. y con esta finalidad obtenemos, sin ánimo de ser exhaustivos:
a) DISTANCIA: lejos/cerca.
b) TIEMPO: inmediato/remoto.
c) SIMETRÍA/ASIMETRÍA: relación indirecta Seguridad/Riesgo.
d) EQUILIBRIO y ESTABILIDAD: miedo al cambio.
e) INFORMACIÓN y CONOCIMIENTO: miedo a lo desconocido.
A la vista del anterior despiece nos vemos obligados a concluir que: “LA SEGURIDAD VIRTUAL ES UN CONCEPTO SUSTANCIALMENTE DIFERENTE DEL TRADICIONAL CONCEPTO DE SEGURIDAD REAL”. Conclusión que se apoya en las siguientes razones:
- El entorno TIC’s se caracteriza por una desubicación espacio/temporal, en clara incidencia sobre los apartados a), b) y c) anteriores.
- El entorno TIC’s se caracteriza por una creciente aceleración del cambio que incide directamente en el factor d) anterior.
- En relación con el último de los términos desglosado, e), tan sólo cabe argumentar lo difícil que resulta romper la barrera de la ignorancia (desconocimiento) en un entorno que
cambia de forma rápida y creciente.
Parece ser que una vez aceptado el NUEVO PARADIGMA no tenemos más remedio que redefinir algunos conceptos profundos y fundamentales, uno de ellos es necesariamente la SEGURIDAD y, en consecuencia, procedemos a su re-definición como antesala necesaria para la definición
de nuevas relaciones y nuevas estrategias del individuo y de la Sociedad en el nuevo entorno.
1.2. Los componentes de la seguridad jurídica en el entorno TIC’s
Abundamos una vez más en nuestra obsesiva fijación consistente en que en el entorno virtual la “Seguridad” debe abordarse necesariamente al menos desde la doble perspectiva técnica y jurídica. Los
expertos en Seguridad Tecnológica (recordar a nuestros efectos la tesis de L. Lessig) que son los que
trabajan desde hace décadas en la cadena: necesidad  diagnóstico  solución, se han puesto de
acuerdo tradicionalmente en que la SEGURIDAD en el nuevo entorno TIC’s viene definida por los
siguientes elementos:
COMPONENTES DE LA SEGURIDAD EN UN ENTORNO VIRTUAL DEFINIDO POR LAS
TIC’s.
A. CONFIDENCIALIDAD.
B. INTEGRIDAD.
C. DISPONIBILIDAD.
D. AUTENTICIDAD/AUTENTICACIÓN.
E. NO REPUDIO = A + B + D.
A continuación procedemos a llenar de contenido cada una de las ideas-flashes que acabamos
de exponer.
1.2.1. Confidencialidad/privacidad
Es la expresión más próxima a la Tecnología de la Información que presenta el mismo significado
que los vocablos INTIMIDAD o PRIVACIDAD que presentan un perfil más coloquial y jurídico.
Marco jurídico 127
Podemos entender por CONFIDENCIALIDAD la cualidad que reviste la información protegida frente a terceros no autorizados. En el ámbito de la información tecnológica estamos en el terreno del secreto de empresa o secreto científico, con ramificaciones excepcionales hacia el “secreto de
Estado” y también hacia el “secreto militar”. Su homólogo en el ámbito de la información con contenido personalizado lo encontramos en el término INTIMIDAD, entendido como Derecho a preservar
la esfera interna, íntima y próxima del individuo frente a su proyección pública.
La “realidad virtual” que comienza a cobrar carta de naturaleza en nuestro entorno personal,
familiar y profesional inicia la agresión planificada desde hace décadas en respuesta a “un peligro”
que los expertos colocaban bien en el tiempo, pero muy mal en su histología y en su tratamiento. Si
alguien se regodea pensando en lo nuevo, innovador, “progre” y culto que resulta la debilidad del binomio Derecho/TIC’s no debe caer en la tentación de proponer que las agresiones a la INTIMIDAD
de las personas físicas es un nuevo escenario. Mi consejo es que no se debe caer en la tentación ni de
“barrer para casa” ni de pensar que nunca pasa nada. Históricamente las agresiones a la “intimidad
de las personas” han constituido una casuística propia, baste para ello decir que el concepto no es
coetáneo del desarrollo de la Humanidad, puesto que se trata de uno de los conceptos sociales y jurídicos de más reciente incorporación al acervo del saber común. En efecto, hay que esperar al declive
de la época feudal y aparición de los “burgos” o ciudades generadoras del perfil burgués para que el
concepto se defina, se asuma y se incorpore al Sistema Jurídico de la Civilización. Parece mentira,
pero la Humanidad ha sabido convivir y evolucionar durante millones de años sin tener conciencia
de ese concepto, de esa necesidad que hoy en día se ha convertido en estandarte, luz y guía de una
parte de nuestra especie más evolucionada. Por el contrario, y consiguientemente, a nadie debe extrañar de que aún en pleno S. XXI existan culturas residuales, testimonios antropológicos vivos, que
carecen de la más mínima conciencia en relación con el concepto que tratamos.
Sin lugar a dudas se trata del componente del término genérico Seguridad que más se acerca a
los planteamientos del manual que estamos desarrollando. Es por ello que le dedicaremos más atención, en función de sus merecimientos.
Contra todo lugar común, la privacidad (la intimidad) y sus carencias no son nada nuevo bajo
el cielo como ya hemos visto anteriormente y las agresiones al “bien protegido” tampoco son un mérito del entorno TIC’s. Ya en 1.787 el filósofo utilitarista inglés Jeremy Bentham desarrolla el concepto de PANÓPTICO como un diseño arquitectónico aplicado a prisiones, colegios, cuarteles, fábricas,
etc. Es decir cualquier lugar donde se desarrolle cualquier tipo de vida colectiva. El “Panóptico” es
un teatro cuya representación según Bentham; “consiste en la ilusión de una vigilancia permanente
en la que los individuos no están realmente bajo una vigilancia constante, simplemente piensan que
lo están”. El objetivo del “Sistema Pan óptico” es el adiestramiento hacia la autodisciplina: mientras
los miembros colectivos teman que son siempre observados y que no se les pueda castigar por sus
transgresiones, interiorizarán las reglas y de este modo se tiende al cumplimiento de éstas.
El siguiente paso menos estructurado científicamente que el anterior, pero mucho más creativo
y aproximado a la actual realidad es la novela “1984” de George Orwell, que fue escrita a finales de
la década de los años cuarenta y que introduce en nuestra cultura el término “Gran Hermano” como
síntesis de la autoridad política y administrativa que todo lo ve y todo lo oye. El libro utópico en su
origen, es de una actualidad rabiosa y resulta una útil denuncia de los excesos a que puede conducirnos el uso de las tecnologías de tratamiento y transmisión de la información como medio de control
sobre los individuos y su conducta. Se trata de un libro de obligada lectura para todos aquellos interesados en el concepto de la intimidad y en definitiva de la libertad de las personas en un entorno de
civilización tecnológicamente avanzado.
La teoría más estructurada sobre el particular la debemos al sociólogo canadiense Oscar
Gandy quien desarrolló una enorme investigación sobre las implicaciones de las nuevas tecnologías sobre el control social de los individuos. El eje de sus conclusiones lo constituyen las llamadas “Categorías de la Información Personal” de Gandy que en síntesis son las siguientes:
128
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
LAS CATEGORÍAS DE INFORMACIÓN PERSONAL (Oscar Gandy).
1. INFORMACIÓN PERSONAL PARA IDENTIFICAR y CUALIFICAR A LAS
PERSONAS, que incluye certificado de nacimiento, permiso de conducir, pasaporte,
censo electoral, registros de vehículos, libro de familia.
2. INFORMACIÓN FINANCIERA, que incluye historial bancario, cuentas bancarias,
tarjetas de débito y cajeros automáticos, tarjetas de crédito (de financiación, monedero,
de conexión a la red bancaria), financiaciones actuales y pasadas, impuestos, inversiones y bonos, cheques de viaje.
3. INFORMACIÓN SOBRE PÓLIZAS DE COMPAÑÍAS DE SEGUROS, que incluye seguros de salud, del automóvil, de la casa, del negocio, con cobertura, general o
específica, individuales o colectivos, planes de pensiones.
4. INFORMACIÓN SOBRE SERVICIOS SOCIALES, que incluye seguridad social,
mutuas de salud, ingresos y privilegios laborales, subsidios de desempleo, de incapacidad, pensiones, cupones de servicios gubernamentales, subsidios y privilegios para
veteranos.
5. INFORMACIÓN SOBRE SERVICIOS DOMÉSTICOS, que incluye teléfono, electricidad, gas natural, calefacción, televisión por cable (conexión a internet), limpieza e
higiene, escombros y basuras, seguridad, entregas a domicilio.
6. INFORMACIÓN SOBRE PROPIEDADES INMOBILIARIAS, relacionada con
compras, ventas, alquileres, leasing.
7. INFORMACIÓN SOBRE ENTRETENIMIENTO Y TIEMPO LIBRE, que incluye itinerarios de viajes, perfiles de esparcimiento, vehículos y alquileres, reservas de
alojamiento, de billetes de avión, de barco, de tren, reservas para espectáculos, suscripciones a diarios y revistas, suscripciones a programas de televisión por cable.
8. INFORMACIÓN SOBRE CONSUMO, como tarjetas de créditos comerciales, cuentas comerciales, financiaciones, arrendamientos y alquileres, compras e información
sobre productos, suscripciones a catálogos. tallas de ropa y zapatos.
9. INFORMACIÓN LABORAL, que incluye solicitudes laborales, exámenes médicos,
referencias, logros y éxitos laborales, currículum e historial profesional, solicitudes a
empresas de colocación laboral.
10. INFORMACIÓN EDUCATIVA, que incluye solicitudes de ingreso en escuelas e
universidades, libro de escolaridad, expediente académico, referencias, estudios no
reglados y actividades extracurriculares, asociación a clubes ya otras organizaciones,
premios y sanciones, graduación.
11. INFORMACIÓN JUDICIAL, que incluye expedientes judiciales, servicios de abonados, artículos e informes de prensa, servicios de indexación y resumen.
Gandy, Oscar H. Jr: “The Panoptic Sort; a Political Economy of Personal Information”.
Westuiew Press (1993). Boulder, Colorado.
Cualquier interesado en establecer una ficha histórica sobre el comportamiento de un individuo, le bastará para sus fines el ir recopilando metódicamente información suficiente para rellenar
las “categorías” ante descritas. Sorprende lo fácil que puede resultar para cualquiera mínimamente organizado y con medios adecuados el que lo consiga y en consecuencia, también sorprende la
fragilidad en la práctica del término “Intimidad”.
En opinión de Gandy la acumulación de información confidencial por parte del “Sistema” persigue una doble finalidad. Por una parte castigar a los individuos transgresores, hasta su final expulsión del sistema si resultare necesario y por otra el premio, el incentivo de los buenos individuos con
la finalidad de estimular su conducta positiva, a través de la aplicación del marketing incentivado a
través de las prácticas de “fidelización del cliente”.
Marco jurídico 129
OBJETIVOS DE LAS BASES DE DATOS PERSONALES DIGITALIZADAS.
1° EVALUACIÓN DEL RIESGO
°
EXCLUSIÓN DE SUJETOS PELIGROSOS.
(El sistema se autodepura).
2° IDENTIFICACIÓN DE CLIENTE
°
INCLUSIÓN DE CLIENTES (El sistema se autoalimenta).
¤
Estrategias “nicho” del tipo “one to one”. Objetivo: FIDELIZACIÓN DEL CLIENTE.
Los dos objetivos son QUERIDOS y ACEPTADOS por el ciudadano medio. Por eso lo que
el Parlamento U.S.A. prohibió que llevara acabo el FBI (década de los ochenta) lo ha realizado sin
problemas el mercado financiero diez años más tarde. Se trata en terminología de L. Lessig del
“Pequeño Hermano” actuando al margen de la Ley.
Sirva este amplio repaso histórico como medio para destacar la importancia del término y
lo vulnerable que deviene en nuestro actual entorno tras la acumulación de las potencialidades del
tratamiento de la información y de su transmisión y de su almacenamiento.
1.2.2. Integridad y autenticidad (o autenticación)
Se entiende por INTEGRIDAD la cualidad de un mensaje por lo que resulta imposible su manipulación por persona distinta de su autor. La integridad como concepto persigue que el mensaje no
sea alterado en el proceso de transmisión entre el emisor y el receptor ya sea de forma intencionada o por error del propio proceso.
La AUTENTICIDAD o AUTENTICACIÓN, puesto que de las dos formas se define, consiste en la cualidad por lo que en un proceso de comunicación, los sujetos intervinientes; emisor/es
y receptor/es, son realmente quienes dicen ser, sin que resulte posible el equívoco de identidades
ni la suplantación por parte de terceros.
Abordamos ambos términos de forma conjunta por dos razones:
a) Son conceptos complementarios para blindar un proceso de comunicación en su objeto
(contenidos) y en sus sujetos (las partes que intervienen).
b) Los mecanismos conceptuales y tecnológicos desarrollados para su protección tienen
un tronco común y se basan en la codificación y encriptación de los mensajes.
Retomando esta última idea podemos decir que el origen y desarrollo de ambas técnicas en
el mundo moderno: codificación y encriptación se encuentran en los ámbitos diplomáticos y militar. Posteriormente el centro de interés invade el terreno del “secreto industrial” y no es hasta fecha
reciente, cuando se instala plácidamente orientado hacia la protección de los Derechos Humanos
llamados de tercera generación, como conceptos capaces de preservar la confidencialidad, intimidad y privacidad de los mensajes y de las personas que los intercambian, dentro del esquema para
preservar el cierre o covertura de las antes expuestas Categorías de Información de O. Gandy.
Una primera aproximación respecto de estas técnicas nos obliga a señalar que, como toda
tecnología está cargada de ideología (recordar la tesis de L. Lessig antes comentada) y en consecuencia se trata de una arma de doble filo en función de quién la utilice. La base técnica de los
sistemas de protección de la integridad y autenticación de la información es la llamada “clave asimétrica” a PKI (public key infrastucture) en términos ingleses. En el ámbito de la encriptación
existen dos sistemas globales:
1. SISTEMAS DE CLAVE SIMÉTRICA. Que son aquellos en que las partes intervienen (emisores y receptores) operan con un mismo código de encriptación y descriptación. Su vulnerabilidad radica en el dicho español; “secreto de dos es secreto de Dios
130
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
y secreto de tres secreto no es”. En efecto la progresiva y reciente divulgación de la
clave convierte al sistema de protección es altamente vulnerable.
2. SISTEMAS DE CLAVE ASIMÉTRICA. Se caracterizan porque emisor y receptor
actúan en el circuito con claves dobles y diferentes; una pública conocida por todos
y otra privada de carácter reservado. El sistema así concebido debe disponer necesariamente de una “Autoridad de Certificación” que en el marco de una regulación legal
muy estricta emite, controla y depura las claves que operan, tanto las públicas como
las privadas. Una variante de las claves asimétricas son las que se basan en datos orgánicos de los sujetos intervinientes en el proceso de comunicación, ya se trate de huella
digital, manchas del iris ocular o entorno facial, entre otros.
ANEXO I. EL CERTIFICADO DIGITAL
EMISOR
CREA
FIRMA
CODIFICA
MENSAJE
ORIGINAL
MENSAJE
FIRMADO
MENSAJE
FIRMADO
CODIFICADO
CLAVE
PRIVADA
CLAVE
PÚBLICA
ENVIAR
CLAVE
PÚBLICA
CLAVE
PRIVADA
MENSAJE
ORIGINAL
MENSAJE
FIRMADO
LEE
COMPRUEBA
FIRMA
RECEPTOR
MENSAJE
FIRMADO
CODIFICADO
DECODIFICA
Marco jurídico 131
Como puede apreciarse en el gráfico adjunto por el tramado de las áreas correspondientes a las
claves, el EMISOR opera con su clave privada y la clave pública del RECEPTOR y este a su vez ocupa una posición asimétrica al operar con su propia clave privada y la pública del EMISOR.FIRMA
ELECTRONICA AVANZADA (F.E.A.) es aquella asimétrica cuyas claves, pública y privada, son
extendidas y custodiadas por una AUTORIDAD DE CERTIFICACION o Prestador de Servicios de
Certificación en terminología de nuestro Real Decreto Ley hoy vigente.
La FIRMA ELECTRÓNICA ASIMÉTRICA funciona técnicamente del siguiente modo:
Firmar electrónica o digitalmente un documento consiste en pasar un determinado algoritmo sobre el texto que se desea cifrar, basándose en la clave privada del signatario electrónico.
Cuando el texto debe transmitirse firmado, el algoritmo recorre todos sus datos electrónicos y,
junto ala clave privada, obtiene un valor (“hash”), que es la llamada firma digital asimétrica. El
hash es un algoritmo matemático o número resultante de aplicar una clave de encriptación a un
documento.
En la transmisión, se envía por una parte el documento cifrado, y por otra el hash. Cuando
el receptor recibe ambos documentos, debe actuar bajo las siguientes pautas:
1. Descifra el texto del destinatario con la clave pública.
2. Con este texto calcula el hash.
3. Si el hash claculado y el enviado coinciden, eso significa que el documento que ha llegado lo envía quien dice ser (ha sido descifrado con su clave “contraria”) y que además
no ha sido alterado por el camino, pues de lo contrario los dos hash no coincidirían.
1.2.3. Disponibilidad
Se trata de la característica por la cual una información está de modo permanente a disposición
de los sujetos legitimados para acceder a ella. Estamos en el ámbito de los vulgarmente conocidos como virus y antivirus que por extensión incluyen a figuras como los “troyanos” y los llamados “gusanos”.
¿Qué es un virus informático? El término agrupa uno o varios programas de ordenador que
actúan de modo coordinado. Se introducen en los sistemas de información por diversas vías de
acceso, según la configuración de aquellos y una vez dentro se activan de modo automático con
el fin de producir diversos tipos de daños en el sistema. La característica principal de los virus
informáticos es su capacidad para propagarse a partir de la auto-replicación.
Las agresiones a la disponibilidad también presentan una doble vertiente ya comentada desde la perspectiva de agresiones/defensas. La tecnología es la reina en este terreno y, lógicamente, también se encuentra sometida a la omnipresente “Ley de Moore”. Estamos de nuevo en una
alocada carrera armamentista en donde tan importante como los sistemas de ataque se manifiestan los sistemas de defensa; “misiles y antimisiles”. Los daños y perjuicios provocados por estas
agresiones a la disponibilidad que representan los virus son enormes. Jurídicamente su ámbito se
inscribe en el Derecho Penal y su aplicación tiene una doble dificultad:
a) Por un lado la tecnología, consecuencia de lo que podríamos llamar la huída hacia adelante.
b) Por otro lado la jurídica, tanto en la materialización de la prueba como en la persecución
y castigo de los culpables en un entorno desubicado especialmente y de difícil asignación
de jurisdicción competente. Al lado de los tradicionales “Paraísos Fiscales” comienzan a
desarrollarse los balbucientes “Paraísos Tecnológicos” en entornos al margen de cualquier
tipo de legislación.
Al paso del comentario a) anterior cabe preguntarse ¿quién se beneficia de los virus
informáticos? Los virus informáticos y los ataques de hackers son un peligro para la Nueva
Economía y sabotean la Seguridad en la Red, pero a la vez suponen una fuente de ingresos
para las compañías que han hecho los antivirus su línea de negocio. Para estas empresas la
132
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
aparición de un virus es paralela en ocasiones más numerosas de lo que permitiría la casualidad, a fuertes subidas de sus cotizaciones en las Bolsas internacionales. A esta conclusión llega un informe elaborado por J. M. Rodrígez y publicado por Expansión/Financial
Times el 9 de junio de 2000, en donde aparece la siguiente y tajante conclusión:
“El vandalismo cibernético es una regla de tres aparentemente simple. A mayor número de ataques de virus o de hackers en la red, más posibilidades de negocio para las empresas que suministran productos de seguridad.
¿Pero quién se benefició más de esta situación? Ataques tan famosos como el del virus Melissa, o el I love you, o el gamberrismo cibernético que sufrieron empresas como
Yahoo! Y eBay, ha coincidido en muchas ocasiones con fuertes oscilaciones bursátiles de
las empresas de seguridad, lo que ha dado pie a que en el mercado se hable de una posible
especulación.
El comportamiento de las empresas de seguridad es en muchas ocasiones parecido
en momentos de ataques en la red. Un patrón que suelo repetirse es que antes de un ataque
las acciones siguen una tendencia bajista. A veces en picado. Justo en el momento del ataque, se recuperan con vigor”.
Lo grave del virus es su polimorfismo permanente que le permite cambiar de estructura y de
estrategia. La consecuencia es la dificultad de establecer políticas de prevención anti-virus eficaces.
Por eso los expertos aconsejan una estrategia defensiva también polimórfica, basada en operaciones
de rastreo, prevención y eliminación a todos los niveles técnicos posibles, mediante la monitorización de técnicas genéricas.
Los MÉTODOS DE DETECCIÓN DE VIRUS se dividen en dos grandes grupos:
a) Genéricos: se dirigen a la localización global de sistemas de agresión exterior de naturaleza vírica.
b) Específicos: Dirigidos a la detección y eliminación de un determinado tipo de virus. De
entre ellos, los más complejos son los que están diseñados contra los denominados “virus
mutantes”.
Las herramientas multinivel mejor adaptadas para la lucha anti-virus son las siguientes, en la
idea de que siempre es mejor diseñar sistemas mixtos de defensa, al utilizar varios y, por qué no, todos ellos.
a) COPIAS DE SEGURIDAD. Que resultan necesarias en función de otros diversos fines
preventivos: fallos de hardware, borradores involuntarios, intrusiones y ataques externos
en general.
b) DISCOS DE RECUPERACIÓN usados en paralelo con software específico anti-virus.
c) SOFTWARE ANTI-VIRUS.
1.2.4. No repudio: prueba en juicio
Desde una perspectiva legal y jurídica es lógico concluir que cualquier información que goce de los
atributos descritos anteriormente en A, B y C se califica como “no repudiable” y su consecuencia
más transcendental es que necesariamente debe ser admitida como PRUEBA EN JUICIO. En este
sentido y con este propósito se elaboró el Real Decreto Ley 14/1999 de 17 de septiembre sobre la
Firma Electrónica, como consecuencia de la transposición obligada de la Directiva de la Unión y del
Consejo Europeo de 1999/93/CE, de diciembre 1999. En su preámbulo, a modo de exposición de
motivos, se dice textualmente:
Se considera que debe introducirse, cuanto antes, la disciplina que permita utilizar, con la
adecuada seguridad jurídica, este medio tecnológico que contribuye al desarrollo de lo que se ha
venido a denominar, en la Unión Europea, la sociedad de la información. La urgencia de la apro-
El marco jurídico 133
bación de esta norma deriva, también, del deseo de dar, a los usuarios de los nuevos servicios,
elementos de confianza en los sistemas, permitiendo su introducción y rápida difusión.
Por ello, este Real Decreto-ley persigue, respetando el contenido de la posición común
respecto de la Directiva sobre firma electrónica, establecer una regulación clara del uso de
ésta, atribuyéndole eficacia jurídica y previendo el régimen aplicable a los prestadores de servicios de certificación. De igual modo, este Real Decreto-ley determina el registro en el que
habrán de inscribirse los prestadores de servicios de certificación y el régimen de inspección
administrativa de su actividad, regula la expedición y la pérdida de eficacia de los certificados
y tipifica las infracciones y las sanciones que se prevén para garantizar su cumplimiento.”
En el Art. 2 se introduce, a nivel jurídico, as definiciones de los instrumentos que hemos visto
antes al tratar de la “integridad” y “autenticación” de la información, en los siguientes términos:
“Artículo 2. Definiciones.
A los efectos de este Real Decreto-ley, se establecen las siguientes definiciones:
a) «Firma electrónica»: Es el conjunto de datos, en forma electrónica, anejos a otros datos
electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge.
b) «Firma electrónica avanzada»: Es la firma electrónica que permite la identificación del
signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que
está vinculada únicamente al mismo ya los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos.”
El espíritu del “no repudio” que es el eje vertebrador del R.D. Ley que nos ocupa se concreta
en el Art. 3:
“Artículo 3. Efectos jurídicos de la firma electrónica.
1. La firma electrónica avanzada, siempre que esté basada en un certificado reconocido y
que haya sido producida por un dispositivo seguro de creación de firma, tendrá, respecto de los datos consignados en forma electrónica, el mismo valor jurídico que la firma
manuscrita en relación con los consignados en papel y será admisible como prueba en
juicio, valorándose ésta según los criterios de apreciación establecidos en las normas
procesales.
Se presumirá que la firma electrónica avanzada reúne las condiciones necesarias para
producir los efectos indicados en este apartado, cuando el certificado reconocido en que
se base haya sido expedido Por un Prestador de servicios de certificación acreditado y
el dispositivo seguro de creación de firma con el que esta se produzca se encuentre certificado, con arreglo a lo establecido en el artículo 2.1.
2. A la firma electrónica que no reúna todos los requisitos previstos en el apartado anterior,
no se le negarán efectos jurídicos ni será excluida como prueba en JUICIO, por el mero
hecho de presentarse en forma electrónica.
La trascendencia de esta disposición para la pacífica intersección entre el mundo del Derecho
y de las Nuevas Tecnologías es fundamental. Se trata del principio de convergencia y yo diría que
hasta de reconciliación entre ambos planos de suyo tan distantes y distintos.
El principal efecto de esta regulación del instrumento llamado “firma electrónica” consiste en
que aporta SEGURIDAD JURÍDICA en el entorno de las nuevas tecnologías.
A pesar de esta trascendencia, o quizás por culpa de ella, la vigencia del R.D. Ley que comentamos se ha revelado breve. Hoy en día el Gobierno trabaja el borrador de una Ley, no un simple
R. D. Ley, que venga a dotar al asunto que nos ocupa de su verdadera relevancia jurídica, al tiempo
que subsane los graves errores, tanto técnicos como operativos, en los que incurrió el original R.D.
Ley, sin duda a causa de las prisas por ser los primeros en regular esta materia dentro del ámbito de
la Unión Europea.
134
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
1.3. El entorno seguro
La norma internacional ISO/IEC 17799 conocida como el “CÓDIGO DE BUENA PRÁCTICA”
para la gestión de la SEGURIDAD DE LA INFORMACIÓN aclaró taxativamente que: “La seguridad obtenida sólo con medios tecnológicos es limitada y en consecuencia insuficiente”.
En opinión de Miguel A. Navarrete, Director de Seguridad Informática, Planificación e Innovación Tecnológica de Caja Madrid, publicada en la revista SIC*, los factores esenciales para alcanzar
la seguridad en la información son:
- La cultura, aptitud y papel desarrollado por la Dirección en la gestión de la seguridad.
- El área de Seguridad Informática (tecnológica).
- El cuerpo normativo de la seguridad de la información (se refiere al conjunto de normas
legales y protocolos privados sobre el particular).
- El Plan y los Programas de seguridad de la información.
- La concienciación de los usuarios (se refiere a los trabajadores y terceros con acceso web
a Internet o a intreanets).
- Los sistemas de análisis del riesgo, seguimiento y control (se refiere a AUDITORIA DE
SEGURIDAD).
En el esquema anterior queda manifiesta la opción multidisciplinar y multifactorial que defiende el autor sobre el ámbito de la Seguridad Informática.
Como consecuencia inmediata de la aceptación y posterior implantación de las Políticas de
Seguridad, se conseguirá que la Red se vaya desplazando paulatinamente hacia una “Arquitectura de
Control”, incluso sin la colaboración del Estado (“la arquitectura es una especie de ley”), de acuerdo
con las tesis de Lessig. Ello proporciona la proliferación de intranets reservados o élites capacitadas
y sobre todo capitalizadas que, marginalmente, definirán un entorno excluido repleto de “infobasura” recordar la tesis de Reg Withacker.
Tanto la posición de Lessig como la de Withacker sin ningún punto en común, están elaboradas con notable anticipación a los sucesos del 11-S/2001. La inmediata consecuencia posterior a estos desmesurados y criminales actos detectada en los escasos meses transcurridos es una manifiesta
tendencia al REFORZAMIENTO DE LA SEGURIDAD (Law enforcement) y en este sentido son
reiteradas las manifestaciones en todos los ámbitos legislativos en este sentido, tanto en USA como
en la UE y potencias limítrofes como Rusia, Japón o China.
1.3.1. Politicas preventivas ex-ante
Consisten en la definición de protocolos de conducta diversas:
a) Dentro/fuera.
b) Del personal con el Sistema de Información (S.I.).
c) De terceros con el S.I., proveedores, clientes y clientes potenciales.
d) Administraciones Públicas con el S.I.
Estos protocolos deberán contemplar y entrar a considerar como mínimo, los siguientes aspectos:
1. Las Políticas Generales de la empresa o entidad en las diferentes áreas de actividad:
- Imagen, Relaciones externas.
- Aprovisionamiento y compras.
- Factor humano.
- Producción/Logística.
*
Navarrete, Miguel A. Revista SIC Nº 47, nov. 2001, págs. 60 y 61: “Gestión de la seguridad de la información: las
claves de un modelo”.
Marco jurídico 135
- Administración/Finanzas.
- Comercial/Marketing.
2. El ORGANIGRAMA de la organización en su doble vertiente de estructura y de flujos,
que en definitiva determinan la interrelación entre diferentes áreas antes citadas.
3. La ARQUITECTURA DEL SISTEMA, como determinante de la estructura y flujos del
Sistema de Información.
En este apartado y en relación con el asunto que nos ocupa se deberá prestar especial atención, pero nunca exclusiva a los siguientes elementos:
- Fire-walls.
- Pixels.
- Scanners de seguridad.
- VPN’S.
4. La POLÍTICA DE AUTENTICACIÓN Y ENCRIPTACIÓN. En este punto se diseñará la
tecnología mínima necesaria para reforzar estos dos elementos de la seguridad de los Sistemas de Información, incorporando todas las nuevas tecnologías de generación aleatoria
y permanente de passwords, PKI (public key infrastucture) certificados digitales, etc.
5. La POLÍTICA DE SEGURIDAD FÍSICA. Esta área debe aglutinar desde la problemática de reparación y conservación de la maquinaria e instalaciones, hasta la preservación
de los inmovilizados más intangibles; patentes, marcas, información, I + D, etc.
Todos estos componentes y alguno más que puede resultar imprescindible en entornos concretos, se deben incardinar en lo que ha dado en llamarse la CULTURA de la SEGURIDAD que necesariamente debe aglutinar los siguientes factores:
a) La POLÍTICA DE SEGURIDAD propiamente dicha.
b) El respeto a los DERECHOS FINDAMENTALES de los sujetos internos y externos al
Sistema y la puntual observancia del marco normativo vigente.
c) La política permanente de FORMACIÓN/INFORMACIÓN de las personas internas y
externas al Sistema pero interrelacionadas por él.
1.3.2. Políticas correctivas ex-post: “las auditorías de seguridad”
En general el concepto técnico de auditoría extraído del marco jurídico en España relativo a la
Auditoría contable y financiera podría resumirse en los siguientes términos:
“El término auditoría se aplica al informe emitido por un experto independiente que tras haber
aplicado normas técnicas de general aceptación, define una opinión profesional en relación con el
ámbito (objeto) revisado, susceptible de provocar efectos frente a terceros en general, al margen de
cualquier veleidad de legitimación”.
Los términos encerrados en la definición anterior se resumen en:
- Revisión de un entorno determinado.
- Revisión realizada mediante la aplicación de normas técnicas (de procedimiento) generalmente homologados.
- Se concreta en la “opinión profesional” emitida por una persona “independiente”.
- Esta opinión es susceptible de causar efectos frente a terceros en general.
En el ámbito jurídico que nos ocupa la única referencia al término “auditoría” es la recogida
en el R.D. 994/99 de 11 de junio, por el que se desarrolla el Reglamento de Medidas de Seguridad de
los ficheros que contengan datos de carácter personal. Concretamente en el contenido que define las
medidas de seguridad de los ficheros denominados de “nivel medio” y de “nivel alto” sobre los que
resulta obligada la realización de una “auditoría bianual” sobre protección de datos. Dicho esto el
136
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
marco normativo guarda silencio y las preguntas que nos provocan zozobra por la falta de respuestas son las siguientes:
- ¿Cuál es el contenido y extensión de dicha “auditoría” de protección de datos? No hay
respuesta.
- ¿Quién debe hacer dicha auditoría? En un punto de una de las normas sobre protección de
datos se dice que podrá ser realizada la auditoría por medios externos o internos. ¿Dónde
queda salvaguardada la independencia que se le supone al auditor?.
- En alguno de los R.D. de mediados de los años noventa que regulaban la ya derogada L.O.R.T.A.D., se menciona que la auditoría deberá ser realizada por un “experto en
datos”. De nuevo nos vemos obligados a cerrar el bucle; ¿qué es un experto en datos? Y
de nuevo no tenemos respuesta estructurada en el ámbito legislativo.
Una vez hemos acotado lo que las normas establecen sobre el particular procedemos a desarrollar el contenido del técnico genérico AUDITORÍA JURÍDICA EN EL ÁMBITO DE LAS NUEVAS TECNOLOGÍAS, una de cuyas áreas será sin duda la relativa a PROTECCIÓN DE DATOS
PERSONALES.
A. Metodología para desarrollar una auditoría jurídica en el ámbito TIC’s: necesaria aproximación interdisciplinar: técnica y jurídica.
1º Determinar objetivos.
2º Delimitar áreas de actuación.
3º Elaboración de la propuesta de trabajo que deberá explicar la metodología concreta a desarrollar, el programa de tiempos para su realización (calendario) y presupuesto económico.
4º Recabar información sobre el terreno. Para ello se debe desarrollar un trabajo de campo
abierto pero estructurado en la medida de lo posible mediante cuestionarios (check-list)
para facilitar la recogida de información de la forma más sistematizada posible, en función de las concretas circunstancias de cada caso. Si el entorno a estudiar estuviera fuertemente estructurado, automatizado y controlado, gran parte de esta fase se podría desarrollar vía Internet, con la consiguiente reducción de costes. En este supuesto la visita
sobre el terreno se limita a la inspección física de las medidas de seguridad y al cotejo
de los documentos originales.
5º Análisis de la información recogida. Cruce de los antecedentes obtenidos en la fase anterior con los siguientes elementos:
a) Marco normativo vigente en cada área examinada.
b) Marco normativo de referencia: Tratados Internacionales, Directivas de la Unión
Europea, Convenios de las organizaciones internacionales (OCDE, GATT, etc.) y
Códigos Eticos Internacionales.
c) Control Interno; puntos fuentes y débiles.
d) Nivel de aplicación de los instrumentos y estructuras tecnológicas. Determinar el
grado de incorporación de las últimas soluciones tecnológicas.
6º Establecimiento de diagnóstico en relación con las áreas de actuación y objetivos
previamente definidos.
7º Propuesta de medidas correctoras, a modo de la carta de recomendaciones usual en el
ámbito de la Auditoría Contable.
8º Emisión de opinión en el ámbito de lo que sería el espíritu de un informe de “due
diligence”.
Todo este proceso se debe ejecutar mediante la colaboración entre profesionales técnicos (ingenieros en telecomunicaciones, informáticos, etc.) jurídicos (abogados) y de organización (econo-
Marco jurídico 137
mistas, graduados sociales, auditores). En caso de no hacerse del modo aconsejado vamos a obtener
como resultado final soluciones parciales y en consecuencia ineficaces. Como ejemplo de lo que no
se debe hacer, es relativamente frecuente encontrar empresas que para mayor seguridad han aplicado
esquemas de Protección de Datos Personales dobles; uno desde la perspectiva jurídica y otro desde la
perspectiva técnica. Con ello la empresa cree estar doblemente protegida y la verdad es que tan sólo
dispone de dos soluciones parciales que no necesariamente deben satisfacer el 100% de todas las
necesidades, debido principalmente a que el trabajo se ha realizado con toda seguridad sin la debida
colaboración entre ambos equipos profesionales. El resultado es que con un coste doble seguimos
careciendo de la solución total. La situación se agrava lógicamente cuando sólo se aplican de inicio
soluciones parciales ya sean éstas tecnológicas o jurídicas.
B.Ámbito de actuación de la auditoría jurídica.
Potencialmente el ámbito de actuación está definido por los cinco elementos que hemos expuesto anteriormente como definidores del concepto SEGURIDAD.
• CONFIDENCIALIDAD.
• INTEGRIDAD.
• ACCESIBILIDAD.
• AUTENTICIDAD/AUTENTICACIÓN.
• NO REPUDIO.
Proyectando estos conceptos sobre el mundo del Derecho, del tradicional y del nuevo, obtendremos las siguientes áreas susceptibles de integrar el contenido de una AUDITORIA JURIDICA:
• PROTECCION DE DATOS PERSONALES.
• FIRMA ELECTRÓNICA.
• MEDIOS DE PAGO.
2. La privacidad: protección de datos personales
2.1. La regulación en España
2.1.1. Objeto y ámbito
El art. 1 de la LOPD dice textualmente:
«Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e
intimidad personal y familiar».
Hay que resaltar que con esta nueva regulación el objeto de la protección legal de los datos personales en España ha dejado de ser una cuestión técnico-informática y fundamentalmente se trata de
un problema jurídico: «protección de DERECHOS FUNDAMENTALES de las personas físicas».
Lo cual no quiere decir que toda la normativa vuelva la espalda a la componente tecnológica, cosa
que no puede hacer, sino que la relega a un segundo plano por extensión del objeto.
Los Derechos Fundamentales protegidos por esta Ley son los llamados de “tercera generación” y están recogidos en el Art. 18.1.4 de nuestra Constitución.
La más reciente constatación del marcado carácter jurídico del objeto de la L.O.P.D.P. lo encontramos
en la Sentencia del Tribunal Constitucional 292/2000 de 30 de noviembre que además aprovecha el
Recurso de Amparo que la provoca para alumbrar el nacimiento de un nuevo derecho fundamental en
el ámbito de la privacidad. Todo ello confirma además la voluntad expresa y activa de la L.O.P.D.P. de
disfrutar de un “Objeto” expansivo tanto en su configuración como en su aplicación.
En dicha sentencia se define la figura del “dato de carácter personal” como generador de un
nuevo Derecho Fundamental que por su novedad no figura individualizado en nuestra Constitución,
138
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
si bien la propia Sentencia que comentamos se entretiene con primoroso detallismo en imbricarlo en el
“derecho a la intimidad personal y familiar”, pero con personalidad propia. Su contenido podría resumirse
en el PODER DE DISPOSICIÓN Y CONTROL que sobre los datos de carácter personal tiene su titular.
La consecuencia jurídica de este incipiente Derecho Fundamental es; “la facultad que tiene el titular de
los datos para consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular”.
En fin, son elementos característicos de la definición constitucional del derecho fundamental
a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de
sus datos personales y a saber de los mismos.
ÁMBITO
La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos
datos por los sectores público y privado.
El régimen de protección de los datos de carácter personal que se establece en la presente Ley
Orgánica no será de aplicación:
a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas.
c) A los ficheros establecidos para la investigación del terrorismo.
Nos encontramos por primera vez frente al reflejo de la vocación expansiva de la LOPD en la
que a su ámbito de aplicación se refiere. Tal como está redactado este Art. 2 es necesario concluir
que, salvo las tres excepciones tasadas, todos ¡Todos! los ficheros que contengan datos personales
están obligados a su observancia y cumplimiento. Quiere ello decir que ya no es tema circunscrito a
los ficheros automatizados, el sometimiento a la Ley no depende de la cualidad del tratamiento que
se otorgue a los datos, sino a todos ellos sea cual sea su tratamiento; de imagen, de sonido, etc. Ello
debe ser así porque en definitiva la LOPD ya no regula una determinada aplicación tecnológica, sino
al contrario regula la protección de un importante grupo de Derechos Fundamentales que son garantes de la intimidad y el buen nombre de las personas.
2.1.2. Los derechos de los afectados
Como venimos reiterando desde la introducción a este trabajo, la preservación y defensa de los
derechos humanos son el eje central de la normativa de protección de datos en la Unión Europea y
por descontado también en España, una vez conseguida la conveniente adaptación (transposición)
de nuestro ordenamiento a las normativas comunitarias.
Los derechos humanos preservados son algunos de los reconocidos en el art. 18.4 de la
Constitución Española. Concretamente, y a tenor de lo visto en el objeto y alcance de la L.O.P.D.
(art. 1), de forma especial en lo relativo al honor e intimidad personal y familiar. Para el pacífico
ejercicio de estos derechos fundamentales la L.O.P.D. y la legislación concurrente, así como también la jurisprudencia, desarrollan otros derechos que podríamos llamar “derechos vehiculares”.
¿Cuáles son estos “derechos vehiculares” introducidos y desarrollados por la normativa de
protección de datos?.
DERECHO DE CONSULTA AL REGISTRO GENERAL DE PROTECCIÓN DE DATOS
Artículo 14. Derecho de consulta al Registro General de Protección de Datos.
Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro
General de Protección de Datos, la existencia de tratamientos de datos de carácter personal, sus
finalidades y la identidad del responsable del tratamiento. El Registro General será de consulta
pública y gratuita.
Marco jurídico 139
Resulta incuestionable que el afectado, para la defensa de sus derechos, lo primero a lo que
tiene derecho es a conocer las circunstancias de lugar, modo y persona, que rodean el tratamiento de
información que le pertenece. Esta información de base “debería” estar en todo caso inscrita en el
Registro General de la A.P.D. (véase apartado 4.3.c) siguiente) y su consulta resulta gratuita.
DERECHO DE ACCESO
Se regula en el art. 15 de la L.O.P.D.:
1. El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos
de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las
comunicaciones realizadas o que se prevén hacer de los mismos.
2. La información podrá obtenerse mediante la mera consulta de los datos por medio de su
visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar
claves o códigos que requieran el uso de dispositivos mecánicos específicos.
3. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos
no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto,
en cuyo caso podrán ejercitarlo antes.
El ejercicio de este derecho por el afectado también es gratuito y alcanza a los datos disponibles,
al tratamiento de que son objeto y a las hipotéticas cesiones de los mismos a terceras personas.
El acceso debe ser “suficiente” para que los datos resulten “legibles e inteligibles”. El artículo
que nos ocupa introduce una cautela en defensa de los propietarios de ficheros frente a “interesados
compulsivos”, en el sentido de limitar la frecuencia de acceso a doce meses, salvo la acreditación por
parte del afectado de un interés legítimo.
DERECHO DE RECTIFICACIÓN Y CANCELACIÓN
Artículo 16. Derecho de rectificación y cancelación.
1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días.
2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos
resulten inexactos o incompletos.
3. La cancelación dará lugar al bloqueo de los datos, que se conservarán únicamente a disposición de las administraciones públicas, jueces y tribunales, para la atención de las
posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de
éstas. Cumplido el citado plazo deberá procederse a la supresión.
4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien
se haya comunicado, en el caso de que se mantenga el tratamiento por este último, que
deberá también proceder a la cancelación.
5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en
las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.
Son “derechos vehiculares” encaminados a preservar lo que antes hemos definido como “calidad de los datos”. Cuando una persona (afectada) no está conforme con el uso que se está propiciando a sus datos personales puede exigir la cancelación de éstos o la rectificación por la parte que
resulte inexacta.
Ante la solicitud del afectado el RESPONSABLE DEL TRATAMIENTO tiene la OBLIGACIÓN de dar satisfacción al requerimiento en el PLAZO DE DIEZ DÍAS.
140
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
La cancelación provocará el BLOQUEO DE LOS DATOS, y éstos quedarán a disposición tan
sólo de las autoridades.
Si los datos rectificados o cancelados hubieran sido cedidos previamente, el RESPONSABLE DEL
TRATAMIENTO viene obligado, lógicamente, a informar de estas circunstancias a los cesionarios.
DERECHO DE INDEMNIZACIÓN
Se regula en el art. 19 de la L.O.P.D.:
1. Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus
bienes o derechos tendrán derecho a ser indemnizados.
2. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las administraciones públicas.
3. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos
de la jurisdicción ordinaria.
Se trata de la piedra angular que cierra el capítulo de los derechos de las personas en lo relativo
a la protección de datos. En efecto, salvo esta escueta disposición, todo el conjunto normativo tiende
a preservar el ejercicio de los derechos de los afectados desde una perspectiva generalista, de defensa de la sociedad. A través del artículo 19 se abre el camino para que éste, el afectado, que como su
denominación indica es el primer y principal damnificado por un incumplimiento de la normativa,
pueda hacer valer sus derechos individuales y reclamar una compensación por la vía de la indemnización. Cabe destacar sobre el particular los siguientes extremos:
1. Los responsables del pago de las indemnizaciones que proceda son el RESPONSABLE
DEL FICHERO y el ENCARGADO DEL TRATAMIENTO (véase lo dicho en el apartado 2.3. anterior).
2. Las administraciones públicas también serán responsables en lo que les afecte.
3. En el caso de ficheros privados, la acción de responsabilidad se ejercitará en la jurisdicción ordinaria.
Como último punto relativo al derecho de indemnización, cabe decir que se trata del verdadero
“talón de Aquiles” del sistema de defensa de los derechos afectados, por cuanto en vía ordinaria (jurisdicción civil) el núcleo que cuantifica la indemnización es la PRUEBA PERICIAL. Aun y reconociendo que la nueva Ley de Enjuiciamiento Civil, que entró en vigor en enero de 2001, introduce mejoras
sustanciales en el procedimiento pericial, hay que reconocer también que, en relación con la casuística
que nos ocupa, las dificultades objetivas persisten y se centran en la dificultad de cuantificar la lesión o
agresión de un “intangible” como es el buen nombre o la intimidad. Como sistema de encauzar las demandas y reclamaciones sobre el particular, sugiero que se cuantifique de inicio una cantidad como mínimo igual a la sanción administrativa que suscita el hecho ilícito. Si la sociedad, el sistema, considera
que la conducta transgresora se hace acreedora de una sanción X, ¿por qué yo, que soy el directamente
agredido, debo evaluar en menos mi perjuicio? Queda ahí la sugerencia por si puede resultar útil.
• AVISO Los DERECHOS DE LOS AFECTADOS establecidos por la L.O.P.D. no son el
verdadero objeto de la normativa de protección de datos. Los entendemos como DERECHOS VEHICULARES encaminados a la defensa de los derechos humanos relativos al
buen nombre y la intimidad de las personas.
• AVISO El ejercicio de los derechos de CONSULTA AL REGISTRO GENERAL DE
LA A.P.D. y los ejercicios de los derechos de ACCESO, RECTIFICACIÓN Y CANCELACIÓN son siempre GRATUITOS.
• AVISO Si usted se siente agredido en sus derechos, no olvide exigir una indemnización en
la vía civil ordinaria, a pesar de las dificultades objetivas para cuantificar el daño sufrido.
Marco jurídico 141
2.1.3. El consentimiento de los afectados
NORMA GENERAL
Entendemos por legitimación de datos personales la obtención del CONSENTIMIENTO del
afectado para el almacenamiento, tratamiento y cesión, si procede, de sus datos personales.
Junto con los derechos de los afectados, el consentimiento es el elemento de cierre de todo el
sistema de defensa de los derechos humanos, en lo relativo a la información personal. En efecto, de
poco valdría disponer de ficheros legalizados (inscritos en el Registro General de la A.P.D.) y protegidos mediante la aplicación de las medidas de seguridad, si no hubiéramos obtenido legítimamente
la información. Para satisfacer el requisito de legitimación se requiere el CONSENTIMIENTO en
los términos que regula la L.O.P.D.
NORMATIVA APLICABLE
Antes de descender al detalle resulta conveniente destacar algunas consideraciones generales
al respecto, recogidas en el art. 6 L.O.P.D.
1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco
del afectado salvo que la ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para
el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus
competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital
del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los
datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero
a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades
fundamentales del interesado.
3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.
4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste
podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos
a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del
tratamiento los datos relativos al afectado.
EXCEPCIONES
No será necesario el consentimiento del afectado en los siguientes supuestos (art. 6 L.O.P.D.,
apartado 2):
– Cuando se recojan los datos para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias.
– Cuando se refieran a las partes de un contrato de una relación negocial (¿mercantil?),
laboral o administrativa y sean necesarios para el mantenimiento o cumplimiento del
referido contrato.
– Cuando los datos figuren en fuentes accesibles al público.
– El consentimiento podrá ser REVOCADO siempre que exista causa justificada para ello
y no se atribuyan efectos retroactivos a la revocación (art. 6 L.O.P.D., apartado 3).
– La cesión de datos a terceros requiere el consentimiento a la misma, con las excepciones
que estipula el art. 11 L.O.P.D.
142
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
TIPOLOGÍA DEL CONSENTIMIENTO
EL CONSENTIMIENTO INEQUÍVOCO
La nueva Ley Orgánica, al tratar del consentimiento en términos generales, introduce el calificativo INEQUÍVOCO (art. 6 L.O.P.D., apartado 1). ¿Qué quiere decir este término? En mi opinión no hay
nada más equívoco que el propio termino inequívoco. ¿Por qué no utilizó el legislador otro calificativo
menos ambiguo como podría ser seguro o fehaciente? Con toda probabilidad la ambigüedad del texto
legal es calculada. Aún así, la jurisprudencia (que por cierto recoge la Memoria de la Agencia de Protección de Datos del año 2000) comienza a perfilar el contenido del término consentimiento inequívoco, como por ejemplo en la Sentencia de 14 de abril de 2000 de la Audiencia Nacional:
“Tampoco puede admitirse (..) la existencia de un consentimiento tácito o de un impropiamente llamado silencio positivo del afectado para admitir la cesión de sus datos, pues tal forma de obtener el consentimiento requeriría, en la mejor de las hipótesis, una rigurosa constancia documental
de que la entidad cedente había informado y conservaba el escrito, con constancia de la recepción
por el interesado, en el que tales extremos quedaban claramente expuestos.”.
Después de la lectura del párrafo de la Sentencia citada parece que el perfil del tipo de consentimiento que estamos tratando comienza a dibujarse de forma clara, es decir, el Responsable del
Fichero que diga poseer el consentimiento inequívoco deberá poder acreditarlo, por ejemplo con la
constancia de la recepción del interesado del documento en el que se solicita. La pregunta que se
plantea a continuación está ligada ineludiblemente con una cuestión práctica, en el sentido de ¿ cómo
se puede acreditar el consentimiento si se deben enviar cientos o miles de cartas a todos los interesados que consten en un fichero?. En la LOPD aparece una posible solución en el artículo 5.5 que
podría ser aplicable en virtud de la analogía legis:
“no será de aplicación lo dispuesto en el párrafo anterior (el informar a una persona física de
la incorporación de los datos a un fichero dentro de los tres meses siguientes al momento del registro)
cuando (…) la información al interesado resulte imposible o exija esfuerzos desproporcionados a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración
al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.”
La analogía consiste en que si por las circunstancias como un esfuerzo desproporcionado a criterio de la Agencia de Protección de Datos, se puede excepcionar el informar de la incorporación de
datos personales no recabados del interesado en un fichero, y como el derecho de información y el
consentimiento aparecen ambos como principios de la protección de datos, en virtud de la constatación de un esfuerzo desproporcionado a criterio de la Agencia, se podría excepcionar también el tener que remitir cientos o miles de cartas para solicitar los preceptivos consentimientos inequívocos.
EL CONSENTIMIENTO REFORZADO PARA EL ALMACENAMIENTO Y TRATAMIENTO
DE LOS DATOS ESPECIALMENTE PROTEGIDOS.
El art. 7 de la L.O.P.D. regula el consentimiento requerido para el almacenamiento y tratamiento de los datos ESPECIALMENTE PROTEGIDOS, que son los que hacen referencia a ideología,
afiliación sindical, religión, creencias, origen racial, salud y vida sexual.
“Art. 7. L.O.P.D. Datos especialmente protegidos.
1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie
podrá ser obligado a declarar sobre su ideología, religión o creencias.
Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.
2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión
y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos,
iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en
Marco jurídico 143
cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de
dichos datos precisará siempre el previo consentimiento del afectado.
3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida
sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.
4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos
de carácter personal que revelen la ideología, afiliación sindical, religión, creencias,
origen racial o étnico, o vida sexual.
5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras.
6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo,
cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico
médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de
servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.
También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando
el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.”
Cabe destacar del texto anterior que de nuevo estamos ante la exigencia normativa de CONSENTIMIENTO EXPRESO en todos los supuestos de tratamiento de DATOS ESPECIALMENTE
PROTEGIDOS.
2.1.4. Las medidas de seguridad
NOCIONES GENERALES SOBRE EL DOCUMENTO DE SEGURIDAD: BLINDAR
UN ENTORNO EMPRESARIAL PARA ERRADICAR LAS INFRACCIONES Y LAS
CONSEGUIENTES SANCIONES.
Se trata de un texto configurado jurídicamente a modo de reglamento en donde se regulan
los sistemas y los medios de seguridad empleados por el responsable del fichero y de los datos con
el fin de garantizar los derechos de los afectados de acuerdo con las disposiciones legales nacionales y comunitarias al uso.
El documento de seguridad es un reglamento interno de control que obliga y rige para todos
aquellos -personas físicas o jurídicas- que tengan acceso a las personas, locales, máquinas, programas, instalaciones o mobiliario en donde se traten o puedan tratarse datos de carácter personal,
entendidos como cualquier tipo de información que afecte directa o indirectamente a personas físicas identificadas o identificables.
Está compuesto por dos elementos: uno estático -el Reglamento de medidas de seguridad- y
otro dinámico –los registros perimetrales de uso, administración y autocontrol.
LAS MEDIDAS DE SEGURIDAD EN FUNCIÓN DEL NIVEL DE LOS DATOS.
En aplicación de lo dispuesto en los artículos 3 y 4 del R.D. 994/1999 de 11 de junio se establece que:
“Artículo 3. Niveles de seguridad.
3. Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto.
144
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
4. Dichos niveles se establecen atendiendo a la naturaleza de la información tratada, en
relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información.”
“Artículo 4. Aplicación de los niveles de seguridad.
1. Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas
de seguridad calificadas como de nivel básico.
2. Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo 28 de la Ley Orgánica 5/1992, deberán reunir, además
de las medidas de nivel básico, las calificadas como de nivel medio.
3. Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o
vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico
y medio, las calificadas de nivel alto.
4. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que
permitan obtener una evaluación de la personalidad del individuo deberán garantizar las
medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20.
5. Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes.”
La aplicación de los niveles ha llevado a confusión a algunos profesionales del derecho y de
la auditoria.
Algunos han interpretado, a nuestro criterio de forma errónea, que los niveles de seguridad había que implantarlos con fundamento en la longitud y calidad de los datos que constan en los ficheros
informatizados. Es evidente que en los ficheros de las empresas constan los datos básicos de las personas que intervienen en las operaciones, pero la información realmente relevante se encuentra en
soportes que, en la mayor parte de las ocasiones, son independientes de los ficheros informatizados.
El ejemplo de los hospitales y empresas de salud es claro: en los ficheros informatizados de pacientes sólo consta el nombre, los apellidos, el D.N.I., la dirección, los teléfonos y el número de cuenta
corriente. Según esa interpretación, esas empresas habrían de tener las medidas de seguridad de nivel básico; sin embargo, poseen datos de salud (ap. 3 del art. 4) en soportes distintos de los ficheros
informatizados, como es el caso de los historiales clínicos compuestos por radiografías y anotaciones del profesional sanitario.
Por lo tanto, la clave del error radica en la concepción del objeto y del ámbito de aplicación de
la norma. Si bien en la anterior legislación (L.O.R.T.A.D.), el ámbito quedaba reducido al tratamiento informatizado de datos de carácter personal y la norma era aplicable a los ficheros; en la presente,
el ámbito es universal: “será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento y a toda modalidad de uso posterior de estos datos por
los sectores público y privado” (art. 2.1 L.O.P.D.), y su objeto, claramente distinto: “La presente Ley
Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente
de su honor e intimidad personal y familiar.” (art. 1 L.O.P.D.).
Por consecuencia, para establecer el nivel de seguridad aplicable a los datos que son tratados
por las instituciones -tanto públicas, como privadas- habrá que tener en cuenta no sólo los ficheros
informatizados y manuales de los que se dispone, sino cualquier tipo de información que exista en
cualquier tipo de soporte que sea susceptible de tratamiento actual o posterior.
Acerca de los soportes que contengan información, se plantean varios interrogantes: ¿Es necesario que los soportes que contengan información sobre personas físicas estén radicados en los mismos espacios físicos en donde radican los ficheros declarados y regidos por el responsable figurante
Marco jurídico 145
de la recogida y tratamiento? No estando en los mismos locales, ¿quién responde del tratamiento de
la información? ¿Es aplicable lo dispuesto en el artículo 43 de la L.O.P.D. a los trabajadores de una
empresa que trate los datos por cuenta del responsable del fichero?.
Como ha quedado establecido, el objeto y el ámbito del tratamiento es universal y afecta a “los
centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el
tratamiento de los datos de carácter personal” (art. 1, R.D. 994/1999 de 11 de junio); por lo tanto,
afecta a todos, tanto a personas como a sistemas, con independencia del espacio físico que ocupen o
si las personas pertenecen a otra entidad distinta de la del responsable. Como principio general, queda establecido que responde quien trate los datos, sea dentro o fuera de la institución responsable del
“fichero” o “base de datos”.
PROCEDIMIENTO PARA IMPLANTAR LOS NIVELES DE SEGURIDAD DE LOS DATOS
TRATADOS EN UNA INSTITUCIÓN.
Para llegar a definir e implantar el nivel aplicable, es necesario contar con los siguientes datos:
1º. Localización de los soportes.
2º. Análisis de los soportes. Estudio del objeto del tratamiento de cada uno de los soportes.
3º. Análisis de la longitud y calidad de los datos contenidos en los soportes.
4º. Calificación y clasificación de los tipos de información sobre personas físicas contenidos
en los soportes analizados.
5º. Establecimiento de especialidades: datos especialmente protegidos, ficheros “Robinson”
e información condicionada.
6º. Personal afecto. Estudio de las personas implicadas en el tratamiento. En este estudio, se
dejará constancia de las formas de acceso, longitud de las autorizaciones en las aplicaciones y los responsables. Asimismo, se dejará constancia de las instituciones a las que pertenece el personal con accesos.
De acuerdo con los soportes analizados, obtendremos como resultado que habrían de regularse
diferentes niveles, según el tipo de soporte.
Hay quien dice que para cada fichero hay que aplicar un sistema de seguridad de acuerdo con lo
dispuesto en el R.D. 994/1999 de 11 de junio. Es nuestro criterio que una institución tiene la obligación
de garantizar los derechos de los afectados y la forma de hacerlo puede sujetarse a los mínimos establecidos en la Ley, sin que esté prevista forma alguna en concreto. Por lo tanto, cada institución aplicará
las medidas de seguridad a sus ficheros o soportes de forma que se respeten los niveles de seguridad y
se garanticen los mínimos exigibles utilizando las formas y estructuras que tenga por conveniente.
ESTABLECIMIENTO, CONCRECIÓN E IMPLANTACIÓN DE LAS MEDIDAS A APLICAR.
Como es bien sabido, las medidas recomendadas por el R.D. 994 son mínimos imprescindibles de aplicación obligatoria al tenor de lo dispuesto en el art. 9 de la L.O.P.D. En este caso, el Reglamento propone los mínimos de aplicación, pero las instituciones y responsables han de implantar
sistemas eficaces que garanticen los derechos de los afectados de forma, cuanto menos, práctica. Por
ello, es necesario seguir un procedimiento de cara a implantar las medidas sin que ello signifique un
trauma para la empresa.
Se trata de que la institución o empresa realice su objeto, continúe con su organigrama funcional, con su jerarquía y con sus rutinas de producción sin que la implantación de las medidas de
seguridad modifiquen nada de ello, o al menos lo afecten en la menor medida posible. No se trata de
poner al día la empresa; se trata de que se implanten sistemas que garanticen los derechos de los
afectados en el tratamiento de la información.
SISTEMAS DE AUTOCONTROL.
Consiste en diseñar el procedimiento que van a utilizar los encargados de seguridad para administrar los sistemas de control en cada departamento o aplicación.
146
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Los encargados de seguridad velarán por que se cumplan las medidas físicas e informáticas
acordadas en la puesta en común y descritas en el documento de seguridad. Para ello, elaborarán
periódicamente (entendemos adecuado una vez al mes) un informe de incidencias físicas e informáticas, de forma que queden reflejados, al menos, los siguientes parámetros:
1. Estado de conservación y mantenimiento de los aparatos informáticos, con indicación
de cualquier incidencia sobre el funcionamiento anormal de cualquiera de ellos.
2. Lista de accesos físicos e informáticos: cumplimiento de los procedimientos de administración y uso de contraseñas y llaves de acceso a dependencias, armarios y archivos,
reflejando cualquier cambio efectuado con respecto a la norma del documento.
3. Estado de conservación del mobiliario y de los soportes. Custodia de documentos y
soportes informáticos y audiovisuales.
4. Novedades o incidencias de personal. Modificaciones funcionales.
5. Incidencias sobre el tratamiento general de los datos: ejercicio del derecho de acceso,
denuncias, cambios de criterio en la administración de los datos, legitimaciones, etc.
6. Propuestas y sugerencias.
EL INFORME DE REVISIONES.
El responsable de seguridad controlará, revisará y anotará cualquier incidencia producida
en el tratamiento ordinario o extraordinario de la información referida a personas identificadas o
identificables en todos los ámbitos del tratamiento que afecten a la institución; tanto si se produce
en los locales, como si se produce fuera de su ámbito, siempre que afecte a datos que sean objeto
de tratamiento de la institución.
Al menos una vez al mes, el responsable de seguridad elaborará un informe en donde se hará
constar la información de control general sobre el cumplimiento de la normativa aplicable al tratamiento de la información referida a las personas, incorporará al mismo los informes de incidencias y dejará constancia de los problemas detectados y las propuestas de solución o las soluciones
definitivas adoptadas.
Estos informes quedarán archivados en el Registro de Autocontrol y se dará copia al responsable del fichero.
2.1.5. La Agencia de Protección de Datos (A.P.D.)
• Naturaleza y referencias de localización y acceso:
Es un ENTE DE DERECHO PÚBLICO CON PERSONALIDAD JURÍDICA PROPIA Y PLENA
CAPACIDAD, que actúa con absoluta independencia de las administraciones públicas en el ejercicio
de sus funciones (art. 35 L.O.P.D.).
Su creación se remonta al marco de la derogada L.O.R.T.A.D. y su funcionamiento se rige en
lo que le afectan los reales decretos 428/1993, de 26 de marzo, y 1332/1994, de 20 de junio, y en la
L.O.P.D. Se trata de una AUTORIDAD DE CONTROL con jurisdicción propia que emana de las autoridades de la Unión Europea.
Las referencias para localizarla y entrar en contacto son:
AGENCIA DE PROTECCIÓN DE DATOS
C/ Sagasta, n° 22. 28004 MADRID
Tel. 91.399.62.00 Fax. 91.448.91.65 - 91.448.36.80
Dirección internet: www.agenciaprotecciondatos.org
La A.P.D. dispone desde hace escasos años de una aceptable página web de libre acceso a la
que, por mi parte, animo a los lectores a visitar y trabajar en detalle, con el fin de obtener beneficio
de la ingente cantidad de información que dispone sobre el tema que nos interesa.
Marco jurídico 147
Así mismo es aconsejable, por su utilidad, mantener contactos personales con los funcionarios ya sea mediante visita, consulta telefónica o consulta escrita vía fax o correo electrónico. La
relativa novedad del tema y su complejidad jurídica convierten en obligada la práctica de los contactos reiterados con la A.P.D.
Además la A.P.D. publica cada año su MEMORIA en formato de libro y en soporte C.D. de
difusión gratuita entre aquellos que la soliciten. Toda la información de la Memoria está disponible en la web de la Agencia, pero a veces resulta útil para su estudio y manejo disponer de otros
soportes más próximos. Año tras año mejora notablemente la calidad de la información incluida
en la Memoria.
• Organigrama y estructura; las agencias en el ambito de las comunidades autónomas:
El desarrollo normativo de la estructura y funciones de la A.P.D. se desarrolla en el R.D. 428/93
que, curiosamente, es uno de los tres R.D. conservados como vigentes en la Disposición Transitoria tercera de la L.O.P.D.; “Subsistencia de normas preexistentes”. En este R.D. la A.P.D. se configura de acuerdo con la siguiente estructura organizativa y operativa:
A. NATURALEZA (Art. 35 R.D. 428/93). La A.P.D. es un ente de Derecho Público, con
personalidad jurídica propia que actúa con plena independencia de las administraciones
públicas. Su marco regulador está definido por la L.O.P.D. el Estatuto regulado por el
R.D. que nos ocupa y por la Ley de Régimen Jurídico de las Administraciones Públicas.
El personal adscrito a la A.P.D. tiene el estatuto de funcionario.
B. ORGANOS. La A.P.D. se organiza de acuerdo con la siguiente estructura:
1. CONSEJO CONSULTIVO. (Art. 38). Sus funciones son meramente consultivas hacia
el Director de la A.P.D. y sus miembros lo son por designación entre colectivos de
muy distinta condición, por ejemplo; un diputado, un senador, un miembro de la Real
Academia de la Historia (!), un representante del Consejo Superior de Universidades,
un representante del Consejo de Consumidores y Usuarios, etc.
2. DIRECTOR (Art. 36). Es designado por el Gobierno para el cargo de entre los
miembros que integran el Consejo Consultivo.
3. REGISTRO GENERAL DE PROTECCION DE DATOS (Art. 39). Nos remitimos al
apartado 7.3.1. siguiente, baste ahora decir que en el Registro General se inscriben los
ficheros, los códigos tipo y las incidencias.
4. INSPECCION (Art. 40).
Además el referido R.D. contempla la posibilidad de que se materialice la descentralización autonómica de la A.P.D. con competencia plena y con carácter exclusivo de
los ficheros públicos en el ámbito de una autonomía. A pesar del tiempo transcurrido
desde la implantación del R.D., a día de hoy tan sólo la C.A. de Madrid ha desarrollado plenamente su A.P.D. autonómica. La situación sorprende a primera vista por
cuanto el vacío descentralizador sobre la materia contrasta con la algarabía reivindicativa de transferencias de todo tipo desde el Estado Central a los diferentes ámbitos autonómicos. Pero la sorpresa se desvanece pronto; ninguna autonomía quiere
meterse en un jardín tortuoso que tan sólo le va a reportar problemas y ningún beneficio, ni tan siquiera indirecto. La sorpresa es mayor por cuanto la única Comunidad
Autónoma que ha desarrollado plenamente su competencia en la materia resulta ser
la de Madrid que, casualmente una vez más, es la que menos lo necesita por cuanto
en su ámbito reside la A.P.D. estatal. Lo de casualmente no deja de ser una reticente
llamada a los celos competenciales.
En junio de 2002 la Generalitat de Catalunya regula l’Agencia Catalana de Protecció de Dades
Personals, organismo que aún está pendiente de materialización.
148
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
• Funciones:
El registro general como núcleo para el ejercicio de los derechos de los afectados.
Entendemos por Derechos de los Afectados en su conjunto como aquellos “derechos vehiculares” o instrumentales para la consecución del pleno y pacífico ejercicio de los Derechos Fundamentales que, de acuerdo con lo dispuesto en el Art. 1, constituyen el objeto de la L.O.P.D. (recordar el derecho al buen nombre, a la intimidad y al honor personal y familiar Art. 18.1. y 18.4. de la
Constitución Española).
Recordemos también que un apartado anterior trata de modo genérico los Derechos de los
afectados. De acuerdo con el orden lógico de su ejercicio, que es denominado como “Derecho de
Consulta al Registro General de Protección de Datos”. En esta línea hay que decir que el Derecho de
Consulta del Registro de General no sólo es el primero, sino también el núcleo central sobre el que
pivota el ejercicio de los demás “Derechos Vehiculares”. A modo de analogía podríamos decir que
el Registro General de la A.P.D. es el equivalente en el campo de la privacidad al Registro Mercantil
en el ámbito de la seguridad mercantil. Como contrapartida el Registro General también supone el
núcleo central en torno al que gira la Función Inspectora de la A.P.D. De este modo hemos llegado a
definir las dos caras dialécticas de un mismo instrumento que se manifiesta como no neutro, al adquirir una u otra connotación en función de la intención con que es utilizado.
Cuando un afectado quiere ejercer sus “derechos vehiculares” y no sabe a dónde y a quién dirigirse para ello, debe recurrir al Registro General de la A.P.D. donde se le facilitará el nombre del
Responsable del Fichero y la dirección del mismo.
LA FUNCIÓN INSPECTORA
Está regulada en el “Artículo 40 de la L.O.P.D.”:
Potestad de inspección
1. Las autoridades de control podrán inspeccionar los ficheros a que hace referencia la
presente Ley, recabando cuantas informaciones precisen para el cumplimiento de sus
cometidos.
A tal efecto, podrán solicitar la exhibición o el envío de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los equipos físicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales donde
se hallen instalados.
2. Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior tendrán
la consideración de autoridad pública en el desempeño de sus cometidos.
Estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas”.
Dada la general ignorancia del texto legal que nos ocupa resulta hasta frecuente que los funcionarios inspectores de la A.P.D. no sean “bien acogidos” por las empresas o personas sobre las que
actúan. Sobre el particular cabe decir que la obstrucción a la función inspectora se considera como
infracción grave (art. 44., apartado 3.j), como se indicará más adelante, lo cual acarrea sanciones
económicas entre 60.101.- euros. y 300.506.- euros.
Normalmente los funcionarios inspectores actúan por parejas y en su mayoría, aunque no exclusivamente, son técnicos informáticos, por lo que saben perfectamente cómo llegar a localizar ficheros y circuitos de datos personales.
El director de la A.P.D. reitera en público y en privado a quien quiera oírle que la Agencia tan
sólo actúa en inspecciones de oficio sobre “sectores sensibles”: información de solvencia económica, publicidad directa, sector sanitario, sector financiero, seguros, etc.
Marco jurídico 149
Sobre el resto de sectores y en las empresas pequeñas, la actuación se limita a proceder, por
estrategia y por escasez de recursos, en caso de DENUNCIA. Cabe decir que en estos casos la actuación es fulminante a pesar de la escasez de recursos humanos de la A.P.D.
Contra las resoluciones de la Inspección, así como contra las propuestas de sanción, cabe recurso contencioso-administrativo, recurso que no paraliza la ejecución de la sanción si no media garantía suficiente.
AVISO:
Si es usted asesor o consultor de empresas no dude en recurrir a la AGENCIA DE PROTECCIÓN DE DATOS (A.P.D.) para obtener información y plantear sus dudas. Puede
optar por la visita personal, teléfono, fax o vía internet en las direcciones que hemos facilitado.
AVISO:
Si usted es un ciudadano recuerde que la AGENCIA DE PROTECCIÓN DE DATOS
(A.P.D.) es el organismo encargado de defender sus derechos frente a posibles agresiones
y siempre de forma gratuita.
AVISO:
Nunca obstruya la acción inspectora de la A.P.D. sobre sus ficheros. Sólo le conducirá a
un posible incremento de la posible multa de hasta 5 veces su importe.
2.1.6. La legalización de los ficheros
El capítulo II de la L.O.P.D. regula los FICHEROS DE TITULARIDAD PRIVADA, que son los que
nos interesan a nuestros efectos. En el art. 26 se describe el procedimiento para inscribir los ficheros
en el Registro General de la Agencia.
“Artículo 26”. Notificación e Inscripción Registral.
1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter
personal lo notificará previamente a la Agencia de Protección de Datos.
2. Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos
que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico,
medio o alto exigible, y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros.
3. Deberá comunicarse a la agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su
ubicación.
4. El Registro General de Protección de Datos inscribirá el fichero si la notificación se
ajusta a los requisitos exigibles.
En caso contrario podrá pedir que se completen los datos que falten o se proceda a su
subsanación.
5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la
Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.
Destaquemos sobre la disposición anterior que la notificación a la Agencia debe ser PREVIA
a la creación de un fichero.
¿Qué pasa con los ficheros existentes y no legalizados? Se debe proceder cuanto antes a su
presentación ante la Agencia. Hay que destacar que, a partir del 26 de marzo de 2000, para notificar
un fichero se debe haber aplicado previamente las medidas de seguridad en los términos que explicaremos en una próxima colaboración.
150
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
2.2. La protección de datos personales en un entorno e-Commerce
• Planteamiento de la cuestión. De nuevo a vueltas con la seguridad
Como ya hemos señalado en el Epígrafe 2, uno de los factores que obstaculiza la rápida implantación y aceptación de Internet por parte de los usuarios es la dificultad de dotar al entorno de unos niveles mínimos de seguridad. Recordemos la frase; “sin e-confianza no puede existir el e-negocio”.
Con el propósito de remediar estas carencias se viene trabajando desde hace meses en el ámbito de
la Unión Europea y de sus Estados miembros a fin de establecer un marco jurídico suficiente y mínimo para superar los déficits de confianza antes aludidos.
A pesar de que la Directiva dispone una transposición obligatoria a las normativas de todos los
Estados miembros en un plazo máximo de 18 meses, lo cierto es que en junio de 2002 se promulga la
ley conocida como Ley de Servicios de la Sociedad de la Información y del Correo Electrónico denominada LSSI con lo que es manifiesto el incumplimiento del plazo ordenado. Mucha y amplia va a ser
la incidencia de esta norma en el desarrollo e implantación de Internet. Uno de los aspectos que contempla, como no podía ser menos, hace referencia a la “confidencialidad de los datos personales” y la
correspondiente “intimidad de los usuarios”. Esta referencia se centra en líneas generales en remitir las
diferentes problemáticas a la legislación vigente en España sobre Protección de Datos Personales. En
tanto en cuanto no se disponga del texto legal definitivo de la LSSI nos vemos limitados a hacer referencia a los diferentes estudios y recomendaciones elaborados hasta la fecha por la Agencia de Protección de Datos (APD). Transcribimos estos documentos por su importancia a los efectos de los fines que
persigue este manual. Los documentos son públicos y se puede acceder a ellos a través del web-site de
la APD (www.agenciaprotecciondatos.org).
Inspección de la agencia de protección de datos sobre el sector del e-Commerce en España.
Durante los meses de septiembre, octubre y noviembre de 2000, la Agencia de Protección de
Datos llevó a cabo una inspección sectorial cuyo objetivo era determinar si las entidades que actualmente desarrollan su actividad comercial a través de Internet cumplen con los principios de la legislación vigente en materia de protección de datos, así como coadyuvar al cumplimiento de la misma, a cuyo efecto el Plan de Inspección culmina con las pertinentes Recomendaciones, en las que
se recogen los criterios que han de seguir las entidades inspeccionadas para el mejor cumplimiento
de la ley.
En el transcurso de esta inspección se analizaron dos de las modalidades de comercio electrónico en las que el ciudadano tiene una clara participación: la que se establece entre empresa y consumidor (B2C) y la venta directa entre consumidores (C2C). Por otra parte, el análisis se circunscribió
a las entidades que comercian a través de la Red, dejando de momento a un lado a aquellas otras que
tan sólo disponen de portales generalistas entre cuyos servicios no se ofrece la adquisición on-line
de productos o servicios.
Se analizaron 44 webs desde las que se desarrollaban actividades de comercio electrónico.
En la totalidad de las webs analizadas se pudo determinar el nombre de la compañía que había registrado el dominio correspondiente en Internet, verificándose por el contrario que no siempre
se informaba desde la propia web del nombre del responsable del fichero en el que se incorporan los
datos personales recabados. En este sentido, se comprobó también que en 12 de las 44 webs analizadas (27%) no se hacía ninguna referencia a la información que establece el apartado 1 del artículo 5
de la LOPD, mientras que en el resto sí se incluía un texto con el que se pretende cubrir en mayor o
menor medida ese requisito legal.
También se verificó que, a la fecha de la inspección, los responsables de 16 de las 44 webs analizadas (36%) no figuraban aún inscritos en el Registro General de Protección de Datos, cuando en la práctica
totalidad de los casos resultaba evidente que recababan datos personales desde las citadas webs.
Marco jurídico 151
En materia de seguridad, de las 44 webs analizadas sólo 24 (54%) utilizaban el protocolo
HTTPS (SSL) para establecer un “canal seguro” de comunicación entre el servidor y el usuario para
el envío de sus datos personales.
2.3. Un ejemplo práctico: adaptación de un entorno empresarial a la normativa sobre
protección de datos personales
Ya hemos tratado a lo largo del libro que la protección de datos personales es un tema de total actualidad por diferentes motivos: la obligatoriedad de su aplicación, su emergente conocimiento,
el carácter expansivo del objeto y ámbito de la vigente LOPD y, sin duda, las millonarias sanciones
impuestas por la Agencia de Protección de Datos y que aparecen con asiduidad en los medios de información.
Pese a la obligatoriedad general de su aplicación, ya que prácticamente todos los ficheros poseen algún dato personal, ya sea la persona de contacto, un e-mail perteneciente a una persona física,
un N.I.F., etc, su grado de implantación dista bastante de ser generalizado y aceptado debido en gran
medida al profundo desconocimiento existente sobre la materia a todos los niveles.
En este contexto, concretamente el ser una normativa aplicable a todos los casos de ficheros
que contengan datos de carácter personal, hace que no sea sencillo el citar un ejemplo práctico debido a la gran cantidad de casos posibles existentes, ya que además cada uno de ellos tiene múltiples
peculiaridades y, por supuesto, dificultades.
A continuación expondremos el ejemplo práctico que comentaremos. El supuesto es el de una
empresa, concretamente una fábrica de mediano tamaño que iniciará su actividad en breve, con todos los servicios centralizados en una única sede social, y que dispone de un departamento interno
que será el que realizará las nóminas de sus empleados.
En cualquier aplicación que se realice en materia de protección de datos personales se debe tener en cuenta en principio como mínimo tres partes fundamentales: LA LEGALIZACIÓN, LA LEGITIMACIÓN Y LA APLICACIÓN DE LAS MEDIDAS DE SEGURIDAD.
Comenzaremos por la LEGALIZACIÓN, que consiste en declarar el fichero o ficheros que posea el Responsable ante la Agencia de Protección de Datos, concretamente ante el Registro General
de Protección de Datos. Concretamente, en nuestro ejemplo, nuestra fábrica posee un fichero de personal, uno de clientes y otro de proveedores, que por otra parte suele ser lo más común.
Una vez delimitados los ficheros, procederemos a su declaración, la cual se realizará entregando a la Agencia de Protección de Datos los modelos de declaración de ficheros debidamente
cumplimentados. El modelo de notificación a la Agencia consta de diferentes apartados los cuales
cumplimentaremos en función de este caso en concreto. El primer apartado se titula Responsable
del fichero o tratamiento, y es la persona física o jurídica, de naturaleza pública o privada, u órgano
administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Deberemos cumplimentar este apartado con toda la información que se nos solicita referente a la fábrica cuyos ficheros vamos a declarar.
El punto segundo se titula literalmente “Servicio o Unidad concreto ante el que puedan ejercitarse los derechos de oposición, acceso, rectificación y cancelación. (Cumplimentar en el caso de
que sea diferente al declarado en el apartado 1. Responsable del Fichero o Tratamiento)”. Como en
el caso que nos ocupa, los derechos que vayan a ejercer en su caso los titulares de los datos los realizarían en la sede social de la fábrica que ya hemos descrito en el punto primero del Responsable, es
decir, que será en la misma dirección, este apartado se deberá dejar en blanco.
El tercer apartado deberemos cumplimentarlo con el nombre y descripción del fichero o tratamiento. Por lo tanto daremos un nombre a los ficheros que vayamos a proceder a su notificación y
los describiremos brevemente.
Siguiendo con la declaración, el siguiente punto es el de la ubicación principal, y como ya hemos visto que la fábrica tiene todos sus servicios y gestión centralizados, y por lo tanto los ficheros
152
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
se encuentran ubicados en la misma dirección ya detallada en el apartado primero, dejaremos también este apartado en blanco, al igual que el apartado quinto, ya que ninguna entidad realiza ningún
tratamiento de datos por cuenta de la fábrica al realizarse su gestión de manera interna.
El sistema de tratamiento de la información es el título del apartado sexto de la declaración, y
lo cumplimentaremos con la descripción general del sistema, además de hacer constar si se poseen
conexiones remotas y si se trata de una página web, lo cual en nuestro ejemplo contestaremos de
forma negativa.
El brevísimo apartado siete es uno de los que reviste mayor importancia. Deberemos declarar
si las medidas de seguridad adoptadas son de nivel básico, medio o alto. En nuestra fábrica todos los
datos que se poseen son identificativos y por ello declararemos un nivel de seguridad básico. Más
adelante, concretamente cuando hagamos referencia a las medidas de seguridad, explicaremos más
detenidamente los niveles de seguridad y su importancia.
En el octavo apartado detallaremos los tipos de datos que contiene cada fichero y en el noveno
la finalidad y los usos previstos.
En el apartado décimo señalaremos la procedencia de los datos, que en el caso de la fábrica
será del propio interesado; el procedimiento de recogida, por ejemplo mediante formularios y el soporte utilizado para la obtención, que será papel.
El resto de apartados de la declaración los dejaremos sin cumplimentar dado que no se realizan
por la fábrica cesiones de datos, al igual que tampoco transferencias internacionales. Los dos últimos
apartados de la declaración no se completarán debido a que están reservados para la modificación o
supresión de los ficheros, y en el presente caso lo que estamos haciendo es una declaración.
Una vez cumplimentado el formulario de declaración se enviará a la Agencia de Protección de
Datos de la cual si en un plazo de un mes no recibimos respuesta en contrario, podremos considerar
que el fichero o ficheros en su caso, están inscritos a todos los efectos.
La segunda vertiente de la protección de datos es lo que se denomina la LEGITIMACIÓN, es
decir, resumidamente, poseer el consentimiento de los titulares de los datos para estar en nuestros
ficheros. El consentimiento para incluir datos personales en un fichero no será preciso en lo que a
la fábrica afecta cuando se refiera a las partes de un contrato o precontrato de una relación negocial,
laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento. Pese a poseer el
consentimiento sí será preciso el cumplir, cuando se soliciten datos, con el llamado por el artículo 5
de la L.O.P.D. derecho de información, es decir, que las personas a las que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de:
a) La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de
la recogida de éstos y de los destinatarios de la información.
b) Carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) La identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Llegamos en nuestro ejemplo a la tercera y última parte: LA APLICACIÓN DE LAS MEDIDAS DE SEGURIDAD EN LOS FICHEROS. Como ya hemos visto, nuestra fábrica tan sólo posee
datos de carácter identificativo, por lo que las medidas de seguridad a aplicar son de nivel básico.
Las concretas medidas de seguridad en cuanto a los ficheros automatizados se encuentran recogidas en el RD 994/99 de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.
El nivel básico de seguridad se caracteriza principalmente por:
Marco jurídico 153
a) La realización de un documento de seguridad que recoja la normativa de seguridad de los
datos de la empresa, en este caso de la fábrica, según las indicaciones exactas establecidas en el Reglamento.
b) Delimitar las funciones y obligaciones del personal con acceso a los datos.
c) Identificar y autenticar el acceso al fichero del personal autorizado que se deberá cambiar
con una periodicidad que aconsejamos sea inferior a dos años.
d) Controlar los soportes que contengan datos personales en cuanto a su inventario y autorización para la salida del domicilio donde esté ubicado el responsable del fichero.
e) Realizar copias de respaldo y recuperación en principio, como mínimo, semanalmente.
Además del nivel básico, y a título informativo, existen dos niveles más de seguridad: el medio
y el alto. Las medidas de seguridad a adoptar son acumulativas siendo el alto la acumulación de todos los requisitos necesarios para el nivel básico y el medio además de las establecidas para el alto.
El nivel básico, como ya hemos comentado, afecta a datos identificativos; el nivel medio a datos de infracciones administrativas o penales, servicios financieros, hacienda pública, los relativos a
la prestación de servicios de solvencia patrimonial y crédito y ficheros con datos que permitan realizar una evaluación de la personalidad del individuo; el nivel alto hace referencia a ficheros que contengan datos de ideología, salud, afiliación sindical, religión, creencias, origen racial y vida sexual.
Pese a que en nuestro ejemplo no es aplicable, debemos resaltar que en el caso de un fichero con datos de nivel alto, no se deberán tan sólo reforzar las medidas de seguridad aplicables, sinó
que el consentimiento también será reforzado, debiendo obtenerse el consentimiento expreso y por
escrito.
Una vez cumplidas las tres partes fundamentales de los puntos expuestos, en principio se podría considerar que la fábrica posee los datos personales contenidos en sus ficheros adaptados a la
normativa de protección de datos personales ya que los habrá legalizado, poseerá el consentimiento
para tratarlos y habrá aplicado las medidas de seguridad correspondientes.
Aún así se debe poner de relieve que toda la actuación en este campo debe estar constantemente actualizada (por ejemplo la legalización en el caso de que haya algún cambio) y que todas las
nuevas actuaciones de la empresa deberán seguir adecuadas a la normativa, ya que puede que en el
futuro existan cesiones de datos, por poner un ejemplo práctico.
Previamente a la conclusión, queremos recalcar que lo expuesto es tan sólo un ejemplo y que
en la práctica se producen multitud de situaciones con una gran cantidad de variantes y especificaciones. Cada aplicación de la normativa en un supuesto concreto se debe enfocar como un traje a
medida y realizado por personal cualificado que proporcione seguridad jurídica y tecnológica entendidas siempre como conceptos complementarios y necesarios para lograr una perfecta protección de
los datos de carácter personal.
2.4. Once respuestas que lo aclaran todo sobre la protección de datos de carácter personal
1. INTRODUCCIÓN
Poco a poco, como la lluvia fina sobre los campos, la reciente normativa que regula la
protección de datos personales va calando en nuestra sociedad, principalmente en las
empresas y en el Sector Público, por ser éstos los mayores almacenadores y tratadores de
información personalizada.
La pregunta que surge a continuación es cómo se deben adaptar y proteger los datos que
se tratan en cada sector, empresa o institución para dar cumplimiento a la Ley. Con el presente artículo se pretende acercar de una forma didáctica y directa la protección de datos
con el objetivo de proporcionar los elementos básicos con los que abordar la obligatoria
adaptación a la normativa.
154
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
2. ¿DEBE CUMPLIR MI EMPRESA LO DISPUESTO EN LA LEY DE PROTECCIÓN DE
DATOS DE CARÁCTER PERSONAL?
La L.O.P.D. se aplica a cualquier información (desde un N.I.F. o un nombre hasta un dato
de salud) de una persona física identificada o identificable que esté contenida en un fichero.
Vemos entonces, que prácticamente la totalidad tanto del sector privado como público dispone de datos personales en sus ficheros, ya sean informatizados, documentales o de otro tipo y
por lo tanto les es de aplicación toda la normativa sobre protección de datos personales.
3. ¿CUÁLES SON LAS PRINCIPALES NOVEDADES DE LA LEGISLACIÓN VIGENTE SOBRE PROTECCIÓN DE DATOS?
La Directiva Comunitaria 46/1995 de 24 de octubre de 1995 introduce un cambio sustancial respecto a la ya derogada Ley Orgánica Reguladora del Tratamiento Automatizado de Datos (LORTAD) de 1992. En lo fundamental, amplía el ámbito de protección
de la información personalizada a cualquier dato o información concerniente a una persona física identificada o identificable, cualquiera que sea la forma o modalidad de su
obtención, conservación y tratamiento. Obsérvese sobre el particular que la nueva Ley
Orgánica de 1999, consecuencia de la obligada transposición de la Directiva Comunitaria, elimina de su título el término “TRATAMIENTO AUTOMATIZADO DE DATOS”.
Ahora lo que se protege no es un modo de tratar la información personalizada, sino esta
misma información y los derechos que pivotan en torno a ella.
Es importante destacar otro aparente detalle que en realidad es trascendental a fin y efecto de aquilatar en su verdadera dimensión la vocación expansiva de la nueva Ley Orgánica por lo que respecta a su objeto. Al referirse a la información protegida lo hace en
relación con las personas físicas IDENTIFICADAS o IDENTIFICABLES. Con ello quiere decir el nuevo texto normativo que no es necesario que la información esté vinculada
directamente a una persona física, basta con que lo esté unívocamente. Por ejemplo, una
relación de matrículas de automóviles, una relación de números de contraseña de acceso
a un sistema informático o una relación de clientes o proveedores, ciento por ciento personas jurídicas, son tres claros ejemplos de ficheros (o bases de datos) con información
de carácter personal. Esta aclaración es importante porque resuelve una duda metódica
que se presenta siempre al abordar por primera vez esta problemática.
Hay que resaltar que, con esta nueva regulación, el objeto de la protección legal de los
datos personales en España ha dejado de ser una cuestión técnico-informática y fundamentalmente se trata de un problema jurídico: “protección de DERECHOS FUNDAMENTALES de las personas físicas”. Esto no quiere decir que toda la normativa vuelva
la espalda a la componente tecnológica, cosa que no puede hacer, sino que la relega a un
segundo plano por extensión del objeto.
4. ¿QUÉ DEFINICIÓN DA LA LEY A LOS CONCEPTOS MÁS IMPORTANTES?
Sin ánimo de ser exhaustivos y a los efectos del presente artículo a continuación expondremos los conceptos básicos que aparecen en la Ley:
a) Datos de carácter personal: cualquier información concerniente a personas físicas
identificadas o identificables.
b) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere
la forma o modalidad de su creación, almacenamiento, organización y acceso.
Es muy importante resaltar la tan reiterada vocación expansiva de la L.O.P.D.
en lo relativo al alcance de los ficheros regulados, que resultan ser TODOS, con
independencia de sus circunstancias, sean éstas las que sean.
c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado
o no, que permitan la recogida, grabación, conservación, elaboración, modificación,
Marco jurídico 155
bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones,
consultas, interconexiones y transferencias.
d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública
o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del
tratamiento.
La importancia jurídica de este concepto es transcendental por tratarse de la persona,
FÍSICA o JURÍDICA, que será responsable jurídicamente por la posesión o utilización
de los datos personales organizados en ficheros. En la práctica se recurre generalmente
a designar como responsable a la persona jurídica propietaria del fichero.
e) Afectado o interesado: persona física titular de los datos que sean objeto del
tratamiento a que se refiere el apartado c) del presente artículo.
f) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o
cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales
por cuenta del responsable del tratamiento.
Después de mucha discusión entre los expertos, tras la publicación de la última Ley
Orgánica la Agencia de Protección de Datos, ha quedado claro que este concepto
se refiere a las personas ajenas a la persona o empresa responsable del fichero que,
mediante la formalización de un contrato de prestación de servicios entre ambos
(contrato de outsourcing) realiza el tratamiento de datos por cuenta de aquél. La
figura del contrato resulta fundamental para clarificar el espinoso asunto de las
responsabilidades de cada parte.
g) Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca,
específica e informada, mediante la que el interesado consienta el tratamiento de
datos personales que le conciernen.
h) Cesión o comunicación de datos: toda revelación de datos realizada a una persona
distinta del interesado.
5. ¿QUÉ SE DEBE HACER PARA CUMPLIR LA NORMATIVA DE PROTECCIÓN DE
DATOS?
Para cumplir con la normativa se deberán fundamentalmente realizar los siguientes
pasos: informar a la persona titular de los datos, obtener el consentimiento suficiente
para incluir los datos en el fichero, aplicar las medidas de seguridad necesarias y por último declarar el fichero ante la Agencia de Protección de Datos.
En primer lugar hay que abordar el problema con una perspectiva multidisciplinar. En
segundo lugar hay que adaptar la Ley a la realidad de la empresa y nunca al revés. Quiere
ello decir que cuando una empresa o entidad funciona razonablemente no hay que cambiar nada su organigrama, basta con saber adaptar las exigencias legales a la realidad de
nuestro entorno.
Las soluciones parciales son ineficaces y a la larga más caras. La experiencia nos ha confirmado que hay que aplicar soluciones mixtas: técnicas, jurídicas y organizativas.
6. ¿CÓMO SE CUMPLE CON EL DERECHO DE INFORMACIÓN EN LA RECOGIDA
DE LOS DATOS?
En el momento de solicitar los datos se debe informar a la persona titular de los datos de
los siguientes extremos:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la
finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean
planteadas.
156
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y
oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su
representante.
La L.O.P.D. establece algunas excepciones respecto a informar al afectado las cuales
constan en el último apartado del artículo y que son fundamentalmente: cuando una Ley
lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a
criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente,
en consideración al número de interesados, a la antigüedad de los datos y a las posibles
medidas compensatorias; tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de
publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija
al interesado se le informará del origen de los datos y de la identidad del responsable
del tratamiento así como de los derechos que le asisten.
7. ¿CÓMO SE OBTIENE EL CONSENTIMIENTO PARA INCLUIR LOS DATOS PERSONALES EN UN FICHERO?
Cualquier tratamiento de datos personales necesitará previamente que la persona interesada haya dado su consentimiento. Existen dos tipos de consentimiento según la Ley
y que son el inequívoco y el expreso:
∑ El inequívoco es aquel que no ofrezca lugar a dudas que se posee y que podríamos
equiparar con el tácito. Dicho consentimiento se necesitará para cualquier tipo de
dato excepto los que sean de nivel alto, según se indica en el párrafo siguiente.
∑ El expreso y por escrito es aquel consentimiento reforzado que exige la Ley para
aquellos tipos de datos que requieren especial protección y que son los relativos a la
ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual.
Las excepciones a la solicitud del consentimiento están reflejadas en la Ley y son las
siguientes: cuando se recojan los datos para el ejercicio de las propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes
de un contrato o precontrato de una relación negocial, laboral o administrativa y sean
necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos
tenga por finalidad proteger un interés vital del interesado o cuando los datos figuren
en fuentes accesibles al público.
En resumen, cualquier dato personal que contenga un fichero deberá poseer el consentimiento suficiente el cual se podrá excepcionar únicamente según los supuestos tasados que aparecen en el párrafo anterior.
8. ¿CUALES SON LAS MEDIDAS DE SEGURIDAD A APLICAR?
Las medidas de seguridad reguladas en detalle son las referentes al ámbito informático.
Aún así no se debe olvidar que la L.O.P.D. es aplicable a los datos personales contenidos en un fichero sea del tipo que sea: informático, documental, óptico, etc, y que el
Responsable del Fichero deberá garantizar la seguridad de los datos contenidos en él,
ya que de lo contrario se expondrá a cuantiosas sanciones.
Las medidas de seguridad se dividen en los niveles básico, medio y alto dependiendo
del tipo de datos que contenga el fichero, y hay que destacar que las medidas a aplicar
son acumulativas, es decir, el nivel alto deberá cumplir además de las medidas de seguridad correspondientes a su nivel, las de nivel básico y medio.
Marco jurídico 157
Los datos de nivel básico son cualquier tipo de dato personal como un nombre o un
N.I.F. y las principales medidas de seguridad a aplicar son:
∑ Redacción de un documento de seguridad en el que se refleje la política de seguridad
del Responsable del Fichero.
∑ Poseer mecanismos de identificación y autenticación de los usuarios que entren en
el sistema de información.
∑ Poseer un Registro de Incidencias.
∑ Realizar copias de seguridad.
El nivel de seguridad de nivel medio se aplica a aquellos datos relativos a los servicios
financieros, a los datos que permitan obtener una evaluación de la personalidad del
individuo, datos sobre solvencia patrimonial y crédito (ficheros de morosos), datos de
la Hacienda Pública y de infracciones administrativas y penales. Las medidas de seguridad más importantes del nivel medio son:
∑ La designación de un responsable de seguridad.
∑ Un sistema de identificación y autenticación de usuarios personalizado.
∑ Control de acceso físico al sistema de información.
∑ Un registro de entrada, salida y un control exhaustivo de soportes.
∑ Un registro de incidencias reforzado.
El nivel máximo de seguridad es el alto y se aplicará a aquellos datos especialmente
protegidos como los de salud, afiliación sindical, etc., a los cuales nos hemos referido
anteriormente. Las principales especificaciones de seguridad son:
∑ La distribución de soportes se realizará cifrando los datos.
∑ Existirá un registro de accesos que controle la identificación del usuario, la fecha
y hora del acceso, el fichero accedido, el tipo de acceso y si ha sido autorizado o
denegado.
∑ La distribución de datos personales a través de redes de telecomunicaciones se
realizará cifrando dichos datos.
9. ¿EN QUÉ CONSISTE DECLARAR LOS FICHEROS QUE CONTENGAN DATOS
PERSONALES A LA AGENCIA DE PROTECCIÓN DE DATOS?
En el art. 26 de la LOPD se describe el procedimiento para inscribir los ficheros en el
Registro General de la Agencia.
“Artículo 26”. Notificación e inscripción registral.
1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter
personal lo notificará previamente a la Agencia de Protección de Datos.
2. Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos
que debe contener la notificación, entre los cuales figurarán necesariamente el
responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de
carácter personal que contiene, las medidas de seguridad, con indicación del nivel
básico, medio o alto exigible, y las cesiones de datos de carácter personal que se
prevean realizar y, en su caso, las transferencias de datos que se prevean a países
terceros.
3. Deberán comunicarse a la Agencia de Protección de Datos los cambios que se
produzcan en la finalidad del fichero automatizado, en su responsable y en la
dirección de su ubicación.
158
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
4. El Registro General de Protección de Datos inscribirá el fichero si la notificación se
ajusta a los requisitos exigibles.
En caso contrario podrá pedir que se completen los datos que falten o se proceda a
su subsanación.
5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que
la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá
inscrito el fichero automatizado a todos los efectos.
Destaquemos sobre la disposición anterior que la notificación a la Agencia debe ser
PREVIA a la creación de un fichero.
¿Qué pasa con los ficheros existentes y no legalizados? Se debe proceder cuanto antes
a su presentación ante la Agencia. Hay que destacar que, a partir del 26 de marzo de
2000, para notificar un fichero se debía haber aplicado previamente las medidas de
seguridad de nivel básico, las de nivel medio entraron en vigor en junio del 2000 y las
de nivel alto serán exigibles a partir de junio del 2002.
10. ¿CUÁLES SON LAS SANCIONES POR NO CUMPLIR LA NORMATIVA?
La L.O.P.D. posee un régimen sancionador dividido en tres tipos de infracciones: leves,
graves y muy graves, cuyo importe puede llegar a ser de seis millones de Euros (Cien
millones de pesestas).
Las Infracciones son las siguientes:
• INFRACCIONES LEVES (art. 44.2).
SUPUESTOS:
a) No solicitar inscripción en el REGISTRO GENERAL (NO LEGALIZAR).
b) Recoger datos sin INFORMAR al titular (NO LEGITIMAR). (art. 5 L.O.P.D.).
c) No atender solicitudes de rectificación y cancelación por motivos meramente
formales.
• INFRACCIONES GRAVES (art. 44.3).
SUPUESTOS:
a) No aplicar MEDIDAS DE SEGURIDAD.
b) OBSTACULIZACIÓN al ejercicio de los derechos de ACCESO y OPOSICIÓN.
c) MANTENER DATOS INEXACTOS y NO EFECTUAR RECTIFICACIÓN o
CANCELACIÓN a petición del interesado.
d) NO GUARDAR SECRETO de los datos ESPECIALMENTE PROTEGIDOS.
e) OBSTRUCCIÓN A LA INSPECCIÓN.
f) NO INSCRIBIR un fichero en el REGISTRO GRAL., después de ser requerido por
la A.P.D.
• INFRACCIONES MUY GRAVES (art. 44.4).
SUPUESTOS:
a) RECOGER DATOS EN FORMA ENGAÑOSA Y FRAUDULENTA.
b) COMUNICAR O CEDER DATOS (sin autorización) (art. 1).
c) INCUMPLIR OBLIGACIONES
PROTEGIDOS (art. 7 y art. 8).
SOBRE
DATOS
ESPECIALMENTE
d) OBSTACULIZAR SISTEMÁTICAMENTE EL EJERCICIO DE LOS DERECHOS
DE LOS AFECTADOS.
Marco jurídico 159
La cuantía de las sanciones aparece en función del tipo de infracción es:
LEVES: de 100.000 a 10 millones de ptas. (entre 601,01 y 60.101,21 Euros).
GRAVES: de 10 a 50 millones de ptas. (entre 60.101,22 y 300.506,05 Euros).
MUY GRAVES: de 50 a 100 millones de ptas (entre 300.506,06 y 601.012,01 Euros).
En definitiva, que el riesgo por no tener adecuados los ficheros a la normativa de protección de datos personales es demasiado elevado como para no tenerlo en consideración,
ya que una sanción puede llegar a afectar a la continuidad de la empresa.
11. ¿QUÉ ES LA AGENCIA DE PROTECCION DE DATOS?
• Naturaleza
Es un ENTE DE DERECHO PÚBLICO CON PERSONALIDAD JURÍDICA
PROPIA Y PLENA CAPACIDAD, que actúa con absoluta independencia de las
administraciones públicas en el ejercicio de sus funciones (art. 35 L.O.P.D.).
Su creación se remonta al marco de la derogada L.O.R.T.A.D. y su funcionamiento
se rige en lo que le afectan los Reales Decretos 428/1993, de 26 de marzo, y 1332/
1994, de 20 de junio, y en la L.O.P.D. Se trata de una AUTORIDAD DE CONTROL
con jurisdicción propia que emana de las autoridades de la Unión Europea.
• Funciones de la A.P.D.
De entre todas la funciones, destacamos por su importancia las siguientes:
1. Todas aquellas relativas a la información, gestión y defensa de los DERECHOS
DE LOS AFECTADOS. Esta función se desarrolla mediante la gestión del
Registro General, donde se deben inscribir los ficheros de acuerdo con lo
indicado en el apartado 9 anterior.
2. Ejercer la POTESTAD SANCIONADORA, derivada de la POTESTAD DE
INSPECCIÓN.
3. Controlar los MOVIMIENTOS INTERNACIONALES DE DATOS, con mayor
atención respecto a aquellos países que carecen de normativa homologable con la
nuestra.
• Comentarios destacables:
La L.O.P.D. se aplica a cualquier información (desde un N.I.F. o un nombre hasta un
dato de salud) de una persona física identificada o identificable que esté contenida
en un fichero.
La protección legal de los datos personales en España ha dejado de ser una
cuestión técnico-informática y fundamentalmente se trata de un problema jurídico:
“protección de DERECHOS FUNDAMENTALES de las personas físicas”.
• ¿Qué se debe hacer para cumplir la normativa de protección de datos?
Para cumplir con la normativa se deberán fundamentalmente realizar los siguientes
pasos:
1. Informar a la persona titular de los datos.
2. Obtener el consentimiento suficiente del afectado.
3. Aplicar las medidas de seguridad.
4. Declarar el fichero ante la agencia de protección de datos (inscripción del fichero
en el registro general).
160
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
La L.O.P.D. es aplicable a los datos personales contenidos en un fichero sea del
tipo que sea: informático, documental, óptico, etc, y el Responsable del Fichero
deberá garantizar la seguridad de los datos contenidos en él ya que de lo contrario
se expondrá a cuantiosas sanciones.
Las medidas de seguridad se dividen en los niveles básico, medio y alto dependiendo
del tipo de dato que contenga el fichero, y hay que destacar que las medidas a aplicar
son acumulativas, es decir, el nivel alto deberá cumplir además de las medidas de
seguridad correspondientes a su nivel, las de nivel básico y medio.
La Agencia de Protección de Datos es un ente de derecho público con personalidad
jurídica propia y plena capacidad, que actúa con absoluta independencia de las
administraciones públicas en el ejercicio de sus funciones (art. 35 L.O.P.D.).
2.5. Lo que todo empresario y directivo debe saber sobre datos personales
La regulación de la PROTECCIÓN DE DATOS PERSONALES tiene ya una tradición de más de
10 años en España, pero no es hasta 1999 cuando alcanza una cierta notoriedad y ello obedece a
dos causas diferentes:
1º ACTUALIZACIÓN NORMATIVA.
En efecto el 11 de junio de 1999 se publicó el RD 994/99 que desarrolla el Reglamento de
Medidas de Seguridad de los ficheros que contienen datos personales y el 13 de diciembre
de 1999 se publica la vigente Ley Orgánica de Protección de Datos Personales, (LOPD)
que derogó la primigenia LORTAD de 1992.
2º ACTUACIÓN INSPECTORA de la AGENCIA DE PROTECCIÓN DE DATOS (APD).
La APD es un Ente Administrativo Autónomo, cuya autoridad emana de Bruselas y es el
órgano encargado por la Ley para desarrollar las funciones que ella le encomienda con el
fin de garantizar el adecuado cumplimiento de la normativa a los efectos de alcanzar la
deseada protección de los Derechos Fundamentales que la LOPD defiende.
Entre estas funciones destacan las siguientes:
a) Gestionar el Registro General de archivos con datos personales (Principio de Publicidad).
b) Emitir Directrices y Recomendaciones que desarrollan e interpretan la legislación.
c) Control de la Transferencia Internacional de Datos.
d) Tutelar el pacífico ejercicio de los Derechos de los Afectado; derecho de consulta al Registro General, de acceso a los ficheros y de rectificación y cancelación de los datos.
e) Función de inspección.
f) Función sancionadora.
Es a partir de 1999 cuando la APD dispone de más medios presupuestarios, tecnológicos
(por cierto es obligada, por ilustrativa, la visita al portal web www.agenciaprotecciondatos.org) y
humanos. Ello ha permitido incrementar las funciones de inspección y sancionadora, lo que le ha
otorgado una cierta notoriedad en los ámbitos profesionales, jurídicos y empresariales, así como en
los medios de comunicación. A pesar de todo ello un estudio reciente de Landwell realizado sobre
las 5000 primeras empresas españolas para recabar información sobre el grado de cumplimiento
respecto de las Medidas de Seguridad presenta para el conjunto la siguiente conclusión:
- un 55% de las empresas españolas NO APLICA MEDIDAS DE SEGURIDAD;
- un 35% las aplica de forma INCORRECTA;
- tan solo un 7% APLICA CORRECTAMENTE las medidas de seguridad.
Marco jurídico 161
Todo ello habiendo transcurrido más de tres años desde la entrada en vigor de la norma. A
nivel segmentado por sector y tamaño de empresa, los resultados son aún más decepcionantes:
MEDIDAS DE SEGURIDAD
Incumplimiento de las 5000
Primeras empresas
Incumplimiento PYMES
Entidades Financieras
y aseguradoras
32%
-
Industria
92%
98%
Telecomunicaciones
96%
99%
Comercio y Distribución
98%
98%
Transportes y logística
96%
97%
Energía y agua
94%
-
Servicios
(profesionales sector médico)
97%
98%
Sector
¿QUÉ HAY QUE HACER CON LOS DATOS PERSONALES?
En conjunto las obligaciones que los Responsables de los Ficheros deben observar con respecto a
éstos y a los datos personales que contengan son los siguientes:
1. LEGITIMACIÓN DE LOS DATOS PERSONALES
Consiste en la cualidad jurídica que deben disponer los datos para su inclusión y tratamiento legítimos en un fichero, así como para las previsibles cesiones a terceros, todo ello relativo al CONSENTIMIENTO mínimo necesario que la LOPD determina para cada caso concreto. Se trata sin
duda de la obligación más compleja por su eminente contenido jurídico. Por ello el grado de cumplimiento es aún más bajo que en el caso de las medidas de seguridad, conclusión confirmada por
cuanto la mayor parte de las sanciones impuestas por la APD derivadas de su actuación inspectora,
tienen este origen. Con el fin de evidenciar el grado de desconocimiento y la dificultad de interpretación de una legislación nueva y compleja, es posible que Usted esté en la idea que su empresa
NO CEDE DATOS PERSONALES A TERCEROS. Para descartar fácilmente lo erróneo de esta
idea presentamos el siguiente cuadro y saque Usted sus propias conclusiones al respecto:
EJEMPLOS DE CESIÓN TEMPORAL
Proveedor al que se ceden
datos
Datos Cedidos
Finalidad con que se
ceden los datos
Imprenta
Nombre y cargo de Empleados
Impresión de tarjetas de visita
Proveedor de servicios
Datos de empleados
Cuentas de correo electrónico de
Internet
162
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Tranferencia de salario, tarjetas
de crédito de la empresa, fondos
de pensiones
Entidad Financiera
Datos de empleados
Gestoría
Datos de empleados y clientes
Operador de Telefonía móvil
Datos de empleados
Teléfono móvil de empresa
Empresa de contabilidad
Datos de empleados, clientes y
proveedores
Contabilidad
Nóminas y seguros sociales,
Retenciones IRPF, contabilidad
¿En cuántos de los supuestos anteriores incurre su empresa? ¿Sabe Ud. que el consentimiento para ceder
datos es uno de los supuestos más complejos en los términos de la LOPD?
2. PROTECCIÓN DE LOS FICHEROS
Se trata de la implantación de las Medidas de Seguridad contempladas en el ya citado
RD 994/99. Esta es la obligación de mayor contenido tecnológico, pero su adecuada
observancia exige necesariamente de soluciones transversales jurídicas y técnicas, aplicadas de forma coordinada.
3. LEGALIZACIÓN DE LOS FICHEROS
Es un mero trámite que consiste en la inscripción del fichero en el Registro General de
la APD. según la propia Agencia, existen a finales de 2001 un total de 256.533 ficheros
registrados, lo cual da una idea del elevado incumplimiento de esta obligación por otra
parte muy fácil de satisfacer.
¿Por qué debe preocuparse?
1º. En primer lugar por que Ud. es un empresario a quien le gusta hacer bien las cosas. Ud.
busca la EXCELENCIA en la GESTIÓN y está motivado por temas como la calidad, la
protección de los riesgos laborales, la seguridad, etc. Si esto es así, ¿cómo puede vivir
ignorando y de espaldas a todo a lo que la Ley le obliga respecto de los datos personales y sus ficheros?.
2º El segundo motivo es quizás un tanto intangible y podríamos llamarlo EGOISMO
ÉTICO. Ud. no puede permitir que su desidia colabore en la agresión a los Derechos
Fundamentales relativos a la intimidad y al buen nombre de sus conciudadanos. Entre
otros motivos porque a Ud. tampoco le gusta que invadan su propia intimidad.
3º Tampoco podemos olvidarnos del importante RIESGO que puede derivarse del incumplimiento de la normativa, por vía sanción de la APD. El cuadro legal de infracciones
y sanciones provoca que una actuación inspectora de la Agencia concluya normalmente con sanciones entre 300.000 y 900.000 euros. ¿Cree Ud. que es racional desarrollar
cualquier actividad empresarial aceptando un riesgo de cuantía tan importante?.
4º Por último, Ud. acabará por convencerse cuando conozca que las soluciones técnicas y
jurídicas para adaptar un entorno empresarial a la normativa legal son realmente baratas y además deben contemplarse como una inversión, no como un gasto, por cuanto
ayudarán sin duda a mejorar la eficacia y productividad de cualquier empresa.
Las cuantía de las sanciones es:
LEVES: (de 601,01 a 60.101,21 Euros).
Marco jurídico 163
GRAVES: (de 60.101,22 a 300.506,05 Euros).
MUY GRAVES: (de 300.506,06 y 601.012,1 Euros).
3. La fiscalidad en el marco de las nuevas tecnologías
3.1. Las TIC´s, una nueva forma de relación entre los contribuyentes y Hacienda
3.1.1. Planteamiento
Para abordar con posibilidades de éxito un aspecto tan complejo como la fiscalidad en el ámbito de
las TIC´s, o mejor dicho, la fiscalidad de las situaciones y operaciones económicas desarrolladas
en el ámbito TIC´s, hay que ser ambicioso, no regatear esfuerzos y desarrollar una aproximación
múltiple, porque el tema así lo exige.
En consecuencia, vamos a abordar el tema desde una perspectiva multidireccional:
1. PLANTEAMIENTO INTERNACIONAL DE LA FISCALIDAD EN EL ÁMBITO TIC’s.
2. LOS IMPUESTOS DIRECTOS: Posibilidades recaudatorias.
3. LOS IMPUESTOS INDIRECTOS: Posibilidades recaudatorias.
4. LOS IMPUESTOS LOCALES: Un replanteamiento en profundidad.
5. LAS NUEVAS TECNOLOGÍAS COMO ELEMENTO PARA REFORZAR LA GESTIÓN TRIBUTARIA. Un ejemplo, la página web de la AGENCIA ESTATAL DE
ADMINISTRACIÓN TRIBUTARIA.
6. LA DESGRAVACIÓN E INCENTIVOS FISCALES POR I+D e INNOVACIÓN TECNOLÓGICA.
En la medida de lo posible seguimos el esquema del INFORME DE LA COMISIÓN PARA
EL ESTUDIO DEL IMPACTO DEL COMERCIO ELECTRÓNICO EN LA FISCALIDAD ESPAÑOLA (versión octubre 2000) elaborada por la SECRETARÍA DE ESTADO DE HACIENDA,
por los siguientes motivos:
a) Sin duda se trata del estudio más serio y completo sobre el tema que nos ocupa, con
notable diferencia sobre los demás.
b) Se ha tenido en cuenta, aunque no de forma vinculante, el posicionamiento de los principales países y de las principales Organizaciones Económicas Internacionales.
c) Se ha tenido en cuenta, aunque no como obligación, las opiniones e intereses de las
principales asociaciones e instituciones españolas de la economía (sus principales sectores) y de las nuevas tecnologías.
3.1.2. La fiscalidad en Internet: problemas y oportunidades
El desarrollo de los servicios de la sociedad de la información, íntimamente ligado con el proceso
de globalización económica, pone de relieve una cierta inadaptación de los sistemas tributarios que
se fundamentan aún en la idea de la soberanía nacional. En el ámbito fiscal, el papel de las organizaciones internacionales asume un protagonismo necesario ya que las soluciones nacionales son insuficientes para abordar correctamente los problemas de la internacionalización y desintermediación:
Impulsar la adopción en la UE, a la mayor brevedad posible, en el ámbito de sus competencias, de una normativa fiscal sobre el comercio electrónico.
La normativa y la gestión tributaria han de prestar una creciente atención a la internacionalización de la economía y al Derecho Internacional Tributario.
España debe trabajar y participar en las organizaciones y foros internacionales dedicados a
cuestiones tributarias, especialmente en la UE y la OCDE, para establecer un marco tributario general e internacional sobre el comercio electrónico.
164
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
La Administración española debería dedicar más recursos humanos y materiales, dada la
importancia del problema, a los debates que, en diversos foros internacionales, se están produciendo sobre la fiscalidad del comercio electrónico.
Incrementar la presencia de España en programas de formación como el FISCALIS, SCAT
y otros semejantes, por la necesidad de una mayor colaboración y comunicación entre los auditores fiscales de los distintos países, ya que el nivel de actualización y estandarización en los conocimientos de nuevas tecnologías se hace imprescindible, particularmente si se persigue abordar
comprobaciones de contribuyentes que operan en ámbitos transfronterizos.
Esta supuesta incapacidad, junto a la progresión acelerada en todas las facetas de la sociedad de la información, su novedad radical, su cambio tecnológico constante, su flexibilidad y carácter omnicomprensivo, sustenta los argumentos para la defensa de una autorregulación propia
y competencia abierta.
En definitiva, constituyen los planteamientos contrarios a imponer nuevos gravámenes o
a ajustar los actuales al nuevo contexto. En EEUU es donde más apoyos encuentra esta concepción, existiendo, de hecho, una moratoria fiscal respecto de los gravámenes internos indirectos
que podrían ser aplicables, además de defender la continuidad de la moratoria en el ámbito aduanero respecto de los bienes digitales, como más adelante se explica. Esta posición favorece la situación de predominio de EEUU en materia de comercio electrónico frente al resto del mundo,
puesto que tanto una moratoria, como una autorregulación conduciría a impuestos muy reducidos o nulos, provocando ineficiencias y pérdidas de ingresos tributarios en los países receptores
de servicios de la sociedad de la información y ocasionaría supuestos de competencia fiscal perniciosa entre países prestadores y receptores, además de entre distintos sectores económicos, lesionándose gravemente los principios de equidad, neutralidad y eficiencia que deben presidir los
sistemas tributarios. Estos inconvenientes son sufridos en dicho país por parte de diferentes Estados de la Unión y del comercio tradicional, razón por la que la moratoria tiene un límite temporal y no afecta a los impuestos federales:
No aceptar, en principio, ninguna propuesta de moratoria fiscal del comercio electrónico.
La Administración Tributaria española debería valorar la incidencia de la moratoria norteamericana en los operadores económicos, especialmente si se prolonga.
Los motivos anteriores también se han utilizado para argumentar que únicamente una autoridad tributaria internacional con poderes supranacionales suficientes podría someter adecuadamente a imposición el comercio electrónico.
Otros planteamientos que enfatizan la radicalidad del nuevo modelo socioeconómico de la
sociedad de la información, rechazando en consecuencia la posibilidad de ajustar simplemente
los esquemas de tributación hoy vigentes al nuevo contexto, defienden la implantación de un gravamen sobre el número de bits (bit tax). Tal propuesta sólo podría llevarse a la práctica por una
autoridad tributaria internacional; pero presenta muchos otros inconvenientes que justifican su
rechazo (injusto -al exaccionar las transacciones no por su valor sino por el número de bits, gravando así más a las operaciones repetidas de pequeño valor que a las transacciones unitarias de
gran valor o a los archivos no comprimidos respecto de los comprimidos-; limitado -porque grava
comunicaciones que no tienen carácter comercial-; y tecnológicamente desfasado):
No se deberían introducir nuevos gravámenes sobre el comercio electrónico. En particular,
ideas como el bit tax deben rechazarse.
Frente a los anteriores planteamientos resulta más útil adoptar posiciones pragmáticas para
afrontar con realismo los desafíos derivados del nuevo escenario.
Marco jurídico 165
Del mismo modo, el diseño de las modificaciones precisas sobre el marco fiscal actual, en
cuya conformación son fundamentales los acuerdos que se alcancen por la UE y por la OCDE,
habrá de ser conjugado con los criterios nacionales que se adopten. Y entre estos últimos han de
figurar la prudencia respecto de las consecuencias recaudatorias -teniendo en cuenta los compromisos de España con la UE-, los objetivos de reducir al máximo los costes de cumplimentación
y los propios costes de funcionamiento de la Administración Tributaria y la voluntad de situar a
España al nivel de los países más avanzados respecto del grado de desarrollo de la sociedad de la
información. Ésta es la perspectiva que preside todo el Informe y con la que se atienden los objetivos de la Iniciativa estratégica del Gobierno para el desarrollo de la sociedad de la información
y de las nuevas tecnologías:
Adaptar periódicamente, en el seno de la Iniciativa Estratégica, la posición española en el
marco de la sociedad de la información, teniendo siempre en cuenta el aspecto fiscal.
La administración española debería dedicar más recursos humanos y materiales, dad la importancia del problema, a los debates que, en diversos foros internacionales, se están produciendo sobre la fiscalidad del comercio electrónico.
Sin perjuicio de su posterior examen, los principales problemas que plantea el comercio
electrónico se pueden resumir de la forma siguiente:
166
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
PROBLEMAS QUE PLANTEA EL COMERCIO ELECTRÓNICO
Problemas en la normativa fiscal
Imposición directa
Identificación del sujeto pasivo
Dificultades de localización de la persona
física o jurídica y del equipo informático;
facilidad de utilización de seudónimos;
sistemas de encriptación; paraísos fiscales;
protección de datos personales; etc.
Control de la renta o transacción
Facilidades para deslocalizar el sistema
informático; desintermediación (pérdida
de puntos de conexión o control); escasas
huellas de la transacción electrónica;
fiabilidad de los registros informáticos; etc.
Jurisdicción fiscal competente
Dificultades para fijar dónde se ha realizado
la transacción y la residencia fiscal.
Posibilidades de rápida alteración.
Calificación de las rentas
Problemas especialmente respecto de
bienes digitalizados y cuando existe un
Convenio para evitar la doble imposición
(CDI) por el distinto tratamiento de
las rentas por cánones (cesión de uso)
respecto de las empresariales (cesión de
propiedad). Conflictos de intereses entre
país fuente-país de residencia y estímulo
para la elusión fiscal.
Concepto de establecimiento permanente
Crisis de los conceptos de permanencia
o fijeza que permiten que el Estado de
origen pueda gravar las rentas empresariales
obtenidas a través de los establecimientos
permanentes.
Precios de transferencia
La globalización favorece los grupos
empresariales transnacionales. El valor
añadido de las operaciones se aleja de la
transmisión de bienes físicos, al ser cada
vez más importante el valor añadido de los
servicios y bienes materiales. Dificultades
para determinar el método de valoración
correcto, dónde se ha producido el beneficio
y cuánto. Crisis de los métodos tradicionales.
Facilidades de elusión fiscal.
Otras cuestiones
Problemas respecto de las reglas
imputación; distribución de gastos
ingresos entre los diversos operadores
comercio electrónico; individualización
las rentas sometidas a gravamen; etc.
de
e
en
de
Marco jurídico 167
PROBLEMAS QUE PLANTEA EL COMERCIO ELECTRÓNICO
(CONTINUACIÓN)
Problemas en la normativa fiscal
Imposición Indirecta
Localización del hecho imponible
Problemas similares que en imposición directa, que se agravan cuando un país cuenta
con diversos tributos estatales sobre tráfico
de bienes.
Distinción en el IVA entre entrega de
bienes y prestación de servicios
Los bienes digitalizados se asimilan a prestaciones de servicios; problemas respecto de
si determinados envíos digitales suponen una
mera compraventa o llevan aparejados servicios incorporados de uso, transmisión, etc.;
problemática de las telecomunicaciones, etc.
Identificación y localización del sujeto
pasivo
Necesidad de designar a un representante fiscal, o de registrarse en todos los EEMM de la
UE o en uno sólo, además de las dificultades
de aplicar el sistema de devolución a los no
residentes.
Sujeto pasivo
Se multiplican situaciones donde aplicar la llamada inversión del sujeto pasivo del IVA, función que genera fuertes costes de cumplimentación para las personas implicadas.
Problema adicional en Impuestos
Especiales
Posibilidad de compras masivas por el consumidor final de productos sometidos a estos
impuestos a través de pequeños envíos que se
benefician de franquicia aduanera y exención
en IVA.
Aduanas
Dificultades para controlar transmisiones de
bienes digitalizados; desplazamiento de parte
del valor de bienes físicos a prestaciones de
servicios (ejemplo: planos, manuales, etc.);
posibilidad de desviar tráfico comercial mediante régimen de pequeños paquetes (problemas de congestión y de elusión fiscal).
Tributación local
Necesidad de adaptar los tributos de carácter censal como el Impuesto sobre Actividades Económicas a la mayor movilidad de los
operadores.
Otros ingresos públicos coactivos
Problemas de control y evasión respecto de tasas sobre el juego (casinos virtuales), etc.
168
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
PROBLEMAS QUE PLANTEA EL COMERCIO ELECTRÓNICO
(CONTINUACIÓN)
Problemas en la gestión y administración tributarias
– Identificación de los sujetos que intervienen en las operaciones.
– Distinción sobre su naturaleza (ejemplo: si vende bien, intermedia o presta
servicio).
– Registro actualizado de operadores propios de comercio electrónico
(certificadores de firmas, proveedores de servicios de Internet, generadores de
software, creadores de páginas de Internet, prestadores de servicios, etc.).
– Localización segura de los operadores y seguimiento de los mismos y de sus
operaciones.
– Ejecución y pago de las deudas tributarias imputadas a cada operador.
– Control de los medios de pago utilizados.
– Fórmulas para evitar la deslocalización de operaciones y de los sujetos pasivos y
métodos de elusión (ejemplo: recalificación de rentas).
– Encriptado y seguridad de bases de datos tributarios.
– Fiabilidad de los sistemas informáticos empleados.
– Facturas telemáticas y libros electrónicos de contabilidad.
– Necesidad de incrementar la cooperación con otras Administraciones Tributarias y
lograr su máxima efectividad.
A lo largo de nuestra exposición trataremos los puntos más significativos del anterior inventario de problemas que plantean las TIC´s a la fiscalidad de las nuevas operativas y operaciones.
Por el contrario, como decimos en el punto 6 del inicio de este capítulo, el desarrollo de
los servicios de la sociedad de la información ofrece nuevas posibilidades y potencialidades a la
Administración de los Tributos haciendo buena de este modo, una vez más, la famosa frase “EL
CAMBIO NO ES UN RIESGO SINO UNA OPORTUNIDAD”.
Marco jurídico 169
OPORTUNIDADES PARA LA ADMINISTRACIÓN TRIBUTARIA
– El uso de la vía telemática de la Red para la asistencia e información a los contribuyentes (ejemplo, declaraciones tributarias por Internet), reduciéndose los costes de cumplimentación.
– Una mayor aproximación del control al momento del nacimiento del hecho imponible.
– La creación de nuevos sistemas de pago a cuenta en estas transacciones, de fácil gestión
y que permitan recaudar los impuestos de muchos contribuyentes a través del control de
unos pocos agentes.
– La aparición de nuevos sujetos intermediarios para la recaudación.
– La potenciación de nuevos medios de control informático, como la auditoría por ordenador, los cuales facilitarán el control de las operaciones de comercio electrónico.
– La reducción de costes en la gestión tributaria, por ejemplo, con un menor uso del papel
y otros recuros materiales y humanos, lo que disminuirá los costes de la Administración
y agilizará su funcionamiento.
A simple vista, podría parecer que los problemas son más que las oportunidades y así es en
términos estrictamente cuantitativos. No obstante, desde una perspectiva cualitativa, las ventajas
derivadas de cada una de las escasas oportunidades, son de tal naturaleza que la partida apunta
como bastante equilibrada, siempre y cuando siga el principio de realidad y se aborden los problemas, mejor dicho sus soluciones, bajo este prisma.
Y hablando de principios el Informe enumera los siguientes como sectores de la tributación
del Comercio Electrónico:
• Principio de internacionalización. Se precisa un mínimo consenso internacional sobre
las cuestiones básicas:
España debe trabajar y participar en las organizaciones y foros internaiconales dedicados a
cuestiones tributarias, especialmente en la UE y la OCDE, para establecer un marco tributario general e internacional sobre el comercio electrónico.
Instar a la OCDE para que, en el marco de sus competencias, acelere los trabajos para definir el marco tributario del comercio electrónico.
Convendría que los países de la UE fijaran una posición común en las organizaciones internacionales en tiempo útil.
La UE debería instar a la OMC a que adopte rápidamente una solución en relación con la
clasificación de las transacciones de determinados productos digitalizados.
• Principio de neutralidad. Debe evitarse discriminaciones significativas con las modalidades de tribulación del comercio tradicional:
Las decisiones tributarias han de ser neutrales a la hora de gravar las diferentes formas de
comercio y de servicios de la sociedad de la información.
Los contribuyentes que ejerzan actividades económicas idénticas, utilizando medios diferenciados: informáticos o tradicionales, no deben estar sometidos a una carga tributaria distinta;
por ello, la fiscalidad del comercio electrónico ha de atender a sus particularidades y ha de tener
en cuenta sus peculiaridades procedimentales, gestoras y de lucha contra el fraude fiscal de forma
que el resultado sea análogo al del comercio tradicional.
170
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Buscar el equilibrio entre la solicitud de las informaciones necesarias para permitir un adecuado control del cumplimiento de las obligaciones fiscales entre los operadores de comercio electrónico y los que actúna en el comercio tradicional.
• Principio de simplicidad. El comercio electrónico presenta múltiples y complejas facetas, pero la normativa fiscal no debe convertirse en un obstáculo para su desarrollo:
• Principio de suficiencia. La escasa o nula imposición de las operaciones realizadas a través del comercio, electrónico generaría una pérdida de recaudación inasumible:
Cualquier regulación del comercio electrónico ha de generar recursos impositivos suficientes.
• Principio de eficiencia. Los costes de cumplimentación y de gestión deben ser los mínimos
posibles. Asimismo, el marco tributario ha de producir escasas interferencias en las decisiones de los
agentes económicos:
Ha de regularse tributariamente el comercio electrónico, teniendo en cuenta sus especificidades.
Adaptar los modelos de gestión tributaria a las nuevas realidades tecnológicas.
Aprovechar las nuevas oportunidades que ofrece el comercio electrónico y, en general, las
nuevas tecnologías para mejorar la gestión tributaria y los mecanismos de ayuda y asistencia a los
contribuyentes.
Impulsar el uso de las nuevas tecnologías en la Administración Tributaria, con los profesionales tributarios y con los contribuyentes, así como con otras Administraciones Públicas.
• Principio de seguridad jurídica. El marco tributario debe ser claro y el comercio electrónico debe moverse en un entorno legal para desarrollar sus potencialidades:
La Administración Tributaria española debe estar al tanto de los desarrollos normativos que
se produzcan en la UE, en lo que respecta a la sociedad de la información, para evitar contradicciones entre su regulación fiscal y su normación por otras áreas del Derecho.
• Principio de equidad. Tanto horizontal (no discriminación de los operadores por la forma
de actuar) como vertical (tomar en consideración las diferentes capacidades de los agentes económicos que intervienen):
Establecer las cautelas adecuadas para evitar que operaciones gravadas con algún impuesto
queden sin atribuir al sujeto pasivo que corresponda.
Los contribuyentes que ejerzan actividades económicas idénticas, utilizando medios diferenciados: informáticos o tradicionales, no deben estar sometidos a una carga tributaria distinta;
por ello, la fiscalidad del comercio electrónico ha de atender a sus particularidades y ha de tener
en cuenta sus peculiaridades procedimentales, gestoras y de lucha contra el fraude fiscal de forma
que el resultado sea análogo al del comercio tradicional.
A la hora de configurar el marco fiscal del comercio electrónico ha de tenerse en cuenta el diferente grado y capacidad de acceso de las PYMEs y de los consumidores al comercio electrónico.
• Principio de flexibilidad. Dado el dinamismo de los servicios de la sociedad de la información y el constante cambio tecnológico, las reglas de tributación habrán de amoldarse continuamente.
• Principio de coordinación. Con el resto de la legislación sobre el comercio electrónico,
con las instituciones internacionales y autoridades tributarias de otros países, con todas las autoridades tributarias nacionales.
Profundizar en la transmisión de datos tributarios a otras Administraciones Fiscales por medios telemáticos.
Fomentar la necesaria coordinación normativa internacional en materia de imposición directa con la finalidad de evitar la deslocalización fiscal.
Marco jurídico 171
Impulsar la cooperación entre Administraciones Tributarias, no sólo de la UE, para intercambiar informaciones tributarias.
La postura española en la UE debe ser favorable a la creación de un marco normativo para
calificar las operaciones de comercio electrónico, en colaboración con instituciones internacionales tales como la OMC y la Organización Mundial de Aduanas, con el fin de adoptar unos criterios
uniformes a un nivel mundial.
Estudiar la creación, en el marco del Convenio de Nápoles II, de unidades centrales europeas de supervisión de Internet que constituirán puntos de contacto de una red de cooperación.
Proponer ante organizaciones internacionales la adopción de acuerdos que posibiliten el acceso justificado, por razones de verificación fiscal, a los registros y bases de datos equivalentes a
los mencionados anteriormente, gestionados por entidades u organismos de otros países o de carácter supranacional.
Potenciar la adopción de acuerdos de colaboración mutua, así como el establecimiento de
procedimientos que posibiliten el ejercicio de esta colaboración, de forma ágil y sencilla, por las
Administraciones de los países afectados.
Incrementar la presencia de España en programas de formación como el FISCALIS, SCAT
y otros semejantes, por la necesidad de una mayor colaboración y comunicación entre los auditores fiscales de los distintos países, ya que el nivel de actualización y estandarización en los conocimientos de nuevas tecnologías se hace imprescindible, particularmente si se persigue abordar
comprobaciones de contribuyentes que operan en ámbitos transfronterizos.
Se propone impulsar, en los debates internacionales, la investigación en la adopción, impulso y difusión de estándares en el tratamiento de la información en comprobación fiscal y en el
propio procedimiento inspector.
Impulsar la adopción de acuerdos institucionales que posibiliten, con las debidas cautelas,
el acceso directo, por vía telemática, a registros de otras instituciones, de modo que puedan agilizarse los procedimientos y la obtención de información de trascendencia fiscal.
Se propone defender, ante instituciones internacionales, el acceso al registro de nombres de
dominio de Internet por motivos fiscales.
3.2. La nueva fiscalidad
3.2.1. Impuestos directos
En materia del impuesto sobre Sociedades (IS), Impuesto sobre la Renta de las Personas Físicas
(IRPF) e Impuesto sobre la Renta de no Residentes (IRnR), lo que interesa son las rentas netas que
obtienen los agentes económicos por las operaciones que realizan a través de redes informáticas,
excepto, en el IRNR, cuando los contribuyentes actúan sin establecimiento permanente.
Hay, pues, una doble vertiente (ingresos-gastos), ya que, al definirse la base imponible como
el resultado de minorar los ingresos computables con los gastos fiscalmente deducibles, se hace
necesario verificar tanto que se han producido los ingresos como que se ha incurrido efectivamente en los gastos declarados. Esta doble vertiente presenta las siguientes peculiaridades en el comercio electrónico:
Jurisdicción fiscal competente. Se trata de determinar dónde se ha producido el hecho imponible, es decir, qué jurisdicción fiscal, de entre las diversas que pueden tener algún tipo de legitimidad para gravarlo, es la que ha de proceder para ello. En caso contrario, podrían exigirse tributos similares a un mismo contribuyente, por el mismo hecho imponible y por el mismo período
impositivo (doble imposición jurídica internacional). También podrían producirse situaciones de
ausencia indebida de gravamen. Históricamente se han definido dos sistemas para evitar la doble
imposición: el principio del origen o de la fuente -según el cual la renta queda gravada en el país
172
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
donde se produce y el país de residencia del sujeto pasivo concede un crédito fiscal por los impuestos pagados o una exención por las rentas obtenidas- y el principio de la residencia -que establece en el país de origen de la renta una exención a los no residentes, gravándose en el país de
residencia del sujeto pasivo-. Para evitar los conflictos de jurisdicción sobre las rentas obtenidas,
mediante los CDl se clasifican las rentas y con posterioridad se atribuye el reparto del impuesto
correspondiente.
Las peculiaridades del comercio electrónico -fácil deslocalización, relativo anonimato y
movilidad de los sujetos intervinientes- dificultan la aplicación de estas reglas. Puede ocurrir una
constante variación de la localización de una empresa, o que radique en un paraíso fiscal, o que
una persona física, viajando por el mundo con un ordenador portátil, se convierta en una empresa
de servicios a través de Internet. Lo anterior se complica si se añade que la prestación de servicios
mediante Internet disfruta de cierto anonimato, dada la inexistencia de un control central, los sistemas de atribución de direcciones y nombres y la fácil utilización de seudónimo.
Determinar si la regulación tributaria española sobre paraísos fiscales es adecuada para hacer frente a los paraísos informáticos y, en su caso, modificarla.
Establecimiento permanente. Se trata de un mecanismo utilizado en los diversos ordenamientos jurídico-tributarios para solucionar el problema de la actividad habitual o continuada de
empresas no residentes, permitiéndose que el Estado donde radica (Estado fuente) pueda gravar
sus rentas como si fuese una persona distinta de la casa matriz que tiene su residencia en otro Estado. Ello es así, porque se considera que su carácter de permanencia, que supone disfrutar de las
infraestructuras del país, obliga a contribuir al sostenimiento de las cargas públicas del mismo.
Como en el supuesto anterior, la idea de permanencia -“Lugar fijo de negocios mediante el cual
una empresa realiza toda o parte de su actividad” (en dicho país)- quiebra en el comercio electrónico. Una empresa puede estar implantada en muchos países a través de la Red, sin haberse movido del Estado de su residencia. La Red permite una presencia continuada, bastando con disponer
de un sitio web para ofrecer bienes y servicios y una dirección de correo electrónico donde recibir los pedidos. No se precisa una presencia física de la empresa y ni siquiera la de un agente. Los
contenidos se pueden actualizar instantáneamente e incluso se pueden expedir inmediatamente,
si se trata de bienes inmateriales o de servicios. En estas circunstancias es fácil comprender por
qué el concepto de establecimiento permanente, basado en una idea de permanencia o fijeza física, entra en crisis.
Tres son las alternativas posibles (abandonar dicho concepto respecto de actividades de comercio electrónico; elaborar un nuevo concepto para tales situaciones; o adaptar el actual concepto en los Convenios de Doble Imposición para dar cabida a las nuevas circunstancias). Las dos
primeras plantean a corto plazo enormes dificultades. La primera, porque supone romper con una
tradición fiscal de este siglo respecto del gravamen de la renta de no residentes. La segunda, porque añadiría conflictos y posibilidades de discriminación involuntaria entre los dos tipos de comercio (electrónico-tradicional), si no quedan claramente delimitados. La tercera opción es la que
se sigue actualmente en la OCDE.
En el Informe se propugna la idea de considerar la existencia de un establecimiento permanente de la empresa operadora de comercio electrónico en todos aquellos países donde se realicen
efectivamente operaciones, entendiendo que el lugar donde se realizan efectivamente es el correspondiente a la residencia del adquirente de los bienes o beneficiario de los servicios.
La atribución de rentas a los establecimientos permanentes. El Estado de la fuente ve limitadas sus prerrogativas de gravamen a las rentas que sean imputables a los mismos y no a todas las
rentas que puedan obtener, lo que obliga a tratar de forma independiente cada una de las fuentes
de los beneficios que una empresa obtiene en dicho Estado, aplicando a cada una de ellas el criterio de establecimiento permanente:
Marco jurídico 173
Las autoridades tributarias españolas han de adoptar una postura ante las propuestas de la
OCDE relativas al concepto de establecimiento permanente en el comercio electrónico, al tratamiento de los cánones y a la atribución de rentas al mismo.
Los precios de transferencia. A través de los cuales, mediante operaciones intragrupo, se
busca minimizar la carga fiscal del grupo de empresas. El sistema seguido habitualmente por las
Administraciones Tributarias para no verse lesionadas por estas prácticas es la de considerar que
dichas operaciones deben de valorarse, a efectos fiscales, por el precio que se hubiera pactado entre partes independientes, en un mercado donde existiese libre competencia. La extrema movilidad de las operaciones realizadas por redes informáticas y la profusa utilización de intranets entre las empresas del grupo provoca dificultades de enorme complejidad en el terreno fiscal que
requieren el desarrollo de sistemas de acuerdos previos de valoración con las autoridades fiscales
de uno o varios países:
La legislación española sobre precios de transferencia debe evaluar la incidencia del comercio electrónico en su regulación.
Se deben seguir atentamente las propuestas de la OCDE para adaptar su guía sobre precios
de transferencia al comercio electrónico, defendiendo la postura Española, cuando sea preciso.
Potenciar los acuerdos previos de valoración como procedimiento para adecuar los precios
de transferencia a los que hubiesen sido pactados entre partes independientes en mercados de libre competencia.
La determinación de la renta gravable. La determinación del volumen y el valor de operaciones comerciales presenta dificultades adicionales cuando se trata de bienes inmateriales o
digitales. No basta con conocer el número de descargas de un determinado archivo para determinar el volumen de negocio, ya que en ocasiones la descarga es gratuita o corresponde a versiones
no plenamente operativas o de prueba. No obstante, sí ofrecen indicios de actividad, lo que unido
a otros elementos (seguimiento de fondos, obligaciones de conservación de información, etc.) supone que en este aspecto no se presenten problemas de definición sino de control:
Se potenciará el seguimiento por la Agencia Tributaria de los sitios web donde se produzcan
transacciones comerciales.
A modo de conclusión y en relación con la actual regulación del IS, IRPF, IRnR y del Impuesto sobre Actividades Económicas (IAE) pueden señalarse las siguientes necesidades futuras
de modificación:
- Ninguno de los CDI (Convenio de Doble Imposición) suscritos hasta el momento por
España incluyen disposiciones específicas sobre comercio electrónico:
Analizar los mencionados acuerdos y los convenios para evitar la doble imposición firmados hasta el momento, a efectos de determinar si alguna de las cláusulas en ellos
contenidas puede ser perjudicial a los intereses de la Hacienda Pública española en lo
referente a la tributación del comercio electrónico.
Considerar en las negociaciones de los futuros acuerdos y convenios para evitar la
doble imposición en materia de renta y patrimonio, la tributación de las operaciones de
comercio electrónico.
- La definición de establecimiento permanente que se contiene en el IRNR puede ser
adaptada para adecuarse a la problemática específica del comercio electrónico, pues es
la norma que rige respecto de los residentes en países con los que no se ha suscrito un
CDI:
- La actual configuración del IAE determina que, en el caso de actividades de comercio electrónico, haya de tributarse en función de la naturaleza de cada una de las actividades realizadas. Al no existir un epígrafe específico relativo al comercio electrónico, en algunos
174
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
casos puede suponer la obligación de matricularse en numerosos epígrafes del Impuesto.
Parece conveniente establecer un epígrafe específico para que, en aquellos casos en que el
comercio a través de Internet se asemeje a las actividades de venta por catálogo o a la venta
a través de grandes suder presente en este Impuesto un tratamiento similar.
Incluir entre los supuestos de consultas vinculantes, al menos, durante un cierto periodo de
tiempo, las relativas al comercio electrónico, siempre que se presenten por asociaciones y entidades representativas de esa actividad.
Elaborar un epígrafe relativo a las actividades de comercio electrónico en el IAE.
- A su vez, en muchos epígrafes del IAE, que son susceptibles de incluir actividades económicas a través de Internet, únicamente existen cuotas municipales, lo que obliga a darse de alta
en todos los municipios con los que se realicen operaciones comerciales. Parece aconsejable prever la existencia de cuotas nacionales en todas esas actividades:
Incluir cuotas nacionales en todas las actividades de comercio que sean susceptibles de ser
realizadas a través de Internet, mediante una revisión de la Tarifa del IAE.
- Del mismo modo, los criterios de reparto de las cuotas del IAE no son aplicables al comercio electrónico, por lo que, si no se configuran cuotas nacionales, habría que prever criterios
específicos de reparto para las actividades de comercio electrónico:
Si no se configuran cuotas nacionales para el comercio electrónico habría que que prever
criterios específicos de reparto para esta actividad en el IAE.
- El IAE, donde la Administración Tributaria del Estado mantiene importantes competencias censases además de las derivadas de gestión, puede servir para alimentar un censo de operadores económicos que realicen operaciones de comercio electrónico:
Formar un censo de operadores económicos que realicen, exclusivamente o entre otras, operaciones de comercio electrónico, partiendo de la combinación de las competencias censales propias y de las derivadas de la gestión de IAE que ostenta la Administración Tributaria del Estado.
Entre las lagunas a reforzar dentro de los impuestos directos -IRPF y Sociedades- destaca la
identificación del sujeto que debe pagar los tributos. Existen dificultades para localizar a la persona, física o jurídica, que obtiene la renta derivada del comercio electrónico. Este problema se radicaliza con la posibilidad de que el medio informático esté ubicado en un paraíso fiscal o en un
lugar cubierto por las leyes del secreto y del anonimato más estrictas.
La falta de identificación del sujeto genera un efecto en cascada que desemboca en la dificultad de controlar y calificar las rentas y transacciones y de saber qué jurisdicción es competente
en cada caso. Los conflictos entre jurisdicciones fiscales se multiplican debido a que la residencia
del sujeto que obtiene las rentas no sólo es ardua de definir sino que además puede alterarse con
rapidez agravándose el problema de la doble imposición.
Conceptos a tener en cuenta:
A) El concepto de establecimiento permanente. Sólo existiría establecimiento.
• El proveedor extranjero comercializa productos en España mediante una página
web almacenada en un servidor situado en España.
• Siempre que permanezca en ese servidor durante suficiente tiempo.
• La actividad desarrollada por medio de la página web no se limite a actividades que
tengan carácter auxiliar o preparatorio.
B) Calificación de las rentas obtenidas. La venta de artículos protegidos por copyright
tendrá la calificación de compraventa a efectos fiscales, mientras que la cesión de un
derecho limitado sobre un copyright sería constitutivo de canon. La transmisión de un
Marco jurídico 175
copyright sin limitación alguna supondría la venta del derecho y por tanto generaría un
incremento de patrimonio para la parte transmitente.
C) Identificación y localización del Proveedor no residente. Uno de los problemas mayores
que plantea Internet es la dificultad que puede existir para conocer la residencia fiscal de
las partes en una transacción. La aplicación de retenciones puede en estos casos generar
un problema significativo al desconocer cuál es el convenio que resulta de aplicación.
3.2.2. Impuestos indirectos
En el ámbito de la imposición indirecta las figuras tributarios que se ven afectadas por el desarrollo
del comercio electrónico son el Impuesto sobre Transmisiones Patrimoniales y Actos jurídicos Documentados (ITP y AJD), los tributos sobre el juego, el IVA y los Impuestos Especiales (IIEE).
• El Impuesto sobre Transmisiones Patrimoniales y Actos jurídicos Documentados:
En materia del ITP y AJD, el desarrollo del comercio electrónico puede multiplicar el número de
operaciones de entrega de bienes y transmisiones de derechos entre particulares (C2C), siendo un
ejemplo de las mismas las subastas por Internet. El gravamen efectivo de estas operaciones presenta evidentes dificultades de control, por lo que deberá facilitarse al máximo el cumplimiento
voluntario de las obligaciones fiscales. Teniendo en cuenta que se trata de un impuesto cedido a las
Comunidades Autónomas, deberán abordarse en el futuro las actuaciones legislativas y de control
precisas, aunque en el momento actual las transacciones entre particulares no sean relevantes en
términos cuantitativos y de valor:
Aunque en el marco del comercio electrónico las transacciones entre particulares no sean
actualmente muy relevantes, debe facilitarse el cumplimiento voluntario y asegurarse el control de
dichas operaciones y, en particular, de las que se produzcan dentro del territorio de la UE.
Tratándose de un Impuesto cedido por el Estado a las Comunidades Autónomas y no armonizado en el seno de la UE, deberán abordarse por las autoridades españolas las actuaciones legislativas y de control en el ITP y AJD.
Este impuesto, que grava asimismo determinados documentos notariales, mercantiles y administrativos, puede verse afectado por el desarrollo de nuevas modalidades de pago al amparo
de la evolución del comercio electrónico, que pueden encuadrarse bajo la denominación genérica de dinero electrónico. En efecto, según la jurisprudencia del Tribunal Supremo el impuesto recae también sobre cualquier instrumento con función de giro, con independencia de que el
mismo pueda merecer o no la calificación de título o documento, entendiéndose por documento,
conforme al artículo 76.3 del Reglamento del ITP y AJD, cualquier soporte escrito, incluidos los
informáticos, por los que se pruebe, acredite o se haga constar alguna cosa.
• El Impuesto sobre el Valor Añadido:
El IVA es un tributo de naturaleza indirecta que recae sobre el consumo y que grava las operaciones
comerciales en sus distintas formas, cuya estructura ha alcanzado un elevado grado de armonización
en la UE, por lo que las modificaciones en su normativa deben llevarse a cabo de acuerdo con el marco comunitario: Las autoridades españolas deberían encarecer a las comunitarias la rápida adopción
de una propuesta sobre las modificaciones legislativas necesarias para adaptar la normativa europea
del IVA al comercio electrónico. El IVA se caracteriza, entre otros rasgos, por su vocación de absoluta generalidad, teniendo los supuestos de exención un carácter excepcional. En consecuencia, es un
tributo que recae sobre las operaciones de comercio electrónico, para lo que introducir los oportunos
ajustes en su normativa: En cualquier modificación de la Sexta Directiva IVA ha de tomarse muy en
cuenta la incidencia de las reformas sobre el comercio electrónico. Bajo estas premisas resulta innecesario establecer una nueva figura tributaria que grave el comercio electrónico. Del mismo modo
no es aceptable la inaplicación del IVA al comercio electrónico:
No aceptar, en principio, ninguna propuesta de moratoria fiscal del comercio electrónico.
176
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
No se deberían introducir nuevos gravámenes sobre el comercio electrónico. En particular,
ideas como el bit tax deben rechazarse.
En la delimitación de la problemática de la tribulación por IVA del comercio electrónico,
deben diferenciarse las operaciones entre empresarios de las realizadas entre empresarios y particulares. También han de distinguirse las operaciones intracomunitarias (prestador y cliente de la
UE) de las extracomunitarias (prestador o cliente de fuera de la UE).
Como ya se ha mencionado, la adaptación de la normativa del IVA debe tener como resultado
que los servicios prestados mediante comercio electrónico en la UE se graven dentro de ella, independientemente de su origen o de la sede del prestador de los mismos, y que los servicios prestados
mediante comercio electrónico a su consumo fuera de la UE no estén sujetos al IVA:
Las dificultades que genera el comercio electrónico en relación con el IVA surgen esencialmente en las operaciones online, donde todos los elementos son de carácter electrónico. Distinto
es el caso de las operaciones offline, en las que lo único que se efectúa por vía electrónica es el
pedido o solicitud por parte del cliente del bien o servicio. En estas operaciones el principal problema reside en su potencial para incrementar el número tanto de las pequeñas importaciones por
particulares -donde tendrá que preverse el aumento la carga de trabajo de los servicios aduaneros y
valorar el régimen de franquicia, teniendo en cuenta su incidencia en el comercio interior y comunitario- como de las pequeñas entregas de bienes con expedición realizadas por operadores comunitarios a consumidores españoles -donde habrá de prestarse una atención particular al régimen de
ventas a distancia, para asegurar la efectiva tributación en España de los operadores comunitarios
que superen el volumen de ventas previsto para dicho régimen:
Sin perjuicio de la adopción de las necesarias medidas normativas, relativas a la aplicación
del IVA a las operaciones denominadas offline efectuadas a través del comercio electrónico, el desarrollo normativo debe centrarse sobre las operaciones online.
Se propone que la AEAT garantice el que los servicios aduaneros dispongan de los medios
técnicos y humanos para hacer frente al incremento en su carga de trabajo derivado de las operaciones de comercio electrónico.
Deberá analizarse la conveniencia de establecer franquicias en IVA para las pequeñas importaciones de paquetes comerciales realizadas por particulares, teniendo en cuenta su incidencia
en el comercio interior e intracomunitario.
Deberá analizarse el funcionamiento del régimen de ventas a distancia, potenciando la colaboración administrativa prevista en la normativa europea, para asegurar la efectiva tributación en
nuestro país de aquellos operadores comunitarios que superen el volumen de ventas previsto en el
artículo 68. Tres. 4º de la Ley del IVA.
Los problemas que puede generar el comercio electrónico y a los que el IVA ha de hacer
frente son, esencialmente, los siguientes:
Calificación de las operaciones. Tradicionalmente se distingue entre las entregas, adquisiciones intracomunitarias o importaciones de bienes -donde se produce la transmisión de poder de
disposición sobre un bien que es de carácter corporal (con la excepción de suministro de gas, calor, frío o energía)- y las prestaciones de servicios -donde no hay transmisión u obtención del poder de disposición de un bien sino de un derecho sobre el mismo además de incluirse las operaciones que no se refieren a bienes corporales (como la publicidad o el asesoramiento)-. La progresiva aparición de bienes digitales, desmaterializados, es lo que plantea ciertas incongruencias en la
distinción tradicional entre bienes y servicios (libro material-libro digital). La Comisión Europea
se inclina por considerar todas las operaciones con bienes digitales prestaciones de servicios y parece ser el criterio aceptado generalmente a nivel internacional.
Marco jurídico 177
Este enfoque debe apoyarse, a pesar de los problemas de falta de neutralidad que pueden
aducirse por la aplicación de distintos tipos impositivos. La distinción entre entregas de bienes y
prestaciones de servicios resulta especialmente relevante respecto de las reglas relativas al lugar
de realización de las operaciones. Por ejemplo, en el supuesto de operaciones con bienes corporales con consumidores finales de otro Estado miembro se aplicaría o no el régimen de ventas a distancia, en función del umbral del volumen de negocio, pero si se suministran por vía electrónica
en ningún caso sería de aplicación tal régimen.
En concordancia con las directrices emanadas de los trabajos realizados en el seno de la UE
relativas al comercio electrónico, toda operación consistente en poner a disposición del destinatario un producto en formato digital a través de una Red electrónica debe considerarse, a efectos del
IVA, como una prestación de servicios.
Debería modificarse la normativa de IVA en materia de tipos impositivos, de forma que el tipo
impositivo aplicable al suministro de bienes en formato digital, que tengan la consideración de prestaciones de servicios, sea el mismo que el aplicable cuando se trate de una entrega de bienes.
Profundizar en la convergencia de tipos impositivos en la Comunidad Europea.
Localización de las prestaciones de servicios. La Sexta Directiva relativa al IVA dispone en su artículo 9 las reglas de localización aplicables a las prestaciones de servicios. La regla general es la
de sede del prestador, aunque contiene otras reglas especiales, según tipo de operaciones y condiciones de realización (sede del destinatario). La regla general pudo ser adecuada como tal regla
general en épocas pasadas, donde lo más normal era que el prestador del servicio y el cliente estuviesen establecidos en el mismo Estado; pero en la actualidad ocasiona problemas cada vez mayores de deslocalización de servicios, dados los nuevos desarrollos tecnológicos, como se puso de
relieve recientemente con los servicios de telecomunicaciones:
En las operaciones cuyos destinatarios sean sujetos pasivos del IVA han de distinguirse dos
supuestos distintos:
- Aquéllos en los que proveedor y destinatario de la prestación de servicios están establecidos en el mismo Estado miembro, operaciones en cuyo caso la operación se localizará
en dicho Estado y el sujeto pasivo será el prestador del servicio.
- Aquéllos en los que el proveedor está localizado bien en otro Estado miembro, bien
fuera de la UE, localizándose las operaciones en la sede del destinatario y aplicando la
regla de inversión del sujeto pasivo.
Las operaciones cuyos destinatarios sean consumidores comunitarios deben de quedar gravadas por un IVA comunitario. La UE considera como un objetivo la eliminación de las barreras
fiscales al comercio intracomunitario, dentro del cual puede comprenderse el comercio electrónico, de manera tal que las operaciones intracomunitarias con consumidores finales sean tratadas
como operaciones interiores, es decir, de cada Estado miembro. Por ello se considera irrenunciable el logro que supone que los particulares puedan comprar (IVA incluido) en cualquier lugar de
la UE, descartando, por lo tanto, aplicar al comercio puramente electrónico, esto es, aquél que no
da lugar al envío de paquetes, la regla de localización de las ventas a distancia. Así pues, las prestaciones de servicios efectuadas por empresarios establecidos en la UE para consumidores finales
pertenecientes a la misma se localizarían en dicho territorio (en la sede del prestador), y los prestados por dichos empresarios a consumidores finales no pertenecientes a la UE no se localizarían
en ella. También se localizarían en la UE los servicios prestados por empresarios no establecidos
en la misma para consumidores finales comunitarios:
Identificación de los operadores no comunitarios. Para poder cumplir las obligaciones tributarias derivadas del comercio electrónico, los operadores no comunitarios deben registrarse en la
UE. La cuestión es determinar si dicho registro debe ser único, es decir, que mediante el registro
en un único Estado miembro se pueda operar en toda la UE, o si debe existir un registro en cada
178
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
uno de los EEMM donde se realicen dichas operaciones. La cuestión es fundamental puesto que
puede determinar, si se opta por el registro único, que el Estado miembro donde el operador no
comunitario decida registrarse, perciba la totalidad del IVA que grave las operaciones de dicho
operador con consumidores finales comunitarios.
Se trata de una de las cuestiones más polémicas en los trabajos preliminares de la Comisión
Europea. La adopción del registro único no debería ser apoyada por España. No parece estar justificado un reparto de los ingresos fiscales procedentes de este tipo de operaciones en función de
las preferencias de los operadores por el registro en uno u otro país. Parece más conveniente el
registro obligatorio en todos los países en los que se opera, Facilitando, eso sí, al máximo los trámites formales de dicho registro.
Podría establecerse un procedimiento de registro múltiple en la UE, de carácter automático,
aprovechando las tecnologías de la información y que facilite al máximo el cumplimiento voluntario de las obligaciones tributarias a los operadores no comunitarios.
Pero, ¿quién entrará voluntariamente en este juego? ¿Dónde radicará la legitimación para
obligar a terceros?:
Se debería sentar la posibilidad de que los sujetos pasivos de IVA que operan desde terceros
países, designen un solo representante fiscal en la UE (acreditarlo ante una sola Administración
fiscal) que sea reconocido en toda la UE (pasaporte fiscal), con obligación de ingresar en el Estado miembro de consumo.
Identificación del destinatario de las operaciones. Los operadores no comunitarios deben
dar un tratamiento tributario diferente a las prestaciones de servicios de comercio electrónico, según que los destinatarios sean empresarios o consumidores finales. Si son empresarios, no deben
repercutir ni ingresar el IVA (se produce la inversión del sujeto pasivo). Si son consumidores finales, deben repercutirles el impuesto e ingresarlo. Por consiguiente, debe establecerse un sistema
claro y rápido que permita al prestador no comunitario discernir, sin dificultad, si el destinatario
comunitario es empresario o consumidor final. La extensión del NIF/IVA para todos los sujetos
pasivos del IVA en el seno de la UE podría ser una solución a este problema. A este respecto, debe
tenerse en cuenta que no todos los empresarios tienen la consideración de sujetos pasivos. Al mismo tiempo se necesitará un procedimiento en tiempo real para la comprobación del NIF/IVA comunicado por el destinatario:
Establecer un sistema de acreditación inspirado en el NIF/IVA, para todos los empresarios
o profesionales de la UE, con independencia de la realización de determinadas operaciones intracomunitarias, de forma que se pudiera garantizar a los prestadores de los servicios la condición
de los destinatarios, salvaguardando la distinción entre los operadores comunitarios que realizan
operaciones intracomunitarias exentas y aquéllos que no realizan dichas operaciones.
Control de las prestaciones de servicios efectuadas online por operadores no comunitarios
para consumidores finales de la UE. Se hace necesario contar con herramientas que permitan un control eficaz de estas operaciones. Sin perjuicio de los mecanismos de control que se abordan específicamente más adelante, debería establecerse una medida coercitiva consistente en establecer algún
tipo de responsabilidad que recaiga sobre el destinatario de tales servicios cuando no se haya repercutido el IVA, en la línea de la medida adoptada para los servicios de telecomunicaciones.
Utilización efectiva de los servicios online para consumidores finales comunitarios. En las
prestaciones de servicios de comercio electrónico para consumidores finales el problema consiste
en determinar si el consumo se produce en la UE. La determinación del lugar de consumo debe,
además, poderse verificar de forma segura, puesto que de lo contrario el consumidor se limitaría
a comunicar al empresario proveedor del servicio un domicilio fuera de la UE. A este respecto,
deben establecerse criterios claros para concretar cuándo un servicio prestado online por un empresario no comunitario a un consumidor final se utiliza en la UE. Podría establecerse un sistema
Marco jurídico 179
de presunciones iuris tantum, similar al aplicado para los servicios de telecomunicación, es decir, atendiendo al domicilio del destinatario o al lugar en que se ubica la sucursal bancaria desde
la que se efectúa el pago:
Establecer en la normativa interna una presunción iuris tantum, similar a la aplicable a los servicios de telecomunicación, presumiendo que se efectúa la utilización material de los servicios de comercio electrónico en el ámbito de la UE y, consecuentemente, de cualquier Estado miembro de aquélla,
cuando el destinatario disponga en dicho territorio de su domicilio habitual o cuando efectúe el pago de
los referidos servicios con cargo a una cuenta bancaria de una entidad ubicada en el mismo.
Relevancia del concepto de establecimiento permanente para el IVA. Las reformas que se
proponen a las reglas de localización del IVA tienden a reducir el ámbito de aplicación de la regla
de sede del prestador y, en consecuencia, la relevancia del concepto de establecimiento permanente. Pero seguirá siendo imprescindible para localizar las prestaciones de servicios que realicen
operadores comunitarios, así como para determinar si los operadores no comunitarios disponen de
un establecimiento permanente en la Comunidad Europea y, por lo tanto, pueden operar desde él
sin necesidad de registrarse en cada uno de los países. Como ya se ha mencionado anteriormente,
sobre este concepto existe jurisprudencia del Tribunal de justicia de las Comunidades Europeas,
de la cual se desprende una interpretación estricta, exigiendo la concurrencia de medios humanos
y materiales, cierta autonomía en la contratación y contribución efectiva a la prestación del servicio sin limitarse a meras tareas de mediación. Cuando no considera reunidos estos requisitos, se
inclina por imputar una prestación de servicios a la sede central del prestador y no a su establecimiento permanente. Bajo estas premisas parece descartable que, por ejemplo, a efectos del IVA,
una página web constituya un establecimiento permanente.
Desde nuestra perspectiva mucho menos comprometida y militante que lo expresado por la
Secretaría de Estado de Hacienda en su Informe sobre el impacto del comercio electrónico en la
fiscalidad española, no podemos por menos de manifestar un profundo escepticismo sobre la viabilidad de aplicar imposición indirecta en las operaciones en la Red. El propio Informe de la Secretaría de Estado apunta las peculiaridades y dificultades que se derivan de la desubicación especial y a pesar de ello se introduce en una complicada vereda de registros, identificación del destinatario final en función de su carácter de empresario (B2B) o consumidor final (B2C), establecimientos permanentes, identificación de los operadores no comunitarios, etc. No podemos pecar de
ingenuos, el proyecto así planteado es absolutamente inviable porque “al mar no se le puede poner
barreras” y la tributación debe responder a criterios globales y métricos. Sobre el particular no debemos olvidar las siguientes consideraciones que sí parecen ser olvidadas, por no decir obviadas,
por parte de la referida Secretaría de Estado:
- En muchos países no se practica la Imposición Indirecta, ni tan siquiera el tan generalizado IVA. (Como muestra basta señalar a los EEUU).
- Bastante problema existe en el plano real con los Paraísos Fiscales (basados en planteamientos tributarios asimétricos) como para establecer un sistema en el plano virtual
que generalice el problema.
- La fiscalidad internacional debe basarse, en principios generales que garanticen planteamientos simétricos de igual carga para igual operación sea cual sea el lugar o la personalización de los sujetos participantes, y ello en aras al más elemental principio de
justicia recaudatoria.
Por todo lo expuesto no podemos por menos de concluir que el sistema descrito en base a
los principios de la U.E. no lo consideramos viable. El sistema basado en los planteamientos de la
OCDE es más realista, sin llegar a la perfección y la posición más correcta es la adaptada por los
EEUU, de aplicar una moratoria fiscal hasta octubre de 2001 promulgada en la Tax Freedom Act
(que se supone prorrogable) y en contra de la posición reiteradamente en contrario por parte del
180
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Informe que venimos exponiendo, porque de lo último que se puede pecar al abordar sistemas impositivos es de ingenuidad y mucho de lo expuesto hasta ahora nos ha sonado a “música celestial”
y voluntarismo técnico tributario.
Quizás deberíamos replantear la posibilidad de un sistema basado en el “bit tax” planteado
por los EEUU, donde la tendencia más realista es adoptar la tributación en origen como regla general para las operaciones telemáticas.
En el campo de los impuestos indirectos -IVA- los problemas se repiten a la hora de definir
un sistema impositivo general y razonable. Gran dificultad de localizar al sujeto, y la situación se
agrava debido a que ni tan siquiera se puede identificar con facilidad el propio hecho que genera la
obligación de pagar impuestos. La causa de este grave problema radica en que la operación completa de compra-venta o de prestación de servicios se puede realizar sin salir de la red.
La tipología básica que pueden revistir las transacciones es en función del producto vendido
(operaciones on line y off line) como en función de los sujetos que intervienen (de empresa a empresa -business to business- o de empresa a consumidor -business to consumer-).
El comercio on line suele entenderse como el suministro de productos en formato digitalizado
a través de la propia red: programas de ordenador, música, libros digitalizados que, en tiempo real,
se descargan en el ordenador del usuario tras haber pagado el producto.
El suministro off line abarca la entrega de productos tangibles usando medios de transporte
convencionales, vendidos a través de la red.
Principalmente la problemática surge con el comercio “on line”. Se entenderán sometidas
a IVA en España en función de unas reglas similares a las establecidas para los servicios de telecomunicaciones.
DESCARGA DE PRODUCTOS ON-LINE = PRESTACIÓN DE SERVICIOS:
• Cuando la operación se realiza entre empresarios, tributará por IVA en el territorio en
que radique la sede del destinatario del servicio a través del ya conocido mecanismo de
la inversión del sujeto pasivo.
• Cuando la operación se realice entre un empresario establecido en el territorio de aplicación del IVA español y un particular que consuma el producto en cualquier Estado miembro de la CE, tal servicio quedará sujeto a IVA español. Si el empresario-vendedor radica
en otro Estado de la UE y el consumidor en España, la transacción tributará por el IVA
del país donde se encuentre el proveedor.
• Si el empresario vendedor radica en territorio español de IVA pero el destinatario es un consumidor situado fuera de la UE, no existirá tributación por IVA español. Cuando el empresario vendedor se encuentra fuera de la UE y el destinatario del producto en territorio español de aplicación de IVA, se prevé establecer la obligación de identificarse a efectos de IVA
en España y repercutir e ingresar el impuesto como se tratara de empresarios locales.
• Conclusiones:
El consenso internacional se presenta como una solución que tarde o temprano tendrán que adoptar los
países con el fin de evitar una implantación en cascada de impuestos sobre el comercio electrónico.
Internet y el comercio electrónico son imparables y establecer impuestos por temor a la pérdida de recaudación no parece que sea la receta apropiada. Por el contrario, no establecer impuestos sobre la Red beneficia el crecimiento de ingresos, así como gente mejor preparada.
En los intercambios comerciales y económicos aparecen nuevos “sujetos intermediarios”
-entidades de certificación de las firmas digitales, servidores y entidades financieras que permiten el pago- que pueden convertirse en los nuevos puntos de referencia desde los que obtener
la necesaria información tributaría a efectos censales y establecimiento de tasas operativas, por
ejemplo.
Marco jurídico 181
3.3. Los incentivos fiscales para fomentar la investigación y el desarrollo y la aplicación
de las innovaciones tecnológicas
Los INCENTIVOS FISCALES son excepciones dentro del marco fiscal y tributario para promover unas determinadas actividades y conductas por parte de los sujetos económicos (principalmente productores y consumidores) que facilitan la reducción de la carga tributaria normal.
Los incentivos fiscales deben diferenciarse de las SUBVENCIONES por su naturaleza y por
su cronología, aunque al final el resultado sea el mismo mediante su impacto en los Presupuestos
Generales del Estado. La subvención está vinculada siempre a un hecho a potenciar, mientras que
el incentivo fiscal es consecuencia de unos hechos anteriores. Mientras éstos generan un menor
ingreso para el Estado (en cualquiera de sus niveles administrativos), las subvenciones son una
aplicación particular de unos ingresos previamente obtenidos.
EN EL TIEMPO
EN LOS PRESUPUESTOS
GENERALES
INCENTIVO
FISCAL
EX – POST
REDUCE EL INGRESO DEL
ESTADO
SUBVENCIÓN
EX – ANTE
AUMENTA EL GASTO DEL
ESTADO
AMBOS
EJEMPLO:
REDUCEN EL SALDO NETO DE LOS PRESUPUESTOS
GENERALES
SITUACIÓN FISCAL DE UNA SOCIEDAD AL CIERRE DEL
EJERCICIO DESDE LA PERSPECTIVA DEL IMPUESTO SOBRE
SOCIEDADES (I.S.).
- Base Imponible (B.I.): 120.000. euros.
- Cuota Íntegra (35% B.I.): 42.000. euros.
Esta empresa desarrolló un proyecto de I+D por un importe de 60 mil euros.
- Deducción por I+D (35% 60.000.): 21.000. euros.
- Cuota líquida final = 42.000. – 21.000. = 24.000. euros.
La operación ha supuesto un ahorro fiscal para la empresa de 3 millones de Ptas. y en consecuencia un menor ingreso para el Estado. En síntesis ha supuesto una reducción del tipo impositivo del I.S. desde el 35% inicial al 20% resultante.
• Investigación científica e innovación tecnológica
Los sujetos pasivos del I.S. tienen derecho a deducir de la cuota líquida del impuesto por las inversiones y gastos que realicen en actividades de investigación y desarrollo (I+D) de nuevos productos o procedimientos industriales y de innovación tecnológica (IT).
Los conceptos que vamos a manejar a lo largo de este epígrafe se encuentran regulados en
el artículo 33 de la Ley 43/1995, de 27 de diciembre, del Impuesto sobre Sociedades según redacción dada por la Ley 55/1999, de 29 de diciembre, de Medidas Fiscales, Administrativas y del
Orden Social.
Actividades de investigación y desarrollo (I+D):
182
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
∑ Concepto de investigación: Es la indagación original y planificada que persigue descubrir nuevos conocimientos y una superior comprensión en el ámbito científico o tecnológico.
∑ Concepto de desarrollo: Es la aplicación de los resultados de la investigación o de cualquier
otro tipo de conocimiento científico para la fabricación de nuevos materiales o productos
o/y para el diseño de nuevos procesos o sistemas de producción, así como para la mejora
tecnológica sustancial de materiales, productos, procesos o sistema preexistentes.
La LIS establece de forma expresa determinadas actividades que se consideran desarrollo:
∑ La materialización de los resultados de la investigación en un plano, esquema o diseño.
∑ Creación de un primer prototipo no comercializable.
∑ Proyectos de demostración inicial o proyectos piloto, siempre que los mismos no puedan
convertirse o utilizarse para aplicaciones industriales o para su explotación comercial.
∑ Diseño y elaboración del muestrario para el lanzamiento de los nuevos productos.
∑ La concepción de “software” avanzado, esto es, que suponga un progreso científico
o tecnológico significativo mediante el desarrollo de nuevos teoremas y algoritmos o
mediante la creación de sistemas operativos y lenguajes nuevos.
En el caso específico del “software avanzado” por sus especiales características de inmaterialidad (no tangible) se excluyen expresamente del ámbito de la deducción fiscal, las actividades
normales o rutinarias relacionadas con la mera generación de software.
Actividades de innovación tecnológica (IT):
∑ Concepto de innovación tecnológica: A los efectos de la deducción se considera como
IT la actividad cuyo resultado es la obtención de nuevos productos o procesos de producción, o de mejoras sustanciales, tecnológicamente significativas, de productos o
procesos de producción ya existentes. Son nuevos productos aquéllos cuyas características o aplicaciones, desde el punto de vista tecnológico, difieran sustancialmente de
las existentes con anterioridad.
La LIS considera también como actividades de IT y, por tanto, merecedoras de la deducción, las siguientes:
∑ La materialización de los resultados de la innovación en un plano, esquema o diseño.
∑ Creación de un primer prototipo no comercializable.
∑ Proyectos de demostración inicial o proyectos piloto siempre que los mismos no puedan
convertirse o utilizarse para aplicaciones industriales o para su explotación comercial.
∑ El diagnóstico tecnológico tendente a la identificación, definición y orientación de soluciones tecnológicas avanzadas realizadas por Universidades, Organismos públicos de
Investigación o Centros de Innovación y Tecnología, reconocidos y registrados como
tales según el RD 2609/1996, cualquiera que fuese el resultado de estas actividades.
De toda la actividad del IT, cuatro son los gastos del período susceptibles de acogerse a la
deducción, los relativos a los conceptos siguientes:
1. Proyectos cuya realización se encargue a Universidades, Organismos Públicos de
Investigación o Centros de Innovación y Tecnología, reconocidos y registrados como
tales según el RD 2609/1996.
2. Diseño industrial e ingeniería de procesos de producción, que incluirán la concepción y
la elaboración de los planos, dibujos y soportes destinados a definir los elementos descriptivos, especificaciones técnicas y características de funcionamiento necesarios para
la fabricación, prueba, instalación y utilización de un producto.
Marco jurídico 183
3. Adquisición de tecnología avanzada en forma de patentes, licencias, “know-how” y
diseños. Condiciones:
•
La adquisición no debe realizarse por una persona o entidad vinculada a la empresa
que se acoge a la deducción.
•
La base de la deducción por este concepto no puede superar los 50 millones de
pesetas anuales.
4. Obtención del certificado de cumplimiento de las normas de aseguramiento de calidad
de la serie ISO 9000, GMP o similares, sin que formen parte de la base de la deducción
los gastos por la implantación de dichas normas.
Actividades excluidas del concepto de I+D o innovación tecnológica (IT):
Expresamente, la LIS excluye de dicha consideración a las siguientes, sin que puedan considerarse a estos efectos, aunque formen parte de un proyecto global de I+D o de Implantación
Tecnológica:
1. Actividades que no implican una novedad científica o tecnológica sustantiva. En particular las de mejora o adaptación de la producción siguientes:
∑ Los esfuerzos rutinarios destinados a mejorar la calidad de productos o procesos de
producción.
∑ La adaptación de un producto o proceso de producción ya existente a los requisitos
específicos impuestos por un cliente.
∑ Los cambios periódicos o de temporada.
∑ Las modificaciones estéticas o menores de productos ya existentes para diferenciarlos
de otros similares.
2. Las actividades de producción industrial y provisión de servicios, o de distribución de
bienes y servicios. En particular las actividades:
∑ La planificación de la actividad productiva.
∑ La preparación y el inicio de la producción.
∑ El reglaje de herramientas y otras actividades distintas del diseño industrial y la
ingeniería de procesos de producción.
∑ La incorporación o modificación de instalaciones, máquinas, equipos y sistemas
para la producción.
∑ La solución de problemas técnicos de procesos productivos interrumpidos.
∑ El control de calidad y la normalización de productos y procesos.
∑ Los estudios de mercado y el establecimiento de redes o instalaciones para la
comercialización.
∑ El adiestramiento y la formación del personal relacionadas con todas estas
actividades.
3. La prospección en materia de ciencias sociales y la explotación e investigación de
minerales e hidrocarburos.
Distinción entre actividades de I+D y las de Implantación Tecnológica (IT):
ACTIVIDADES DE I+D: Aquellas que se realizan para introducir un producto o proceso
nuevos en el mercado y que implican una novedad tecnológica importante en el ámbito mundial.
184
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
ACTIVIDADES DE IMPLANTACIÓN TECNOLÓGICA (IT): Son las actividades que
se realizan para introducir en el mercado un nuevo producto o proceso productivo, así
como la mejora sustancial de los productos y procesos ya existentes, siempre que representen un verdadero reto tecnológico, aunque no implique ninguna novedad tecnológica en el sector de actividad.
La diferencia entre I+D e I.T. estriba en el impacto tecnológico en términos de novedad.
ASPECTOS A CONSIDERAR
- TERRITORIALIDAD. Son deducibles los gastos soportados por actividades realizadas en territorio español y las correspondientes actividades en el extranjero, siempre
que éstos no superen el 25% del total. Se entiende por actividades desarrolladas en el
extranjero lo hecho fuera, no las compras realizadas fuera.
- TIEMPO: Un proyecto puede desarrollarse a lo largo de varios ejercicios fiscales y la
imputación de cada ejercicio dependerá de los gastos efectivamente soportados por
estos conceptos durante el mismo.
- SUBVENCIONES: La base de la deducción se minorará en el 65% de las subvenciones
recibidas para el fomento de las actividades de I+D/IT y además serán imputadas en su
totalidad como ingreso del periodo impositivo correspondiente. En el caso de empresas
de reducida dimensión en el sector de las nuevas tecnologías, la base de la deducción se
minorará en el 100% de las subvenciones recibidas (art. 33 bis de la Ley del I.S. según
la redacción de la Ley 55/1999 de 29 de diciembre).
- CONTABILIDAD/FISCALIDAD:
a) Base Imponible: se calcula a partir del resultado contable y en consecuencia los gastos deducibles son los contabilizados según la Norma 5ª del Plan General Contable
(PGC).
b) Libertad de amortización del Inmovilizado si se encuentra afecto a actividades de I+D
en un 100%. Si su vinculación es parcial, la libertad de amortización se limita a la proporcionalidad resultante, mediante prorrateo.
c) Activación de gastos de I+D/IT para todos los conceptos en la cuenta correspondiente
al Inmovilizado Inmaterial (cuenta 210) sin que por ello cambie su naturaleza de gasto
en I+D/IT a efectos de deducción fiscal. En caso de preceder a la activación contable
como Activo Inmaterial se debe prestar atención al PRINCIPIO CONTABLE DE PRUDENCIA VALORATIVA, puesto que el PGC exige para ello el escrito técnico y la rentabilidad económica, aspectos los dos de difícil apreciación a priori.
• Empresas que se pueden beneficiar de la deducción
En general todas las empresas con independencia del sector de su actividad. Como casos especiales cabe destacar las siguientes:
a) EMPRESAS DE NUEVA CREACIÓN. Para estas empresas se establece un plazo para
aplicar la deducción de 10 años, como sucede con el resto, con la diferencia que el inicio de dicho periodo se traslada al primer ejercicio fiscal que generen beneficios, siempre que ello se produzca en el término de prescripción fiscal que actualmente es de 4
años, a partir del inicio de su actividad.
b) EMPRESAS QUE DESARROLLAN I+D PARA EMPRESAS EXTRANJERAS sin
establecimiento permanente en España. Para estas empresas no se aplica el CRITERIO
DE FINANCIAMIENTO (ver más adelante) y podrán considerar como gastos de I+D
Marco jurídico 185
los gastos asociados a proyectos encargados por empresas extranjeras (consulta vinculante a la DGT de 29-oct-1998).
c) EMPRESAS FILIALES DE MULTINACIONALES establecidas en España que realicen actividades de I+D desde España para otros establecimientos en el extranjero (ver
misma consulta anterior).
d) EMPRESAS EN PÉRDIDAS. Se aplicará el mismo criterio temporal descrito en el
apartado a) anterior si aportan nuevos recursos, no teniendo esta consideración la
ampliación de capital con cargo a reservas (por no tratarse de una nueva aportación).
e) EMPRESAS DE REDUCIDA DIMENSIÓN.
La deducción trata de fomentar el uso de nuevas tecnologías en las entidades consideradas
como empresas de reducida dimensión (que facturen menos de 3 M de euros) consistente en una
deducción en la cuota líquida del 10% del importe de las inversiones y gastos realizados en el periodo impositivo que estén relacionados con la implantación o mejora de las tecnologías utilizadas
en la información y comunicación de la empresa.
En particular, los siguientes:
a) Acceso y presencia en Internet, que incluyen:
- Adquisición de equipos y terminales, con su software y periféricos asociados, para
la conexión a Internet y acceso a facilidades de correo electrónico, así como para el
desarrollo y publicación de páginas y portales web.
- Adquisición de equipos de comunicaciones específicos para conectar redes internas
de ordenadores a Internet.
- Realización de trabajos, internos o contratados a terceros, para el diseño y desarrollo
de páginas y portales web.
- Instalación e implantación de dichos sistemas.
- Formación del personal de la empresa para su uso.
b) Comercio electrónico, que incluyen:
- Adquisición de equipos y terminales, con su software y periféricos asociados, para
la implantación del comercio electrónico a través de Internet con las adecuadas
garantías de seguridad y confidencialidad de las transacciones, así como para la
implantación del comercio electrónico a través de redes cerradas formadas por
agrupaciones de empresas, clientes y proveedores.
- Instalación e implantación de dichos sistemas.
- Formación del personal de la empresa para su uso.
c) Incorporación de las tecnologías de la información y de las comunicaciones a los procesos industriales, que incluyen:
- Adquisición de equipos y paquetes de software específicos para la interconexión de
ordenadores, la integración de voz y datos y la creación de configuraciones intranet,
así como la adquisición de paquetes de software para su aplicación a procesos
específicos de gestión, diseño y producción.
- Instalación e implantación de dichos sistemas.
- Formación del personal de la empresa para su uso.
En las empresas de reducida dimensión, los gastos por compras de tecnologías de la información y de las comunicaciones (TIC’s) no deberán estar necesariamente adscritas a un proyecto
para poder aplicar la deducción fiscal.
186
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
IDENTIFICACIÓN DE LOS GASTOS ASOCIADOS A CADA PROYECTO
Son aquéllos comprendidos en cualquiera de los cinco grupos siguientes:
1. AMORTIZACIÓN DE ACTIVOS FIJOS (con dedicación total o parcial a actividades
de I.T. o I+D). Las cuentas de amortización de estos activos, como por ejemplo ordenadores, equipos de laboratorio, etc., podrán reducirse mediante un prorrateo en función del tiempo dedicado a I+D o I.T. durante el ejercicio, siempre que las cuentas de
amortización estén debidamente contabilizadas.
Ejemplo: una empresa realiza en 2001 las siguientes adquisiciones:
a) Un edificio para dedicarlo a laboratorio de investigación; valor de 600.000. euros sin
incluir el terreno. (Máximo de amortización 2%).
b) Equipamiento de laboratorio por importe de 300.000. euros. (coeficiente máximo de
amortización 12%).
El laboratorio entra en funcionamiento en agosto (periodo útil a efectos de amortización 5
meses) y los gastos de funcionamiento ascienden a 120.000. euros. en este periodo.
Base de la deducción por I+D:
2% · 5/12 · 600.000. euros.
+
12% · 5/12 · 300.000 euros.
+
240.000. euros.
TOTAL BASE
2. GASTOS DE PERSONAL, correspondientes a los empleados que la empresa dedica a
actividades de I+D/I.T. incluyendo el coste bruto. Aquellos empleados que tengan dedicación exclusiva a estas actividades darán derecho a una deducción adicional del 10%
sobre su coste bruto para la empresa.
3. ACTIVIDADES REALIZADAS POR TERCEROS. Se considera como gastos susceptibles de deducción los importes de las facturas de terceros por la subcontratación de
actividades de I+D/I.T., por la compra de tecnología avanzada o por la obtención de un
certificado de calidad. Si la subcontratación recae en una Universidad o Centro Tecnológico, cabe una deducción adicional del 10%.
4. GASTOS PARA LA CREACIÓN DE MUESTRARIOS DE NUEVOS PRODUCTOS,
siempre que se distribuyan como muestras gratuitas sin valor comercial por entenderse
que es gasto equiparable a divulgación tecnológica.
5. OTROS, siempre que estén vinculados necesariamente a proyectos de I+D/I.T.; primeras materias y aprovisionamientos.
• Identificación documental de los gastos susceptibles de deducción
Los GASTOS EXTERNOS se identifican mediante su correspondiente factura identificada y vinculada al proyecto concreto y además las facturas deben estar debidamente contabilizadas. A efectos de identificación resulta aconsejable la existencia de un contrato previo con el tercero.
Los GASTOS INTERNOS es conveniente que se documenten mediante INFORMES que
recojan la siguiente información:
- Nombre del proyecto.
- Razones por las que se clasifica como I+D o bien como I.T. y novedades que aporta.
Marco jurídico 187
- Calendario del desarrollo del proyecto y las incidencias habidas.
- Detalle de los gastos internos con especial atención al personal destinado parcial o
totalmente.
- Conclusión y evaluación del proyecto (a pesar de que la deducción no está condicionada al éxito del mismo).
Lógicamente los gastos internos también deben estar correctamente contabilizados.
Base de la deducción:
Es el importe de los gastos efectuados por estos conceptos en el periodo impositivo.
Casos particulares:
∑ Actividades subvencionadas: cuando la actividad esté subvencionada la base de la
deducción se minorará en el 65% de las subvenciones recibidas para el fomento de
dichas actividades e imputadas como ingreso en el periodo impositivo.
∑ Actividades realizadas por encargo: también tienen la consideración de gastos de I+D
o de IT las cantidades pagadas a terceros para la realización de dichas actividades en
España. Según la residencia de la entidad que encarga la realización del proyecto y de
la entidad que lo ejecuta, pueden darse las siguientes situaciones:
∑ Ambas entidades residen en territorio español: será la entidad que encarga la
realización del proyecto quien tenga el derecho a practicar la deducción. La entidad
que ejecuta el encargo ha de realizar la actividad investigadora en territorio español.
∑ La entidad que encarga la actividad reside en territorio español y la entidad que lo
ejecuta en el extranjero: no podrá aplicarse deducción alguna en la medida en que la
actividad no se realiza en España.
∑ La entidad que encarga la actividad reside en el extranjero y la entidad que lo ejecuta
reside en territorio español: al ser extranjera la entidad que satisface la actividad, no
puede atraer para sí la aplicación de la deducción, por lo que corresponde aplicarla
a la que ejecuta el encargo.
Porcentajes de deducción:
1. Actividades de I+D:
∑ Con carácter general: el 30% de los gastos efectuados en el periodo impositivo por
este concepto.
∑ Cuando los gastos del período sean superiores a la media de los efectuados en los
dos años anteriores, se aplicará el 30% sobre la media y el 50% sobre los gastos del
período que excedan de esa media.
∑ Podrá aplicarse otra deducción adicional del 10% sobre los gastos del período
impositivo que correspondan a:
∑ Gastos de personal de la entidad correspondientes a investigadores cualificados
adscritos en exclusiva a actividades de I+D.
∑ Gastos que correspondan a proyectos de I+D contratados con Universidades,
Organismos públicos de Investigación o Centros de Innovación y Tecnología,
reconocidos y registrados como tales según el RD 2609/1996.
2. Actividades de innovación tecnológica:
∑ El 15% cuando se trate de gastos por proyectos cuya realización se encargue a
Universidades, Organismos públicos de Investigación o Centros de Innovación y
Tecnología, reconocidos y registrados como tales según el RD 2609/1996.
188
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
∑ El 10% cuando se trate de gastos de IT que correspondan, exclusivamente, a los
siguientes conceptos: diseño industrial e ingeniería de procesos de producción;
adquisición de tecnología avanzada en forma de patentes, licencias, “know-how” y
diseños; obtención del certificado de cumplimiento de las normas de aseguramiento
de la calidad de la serie ISO 9000, GMP o similares.
Coeficientes límite:
Con carácter general está establecido un coeficiente límite del 35% de la cuota íntegra para
el conjunto de las modalidades de deducción. Sin embargo, su valor será del 45% cuando se manifiesten conjuntamente las siguientes condiciones:
∑ Que el sujeto pasivo tenga gastos efectuados en el propio período impositivo correspondientes a I+D e IT.
∑ Que el importe de la deducción correspondiente exclusivamente a los gastos de dichas
actividades exceda del 10% de la cuota íntegra minorada en las deducciones para evitar la doble imposición interna e internacional y las bonificaciones (cuota líquida).
LAS CONSULTAS PREVIAS A LA ADMINISTRACIÓN
Con el fin de facilitar y fomentar el uso de las deducciones que venimos comentando, la Administración ha optado por incorporar a la normativa dos medidas que tienden a conseguir la necesaria
seguridad jurídica en un campo que por su novedad puede plantear dudas generalizadas tanto en
lo conceptual como en su operativa.
La consulta vinculante:
La Dirección General de Tributos ofrece la posibilidad de contestar consultas vinculantes
relacionadas con los conceptos que venimos manejando; qué se entiende a efectos fiscales por investigación, desarrollo o innovación tecnológica. Sobre la consulta propuesta, la DGT deberá responder en el plazo máximo de 6 meses, o bien notificar que dicha respuesta aún está pendiente de
resolución. Contra la respuesta no cabe ningún tipo de recurso, aunque sí cabrá contra los actos
administrativos que se derivan por la aplicación de una deducción con criterio distinto a la posición manifestada por la DGT en su respuesta.
Tipología de las consultas:
a) CONSULTAS BREVES, se pueden plantear al teléfono 901.33.55.33 y las respuestas
tienen valor meramente informativo (no vinculante).
b) CONSULTAS COMPLICADAS, que precisen de análisis en profundidad se deben
dirigir a la Delegación de Hacienda de cada provincia al Departamento de Sociedades
de la A.E.A.T.
c) CONSULTAS ESCRITAS (vinculantes). Se deben dirigir a la Subdirección General
del Impuesto sobre Personas Jurídicas (c/ Alcalá 5, Madrid 28015). Para más información se puede llamar al teléfono 91.595.00.00.
ACUERDOS PREVIOS DE VALORACIÓN
Para reducir la incertidumbre por parte de las empresas que deseen acogerse a este tipo complejo de deducciones, la norma prevé la posibilidad de llegar a acuerdos previos de valoración de
las deducciones con el Departamento de Inspección Financiera y Tributaria de la A.E.A.T.
Estos acuerdos tienen como fin valorar la cuantía de los gastos que se pueden asociar a actividades de I+D o de I.T. El procedimiento se inicia a petición del contribuyente y debe hacerse
antes de que se efectúe el gasto. La información a detallar en el escrito de petición de acuerdo será
como mínimo la siguiente:
a) Datos identificativos de la empresa.
Marco jurídico 189
b) Descripción e identificación del proyecto.
c) Propuesta de valoración y vigencia del proyecto, que nunca será superior a 3 años.
La falta de resolución expresa por parte del Departamento de Inspección financiera y Tributaria en el plazo de 6 meses se entiende en sentido de “silencio positivo” como aceptación de la
propuesta. La respuesta expresa puede aceptar la propuesta del solicitante, proponer otra alternativa o desestimarla sin más. La resolución no es objeto de recurso.
DEDUCCIÓN DE GASTOS EN FORMACIÓN PROFESIONAL
Con efectos para los periodos impositivos iniciados a partir del 25-06-2000, la deducción se
extiende también a los gastos efectuados con la finalidad de formar a los empleados en el uso de
nuevas tecnologías. Entre estos gastos se incluyen los realizados para proporcionar, facilitar o financiar su conexión a Internet, así como los derivados de la entrega gratuita, o a precios rebajados,
o de la concesión de préstamos o ayudas económicas para la adquisición de los equipos y terminales necesarios para acceder a la conexión, con su software y periféricos asociados, incluso cuando el uso de tales equipos por los empleados se realiza fuera del lugar y horario de trabajo. Estos
gastos serán fiscalmente deducibles para la empresa en la medida en que estén contabilizados, sin
que impliquen para el trabajador la obtención de rendimientos de trabajo.
Base de deducción:
El importe de los gastos efectuados por la empresa en el periodo impositivo, minorado en el
65% de las subvenciones recibidas si las hubiere.
Porcentaje de deducción:
Los porcentajes varían según sea el valor de los gastos en el periodo impositivo, en comparación con el valor medio de los gastos efectuados en los dos años anteriores:
- Cuando sea igual o inferior, el 5% para la totalidad de los gastos del periodo.
- Si es superior, el 5% hasta el valor medio y sobre el exceso el 10%.
Coeficiente límite:
La deducción no puede exceder del 35% o del 45% conjuntamente con las demás deducciones previstas en el capítulo IV del título de la LIS art. 33 a 37, antes expuestos y comentados.
CONSEJOS PRÁCTICOS
∑ Es importante IDENTIFICAR LA NATURALEZA DEL PROYECTO susceptible de
deducción; I+D, I.T. o función vinculada con TIC’s.
∑ Hay que asociar los gastos externos e internos a cada proyecto, lo cual puede suponer
una primera aproximación involuntaria a la contabilidad analítica.
∑ Los proyectos deben ser CORTOS y CONCRETOS. No es aconsejable englobar varios
en uno solo genérico por la confusión que ello puede acarrear respecto de las posibles
diferencias conceptuales de cada fuente.
∑ Los gastos, tanto los internos como los externos, se deben DOCUMENTAR. En el caso
de los gastos externos es necesario disponer de la factura identificativa del gasto y vinculante al proyecto y también es conveniente formalizar un contrato con el proveedor.
∑ Es conveniente plantear las CONSULTAS VINCULANTES Y LAS PROPUESTAS DE
VALORACIÓN antes del cierre del ejercicio fiscal, por cuanto la respuesta puede tardar
6 meses y es conveniente conocerla antes de la liquidación del Impuesto sobre Sociedades (I.S.), como máximo 6 meses y veinticinco días después del cierre del ejercicio.
190
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
EJEMPLO DE UNA INVERSIÓN EN NUEVAS TECNOLOGÍAS POR UNA SOCIEDAD
DE REDUCIDA DIMENSIÓN
Importe de la inversión realizada:
Compra de Hardware:
15.000 euros
Compra de Software:
2.700 euros
Cursos de formación:
1.200 euros
Total:
18.900 euros
Amortización de los elementos aplicando coeficientes máximos (primer año):
Amortización Hardware:
25%
3.750 euros
Amortización Software:
33%
891 euros
Al ser una empresa de reducida dimensión, las inversiones en elementos de inmovilizado
material nuevos pueden amortizarse, a efectos fiscales, al porcentaje que resulte de multiplicar por
1,5 el coeficiente de amortización lineal máximo previsto en las tablas de amortización:
Amortización incrementada
Hardware:
Amortización incrementada
Software:
25%x1,5
37,5%
5.625
33%x1,5
49,5%
1.336,5
Total amortización:
6.961,5
Efecto sobre el resultado en el primer ejercicio:
Beneficio sin haber realizado la inversión:
Supondremos que el resto del inmovilizado que tiene la sociedad es de 48.000. euros.
a) Ventas
2.300.000.
b) Coste Ventas
1.890.000.
c) Margen (a-b)
410.000.
d) Gastos generales
168.000
e) Amortización
48.000
f) Beneficio (c-d-e)
194.000
Cuota impuesto **
58.200
Bº neto después de impuestos
135.800.
Marco jurídico 191
A
** Al ser una empresa de reducida dimensión se aplica el 30% como tipo impositivo sobre los primeros 90.000 euros de beneficio y el 35% sobre el importe restante.
Beneficio habiendo realizado la inversión (según la ley 6/2000).
a) Ventas
b) Coste Ventas
c) Margen (a-b)
d) Gastos generales
e) Amortización
f) Beneficio (c-d-e)
Cuota impuesto **
Deducción 10%
Total impuesto
Beneficio neto después de impuestos
2.310.000
1.890.000
420.000
168.283
55.054
197.371
64.572
1.893
62.679
132.799
B
Importe total inversión:
Ahorro fiscal (A-B):
18.932
4.533
El 24% de la inversión en nuevas tecnologías se ahorra fiscalmente en el primer ejercicio.
CÁLCULO DE LAS DEDUCCIONES
1º Supuesto
Durante el ejercicio 2000 una empresa lleva a cabo un proyecto con el objetivo de introducir
un nuevo producto en el mercado.
Para ello y una vez definidos los objetivos previstos, decide firmar un contrato de asesoramiento tecnológico con una empresa privada.
Una vez realizado el primer proceso de indagación con el resultado de nuevos conocimientos y una mayor comprensión del campo objeto del proyecto, la empresa continúa con el desarrollo del mismo en los siguientes términos:
1. La coordinación y parte de la investigación del proyecto, así como la realización de ensayos, se realizarán en el propio departamento de I+D de la empresa, para lo cual se llevará a
cabo la adquisición de todo el material necesario y la contratación de servicios a terceros.
2. Se encargará a un centro Universitario la innovación tecnológica más avanzada y la
realización del primer prototipo.
La inversión de la empresa en actividades de I+D durante los dos años anteriores fue de
24.040 euros de media.
Al final del ejercicio los gastos imputables al proyecto ascendieron a un total de 170.687
euros que se desglosaron de la siguiente manera:
1. Coste del personal técnico: 57.096 euros (a efectos de aplicar una deducción adicional del 10% sobre los gastos de personal adscritos en exclusividad a dichas actividades, decir que el salario del jefe de proyecto (34.859 euros) está totalmente adscrito en
exclusividad).
2. Coste de los materiales consumidos en los ensayos realizados en el propio departamento: 4.508 euros.
192
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
3. Coste de los servicios externos contratados en concepto de asistencia técnica:
11.419 euros.
4. Coste del desarrollo técnico del proyecto contratado a un centro Universitario:
41.470 euros.
5. La amortización dotada en el ejercicio y correspondiente a todo el inmovilizado afecto al proyecto de I+D, así como el coste de toda la indagación y exploración inicial del
proyecto: 48,081 euros.
6. El coste de la realización del prototipo vinculado al proyecto: 8.114 euros.
La empresa ha recibido subvenciones para el fomento de actividades de I+D, que se imputarán como ingreso en el ejercicio 2002, de un importe de 17.580 euros (que cubrirán el 25% de
los costes para la investigación tecnológica encargada al centro universitario, es decir, 10.367,euros, y el 15% de los costes de investigación iniciales contratados a una empresa externa, es decir, 7.212 euros).
2º Cálculo de la base de deducción:
Se considerarán gastos a efectos fiscales:
1. Son gastos considerados a efectos fiscales como gastos de investigación y desarrollo:
a) Coste del personal técnico.
b) Coste de los materiales consumidos en los ensayos.
c) Asistencia técnica contratada.
d) Coste del desarrollo técnico realizado por un centro público.
2. Son gastos considerados como de investigación tecnológica:
a) El coste inicial de exploración del proyecto.
b) El coste de realización del proyecto.
Para calcular la base de la deducción, hay que tener en cuenta aquellas partidas de gasto que
han sido subvencionadas, ya que en este caso, dicha partida deberá reducirse en un 65% del importe de dichas subvenciones.
Cálculo de la base de deducción:
GASTOS EN INVESTIGACIÓN Y DESARROLLO:
Personal (Pto.1): 57.096 euros (34.859 euros imputables al jefe en exclusividad del proyecto).
Materiales consumidos (Pto. 2): 4.508 euros.
Asistencia técnica (Pto.3): 11.419 euros.
Desarrollo técnico realizado por el centro universitario (hay que tener en cuenta la subvención) (Pto.4): 41.470 euros – (65%x10.367 (subvención)) = 34.731 euros.
TOTAL GASTOS EN I+D = 107.754 euros.
Tienen derecho a una deducción adicional:
Investigadores adscritos en exclusividad al proyecto: 34.859 euros. (Pto.1).
Actividades de desarrollo técnico contratado al centro universitario: 34.751 euros.
TOTAL GASTOS CON DEDUCCIÓN ADICIONAL: 69.590 euros.
GASTOS EN INNOVACIÓN TECNOLÓGICA:
Costes iniciales del proyecto (hay que tener en cuenta la subvención) (Pto. 5): 48.081 –
(65% x7.212 (subvención)) = 43.393 euros.
Coste de realización del prototipo (Pto.6): 8.144 euros.
Marco jurídico 193
TOTAL GASTOS EN INVESTIGACIÓN TECNOLÓGICA: 51.507 euros.
3º Cálculo de las deducciones aplicables:
DEDUCCIÓN APLICABLE A LOS GASTOS DE I+D:
Sobre el importe medio de gasto de los dos años anteriores se aplicará un 30% y sobre el
exceso un 50%. Dado que la inversión en I+D de los dos años anteriores supuso una media de
24.0440,- euros:
a) Sobre la media: 24.0440 x 30% = 7.212 euros.
b) Sobre el exceso: (107.754 – 24.040) x 50% = 41.857 euros.
Los gastos derivados del personal cualificado adscrito en exclusividad al proyecto (34.859
euros.) y los derivados del desarrollo técnico contratado a un centro universitario (34.731 euros.)
tienen una deducción adicional del 10%. De esta manera:
c) (34.859 + 34.731) x 10% = 69.590 x 10% = 6.959 euros.
TOTAL DEDUCCIÓN SOBRE GASTOS EN I+D = a + b + c = 56.028 euros.
DEDUCCIÓN APLICABLE A LOS GASTOS DE INNOVACIÓN TECNOLÓGICA:
El coste inicial de explotación tienen una deducción del 10% con el límite de 300.506 euros.
Por tanto:
a) 43.393 x 10% = 4.339 euros.
Los gastos derivados de la contratación a un centro público de la realización del prototipo
tienen una deducción del 15%. De esta manera:
b) 8.114 x 15% = 1.217 euros.
TOTAL DEDUCCIÓN SOBRE GASTOS EN I.T. = a + b = 5.556 euros.
Total deducciones = 56.028 + 5.556 + 1.217 = 61.548 euros.
Límites a la deducción en el Impuesto sobre sociedades:
La deducción está limitada al 35% de la cuota íntegra del impuesto pero con la posibilidad
de llegar a ser un 45% si los gastos sujetos a deducción superan en un 10% dicha cuota íntegra.
Si suponemos que la base imponible del impuesto de la sociedad en el ejercicio (teniendo
en cuenta también la integración como ingreso de las subvenciones recibidas y la aplicación en
su caso de otras deducciones por doble imposición y bonificaciones, etc.) es de 171.288 euros,
la cuota del impuesto en este caso (aplicando el tipo general del 35% al no considerarse empresa
de reducida dimensión y, por tanto, sin posibilidad de aplicar un 30% sobre los primeros 90.152
euros de beneficio).
Cuota íntegra = 171.288 x 35% = 59.951 euros.
Como el total de gastos sujetos a deducción superan el 10% de la cuota íntegra (5.995 euros)
podemos aplicar el límite del 45%. De esta manera la máxima deducción en concepto de I+D e
I.T. será:
59.951 x 45% = 26.978 euros.
Por lo que del total de deducciones (61.548 euros) durante el ejercicio 2000 sólo nos podremos deducir 26.978,- euros y el exceso (34.570 euros) lo podremos ir deduciendo en los 10 ejercicios siguientes o en 5 ejercicios (según el caso) y siempre respetando el mismo límite. (Se aplicará
el límite de los 5 años en el caso de empresas que inicien el periodo impositivo con anterioridad
al 25 de junio del 2000 y 10 años si lo inician a partir de esta fecha).
194
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Con la deducción a aplicar la nueva cuota del impuesto de sociedades a pagar será:
59.951 – 26.978 = 32.973 euros (representa un tipo impositivo del 19.25%).
Y, por otra parte, se reduce el coste que representa para la sociedad dichas inversiones, consiguiéndose la máxima deducción si la sociedad consigue aplicar el exceso de deducción de este
ejercicio en los 10 años posteriores.
Comparación de la normativa anterior y la actual:
ANTERIOR
ACTUAL
20% S/media
40% S/exceso
30% S/media
50% S/exceso
% deducción adicional
-
10% según concepto
% deducción I.T.
-
10% / 15% según concepto
35%
35% / 45% según casos
% deducción I+D
% límite s/ cuota íntegra
CON EL EJEMPLO
Deducción total **
38.290 euros
61.548 euros
Deducción a aplicar**
20.983 euros
26.978 euros
** En I+D: (107.754 – 24.040) x 40% + 24.040 x 20% = 38.290 euros.
Total deducciones = 38.290 euros.
Aplicando el 35% de límite de la cuota íntegra: 59.951 x 35% = 20.983 euros.
4. Nombres de dominio
4.1. Concepto e historia
El registro de nombres de dominio es el mecanismo por el que se suscribe un usuario de un equipo
conectado a Internet a una dirección URL. En consecuencia los nombres de dominio son meros
referentes de direcciones sin tener en principio ninguna vinculación con una persona física o jurídica, una marca, un producto o servicio o segmento de mercado.
En resumen podemos concluir que se trata de una relación unívica entre una dirección URL
y un usuario de un equipo conectado a la red.
El sistema de nombres de dominio convierte los nombres (las direcciones) en un correspondiente número de IP necesario para que la información fluya adecuadamente a través de la Red. El
sistema internacional regulador del proceso se conoce como Domain Name System (DNS).
Internet, tal como la conocemos ahora bajo el protocolo WWW. (3W), es un sistema absolutamente descentralizado que funciona razonablemente bien, al margen de cualquier tipo de control por
parte de estados, gobiernos, empresas y organizaciones supranacionales. La excepción a la regla es el
organismo encargado de administrar las DNS y ello por estricta exigencia de la función, por cuanto
necesariamente alguien debía encargarse de regular la adjudicación de las direcciones. El organismo
encargado de ello en el origen fue la IANA (Autoridad de Números Asignados en Internet) que hasta
1998 gozó del rango de empresa pública neutral y fue gestionada por JOHN FOSTER de la Universidad del Sur de California. A partir de dicha fecha el Gobierno USA forzó la privatización de la empresa que define una estructura superior denominada ICANN (International Corporation for Asigned
Marco jurídico 195
Names and Numbers) y comienza a aplicarse el PRINCIPIO DE ADJUDICACIÓN conocido como
first come, first served (servir primero al primero que llega) y con ello se inicia la carrera de “registros
especulativos” dando pie a la figura del CYBEROKUPA, que prolifera lógicamente de modo alarmante. Este fenómeno, unido al hecho de que los criterios de la legislación sobre Marcas Registradas no
funcionan en Internet (nos referimos a los criterios de separación en función de emplazamientos físicos
o sectorización de mercados), ha propiciado en los últimos años una agresión generalizada al PRINCIPIO DE UNIVERSALIDAD que es uno de los pilares de Internet. A pesar de ello, resulta esencial que
los nombres de dominio estén al alcance de la gente y de las empresas normales. Otra de las carencias
que inciden sobre el particular consiste en la falta en Internet de algo parecido a una convención internacional al modo de las muchas que existen en torno a las Marcas Registradas.
El W3C (WWW COMITEE) se ha mantenido deliberadamente al margen de este conflicto
para evidenciar cómo y porqué el ÚNICO PUNTO INTERVENIDO genera trabas y disfunciones
en un SISTEMA DESCENTRALIZADO en todo lo demás, que además funciona razonablemente
bien sin controles de ningún tipo. El W3C entiende que el ICANN es un interesado atractor, si no
más, de las tensiones e intentos políticos por controlar la Red.
En opinión de Tim Berners Lee (padre del protocolo WWW); «el Web tan sólo tiene un “talón de Aquiles” centralizado mediante el cual puede ser hundido o centralizado», y lógicamente
se refiere al ICANN.19
4.2. Operativa del sistema
El DNS (Domain Names System) funciona como un conjunto jerarquizado de ordenadores que
pueden ser consultados para encontrar una determinada DIRECCIÓN DE INTERNET. En lo alto
de la jerarquía hay cinco ordenadores que almacenan la lista maestra. Los nombres de dominio
(las direcciones) se adjudican de un modo delegado (según una estructura piramidal). Los DOMINIOS DE ALTO NIVEL; .com, .org, .edu, .net, .mil, .int, y .gob, proporcionan indirectamente
control sobre todos los nombres de dominio que “cuelgan” de ellos. Además a la fecha de redacción de este texto se consideran también dominios de primer nivel todos los identificadores de países (dos letras), por ejemplo España .es y los genéricos .biz (octubre de 2001 para España), y .info
(septiembre de 2001 para España). Además están en ciernes los siguientes dominios de primer nivel; .aero, .coop, .pro y .museum. Con la implantación de todos ellos se conseguirá una segmentación sectorial de las direcciones, lo que lógicamente complicará exponencialmente las estrategias
de los “ciberokupas”. Y todo ello supone entre otras cosas el final del abrumador predominio de
las .com. Actualmente de los 35 millones de dominios registrados, más de 22 millones corresponden a .com. Respecto del dominio .pro adjudicado a los profesionales se prevé un posterior desglose por especializaciones .med .pro, .law.pro y cpa.pro (de chartered public accountant).
Los DOMINIOS DE SEGUNDO NIVEL se identifican por el grupo de letras comprendidos entre el primer punto, comenzando por el final, hasta el segundo punto (en el mismo sentido).
La asignación de estos nombres de dominio corresponden en el ámbito del .es a ES.NIC que ha
delegado en dos únicos AGENTES REGISTRADORES; Nominalia e Interdomain. La longitud
mínima requerida para administrar dominios de segundo nivel es de tres caracteres, aunque se recomienda una extensión entre 5 y 63 caracteres.
La regulación del registro .es se contempla en el caso de España en un única norma, la O.M. del
Ministerio de Fomento de 21 de marzo de 2000. De acuerdo con esta norma, en España la asignación
de nombres de dominio tiene carácter de SERVICIO PÚBLICO. En nuestro país, además del principio
genérico “first come, first served”, se requiere que la solicitud venga coordinada con los demás registros públicos, es decir, el Registro Mercantil Central y la Oficina Española de Patentes y Marcas.
19
BERNESR-LEE, Tim. “Tejiendo la red”. Ed. Paidos. BCN, 2000.
196
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
El Registro que tutela en España la adjudicación de los nombres de dominio es el ES.NIC
que opera de puertas adentro bajo la denominación “Red.es” como entidad pública empresarial
adscrita al Ministerio de Ciencia y Tecnología a través de la Secretaria de Estado de Telecomunicaciones y para la Sociedad de la Información.
La cuantía de las tasas corresponden al equivalente a 100$ USA (108 euros + -) para el primer año y aproximadamente 72 euros como cuota de mantenimiento anual en años posteriores.
4.3. Nuevos TLDs (Top Level Domain) para Internet
En la Red cada terminal tiene asignado un código de identificación, denominado dirección IP, se
trata de un número complejo, que no resulta operativo para la identificación rápida de los usuarios.
Sucede en Internet como en la vida normal, donde nos resulta más fácil recordar el nombre de una
persona o una empresa que su correspondiente DNI o CIF.
Para resolver este escollo se creó en sus orígenes el DNS (Domain Name System), servicio
que asigna de modo biunívoco un nombre a cada dirección numérica IP. Su estructura es de jerarquía piramidal y en la cúspide se encuentran los TLDs (o Top Level Domains, en castellano Dominios de Alto Nivel), que corresponden a los tradicionales .net, .edu, .com, .org, .mil,... y a las dos
iniciales por país. Como reacción a la creciente actividad de los “ciberokupas”, el ICANN comenzó hace pocos meses a facilitar la aparición de nuevos TLDs como uno de los sistemas, que no el
único, para poner coto a tan agresiva práctica: .aero, .biz, .coop, .info, .museum, .name y .pro.
El ICANN ha anunciado que planea negociar acuerdos de registro con los aspirantes seleccionados para finales de año. Se prevé que los nuevos TLDs no serán operativos totalmente hasta el segundo trimestre de 2001, aunque en algunos casos el registro podrá ser antes de esas fechas. Hasta
que los acuerdos no hayan finalizado y algunos hayan sido anunciados, muchos detalles a tener en
cuenta en la implantación de estos nuevos TLDs, incluyendo costes, se mantendrán inciertos.
En cada caso, el registro de un TLD entregado operará en la base de datos centralizada y autorizada de nombres de dominio en ese nivel dado (por ejemplo, todos los nombres registrados en el TLD
.com), y se pondrán restricciones y calificaciones para el registro. Cada registro autorizará a un número
de “registradores” a interactuar con el registro por un lado y con los nombres de dominio del resto de
“registrantes” por otro, para registrar nombres de dominio demandados por los registrantes.
Una vez que los nuevos TLDs hayan sido formalizados, será prudente considerar el registro de nombres de dominio adicionales bajo los TLDs apropiados para preservar el valor de los
nombres de dominio que actualmente están en uso y los derechos de las marcas inherentes a esos
nombres así como también para limitar nuevas oportunidades para los “ciberokupas” que puedan
registrar el nombre de dominio idéntico o similar a esas marcas. Se puede acceder a nuevos detalles sobre el proceso de selección desde la web del ICANN (www.icann.org/tlds).
.aero
El TLD .aero está controlado por la Societe Internationale de Telecommunications Aeronautiques SC (SITA). Sólo miembros de la industria del transporte aéreo (incluyendo
líneas aéreas, aeropuertos, industrias del espacio aéreo y organizaciones y suministradores relacionados) serán autorizados para el registro de este dominio. Para el período de
implementación inicial, el dominio .aero sólo será atribuido a líneas aéreas y a aeropuertos. Mientras que el registro sólo esté al alcance de marcas ya establecidas y no esté abierto al público general, SITA ha anunciado que dará prioridad al segundo nivel de dominios
con nombres ya establecidos y tratará a las nuevas demandas como segunda prioridad.
.biz
Se pretende que .biz sea un TLD general para usos comerciales y, esencialmente, una
alternativa para el TLD .com. Será administrado por JVTeam. El TLD .biz está abierto
Marco jurídico 197
para cualquier persona, organización o entidad que desee anunciar su negocio y/o llevar
acabo actividades comerciales a través de Internet. JVTeam actuará como el operador del
registro, y todos los registradores acreditados por el ICANN tendrán igual acceso a sus
servicios de registro. El poseedor del nombre de dominio tratará con el registro a través
de esos registradores.
Como el TLD .biz está restringido sólo a usos comerciales, se les requerirá a los solicitantes que garanticen que su web estará enfocada a propósitos comerciales y que faciliten una breve descripción de sus intenciones sobre el nombre de dominio. Bajo este sistema, se les permitirá a los solicitantes que posean una marca que registren una palabra
o un grupo de caracteres con el registro por una cuota, y entonces se les notificará si un
nombre que contenga esa palabra o esos caracteres se ha registrado previamente.
.coop
El TLD .coop, patrocinado por la National Cooperative Business Asociation (NCBA), es
un TLD especial dedicado a empresas cooperativas. La NCBA y otras asociaciones cooperativas de ámbitos nacionales reconocidas internacionalmente determinarán los parámetros para la elección de las solicitudes. Poptel Limited actuará como el operador del
registro, y también hará de registrador base en los trece meses iniciales de la operación.
Los registros iniciales bajo el TLD .coop, que comenzará aceptando sólo dominios de
segundo nivel, se limitará a una parte de los miembros de la NCBA y de la ICA.
.info
El patrocinador del TLD .info es Afilias. La intención es que este TLD sea de ámbito
general, un nombre de dominio global sin restricciones. Un consorcio de diecinueve
registradores del ICANN posee Afilias, éste actuará de operador de registro. Afilias
planea ofrecer a todos los registradores acreditados por el ICANN la oportunidad de
registrar los nombres de dominio en el TLD .info.
Afilias también planea ofrecer un período de auge que empezará noventa días antes del
registro en general, que permitirá a los dueños de las marcas pre-registrar sus marcas como
nombres de dominio. La posibilidad de entrar en este pre-registro se limita a las marcas
establecidas antes del 2 de octubre del 2000 y que tengan un efecto nacional en todo su país.
Después de este período, las masivas solicitudes iniciales se manejarán con una tanda de
procesos de acercamientos y con un mecanismo estandarizado de selección.
.museum
El TLD .museum está patrocinado por la Museum Domain Management Association
(MDMA), y el registro está abierto a entidades que pertenezcan a la definición de
museo que tiene en cuenta el International Council of Museums’ (ICOM), la cual incluye sitios y reservas históricos y naturales.
El CORE Internet Council of Registars, actualmente un registrador acreditado por el
ICANN, funcionará como el operador del registro. Después, se creará una entidad no
lucrativa independiente para este propósito. Para prevenir confusiones, se ha planeado
el uso de códigos de países como designaciones de segundo nivel (partiendo de la base
de que muchos museos comparten ciertas palabras), y CORE considerará otras peticiones de segundo nivel apropiadas. Por la naturaleza especial del TLD .museum, no habrá
un período de auge o un tratamiento especial durante la fase inicial.
.name
El dominio .name, administrado por Global Name Registry, Ltd., da soporte a nombres
de dominio personales que correspondan al nombre del usuario para el e-mail y su web
personal. El TLD .name tiene como usuarios a las personas que están opuestas a las
corporaciones o a otras entidades. Global Name Registry será el operador del registro,
198
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
y todos los registradores acreditados por el ICANN serán invitados a ser registradores
del TLD .name.
Los registros del TLD .name no serán posibles en el tercer nivel, dado que el Global Name
Registry planea controlar los nombres de dominio de segundo nivel, los cuales contendrán nombres de familia comunes. La visión actual es la de facilitarle al mayor número de personas posible
con el mismo apellido que compartan el mismo nombre de dominio (no hay restricciones sobre
quién puede registrar un nombre de dominio .name). No obstante, se requerirá que los registradores verifiquen si los nombres están registrados por personas que tengan algún derecho sobre ellos.
Las personas pueden registrar tanto el nombre y apellido legales como un alias. El Global Name
Registry ha especificado que algunos nombres que puedan causar confusión o dañar los derechos
de otras personas están prohibidos.
4.3.1. La creación del dominio de nivel superior de internet .eu
La Unión Europea, en el largo camino de configuración de su unidad económica y política, ha establecido como objetivo básico en el ámbito de Internet el lograr la gestión de un TLD exclusivo
que identifique a los millones de usuarios, empresas y particulares, ubicados en su territorio. Por
ello ya en febrero de 2000 elaboró un amplio documento, que establecía las prioridades y estrategia para la consecución del dominio .eu.
• Resumen y conclusiones: (del documento de 2000).
En este documento se debate la creación de un dominio de nivel superior ccTLD para la Unión
Europea: .eu.
La tesis que en él se sostiene es que la creación de este dominio reforzaría la imagen y la infraestructura de Internet en Europa, tanto a efectos de las instituciones europeas y de los usuarios
privados como a efectos comerciales, incluido el comercio electrónico.
La expansión del espacio de nombres de dominio de Internet que se previó en 1996 no ha
tenido lugar por varias razones, y el tema sigue presente en el orden del día de la nueva organización ICANN.
• Introducción:
El uso de Internet sigue en rápido aumento en todo el mundo y, a la hora actual, especialmente
en Europa. También están transformándose de forma significativa las características de tal uso,
al ofrecerse nuevas categorías de información y servicios que constituyen nuevas oportunidades
aprovechadas por distintos grupos de usuarios.
El comercio electrónico, tanto entre empresas como entre una empresa y el consumidor representa un área nueva y de gran importancia. Buena parte de la información disponible para el
público y el acceso a los servicios públicos se ofrece de forma cada vez más generalizada a través de Internet.
Estas tendencias se encuentran todavía en una fase inicial de su desarrollo. No sabemos hasta dónde llegarán en los próximos años. Sin embargo, es evidente ya que, suceda lo que suceda,
dentro de cinco años habrá en Europa una Internet muy distinta de lo que es ahora, e inconmensurablemente más grande.
El sistema de nombres de dominio (DNS) de Internet es un elemento importante para la
identificación y localización de sus usuarios que, pese al rápido crecimiento de la red y a los varios
años dedicados a debatir la cuestión, no se ha expandido ni desarrollado en consonancia con este
crecimiento. En Europa, los usuarios de Internet han heredado un conjunto de dominios de nivel
superior nacionales (TLD) y tienen la responsabilidad de registrarse en los contados dominios de
nivel superior genéricos (TLD) que actualmente gestiona la empresa NSI bajo contrato del Gobierno de Estados Unidos. No se ha tomado ninguna decisión con respecto a la creación de nuevos
Marco jurídico 199
TLD, como se propuso ya en 1996/97, aunque un importante número de empresas europeas se incorporaron al consorcio CORE con esta idea.
• El dominio .eu y el comercio electrónico:
¿Desean formular los usuarios empresariales potenciales, incluidas las pequeñas y medianas empresas, alguna sugerencia en cuanto a cómo gestionar el dominio .eu con vistas a optimizar su
aportación al desarrollo del comercio electrónico en Europa?
Muchas empresas de la Unión Europea están interesadas en desarrollar sus actividades a través del comercio electrónico. La Comisión y varios Estados miembros, incluso, se han embarcado
en la popularización de este proceso, en particular entre la mediana y pequeña empresa. El comercio
electrónico promete convertirse en una forma económica y competitiva de hacer negocios en todo el
mundo con proveedores, contratistas y clientes, así como directamente con el consumidor.
La Comisión aborda actualmente diversos aspectos jurídicos y reglamentarios del comercio
electrónico con vistas a facilitar este tipo de actividad, y en particular a crear un marco jurídico y
reglamentario lo más uniforme posible dentro del mercado interior. El comercio electrónico podría convertirse asimismo en un elemento importante de los intercambios en importación y exportación, en particular de los servicios que pueden prestarse en línea.
En este contexto, se ha evidenciado ya cierto interés por el TLD de Internet .com, aunque este
dominio, en principio de alcance mundial, sea en la práctica predominantemente norteamericano.
Además, parece que se encuentra ya saturado, al menos en lengua inglesa.
Una ventaja del dominio .eu sería la de ofrecer a todas las empresas de Europa una identidad europea coherente, y al mismo tiempo espacio abundante para los registros de dominio de segundo y/o tercer nivel en un futuro previsible y en una amplia gama de lenguas distintas del inglés
utilizables en el comercio transfronterizo e internacional.
La forma concreta en que se utilice el dominio .eu en el comercio electrónico dependerá en
buena medida de la demanda del mercado, pero parece razonable esperar que se convierta en una
plataforma importante cuando el comercio electrónico se consolide en el mercado comunitario,
dada la amplia gama de nombres útiles que quedarán disponibles, inicialmente y durante algún
tiempo, en todas las lenguas.
• El dominio .eu y los TLD nacionales en los Estados miembros:
¿Debe tenerse en cuenta otras consideraciones en torno a la relación entre el Registro .eu que se
propone y los Registros TLD nacionales de los Estados miembros?
Una gran proporción del número total de registros de la Unión Europea se encuentra en los
TLD nacionales de los Estados miembros. Lo normal es que esta situación persista, dado que los
registros TLD nacionales se prestan particularmente al fomento de un alto grado de universalidad
en el acceso de la población general a Internet.
En este contexto, podría proponerse como especialización adecuada que el Registro .eu se
centrara en las aplicaciones a las que pueda ofrcer un valor añadido perceptible con respecto a los
TLD nacionales. No se prevé que los códigos nacionales se utilicen como dominios de segundo
nivel en .eu (p. ej., .se.eu, .nl.eu, etc.), ya que ello supondría cierta duplicación e iría en detrimento
de la especifidad del dominio .eu para las aplicaciones paneuropeas transfronterizas.
Por otra parte, los miembros de los Registros TLD nacionales y sus agentes deben tener la oportunidad de convertirse en registradores del Registro .eu. De hecho, el ofrecer al mercado del DNS una
opción a efectos de registro constituye una de las principales ventajas de la presente propuesta.
Sin embargo, el crecimiento de los registros comerciales europeos en otros TLD, incluido
.com, demuestra la necesidad y oportunidad de contar con una alternativa a los dominios TLD nacionales.
200
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Las organizaciones y entidades europeas cuyas actividades se extienden a más de un Estado
miembro o a agrupaciones regionales transfronterizas podrían estar particularmente interesadas
en utilizar el dominio .eu en cuanto estuviera disponible.
La situación a mediados del año 2002.
La Comisión Europea, tras dos años de intentar que el ICANN delegue la potestad de otorgar dominios.eu en el ámbito de su territorio, ha regulado los trámites internos para ello en mayo
2002 y ha dispuesto un registro que organice, administre y gestione dicho registro (Top Level Domain) en función del interés general. En el que se podrán registrar:
- Las empresas que tengan su domicilio social o centro de actividad efectivo en la U.E.
- Las personas físicas residentes en la comunidad europea.
Suena cuando menos un poco ingenuo el que la U.E. regule una actividad sin disponer de las
competencias necesarias para su pleno desarrollo, pero sin duda ello obedece a la voluntad de no
quedarse atrás respecto de los Estados Unidos. En este sentido el reglamento persigue; “aportar un
vínculo claramente identificador con la comunidad, el marco jurídico a ello asociado y el mercado
europeo”. Además se persigue resolver la mayor parte de los trámites que en su día sean necesarios para que, tras haber alcanzado la competencia por delegación del ICANN, se pueda adjudicar
rápidamente los dominios pre-registrados.
La norma que define la figura del futuro registro prevé un cierto control previo para intentar proteger en el proceso los derechos de propiedad intelectual e industrial. También contempla
en caso de conflicto futuro su resolución por vías extrajudiciales. Un argumento más que refuerza
nuestra tesis de que también en el ámbito de las Nuevas Tecnologías la función crea al órgano.
El referido registro actuará sin ánimo de lucro y aún no se conoce el país de la U.E. en que
se ubicará.
4.4. Gestión y proceso de registro en el dominio de primer nivel .es
Recordemos que los dominios genéricos de primer nivel se rigen por el principio “first come, first
served”, cosa que no se mantiene en la gestión del dominio .es, administrado por la entidad es.NIC
a través de la empresa pública Red.es adscrita al Ministerio de Ciencia y Tecnología.
La regulación española se limita a la Orden Ministerial del Ministerio de Fomento de 21 de
marzo de 2000. Los Agentes Registradores operativos en España se limitan a dos; NOMINALIA
e INTERDOMAIN, estando por el momento pendiente el desarrollo normativo que regule su actividad. Los criterios aplicados en España para adjudicar nombres de dominio son los siguientes:
∑ El nombre exacto de la sociedad que figure en la escritura pública de constitución.
∑ Un acrónimo del nombre de la sociedad que sea fácilmente identificable con éste.
∑ Cualquier denominación o marca comercial legalmente registrada en la Oficina Española
de Patentes y Marcas.
Lógicamente las solicitudes para registrar el dominio .es admiten todas las grafías propias
de los alfabetos de las diferentes lenguas peninsulares (ñ, ç, diéresis, etc) pero, además, desde el
26 de febrero de 2001, todos los dominios de primer nivel (incluidos los primitivos originarios)
admiten cualquier grafismo de carácter perteneciente a cualquier lengua por muy exótica que esta
sea; albanesa, turca, griega o cualquiera de las africanas escritas. La novedad es muy importante
para la comunidad castellanohablante por cuanto según datos de 1998 tan sólo el 2% de las páginas web están realizadas en castellano frente a un 80% que lo están en inglés. Frente a ello todos
los expertos lingüistas apuntan que el Español será el idioma más hablado en el siglo XXI, principalmente por la eclosión de la Comunidad Hispana en los USA. Según información de El Mundo,
dos días después de la comentada apertura de grafías, un estudiante venezolano, de nombre Rufi,
Marco jurídico 201
logró registrar el dominio ESPAÑA.COM (nótese que la piratería no abarcó a lo que sería más lógico ESPAÑA.ES por los requisitos sobreañadidos para operar con este dominio).
4.4.1. La regulación en España del registro de nombres adscritos al dominio de primer
nivel .es. La actualización en julio 2001
La norma reguladora del proceso de registro y de sus actores es la O.M. de 21 de marzo de 2000,
que establece el marco general de funcionamiento del sistema de asignación de nombres de dominio de Internet en nuestro país.
La asignación corresponde a ES.NIC (ES. Network Information Centers) y la asignación de
los dominios de segundo nivel corresponde a la RED TÉCNICA ESPAÑOLA DE TELEVISIÓN
(Red.es). El ICANN reconoce al menos dos entidades Españolas; Interdomain SA y Nominalia
SL, aunque falta la regulación de su funcionamiento por parte del Ministerio de Fomento.
Los requisitos que debe cumplir un nombre para que se le asigne un dominio son, de acuerdo con la norma de referencia:
a) Inexistencia de una asignación previa del nombre que se trate.
b) Que el conjunto de caracteres a registrar esté compuesto por las letras del alfabeto, los
dígitos numéricos y (-) signo que no puede aparecer al principio, ni al final.
c) Que el grupo de caracteres a registrar no esté prohibido, ni incluir términos o expresiones que resulten contrarias a la ley, a la moral o al orden público.
La FUNCIÓN DE ASIGNACIÓN consiste en la implantación, mantenimiento y aportación de la base de datos necesaria para el funcionamiento del sistema de nombres de dominio de
Internet, bajo el código del país (.es). Los resultados de dicha función de asignación pueden ser
objeto de recurso administrativo ante la Secretaría General de Comunicación del Ministerio de Fomento (ver más adelante la O.M. de julio 2001).
Dicha Función de Asignación debe actuar necesariamente de forma coordinada con los datos que figuran en el Registro Mercantil, la Oficina Española de Patentes y Marcas y los demás registros nacionales o internacionales de carácter público. Curiosamente, la Disposición Transitoria
Tercera de la O.M. que comentamos dispone que las personas físicas no podrán recibir asignaciones de nombres de dominio hasta transcurridos diez meses desde la entrada en vigor de la norma,
es decir, 1 de febrero de 2001. Por último, la Disposición Transitoria Cuarta establece que todos
los nombres asignados al dominio (.es) antes de la entrada en vigor de la norma, conservarán su
validez, sin omitir que quedan sujetos a todo lo dispuesto en aquélla.
La velocidad de los acontecimientos en el aumento de las TIC’s obliga a replantear constantemente los problemas y lógicamente también las soluciones. El Derecho siempre evoluciona a
remolque de la realidad y cuando ésta se acelera, aquel también aumenta sus revoluciones. Como
muestra traemos aquí la O.M. del Ministerio de Ciencia y Tecnología de 12 de Julio 2001 por la
que se modifica la Orden de 21 de Marzo de 2000, por la que se regula el sistema de asignación de
nombres de dominio de Internet bajo el código de país que corresponde a España (.es). La referida O.M. se ha publicado en el BOE Nº174/2001 del 21 de Julio del mismo año y en su exposición
motivada figura el texto que transcribimos a continuación:
“El crecimiento del número de usuarios de Internet en España y la demanda cada vez mayor de nombres de dominio bajo el «.es» hace necesario elaborar una regulación más profunda
de dicho sistema de asignación de nombres de dominio, mediante la adopción del Plan Nacional
de Nombres de Dominio, que sustituirá en su día, a la Orden ministerial de 21 de marzo de 2000.
En tanto se elabora y elabora dicho Plan, es preciso introducir algunas modificaciones en la
citada Orden de 21 de marzo de 2000, fundamentalmente para corregir ciertos errores detectados
en la misma, que dificultan la adecuada aplicación de la norma.”
202
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Como se reconoce en esta exposición, la norma que comentamos nace con una clara vocación de transitoriedad entre la O.M. (primera) de marzo de 2000 ya comentada anteriormente y el
futuro Plan Nacional de Nombres de Dominio. La nueva O.M. dispone de un único artículo que
comentaremos a continuación y de dos disposiciones. La Disposición Adicional única traspasa las
competencias administrativas sobre la materia desde la Secretaría General de Comunicaciones del
Ministerio de Fomento a la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la
Información, encuadrada en el Ministerio de Ciencia y Tecnología. Por su parte, la Disposición
Transitoria única establece la vigencia de los nombres de dominio asignados antes de la entrada
en vigor de la nueva O.M., cosa que ocurrió el 22 de julio de 2001.
Las novedades incorporadas en la normativa reguladora de los nombres de dominio adscritos a .es y que se recogen en el artículo único de la O.M. que comentamos son las siguientes:
a) La Entidad Pública Empresarial Red.es podrá designar nombres de dominio especiales
en caso de manifiesto interés público, facultad que es extensiva a los nombres genéricos
y topónimos. Para ello se exige que los solicitantes presenten junto a su petición una
memoria explicativa de los fines que vayan a ser desahuciados, así como de los contenidos y servicios que pretenden abarcar. Todo ello desde una perspectiva de manifiesto “interés público”.
b) Se suprime el Sistema de Recursos que venía resultando inoperante en realidad.
c) Permitir el acceso al registro .es a los extranjeros residentes en España, así como a las primeras sucursales de sociedades extranjeras, debidamente inscritas en el Registro Mercantil.
d) Multilingüismo representado por la posibilidad de utilizar la letra “ñ” en la configuración de nombres de dominio, siempre que los mecanismos técnicos exigidos para ello
estén operativos. Con ello se supera el monopolio del alfabeto inglés en la regulación
de los dominios.
e) Con respecto a las Marcas Comunitarias, la nueva norma contempla la posibilidad de
acceder a un nombre de dominio .es, que se corresponda con una marca comunitaria
legalizada e inscrita en la Oficina de Armonización del Mercado Interior (OAMI).
4.4.2 Protocolo para el registro de nombres bajo el dominio .es
Se recoge la normativa de la O.M. de 21 de marzo de 2000, según la normativa de Nominalia S.L.
Normas básicas
Sólo está permitido registrar un único dominio .es por organización. El nombre del dominio
debe corresponder al nombre de la organización o empresa registrada en el Registro Mercantil de
España, y/o un acrónimo lógico de la misma, o un nombre de marca registrada en OEPM.
¿Quién no puede registrar su dominio .es?
∑ Las personas jurídicas u organizaciones no constituidas legalmente en España.
∑ Las sucursales, departamentos, delegaciones, secretarías, consejerías, concejalías o
demás partes de una organización.
¿Qué nombres no se pueden registrar?
∑ Nombres que se compongan exclusivamente de un topónimo (nombre propio de un lugar).
∑ Nombres genéricos (no se podrá registrar ningún nombre que aparezca en el diccionario).
∑ Nombres que incluyan términos o expresiones que resulten contrarios a Ley o al orden
público, ofensivos o malsonantes.
∑ Nombres que coincidan con un nombre de protocolo, aplicaciones y terminología de
Internet.
Marco jurídico 203
∑ Nombres que se asocien de forma pública y notoria a otra organización, acrónimo, o
marca, distintos de los del solicitante del dominio.
∑ Nombres que se compongan exclusivamente de nombres propios o apellidos, salvo cuando se correspondan literalmente con una marca o nombre comercial registrado en la
OEPM a nombre de la organización del solicitante del dominio.
∑ Nombres que se compongan exclusivamente de una secuencia de dígitos, salvo cuando
ésta se corresponda literalmente con una marca o nombre comercial registrada en la
OEPM a nombre de la organización solicitante del dominio.
En caso de denegación del registro del dominio por alguna de estas causas descritas anteriormente, Nominalia le imputará al solicitante el 25% del precio del registro del nombre, correspondientes a gastos de gestión.
Para más información sobre las normas del registro de ES-NIC, consulte su sitio web. La
tramitación del registrador puede durar hasta un mes. Nominalia le gestionará el registro de un
nombre accediendo al formulario del registro.
Usted puede consultar si el nombre de dominio que quiere está disponible. Para realizar la
búsqueda, no es necesario introducir el .es, sólo el nombre del dominio a buscar.
CONDICIONES
Las condiciones generales de Nominalia implican la aceptación y sumisión de las condiciones aquí expresadas:
Condiciones generales de Nominalia:
1. El pago del pedido se realizará de acuerdo con las condiciones generales de pago establecidas por Nominalia.
2. Nominalia no efectuará ninguna operación sobre el pedido hasta que no se haya recibido el pago del mismo. Considerará efectivo el pago cuando la entidad bancaria lo acredite. Esto significa que en caso de coincidencia de dos pedidos sobre el mismo nombre
de dominio se tramitará el que sea pagado antes, sin tener en cuenta las fechas de los
pedidos. (Primero en ser pagado, primero en ser tramitado).
3. Nominalia, una vez iniciados los trámites sobre el pedido, se reserva el pleno derecho de
efectuar una penalización por la anulación de los mismos. (Ver condiciones de pago).
4. Una vez iniciados los trámites sobre un pedido, se aceptarán modificaciones sobre el
mismo implicando realizar un pedido de modificación adicional.
5. Los pedidos que no sean pagados en el plazo de 7 días, Nominalia los dará de baja automáticamente finalizado este plazo.
6. El solicitante exonera a Nominalia de cualquier responsabilidad hacia terceros derivada
del incumplimiento de las obligaciones derivadas de cualquiera de las condiciones.
7. Nominalia Internet, S.L., cumple con la normativa que establece la Ley LORTAD con
código 1982600010 asignado por la Agencia de Protección de Datos. (A destacar que
la LORTAD fue derogada en diciembre de 1999 por la nueva LOPD).
8. Las notificaciones se harán a los datos proporcionados por el solicitante mediante e-mail.
Nominalia no será responsable de la no recepción de estas notificaciones. El solicitante es
el responsable de comunicar a Nominalia cualquier modificación sobre los datos.
9. El incumplimiento de cualquiera de las condiciones aceptadas por el solicitante facultará a Nominalia a anular cualquier pedido, pudiendo aplicar de pleno derecho la penalización estipulada. (Ver condiciones de pago).
10. Nominalia no puede garantizar que el pedido realizado por el solicitante sea practicable.
204
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
11. Nominalia se reserva el derecho de modificar las condiciones notificando con antelación el cambio en el web de Nominalia.
Condiciones sobre nombres de dominio:
1. La aceptación de estas condiciones implica la aceptación de las Normas y Condiciones
impuestas por todas las organizaciones reguladoras de nombres de dominio de Internet.
2. El solicitante certifica que, de acuerdo con su conocimiento, el uso de este nombre de
dominio no afecta los derechos de propiedad intelectual de terceras partes.
3. El solicitante acepta que el registro de un nombre no confiere ningún derecho legal
sobre el mismo.
4. El solicitante acepta que es el único responsable de la elección de este nombre de dominio y de su posterior mantenimiento.
5. El solicitante acepta que el registro del nombre es con fines legales.
6. El solicitante acepta que es responsable a todos los efectos de cualquier problema sobre
los derechos de uso del nombre elegido.
7. El solicitante se compromete a aceptar cualquier posible requerimiento de arbitraje por
el registro de un nombre de dominio.
8. Nominalia no actuará como un árbitro para resoluciones de disputas entre el solicitante
y terceras partes por el uso del nombre de dominio.
9. En el supuesto de existir un conflicto sobre la atribución de un nombre de dominio, el
solicitante se compromete a seguir las normas sobre resolución de conflicto establecidas, en su caso, por el registro responsable de la administración de dominio.
Condiciones especiales de preregistro de nombres de dominio:
1. Con la realización del pedido de preregistro, Nominalia procederá al preregistro del
nombre de dominio solicitado en su base de datos.
2. El preregistro de un nombre de dominio no implica el registro definitivo del mismo.
Cada nombre de dominio preregistrado es añadido a una cola. Esta cola está ordenada
mediante el proceso de “primero en llegar, primero en ser servido”. El orden establecido en la cola determina el orden de solicitud de registro que Nominalia efectuará en
el momento en que la base de datos del CORE sea operativa para el registro definitivo
del nombre de dominio preregistrado.
3. En el supuesto de existir un conflicto sobre la atribución de un nombre de dominio al
efectuarse el registro de la base de datos del CORE, el solicitante se compromete a
seguir las normas de resolución de conflictos establecidas por el CORE.
4. Nominalia se reserva el derecho a modificar tarifas de precios vigentes. No obstante,
cualquier modificación de las tarifas será comunicado al solicitante antes de tramitar
el registro del nombre de dominio solicitado.
5. Una vez realizado el preregistro del nombre de dominio, no se llevará a cabo la tramitación de registro definitivo, sin una confirmación previa por parte del solicitante. Nominalia le informará previamente del proceso de registro definitivo del preregistro solicitado.
Condiciones de pago:
1. Formas de pago establecidas por Nominalia Internet, S.L.:
- Tarjetas de crédito.
2. Si no se indica el número de pedido en cualquiera de las formas de pago que lo requieren, Nominalia no se hace responsable de los problemas que se deriven del hecho.
Marco jurídico 205
3. El pago se debe realizar antes de iniciar los trámites de pedido.
4. El pago se realizará en euros.
5. Nominalia se reserva el derecho de anular un registro en caso de que el pago haya sido
realizado con métodos fraudulentos o no se haya hecho efectivo.
6. Los pedidos que no sean pagados en el plazo de 7 días se darán de baja automáticamente y sin previo aviso.
7. La anulación de un pedido completado implica la no devolución del pago.
8. la anulación de un pedido en trámite implica una penalización del 25% del total de la
factura.
4.5. La solución de conflictos
La precaria regulación hasta la fecha relativa al registro de nombres de dominio en Internet ha venido propiciando lógicamente la actividad de los “cyberokupas”, habiendo trascendido en España los conflictos que afectan a las siguientes marcas y empresas: Hipercor.com, Aireuropa.com,
Banesto.org, Barcelona.com, por citar algunos de los conocidos.
A lo largo de los últimos meses proliferan las cosas de ciberokupación de “dominios limítrofes” que son posicionados privilegiadamente en los buscadores y que consiguen desplazar de
modo engañoso a las webs cuyos titulares son los legítimos. Ante estas situaciones cabe recurrir a
cualquiera de los sistemas de defensa que exponemos a continuación. De entre todos, recomendamos por su rapidez, eficacia y bajo coste el procedimiento del ICANN conocido como PAO (ver
más adelante). A pesar de todo lo más barato es sin duda aplicar una estrategia preventiva (ex-ante)
de la mano de un experto que limite de entrada las agresiones de los ciberokupas.
4.5.1. El procedimiento del ICANN
Hasta octubre de 1999 la resolución de conflictos se veía abocada a iniciar acciones legales en las
más diversas jurisdicciones y tribunales, tanto en España como en el extranjero, en función del
domicilio del “cyberokupa” asignado. En la fecha antes referida el ICANN aprueba la normativa
reguladora de la RESOLUCIÓN DE CONFLICTOS, conocida como Política Unificada para la
Solución de Conflictos (PUSC).
El inicio del procedimiento surge con la presentación de la demanda ante su proveedor
de entre los seleccionados por el ICANN; la Organización Mundial de la Propiedad Intelectual
(OMPI), e- RESOLUTION, The National Arbitration Forum y CPR. Cualquiera de estos proveedores es el que controla todo el proceso, a lo largo del cual el demandante deberá probar como
base de su petición cualquiera de los siguiente supuestos:
a) Uso del dominio de mala fe frente a mejor y legítimo derecho del demandante.
b) Registro de dominio de mala fe que se prueba al demostrar prácticas abusivas propias
de los cyberokupas.
Estos requisitos se inscriben en un contexto más amplio de modo que el propio Servicio de Arbitraje de la OMPI exige algunos presupuestos para su previo pronunciamiento:
1º Que el nombre de dominio registrado por el demandado SEA IDÉNTICO u ofrezca
semejanza que produzca confusión con una marca de productos o servicios.
2º Que el demandado carezca de derecho o legítimo interés respecto del nombre de dominio.
3º Que el nombre de dominio haya sido registrado y usado de mala fe.
A continuación se reproduce el cuadro esquemático elaborado por la OMPI en 1999 sobre el procedimiento administrativo del ICANN respecto de las demandas sobre dominios:
El procedimiento a seguir por las partes en la controversia es el siguiente:
206
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
1) Presentación de la demanda ante uno de los cuatro proveedores de servicios de solución
acreditados por el ICANN, que deberá ser elegido por el demandante.
2) Contestación de la persona o entidad contra la que se ha presentado la demanda.
3) Elección del grupo administrativo de expertos (1 a 3 panelistas) por parte del proveedor
de servicios seleccionado previamente.
4) Resolución del/los experto/s y notificación a las partes en controversia, así como a los
registradores interesados y a la ICANN.
5) Ejecución de la resolución por los registradores implicados. La ventaja principal del uso
de esta vía de resolución frente a la tradicional de la justicia ordinaria es la rapidez y
economía del proceso. Otro de los incentivos consiste en que, en este caso, son expertos en el campo del dercho aplicado a las nuevas tecnologías los encargados de pronunciarse sobre la controversia.
El proceso se completa en una media de 50 días desde la remisión de la demanda al proveedor de
servicios seleccionado hasta la toma de desición por parte del panel de expertos.
Este proceso no cierra la vía de recurso ante los tribunales de justicia ordinarios, aunque es incompatible la utilización de los mismos mientras dure el estudio del caso por parte del panel arbitral.
Cuadro esquemático elaborado por la OMPI sobre el procedimiento administrativo de la
ICANN (al 1 de diciembre de 1999):
- El proveedor recibe la demanda: 3 días, fecha de Inicio: 20 días:
* El demandante envía una copia de la demanda al registrador.
* El proveedor se pone en contacto con el registrador para confirmar el registro del titular
del nombre de dominio y los datos necesarios para ponerse en contacto con dicho lugar.
* El Registrador deberá impedir la transferencia del registro durante el “procedimiento
administrativo pendiente”.
- Escrito de contestación: 5 o 10 días:
* El proveedor notifica al registrador.
- Nombramiento del grupo de expertos: 14 días.
- Resolución: 10 días
* El proveedor notifica la resolución al registrador.
* El registrador notifica al proveedor, a las partes y a la ICANN la fecha de ejecución
de la resolución (10 días después).
* El registrador ejecuta la resolución y lo notifica a la ICANN y al proveedor.
- Ejecución:
El total del procedimiento ocupa entre 52 y 57 días.
“La OMPI recibió en el 2000, 2.138 casos de resolución de conflictos por dominios
internautas. De todos ellos, el 65% (1077 casos) se resolvieron a favor del demandante y la comisión de arbitraje resolvió traspasar el nombre de dominio. Otro 15% fue considerada demanda
indebida, por lo que la solicitud de transferencia de dominio fue rechazada y el último 20% restante recoge bien las demandas indebidas, con lo que la solicitud se rechazó de forma automática,
cesiones voluntarias del nombre durante el proceso administrativo o un acuerdo en ambas partes.
Sin embargo son muchas las críticas que recibe el proceso para resolver este tipo de conflictos, denominado PUSC. En primer lugar el idioma del procedimiento es el mismo que el que se utiliza
durante el proceso del registro del dominio, lo que supone un “perjuicio real” para aquellas empresas que se vieron obligadas a registrar sus nombres en idiomas diferentes por limitaciones a las
Marco jurídico 207
grafías. Los expertos en la materia coinciden en que hasta que no exista un tratado internacional
sobre dominios, la guerra continuará y, si no existe todavía es simplemente porque a Estados Unidos no le interesa. El control de los dominios de Internet es una cuestión demasiado poderosa en
sí misma para perderla en bien de la Humanidad”.
Este último párrafo corresponde a la opinión de MAYA RABASCO publicados en TECNOLOGIK@ de fecha 3 de mayo de 2001.
EL PROCEDIMIENTO ADMINISTRATIVO OBLIGATORIO (PAO).
Una de las contradicciones de Internet es el carácter eficazmente estructurado de su red de
ordenadores conectados mediante los protocolos TCP/IP que se enfrenta a un sistema vocacionalmente ácrata en su operativa. La eficacia de su funcionamiento ha provocado la necesidad de sustituir los números de código del referido protocolo, que son largos y (entre 4 y 12 dígitos), por un
nombre fácilmente identificable. De ahí nació el ICANN como respuesta capaz de satisfacer una
real necesidad. Y de este modo nacieron las DNS (Domain Name System). Pero las contradicciones, aun las virtuales, siempre provocan disfunciones al proyectarse en la realidad y en nuestro
caso la solución dada al problema, al trabajar en un entorno desregulado, ha provocado la aparición de un sinnúmero de agresiones al Derecho de Propiedad (en sentido tradicional) de multitud
de marcas y denominaciones personales y societarias. La novedad de este problema derivado ha
obligado a recurrir a nuevos mecanismos de resolución de conflictos. En primer lugar, se han activado algunos sistemas ya conocidos como el arbitraje, que tenían un papel más bien secundario
en el mundo real de las disputas y discrepancias jurídicas. Posteriormente se ha recurrido a nuevas
soluciones a partir de un viraje radical en la estrategia por parte del ICANN.
Como es sabido, existen dos formas para superar los problemas: evitarlos (posición ex-ante)
o resolverlos (posición ex-post). Es la vieja polémica enmarcada por el binomio Seguridad “versus” Libertad, que desde la Filosofía invadió desde siempre la Ciencia Política, la Sociología, la
Economía y también el ámbito del Derecho.
En el caso que nos ocupa, el ICANN decidió en agosto de 1999 variar su tradicional DNDP
(Domain Name Dispute Policy) basado exclusivamente en el principio “first come, first served”
por la que bautizó como Política Uniforme de Solución de Controversias (PUSC), todo ello a partir de las presiones y recomendaciones de la OMPI. La PUSC se diferencia profundamente de
la vieja DNDP y a modo de ejemplo podemos señalar que no exige identidad entre “dominio” y
“marca” y que el dominio en litigio no se pone “on hold” y su primer titular puede continuar usándolo durante el procedimiento.
La esencia de la nueva PUSC es el PROCEDIMIENTO ADMINISTRATIVO OBLIGATORIO (PAO), que se estructura a partir de tres documentos:
a) La Política, que concreta el ámbito de su aplicación.
b) El Reglamento.
c) Los Reglamentos adicionales.
Éstos dos últimos contienen la regulación del procedimiento de técnicas generales (b) y en
detalle (c).
Así la Política determina que para que pueda llevarse a cabo una PAO deben darse necesariamente tres circunstancias:
1º. Identidad o similitud capaz de confundir entre un nombre de dominio y una marca.
2º. Falta de interés legítimo (legitimación suficiente) por parte del demandado.
3º. Registro y su utilización de mala fe.
A destacar que los tres requisitos anteriores son acumulativos y que la carga de la prueba
recae en el demandante.
208
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Para una mejor comprensión de la novedad conceptual del PAO cabe señalar la que ha dado en
llamarse la “Triple Negación”; no es judicial, no es mediación y no es arbitraje. A pesar de esta radical posición, casi bíblica, hay que advertir que las decisiones derivadas del PAO son plenamente jurídicas o de Derecho, como se deriva de los conceptos eminentemente técnico-jurídicos, que sustentan
tanto al procedimiento como a sus conclusiones; marca, buena fe, derecho o interés legítimo, por no
citar otros más y limitarnos a aquellos que están incorporados en los tres requisitos anteriores.
Ha llegado el momento de detallar y comentar las características más relevantes del PAO y
para ello seguiremos como guía el excelente trabajo “Política uniforme para la resolución de conflictos en materia de nombres de dominio” del Profesor Ramón Casas Vallés, cuyo texto completo
se localiza en: http://campus.uoc.es/web/esp/uoc/ca-sas_imp.html.
1º. LA OBLIGATORIEDAD DE ACEPTAR EL PAO, en el marco de la PUSC a partir de
la arquitectura contractual del sistema. En la práctica quiere decir que la aceptación de la
PUSC es requisito necesario para acceder al dominio. En ello radica la fuerza del sistema.
2º. LA COMPATIBILIDAD CON LA VÍA JUDICIAL. Ello supone una diferencia abismal con el arbitraje. Dice el Profesor Casas sobre el particular:
Es importante destacar al respecto que una vez promulgada la conclusión del PAO,
cualquiera de las partes, o las dos, pueden recurrir a la vía judicial sin que el procedimiento tenga que condicionar el devenir de esta nueva vía.
3º. LA EJECUTIVIDAD CONDICIONADA DE LA DECISIÓN. Es la continuación o
segunda derivada del requisito antes descrito, en lo relativo a la situación del dominio
respecto al titular, por cuanto la decisión del grupo de expertos vincula al registrado
definitivo, protegido por la arquitectura técnica y contractual del sistema.
Estas tres características atribuyen al PAO una nueva naturaleza que es clara expresión de la
eficacia en relación con los fines para los que se ha desarrollado. Sin duda estamos ante un nuevo instrumento jurídico propiciado por los condicionantes técnicos del entorno objetivo en que actúa.
Las decisiones o conclusiones del PAO no son lógicamente “sentencias” y se conocen como
Alternative Dispute Resolution (ADR), cuyas características procedemos a detallar con sus luces
y sombras, de nuevo siguiendo el esquema del ya antes citado trabajo del Profesor Casas.
1. NEUTRALIDAD, INDEPENDENCIA E IMPARCIALIDAD. Hay que pensar que el
carácter transnacional de las decisiones del PAO no fomenta la parcialidad de los órganos judiciales marcados por una fuerte vinculación nacional. Como alternativa se recurre al sistema por el que un proveedor de servicios, imparcial en principio, selecciona al llamado Grupo de Expertos. La imparcialidad e independencia de estos expertos
quedan garantizadas por una declaración que deben firmar en tal sentido, previamente
a la aceptación del encargo.
2. ESPECIALIZACIÓN, TANTO EN LA ADMINISTRACIÓN COMO EN LA RESOLUCIÓN DE CONFLICTOS. Todos los integrantes de las listas de expertos que son
gestionadas por el ICANN deben acreditar como requisito previo a su inclusión, probada experiencia en dos ámbitos muy diferentes: la resolución de conflictos y en los
aspectos técnico-jurídicos de la Propiedad Intelectual y de Internet.
3. RAPIDEZ. El PAO tiene una clara vocación de eficacia, sus plazos son breves y la experiencia acumulada pone en evidencia que se vienen cumpliendo.
4. COSTES REDUCIDOS, sobre todo si se comparan con las tasas de administración y
honorarios de los procedimientos judiciales, que son públicos en los sitios web de cada
proveedor de servicios, con los costes judiciales y honorarios de los abogados en procedimientos tradicionales y arbitrajes. Además, el PAO resulta gratuito para la parte
demandada, aspecto éste que ha dado pié a críticas en el sentido de que ello favorece
Marco jurídico 209
la actividad de los cyberokupas al permitirles jugar con peticiones de cantidades inferiores a los costes del PAO para la parte demandante.
5. NO NECESIDAD DE ABOGADOS.
6. ACTUACIÓN DE OFICIO Y ANTIFORMALISMO por parte del Grupo de Expertos.
7. CONFIDENCIALIDAD Y RESPONSABILIDAD.
A la vista de las características del PAO y de sus resoluciones (ADR) no cabe ninguna
duda de que estamos ante un nuevo instrumento de resolución de conflictos que busca su
posicionamiento entre el proceso judicial y el arbitraje y que se aprovecha de las especiales condiciones del entorno en el que opera; la arquitectura técnica de Internet.
4.5.2. El procedimiento según la legislación española
El marco normativo español contempla varios procedimientos para la resolución de conflictos en
el ámbito que nos ocupa:
A) Vía administrativa
De conformidad con lo que se dispone en el art. 60 de la Ley 6/1997, de 14 de abril,
de organización y Funcionamiento de la Administración General del Estado, Red.es
que gestiona el carácter de servicio público, el registro de los nombres y direcciones
de dominio de Internet, en el ejercicio de sus potestades administrativas, dicta actos
administrativos, y contra los mismos cabe interponer los procedentes recursos administrativos, y en concreto, de acuerdo con lo que se dispone en el artículo 107 de la Ley
30/92, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas, y
del Procedimiento Administrativo Común, el recurso de alzada. 20
En este marco regulador, cualquier interesado que se considere agredido en su solicitud
podrá interponer el correspondiente RECURSO DE ALZADA, ante el órgano competente de la Administración resulta ser que la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, en el plazo de un mes a partir de recibir la
notificación en la que resulte no estar conforme. Los motivos para recurrir son:
a) Cualquier tema de fondo de los contemplados en la O.M. de marzo de 2000.
b) Causas de nulidad o anulabilidad recogidas en la referida Ley 30/92.
En caso de desestimación expresa o por silencio administrativo del recurso de alzada,
cabe interponer RECURSO CONTENCIOSO-ADMINISTRATIVO ante el tribunal
que resulte competente.
B) Vía judicial
Cabe la posibilidad de que el conflicto de intereses surja no a causa de una decisión administrativa sino por la existencia de derechos de terceros enfrentados a causa de una determinada asignación de unn registro de dominio. En este caso la reclamación se debe interponer directamente contra el titular que tenga asignado por Red.es el nombre de dominio
motivo de controversia y en este caso el procedimiento se insta en vía ordinaria (procedimiento CIVIL, en el marco de la nueva Ley de Enjuiciamiento Civil de enero de 2001).
Esta reclamación puede estar basada en cualquiera de los siguientes motivos:
a) En base a la NORMATIVA DE MARCAS, siempre que se ostente mejor derecho en
este ámbito frente al tercero impugnado.
b) En base a la NORMATIVA MERCANTIL, si los sujetos en litigio estuvieran
revestidos de personalidad jurídica mercantil, como Sociedades Anónimas o como
20
CONDE DÍAZ, Alipio. “Los dominios de Internet”. ECONOMIST&JURIST nº 50, MAYO 2001.
210
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Sociedades de Responsabilidad Limitada, y en base a la atribución que la legislación
mercantil vigente otorga a las sociedades de exclusividad en lo relativo a su razón
social.
c) En base a la REGULACIÓN SOBRE COMPETENCIA DESLEAL, en los casos en que
la práctica seguida por el tercero conculque nuestros derechos en este ámbito.
C) Procedimiento arbitral
La referida Orden Ministerial de 21 de marzo de 2000 establece en su artículo 6º que
las partes en conflicto puedan someter sus diferencias a un árbitro. Como quiera que al
día de la fecha está pendiente de desarrollo normativo esta posibilidad procesal, entendemos que caben dos alternativas:
a) Recurrir al procedimiento arbitral en el ámbito normativo español, siempre que ello
sea posible por la territorialidad de las partes implicadas, o en caso contrario.
b) Recurrir al procedimiento arbitral regulado por el ICANN y descrito anteriormente
(PUSC y PAO).
4.6. Aproximación práctica a los nombres de dominio
A) Algunos consejos prácticos:
A través del servicio internacional WHOIS el público puede investigar si el nombre que
quiere registrar está o no ocupado y en caso afirmativo la identidad del propietario con
el fin de iniciar acciones legales o negociaciones.
La práctica nos ha puesto de manifiesto en más de una ocasión que el consultar esta
fuente de información resulta contraproducente. En efecto, deben existir uno o más
rastreadores de este tipo de consultas de modo que detectan, por ejemplo, que alguien
está potencialmente interesado en el dominio www.Pepemartinez.com y mientras
usted recibe la respuesta con negativa de ocupación y se toma el tiempo para decidir su
política de registros, alguien desde Nueva Zelanda (por poner un ejemplo) le registra
automáticamente el www.pepemartinez.com, .org y .net (no sucede otro tanto con .es
por su mayor complejidad registral) de modo que cuando usted se decide ya lo encuentra ocupado en cuestión de minutos y a pesar de la reciente respuesta negativa.
Siga nuestro consejo; NO DEJE PISTAS SOBRE LO QUE PRETENDE HACER. SIMPLEMENTE, ¡HÁGALO! El coste unitario de cada registro no exige muchos miramientos y una actitud resolutiva sobre el particular puede ahorrarle mucho tiempo.
El segundo consejo guarda relación con las nuevas TLD’s de reciente aparición (.biz,
.info, .area, etc.) por cuanto en espera de que las empresas adjudicatarias de las mismas
abran el plazo de registro, han surgido empresas que ofrecen a los incautos el pre-registro
de los dominios que puedan interesar. Al respecto hay que decir que no existe oficialmente ningún procedimiento que regule el pre-registro y, en consecuencia, este trámite no
consolida ningún tipo de derecho. Las empresas encargadas de la administración de este
tipo de dominios aún no han abierto el plazo de registro ni tan siquiera el de pre-registro, ni autorizado a nadie para hacerlo. El tercer y último consejo guarda relación con el
anterior pero va un poco más lejos. Muchos, por no decir todos esos ISP que tramitan
pre-registros seguramente registrarían el dominio solicitado a su propio nombre, para así
mantener cautivo al peticionario y extorsionarle a placer. Cuando registre su dominio con
un proveedor de servicios de Internet, ándese con cuidado, pues están saliendo a la luz
casos de ISP que registran el dominio de sus clientes como parte del paquete de servicios
Marco jurídico 211
ofrecidos, pero no a nombre del cliente, sino al suyo propio, con lo cual se aseguran la
permanencia del cliente bajo su hospedaje. No sea ingenuo, registre usted directamente
su propio nombre de dominio y rehuya la trampa de los pre-registros.
B) Algunas preguntas de interés:
Transcribimos a continuación por su interés algunas preguntas contestadas por la abogada Paloma Llaneza ([email protected]) en CiberPais Nº 02/200.
1. Quiero poner una página web con el nombre de mi empresa, para que mis clientes puedan encontrarla con facilidad. No sé si debo poner www.miempresa.com o
www.miempresa.es. ¿Que diferencia hay entre cada una de ellas?
Técnicamente, ninguna. La diferencia consiste en que a dominios de primer nivel distintos, entidades registradoras diferentes con normas diversas. Los tan sobados .com,
.net o .org son dominios de primer nivel genéricos que se gestionan por InterNIC como
Registro -entidad norteamericana de carácter privado- y unos cuantos registradores
acreditados. Los dominios de primer nivel geográficos, por su parte, se componen de
dos letras (conforme al código ISO-3166) y corresponden a países o territorios tales
como España .es. La elección de uno u otro dominio depende, pues, de la rigidez de las
normas del registrador. .com lo aguanta casi todo, está sujeto a las mínimas formalidades y se obtendrá, si está libre, rápidamente. En el caso de .es, el dominio habrá de
coincidir con la denominación de la entidad, cumplir las normas de sintaxis y no incurrir en las múltiples prohibiciones que la normativa ES-NIC establece.
2. Si alguien ha ocupado el nombre de mi empresa, ¿qué puedo hacer?
Lo primero que hay que comprobar es si quien lo ha registrado tiene una marca idéntica o
similar, se apellida igual o tiene constituida una empresa con el mismo nombre en la otra
punta del mundo. Tal caso es lo que se conoce como “logical choice” o coincidencias fortuitas. Estas coincidencias no reflejan ningún ánimo de aprovecharse de la reputación ajena
y el que solicita el dominio es para usarlo y designar su web con él. Al no actuar el ocupante de mala fe, sería difícil recuperar el dominio mediante el arbitraje del ICANN y habría
que embarrarse en un pleito. En este caso, la lentitud está asegurada y el éxito de la petición dependerá mucho de la fecha en que cada una de las empresas se constituyese. Pesaría mucho, en el caso de España, que el nombre de la empresa estuviese también registrado
como marca: de hecho, todos los pleitos en que se han enfrentado titulares de marcas con
empresas que registraron su denominación como dominio acabaron dándole la razón a los
que tenían la marca registrada -como Nexus, Metacampus o Sertel-. Si el que registra nuestra marca como dominio es un cyberokupa, la cosa cambia. Aquí sí que tenemos posibilidades de recuperar el dominio por la vía del arbitraje que ha establecido el ICANN.
3. ¿Adónde puedo dirigirme para recuperar de una forma ágil “mi dominio”?
A pesar de llevar la Internet comercial tan poco tiempo en danza, son muchos los pleitos iniciados y sentenciados a costa de los nombres de dominio. Muchos de ellos en
EEUU, pero también en España, Francia, o el Reino Unido. Pleitear no es siempre el
mejor remedio, sobre todo cuando el cyberokupa reside en otro país y cuando uno
tiene prisa. Ante la avalancha de pleitos y su lentitud en “tiempo Internet”, el ICANN
(Internet Corporation for Assigned Names and Numbers) ha elaborado un sistema de
arbitraje on-line UDNR (Uniform Domain Name Dispute Resolution Policy), que permite solucionar la cuestión en un tiempo medio de 45 días y por un coste de unas
168.000 pesetas para quejas de uno a cinco dominios con la intervención de un sólo
árbitro. Las quejas se pueden presentar ante cualquiera de los prestadores de servicios
de arbitraje previamente aprobados por el ICANN, que al día de hoy son tres:
Dispute.org/eResolution Consortium, el National Arbitration Forum y el Centro de
Arbitraje de la OMPI. Aunque cada una de estas entidades ha aprobado sus propias
212
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
normas suplementarias, se rigen por las reglas dictadas por el ICANN. Para tener éxito
hemos de asegurarnos de que podemos probar la titularidad de la marca, que el nombre
de dominio que reclamamos es idéntico y que se ha registrado de “mala fe”.
4. ¿Es delito el cybersquating? ¿Es legal pedir dinero por ceder un dominio?
En España, registrar un dominio coincidente con una marca o denominación social no es
delito en sí mismo, aunque ya hay quien considera que cuando se okupa un dominio para
venderlo por cantidades astronómicas o se pide un rescate a cambio de no cederlo a la
competencia se podría estar ante una estafa o incluso ante un delito de coacciones. Hasta
el momento, las pocas actuaciones penales que en este aspecto se han iniciado en nuestro
país han acabado en archivo.
La cuestión de los dineros en los nombres de dominio es bastante delicada. La venta de
dominios que están en discusión, como year2000.com, puede alcanzar el precio que los
compradores estén dispuestos a pagar por él y nada impide que se venda. Sin embargo,
pedir dinero por un dominio discutible es considerado como prueba de mala fe por el
ICANN y puede llevarnos a perder el dominio, al equipararlo a un acto de cybersquating.
5. ¿Me pueden embargar el dominio si no pago las cuotas que establece la ley?
Como se venden o ceden, podría pensarse que un dominio es un bien con un valor económico y que, si no pago mis deudas, mis acreedores pueden embargarlo tranquilamente. El Tribunal Supremo del Estado de Virginia en el caso UMBRO opinó, sin embargo, que los dominios son inembargables porque la asignación y el mantenimiento es un
servicio y no puede equiparase legalmente a otros bienes susceptibles de embargo.
6. ¿Puedo llamar a mi web como quiera, por ejemplo, hastaloshuevos.es?
Que exista el sitio hastaloshuevos.com no impediría registrar ese dominio de segundo
nivel bajo .es, aunque muy probablemente tendríamos problemas con ES-NIC. Una vez
comprobado que no está registrado, el dominio habría de coincidir con nuestro nombre propio (caso ciertamente poco probable), con el de la organización que lo solicite o
con una marca que tengamos registrada. Superado este escollo, resulta que las normas
de ES-NIC prohiben los dominios que “incluyan términos o expresiones que resulten
contrarios a la ley, la moral o al orden público”, lo que nos lleva a la eterna discusión
de si una expresión más o menos malsonante o jacarandosa es contraria a la moral, si
es que alguien puede definir los contornos de este concepto. En fin, si uno pretende
iniciar una cruzada, adelante con la petición. Si lo que pretende es tener el dominio lo
antes posible, siempre nos queda .net.
C) Glosario de terminología y acrónimos
∑ CORE: Consejo de Registradores, asociación sin ánimo de lucro establecida por el
informe IAHC. Lo componen actualmente (9/99) 55 empresas.
∑ ccTLD: Dominio de nivel superior correspondiente a código de país. (En referencia
a los códigos de dos letras de la norma ISO 3166 que representan países y entidades
territoriales).
∑ Ciberocupación: Registro especulativo (o abusivo) de marcas propiedad de
terceros.
∑ Delegación: Delegación de un TLD en la raíz de Internet por parte de ICANN/IANA.
∑ Designación: Designación por la autoridad pública o el gobierno correspondientes
del Delegado, reconocido como competente para crear la organización registradora
y la base de datos del Registro.
∑ DNS: Sistema de nombres de dominio.
∑ GAC: Comité Asesor Gubernamental del ICANN.
Marco jurídico 213
∑ GTLD: Dominio de nivel superior genérico (tal como .com, .org, .int, etc).
∑ IAHC: Comité Internacional Ad Hoc.
∑ IANA: Autoridad de Números Asignados de Internet (predecesora de ICANN).
∑ ICANN: Corporación de Asignación de Nombres y Números de Internet (sucesora
del IANA).
∑ IETF: Grupo de Tareas de Ingeniería de Internet.
∑ ISO: Organización Internacional de Normalización, Ginebra.
∑ ISOC: Sociedad Internet.
∑ NSI: Network Solutions Incorporated, filial de Science Applications Investment
Corporation (SAIC).
∑ RFC: Request for Comments (invitaciones formular comentarios): en un principio,
denominación de un proyecto de norma Internet (IETF). En la práctica, una vez se
estabiliza una norma por consenso, no se modifica la denominación RFC(No).
∑ ACAPARAMIENTO:Registro especulativo de un número importante de palabras o
nombres, no necesariamente para utilizarlos, sino a la espera de poderlos transferir
posteriormente con una contraprestación.
∑ OMPI: Oficina Mundial de Propiedad Industrial.
∑ OEPM: Oficina Española de Patentes y Marcas.
∑ PUSC: Política Uniforme para la Solución de Conflictos.
∑ PAO: Procedimiento Administrativo Obligatorio.
∑ ADR: Alternative Dispute Resolution.
∑ TLD: Top Level Domain (Dominio de Alto Nivel).
∑ SLD: Second Level Domain (Dominio de Segundo Nivel).
5. Propiedad intelectual
5.1. La intersección de la propiedad intelectual y las TIC’s
¿Qué tienen en común estos dos términos aparentemente tan distantes para el profano? A modo de
respuesta global es necesario decir que el nexo de unión entre ambos conceptos son LOS CONTENIDOS. Ciertamente, cualquier contenido que fluya por los impulsos digitalizados de las redes de comunicación; Internet, telefonía móvil, T.V., radio, telefonía tradicional, sea en imagen o
en sonido seguramente presenta un flanco de protección de los contenidos en los términos que los
americanos denominan “copyright” los europeos “derechos de autor”.
Para ayudar al lector a centrarse en un tema distante y complejo para él será bueno recordar
que el derecho de propiedad intelectual es un derecho de tardía evolución, desde luego mucho más
tardío que el derecho a la propiedad en general, a pesar de que se trata de un subgénero de éste. La
protección de la propiedad intelectual no nace hasta que empieza a ser posible su agresión, cosa
que sucede tras la invención y difusión de la imprenta.
Es sin duda la puesta a punto de esta técnica lo que posibilita y diversifica las posibles agresiones al legítimo uso en exclusiva de los autores respecto del contenido de sus obras. Con anterioridad era tan caro y complicado el realizar una copia de una obra original y tanto el efecto positivo
de esta duplicidad sobre el autor y sobre la propia obra, que más que una agresión se consideraba
la copia como una bendición para ambos. Es tan sólo cuando la tecnología permite la masificación
del fenómeno con costes marginales decrecientes, cuando se hace imprescindible regular dicho
disfrute legítimo y limitar las, a partir de entonces fáciles, agresiones.
214
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Si este fenómeno se deriva de la invención y adopción de técnica simple ¿qué no podrá derivarse del uso masivo de una tecnología compleja, múltiple, acumulativa y constantemente cambiante, con respecto a los contenidos de información?
La revolución es de tal calibre y de tal calado que está obligando a un replanteamiento de todo el
esquema y principios que regulan la propiedad intelectual en el esquema de la producción tradicional.
Las novedades al respecto se manifiestan en tres planos diferentes:
1º. La aparición, producción y distribución masiva en tiempo real o no de nuevos productos concebidos y diseñados para desarrollarse en Internet; fundamentalmente, aunque
no sólo, los programas y aplicaciones software y las bases de datos.
2º. La reproducción/distribución incontrolada y compulsiva en soportes tradicionales de
los contenidos de Internet en un escenario de desubicación espacial y temporal de los
sujetos y de las acciones (agresiones).
3º. La proliferación de nuevos instrumentos de copiado, distribución y acceso de contenidos.
El primer bloque será abordado más adelante dentro del apartado que describe la evolución
del marco normativo. El segundo de los citados será abordado de modo permanente a lo largo del
presente capítulo y a continuación desarrollaremos el tercero por lo que encierra de novedad y lo
ilustrativo que resulta para calibrar la estrecha vinculación existente entre contenidos (Propiedad
Intelectual) y Nuevas Tecnologías.
Antes de continuar la lectura es obligado advertir que el contenido de este apartado es de carácter mesuradamente técnico, por necesidades del propio contenido. En principio pudiera parecer
que su interés se reduce a los autores o titulares de derechos sobre la propiedad intelectual, pero no
hay que olvidar que el desconocimiento de la ley no exime de su cumplimiento y, en consecuencia, el tema se reviste de gran importancia para todos los usuarios si quieren llegar a manejar con
soltura unos conceptos mínimos que les sean útiles para prevenir posibles ilícitos no voluntarios y
limitar así a priori su responsabilidad jurídica, tanto civil como penal.
A. LOS LINKS. Una de las ventajas que presenta la arquitectura de Internet es la posibilidad de desplazarnos de un documento a otro mediante la utilización de links, que
permiten desarrollar una mayor y más rápida actividad a los usuarios al tiempo que
multiplican las posibilidades de cometer agresiones sobre los contenidos.
Por su naturaleza los links (enlaces) son de dos tipos:
a) Los normales o activos; son aquellos activados conscientemente por el usuario con
el fin de que le sea más fácil la conexión a otras web-sites o páginas de la red,
ahorrándose así la memorización y tecleado de las direcciones de destino.
b) Los ensamblados o pasivos; son aquellos que aportan a un website cualquier tipo de
archivo (texto, imagen, sonido, etc.) situados en otros sitios o páginas.
Al activar el link normal, el usuario es consciente de que está visitando otro portal, momentos
que en el segundo, que no necesita activación de ningún tipo, aquél no es consciente de haber “invadido” un entorno distinto del que en principio seleccionó. Lógicamente si la página de destino es alterada mediante la aplicación de un deep link, ensamblado o enlace profundo, el usuario tiene acceso
a ello sin respetar el recorrido previsto por el titular del sitio web, alterándose de este modo la voluntad del titular manifestado a través del diseño, la arquitectura técnica y los enlaces activos. Con ello
es seguro que se desestructura la información contenida en la página web y quizás hasta se violente
la pasarela de audiencia con respecto a la publicidad si la hubiera. Con ello estamos apuntando que
la problemática jurídica derivada de esta técnica rebasa con mucho el estricto ámbito de la propiedad
intelectual, pudiendo abarcar otros como; derecho de la competencia, de marcas, de la publicidad,
derecho a la imagen y al honor personal, responsabilidad del titular de la página, etc.
Un link o enlace normal no es más que una reserva dentro de una pantalla que cuando es seleccionada por el usuario origina la desaparición de ésta y la inmediata carga en nuestro ordenador
Marco jurídico 215
de una pantalla completamente nueva. En definitiva un link es una referencia U.R.L. (dirección)
de la red y en general están diferenciadas dentro de la estructura de la página apareciendo en color
azul y en ocasiones mediante subrayado del texto, para facilitar su localización y uso activo. Por
el contrario la técnica del deep-link actúa de modo automático e inconsciente para el usuario. La
doctrina jurídica opina que el link normal no supone una agresión al derecho sobre la propiedad
intelectual de los contenidos. Plantear lo contrario sería equivalente a socavar una de las peculiares características de uso de Internet y sin duda alguna, una de las principales razones de su éxito.
Debe prevalecer por lo tanto el propio funcionamiento natural de la Red en detrimento de una hipotética vulneración de la propiedad intelectual.
Un supuesto distinto lo constituye una colección de vínculos, por ejemplo relacionados con un
mismo asunto o cuestión. Entonces estaríamos contemplando una base de datos de enlaces o vínculos y esta unidad sí que sería susceptible de protección intelectual (a modo de antología literaria).
Con respecto a los links-profundos cabe decir que sí implican agresiones a este hecho y posiblemente a todos los demás detallados anteriormente. La responsabilidad jurídica derivada de la
agresión recaerá lógicamente sobre quien tomó la iniciativa del link y nunca sobre el portal receptor inconsciente, porque el desmesurado número de links existentes, tanto de uno como de otro tipo,
convierte en inviable un control exhaustivo sobre ellos.
B. BUSCADORES DE PÁGINAS WEB.
Otra característica de Internet es la posibilidad que ofrece para llevar a cabo la búsqueda
automatizada de una información mediante el uso de sistemas diseñados al efecto. Dicho
proceso de búsqueda obliga técnicamente a una especie de reproducción de contenidos
por lo que cabría pensar en una posible vulneración del derecho de propiedad intelectual
de los contenidos. A modo de ejemplo citamos algunos de los buscadores más famosos:
Yahoo!, Google, Atravista, Terra/Lycos, etc. La operativa técnica se estructura a partir
de software de inteligencia artificial que opera sobre bases de datos organizadas a partir
de palabras o textos de acceso. El resultado obtenido de un proceso de búsqueda se presenta a modo de links normales o activos en relación con la materia buscada. La tecnología disponible permite que el autor manifieste su voluntad de mantenerse al margen de
cualquier índice o buscador, opción que debe ejercitarse expresamente (option-out). El
simple hecho de que técnicamente sea posible ejercer esa opción reduce sustancialmente la posibilidad de calificar el uso de este instrumento como infracción o agresión a los
derechos de los autores de contenidos aportados a la red.
C. BROWSING.
Del inglés “to browse” (hojear) es una técnica que facilita el navegar por la red para
visualizar y evaluar rápidamente los contenidos. A pesar de que su uso exige siempre
de algún procedimiento de reproducción de contenidos (ya sea en memoria RAM o en
disco duro) lo cierto es que la finalidad última de dicho uso no da pié para que esta
práctica sea considerada como agresiva a los efectos de la propiedad intelectual.
D. CACHING.
En síntesis se trata del proceso de realización de una copia de archivo para su posterior
recuperación. El método caching implica un almacenamiento de copias en memoria RAM
del ordenador con el fin de facilitar posteriores y sucesivos accesos a una página web previamente visitada sin necesitar del acceso a los datos originales a través del “down load”.
Básicamente existen dos tipos diferenciados de caching en función de su sistemática:
a) Client caching; cuando el almacenamiento de la información se produce en la
memoria RAM del propio ordenador.
216
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
b) Proxy caching; cuando el almacenamiento se produce en la memoria del servidor.
Es utilizado por multitud de USUARIOS. Funciona como intermediario entre el
usuario individual y la página en la que se pretende acceder.
Los dos sistemas consiguen acortar el camino de enlace usuario/web visitado, se reduce el tiempo necesario para acceder a la conexión y en resumen se descongestiona el
tráfico de Internet.
Esta técnica influye directamente sobre los derechos de propiedad intelectual por cuanto se
fundamenta en la COPIA DE PAGINAS WEB. Los dos sistemas antes descritos inciden en
el derecho de reproducción atribuida en exclusiva al autor. Además el proxy caching atenta
contra el también exclusivo derecho de distribución al permitir accesos plurales a la copia.
Al tratarse de una operativa necesaria para el correcto funcionamiento de la red (a
modo de una servidumbre tecnológica) algunos autores se han pronunciado en el sentido de incluirla en las excepciones de copia privada en base al fair use. Hasta la fecha
no se conocen posicionamiento de la jurisprudencia sobre el tema. Las agresiones a los
derechos de los autores derivados de la práctica del caching son:
a) Se lesiona a lo bajo el número de “visitas” o accesos al servidor remoto, lo que
altera artificialmente la audiencia de la página web y en definitiva perjudica su
cualificación publicitaria y la retribución por este concepto.
b) No considera las actualizaciones de contenido realizados por el propietario de la
página web, hasta transcurrido un tiempo más o menos largo.
c) Agrede a los derechos de reproducción y distribución de los que es titular exclusivo
el autor.
Todo ello presenta también más derivaciones en el plano de la responsabilidad jurídica de las intermediarias y sobre el particular nos remitimos a lo expuesto al trato de la
Directiva U.E. 30/2001 y el Proyecto de Ley S.S.I. y del Comercio Electrónico.
E. FRAMING.
Esta técnica no es de uso tan generalizado como las anteriores. En términos muy elementales supone la inclusión de una página web determinada en una ventana de dimensiones reducidas dentro de otra página web, estando ambas separadas por un marco
(frame) manteniéndose en la barra de direcciones la U.R.L. de la originaria. Mediante
la utilización de esta técnica la pantalla del ordenador puede quedar dividida en múltiples secciones independientes, cada una de las cuales puede albergar diversos contenidos, incluidos nuevos frames lógicamente más reducidos que los primeros, siguiendo,
cada una una de las referidas zonas o ventanas, un funcionamiento independiente del
resto. Se usa esta técnica para facilitar la transmisión, almacenamiento y uso de documentos de gran tamaño a través de su división en unidades menores.
¿El uso de esta técnica puede suponer una actividad ilícita desde el punto de vista de la
Propiedad Intelectual? Indudablemente sí siempre y cuando los contenidos de las diferentes webs encadenadas mediante framing tengan diferentes autorías, por cuanto se presenta material ajeno como si de propio se tratase. Aún en el caso de que se citara su origen, se
debería contar además con la autorización del titular de los contenidos. Los litigios planteados hasta la fecha en U.S.A. han finalizado siempre mediante acuerdo extrajudicial, por lo
que aún no se dispone de una idea clara sobre el posicionamiento de los tribunales al respecto. La mayoría de transacciones alcanzadas pasa por la sustitución del framing por links.
F. TAGS Y METATAGS.
Los metatags son palabras ocultas que sirven para etiquetar (del inglés tag) de forma
no visible un portal par facilitar su búsqueda, es decir, para mejorar su colocación en la
lista de los resultados obtenidos mediante la utilización de un buscador. ¿Qué tiene que
Marco jurídico 217
ver esta práctica con la problemática de la Propiedad Intelectual? ¿Acaso las palabras
también son susceptibles de protección y adjudicación a un autor como parte integrante de una obra?
Está claro que llevando la problemática a su límite extremo los títulos de las obras, o
las marcas y los dominios de Internet son ejemplos de palabras, o de grupos reducidos
de palabras, susceptibles de protección. Mediante el uso de esta técnica un portal con
nombre notorio puede ser incorporado como metatag no visible en la identificación de
otra web-site menos famosa de la competencia, con la cual éste se vería favorecido en
el posicionamiento de los resultados obtenidos mediante el uso de un buscador. Supongamos que un portal de una librería cualquiera incorpora en su título a modo de metatag oculta la palabra “fnac”. Como puede intuirse la regulación de este conflicto tiene
más relación con la normativa de marcas que con la de propiedad intelectual.
G. FILTROS.
Se trata de un software específico cuya misión es cribar los contenidos que se transmiten a través de Internet mediante la aplicación de un determinado criterio. Su uso más
normal consiste en limitar el acceso a determinados contenidos; pornografía, entornos
de ocio o de juegos a través de equipos profesionales de empresa, etc. Como su funcionamiento actúa sobre contenidos específicos a través de “palabras clave”, de ello se
deriva una censura parcial de hecho, con la consiguiente alteración de la obra original y lo que ello conlleva de agresión a los derechos morales del autor (integridad y no
modificación de la obra).
El uso progresivo de las TIC’s propiciará sin duda la aparición de nuevas formas de producción y comunicación de los contenidos. En opinión del Abogado Eduardo Piestra,
especializado en derecho de autor.
“El autor pasará a ser productor de sus propios contenidos, y tendrá acceso a los
medios de producción: En determinados campos de la creación el acceso a las herramientas técnicas dependen de una fuerte inversión económica, pero poco a poco el autor
ya va accediendo a las herramientas digitales que le permiten realizar sus trabajos, de
forma independiente y sin estar sujeto a las directrices de terceros. Además los costes
tecnológicos bajan exponencialmente.
El autor pasaría a ser distribuidor: controlando y estableciendo sus propias condiciones,
el medio lo tendría a través de un nuevo canal de comunicación inmediato y con bajos
costes, Internet, ahora tiene la posibilidad de darse a conocer a través de todo el planeta,
la consecuencia inmediata sería la eliminación de todos los intermediarios clásicos sustituyéndolos por nuevas formas de comercializar en el Ciberespacio. El autor, por tanto,
tendrá que aprender a interactuar a través de la red, surgirán cibercomunidades en donde
compartan sus mismas sensibilidades y siempre habrá alguien que esté interesado por sus
creaciones. Mientras tanto, el mundo digital, plantea, entre otras, ciertas cuestiones jurídicas, como la territorialidad de los derechos, conflicto de leyes, derechos de digitalización,
o los derechos morales, que difícilmente se resolverán sino es a través de un consenso global; hasta entonces, se estarán creando una serie de conductas socialmente aceptadas que
más adelante serán muy difícil reconducir.
Por último, la concepción de autor habrá que contextualizarla en el Ciberespacio,
que significará que todos seremos autores, abandonando la actitud pasiva frente a los
medios actuales, para “ser parte en un mundo interactivo”.
H. NAVEGADORES.
La importancia del navegador se ha puesto de manifiesto por la pugna entre Netscape
y Microsoft a partir de 1995. El resultado ha sido una caída de un 90% de la cuota de
mercado en poder de Netscape en dicho año al actual 85% de Microsoft frente al coetá-
218
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
neo 13% que ostenta Nestcape. Ello ha propiciado la razón última de la batalla legal de
los organismos defensores de la competencia en U.S.A. contra Microsoft. ¿Por qué si
la distribución de los buscadores es gratuita en todos los casos? Porque el navegador
es tan sólo el primer eslabón del proceso de distribución y acceso a contenidos. Quien
domine ese eslabón dominará mucho más en la práctica, por no decir casi todo. Quien
domina el mercado de navegadores dominará sin duda Internet. Con el tiempo (el futuro está ahí) el navegador será el interfaz universal entre el usuario y todos los dispositivos de acceso: móviles, ordenadores, agendas PALM, televisión interactiva, etc., lo
cual condicionará el uso de los contenidos por parte de dichos usuarios; música, acceso
a documentos, descarga de archivos, videos, chatear, e-mail, etc.
I. FRAMES.
Es una herramienta introducida en Internet a partir de 1996 como una opción adicional de Netscape Navigator. Esta tecnología permite al diseñador de un website incluir
una a modo de ventana independiente que se abre automáticamente y que contiene una
página web secundaria, pero de modo que ésta última no está identificada por un nombre de dominio ni por su URL. En consecuencia los usuarios que acceden queriendo
o sin querer a esta página secundaria, no almacenan en su memoria cache los datos
identificativos de ella, sino los correspondientes a la primera web que diseñó la frame.
Lógicamente esta práctica ha provocado querellas y reclamaciones ante los tribunales
de U.S.A., en base a la legislación que protege el copyright y las marcas.
Las agresiones a las marcas se derivan de que el uso de esta herramienta permite ofrecer
y presentar determinados productos y servicios cambiando la marca del website “frameado” por la marca del web principal. Desde la perspectiva de la defensa de la propiedad
intelectual la agresión se concreta en el derecho de reproducción y de distribución ejercido sin autorización del autor. También se han iniciado procedimientos judiciales en base
a las leyes en defensa de la competencia, por cuanto esta práctica puede llevar a engaño a
los consumidores con respecto a quién les vende realmente lo que están comprando. Otro
tanto sucede con las actividades de publicidad o de mera esponsorización.
En 1997 se hizo famosa una reclamación judicial presentada por nada más y nada menos
que por: CNN, Dow Jones, Reuters, Time y The Washington Post contra una empresa denominada Total News que desarrollaba “metasites” o inventario de links y frames sobre diversos temas. Mediante esta práctica Total News controlaba el tráfico de acceso de usuarios a
las webs de los denunciantes y además comercializaba la publicidad con base en contenidos
ilegalmente apropiados. Los demandantes alegaron que esta práctica violaba sus legítimos
derechos sobre marcas y copyright además de tratarse de una apropiación ilegal del fondo
de comercio. El final consistió en una transacción extrajudicial entre las partes en el sentido
que se consentían los links y se renunciaba a la práctica del frame.
A la vista de la agresividad y la potencia de esta técnica respecto de los contenidos y tráfico ajenos sería conveniente desarrollar algún mecanismo capaz de bloquear los frames.
5.2. La regulación legal de la propiedad intelectual
El TRLPI considera obra a cualquier creación original expresada por cualquier medio o soporte,
y en la práctica, casi cualquier creación salida del ingenio humano reúne los requisitos necesarios
para ser protegida por la propiedad intelectual., aunque dependiendo del tipo de obra se exigirá
una mayor o menor originalidad. Además de las obras que se muestran en Internet, como textos,
fotografías, imágenes en movimiento, música, etc., el propio diseño de los sitios web, si tiene suficiente originalidad, el software sobre el que se crean los webs y las bases de datos que aparezcan
en Internet, son asimismo obras.
Esta legislación establece un monopolio de utilización a favor del autor por el mero hecho de
crear la obra, concediéndole el ejercicio exclusivo de los derechos de explotación en cualquier forma.
Marco jurídico 219
La explotación de las obras en Internet puede hacerse de muy distintas formas, lo que afectará a los derechos que los autores tienen reconocidos en exclusiva. Sin embargo, la digitalización,
la descarga de archivos, la transmisión a la carta, son actos que difícilmente encajan en los conceptos tradicionales de derechos de autor.
Esta legislación, concebida para el mundo analógico, es insuficiente para hacer frente a las
cuestiones que se plantean en el entorno digital. Figuras como la copia privada, deben ser replanteadas, estableciéndose algún tipo de compensación o canon para evitar los perjuicios que están
suponiendo para la industria del ocio el que cualquier usuario pueda reproducir y enviar archivos,
como el MP3, protegidos por la propiedad intelectual.
Por ello está en tramitación una Propuesta de Directiva del Parlamento Europeo y del Consejo sobre la autorización de determinados aspectos de los derechos de autor y derechos afines en
la sociedad de la información. Esta norma pretende armonizar la legislación europea adaptándola
al entorno digital. Los principios que establece son:
∑ La necesidad de autorización por parte de los autores para llevar a cabo la reproducción (salvo cuando sean transitorios y accesorios), la distribución y la comunicación al
público de sus obras, por cualquier medio y en cualquier forma.
∑ Se establecen unas excepciones a tales derechos, por las cuales no habrá que pedir autorización, que darán lugar, con carácter general, a una compensación económica.
∑ La transmisión o difusión a la carta de contenidos en la Red constituye un acto de
comunicación pública que debe ser autorizado en cada caso por los titulares de derechos. Cada acto en línea debe ser autorizado cuando así lo exijan los derechos de autor
o afines (principio de no agotamiento de los derechos).
La aprobación de esta Propuesta de Directiva, unida a la recientemente aprobada de Comercio
Electrónico, contribuirá a crear un marco legislativo europeo homogéneo para la Red.
Sin embargo, el pasado 25 de Mayo los Quince no llegaron a un consenso debido, principalmente, al desacuerdo sobre las condiciones en las que se debe permitir la copia digital privada, y
la garantía de que recibirán una compensación por esas copias.
5.2.1. Marco legal
En lo sustancial el marco normativo regulador de la Propiedad Intelectual en los planos nacionales, europeo e internacional está definido por las siguientes disposiciones y leyes:
1º. Convenio de Berna de 9 de septiembre de 1886, revisado en París el 24 de julio de 1971
y ratificado por España el 2 de julio de 1973 (BOE nº 81 de 4 de abril de 1974 y nº 260
de 30 de octubre de 1974).
2º. Real Decreto 1434/1992 de 27 de noviembre (BOE nº 301 de 16 de diciembre).
Esta disposición legal regula aspectos del derecho de remuneración compensatoria por
copia privada. El artículo 10 determina qué reproducciones reprográficas no se consideran realizadas para uso privado del copista y, en consecuencia, requieren la previa
autorización de los autores de las obras reproducidas.
3º. Real Decreto 733/1993 de 14 de mayo (BOE nº 142 de 15 junio).
Esta norma recoge el nuevo Reglamento del Registro de la Propiedad Intelectual y establece un nuevo sistema que se caracteriza por su descentralización al crear registros
territoriales en las Comunidades Autónomas y uno central en Madrid.
4º. Directiva 93/98/CE de 29 de octubre relativa a la armonización del plazo de protección
del derecho de autor y otros derechos afines.
5º. Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal (BOE nº 281 de 24 de
noviembre).
220
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
6º. Real-Decreto Legislativo 1/1996 de 12 de abril por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual. (BOE nº 97 de 22 de abril).
7º. Directiva Europea 96/9/CE de 11 de marzo sobre la protección jurídica de bases de datos.
8º. Ley 5/1998 de 6 de marzo de incorporación al Derecho español de la Directiva 96/9/
CE, del Parlamento Europeo y del Consejo, de 11 de marzo de 1996, sobre la protección
jurídica de las bases de datos (BOE nº 57 de 7 de marzo).
9º. Directiva 01/29/CE de 22 de mayo relativa a la armonización de determinados aspectos del
derecho de autor y derechos afines en la sociedad de la información.
5.2.2. Dos grandes sistemas de protección
La protección de la Propiedad Intelectual implica el reconocimiento en exclusiva de determinados
derechos de disfrute al titular de dicha propiedad, en concreto sobre cuándo y cómo explotarlos. El
conjunto de la Propiedad Intelectual se ordena en dos grandes apartados:
a) Propiedad Industrial protege las invenciones, marcas, patentes, etc. En Internet el equivalente es el nombre de dominio.
b) Derecho de autor (o su equivalente copyright en inglés) que abarca desde la protección
de las obras hasta las prestaciones (actuaciones) de cantantes, autores, etc. Contra lo
que puede deducirse a primera vista en principio todos los contenidos de Internet estarían protegidos por esta modalidad.
Existe un nexo de unión entre ambas modalidades que es el título de una obra que
puede estar protegido bajo las dos modalidades.
Además es obligado que la distribución semántica incluida en el apartado b) no es gratuita y responde a dos formas distintas de cumplir un mismo objetivo.
- Derecho de autor, es el sistema desarrollado en Europa Continental y adaptada por
otros países, que pone el acento del sistema en la persona (el autor) y los derechos
que giran en torno a ella; los derechos económicos, los derechos morales y los
derechos vecinos o conexos.
- Copyright, es el sistema desarrollado originalmente por el Reino Unido y USA y
conocido consecuentemente como sistema anglosajón. La defensa de los derechos
gira en torno a la obra y la limitación de realizar copias sobre ella. Es un enfoque
fundamentalmente objetivo.
5.3. La piratería intelectual
A los efectos de este epígrafe entenderemos por piratería la realización de actividades comerciales
en el ámbito de las TIC’s que tengan por objeto directo una obra creativa sin disponer de la perceptiva autorización del autor. Normalmente este tipo de actividades afectan a los ya comentados
derechos de reproducción y distribución.
Los efectos de la piratería intelectual provoca multitud de efectos negativos que se concretan al final en pérdidas (o renuncia a ganancias) por importe de cientos de millones
de euros por el freno que supone sobre la creación artística y el descenso en las inversiones económicas destinadas al desarrollo de actividades culturales y de promoción
del arte y de la cultura.
Además se deduce de esta actividad un importe menoscabo a la tributación derivada
de la actividad comercial legal, lo cual a su vez provoca un doble efecto permicioso:
- La reducción de los ingresos públicos para la necesaria atención del gasto público.
- La agresión a las reglas de la competencia por cuanto determinados agentes
económicos (piratas) actúan sobre el mercado con unos menores costes (los
tributarios).
Marco jurídico 221
Dos son los ámbitos preferidos para el desarrollo de la piratería intelectual; por un lado
la copia ilegítima de programas de software y por otro la reproducción también ilegítima de archivos DVD con contenidos preferentemente de audio aunque también en
menor medida con contenidos audiovisuales.
5.3.1. Piratería informática
En la práctica presenta una amplia gama de formas:
a) Softlifting; cuando a partir de una única licencia sobre un programa, es posteriormente
cargado en diferentes aplicadores (ordenadores o servidores).
b) Dowloading; consiste en la copia de software accesible a través de la Red, sin autorización del autor y mediante un acto que podríamos llamar de tracto único.
c) Falsificación informática; copiar y vender ilegalmente software protegido intentando
conseguir la apariencia de que se trata de copias legales.
Dentro de esta actividad ha aparecido más recientemente una nueva modalidad que
consiste en poner a disposición gratuita de los usuarios mediante la práctica del
dowloading de software en principio obsoleto, con una antigüedad superior a 5 años.
Estas aplicaciones son de diversa naturaleza y se pueden encontrar desde sistemas
operativos, herramientas de recuperación de información, aplicaciones para fotografía; juegos, etc. Esta práctica se conoce bajo la denominación muy gráfica de “ABANDONWARE”. La base práctica de esta actividad es la fuerte rotación de las empresas
que generan software y la elevada velocidad de innovación tecnológica de este tipo de
aplicaciones. Es una respuesta del mercado usuario para romper la llamada “dictadura
del software” demostrando prácticamente que no siempre es necesario tener lo último,
que sí es posible completar aplicaciones antiguas con desarrollos accesorios, los códigos técnicos mantienen una viabilidad operativa pero para eso es necesario encontrar
ofertas de aquellas. De momento es una actividad desarrollada por particulares, pero
si colma cuerpo no tardarán en aparecer empresas que lo hagan con precios simbólicos. También es la respuesta efectiva de los usuarios frente a la tiranía de los fabricantes que dejan de dar soporte de mantenimiento a programas legítimamente adquiridos para forzar su reposición por otras nuevas. A veces el abandonware se realiza en
una cierta autorización, más o menos explicitado por parte del fabricante. De no ser
así no cabe duda de que se trata de una actividad ilegal por muchos benéficos efectos
que produzca.
Los adictos al abandonware tienen en la red un gran aliado, ante la dificultad que tienen
de encontrar el software deseado en tiendas de segunda mano o en mercadillos. Muchas
de las páginas con aplicaciones abandonadas se encuentran dentro de las de abandonware de juegos. Para los que la informática no es cuestión de comprar el último sistema operativo ni la máquina de 2 GHz de velocidad, extender la vida del ordenador es
cuestión de perseverancia.
En algunos casos, el nombre del interesado ha bastado para llevar con buen pie una iniciativa de abandonware. Por ejemplo, el inventor de la hoja de cálculo VisiCalc, Daniel
Bricklin, consiguió que Lotus Development le permitiera colgar la añeja aplicación en
su web para que cualquiera la pueda utilizar exclusivamente para uso particular. Lotus
compró VisiCalc en 1985 pero decidió no continuar comercializándola.
Algunos comercializadores son más “éticos” y para curarse en salud advierten que
“algunas de las aplicaciones todavía están protegidas por las leyes de copyright. Descargarlas y usarlas es ilegal. Intenta comprar estas aplicaciones cuando tengas la oportunidad. Sus creadores se lo merecen”.
222
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
5.3.2. El downloading de archivos D.V.D.
Hace relativamente poco explotó la moda de la descarga de archivos de audio a partir de la técnica
conocida como MP3. Hoy en día el caos está más controlado a partir de reiteradas sentencias condenatorias sobre el particular tanto en la Unión Europea como en U.S.A. contra Napster, pero estas
victorias no han supuesto de ninguna manera el final de la guerra, por cuanto al primer programa,
hoy controlado, que permitía a los usuarios de todo el mundo la descarga y uso de archivos musicales, le han salido múltiples, mejorados e incontrolados clónicos, como por ejemplo Morpheus.
Ante esta situación es cuando las discográficas optan por medidas desesperadas. Una de
ellas es la propuesta realizada por la oficina estadounidense de copyright, que pretende aumentar
las tasas en concepto de derechos de autor que pagan las radios on-line. El aumento de la cuota
significaría tener que asumir en algunos casos hasta diez veces más de lo que se venía pagando
hasta ahora, y con carácter retroactivo. La aprobación de esta medida significará sin duda el fin de
muchas emisoras de radio on-line en U.S.A.
El próximo 20 de mayo de 2002 se hará efectivo el Tratado Internacional contra la piratería, un acuerdo que ha sido ratificado por treinta países y que reconoce a la industria discográfica
los “derechos exclusivos de reproducción, distribución, alquiler comercial y difusión pública en
Internet”.
5.4. Cheklist para prevenir agresiones contra la propiedad intelectual de los contenidos
de una página web
- Antes de publicar un web en Internet, es importante crear una prueba de la titularidad
mediante la inscripción en el Registro de la Propiedad Intelectual o mediante la constitución de un depósito notarial o escrow. Los elementos del web que deben ser protegidos de esta manera son: los contenidos, el diseño gráfico y el código fuente, descritos
a través de los siguientes materiales:
a) Texto de cada una de las secciones.
b) Imágenes y gráficos de cada página.
c) Código fuente en HTML, Java, Java Script, Active X y CGI.
d) Código objeto en Java o Active X.
También puede depositarse un CD Rom con todo el contenido del web en el mismo formato
que puede ser visualizado a través de Internet.
- Para proteger los elementos creativos del diseño gráfico y funcional del web:
1. Efectúe un depósito notarial del diseño una vez lo haya finalizado, con el fin de tener
una prueba que permita comparar a nivel estético, conceptual y funcional el web que
imite las mismas prestaciones.
2. Mantenga un régimen de confidencialidad que impida la divulgación de los elementos creativos antes de que queden plasmados en el web.
3. Mantenga una vigilancia de los webs que se publiquen en Internet dentro del mismo
segmento de mercado en el que actúa su empresa, con el fin de detectar si incurren
en una imitación de prestaciones.
4. Envíe un requerimiento inmediatamente a los imitadores de sus elementos creativos
para evitar que éstos pasen a formar parte del estado de la ciencia del sector.
5. En caso de persistir, demande por competencia desleal a las empresas que de forma
sistemática copien sus iniciativas comerciales o las prestaciones de su web. Recuerde que una oferta comercial a través de Internet es plenamente transparente.
Marco jurídico 223
- En el caso que el web sea utilizado para comercializar programas de ordenador, imágenes o cualquier otro tipo de obra digital, redacte una licencia de uso adaptada a las
leyes de propiedad intelectual y a los Convenios Internacionales.
- Durante la fase de diseño del web y de la oferta comercial contenida en él, aplique las
medidas de seguridad y confidencialidad necesarias para evitar que los participantes en
el proyecto puedan divulgar u obtener un aprovechamiento ilícito de la información.
- Antes de iniciar el desarrollo del web:
1. Haga una relación de las fotografías, gráficos, textos, animaciones, sonidos,
composiciones musicales, videos y demás obras que vaya a reproducir total o
parcialmente.
2. Compruebe el nivel de titularidad que ostenta sobre los mismos, si pertenecen a
otros autores o son de dominio público.
3. Diríjase a la entidad de gestión correspondiente para tramitar el pago de royalties.
Por ejemplo, si es una obra musical diríjase a la SGAE.
4. Si puede negociar directamente con el titular, intente conseguir una autorización
gratuita mediante el argumento de la difusión que se va a dar a su obra.
5. En todo caso, el derecho de cita le permite reproducir fragmentos reducidos de una
obra sin necesidad de autorización, siempre que cumpla los requisitos establecidos
por la Ley.
- Introduzca una advertencia en la que se indique que las actividades de reproducción,
transformación, distribución y comunicación sin autorización de su titular, constituyen una infracción. Relacione las actividades que el usuario está autorizado a realizar:
visualizar la información, efectuar un download, etc.
- En el caso de bases de datos, introduzca identificadores ocultos que le permitan descubrir y demostrar la existencia de reproducciones no autorizadas. Genere una prueba
notarial de la situación y contenido de dichos identificadores ocultos, con la finalidad
de poder acreditar la copia en un procedimiento judicial.
- Si el diseño y desarrollo del web o de alguna de sus partes (Contenidos, diseño gráfico
y código fuente) es encomendado a terceros, establezca contractualmente una reserva
de los derechos de propiedad intelectual y los pactos de confidencialidad oportunos.
- Al contratar profesionales o empresas externas para funciones de desarrollo:
1. Evite en la medida de lo posible que un profesional externo desarrolle todo el web.
2. Reparta las tareas de diseño y programación entre diversos profesionales y técnicos
de su empresa con el fin de que sea aplicable el art. 8 TRLPI relativo a las obras
colectivas.
3. Formalice siempre un contrato de arrendamiento de obra en el que se establezca una
cláusula en la que cada profesional que participe en un proyecto reconozca haber
participado en una obra colectiva.
- Para conseguir la aplicación del art. 8 TRLPI en el seno de la empresa, y dar a un web
el carácter de obra colectiva:
1. Reparta las tareas del proyecto entre varios técnicos.
2. Impida que un solo técnico desarrolle una parte que constituya un módulo
independiente.
3. Incluya una cláusula de reconocimiento de la obra colectiva en sus contratos
laborales y en sus contratos de arrendamiento de servicios o de obra.
224
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
- Para evitar los efectos negativos de un proyecto en colaboración con otras empresas:
1. Delimite perfectamente su aportación, con el fin de que constituya una obra totalmente independiente que se incorpora a un proyecto compuesto por obras independientes.
2. Establezca siempre un contrato que regule los términos en que se hace la aportación.
3. Exija que en el contrato de colaboración figure de forma anticipada el consentimiento de todos los participantes para divulgar y modificar la obra en el caso de que sea
necesario.
4. Establezca los porcentajes de participación en los ingresos que produzca la comercialización de la obra.
5. Establezca la prohibición o la autorización para explotar las aportaciones de cada
empresa de forma separada.
6. Regule de forma especial aquéllos puntos del régimen general de la comunidad de
bienes establecido en el Código Civil que no le interese que se apliquen de forma
subsidiaria.
- Un web es un elemento dinámico sometido a constantes modificaciones, lo cual dificulta el procedimiento de creación de pruebas sobre la titularidad. Una buena solución
consiste en efectuar depósitos notariales con periodicidad trimestral o semestral, en
función de la frecuencia de las modificaciones.
6. La contratación en el ámbito de las nuevas tecnologías
6.1. El estado de la cuestión
El imparable incremento de las TIC’s en la vida económica y jurídica de los últimos tiempos, así
como su proyección hacia el futuro, ha propiciado la aparición de nuevas circunstancias y posibilidades en dos órdenes diferentes de fenómenos:
a) En primer lugar ha facilitado la formalización de contratos en el entorno de Internet en
donde la desubicación geográfica y temporal complica, o puede complicar, lo que de
siempre se ha llamado las condiciones generales de contratación. Por poner un ejemplo
extremo Vd. puede formalizar hoy un contrato de compra-venta con un japonés residente en Osaka y para empezar la concreción de las circunstancias y condiciones se
complica:
•
¿Dónde estamos reunidos para contratar?
• ¿Siendo que día? Puesto que puede darse la circunstancia de que no sólo varíe la
hora (seguro) sino que también varíe la fecha (posible).
• ¿Qué normativa aplicaremos, la japonesa o la española?
• ¿A qué órgano judicial recurrimos en caso de controversia con respecto al contenido
y ejecución del contrato?
• ¿Qué prueba documental soportará la existencia y condiciones del contrato?
Estas son algunas de las cuestiones que debemos resolver. Se argumentará que estas circunstancias ya se dan desde siempre en algunos mercados, por ejemplo en los mercados continuos bursátiles, pero también es cierto que se trata hasta ahora de mercados muy formalizados en donde las
partes intervinientes están fuertemente reguladas por normativas pactadas y muy similares. Estas
circunstancias todavía no se dan, por desgracia en la mayoría de las transacciones en el entorno de
la Red que se mueven en un entorno “cuasi” experimental.
Marco jurídico 225
b) En segundo lugar la irrupción de las TIC’s ha propiciado la aparición de nuevos servicios
y actividades y ha provocado la posibilidad de realizar actividades tradicionales, como
la publicidad, bajo una nueva perspectiva. Cuando todo ello se cruza con la variante de
la Privacidad y su asimétrica regulación en función de los bloques geo/políticos, la problemática resultante se complica, siendo el fenómeno más conocido y más agitado como
estandarte por partidiarios y detractores o el conocido como SPAM, o mensaje publicitario no solicitado, que está levantando una complicada y agria problemática principalmente en el ámbito de la Unión Europea con ocasión del proceso regulador de las condiciones
de contratación y de prestación de servicios en la nueva Sociedad de la Información.
Una vez más en este campo del Derecho nos volvemos a encontrar con el diferente
posicionamiento frente al problema y a las posibles soluciones desde la óptica europea y la americana, con el eslabón débil del Reino Unido que resulta ser a la fuerza, la
intersección de los dos sistemas tan diferenciados.
Hoy en día en la Unión Europea y por lo que atañe a España estamos trabajando con
tres textos legales de diferente rango y en diferente fase de resolución:
A. LA DIRECTIVA EUROPEA 31/2000 de 8 de junio, que obligará a la transposición de
las legislaciones nacionales en un plazo máximo de 18 meses (ello quiere decir hasta el
17 de enero de 2002 por fecha de publicación).
B. EL REAL DECRETO 1906/99 por el que se regula la CONTRATACIÓN TELEFÓNICA O ELECTRÓNICA, con condiciones generales en desarrollo del artículo 5.3. de la
Ley 7/1998 de 13 de abril, de condiciones generales de contratación, que entró en vigor
a partir del 29 de febrero de 2000. A destacar que se trata de una norma anterior a la
publicación de la Directiva Europea.
C. Por último LEY DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y DEL
COMERCIO ELECTRÓNICO (Ley 34/2002, B.O.E. de 12 de julio de 2002), conocida
como LSSI que ha padecido un largo y tortuoso proceso de elaboración y aprobación,
como tendremos ocasión de exponer más adelante.
6.2. La normativa europea: directiva 2000/31/C.E., de 8 de junio de 2000
Es la directiva que regula determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior. Es habitualmente conocida como la DIRECTIVA SOBRE EL COMERCIO ELECTRÓNICO.
Hay que destacar la premura de la Comisión y del Parlamento europeos en promulgar una norma de este tipo, conscientes sin duda, como se explicitó en el Consejo de Lisboa de marzo de 2000,
de la conveniencia y urgencia de disponer de un marco legal común para el comercio electrónico,
como respuesta a las reticencias por parte de los consumidores y empresas europeas, frente a sus homólogos de los Estados Unidos, respecto a la seguridad y transparencia de las prácticas comerciales
en la Red, como primera piedra de un marco común ágil y posibilista que busca la armonización de
las leyes de los diferentes estados miembros de la U.E. en un plazo relativamente breve (18 meses).
En términos generales la directiva es aplicable a todas las actividades comerciales en la red,
con y sin remuneración: venta de mercancías, oferta de información, comunicaciones comerciales, servicios de búsqueda y recopilación de datos, vídeo a la carta, mercadotecnia directa y servicios de acceso a Internet. La norma también señala algunas actividades que son excluidas de su
ámbito por razones especiales, como detallaremos más adelante.
El texto de la directiva fija el lugar de ubicación de un negocio: “Allí donde se desarrolla la actividad económica del prestador de servicios” independientemente de donde se encuentre el proveedor de acceso o la tecnología, a efectos de adjudicar “la competencia país” en caso de conflicto.
226
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Otra novedad consiste en la inclusión de las competencias de las PROFESIONES REGULADAS sin menoscabo de las regulaciones específicas de cada una de ellas en cada uno de los
estados miembros.
También es importante destacar la apuesta clara y decidida por la RESOLUCIÓN EXTRAJUDICIAL DE CONFLICTOS, mediante la elaboración de CÓDIGOS DE CONDUCTA capaces de facilitar la autorregulación, o bien mediante el establecimiento de SELLOS DE CALIDAD
que funcionarían a modo de “las banderas azules” en una playa, indicando así que la empresa que
dispone del “sello” ofrece garantías.
La norma europea continúa con la práctica de introducir a modo de vocabulario de DEFINICIONES, en donde se precisan los conceptos jurídicos que se entienden detrás de los términos
técnicos. Por su prácticamente total coincidencia con el mismo vocabulario y definiciones que incorpora el texto del proyecto de ley español tal como hoy lo conocemos, nos reservaremos para su
exposición en el próximo apartado.
La eurodiputada del PP Ana Palacio hoy Ministra de Asuntos Exteriores y que fue ponente
de la Directiva que comentamos manifiesta; “Hay fragilidades enormes en la red” explica que la
directiva sobre comercio electrónico, plantea unos principios generales, pero no resuelve los problemas. “Las fragilidades en la red son enormes, y en Europa no confiamos en ella por la falta de
tangibilidad de los actores que operan en Internet”. Cuenta una anécdota para ilustrarlo: “Un
compañero me decía hace días que nunca introduciría su tarjeta de crédito en la red. Yo le contestaba que un camarero también puede sacar una copia de su número, y replicaba: ‘Sí, pero a un
camarero le puedo coger por las solapas’. Palacio considera que la directiva marca un hito en la
mentalidad europea porque permitirá, sobre todo a las pequeñas y medianas empresas, “sentirse
en Europa como en casa, y al consumidor moverse con completa seguridad”, según declaraciones
hechas a Lucía Enguiba Mayo y publicadas en El País de 18 de mayo de 2000.
6.3. La regulación del comercio electrónico en España
Tres son los elementos sobre los que se está configurando el Derecho Sustantivo español sobre la
materia:
- El primero es una norma de rango menor vigente desde el 29 de febrero de 2000, el Real
Decreto 1906/99 por el que se regula la CONTRATACION TELEFONICA O ELECTRONICA.
- El segundo en el tiempo es la Directiva Comunitaria 31/2000 de 8 de junio, relativa a
determinados aspectos jurídicos de los servicios de la sociedad de la información, en
particular del comercio electrónico en el mercado interior (Directiva sobre comercio
electrónico), que ha sido objeto de descripción comentado en el apartado anterior.
- El tercero es la Ley de de Servicios de la Sociedad de la Información y del Comercio
Electrónico (LSSI).
6.4. El Real Decreto 1906/99 por el que se regula la contratación telefónica o electrónica (B.O.E. 313/1999)
Hoy por hoy es el único texto legislativo sobre la materia, por lo que disfruta de una especial relevancia
a pesar de su menor rango normativo, por aquello de que en el país de los ciegos el tuerto es el rey.
El Art. 1 dispone el ámbito de su aplicación en los siguientes términos; “El presente Real
Decreto se aplicará a los contratos a distancia, o sin presencia física simultánea de los contratantes, realizados por vía telefónica, electrónica o telemática, que contengan condiciones generales
de la contratación, entendiendo por tales las definidas por la Ley 7/1998, de 13 de abril, y se entiende sin perjuicio de la aplicación de las normas vigentes en materia de firma electrónica contenidas en el Real Decreto Ley 14/1999, de 17 de diciembre”.
Marco jurídico 227
Se excluyen de su ámbito material los siguientes tipos de contratos (por su naturaleza): los
administrativos, laborales, de constitución de sociedades, los que regulan las relaciones familiares, los sucesorios y los relativos a servicios financieros de inversión, seguro y reaseguro.
En el último apartado (4) del art. 1 se dispone que las normas contenidas en este R.D. son de
aplicación siempre que la adhesión a las condiciones generales se haya efectuado en España, con
independencia de la ley aplicable al contrato.
El DEBER DE INFORMACIÓN PREVIA a la celebración del contrato, se regula en el Art.
2 fijándose un plazo mínimo de 3 días para que el predisponente (vendedor) facilite al adherente (comprador) información sobre todas y cada una de las cláusulas del contrato de modo veraz y
completo y remitirle el texto completo de las condiciones generales. Lógicamente se exceptúan de
esta obligación los contratos relativos a SERVICIOS DE TRACTO ÚNICO que se ejecutan mediante el empleo de técnicas de comunicación a distancia. Se refiere esta excepción a las compras
simultáneas por “bajada” (down loan) del producto por medios informáticos.
El art. 4 regula el DERECHO DE RESOLUCIÓN por parte del adherente, que podrá ejecutar en
el plazo máximo de siete días hábiles y por el cual no incurrirá en gastos bajo ningún concepto. Lógicamente, se excluyen también de esta posibilidad los supuestos excluidos en el párrafo anterior.
Por último se debe destacar por su importancia lo relativo a la ATRIBUCIÓN DE LA CARGA DE LA PRUEBA sobre la que el art. 5 dispone que recaerá sobre el predisponente excepto en
los casos en que se utilice una FIRMA ELECTRÓNICA AVANZADA en los términos del Real
Decreto-Ley 14/1999 sobre firma electrónica. Esta disposición está enfocada claramente a la defensa de la parte en principio más débil, el consumidor. Curiosamente este criterio que en principio parece acertado no se mantiene en el texto del Proyecto de Ley de Servicios de la Sociedad de
la Información, según la última versión hoy conocida y que comentamos a continuación.
6.5. La ley de servicios de la sociedad de la informacion y del comercio electrónico
(LSSI) Ley 34/2002
6.5.1. Circunstancias y evaluación de la ley
En las fechas que redactamos este texto se deben hacer algunas consideraciones sobre su historia,
que es breve pero intensa, así como sobre las circunstancias que la rodean.
1º A pesar de que el Gobierno del Partido Popular viene repitiendo reiteradamente desde 1999
la importancia y la urgencia de esta Ley, la verdad es que el proceso de gestación gobernativa ha sido excesivamente largo, superando con creces el plazo de transposición concedida
por la Directiva U.E. que finalizó el 17 de enero 2002, lo que confirma lo tortuoso de un
proceso por lo demás “urgente y necesario”.
2º La última versión se ciñe perfectamente al esquema y contenido de la Directiva Europea antes comentada, por lo que a lo largo de esta exposición nos remitiremos reiteradamente a lo expuesto con anterioridad en la medida de lo posible.
3º Esta nueva versión del proyecto normativo se ha elaborado tras un amplio proceso de
consulta pública durante el que se han recibido más de 50 contribuciones de las principales asociaciones, grupos, empresas y agentes interesados en el contenido de la
norma. Igualmente el texto ha sido informado por el Consejo Asesor de las Telecomunicaciones y de la Sociedad de la Información, y otras instituciones como la Agencia
de Protección de Datos, el Consejo de Consumidores y Usuarios, la Comisión del Mercado de las Telecomunicaciones y la Comisión General de Codificación.
4º La evaluación del contenido del proyecto de norma en la versión última conocida ha
levantado sonoras críticas por parte de la oposición al Gobierno. Concretamente el
PSOE se encuentra preparando una réplica y una posible enmienda a la totalidad para
228
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
oponerse al proyecto de Ley de Servicios de la Sociedad de la Información (LSSI), para
su explotación en el trámite parlamentario. Los socialistas denuncian que el Gobierno
quiere imponer con éste la censura previa en Internet.
A este respecto, el responsable federal socialista de Innovación, Enrique Martínez, ha
denunciado “el secuestro y las medidas de restricción” impuestas desde el Ejecutivo en
el desarrollo de este proyecto. En su opinión, el Gobierno trata de establecer una especie
de censura previa, que vulneraría la Constitución española, al introducir “la obligación
de comunicar a las autoridades judiciales y administrativas los contenidos, así como la
identificación de los destinatarios”.
El anteproyecto de ley es criticado, entre muchas otras cuestiones, por el control que efectúa
sobre la información. El texto, que ha sido reformulado en varias ocasiones, regula las obligaciones de los prestadores de servicios que actúan de intermediarios en la transmisión de contenidos
por las redes de telecomunicaciones, el régimen de sanciones de los prestadores de servicios en la
sociedad de la información, así como las comunicaciones comerciales por vía electrónica y la petición de información previa y posterior a la rúbrica de contratos.
Pero no sólo los políticos velan sus armas. Los usuarios españoles de Internet agrupados y liderados por la publicación on-line KRIPTOPOLIS se han declarado públicamente en pié de guerra contra los guiños intervencionistas (que son muchos en comparación con la Directiva Europea) y concretamente en contra del cambio de orientación que el Gobierno ha realizado en este último borrador por lo que respecta al spam
(publicidad no solicitada), como tendremos ocasión de comentar más adelante. Es tanta
la belicosidad anti-proyecto de Kriptópolis que ya han anunciado su intención de acudir a los Tribunales si la LSSI sale adelante en los términos hoy conocidos.
Desde el Ministerio de Ciencia y Tecnología se piensa que determinados grupos, como
Kriptópolis, han sacado las cosas de contexto y mantienen una actitud en contra del diálogo que
no es beneficiosa. Las fuentes ministeriales consultadas entienden que la alarma que se ha creado
en este asunto es excesiva y aseguran que, en este cuarto borrador, aspectos como la libertad de
expresión o la capacidad sancionadora de los jueces están absolutamente garantizados. Aunque
este último punto es verdad pero no toda la verdad, por cuanto la vía judicial queda relegada al final y derivada hacia la jurisdicción contencioso-administrativa que se caracteriza por su complejidad y consecuente lentitud.
Para Kriptópolis el anteproyecto se define como “la nueva Inquisición digital”.
En opinión de Gonzalo Álvarez Marañón, doctor ingeniero de telecomunicaciones del
C.S.I.C. “Desde algunos colectivos internautas se ha desatado la voz de alarma y el grito de lucha contra una legislación retrógrada y restrictiva que podría poner bozal a la expresión libre en
Internet, se sentarían las bases legales para instaurar la censura telemática en nuestro país y el
control administrativo exhaustivo de los medios independientes de información en Internet. “La
LSSI no sólo no favorece el desarrollo del comercio electrónico en España, sino que perjudica a
las empresas españolas respecto a las del resto de Europa”. En definitiva, tanto si se examina desde el punto de vista de las libertades civiles como del fomento del libre mercado digital”.
En su exposición de motivos la LSSI dice: “La presente Ley tiene por objeto la incorporación al ordenamiento jurídico español de la Directiva 2000/31/CE”. Dicho así parece que se trata
de una mera transposición, pero la realidad supera siempre a la ficción y constatamos que el proyecto español rebasa con mucho los planteamientos de aquella principalmente en lo relativo a:
a) La Directiva no acepta las obligaciones de supervisión de carácter general, aunque sí
acepta las específicas.
Marco jurídico 229
b) El proyecto LSSI aporta inseguridad jurídica a la hora de decir qué ISP están sometidos a la norma española.
c) El exceso planteado por el proyecto español en lo relativo a limitar el acceso a contenidos de ISP extranjeros.
d) Lo desmedido de las sanciones recogidas en el proyecto LSSI contraviniendo el art. 20
de la Directiva que dispone textualmente; “las sanciones que se establezcan deberán
ser efectivas, proporcionadas y disuasorias”. Por el contrario el proyecto instaura sanciones desproporcionadas y recaudatorias.
e) El excesivo detallismo de la información a incorporar en los contratos on-line, muy por
encima de lo establecido en la Directiva sobre el particular.
Por todo ello y quizás por algo más surgen voces pidiendo la retirada del proyecto en base a
que no es una ley necesaria. Ante esta pretensión cabe decir lo siguiente:
1. Sí es necesaria una norma que reduzca la inseguridad jurídica derivada de la contratación y prestación de servicios en Internet, pero sin alimentar los excesos
intervencionistas de la Administración.
2. En el marco de la U.E. resulta pueril pretender ignorar la vigencia de la Directiva 2000/
31 y su obligada transposición por parte de los Estados miembros. O se acepta la ley o
se renuncia la U.E.
ES UNA LEY NECESARIA PERO EL TEXTO APROBADO LA CONVIERTE EN:
INEXACTA, PARCIAL, SECTARIA, INTERVENCIONISTA Y EN SÍNTESIS, INJUSTA.
1. INEXACTA. Su objetivo no se corresponde con la verdad. Dice en su EXPOSICION
DE MOTIVOS que; “tiene por objeto la incorporación al Ordenamiento Jurídico español de la Directiva 2000/31. Y ello no es cierto por:
a) No recoge el espíritu de la Directiva U.E. Por ejemplo el spam (Art. 20) o la
legitimación interventora, por parte de la Administración.
b) Distorsiona el espíritu de la Directiva con respecto a las sanciones (Art. 37).
2. PARCIAL. Se preocupa de la protección de la Demanda (Usuarios) y sospecha, penaliza y ahoga el desarrollo de la Oferta (Prestadores de Servicios). Desarrolla RELACIONES ECONÓMICAS ASIMÉTRICAS.
También hay que decir en este sentido que tal como desarrolla las MEDIDAS CAUTELARES Y PREVENTIVAS divide el ámbito virtual en ricos (poderosos) y pobres
(débiles). Los primeros son los que disponen de tecnologías de acceso sofisticadas que
eluden fácilmente las barreras legales. Ver L. LESSIG “El Código (tecnológico) y otras
leyes del Ciberespacio”.
3. INTERVENCIONISTA/SECTARIA. Siguiendo una lamentable tradición en el desarrollo
de los nuevos ámbitos jurídicos (por ejemplo AUDITORÍA DE CUENTAS (1988) o PROTECCIÓN DE DATOS PERSONALES 1992 a 1999) se ha conseguido un texto legal cargado de desconfianza hacia las empresas ofertantes de servicios. Además la filosofía y la
cuantía de las infracciones y sanciones es MARCADAMENTE INJUSTA Y CON VOCACION RECAUDATORIA. Perfila la figura del PRESTADOR DE SERVICIOS a modo de
“COMISARIO POLÍTICO” colaborador de los Órganos de Control de las Administraciones Públicas (LEY DE LA PATADA EN EL BIT). (Deber de Colaborar Art. 35).
4. INJUSTA. Es la única conclusión posible después de las anteriores calificaciones, porque todas ellas la convierten en una norma que genera RELACIONES JURÍDICAS
ASIMÉTRICAS que es el máximo agravio que puede llegar a perpetrar un texto legal.
Una ley que no es en sí misma homogénea para todos los que estén en las mismas circunstancias, resulta INJUSTA.
230
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
A pesar de todo también es preciso decir que se trata de una LEY NECESARIA, pero su
futuro exige una profunda revisión para SUBSANAR LOS DEFECTOS señalados anteriormente,
dotando al proceso de re-elaboración del texto de la NECESARIA TRANSPARENCIA, de la que
ha carecido hasta la fecha. En caso contrario habremos perpetrado un atentado legislativo que:
a) Entronizará una NORMA INJUSTA.
b) Favorecerá a la ADMINISTRACIÓN (por el ansia recaudatoria vía sanciones y por
aumentar la cuota de poder del Ejecutivo).
c) Favorecerá a los BUFETES JURÍDICOS (por la cantidad ingente de conflictos
jurídicos que generará en la práctica).
d) Será una AGRESIÓN al necesario desarrollo de la implantación y aceptación de
Internet. Paradójicamente puede resultar un lastre para el ya de por sí cuestionado
Plan INFO XXI.
Quizás pueda parecer excesivo lo dicho al evaluar el contenido de la LSSI. Con el fin de
aportar la posición de un tercero ajeno a quien escribe, reseñamos algunos párrafos de un trabajo
publicado en La Vanguardia en marzo de 2002 firmado por Adela Alós-Moner que es Presidente
del Col-legi Oficial de Bibliotecaris-Documentalistes de Barcelona.
“Uno de los aspectos más criticados de esta ley es, precisamente, que se quiera legislar Internet
como algo ajeno a la realidad, como un cuerpo extraño a la sociedad. Algunos servicios que ofrecen
hoy bibliotecas y centros de documentación pueden verse afectados por esta ley en cuanto proveedores
de servicios de información.
El proyecto cita una “autoridad competente” -actualmente no existente- con potestad para tomar medidas. Este aspecto es, por lo menos, preocupante: porque, ¿quién decide que unos contenidos
son ilícitos?
Siempre que se trata este tema se ponen ejemplos socialmente alarmantes (pornografía infantil,
básicamente) pero lo cierto es que la línea conducente a la satanización de ideologías puede estar muy
cerca. Es necesario así, pues, definir con claridad qué organismo y con qué criterios juzgará.
La directiva adolece de dos grandes males: por un lado, no ha consensuado un marco de excepciones común para todos los países miembros, con lo que la ansiada armonización puede no llegar a
producirse.
Por otro lado, hace especial hincapié en los peligros de la tecnología para los titulares de los
derechos de autor, y blinda las medidas tecnológicas que éstos puedan utilizar para proteger sus obras
en la red. Como resultado, los usuarios podemos quedar a merced de un férreo control del uso de la
información por parte de sus creadores.
Si a estas normativas añadimos los intentos -algunas veces logrados- que se han producido a
raíz del 11 de septiembre relativos a la violación de la privacidad de los correos electrónicos, deberemos coincidir ciertamente en la necesidad del que proveedores de información, empresas y ciudadanos
se informen, conozcan las implicaciones que estas normativas tienen y hagan sentir su voz a través de
organizaciones sociales y políticas para que la razón de unos no se imponga sobre la de todos.”
6.5.2. Objeto
1. Es objeto de la presente Ley la regulación del régimen jurídico de los servicios de la
sociedad de la información y de la contratación por vía electrónica, en lo referente a
las obligaciones de los prestadores de servicios que actúan como intermediarios en la
transmisión de contenidos por las redes de telecomunicaciones, las comunicaciones
comerciales por vía electrónica, la información previa y posterior a la celebración de
contratos electrónicos, las condiciones relativas a su validez y eficacia y el régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información.
Marco jurídico 231
2. Las disposiciones contenidas en esta Ley se entenderán sin perjuicio del régimen jurídico
aplicable a la protección de la salud pública, a los datos personales y a los derechos de los
consumidores y usuarios, del régimen tributario aplicable a los servicios de la sociedad
de la información y de la normativa reguladora de Defensa de la competencia.
Se amplía la casuística de la excepcionalidad de regímenes jurídicos específicos con
respecto a lo contemplado en la Directiva Comunitaria. Concretamente los supuestos
incluidos en el Art. 1.2. son:
a) Régimen jurídico aplicable a la Salud Pública.
b) Régimen jurídico aplicable a la protección de datos.
c) Régimen jurídico aplicable a los derechos de los consumidores y usuarios.
d) Régimen tributario aplicable a los servicios de la sociedad de la información.
e) Régimen tributario aplicable a los servicios de Defensa de la competencia.
En la primera regulación ya nos encontramos con excepciones al objeto ampliadas, lo
que implica un primer recorte del ámbito objetivo que se le atribuye al anteproyecto.
6.5.3. Ámbito de aplicación
En el texto de la Ley, se define el ámbito de aplicación de la norma conforme a los principios de
país de origen y de mercado interior previstos en la normativa comunitaria, y se consagra el principio de libre prestación de servicios, no estando sujeta a autorización de ninguna clase. Estos
contenidos se recogen en los Arts. 2, 3, 4 y 5. Hay que destacar que la vinculación de un prestador de servicios al término “establecimiento permanente”, como prueba para establecer la sujeción de aquél a la LSSI, se entenderá a partir de la aplicación de criterios fiscales para la definición de éste.
Resulta obligado señalar que tal como está redactado el texto para determinar que ISP (prestadores de servicios en Internet) están o no establecidos en España, no aporta más que inseguridad
jurídica sobre el particular y acaba el Art. 2 con una disposición en negativa (Art. 2.3., 2º párrafo): “La utilización de medios tecnológicos situados en España para la prestación o el acceso al
servicio NO SERVIRA COMO CRITERIO para determinar por sí solo el establecimiento en España del prestador”.
El Art. 3 establece la sumisión a la ley española de los ISP establecidos en países de la U.E.
cuando presten servicios que afecten las siguientes materias:
a) Derechos de propiedad intelectual o industrial.
b) Emisión de publicidad por instituciones de inversión colectiva.
c) Actividad de seguro directo realizada en régimen de derecho de establecimiento o en
régimen de libre prestación de servicios.
d) Obligaciones nacidas de los contratos celebrados por personas físicas que tengan la
condición de consumidores.
e) Régimen de elección por las partes contratantes de la legislación aplicable a su contrato.
f) Licitud de las comunicaciones comerciales por correo electrónico u otro medio de
comunicación electrónica equivalente no solicitadas.
En todo caso, la constitución, transmisión, modificación y extinción de derechos reales sobre bienes inmuebles sitos en España se sujetará a lo dispuesto en el Derecho español.
Los prestadores de servicios a los que se refiere el apartado primero quedarán igualmente
sometidos a las normas españolas que regulen las materias señaladas en dicho apartado.
Con respecto a los ISP establecidos en países no miembros de la U.E. les será de aplicación
lo dispuesto en los Tratados Internacionales que procedan.
232
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
El Art. 5 regula los SERVICIOS EXCLUIDOS, quedando éstos tasados en tres actividades
concretas:
a) Los servicios prestados por Notarios y Registradores de la Propiedad y Mercantiles en
el ejercicio de sus respectivas funciones públicas.
b) Los servicios relativos a juegos de azar que impliquen apuestas de valor económico.
c) Los servicios prestados por abogados y procuradores en el ejercicio de sus funciones
de representación y defensa en juicio.
La normativa que regula el PRINCIPIO DE NO SUJECIÓN A AUTORIZACIÓN PREVIA
y de LIBRE PRESTACIÓN DE SERVICIOS, se contempla en los Arts. 6, 7 y 8. En este último se
enumeran los supuestos la interrupción del libre ejercicio de la actividad cuando se atente gravemente contra los siguientes valores:
a) El orden público.
b) La salud pública.
c) La dignidad humana.
d) La protección de la juventud y de la infancia.
De nuevo se amplía el número de supuestos que permiten la interrupción administrativa de
la actividad con respecto a la Directiva U.E. de referencia.
A destacar que en el Art. 8 del proyecto también se cualifican las medidas restrictivas a aplicar en los siguientes términos:
Las medidas de restricción a que hace referencia este artículo serán objetivas, proporcionalmente y no discriminatorias, y se adoptarán de forma cautelar o en ejecución de las resoluciones
que se dicten, conforme a los procedimientos administrativos legalmente establecidos o a los previstos en la legislación procesal que corresponda.
Lo preocupante de esta limitación es que no se centra exclusivamente en criterios judiciales, sino que son expansivos también en el área administrativa de muy difícil objetivización en sus
procesos de toma de decisiones.
Si para garantizar la efectividad de la resolución que acuerde la interrupción de la prestación
de un servicio o la retirada de datos procedentes de un prestador establecido en otro Estado, el órgano competente estimara necesario impedir el acceso desde España a los mismos, podrá ordenar
a los prestadores de servicios de intermediación establecidos en España, directamente o mediante
solicitud motivada al Ministerio de Ciencia y Tecnología, que tomen las medidas necesarias para
impedir dicho acceso.
Con respecto a esta última disposición sorprende cuando menos cómo podrá un órgano competente español ordenar a los ISP españoles que impidan el acceso a unos determinados contenidos
internacionales, porque esta limitación dependerá muy mucho de la tecnología de conectividad que
se aplique. El supuesto se puede complicar mucho más desde el punto de vista de la igualdad jurídica
si resultara imposible limitar el acceso de los usuarios españoles a partir de ISP’s extranjeros.
En cualquier caso, para este supuesto en concreto, no es conveniente olvidar la tesis de L.
Lessig: “el código tecnológico condiciona a la regulabilidad”.
6.5.4. Derechos de los usuarios y obligaciones de los prestadores (responsabilidad)
En lo relativo a RESPONSABILIDAD de los prestadores de servicios transcribimos literalmente,
por su transcendencia el régimen general y haremos a continuación unos comentarios sobre los regímenes particulares en función de la actividad concreta de cada prestador.
Artículo 12. Régimen de responsabilidad de los prestadores de los servicios de la sociedad de la información.
Marco jurídico 233
1. Los prestadores de servicios de la sociedad de la información están sometidos a las normas generales del Ordenamiento jurídico sobre responsabilidad civil, penal y administrativa, con las particularidades que deriven de la aplicación de la legislación sobre derechos
de los consumidores y usuarios, sin perjuicio de lo establecido en esta Ley.
2. Para determinar la responsabilidad de los prestadores de servicios que, en el ejercicio de
actividades de intermediación, transmitan, copien, almacenen o localicen contenidos ajenos, se estará a lo establecido en los artículos siguiente.
Los artículos que siguen son los específicos para las actividades de:
a) Redes y proveedores de acceso (Art. 13).
b) Actividad de copia temporal de bases de datos (catching) (Art. 14).
c) Alojamiento o almacenamiento de datos (hasting o housing) (Art. 15).
d) Facilitadores de enlaces a contenidos y/o a instrumentos de búsqueda (Art. 16).
En líneas generales mantienen, adaptada a sus específicas características, la excepción
general de responsabilidad del apartado 2 del Art. 12 si bien todos estos artículos coinciden en un apartado último que dice textualmente:
2. La exención de responsabilidad establecida en el apartado primero no operará en el
supuesto de que el destinatario del servicio actúe bajo la dirección, autoridad o control de su prestador.
Esta excepción a la regla general de exención de responsabilidad de los prestadores de servicios es común a todas las actividades y pretende evitar que éstos actúen como limitadores de la responsabilidad de sus mandantes, para evitar el posible fraude de ley.
6.5.5. Síntesis del contenido de la LSSI
1º ENTRADA EN VIGOR.
La Ley 34/2002 de 11 de julio (BOE de 12 de julio 2002) Ley de los Servicios de la
Sociedad de la Información y del Comercio Electrónico (LSSI) entra en vigor el 12 de
octubre de 2002.
2º PUNTOS DE INTERÉS. En síntesis los centros de interés práctico de esta nueva
norma son los siguientes:
a) UNA OBLIGACIÓN FORMAL. Registrar los nombres de dominio en el Registro
Mercantil.
b) RESPONSABILIDAD DE LOS OPERADORES (ISP).
c) CONDICIONES DE CONTRATACIÓN ON-LINE.
d) TRATAMIENTO DEL SPAM (comunicaciones comerciales no solicitadas).
e) CRUCE DE LA LSSI con la LOPD (Ley de Protección de Datos) a efectos de
defensa de la privacidad on-line.
3º UNA OBLIGACIÓN FORMAL.
Los prestadores de servicios de la sociedad de la información establecidos en España
deberán comunicar al Registro Mercantil en el que se encuentren inscritos o a aquel
otro registro público en el que lo estuvieran para la adquisición de personalidad jurídica o a los solo efectos de publicidad, al menos, un nombre de dominio o dirección de
Internet, así como todo actuó de sustituación o cancelación de los mismos, salvo que
dicha información conste ya en el correspondiente registro.
(...) La obligación de la comunicación deberá cumplirse en el plazo de un mes desde la
obtención, sustitución o cancelación del nombre de dominio o dirección de Internet.
234
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
La obligación, como hemos visto, consiste en inscribir por lo menos un nombre de dominio en el Registro Mercantil y dicha obligación corresponde a los prestadores de servicios de la sociedad de la información establecidos en España. El concepto de prestador
de servicio según la LSSI es la persona física o jurídica que proporciona un servicio de
la sociedad de la información y a la luz de cómo define la Ley a los referidos servicios,
cabe concluir que un prestador de servicios puede ser cualquier empresa que posea una
página web y en consecuencia, ésta deberá inscribir su dominio en el Registro Mercantil. En definitiva, que cualquier prestador de servicios de la sociedad de la información,
incluidos los servicios de intermediación, deberán inscribir por lo menos uno de sus
nombres de dominio en el Registro Mercantil correspondiente, obligación exigible desde
la entrada en vigor de la LSSI el 12 de octubre de 2002.
4º RESPONSABILIDAD DE LOS OPERADORES (ISP).
Los arts. 13 a 17 de la LSSI establecen la responsabilidad de los diferentes operadores,
en razón de la naturaleza de sus específicas actividades. La regla general es la de NO
RESPONSABILIDAD excepto que realicen determinados tratamientos sobre los datos
objeto de su servicio de acuerdo con cada función específica de dichos servicios. Tal
como están redactadas estas disposiciones será necesario aplicar MEDIDAS TECNOLÓGICAS preventivas que registren históricos de movimientos e incidencias “a priori”,
para su aportación como prueba en contrario en casos de que alguien pretenda derivar
algún tipo de responsabilidad sobre un determinado I.S.P.
- Art. 14. Responsabilidad de los operadores de redes y proveedores de acceso.
- Art. 15. Responsabilidad de los prestadores de servicios que realizan copia temporal
de los datos solicitados por los usuarios.
- Art. 16. Responsabilidad de los prestadores de servicios de alojamiento o almacenamiento de datos.
- Art. 17. Responsabilidad de los prestadores de servicios que faciliten enlaces a contenidos o instrumentos de búsqueda.
Además el Art. 12 establece el deber de retención y conservación por parte de las
ISP’s de los datos de tráfico relativos a las comunicaciones electrónicas y lo hace en los
siguientes términos:
1. Los operadores de redes y servicios de comunicaciones electrónicas, los proveedores
de acceso a redes de telecomunicaciones y los prestadores de servicios de alojamiento
de datos deberán retener los datos de conexión y tráficos generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información por un período máximo de doce meses, en los términos establecidos en este artículo y en su normativa de desarrollo.
Esta disposición en los términos en que está redactada, obligará a que los tecnólogos aporten soluciones que hagan viable su cumplimiento, de un modo económico y práctico.
5º CONDICIONES DE CONTRATACIÓN ON-LINE.
Los Arts. 23 a 29 de la LSSI regulan la contratación por vía electrónica. En conjunto
integran una serie de obligaciones formales para las relaciones B2B y B2C, tanto previas como a posteriori de haber formalizado el contrato.
De acuerdo con la naturaleza de cada tipo de transacción comercial en la red, se deberá
redactar un AVISO LEGAL que informe a los terceros contratantes de dichos requisitos formales. El disponer de un “aviso” de estas características resultará fundamental
en caso de que surja en el futuro algún tipo de litigio entre las partes.
Marco jurídico 235
6º TRATAMIENTO DEL SPAM.
El art. 21 dispone textualmente; “queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”. La opción elegida por nuestro legislador
(opt-out) posiciona a todo el sector español de marketing directo on-line, en clara desventaja con el resto de países de la U.E. y por descontado con respecto a los terceros
países no regulados al respecto.
Sorprende el hecho de que la LSSI aplique un criterio más rígido sobre las comunicaciones comerciales de lo que hace la LOPD (Ley de rango superior) sobre las comunicaciones personales, a pesar de tratarse en este caso de un bien jurídico a proteger de
mayor entidad que dichas comunicaciones.
7º CRUCE DE LSSI con la LOPD.
Tal como está redactado el texto definitivo de la nueva ley, si nos tomamos la molestia
de cruzarlo con las disposiciones de la LOPD en lo relativo a obligaciones, responsabilidades, infracciones y sanciones, llegaremos a la conclusión de que los riesgos de sanción son muy elevados y las cuantías de las multas son acumulativas. Todo ello lleva a
concluir sobre la NECESIDAD DE APLICAR MEDIDAS PREVENTIVAS DE SEGURIDAD, tanto TECNOLÓGICAS como JURÍDICAS en el marco de las dos disposiciones legales que comentamos.
6.5.6. Infracciones y sanciones
El título VII (artículo 36 al 44) está dedicado en exclusiva a la regulación de las INFRACCIONES
y SANCIONES. Una vez más cabe denunciar las veleidades intervencionistas de un Gobierno
¡con mayoría absoluta y liberal! Sobre un tema tan sensible como el de los Servicios de la Sociedad de la Información. Aquí el exceso sobre el espíritu de la Directiva antes comentado es claro
y sin paliativos, quizás se trate del “reflejo funcionarial” de la sociedad española. La casuística
contemplada como susceptible de sanción es farragosa, prolija, asimétrica y poco coherente y las
sanciones oscilan entre 3.000/99.000 euros para las infracciones leves y 300.000/600.000 euros
para las muy graves.
La competencia sancionadora recae en el Secretario de Estado de Telecomunicaciones y
para la Sociedad de la información, para las infracciones graves y leves y en el Ministro de Ciencia y Tecnología para las muy graves.
Sorprende una vez más esta obcecación del legislador español, aún cuando se trata de un
Parlamento con mayoría liberal, por reforzar el “Estado policía”. Sobre la facultad sancionadora,
todos los profesionales abogan por la postura que sean los jueces ordinarios los encargados. En
este sentido se manifiestan públicamente la Asociación de Internautas (A.I.) y la Asociación Española de Comercio Electrónico (A.E.C.E.).
DEFINICIONES DE TÉRMINOS EMPLEADOS EN LA L.S.S.I.
El único ANEXO, perpetra una sana costumbre de la mayoría de leyes y normativa relativas
a nuevas tecnologías y desarrolla. Los conceptos y las definiciones son en todo superponibles a los
que figuran en la Directiva Europea homóloga.
6.6. Caso yahoo!! Francia
La página web norteamericana de Yahoo! mantenía una lista (y mostraba imágenes) de objetos nazis que se ofrecían en subasta y daba servicio de hosting a una sección “revisionista”. A través de
la página web de Yahoo France, los usuarios franceses podían acceder a los contenidos de la página norteamericana. Los dos portales fueron demandados en París por LICRA (un grupo dedicado
a combatir el racismo y el antisemitismo) y el UEJF (un grupo de estudiantes judíos), alegando
236
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
que la publicidad y venta de los objetos nazis infringía el artículo 645-1 del Código Penal francés, banalizaba el Nacismo, alentaba la propagación del antisemitismo y era una ofensa contra la
memoria colectiva de un país profundamente herido por las atrocidades cometidas por los Nazis;
y pidiendo que el tribunal obligase a Yahoo! a hacer que estos contenidos y objetos fuesen inaccesibles desde Francia.
En tres decisiones de mayo, agosto y noviembre de 2000, el Tribunal de Grande Instance de
París (que a pesar de su nombre, es el Tribunal Superior de París) dio la razón a los demandantes.
En la primera sentencia (mayo de 2000) el tribunal ordenó a Yahoo! que prohibiese el acceso
de los usuarios franceses a las listas y subastas de objetos nazis y a los foros de discusión “revisionista”. En Cuanto a Yahoo France el tribunal le ordenó que notificase a sus usuarios que tendrían
que desconectarse si accedían a páginas o forums de Yahoo! que infringiesen las leyes francesas.
Aunque las sentencias no dicen nada, parece que cualquier otro de los portales franceses (o incluso buscadores) que proporcionasen un link a la página de Yahoo! norteamericana estarían en la
misma situación que Yahoo France.
En su defensa Yahoo! alegó:
- que el tribunal francés no era competente, porque los actos tuvieron lugar en los EUA, no
en Francia, y por lo tanto no podían constituir una infracción del código penal francés
- que la decisión del tribunal francés sería contraria a la libertad de expresión recogida en
la Constitución Norteamericana (1st amendment) y que Yahoo! no podría cumplirla.
- y que es técnicamente imposible cumplir lo que piden los demandantes porque Yahoo!
no puede identificar qué visitas a sus páginas web se han iniciado en Francia.
Por lo que respecta a la jurisdicción, el Tribunal de París dijo que si bien el upload en el servidor tuvo lugar en los EUA, “al permitir la visualización de estos objetos y la participación en la
exhibición y subasta de un usuario en Francia, se ha cometido una infracción en territorio francés”. El Tribunal no dio ninguna importancia al hecho que los actos no fuesen ilícitos en los EUA,
ni al hecho que el material no iba principalmente dirigido a los usuarios franceses, porque “Yahoo
sabe que las personas francesas accederán, y por lo tanto, hay suficientes vínculos con el foro para
establecer competencia”. En cuanto a las limitaciones técnicas, el tribunal decidió que eran “reales
pero no insuperables”, y por ello le dio un plazo de dos meses para cumplir la orden.
Las partes volvieron a comparecer en julio de 2000; Yahoo alegó que el cumplimiento de la
orden era técnicamente imposible. El tribunal nombró un panel de expertos internacionales para
evaluar si lo que decía Yahoo! era cierto y/o cómo se podría cumplir la orden. Este panel de expertos dijo que la tecnología para realizarlo ya existía y en la sentencia de noviembre de 2000 el
Tribunal de París confirmó su orden de mayo.
En diciembre de 2000 para adelantarse a (evitar) que la sentencia francesa fuera ejecutada
en los EUA, Yahoo! planteó una acción ante el tribunal federal de San José (California) para que
declarase que la sentencia francesa no podía ser ejecutada en los EUA. LICRA pidió que se desestimase la demanda, pero el District Court de San José se negó (orden de 7 de junio de 2001). El 7
de noviembre de 2001, se dictó la sentencia (Yahoo Inc. V. LICRA, U.S. District Court for de Nothern District of California, San José Division, case n.00-21275 JF). Según el juez, no se trata ni
de reconocer o no la soberanía francesa ni tampoco de aceptar o no la promoción del nazismo; se
trata simplemente de ver si la orden del tribunal francés, que rebasa las fronteras norteamericanas,
está de acuerdo con la ley de los EUA y en este sentido concluye:
“es preferible permitir la expresión no violenta de puntos de vista ofensivos que no imponer
regulaciones de la expresión basadas en puntos de vista gubernamentales. El gobierno y el pueblo
de Francia han tomado una decisión diferente basada en su propia experiencia.”
Marco jurídico 237
En cuanto a las posibilidades tecnológicas para cumplir la orden del tribunal francés, el juez de
San José fue taxativo: “aunque Yahoo! tuviese la tecnología para cumplir la orden francesa, obligarlo
a realizarlo sería una violación de su derecho a la libertad de expresión”.
Y parece ser que el caso continúa. A finales de febrero de 2002 un juez francés se declaró
competente para conocer una demanda presentada por una asociación de antiguos deportados de
Auschwitz en contra de Tim Koogle, fundador de Yahoo!
ICraveTV operaba una página web canadiense: captaba las señales de radiodifusión de programas canadienses y norteamericanos que se recibían en Canadá, convertía estas señales en formato
videostreaming y las ponía a disposición de suscriptores a través de su página web. ICrave TV alegó
que la captura, conversión, y la redistribución de programas televisivos de los EUA era lícita bajo
la ley canadiense (que permite retransmisiones secundarias de emisiones televisivas). Teóricamente,
ICrave TV restringía el acceso a su página web a usuarios canadienses (no obstante, éste filtro se podía salvar fácilmente identificando y proporcionando un prefijo telefónico canadiense).
Los productores de la televisión norteamericana plantearon una demanda en el Western District de Pensilvania, donde residen el presidente de ICrave TV y su director internacional de ventas.
El Tribunal se declaró competente (también basándose en los continuos y sistemáticos contactos de
la entidad canadiense con Pensilvania). En lo que respecta a la ley aplicable el tribunal encontró suficientes vínculos de conexión con los EUA para aplicar la Copyright Act norteamericana a las actividades de los demandantes, y concluir que hubo infracción en los EUA en el momento que los
ciudadanos norteamericanos recibieron la transmisión (videostreaming) no autorizada de material
protegido por el derecho de autor, independientemente del hecho que esta transmisión (videostreaming) comenzase en Canadá.
En este caso concreto a los productores de televisión solo les preocupaba como afectaba esta
actividad en el mercado de los EUA y según parece, tenían motivos para estar preocupados, ya que
más de la mitad de los suscriptores de la página web eran residentes en los EUA.
Pero supongamos que un nombre sustancial de usuarios residentes en otros países (por ejemplo en el Reino Unido y/o Argentina) hubiesen accedido al servicio de ICrave TV.
¿Cuál hubiese sido su reacción en este caso?
Paralelamente Yahoo! anunció su decisión de filtrar y eliminar el material racista (pej, objetos nazis y del Klu Klux Klan) de sus subastas, pero que no interferiría de ninguna manera en los
chat-rooms y webs particulares a las que prestaba servicio de hosting en su servidor. A lo largo del
2001 otras webs de subastas (e-Bay) también han hecho lo mismo.
7. La firma electrónica
7.1. La firma electrónica como factor de seguridad tecnológica y jurídica
La regulación jurídica de las nuevas tecnologías dejará de ser en breve una molesta carga de obligaciones para los empresarios y profesionales y, aunque con notable retraso sobre el calendario
previsto, sin duda será la base del proceso de incorporación de hasta tres millones de unidades
económicas de producción, integradas por empresas, autónomos y profesionales al uso de los sistemas de la información y las redes de telecomunicaciones. Hasta que esto no se consiga no podremos decir que España ha iniciado con decisión la incorporación de las nuevas tecnologías a la
gestión empresarial. Hasta la fecha el país vive inmerso en una esquizofrénica dicotomía:
a) Por un lado las grandes empresas con sistemas operativos ciento por ciento integrados
en el uso y aplicación puertas adentro de las nuevas tecnologías.
b) Por otro, millones de pequeñas empresas y autónomos que viven prácticamente de
espaldas al fenómeno, con el que tropiezan tan solo ocasionalmente con vocación experimental.
238
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
En la práctica, el numeroso colectivo segundo de los citados ralentiza notablemente y hasta
imposibilita los intentos por parte del segmento de “grandes empresas” por exportar puertas afuera sus sistemas organizativos con aprovechamiento total de las nuevas tecnologías.
Para superar el actual estado de cosas es necesario disponer de un marco jurídico capaz de
aportar los niveles de seguridad exigidos como mínimos en cada nivel de relación, puesto que dicho nivel es lógicamente diferente en función de los protagonistas y de la naturaleza de la relación
que establezcan. Así resulta evidente que las necesidades de seguridad tecnológica y jurídica son
distintas en los siguientes supuestos:
- Compra por Internet entre un particular y una empresa (B2C).
- Relación entre empresas a efectos de pedidos, facturación, etc. (B2B).
- Relación entre empresas y particulares con las diferentes instancias de las Administraciones Públicas.
El desarrollo del necesario marco jurídico presenta en estos momentos un innegable retraso
provocado principalmente por el fallido intento de regular jurídicamente la firma electrónica, mediante la apresurada fórmula del real decreto ley en 1999.
Paralelamente hay que hacer responsable por la parte que le toca al retraso en el despliegue
tecnológico de las redes extranet necesarias para el intercambio documental entre las diferentes
instancias públicas; administraciones, notarios, registradores, etc.
Pero como dice el refrán; “nunca es tarde si la dicha es buena” y ahora parece que sí, que el
rompecabezas está razonablemente completado y ya comienza a intuirse los beneficiosos efectos
de los siguientes sistemas en su funcionamiento integrado.
La firma electrónica una vez se haya actualizado su regulación jurídica de una forma operativa, según los parámetros del actual proyecto de ley aprobado por el Gobierno para su remisión
a las Cortes en la primera semana de abril de 2003, será el elemento que posibilitará el pleno desarrollo tecnológico y legal de diversos sistemas que ayudarán notablemente sin duda alguna a la
difusión del uso de las nuevas tecnologías, principalmente de Internet, entre las Administraciones
Públicas, las empresas incluidas las pymes y microempresas y en última instancia entre los ciudadanos españoles. Los referidos sistemas son:
1. El llamado Sistema e-Notario que desarrolla la normativa sobre el particular de la Ley
24/001 conocido coloquialmente como Ley de Acompañamiento a los Presupuestos
para el año 2002.
2. El Estatuto Nueva Empresa regulado en la Ley 7/2003 de 1 de abril de la sociedad limitada Nueva Empresa.
3. El Sistema e-Factura. Las facturas y recibos digitales emitidos y comunicados por
Internet con plena eficacia jurídica y tributaria.
4. El llamado Punto Neutro Judicial, como red de comunicación entre los diferentes organismos judiciales y entre ellos y otros servicios y bases de datos de la Administración
como pueden ser por ejemplo las Fuerzas de Seguridad o los diferentes Registros Públicos, Civil, Mercantil, etc.
1. FIRMA ELECTRÓNICA: APROXIMACIÓN TECNOLÓGICA.
Se trata del elemento tecnológico que da soporte a los estándares mínimos de seguridad que son
necesarios para la consecución de efectos jurídicos imprescindibles en las relaciones entre particulares y entre éstos y las administraciones. Dada su importancia en la doble vertiente técnica y
jurídica procedemos seguidamente a exponer estos dos planos por separado.
Marco jurídico 239
La firma electrónica es el resultado de encriptar mediante un código un determinado mensaje digitalizado, es decir que el significante del referido mensaje está soportado en bytes (impulsos
electrónicos) y no en átomos.
La encriptación deviene imprescindible para los sistemas mixtos de tratamiento y transmisión
de la información por redes a los efectos de dotar a los contenidos informatizados de las siguientes
propiedades absolutamente necesarias e imprescindibles desde la perspectiva de la seguridad:
- Integridad de los contenidos.
- Autenticidad (autenticación) de los sujetos que intervienen en el proceso.
- Confidencialidad; infracción protegida frente a terceros no autorizados.
Abordamos ambos términos de forma conjunta por dos razones:
a) Son conceptos complementarios para blindar un proceso de comunicación en su objeto
(contenidos) y en sus sujetos (las partes que intervienen).
b) Los mecanismos conceptuales y tecnológicos desarrollados para su protección tienen
un tronco común y se basan en la codificación y encriptación de los mensajes.
Retomando esta última idea podemos decir que el origen y desarrollo de ambas técnicas; codificación y encriptación en el mundo moderno se encuentran en los ámbitos diplomático y militar. Posteriormente el centro de interés invade el terreno del “secreto industrial” y no es hasta fecha
reciente, cuando se instala plácidamente orientado hacia la protección de los Derechos Humanos
llamados de tercera generación, como conceptos capaces de preservar la confidencialidad, intimidad y privacidad de los mensajes y de las personas que los intercambian.
Una primera aproximación respecto de estas técnicas nos obliga a señalar que, como toda
tecnología está cargada de ideología y en consecuencia se trata de una arma de doble filo en función de quién la utilice.
La base técnica de los sistemas de protección de la integridad y autenticación de la información es la llamada “clave asimétrica” a PKI (public key infrastucture) en términos ingleses. En el
ámbito de la encriptación existen dos sistemas globales:
1. SISTEMAS DE CLAVE SIMÉTRICA, que son aquellos en que los sujetos participantes (emisores y receptores) operan con un mismo código de encriptación y desencriptación. Su vulnerabilidad radica en el dicho español; “secreto de dos es secreto de Dios y
secreto de tres secreto no es”. En efecto la progresiva y reciente divulgación de la clave
convierte al sistema de protección en altamente vulnerable.
2. SISTEMAS DE CLAVE ASIMÉTRICA. Se caracterizan porque emisor y receptor
actúan en el circuito con claves dobles y diferentes; una pública conocida por todos
y otra privada de carácter reservado. El sistema así concebido debe disponer necesariamente de una “Autoridad de Certificación” que en el marco de una regulación legal
muy estricta emite, controla y depura las claves que operan, tanto las públicas como
las privadas. Una variante de las claves asimétricas son las que se basan en datos orgánicos de los sujetos intervinientes en el proceso de comunicación, ya se trate de huella
digital, manchas del iris ocular o entorno facial, entre otros.
La firma electrónica es una tecnología que permite asociar un conjunto de datos o un documento a una determinada persona, ya sea en calidad de autor o como responsable de su emisión. Una vez que lo haya firmado electrónicamente el documento no podrá ser repudiado. Un
proceso de firma digital requiere la concurrencia de tres elementos: el propio documento que se
va a firmar; el identificador digital de quien va ha hacerlo (o certificado digital), y el programa
de software que calculará la firma electrónica mediante unos algoritmos de programación. La firma digital es el resultado de unos cálculos que realiza el software de firma electrónica, que utili-
240
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
za la información que contiene el documento y los datos del firmante que figuran en el certificado digital. El documento puede ser una carta, una factura o una transacción u otro tipo de archivo
digital. El certificado digital es emitidos por una empresa prestadora de servicios de certificación,
que emiten este tipo de identificadores utilizando la denominada tecnología PKI o de infraestructura de clave pública y se cercioran de la identidad del peticionario. Una vez que el usuario está en
poder del certificado, deberá configurar sus aplicaciones informáticas (por ejemplo, el navegador
web y el programa de correo electrónico) para que sepan localizar y utilizar el certificado.
A partir de este punto, el usuario podrá decidir qué documentos suyos quiere enviar firmados y cuáles no.
FIRMA ELECTRONICA AVANZADA (F.E.A.) es aquella asimétrica cuyas claves, pública
y privada, son extendidas y custodiadas por una AUTORIDAD DE CERTIFICACION o Prestador
de Servicios de Certificación en terminología de nuestro Real Decreto Ley hoy vigente.
¡La FIRMA ELECTRÓNICA ASIMÉTRICA funciona técnicamente del siguiente modo:
¡Firmar electrónica o digitalmente un documento consiste en pasar un determinado algoritmo sobre el texto que se desea cifrar, basándose en la clave privada del signatario electrónico.
Cuando el texto debe transmitirse firmado, el algoritmo recorre todos sus datos electrónicos y,
junto a la clave privada, obtiene un valor (“hash”), que es la llamada firma digital asimétrica. El
hash es un algoritmo matemático o número resultante de aplicar una clave de encriptación a un
documento.
En la transmisión, se envía por una parte el documento cifrado, y por otra el hash. Cuando
el receptor recibe ambos documentos, debe actuar bajo las siguientes pautas:
1. Descifra el texto del destinatario con la clave pública.
2. Con este texto calcula el hash.
3. Si el hash calculado y el enviado coinciden, eso significa que el documento que ha llegado lo envía quien dice ser (ha sido descifrado con su clave “contraria”) y que además
no ha sido alterado por el camino, pues de lo contrario los dos hash no coincidirían.
El sistema PKI se debe a las investigaciones de Ronald Rivest, Adi Shamin y Leonard Adelman que en 1978 desarrollaron el hoy conocido como criptosistema RSA basado en el procedimiento matemático por el que se codifica el mensaje utilizando un número grande (por ejemplo de
250 dígitos) como clave. Los tres sentaron las bases de la mayor y mejor compañía internacional
especializada en criptografía RSA Security Inc.
7.2. Autoridades de certificacion en España (A.C.):
- FNMT (Fábrica Nacional de Moneda y Timbre):
Es el único certificador en el ámbito de las Administraciones Públicas por lo que la
aplicación de su certificado de firma electrónica surte efecto en este entorno. Además
de la amplitud de su eficacia su otra gran ventaja frente a sus competidores es el carácter gratuito de su emisión y uso.
- ACE (Agencia de Certificación Electrónica):
Es la más importante, una empresa creada por: Telefónica (49%), Visa España/
Sermepa (20%), Sistemas 4B (20%), Confederación de Cajas de Ahorro (20%).
Se convertirá en la única agencia emisora de certificados SET en España de carácter
privado.
ACE certificará a los bancos y éstos a su vez harán de avaladores ante ACE de los usuarios y tiendas que pretendan conseguir un certificado. De este modo ACE centralizará
todas las iniciativas de certificación de bancos y cajas de ahorro.
Marco jurídico 241
- El proyecto CERES es una iniciativa de Correos, la Fábrica Nacional de Moneda y
Timbre y el Ministerio de Administración Pública, tiene como socios tecnológicos a la
universidad politécnica de Cataluña (UPC).
El objetivo es crear una Autoridad Certificadora del Estados, con la intención de que
en el futuro se puedan realizar gestiones burocráticas por Internet.
- Otra AC importante en España es FESTE, cuyo objetivo es emitir certificados equivalentes a Poderes Notariales o a Actos Mercantiles en presencia de un Corredor de
Comercio.
- Las Cámaras de Comercio están difundiendo su sistema CAMERFIRMA.

EMPRESA

Solicitud del certificado
a través de la red
Envio
notificación

Recoger
certificado
Consejo Superior
de Camaras de Comercio

Envio certificado
Generar certificado

Camaras de Comercio
Verificar datos


Visto bueno
Como consecuencia de que ninguno de los certificadores de firma electrónica están plenamente homologados con respecto al cumplimiento de los requisitos del RDL 14/94 (ver más adelante), hay que precisar que el uso de las aplicaciones de certificación tan sólo surte efecto entre
242
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
las partes contratantes, de ahí la enorme ventaja del instrumento emitido por la FNM y T por cuanto surte efecto en todas las Administraciones Públicas.
En primavera de 2.003 por fin parece que el tema de la certificación digital y de la firma
electrónica comienza a madurar. Muchos y muy variados son los signos que los confirman.
Por un lado el Consejo de Ministros de 6 de junio aprobó el texto del proyecto de Ley de
Firma Electrónica para su remisión al Parlamento. Como ya se ha comentado anteriormente una
de las importantes novedades del referido proyecto es la regulación del D.N.I. electrónico y como
no podía ser menos la polémica entre la FNMT (Administración Pública) y los certificados privados ya está servida. En efecto el CiberPais de 5 de junio de 2003 informa que la FNMT entrará en
septiembre de dicho año en el mercado privado de la certificación, con independencia del proceso
legislativo que ahora se inicia con el texto de la futura ley.
En opinión de Gonzalo Ferré Moltó presidente de la FNMT; “No tiene sentido que si el ciudadano tiene un documento que le acredita, sólo pueda utilizarlo con la Administración. Se trata de una ventaja para las empresas y los usuarios” “El DNI en España lo expide Interior como
servicio público que es y siempre ha servido para acreditar al ciudadano ante otros ciudadanos
y no sólo ante la Administración. ¿Por qué tendría que ser distinto el DNI digital? Por definición
también ha de ser útil para comunicarse con todo el mundo. El DNI ya te acredita cuando quieres franquear los servicios de seguridad de una empresa privada o confirmar tu identidad en una
compra con tarjeta. Junto a esta función básica, el nuevo DNI digital llevará incorporados otros
servicios de certificación electrónica”. “Posiblemente, la expedición del DNI digital estará sometida a una tasa, como ahora. Cuando hablamos de un servicio público no tiene sentido hablar de
dumping. Los servicios añadidos de certificación digital deberán ser compensados económicamente. Otra cosa es quién debe compensarlos. ¿Los presupuestos públicos? ¿El tenedor del documento? ¿O el que obtenga un beneficio por su uso? En el caso de la Agencia Tributaria, nosotros
no cobramos al contribuyente, para quien también es una ayuda, sino a la propia agencia porque
es ella la que se beneficia económicamente de un trámite digital que le ahorra papeleo”.
El sector privado exige como contrapartida el reconocimiento por parte de la Administración de sus certificados. Pero los miedos de los privados no dejan de ser gratuitos, o al menos así
lo parece. Admitiendo, como así es en realidad, que la Agencia Tributaria (AEAT) es el gran prescriptor de certificados de la FNMT, resulta obligado señalar que en 15 de mayo de 2003 se publicó
en el BOE una orden por la que el Ministerio de Hacienda (Orden Hac./1181/2003 de 12) regula
las relaciones entre los contribuyentes y la Agencia Estatal de Administración Tributaria (AEAT)
a través del uso de la firma electrónica. Con la entrada en vigor de esta orden el Ministerio y la
Agencia llevan a la práctica su voluntad de romper con la exclusiva (o mejor decir monopolio) que
venían representando hasta entonces los certificados librados por la FNMT. Transcribimos por su
elocuencia el preámbulo a las disposiciones de la referida Orden Hac.
“En esta línea, se han ido dictando en los últimos años diversas normas que han posibilitado la presentación de declaraciones y diversas solicitudes tributarias a través de Internet, estableciendo los requisitos jurídicos y técnicos precisos para ello. Entres estos últimos, es de destacar la
exigencia de estar en posesión de un certificado electrónico de usuario expedido por la Fábrica
Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT-RCM). La atribución a este Organismo Público de la facultad de prestar servicios de seguridad para las comunicaciones a través
de técnicas y medios electrónicos, informáticos y telemáticos de las personas físicas y jurídicas
con las Administraciones Públicas, había sido establecida en el artículo 81 de la Ley 66/97, de 30
de diciembre, de Medidas Fiscales, Administrativas y del orden Social, desarrollado actualmente
por el Real Decreto 1317/2001, de 20 de noviembre.
El estado de la técnica y el desarrollo de los servicios de certificación electrónica demandan la modificación del mencionado requisito, removiendo el carácter limitativo que conlleva.
Marco jurídico 243
En este sentido, y ese es el objetivo último de esta Orden, se entiende necesario posibilitar que la
firma de las declaraciones y otros documentos que se puedan tramitar por vía telemática ante la
Agencia Estatal de Administración Tributaria, y la realización de otros trámites administrativos
ante la misma, se basen en certificados electrónicos expedidos no sólo por la FNMT-RCM sino
por cualquier otro prestador de servicios de certificación, siempre que se cumplan unas condiciones mínimas imprescindibles para que se puedan mantener las debidas garantías en los procedimientos tributarios. Esta Orden establece estas condiciones, así como la actividad administrativa
para hacer efectiva la posibilidad mencionada.
Con esta regulación se viene a dar cumplimiento, a la vez, al principio de libre competencia
en la actividad de prestación de servicios de certificación, en el ámbito de la Hacienda Pública.
Es este principio uno de los pilares de nuestro ordenamiento legal en este campo, al igual que lo
es del europeo; así lo confirman tanto la Directiva que establece el marco comunitario para la firma electrónica (Directiva 1999/93/CE, de 13 de diciembre de 1999), como lo dispuesto en el Real
Decreto-ley 14/1999, de 17 de septiembre, sobre firma electrónica.
La presente Orden tiene base particularmente en el artículo 5 del Real Decreto-ley 14/1999,
que habilita al Ministro de Economía y Hacienda para establecer un régimen normativo específico destinado a garantizar el cumplimiento de las obligaciones tributarias en los casos de utilización de la firma electrónica. Este régimen normativo específico habrá de integrarse, en lo que
no esté expresamente previsto en el mismo, con las disposiciones comunes del Real Decreto-ley
14/1999, el cual tendrá, a estos efectos, un carácter supletorio”.
En su disposición segunda detalla las condiciones y requisitos que deben cumplir los sistemas de firma digital para su homologación por parte de la A.E.A.T. y se remite para un mayor detalle a lo dispuesto sobre el particular por la Agencia en su portal web www.agenciatributaria.es
(o bien www.aeat.es).
“Permitir la generación de firmas electrónicas avanzadas, tal y como se definen en la legislación sobre firma electrónica. Los datos de creación y los de verificación de firma no podrán ser
de longitud inferior a la publicada por la Agencia Estatal de Administración Tributaria en su dirección electrónica www.agenciatributaria.es.
Emplear certificados electrónicos para vincular los datos de verificación de firma al signatario, confirmando su identidad, que contengan la información descrita en el apartado tercero de
esta Orden y sean expedidos por prestadores de servicios de certificación que cumplan los requisitos del apartado cuarto.
Generar las firmas electrónicas por un dispositivo seguro de creación de firma, tal y como
se define en la legislación sobre firma electrónica.
Asimismo, se admitirán los sistemas de firma digital o numérica basada en certificados expedidos por organismos, entidades y corporaciones públicas estatales que, de acuerdo con la Ley, se
constituyan en autoridades de certificación. En estos supuestos se estará a lo dispuesto en la normativa específica que regule los distintos servicios de certificación, así como, en su caso, a lo convenido al efecto con la Agencia Estatal de Administración Tributaria. Supletoriamente se les aplicará lo
dispuesto en apartado quinto de esta Orden, en los términos que en el mismo se señalan.
En la dirección electrónica www.agenciatributaria.es se mantendrá una relación pública de
los tipos de certificados electrónicos admitidos así como de los prestadores de servicios de certificación que los expiden.
Tercero. Certificados electrónicos admitidos.
1. Los sistemas de firma digital o numérica deberán emplear certificados que puedan
calificarse como reconocidos, de conformidad con la legislación de firma electrónica,
siempre que incluyan en su contenido las menciones del número 2 siguiente.
244
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
2. Los certificados deberán tener, al menos, el siguiente contenido:
a) Código identificativo único del certificado.
b) Identificación del prestador de servicios de certificación que expide el certificado.
c) Firma electrónica avanzada del prestador de servicios de certificación que expide
el certificado.
d) Identificación del signatario por su nombre y apellidos o razón social número
de identificación fiscal. Cuando el signatario sea una persona jurídica se deberá
consignar en el certificado la identidad de la persona física solicitante y responsable
del uso del certificado.
Las normas técnicas relativas al formato y la localización con que se han de
consignar en el certificado los datos de identificación señalados en el párrafo
anterior serán publicados por la Agencia Estatal de Administración Tributaria en
la dirección electrónica www.agenciatributaria.es.
e) Los datos de verificación de firma que correspondan a los datos de creación de
firma que se encuentren bajo el control del signatario.
f) El comienzo y el fin del período de validez del certificado.
3. De conformidad con el número 3 del apartado primero de esta Orden, los certificados
habrán de estar basados en algún estándar técnico admitido por la Agencia Estatal de
Administración Tributaria. Se admitirá, en todo caso, el formato basado en la versión
3 de la recomendación X.509 del ITU-T (International Telecommunications UnionTelecommunication), de fecha junio de 1997 o posterior.
Los estándares técnicos admitidos serán publicados en la dirección electrónica www.agen
ciatributaria.es.
El plazo para resolver las solicitudes por la homologación por parte de los futuros certificadores es como máximo de seis meses y, lógicamente, la adminisión efectiva de los certificados
estará supeditada al establecimiento de las conexiones telemáticas precisas entre la Agencia y el
prestador de servicios de certificación homologado. Como no podría ser de otro modo los certificados de clase 2CA emitidos por la FNM y T con anterioridad a la entrada en vigor de la orden
que comentamos continúan gozando de plena vigencia.
Otro frente abierto entre la orilla pública y la privada de la firma digital es la voluntad de
diversas administraciones autonómicas o locales para digitalizar las relaciones con sus administrados y a tal fin están desarrollando sus propios proyectos de tarjeta digital con, o al margen, del
ya conocido de la FNM y T. Cuando se haya cerrado el proceso cabría preguntarse por el número
de tarjetas que precisará un ciudadano para entenderse con las distintas administraciones. En palabras de Ferre Moltó, presidente de la FNMT; “cada administración es libre de querer implantar
su propio sistema. Ahora bien, sin entrar en consideraciones políticas, los costes son muy altos y
hay que tener presente las economías de escala. El coste fijo de implantar una solución telemática
de este tipo siempre es el mismo. Obviamente, será menos gravoso si pueden utilizarlo cuarenta
millones de ciudadanos que tres”.
La verdad de la historia es la consecuencia de una serie de circunstancias desgraciadas que
han coincidido en el tiempo tales como: la crisis económica, el fin de la burbuja tecnológica y los
retrasos reiterados en diversos proyectos de regulación, unos más desgraciados que otros. En palabras de Alfredo Camín de CiberPaís; “Las entidades emisoras nunca han cuestionado la necesidad
de un marco jurídico que impulse el desarrollo de los servicios relacionados con la certificación,
claves para el desarrollo de la sociedad de la información. Su temor es que el desarrollo práctico
de la Ley de Firma Electrónica perpetúe el estancamiento del mercado y el monopolio de facto
de la Administración.
Marco jurídico 245
Estas compañías privadas aseguran haber invertido millones de euros implantando su tecnología y adquiriendo las obligatorias infraestructuras de seguridad, muy costosas y que van desde
los seguros hasta los búnkeres de seguridad. Sus profesionales han dedicado cuantiosos esfuerzos
en la divulgación de una tecnología que a mediados de la década pasada es desconocida. “Sería
comprensible que la Administración entrara en este mercado si la iniciativa privada no lo cubriera.
Pero lo hace y muy bien, estamos ante una falta de ética comercial”, critica Moure, que no descarta que las entidades privadas acudan a los tribunales de la competencia.
7.3. Aproximación jurídica
La normativa legal sobre firma electrónica arranca de la Directiva Europea 1999/93/C.E. del Parlamento Europeo y del Consejo de 13 de diciembre de 1999.
En España se cumplió el plazo de transposición establecido en la referida directiva a través
de un Real Decreto Ley (14/99 de 17 de septiembre de 1.999) extraña figura legislativa que se
acostumbra a utilizar en situaciones de urgencia. Nadie conoce aún los motivos reales de tantas
prisas, pero lo que sí se ha podido constatar es la verdad del dicho castellano; “vísteme despacio
que tengo prisa”, porque a tres años largos de su publicación la inoperancia práctica del R.D.L. es
patente y manifiesta. Como muestra baste decir que hoy en día ni tan siquiera se ha creado el Registro de Certificadores de Firma Electrónica que la norma contempla en el seno del Ministerio de
Justicia (?), porque la realidad ha demostrado que ninguno de los Certificadores operativos en el
mercado, incluido el que opera en el ámbito de las administraciones públicas (F.N.M. y T.) cumple
con las prolijas exigencias y requisitos absurdos incluidos en la norma que comentamos.
El RDL 14/1999 de 17 de septiembre (vigente en la actualidad).
Evaluación global:
• Es cuando menos precipitado en su elaboración y entrada en vigor.
• Técnicamente no está bien resuelto, ni en sus planteamientos ni en sus soluciones.
• Jurídicamente resulta confuso.
• No se hace mención alguna a las exigencias atribuibles al signatario; diligencia, custodia y uso.
La consecuencia de todo ello es la imposibilidad de aplicación práctica de esta norma que
no obstante lo dicho aún está en vigor en la primavera de 2003.
Principios del RDL 14/1999:
• Principio de equivalencia funcional entre firma manual y firma electrónica avanzada
(F.E.A.).
• Principio de no alteración del derecho pre-existente de obligaciones y contratos privados (neutralidad jurídica).
• Principio de neutralidad tecnológica. No se relaciona ninguno de entre los sistemas técnicos posibles.
Definiciones del RDL 14/1999:
• FIRMA ELECTRONICA: Es el conjunto de datos, en forma electrónica, anejos a otros
datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para
identificar formalmente al autor o a los autores del documento que lo recoge.
• FIRMA ELECTRONICA AVANZADA: Es la firma electrónica que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo
control, de manera que está vinculada únicamente al mismo y a los datos a los que se
refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos.
246
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
• CERTIFICADO: Es la certificación electrónica que vincula unos datos de verificación
de firma a un signatario y confirma su identidad.
• CERTIFICADO RECONOCIDO: Es el certificado que contiene al menos la información descrita en el artículo 8 y es expedido por un prestador de servicios de certificación que cumple los requisitos enumerados en el artículo 12.
•
PRESTADOR DE SERVICIOS DE CERTIFICACION: Es la persona física o jurídica
que expide certificados, pudiendo prestar, además, otros servicios en relación con la firma electrónica.
Efectos jurídicos de la firma electrónica
• La firma electrónica avanzada, siempre que esté basada en un certificado reconocido y
que haya sido producida por un dispositivo seguro de creación de firma, tendrá, respecto de los datos consignados en forma electrónica, el mismo valor jurídico que la firma
manuscrita en relación con los consignados en papel y los documentos que la incorporen serán admisibles como prueba en juicio, valorándose éstos, según los criterios de
apreciación establecidos en las normas procesales.
• Se presumirá que la firma electrónica avanzada reúne las condiciones necesarias para
producir los efectos indicados en este apartado, cuando el certificado reconocido en que
se base, haya sido expedido por un prestador de servicios de certificación acreditado
y el dispositivo seguro de creación de firma con el que ésta se produzca se encuentre
certificado, con arreglo a lo establecido en el RDL 14/99 ART 21.
• A la firma electrónica que no reúna los requisitos previstos en el apartado anterior o
no se base en un certificado expedido por un prestador de servicios acreditado, no se
le negarán, por el mero hecho de presentarse en forma electrónica, efectos jurídicos ni
será excluida como prueba en juicio.
– La transcendencia de esta disposición radica en que el documento cualificado con la
firma electrónica avanzada goza de la presunción iuris tantum (salvo prueba en contrario) de que quien firma el documento admite su total contenido, incluida la autoría por
parte del firmante.
Elementos que intervienen en el proceso técnico de la firma electrónica:
• Un SIGNATARIO PERSONA FISICA que actuando en su propio nombre o en representación de una persona jurídica, crea la firma electrónica.
• Un DISPOSITIVO DE CREACION DE FIRMA que es el programa o aparato
informático utilizado por el signatario para aplicar los datos, como códigos o claves
criptográficas privadas, que éste utiliza para crear su firma electrónica (datos de creación de firma).
• Un DISPOSITIVO DE VERIFICACION DE FIRMA, que es el programa o aparato informático que sirve para aplicar los datos, como códigos o claves criptográficas
públicas, que el receptor de un documento firmado electrónicamente utiliza para verificar dicha firma (datos de verificación de firma).
Proyecto de Ley de Firma Electrónica
A pesar de la iniciativa española que en su día se anticipó a todas las instancias de la U.E., lo
cierto es que aún hoy se puede decir que tres años más tarde de la publicación del R.D.L. la regulación jurídica de la firma electrónica sigue siendo un tema incipiente y no resuelto.
Como consecuencia de la inoperancia en la práctica de la norma vigente, la primera semana
de abril de 2003 el Gobierno aprobó un nuevo texto que se encuentra ahora en fase de discusión
parlamentaria previa a su aprobación.
Marco jurídico 247
Exposición de motivos del borrador del proyecto de ley sobre firma electrónica:
• Esta Ley ha recogido la experiencia adquirida en la aplicación del Real Decreto-Ley
14/1999, enriqueciendo el texto original con las modificaciones que sugiere la evolución de la tecnología y los servicios de certificación, con el objetivo de generar en el
ámbito digital las condiciones de seguridad y confianza necesarias para estimular el
desarrollo de los servicios de la Sociedad de la Información, en particular, de la Administración y del comercio electrónicos.
Confiemos en que ahora sí se haya acertado en la rectificación de los errores anteriores.
Novedades:
• La regulación de la firma electrónica librada a una persona jurídica.
• La regulación del D.N.I. electrónico.
• La flexibilidad para propiciar la coexistencia de diversas categorías de firmas electrónicas, en función de los requisitos tecnológicos y jurídicos asumidos por cada categoría.
• El reparto de las responsabilidades del buen uso de los certificados entre los diversos
sujetos participantes, incluidos los usuarios y diversos órganos de defensa de la competencia.
Lo cierto es que el texto del proyecto en su versión del día de la fecha sí parece reunir las rectificaciones necesarias al texto legal vigente, al tiempo que incorpora aquellas novedades que sobre el
papel lo hacen realmente atractivo desde una perspectiva de su futura aplicación práctica.
7.4. Cuestionario básico para aclarar los principales conceptos
Por su elevado valor clarificador y divulgativo sobre unos conceptos complejos de por sí y por su
doble naturaleza tecnológica y jurídica reproducimos a continuación textualmente un cuestionario
sobre el particular preparado por el suplemento tecnológico CiberPaís y contestado por la letrada
Paloma Llaneza Gómez:
¿Qué es la firma digital?
La firma es un sistema que permite identificar al emisor de un documento. Cuando hablamos de firma electrónica es para distinguir que no se genera manualmente, sino por medio
de sistemas informáticos. Hay dos variedades: la firma electrónica simple y la avanzada; de
hecho, cuando se habla de firma digital se entiende que hablamos de la avanzada. La simple consistiría, por ejemplo, en digitalizar tu firma manuscrita, conservarla en un archivo de
imagen y adjuntarlo cuando remites un documento. No lleva aparejado ningún sistema seguridad que garantice que el documento es de quien dice haberlo enviado. La firma digital
(o electrónica avanzada), por el contrario, permite la identificación del signatario, consiste
en un par de claves -la pública y la privada-, tiene que crearse por medios que el signatario
mantiene bajo su exclusivo control y permite detectar si se han introducido modificaciones
en el documento una vez ha sido enviado.
¿Cómo se genera una firma digital?
La firma digital’ aunque la ley no lo dice para evitar tener que cambiarla si surgen nuevas
tecnologías, se basa en un sistema de cifrado asimétrico con dos claves, una pública y otra
privada. Las claves se generan con dispositivos de creación de firma.
¿Qué son las autoridades de certificación?
Son entidades de libre creación, aunque por al1ora se les exige estar registradas, que suministran los certificados que identifican al usuario con su clave pública e, indirectamente, con
la privada, con la que mantiene una relación matemática. Los llamados certificados de atri-
248
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
bución no sólo garantizan la identidad del firmante, sino que, por ejemplo, sí tienen poderes
de la empresa para concluir un determinado contrato comercial.
¿Es necesaria la intervención de una autoridad de certificación para obtener la firma?
No, basta con disponer del programa informático adecuado. Una empresa, un caso, puede
organizar un sistema de firma digital de sus empleados para los trámites internos de la misma. Para la relación con terceros es más aconsejable obtener un certificado de una autoridad de certificación. Tras una gestión en persona, como en el caso de la FNMT, para cotejar
la identidad del signatario, la autoridad emite un certificado que identifica al usuario con su
firma digital (más bien con su clave pública). Este certificado puede instalarse en el disco
duro del ordenador, y cada vez que se remita un documento que necesita la firma digital lo
adjunta. Este sistema tiene un problema. Al estar deposita- dos los datos en el ordenador,
existe el peligro de que un pirata entre en él y los consiga. Es preferible conservar el certificado y las claves en una tarjeta electrónica que, a través de un lector, se introduce cuando
se quiere firmar. De esta manera, los datos sólo son vulnerables a una intromisión en el instante de la firma.
¿Cómo trabaja una autoridad de certificación si se contrata que certifique atributos como,
por ejemplo, que tengo poderes de la empresa?
Mientras que el documento con firma digital se envía directamente al destinatario, en este
caso se debería acudir a un sistema de triangulación; es decir, en cada operación la autoridad
de certificación habría de acudir a datos externos (como el registro mercantil o un colegio
de abogados) para comprobar mis poderes. Este sistema está poco extendido ya que no están
generalizados los convenios de las certificadoras con bases de datos de terceros. Algunos poderes de un empleado se inscriben en el Registro Mercantil, pero una empresa puede haberle
retirado los poderes sin notificarlo al Registro, por lo que la consulta es inútil.
En otros casos, ni siquiera existe esta base de datos. Por ello no se acude a la triangulación.
Cuando una empresa solicita una firma digital para uno de sus empleados se concreta el rango de la misma.
¿Qué pasa si la otra parte contrata una autoridad de certificación distinta de la mía?
La Administración central sólo reconoce en sus relaciones con el ciudadano la autoridad de
certificación de la FNMT. Hay que acudir a ella en las relaciones electrónicas con la Administración central. Las autonómicas están rociando sus propios proyectos de autoridad de
certificación, lo que puede conducir a un panorama casi feudal según vayan las cosas necesitaremos tantas firmas digitales como administraciones públicas con las que queramos
tener relación, a no ser que se acuerden sistemas de reconocimiento mutuo, aunque con el
DNI digital esta situación podrá atenuarse. En el caso de empresas particulares, en principio, las autoridades de certificación deberían reconocerse mutuamente. Si una empresa no
admite otra autoridad que la que tiene contratada, entonces dependerá del interés de la otra
parte en llegar a un acuerdo para que acuda a ella o no. Es una cuestión de poder en una relación bilateral.
7.5. La firma electrónica aplicada al ámbito registral y de la fe pública
De cómo las Nuevas Tecnologías pueden aportar rapidez y eficacia en los ámbitos jurídico y económico.
La interrelación entre dos mundos tan complejos y tan diferentes tiene necesariamente que
ser complicada y múltiple. Podemos establecer a priori tres niveles posibles de intersección:
1. Legislación: el mundo del Derecho intentando regular un entorno nuevo que se caracteriza por unas nuevas pautas de comportamiento, fundamentalmente basadas en la
desubicación espacial y temporal.
Marco jurídico 249
2. Herramienta: las TIC´s como conjunto de instrumentos que facilitará la eficacia de la
Justicia y redundará en beneficio de las partes que confluyen en su ámbito: jueces, tribunales, justiciables, abogados, personal auxiliar, etc.
3. Las TIC´s como objeto de la Justicia. El nuevo marco de relación auspiciado por las
TIC´s se constituirá a su vez como objeto de la Justicia más tarde o más temprano:
∑ Nuevas formas de relaciones jurídicas.
∑ Aparición de nuevos delitos.
∑ Nuevas formas de perpetrar delitos tradicionales.
Todo ello obligará a que las partes intervinientes en el ámbito de la Justicia se familiaricen con:
a) un nuevo entorno tecnológico distinto del plano real que ha venido en denominarse
“Realidad Virtual” que se define por la DIGITALIZACION DE LA INFORMACION.
b) un nuevo ámbito de relación económica y jurídica.
c) un nuevo marco jurídico de regulación.
d) unos nuevos elementos de prueba y nuevos procedimientos para practicar las pruebas
testificales, documentales y sobre todo, las periciales.
7.5.1. El sistema e-notario
Tras más de dos años de desarrollo, el conocido como Proyecto e-NOTARIO empieza a cobrar
fuerza, principalmente porque su madurez tecnológica y organizativa se ha visto refrendada en el
B.O.E. y así su uso se regula con fuerza de ley en la Ley 24/001 conocida como Ley de Acompañamiento a los Presupuestos del año 2002, Ley de Medidas Fiscales, Administrativas y de Orden
Social (B.O.E. Nº 313 de 31/12/01). Se trata de una ley omnibus en la que como su propio nombre
indica cabe de todo. A nuestros efectos lo interesante figura en la “SECCION 8ª: INCORPORACION DE TECNICAS ELECTRONICAS, INFORMATICAS Y TELEMATICAS A LA SEGURIDAD JURIDICA PREVENTIVA” (Arts. 106 a 115 ambos inclusive se reproducen íntegramente en anexo al final). Cuando menos el título resulta sugerente y sugestivo y su exposición comentada deviene en obligada. Antes de entrar en la exposición detallada de la norma será ilustrativo
hacer una suscrita exposición del contenido del proyecto que nos ocupa.
El Consejo General del Notariado presentó en el año 2000 el proyecto e-NOTARIO, que actualmente está en pruebas. Este proyecto intenta generar confianza en los nuevos medios de tratamiento de la información a través de los que se producen transacciones comerciales y monetarias
y pretende facilitar aquellas que exigen la presencia de un notario. Las pruebas han comenzado
con una de las operaciones más sencillas: los créditos al consumo. El sistema es similar a la firma
electrónica, pero en un sistema cerrado y, por tanto seguro, entre las notarías y los bancos. El sistema tiene las ventajas de eliminar papeleo y ahorrar costes indirectos como tiempo, transporte o
envío de documentación.
A fecha de hoy y tal como está diseñado el sistema, su aplicación práctica está claramente
enfocada a las OPERACIONES INMOBILIARIAS necesitadas u orientadas a la fe pública. Las
partes interrelacionadas por el sistema son:
- Notarios.
- Resgistradores de la propiedad y mercantiles.
- Sistema Financiero (optativo).
- Corporaciones Locales.
- Administraciones Autonómicas.
- Hacienda Pública (A.E.A.T.).
250
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
A través del SISTEMA e-NOTARIO se podrán realizar a partir del 1 de septiembre 2002
(el futuro está aquí) las siguientes operaciones sin necesidad de desplazamientos ni copresencia
de las partes:
- Consultar la situación registral de fincas y solares, embargos, cargas, etc.
- Consultar la situación tributaria de las fincas y solares en lo que respecta a pagos pendientes por impuestos locales autonómicos y estatales.
- Condiciones sobre préstamos hipotecarios con diferentes entidades financieras.
- Formalización de escrituras públicas de compraventa, hipotecas, etc.
- Tramitación de inscripción registral de las operaciones.
- Liquidación de impuestos estatales, autonómicos y locales.
Y la generación y revisión electrónica de todos los documentos enumerados en el Art. 110.
Para ello el único requisito formal es que las partes intervinientes lo hagan protegidas por la
firma electrónica expedida por la FNMT (es gratuita).
El Sistema e-NOTARIO tiene como objetivo incrementar y mejorar la comunicación y el intercambio de documentos entre notarios, colegios notariales, Consejo General del Notariado, Administración Pública y entidades financieras a través de e-not@rio.
7.6. La sociedad limitada Nueva Empresa
EL NECESARIO ESTÍMULO PARA LA MODERNIZACIÓN DE AUTÓNOMOS Y MICROEMPRESAS.
El texto del proyecto de ley conocido como ESTATUTO NUEVA EMPRESA fue publicado en el Boletín Oficial de las Cortes Generales de 14 de junio pasado y definitivamente aprobado
en fecha 1 de abril como Ley 7/2003 y publicado su texto en el B.O.E. de 2 de abril de 2003. Sorprende la premura de legislador en dar salida al proyecto, así como la escasez de novedades que
presenta el texto último aprobado respecto del proyecto inicial. Con toda seguridad todo ello es
consecuencia de la voluntad de las Cámaras Legislativas y de los grupos políticos que las integran
en dar prioridad y urgencia a esta norma por los innegables efectos positivos que sin duda tendrá
sobre la incorporación de las nuevas tecnologías por parte de las pequeñas unidades productivas,
principalmente autónomos y microempresas.
En esta línea la norma que comentamos persigue dos objetivos globales.
1º OBJETIVO: Estimular la creación de nuevas empresas especialmente las de pequeña y
mediana dimensión que constituyen la columna vertebral de la economía española y de la europea
y son claves en la creación de puestos de trabajo. Sobre el particular baste recordar algunas magnitudes. En Europa existen 19 millones de microempresas y autónomos de los que 2,4 millones corresponden a España. En los dos ámbitos este colectivo genera casi el 80% del empleo total. Como
contrapunto globalizador del fenómeno podemos añadir que el fenómeno transciende lo europeo y
así un estudio del MIT realizado sobre el empleo USA en la década de los ochenta, ponía de manifiesto que en dicho período las microempresas generaron 20 millones de puestos de trabajos y
por el contrario las 500 empresas más grandes eliminaban tres millones de empleos. Este estudio
significó el principio del fin de uno de los falsos mitos de la economía.
Para la consecución de este gran objetivo el nuevo marco jurídico societario persigue la superación de tres problemas endémicos:
a) Superar las dificultades de financiación, mediante incentivos fiscales en los primeros
años de actividad.
b) Resolver las dificultades de control de la gestión por parte de los socios que ostentan la
mayoría.
Marco jurídico 251
c) Superar los problemas tradicionales de supervivencia de la sociedad derivada del relevo
generacional.
2º OBJETIVO: Fomentar la incorporación de las microempresas al uso de las nuevas tecnologías en su gestión. Alguien dijo en Bruselas no hace mucho que; “Europa será digital o no
será”. Sobre el particular sorprenden por negativos los índices de penetración y uso de las nuevas
tecnologías por parte del colectivo de microempresas y autónomos en Europa y con mayor razón
en España.
Para superar este estado de cosas esta nueva Ley contempla la posibilidad de realizar los trámites de constitución de la sociedad por medios telemáticos a partir del denominado Documento
Único Electrónico (DUE) que es el elemento básico de esta alternativa constituyente. Este instrumento revolucionario en nuestro ordenamiento jurídico presenta dos aspectos fundamentales:
a) Su carácter integrador al permitir en la práctica la necesaria simplificación de los engorrosos trámites y formulismos administrativos mediante la inclusión, en un solo documento virtual, de todos los datos requeridos para la efectiva realización de los trámites
antes citados.
b) Su naturaleza electrónico-telemática. Para conseguir lo anterior se recurre a las nuevas
tecnologías de la información y de las telecomunicaciones a partir del uso de la firma
electrónica como instrumento tecnológico que garantiza la seguridad jurídica entre las
partes; Administraciones Públicas, ciudadanos, notarios y registradores mercantiles.
Con ello se llena de contenido jurídico-mercantil la hipótesis abierta en la Ley 24/2001
de 27 de diciembre de Medidas fiscales, administrativas y de orden social que establece el marco jurídico de una extranet operativa entre los notarios, registradores y diversas instancias de la Administración, como la Agencia Tributaria y la Seguridad Social
que permitirá en un futuro próximo la resolución telemática de un considerable volumen de trámites y consultas, con los beneficios que de ello se derivan en términos de
reducción de tiempos y costes implícitos, tanto para estas los profesionales como para
las compañías emprendedoras. De este modo se completa la práctica aplicación de lo
que se denomina Sistema e-Notario definido en la referida norma.
En conjunto el Estatuto Nueva Empresa presenta las siguientes características:
1. No supone la creación de un nuevo tipo societario.
2. Presenta un carácter fuertemente personalista y cerrado, sobre todo en el acto fundacional.
3. Es excesivamente rígido en lo relativo al contenido de los estatutos sociales.
4. Su principal nota positiva es la rapidez y agilidad siempre que optativamente los socios
constituyentes elijan la tramitación telemática. En principio esta nueva opción debería
traducirse en menores costes de tramitación del proceso constituyente.
La nueva ley pretende zanjar las tradicionales quejas lanzadas desde la Comisión Europea
y la OCDE respecto a las trabas que encuentran los emprendedores españoles en el lanzamiento
de empresas. España, con cifras medias que rondan los dos meses y plazos máximos de espera de
hasta cinco meses, es uno de los países europeos con mayores costes y demoras en la tramitación
administrativa de la necesaria autorización para poder operar.
La nueva ley pretende acabar con los catorce trámites que se deben superar para constituir
un negocio, limitar a tan sólo 48 horas las demoras y agrupar un conjunto de reformas fiscales y de
simplificación contable y de gestión que consiga impulsar, tras la crisis económica internacional,
el sector de las pymes, un área decisiva para el tejido empresarial español que da empleo a cerca
del 79 por ciento de los trabajadores nacionales.
252
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
El Estatuto, además, se centra con especial interés en personas emprendedoras con capacidad para lanzar un negocio, pero sin conocimientos para llevar a cabo los requisitos de constitución y gestión diarios. Para ello, el Ministerio de Economía ha creado la Red de Creación de Empresas, un entramado de asistencia continua a los emprendedores que asesorará de forma gratuita a los nuevos empresarios en las oficinas del Ministerio o en las Cámaras de Comercio. A estos
efectos la Administración ha alcanzado acuerdos con las comunidades autónomas, con los ayuntamientos, con las cámaras de comercio y los colegios profesionales, con las asociaciones empresariales y con las agencias para el desarrollo. Todos ellos han colaborado para unificar los trámites y
permitir que el emprendedor pueda impulsar una empresa con un solo trámite ante un notario. El
fedatario público será posteriormente el encargado de cumplir el resto de los requisitos. El resultado es el fin de los catorce documentos actuales y de las habituales idas y venidas a oficinas públicas para poder crear una empresa. Un solo documento, que se podrá cumplimentar por Internet
se convierte ahora en la puerta de los emprendedores.
La ley que regula el Estatuto Nueva Empresa que fundamenta en tres elementos esenciales:
el Centro de Información y Red de Creación de Empresas(CIRCE), el régimen jurídico de la Nueva Empresa y el Sistema de contabilidad simplificada.
El Centro de Información y Red de Creación de Empresas (CIRCE).
Se concibe como una red de Puntos de Asesoramiento e Inicio de Tramitación (PAIT), en los
que se asesora y se prestan servicios a los emprendedores, tanto en la gestación, tramitación administrativa y puesta en marcha de sus iniciativas empresariales, como durante los primeros años de
actividad de las mismas. Con el objetivo de agilizar al máximo los trámites administrativos necesarios para la constitución y puesta en marcha de las empresas, el proyecto contempla la posibilidad de realizar los mismos por medios telemáticos.
A tal efecto, se define el Documento Único Electrónico (DUE) como elemento básico para
realizar telemáticamente los trámites antes mencionados, al que nos referimos en otro apartado.
El régimen jurídico de la Nueva Empresa (ver número 2 de este apartado).
Sistema de contabilidad simplificada.
Se implanta un modelo de contabilidad simplificada acorde con las características de la Nueva Empresa. Este modelo, que permitirá la formalización de las obligaciones contables mediante
un Registro Único, estará basado en la llevanza del Libro Diario de tal modo que se favorezca la
composición inmediata de las partidas a cumplimentar en los modelos de cuentas anuales abreviadas sin que sean necesarios documentos contables adicionales.
7.6.1. Régimen jurídico de la SLNE
Se trata de una expresión simplificada de la Sociedad de Responsabilidad Limitada regulada en
la Ley 2/1995, de 23 de marzo. Se añade a la mencionada ley un nuevo capítulo, el XII, integrado
por 7 secciones y 15 artículos, del 130 al 144, ambos inclusive y además, se añaden dos nuevas
disposiciones adicionales; la primera recoge las modificaciones que se producen en el texto de la
vigente ley del Impuesto de Sociedades y la segunda lo mismo respecto de la Ley de Asistencia
Jurídica Gratuita.
Y el texto se cierra con cinco Disposiciones finales de las que la mayor transcendencia es
la quinta por establecer la fecha de entrada en vigor de esta nueva ley, concretamente el próximo
tres de junio de 2003.
En este capítulo XII se regulan todas las singularidades de la Nueva Empresa rigiéndose,
por lo demás, por las disposiciones del régimen jurídico de las Sociedades de Responsabilidad
Limitada.
Marco jurídico 253
Siguiendo el texto del nuevo capítulo XII, abordamos las características de la Sociedad Limitada Nueva Empresa
7.6.1.1. Denominación social (Artículo 131)
Estará formada por los dos apellidos y el nombre de uno de los socios fundadores seguidos de un
código alfanumérico que permita la identificación de la sociedad de manera única e inequívoca.
Por Orden del Ministro de Economía se regulará el procedimiento de asignación del código. En
la denominación de la compañía deberá figurar necesariamente la indicación “Sociedad Limitada
Nueva Empresa” o su abreviatura “SLNE”. La denominación social se incorporará inmediatamente a una subsección especial de la Sección de Denominaciones del Registro Mercantil Central.
7.6.1.2. Objeto social (Artículo 132)
Todas o alguna de las siguientes actividades, que se transcribirán literalmente en los estatutos: la actividad agrícola; ganadera; forestal; pesquera; industrial; de construcción; comercial; hostelera; de
transportes; de comunicaciones; de intermediación; de profesionales o de servicios en general.
Además, los socios fundadores podrán incluir en el objeto social cualquier actividad singular distinta de las anteriores. En este caso, si la inclusión de dicha actividad singular diera lugar a
una calificación negativa del registrador mercantil de la escritura de constitución de la sociedad,
no se paralizará su inscripción, que se practicará, sin la actividad singular en cuestión siempre que
los socios fundadores lo consienten expresamente en la propia escritura de constitución o con posterioridad a ella.
En ningún caso podrán incluirse en el objeto social aquellas actividades para las cuales se
exija forma de sociedad anónima ni aquéllas cuyo ejercicio implique objeto único y exclusivo.
No podrán adoptar esta forma social aquellas sociedades a las que resulte de aplicación el
régimen antiguo de transparencia fiscal previsto en la ley reguladora del Impuesto de Sociedades
(nuevo régimen de Sociedades Patrimoniales).
7.6.1.3. Requisitos subjetivos y unipersonalidad. (Artículo 133)
Sólo podrán ser socios de la Sociedad Nueva Empresa las personas físicas. Al tiempo de la constitución los socios no podrán superar el número de cinco.
No podrán constituir ni adquirir la condición de socio único de una Sociedad Nueva Empresa quienes ya ostenten la condición de socios únicos de otra Sociedad Nueva Empresa.
7.6.1.4. Requisitos constitutivos (Artículo 134)
La Sociedad Nueva Empresa requerirá para su válida constitución escritura pública que se inscribirá en el Registro Mercantil correspondiente a su domicilio. Con la inscripción adquirirá la Sociedad Nueva Empresa su personalidad jurídica.
En este extenso artículo se regula el procedimiento de constitución que de modo opcional
se puede realizar, mediante la comunicación Notario- Registro Mercantil y Administraciones mediante la incorporación de técnicas electrónicas, informáticas y telemáticas que en el ámbito de la
seguridad jurídica preventiva han sido recogidas en la Ley 24/2001, de 27 de diciembre, de Medidas fiscales, administrativas y del orden social.
7.6.1.5. Capital social y participaciones sociales (Artículos 135 y 136)
El capital social de la Sociedad Nueva Empresa no podrá ser inferior a tres mil doce euros ni superior a ciento veinte mil doscientos euros. En todo caso, la cifra de capital mínimo indicada sólo
podrá ser desembolsada mediante aportaciones dinerarias. Por el contrario el exceso, si lo hubiere
se podrá ser desembolsado mediante aportaciones en especie.
254
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
La transmisión voluntaria por actos intervivos de participaciones sociales sólo podrá hacerse a favor de personas físicas, pudiendo superar en consecuencia el número de cinco socios. Si
como consecuencia de la transmisión adquirieran personas jurídicas participaciones sociales deberán ser enajenadas a favor de personas físicas, en el plazo de tres meses contados desde la adquisición; en caso contrario, la Sociedad Nueva Empresa quedará sometida a la normativa general
de la Sociedad de Responsabilidad Limitada, sin perjuicio de la responsabilidad de los administradores.
7.6.1.6. Acreditación de la condición de socio (Artículo 137)
No será precisa la llevanza del Libro Registro de Socios, acreditándose la condición de socio mediante el documento público en el que se hubiese adquirido la misma.
7.6.1.7. Órganos sociales (Artículo 138 y 139)
La regulación de la Junta General no sufre alteración, si bien se permite la convocatoria por procedimientos telemáticos.
Organo de administración: unipersonal o pluripersonal, cuyos miembros actuarán mancomunada o solidariamente. El órgano pluripersonal en ningún caso adoptará la forma y el régimen
de funcionamiento de un Consejo de Administración. Para ser nombrado administrador se requerirá la condición de socio.
7.6.1.8. Modificaciones estatutarias (Artículo 140)
La Sociedad Nueva Empresa sólo podrá modificar su denominación, respetando lo establecido
en el artículo 131, su domicilio social, y su capital social dentro de los límites máximo y mínimo
establecidos en el artículo 135. Si los socios acordaren aumentar el capital social por encima del
límite máximo establecido en el artículo 135, en dicho acuerdo deberán asimismo establecer si
optan por la transformación de la Sociedad Nueva Empresa en cualquier otro tipo social o si continúan sus operaciones en forma de sociedad de responsabilidad limitada, conforme a lo establecido en el artículo 144.
7.6.1.9. Cuentas Anuales (Artículo 141)
La contabilidad de la Sociedad Nueva Empresa podrá llevarse, en los términos que reglamentariamente se determinen, de acuerdo con el principio de simplificación de los registros contables a
través de un único registro. Estamos a la espera de que, lógicamente se diseñe un nuevo modelo
más reducido para el depósito de las cuentas en el Registro Mercantil.
7.6.1.10. Disolución (Artículo 142)
Por las causas establecidas en la presente Ley y, además, por las siguientes:
a) Por consecuencia de pérdidas que dejen reducido el patrimonio contable a menos de
la mitad del capital social durante al menos seis meses, a no ser que se restablezca el
patrimonio contable en dicho plazo.
b) Por resultar aplicable a la sociedad el régimen de transparencia fiscal en los términos
señalados en el apartado cuarto del artículo 132, siempre y cuando las circunstancias
señaladas en el mencionado apartado concurran durante más de noventa días.
La disolución requerirá acuerdo de la Junta General y será de aplicación el artículo 105 de
la presente Ley.
7.6.1.11. Transformación (Artículo 143)
La Sociedad Nueva Empresa podrá transformarse en sociedad colectiva, sociedad civil, sociedad
comanditaria simple o por acciones, sociedad anónima, sociedad cooperativa, así como en agrupación de interés económico.
Marco jurídico 255
7.6.1.12. Continuación de operaciones en forma de sociedad de responsabilidad limitada
(Artículo 144)
La Sociedad Nueva Empresa podrá continuar sus operaciones en forma de sociedad de responsabilidad limitada, para lo cual requerirá acuerdo de la Junta General y adaptación de los estatutos
sociales de la Sociedad Nueva Empresa a lo establecido en la sección 2.ª del capítulo II de la presente Ley. Para la adopción de ambos acuerdos bastará la mayoría que establece el artículo 53.1
de la presente Ley (mayoría de votos que representen el tercio de votos correspondientes en que
se divida el capital social).
La escritura de adaptación de los estatutos sociales deberá presentarse a inscripción en el
Registro Mercantil en el plazo máximo de dos meses desde la adopción del acuerdo de la Junta
General.
7.6.2. El documento único electrónico (due)
Es el eje central en el que pivotará la realización de TODOS LOS TRÁMITES de esta compañía
con:
- Registros Públicos; mercantiles y de la propiedad.
- Administraciones Públicas; Hacienda, Seguridad Social, Corporaciones Locales.
- Profesiones reguladas y organizadas colegialmente; graduados sociales, economistas,
gestores administrativos, abogados, etc.
En este sentido, el DUE es el elemento material central de este nuevo tipo de sociedad mercantil por cuanto es el que propicia la máxima rapidez de todo el proceso. Este documento recoge
todos los datos relativos a la formalización y constitución de una sociedad SLNE, que son necesarios para su remisión al Registro Mercantil y a las Administraciones Públicas competentes para
cumplir todos los requisitos que las diferentes normativas mercantiles, tributarias y sociales exigen para la habilitación de una persona jurídica; inscripciones registrales, altas censales, liquidaciones tributarias, otorgamiento de NIF y número de la Seguridad Social, etc.
Cualquier envío o remisión del DUE se hará mediante técnicas electrónicas, informáticas y
telemáticas, aprovechando la tecnología de la infraestructura e-Notario antes descrita.
El procedimiento también se integrará en los Centros de Ventanilla única Empresariales.
Para una mayor agilización del sistema el Ministerio de Economía establecerá convenios de colaboración para crear Puntos de Asesoramiento e Inicio de Tramitación con otras entidades públicas y privadas.
Entre finales de mayo y principios de junio de 2003 y con un cierto retraso, perdonable por
su brevedad, respecto de la entrada en vigor de la Ley que nos ocupa se publican varias disposiciones de diverso rango que redondean definitivamente asuntos tan importantes por su novedad y
transcendencia para el buen funcionamiento de la nueva figura SLNE como los siguientes:
- Procedimiento de asignación del código ID-CIRCE.
- Solicitud de la identificación en los procesos de tramitación no telemática.
- Funcionamiento de los Puntos de Asesoramiento e Inicio de Tramitación (PAIT) integrado en el Centro de Información y Red de Creación de Empresas (CIRCE).
- Sistema de tramitación telemática de la SLNE.
- Funcionamiento y estructura del Documento Único Electrónico (DUE).
Todo ello está regulado por las siguientes disposiciones:
a) ORDEN ECO/1371/2003 de 30 de mayo por la que se regula el procedimiento de asignación del Código ID-CIRCE que permite la identificación de la SLNE y su solicitud
en los procesos de tramitación no telemática.
256
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
b) REAL DECRETO 682/2003 de 7 de junio por el que se regula el sistema de tramitación telemática a que se refiere el art. 134 y la Disposición Adicional Octava de la Ley
2/1995 de 23 de marzo de Sociedades de Responsabilidad Limitada.
c) INSTRUCCIÓN de 30 de mayo de 2003 de la Dirección General de los Registros y del
Notariado en relación a la entrada en vigor de la Ley 7/2003 de la SLNE. Este texto
tiene una clara vocación de unificación de criterios nuevos en su mayoría desde la perspectiva de los sujetos protagonistas en su aplicación; los notarios y los registradores.
Por su importancia nos vemos obligados a transcribir casi íntegramente los textos de las referidas disposiciones.
7.6.2.1. Procedimiento para la asignación del código id-circe y su solicitud en los procesos de tramitación no telemática
Primero. La presente Orden Ministerial tiene por objeto la regulación del procedimiento
de asignación del código ID-CIRCE que permite la identificación de la sociedad limitada Nueva Empresa cualquiera que sea el modo de tramitación que se utilice para su
creación.
Asimismo, se establecen los trámites que ha de realizar el emprendedor para la obtención de este código en los supuestos de tramitación no telemática.
Segundo.—La denominación social estará formada por los dos apellidos y el nombre de
uno de los socios fundadores seguidos de un código alfa numérico, de conformidad con
el artículo 131.1 de la ley 2/1995, de 23 de marzo.
Tercero.
1. El código a que se hace referencia en el apartado segundo será generado por el Sistema
de Tramitación Telemática STT-CIRCE.
2. La administración y gestión del Sistema de Tramitación Telemática - Sil - CIRCE
corresponde al Ministerio de Economía a través de la Dirección General de Política de
la Pequeña y Mediana Empresa.
3. El ID-CIRCE está constituido por una secuencia de diez caracteres alfanuméricos.
Los primeros nueve caracteres son dígitos decimales y el décimo es una letra simple
mayúscula de acuerdo con la estructura siguiente: una primera parte numérica secuencial que será un número entero de siete dígitos, una segunda parte numérica que será
un número entero de dos dígitos de control, y una tercera que será una letra.
4. El algoritmo de la generación del código ID-CIRCE responde al funcionamiento
siguiente:
a) Cuando se solicite al Sistema de Tramitación Telemática -STT-CIRCE el IDCIRCE correspondiente a un Sociedad Limitada Nueva Empresa, el sistema
generará la primera parte del código cuyo carácter secuencial garantiza su unicidad.
Inmediatamente, el sistema dividirá el número anterior por los números 97 y 23.
b) Los primeros dos dígitos del resto de la división por el número 97 constituirán los
dígitos de control, es decir, la segunda parte del código.
Los primeros dos dígitos del resto de la división por 23 se convertirán a una letra utilizando
la siguiente matriz de conversión: (00=T, 01=R, 02=W, 03=A, 04=G, 05=M, O6=Y, 07=F, 08=P,
O9=D, 1O=X, 11=B, 12=N, 13=J, 14=Z, 15=S, 16=Q, 17=V, 18=H, 19=L, 20=C, 21=K, 22=E).
Automáticamente el sistema concatenará el resultado de los cálculos anteriores componiendo así el ID-CIRCE.
Marco jurídico 257
Cuarto. —De conformidad con lo dispuesto en el articulo 134 de la Ley 2/1 995, de 23 de
marzo, los trámites necesarios para la constitución y puesta en marcha de la sociedad
podrán ser realizados a través de técnicas electrónicas, informáticas y telemáticas o, si
los socios fundadores así lo deciden, se podrá prescindir de los trámites arriba mencionados y realizar la constitución y puesta en marcha por procedimiento no telemático.
La tramitación no telemática supone que los socios fundadores realicen por sí mismos
los trámites y comuniquen los datos referentes a la Nueva Empresa de conformidad con
las normas que resulten de aplicación.
Quinto. —Cuando el emprendedor opte por la tramitación no telemática, tendrá que obtener el código ID-CIRCE a través del sitio web del sistema CIRCE, http //www circe.es
o del sitio web http://www.ipyme.org. El emprendedor podrá acceder él mismo al mencionado sitio o acudir a cualquiera de los Puntos de Asesoramiento e Inicio de Tramitación (PAIT), incluidas las Ventanillas Unicas Empresariales (VUE), para obtenerlo.
El socio fundador que vaya ser titular de la denominación social indicará su nombre y
dos apellidos, número de Documento Nacional de Identidad y su dirección completa.
Sexto.—El código ID-CIRCE generado de conformidad con los apartados anteriores será
el único aceptado por el Registro Mercantil Central.
Séptimo. —La generación del ID-CIRCE no supone, en ningún caso, la reserva automática de la denominación social. El emprendedor deberá realizar los trámites legalmente
establecidos para solicitar la reserva de dicha denominación ante el Registro Mercantil Central.
Octavo. —La presente Orden entrará en vigor el día siguiente al de su publicación en el
«Boletín Oficial del Estado».
A destacar por su transcendencia práctica lo dispuesto en el párrafo séptimo anterior que remite necesariamente a los trámites legalmente establecidos para solicitar y obtener la reserva de la
denominación socialmente ante el Registro Mercantil Central.
Este texto está complementado desde la perspectiva de los notarios y registradores por la
primera parte de lo dispuesto en la INSTRUCCIÓN de 30 de mayo de 2003 de la Dirección General de los Registros y del Notariado:
1) En relación a la solicitud de la denominación social:
Primero.- El emprendedor obtendrá el código ID-CIRCE a través del sitio web del sistema CIRCE, http://www.circe.es o .http://www.ipyme.org, para lo que podrá acceder
él mismo al mencionado sitio o acudir al área PYME de información de la Dirección
General de política de la pequeña y mediana empresa. Posteriormente se podrá acudir
a las Ventanillas Unicas Empresariales (VUE) En una fase posterior, se podrá obtener
también en los Puntos de Asesoramiento e Inicio de Tramitación (PAIT).
Segundo.- La generación del ID-CIRCE no supone, en ningún caso, la reserva automática
de la denominación social. El emprendedor deberá presentar la solicitud de denominación en el Registro Mercantil Central.
Tercero.- Conforme al artículo 248 de la Ley Hipotecaria, según la redacción dada por la
Ley 24/2001 de 27 de diciembre, tras acceder al Registro Mercantil Central una solicitud de denominación social SLNE, aquél practicará inmediatamente el correspondiente asiento de presentación correlativo y referido a la subsección especial de llevanza
informática abierta en la Sección de Denominaciones, siéndole comunicado al presentante, este hecho y el número del pertinente asiento.
258
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Cuarto.- La solicitud de denominación social SLNE podrá presentarse en el Registro Mercantil Central durante las veinticuatro horas de cada día.
Quinto.- La solicitud, que podrá realizarse también por el notario desde la notaría a instancia del emprendedor, deberá contener, al menos, las siguientes circunstancias.
1. Apellidos y nombre de uno de los socios fundadores seguidos del código alfanumérico
asignado. (ID. CIRCE).
2. Beneficiario del nombre social a cuyo favor ha de practicarse la reserva y expedirse
la certificación, y que ha de coincidir, necesariamente, con el que figura en la
expresión denominativa.
3. Presentante formal de la solicitud.
4. La forma de retirada de la certificación de la denominación social cuando la misma sea
expedida en soporte papel, se hará por los procedimientos ordinarios. En el supuesto
de que aquella lo sea en soporte electrónico, la certificación de denominación social,
será remitida por vía telemática, con la firma electrónica avanzada del Registrador
Mercantil Central, y en tal supuesto sólo podrá ser enviada al notario, todo ello
de acuerdo con la normativa especifica relativa a la incorporación de las técnicas
informáticas, electrónicas y telemáticas a la seguridad jurídica preventiva.
Sexto.- EI emprendedor aportará al notario, el correspondiente certificado de reserva de
denominación social expedido por el Registrador Mercantil Central en soporte papel,
salvo en los supuestos que el notario ya lo tenga.
7.6.2.2. Real decreto 682/2003 de 7 de junio por el que se regula el sistema de tratamiento telemático.
Por su importancia lo transcribimos íntegramente y para facilitar su lectura hacemos a continuación un resumen de su estructura.
- Art. 2. CENTRO DE INFORMACIÓN Y RED DE CREACIÓN DE EMPRESAS
(CIRCE).
- Art. 3. PUNTOS DE ASESORAMIENTO E INICIO DE TRAMITACIÓN (PAIT).
- Art. 4. NATURALEZA Y CONTENIDO DEL DUE.
- Art. 5. TRÁMITES QUE PUEDEN SER REALIZADOS CON EL DUE. De lectura
obligada por su interés y transcendencia.
- Art. 6. TRAMITACIÓN DEL DUE.
a) Incorporación de la denominación social por el Registro Mercantil Central.
b) Elección del notario autorizante de la escritura pública de constitución de la
SLNE.
c) Incorporación de los estatutos sociales.
d) Obtención del N.I.F. provisional de la sociedad.
e) Autoliquidación del Impuesto sobre Transmisiones Patrimoniales y Actos Jurídicos
Documentados.
f) Incorporación de los datos relativos a la inscripción registral al DUE.
g) Obtención del N.I.F. definitivo de la sociedad.
h) Expedición de la copia autorizada en soporte papel de la escritura de constitución
de la SLNE.
i) Reclamación censal de la actividad.
Marco jurídico 259
j) Alta en el I.A.E. a efectos censales.
k) Formalización de la cobertura de los accidentes de trabajo y enfermedades
profesionales.
l) Inscripción del empresario y apertura del código de cuenta de cotización (CCC) en
la Seguridad Social.
m) Inscripción del empresario e identificación e inscripción de embarcaciones y
artefactos flotantes.
n) Asignación del nº de la Seguridad Social y reconocimiento de la condición de
afiliado del trabajador.
o) Obtención del alta en el régimen de la Seguridad Social que corresponda.
- Art. 7. COMUNICACIÓN DE MODIFICACIONES POR LAS ADMINISTRACIONES PÚBLICAS.
- Art. 8. PROTECCIÓN DE DATOS PERSONALES.
- DISPOSICIÓN ADICIONAL ÚNICA. Supletoriedad.
- DISPOSICIÓN FINAL PRIMERA. Técnicas vinculadas a la seguridad jurídica preventiva.
- ANEXO I. DATOS BÁSICOS DEL DOCUMENTO ÚNICO ELECTRÓNICO.
- ANEXO II. DATOS A INCORPORAR EN EL DUE EN CADA FASE DE LA TRAMITACIÓN POR EL NOTORIO AUTORIZANTE.
- ANEXO III. FORMULARIOS SUSTITUIDOS POR EL DUE. Este punto por su simpleza es altamente expositivo de la operativa del sistema así como de su potencialidad
desde el punto de vista de la agilización de los trámites iniciales para disponer de rápidamente de una SLNE operativa.
*
Cremades, Joan B., Deslinde Jurisprudencial de la Intimidad: la protección del dato perteneciente a libro: Intimidad y Seguridad:
Coordinado por Montserrat Nebrera, Editado por el Instituto de Estudios de la Gobernabilidad y la Seguridad (ISEGS)- Asociación
de Directivos de Seguridad Integral (ADSI).
260
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
7.6.3. Elementos diferenciales de las SLNE con respecto al régimen general de las
SRL:
Denominación social
Objeto social
Socios
Tramites de constitución
Capital social
Transmisiones
participaciones sociales
Libro registro de socios
Junta general
Organo de administración
- Nombre y apellidos de uno de los socios fundadores seguido de un
código alfanumérico.
- Figurará necesariamente la indicación “Sociedad Limitada Nueva
Empresa” o “SLNE”.
- Se inscribirá en una subsección especial de la Sección de Denominaciones del Registro Mercantil Central.
- Estipulado en una amplia relación cerrada de actividades.
- Excluidas todas las Sociedades en régimen de Transparencia Fiscal.
- Sólo personas físicas y un máximo de 5.
- No pueden serlo si son socios únicos de otra SLNE.
- Podrán realizarse a través de técnicas electrónicas, informáticas y
telemáticas.
- Una vez constituida la SLNE, el Notario otorgante generará el Documento único Electrónico (DUE).
- Mínimo 3.012 euros y máximo 120.200 euros.
- Desembolso del capital mínimo sólo con aportaciones dinerarias.
Sólo se podrá realizar entre personas físicas. Podrá superarse el
número de 5 socios del momento de constitución.
- Si las participaciones son adquiridas por personas jurídicas deben
ser enajenadas a favor de personas físicas en tres meses .
- NO es obligatorio.
- Posibilidad de convocatoria mediante procedimientos telemáticos.
- Si es pluripersonal no adoptará forma y régimen de Consejo de
Administración.
- Se requiere la condición de socio para ser administrador.
- Sólo 3: denominación, domicilio y capital social.
Modificación de estatutos
Cuentas anuales
Disolución
- En caso de aumento de capital por encima límite máximo, opción
por transformación a otro tipo social o continuación como S.R.L.
normal.
- Se simplifica, permitiendo la contabilización por columnas
(Diario/Mayor) integrado (Sistema Americano).
2 causas específicas de disolución:
- Pérdidas que dejen el patrimonio contable a la mitad del capital
social durante 6 meses.
- Resultar aplicable a la sociedad el régimen de transparencia
fiscal durante más de 90 días.
Tres requisitos:
Continuación en forma de
SRL normal
Participaciones sin derecho
de voto
- Acuerdo de Junta General (mayoría del artículo 53.1 LSRL).
- Adaptación de estatutos.
- Inscripción en R.M en 2 meses desde acuerdo.
- Límite cualitativo: como máximo 50% del capital social.
- Regulación: Se remite al TRLSA (Art. 90 a 92).
Marco jurídico 261
Con respecto al proyecto de ley que entró en las Cortes en su día destacamos las modificaciones y novedades más significativas:
1. CAPITAL SOCIAL.
En el apartado 1 del nuevo Art. 135 LSRL se contempla un límite máximo de capital social que en el proyecto se estimaba en 60.100 € y que en el texto definitivo ha pasado a ser de
120.200 €.
7.6.4. Medidas fiscales aplicables a la sociedad limitada nueva empresa
Sin duda para estimular el paso de empresarios autónomos a la forma jurídica mercantil SLNE el
texto aprobado incorpora una Disposición adicional duodécima que contempla importantes incentivos fiscales para los primeros años de vida del nuevo negocio. No se trata de exenciones o reducciones fiscales sino de aplazamiento automático del pago de determinadas figuras positivas, con o
sin garantías. En síntesis este paquete de medidas contempla los siguientes supuestos:
1º. Aplazamiento por plazo de un año previa solicitud de una SLNE, sin aportación de
garantías y con devengo del interés legal de demora, de la deuda tributaria del Impuesto sobre Transmisiones Patrimoniales y Actos Jurídicos Documentados, derivada de la
constitución de la sociedad.
2º. Aplazamiento por plazo de 12 meses el primero y de 6 meses el segundo, previa solicitud de una SLNE de la deuda tributaria del Impuesto sobre Sociedades correspondientes a los dos primeros períodos impositivos. El aplazamiento se otorga automáticamente sin garantías y con devengo del interés legal de demora.
3º Aplazamiento, previa solicitud y por plazo de un año con o sin garantías de las cantidades derivadas de retenciones o ingresos a cuenta del IRPF que se devengue durante
el año siguiente a su constitución.
4º Las SLNE no estarán obligadas a efectuar los pagos fraccionados a que se refiere el
Art. 38 de la Ley 43/95 del Impuesto sobre Sociedades a cuenta de las liquidaciones
correspondientes a los dos primeros ejercicios de actividad.
El REAL DECRETO LEY 2/2003 de 25 de abril de medidas de reforma económica introduce una nueva deducción en la cuota de I.R.P.F. directamente vinculada con la figura del ESTATUTO NUEVA EMPRESA y así se hace constar en su exposición de motivos:
“En el título I del texto se encuentran las medidas dirigidas a impulsar la actividad y creación de pequeñas y medianas empresas.
Para ello, en el Impuesto sobre la Renta de las Personas Físicas se crea la figura de la «cuenta ahorro-empresa», que se configura como una cuenta de ahorro de características muy similares
a la actual cuenta ahorro-vivienda.
Este incentivo fiscal nace para facilitar la creación de empresas mediante el fomento del espíritu emprendedor, siguiendo así las recomendaciones efectuadas por la Comisión Europea en el
Libro Verde de «El espíritu empresarial en Europa» con el fin de contribuir a estimular al ahorrador español, de modo que éste reoriente su esfuerzo inversor hacia la creación y desarrollo de nuevos negocios mediante incentivos fiscales que potencien este tipo de ahorro”.
Así el TÍTULO I del referido RDL 2/2003 se titula; “Medidas de apoyo a las pequeñas y
medianas empresas” y la idea de fondo consiste en establecer una nueva deducción sobre la cuota a pagar resultante del IRPF de los autónomos y profesionales (por tanto en todo caso personas
físicas) que decidan dar el paso para organizar su actividad en forma societaria de acuerdo con el
Estatuto Nueva Empresa.
DEDUCCIÓN POR “CUENTA AHORRO-EMPRESA”.
262
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
La cuantía de la deducción será del 15% de las aportaciones hechas durante el año tributario
a la llamada “cuenta ahorro-empresa” con un límite máximo de 9.000  por año y contribuyente.
Aquí cabe recordar que el Estatuto Nueva Empresa permite un máximo de 5 socios Constituyentes
todos personas físicas y que el Capital máximo de una SLNE es de 120.000 .
Además se permite un plazo máximo de cuatro años a partir de la apertura de la referida
cuenta.
EJEMPLO:
A modo de ejemplo aprovechando al máximo lo permitido legalmente tendríamos el siguiente supuesto.
Cinco futuros socios deciden cada uno por separado abrir una cuenta ahorro-empresa para
constituir al cabo de 4 años una Sociedad Limitada Nueva Empresa.
APORTACIONES MAXIMAS DEDUCIBLES
1º AÑO
2º AÑO
3º AÑO
4º AÑO
TOTAL
APORT.
TOTAL
DEDUC.
I.R.P.F.
SOCIO A
6.000
6.000
6.000
6.000
24.000
3.600
SOCIO B
6.000
6.000
6.000
6.000
24.000
3.600
SOCIO C
6.000
6.000
6.000
6.000
24.000
3.600
SOCIO D
6.000
6.000
6.000
6.000
24.000
3.600
SOCIO E
6.000
6.000
6.000
6.000
24.000
3.600
APORT.
30.000
30.000
30.000
30.000
120.000
4.500
4.500
4.500
4.500
18.000
TOTAL
DEDUC.
IRPF
18.000
La conclusión es que en cuatro años el ahorro fiscal para cada uno de los cinco futuros socios es de 3.600 € y en total el ahorro para el conjunto de los cinco es de 18.000 € es decir el 15%
del capital escriturado al final.
Si el proyecto SLNE fuera abordado por un único socio aquí sus “aportaciones deducibles”
podrían aumentar hasta 9.000 € anuales durante cuatro años, con lo que el ahorro total sería de
15% sobre 36.000 € (9.000 € x cuatro años) es decir 5.400 €.
REQUISITOS PARA ACOGERSE A LA DEDUCCIÓN.
1º Las cantidades aportadas a la “cuenta ahorro-empresa se destinarán en todo caso a suscribir participaciones sociales como fundador de una SLNE en el plazo máximo de 4
años desde la apertura de la cuenta.
2º El capital constituyente se destinará en el plazo máximo de un año necesariamente a
las siguientes aplicaciones:
a) Compra de inmovilizado material e inmaterial exclusivamente afectos a la
actividad.
b) Gastos de constitución y primer establecimiento de la nueva SLNE.
c) Gastos de personal con contrato laboral.
Marco jurídico 263
d) En el plazo máximo de un año a partir de la constitución la SLNE deberá disponer
de un local destinado exclusivamente a la actividad y un empleado como mínimo
con contrato laboral a jornada completa (estos requisitos se mantendrán al menos
durante dos años a partir de la constitución).
3º No desarrollar la actividad que se hubiera ejercido anteriormente bajo otra titularidad.
PÉRDIDA DE LOS BENEFICIOS FISCALES
Una vez aplicados los beneficios vía deducción en la cuota del I.R.P.F., éstos pueden perderse en los siguientes casos:
a) Incumplimiento de los requisitos citados anteriormente.
b) Por la transmisión inter-vivos las participaciones dentro del plazo de los dos primeros
años tras la constitución.
7.6.5. Responsabilidad de los administradores
Lógicamente los administradores de las SLNE están sometidos en todo al régimen de responsabilidades de todo tipo; laborales, tributarias, administrativas, civiles y penales que se deriva del régimen general de las sociedades de responsabilidad limitada. No obstante las especiales características de esta nueva regulación específica incorpora algunos nuevos supuestos de responsabilidad
de los administradores que en síntesis no exhaustiva son los siguientes:
a) Por superar el límite de capital social máximo en lo que pudiera perjudicar a otras
empresas de la competencia.
b) Por mantener como socio a persona jurídica encubierta mediante fiducia o recurrir a
testaferros. Al respecto cabe considerar la “Teoría de levantamiento de velo”.
c) Percibir el administrador retribuciones sin previo acuerdo de la Junta General, salvo
que como consecuencia del carácter eminentemente cerrado y personalista, el hecho
sea público y notorio.
d) Por no proponer la disolución cuando la SLNE incurra en situación de Sociedad Patrimonial.
Como cierre de estos comentarios en positivo y con buen sabor de boca enumeramos a continuación los apoyos y estímulos que aporta el ESTATUTO NUEVA EMPRESA.
1º INCENTIVOS FISCALES: mediante el aplazamiento por períodos variables de 1 o 2
años de diversas deudas tributarias:
- ITP y AJD por la constitución.
- Impuesto sobre Sociedades.
- Retenciones y pagos a cuenta sobre el IRPF.
Además no obligación a efectuar los pagos a cuenta del Impuesto sobre Sociedades
durante los dos primeros años de actividad.
2º SISTEMA CONTABLE SIMPLIFICADO, a partir del denominado Sistema Americano que integra e un único registro contable el Diario, el Mayor y el de Balances.
3º MODELO ESTANDAR DE ESTATUTOS SOCIALES polivalente y adaptable a cualquier tipo de actividad que pretenda desarrollar la nueva compañía. Estos estatutos tendrán un objeto social genérico adaptable con toda agilidad a las exigencias cambiantes
del mercado, sin precisar de modificaciones estatutarias.
4º SIMPLICIDAD Y RAPIDEZ DEL PROCESO CONSTITUYENTE. A partir de los
estatutos estándares y mediante su incorporación al DUE se dispondrá de una nueva
sociedad operativa en el plazo máximo de 48 horas.
264
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
7.6.6. Modelo estandar de estatutos sociales de la Sociedad Limitada Nueva Empresa
-------------------------------------------ESTATUTOS----------------------------------------------
Capitulo i. Disposiciones generales
ARTICULO 1º.- La sociedad se denomina JUAN PÉREZ LÓPEZ (código alfanumérico)
Sociedad Limitada Nueva Empresa (o SLNE).
ARTICULO 2º.- La sociedad tiene por objeto social todas o algunas de las siguientes actividades: agrícol, ganadera, forestal, pesquera, industrial, de construcción, comercial,
turística, de transportes, de comunicaciones, de intermediación, de profesionales y de
servicios en general y además con carácter especial la actividad xxx (*) .
ARTICULO 3º.- Quedan excluida del objeto social todas aquellas actividades para cuyo
ejercicio la Ley exija requisitos especiales que no queden cumplidos por esta Sociedad.
Asimismo quedan excluidas aquellas actividades cuyo ejercicio requiera la forma de
sociedad anónima, ni aquellas de las que se derive la aplicación del régimen de sociedades patrimoniales regulada en el cap. VI del título VIII de la Ley 43/95 del Impuesto
sobre Sociedades.
Si las disposiciones legales exigiesen para al ejercicio da algunas de las actividades
comprendidas en el objeto social algún título profesional, o autorización administrativa, o inscripción en Registros Públicos, dichas actividades deberán realizarse por
medio de persona que ostente dicha titularidad profesional y, en su caso, no podrán
iniciarse antes de que se hayan cumplido los requisitos administrativos exigidos.
ARTICULO 4°.- La duración da la Sociedad es indefinida y da comienzo a sus operaciones el día del otorgamiento de la escritura fundacional.
ARTICULO 5º.- La fecha del cierra del ejercido social será el día 31 de Diciembre de
cada año.
ARTICULO 6º.- El domicilio de la Sociedad se establece en Barcelona, calle L’Avenir n°
35, 6º 2ª.
ARTICULO 7º.- El capital social es de xxx EUROS (**) (xxx Euros), dividido xxx participaciones sociales, números 1 a la xxx, ambos inclusive, de Un Euro de valor nominal
cada una, acumulables e indivisibles, que no podrán incorporarse a títulos negociables
ni denominarse acciones. El capital social está íntegramente suscrito y desembolsado.
Capitulo ii. Régimen de las participaciones sociales.
ARTICULO 8º.- Las participaciones sociales están sujetas al régimen previsto en la Ley.
Las transmisiones de participaciones sociales por actos “intervivos” solo podrá hacerse
a favor de persona física.
Si a consecuencia de la transmisión adquirieran participaciones sociales personas jurídicas, aquellas deberán ser enajenadas a favor de persona física en el plazo de tres
meses contados desde la adquisición.
La transmisión de participaciones sociales y la constitución del derecho real de prenda
deberá constar en documento público. La constitución de otros derechos reales deberá
constar en Escritura Pública.
Los derechos frente a le Sociedad se podrán ejercer desde que ésta tenga conocimiento
de la transmisión o constitución del gravamen.
ARTICULO 9º.- La transmisión de participaciones sociales se regirá por lo dispuesto en
los artículos 28 y siguientes de la Ley. En consecuencia, será libre la transmisión volun-
Marco jurídico 265
taria de participaciones por actos inter-vivos entre socios, o a favor del cónyuge, ascendientes o descendientes de socio o de Sociedades pertenecientes al mismo grupo que la
transmitente, así como las transmisiones mortis causa.
La sociedad tendrá derecho de adquisición preferente, y de subrogarse en lugar del
rematante, o en su caso del acreedor, en los términos que determina el artículo 31-3”
da la Ley 2/1995 da 23 da Marzo, para el caso da transmisión forzase de participaciones sociales.
ARTICULO 10º.- En caso de USUFRUCTO da par1icipaciones, la cualidad de socio reside en el nudo propietario, pero el usufructuario tendrá derecho en todo caso a los dividendos acordados por la Sociedad durante el usufructo En el caso de PRENDA corresponderá al propietario el ejercicio da los derechos del socio.
Capitulo iii.-Organos sociales.
ARTICULO 11°.- Los órganos sociales son la Junta General y los Administradores, y en lo
no previsto en estos Estatutos se regirán por lo dispuesto en el artículo 139 de la Ley.
ARTICULO 12º.- JUNTA GENERAL.
Los socios reunidos en Junta General decidirán, en los asuntos propios de la competencia da la Junta, por mayoría de capital social, salvo quórum superior, exigido por la
Ley, y lo dispuesto en el artículo 692 sobre acción de responsabilidad de los administradores.
ARTICULO 13º. -CONVOCATORIA.
La Junta General será convocada por Ice Administradores, o Liquidadores, en su caso,
mediante comunicación Individual y escrita del anuncio a todos los socios el domicilio
que conste en el libro registro, por correo certificado, con acuse de recibo o mediante
procedimientos telemáticos que hagan posible al socio el conocimiento de la convocatoria, a través de la acreditación fehaciente del envío del mensaje electrónico de la convocatoria o por acuse de recibo del socio.
ARTICULO 14°.-ASISTENCIA Y REPRESENTACION.
Todos los socios tienen derecho a asistir a la Junta General por si o representados por
otra persona, socio o no. La representación comprenderá la totalidad de las participaciones del representado, deberá conferirse por escrito y si no consta en documento
público deberá ser especial para cada Junta.
ARTICULO 15º.- ADMINISTRADORES.
La Junta General confiará la Administración de la Sociedad a un Administrador único
o varios, que actuarán solidariamente, o mancomunadamente al menos dos de ellos,
según determine la Junta General.
ARTICULO 16º.- Para ser nombrado Administrador se requerirá la condición de socio.
No podrán ser administradores de la Sociedad los quebrados y los concursados no
rehabilitados, los menores e incapacitados, los condenados a panas que lleven aneja la
inhabilitación para al ejercicio de cargo público, los que hubieren sido condenados por
grave incumplimiento de Leyes o disposiciones sociales y aquellos, por razón de su
cargo, no pueden ejercer el comercio. Tampoco podrán ser nombrados administradores los funcionarios el servicio de la Administración con funciones a su cargo que se
relacionen con las actividades propias de le Sociedad y, en general, las personas determinadas en la Ley 12/1995, de 11 de Mayo.
266
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
ARTICULO 17º.- Los Administradoras ejercerán su cargo indefinidamente, pudiendo ser
separados de su cargo por la Junta General aún cuando la separación no conste en el
Orden del Día.
ARTICULO 18º.- La representación de la Sociedad en juicio y fuera de él corresponde a los Administradores, y se extenderá a todos los actos comprendidos en el objeto
social.
ARTICULO 19º.” El cargo de Administrador es gratuito.
Capitulo iv.- Separacjon y exclusion de los socios.
ARTICULO 20º.- Los socios tendrán derecho a separarse de la Sociedad y podrán ser excluidos de la misma por acuerdo de la Junta General, por las causas y en la forma prevista en los
artículos 95 y siguientes de la Ley.
Capitulo v.- Disolucion y liquidacion.
ARTICULO 21º.- La Sociedad se disolverá y liquidará por las causas y de acuerdo con el
régimen establecido en el artículo 142 de la Ley.
ARTICULO 22º.- Los Administradores al tiempo de la disolución quedarán convertidos
en Liquidadores, salvo que la Junta General hubiese designado otros al acordar la disolución.
Los Liquidadores ejercerán su carga por tiempo indefinido. Transcurridos tres años
desde la apertura da la liquidación sin que se haya sometido a la aprobación de la Junta
General el balance final de la liquidación, cualquier socio o persona con interés legitimo podrá solicitar del Juez de Primera Instancia del domicilio social la separación de
los liquidadores en la forma prevista por la Ley.
ARTICULO 23º.- La cuota de liquidación correspondiente a cada socio será proporcional
a su participación en el capital social.
ARTICULO 24º.- En caso de que la Sociedad devenga unipersonal se estará a lo dispuesto en los artículos 125 y siguientes de la ley, y el socio único ejercerá las competencias
de la Junta General.
Transcurridos seis meses desde que un único socio sea propietario de todas las participaciones sociales, sin que esta circunstancia se hubiese inscrito en el Registro Mercantil, aquél responderá personal, ilimitada y solidariamente de las deudas sociales
contraídas durante el periodo de unipersonalidad. Inscrita la unipersonalidad, el socio
único no responderá de las deudas contraídas con posterioridad.
No obstante el anterior modelo de estatutos sociales de la SLNE, la ORDEN JUS/1445/
2003 de 4 de junio publica unos estatutos orientativos que transcribimos íntegramente
dada su gran transcendencia de su uso a efectos de eliminar incertidumbres en la calificación por parte de los registradores de acuerdo con lo que textualmente se dice en el
preámbulo de la referida Orden Jus/1445/2003.
De todo lo anterior se infiere que la utilización de los estatutos orientativos, provoca
que la calificación y en su caso la inscripción por el Registrador Mercantil deberá realizarse en un plazo no superior a las veinticuatro horas, ya se utilicen los procedimientos
telemáticos en la tramitación, ya se utilice la tramitación en soporte papel, tradicional,
así como en la tramitación telemática, aun cuando el notario remita la copia electrónica autorizada al registro Mercantil, por ser el único habilitado para ello, y no sea posible realizar los restantes trámites previstos en el artículo 134 de la citada Ley en forma
telemática.
Marco jurídico 267
Los estatutos orientantivos que ahora se aprueban recogen los elementos esenciales que
regulan el régimen jurídico de la Sociedad Limitada Nueva Empresa, de manera clara
y sencilla.
No obstante lo anterior, y como no podía ser de otra manera, los socios pueden elaborar
otro tipo de estatutos sociales, con los límites de derecho imperativo establecidos en la
Ley, como consecuencia lógica del principio de autonomía de la voluntad, tan esencial
en todos los tipos de negocios jurídicos, pero muy especialmente en los societarios, en
cuyo caso el plazo para calificar e inscribir será el general contemplado en la legislación específica.
A pesar del retraso latente derivado de otro modelo de estatutos diferente del que transcribimos a continuación y en aras a la libre voluntad de los partícipes constituyentes
por lo que hemos mantenido el modelo de estatutos sociales estándares según nuestra
terminología, en las páginas anteriores.
Estatutos sociales de la sociedad mercantil de Responsabilidad Limitada Nueva Empresa y
S.L.N.E.»
1. DISPOSICIONES GENERALES
Artículo 1.º Denominación
La Sociedad mercantil de responsabilidad limitada nueva empresa, de nacionalidad
española, se denomina ..............................................., S.L.N.E.
Se regirá por lo dispuesto en estos estatutos, en su defecto por lo dispuesto en el Capitulo XII de la ley 2/1995, de 23 de marzo, y, en lo no previsto en el mismo, por las demás
disposiciones que sean de aplicación a las Sociedades de responsabilidad limitada.
Artículo 2.º Objeto.
La sociedad tiene por objeto: ........................................................................... (ver artículo
132 de la Ley 7/2003 a efectos de selección de una o más actividades de las allí descritas, y en su caso para la indicación de una actividad singular).
Si alguna de las actividades enumeradas, así lo precisare, deberá ser ejercitada a través
de profesionales con la titulación adecuada o, en su caso, deberá ser ejercitada previas
las correspondientes autorizaciones o licencias administrativas.
Artículo 3.º Duración.
La sociedad se constituye por tiempo indefinido ................ (o por el tiempo que se establezca) y, dará comienzo a sus operaciones sociales el día del otorgamiento de la escritura pública de constitución.
Artículo 4.º Domicilio.
La sociedad tiene su domicilio en ......................................................................................
El órgano de administración, podrá crear, suprimir y trasladar sucursales, agencias o
delegaciones en cualquier punto del territorio español o del extranjero, y variar la sede
social dentro del mismo término municipal de su domicilio.
II. CAPITAL SOCIAL. PARTICIPACIONES
Artículo 5.º Cifra capital.
El capital social de la sociedad se fija en la cantidad de ......................... euros.
Dicho capital social está dividido en ........... participaciones sociales, todas iguales, acumulables e indivisibles, de .................... euros de valor nominal cada una de ellas, numeradas correlativamente a partir de la unidad.
268
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Artículo 6.º Transmisiones.
A) Voluntarias por actos ínter vivos.— Será libre toda transmisión voluntaria de participaciones sociales realizada por actos ínter vivos, a titulo oneroso o gratuito, en favor de
.............. (otro socio, el cónyuge, o los descendientes o ascendientes del socio).
Las demás transmisiones por acto ínter vivos se sujetarán a lo dispuesto en la ley.
B) Mortis causa.— Será libre toda transmisión mortis causa de participaciones sociales,
sea por vía de herencia o legado en favor de otro socio, en favor de cónyuge, ascendiente o descendiente del socio.
Fuera de estos casos, en las demás transmisiones mortis causa de participaciones sociales los socios sobrevivientes, y en su defecto la Sociedad, gozarán de un derecho de
adquisición preferente de las participaciones sociales del socio fallecido, apreciadas en
el valor razonable que tuvieren el día del fallecimiento del socio y cuyo precio se pagará al contado; tal derecho debera ejercitarse en el plazo máximo de tres meses a contar
desde la comunicación a la Sociedad de la adquisición hereditaria.
A falta de acuerdo sobre el valor razonable de las participaciones sociales o sobre la
persona o personas que hayan de valorarlas y el procedimiento a seguir para su valoración, las participaciones serán valoradas en los términos previstos en los artículos 100
y siguientes de la ley de sociedades de responsabilidad limitada.
Transcurrido el indicado plazo, sin que se hubiere ejercitado fehacientemente ese derecho, quedará consolidada la adquisición hereditaria.
C) Normas comunes.—
1. La adquisición, por cualquier titulo, de participaciones sociales, deberá ser
comunicada por escrito al órgano de administración de la Sociedad, indicando el
nombre o denominación social, nacionalidad y domicilio del adquirente.
2. El régimen de la transmisión de las participaciones sociales será el vigente en la
fecha en que el socio hubiere comunicado a la sociedad el propósito de transmitir o,
en su caso, en la fecha del fallecimiento del socio o en la de adjudicación judicial o
administrativa.
3. Las transmisiones de participaciones sociales que no se ajusten a lo previsto en estos
estatutos, no producirán efecto alguno frente a la sociedad.
III. ÓRGANOS SOCIALES
Artículo 7.º Junta general.
A) Convocatoria.— Las juntas generales se convocarán mediante correo certificado
con acuse de recibo dirigido al domicilio que a tal efecto hayan comunicado los
socios al órgano de administración (o mediante comunicación telemática dirigida a
la dirección de correo electrónico que a tal efecto hayan comunicado los socios al
órgano de administración).
B) Adopción de acuerdos.— Los acuerdos sociales se adoptarán por mayoría de los
votos válidamente emitidos, siempre que representen al menos un tercio de los votos
correspondientes a las participaciones sociales en que se divide el capital social, no
computándose los votos en blanco.
No obstante y por excepción a lo dispuesto en el apartado anterior, se requerirá el
voto favorable:
Marco jurídico 269
a) De más de la mitad de los votos correspondientes a las participaciones en que se
divide el capital social, para los acuerdos referentes al aumento o reducción de
capital social, o, cualquier otra modificación de los estatutos sociales para los que
no se requiera la mayoría cualificada que se indica en el apartado siguiente.
b) De al menos dos tercios de los votos correspondientes a las participaciones en
que se divide el capital social, para los acuerdos referentes al aumento de capital
social por encima del límite máximo establecido en el artículo 135 de la Ley, a
la transformación, fusión o escisión de la sociedad, a la supresión del derecho de
preferencia en los aumentos de capital, a la exclusión de socios, a la autorización a
los administradores para que puedan dedicarse, por cuenta propia o ajena, al mismo,
análogo o complementario género de actividad que constituya el objeto social.
c) Si la Sociedad reuniese la condición de unipersonal el socio único ejercerá las
competencias de la Junta General, en cuyo caso sus decisiones se consignarán en
acta, bajo su firma o la de su representante, pudiendo ser ejecutadas y formalizadas
por el propio socio o por los administradores de la sociedad.
Artículo 8.º Órgano de administración: modo de organizarse.
1. La administración de la sociedad podrá confiarse a un órgano unipersonal
(administrador único), o a un órgano pluripersonal no colegiado (varios
administradores que actuarán solidaria o conjuntamente) y cuyo número no será
superior a cinco.
2. Corresponde a la junta general, por mayoría cualificada y sin que implique
modificación estatutaria, la facultad de optar por cualquiera de los modos de
organizar la administración de la Sociedad.
3. Para ser nombrado administrador se requerirá la condición de socio.
4. Los administradores ejercerán su cargo por tiempo indefinido, salvo que la Junta
general, con posterioridad a la constitución, determine su nombramiento por plazo
determinado.
5. La Junta General podrá acordar que el cargo de administrador sea retribuido, así
como la forma y cuantía de la retribución.
Artículo 9.º Poder de representación.
En cuanto a las diferentes formas del órgano de administración, se establece lo siguiente:
1. En caso de que exista un Administrador único, el poder de representación
corresponderá al mismo.
2. En caso de que existan varios Administradores solidarios, el poder de representación
corresponderá a cada uno de ellos.
3. En caso de que existan varios Administradores conjuntos, el poder de representación
corresponderá y se ejercerá mancomunadamente por dos cualesquiera de ellos.
No podrán ocupar ni ejercer cargos en esta sociedad, las personas comprendidas en
alguna de las prohibiciones o incompatibilidades establecidas en la Ley 12/1995,
de 11 de Mayo y en las demás disposiciones legales, estatales o autonómicas en la
medida y condiciones en ella fijadas.
Artículo 10.º Facultades.
Al órgano de administración corresponde la gestión y administración social, y, la plena
y absoluta representación de la sociedad, en juicio y fuera de él.
270
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Por consiguiente, sin más excepción que la de aquellos actos que sean competencia de la
junta general o que estén excluidos del objeto social, el poder de representación de los administradores y las facultades que lo integran, deberán ser entendidas con la mayor extensión para contratar en general y para realizar toda clase de actos y negocios, obligacionales y dispositivos, de
administración ordinaria o extraordinaria y de riguroso dominio, respecto de cualquier clase de
bienes muebles, inmuebles, acciones y derechos.
IV. EJERCICIOS, CUENTAS ANUALES
Artículo 11.º Ejercicio social
El ejercicio social comienza el uno de Enero y finaliza el treinta y uno de Diciembre
de cada año .............. (u otro periodo anual que se establezca). El primer ejercicio social
comenzará el día del otorgamiento de la escritura pública de constitución de sociedad
y finalizará el día treinta y uno de Diciembre de ese mismo año ( ........... u otro periodo
anual).
Artículo 12.º Cuentas anuales.
1. El órgano de administración, en el plazo máximo de tres meses, contados a partir
del cierre del ejercicio social, formulará las cuentas anuales con el contenido
establecido legal o reglamentariamente.
2. En cuanto a la forma, contenido, descripción, partidas, reglas de valoración,
verificación, revisión, información a los socios, aprobación, aplicación de resultados,
y depósito de las cuentas anuales en el registro mercantil, se estará a lo dispuesto en
la legislación aplicable.
V. CONTINUACIÓN DE OPERACIONES COMO SOCIEDAD LIMITADA.
DISOLUCIÓN Y LIQUIDACIÓN
Artículo 13.º Continuación de operaciones como sociedad de responsabilidad limitada.
La sociedad podrá continuar sus operaciones sociales como sociedad de responsabilidad
limitada general con los requisitos establecidos en el artículo 144 de su ley reguladora.
Artículo 14.º Disolución y líquidación.
La Sociedad se disolverá por las causas legalmente establecidas, rigiéndose todo el proceso de disolución y liquidación por su normativa específica, y en su defecto por las
normas generales.
Decidida la disolución y producida la apertura del periodo de liquidación, cesarán en
sus cargos los administradores vigentes al tiempo de la disolución, los cuales quedarán
convertidos en liquidadores, salvo que la Junta General, al acordar la disolución, designe otros liquidadores en número no superior a cinco.
VI. DISPOSICIONES COMPLEMENTARIAS
Artículo 15.º
Toda cuestión que se suscite entre socios, o entre éstos y la sociedad, con motivo de
las relaciones sociales, y sin perjuicio de las normas de procedimiento que sean legalmente de preferente aplicación, será resuelta... (a elegir ante los Juzgados o Tribunales
correspondientes al domicilio social o mediante arbitraje formalizado con arreglo a las
prescripciones legales).
Marco jurídico 271
8. Delitos en internet y su prevención
8.1. Delitos transfronterizos versus derechos locales
Las nuevas tecnologías, al configurarse como nuevo paradigma que invade todos los ámbitos de la
actividad humana, no podían por menos de incidir también en el lado oscuro de dicha actividad; la
conducta delictiva o criminal de los individuos de los grupos organizados. Por sus especiales características dos son las fórmulas a través de las que las TIC’s se relacionan con el delito:
a) Por un lado las tecnologías ofertan la posibilidad de renovar las tradicionales formas
de delinquir. Entraríamos aquí en figuras delictivas tipificadas tradicionalmente en los
códigos penales que revisten una nueva forma de materializarse. Por poner dos ejemplos de los más manidos podemos citar el blanqueo de capitales o la pornografía infantil, entre otros muchos menos espectaculares.
b) Por la fuerza de su propia innovación las TIC’s han propiciado la aparición de nuevas
figuras delictivas que están en proceso de incorporación, por su novedad, a los códigos
penales de los diferentes países. A modo de ejemplo cito las agresiones a la salud pública
por antenas de telefonía, o los ataques mediante virus.
Repetidamente hemos aludido como la principal característica de las TIC’s su desubicación
espacial, mucho pesa esta característica en su incidencia sobre el entorno en general, pero sin duda
cobra su máxima expresión en el ámbito del derecho que desde los orígenes siempre ha presentado
una clara vocación territorial tanto en lo que respecta al poder o autoridad judicial que juzga (JURISDICCIÓN COMPETENTE) como en lo relativo a la norma que se debe aplicar al juzgar (LEY
APLICABLE). Ambos conceptos son aún hoy en día marcadamente geográficos. En síntesis podemos decir que las TIC’s son globales y esencialmente transfronterizas y por el contrario la ley y
los tribunales están limitados por definición a un determinado estado o territorio. Además el fenómeno de la desubicación es en realidad mucho más acusado de lo que aparenta. A pesar de que no
seamos conscientes de ello, una información bidireccional on-line entre un usuario en Barcelona
y un Web Site alojado en un ISP de California puede pasar por más de 10 ISPs distintos domiciliados en los puntos más dispares del mundo, sin contar entre ellos los nodos de conexión de la red
que siempre actúan aleatoriamente en función de los caminos menos saturados en cada momento.
Ante esta diversidad de domicilios y nacionalidades cabe preguntarse ¿Qué ley se aplicará en caso
de litigio? ¿Cuál de entre todos los posibles será el Tribunal idóneo para entender del caso?
La perplejidad del Derecho ante la nueva “realidad virtual” es general, pero sin duda reviste
su máxima expresión en el ámbito del Derecho Penal por cuanto está limitado a la fuerza a la resolución judicial mediante sentencia del Tribunal. Por el contrario en el ámbito del Derecho Privado
(civil, mercantil, etc.) además de los tribunales caben otros instrumentos jurídicos para la resolución de conflictos que no por casualidad están cobrando un protagonismo inusitado desde la “inflación” de las TIC’s. Recomendamos profundizar en el tema de de los nuevos instrumentos en el
apartado 9 (ver página XXX y siguientes) Por desgracia en el Derecho Penal carecemos de esta diversificación de medios estando limitados al desarrollo intensivo de los Tratados Internacionales.
A modo de ejemplo cabe citar el reciente convenio del Consejo de Europa sobre cibercrimen, firmado el 23 de Noviembre de 2001 en Budapest por 30 países entre los que figuran, lógicamente, los 15 socios de la U.E., Estados Unidos, Canadá, Japón y Sudáfrica entre otros. La firma
de este Convenio es la culminación de cuatro años de trabajo que se han plasmado en un documento de 48 artículos que se organizan en torno a cuatro categorías:
a) Infracciones contra la confidencialidad.
b) Falsificación y fraude informático.
c) Infracciones relativas a los contenidos.
d) Violaciones de la propiedad intelectual.
272
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
A pesar del trabajo previo y la firma del Convenio, el consenso entre los países firmantes no ha
sido total. Así la U.E., celosa de su garantismo procesal, se ha opuesto a la propuesta norteamericana de
crear una policía sin fronteras con competencias sobre la actividad criminal de Internet. Por el contrario
la petición de eliminar los contenidos racistas y xenófobos por parte de Francia y Alemania han chocado con la Primera Enmienda de la Constitución Americana, relativa a la libertad de expresión.
El telón de fondo del 11-S también se ha dejado sentir en las sesiones de Budapest y ha quedado suficientemente clara la voluntad de la Administración Americana para ir mucho más lejos del
estricto ámbito del Convenio, eso sí siempre aplicando sus propias leyes.
El convenio de Budapest instaura el PRINCIPIO DE TERRITORIALIDAD para definir la jurisdicción competente. De este principio tendremos ocasión de hablar con detalle más adelante y tiene una clara vocación de unificar las normas penales (tipificación de delitos y codificación de penas)
a modo de conseguir poco a poco una especie de Lex Mercatoria global para el ámbito penal.
Una vez descrito el especialmente complejo marco de regulación y sanciones de la actividad
criminal en Internet, es obligado cerrar a modo de primera conclusión las tres principales dificultades
para alcanzar el mínimo consenso internacional deseable sobre la materia:
1ª DIFICULTAD: CONFLICTO DE JURISDICCIÓN. Elegir el tribunal competente para
juzgar un delito multinacional y transfronterizo.
2ª DIFICULTAD: CONFLICTO DE LEYES. Una vez elegido el tribunal la primera rigidez
con que tropezará su actividad es elegir la ley aplicable al caso concreto que debe juzgar.
3ª DIFICULTAD: EJECUCIÓN DE SENTENCIA EXEQUATOR. Una vez el tribunal
competente ha emitido sentencia, la segunda rigidez del proceso consiste en la necesidad de que ésta sea ejecutada, previsiblemente en países distintos del foro que la ha dictado. Para ello se debe contra con un compromiso supra-nacional de reconocimiento y
aceptación de sentencias. La problemática jurídica del exequator es de tal complejidad
que en muchas ocasiones supera la complejidad del propio proceso juzgador.
8.2. Las normas de conflicto en el derecho penal
Las normas de conflicto para dilucidar qué tribunal debe actuar y qué ley se debe aplicar, utilizar y
potenciar. Pero ya hemos apuntado que este criterio, válido tradicionalmente en el mundo real, poco
juego puede dar en el mundo virtual por sus características de globalidad. También apuntábamos que
a nuestros efectos sería de gran valor el disponer de una ley uniforme que actuara en la jurisdicción
penal a modo de Lex Mercatoria, pero hoy por hoy esto es una aspiración alejada de la realidad.
8.2.1. Criterios para determinar la jurisdicción competente
Haciendo una aplicación “sui generis” del Principio de Territorialidad se acepta que en materia de
delitos y cuasi-delitos son competentes los tribunales del país en donde se produce el hecho lesivo
y así lo disponen entre otras las siguientes normas:
a) El Convenio de Bruselas sobre competencia judicial y ejecución de resoluciones
judiciales en materia civil y mercantil de 27 de septiembre de 1968.
b) Reglamento (C.E.) nº 44/2001 del Consejo de 22 de diciembre de 2000 relativo a la
competencia judicial, el reconocimiento y ejecución de resoluciones judiciales en
materia civil y mercantil (Art. 5.3).
c) Ley Orgánica del Poder Judicial (Art. 22.3).
A pesar del título de las dos primeras normas (a) y b) anteriores, relativas a materias civiles
y mercantiles, lo cierto es que la jurisprudencia del Tribunal de Justicia de las Comunidades Europeas considera que son normas aplicables para la elección del foro que entienda de cualquier
infracción civil no derivada de contrato, así como de aquellas derivadas de conductas delictivas.
Con este criterio podemos concluir que las anteriores normas de elección de jurisdicción son apli-
Marco jurídico 273
cables a supuestos de defensa de la competencia, agresiones a la propiedad intelectual, agresiones
a los derechos de la personas, productos defectuosos, etc.
Recordemos pues que en estos supuestos la NORMAL GENERAL PARA DESIGNAR LA
COMPETENCIA DE JURISDICCIÓN es la de los tribunales donde se produce el hecho lesivo. Esta
norma general se muestra manifiestamente inoperante, o cuando menos confusa, cuando se pretende
aplicar en Internet, por cuanto los hechos lesivos derivados de un origen (causa) pueden ser múltiples
y producirse en una amplia diversidad de países. Además el foro elegido para entender de una hecho
en un país ¿sería o no competente para juzgar los hechos lesivos producidos en el resto de países?
Las soluciones aplicadas en la práctica por el sistema judicial de los Estados Unidos tampoco son mucho más eficaces en la conflictividad de la Red y ello es válido tanto para el criterio de
jurisdicción “in personam” general, como para el criterio de jurisdicción “in personam” específica, los cuales no consiguen sino aportar más confusión al tema.
Concluimos este epígrafe con la molesta sensación de que el problema no está definitivamente resuelto por ninguno de los sistemas judiciales conocidos.
8.2.2. Criterios para determinar la ley aplicable
El criterio general en el ámbito criminal es aplicar la “lex loci delicti comissi” y como no hay convenios internacionales para tipificar figuras delictivas de forma homogénea y unificada, volvemos
a estar ante la falta de cirterio único para determinar la ley aplicable. Ante esta situación se debe
recurrir a reglas particulares de jurisdicción.
A modo de ejemplo en España, el criterio sustentado por el código civil (Art. 8) dispone
que: “las leyes penales, las de policía y las de seguridad pública obligan a todos los que se hallen
en territorio español”. Pero este criterio se demuestra inoperante una vez en el ámbito de Internet.
Un Website alojado en U.S.A. que es accesible a usuarios españoles ¿debe o no acatar la legislación penal española? A modo de ejemplo podemos citar la reciente sentencia del Tribunal Supremo americano en el sentido de que la pornografía infantil producida con medios virtuales (diseño
digitalizado para entendernos) no constituye delito, ni su producción ni su exhibición, ni por supuesto su consumo. La razón del T.S. americano radica en que al no existir personas reales detrás
de las imágenes no existe bien jurídico a proteger y debe primar la Sacrosanta Primera enmnienda
que consagra la libertad de expresión ¿quizás artística? Cabe preguntarse si esta norma sería o no
asumida por los tribunales españoles en el supuesto de que éstos se declarasen competentes para
entender de un caso de pornografía infantil virtual por material colgado en un portal domiciliado
en U.S.A. De nuevo nos vemos obligados a concluir que los criterios jurídicos tradicionales no son
operativos para su aplicación en el entorno virtual.
8.3. La tipificación de delitos relativos a las TIC’s en el código penal español
La tipicidad de las conductas delictivas es uno de los principios imprescindibles en materia penal y en
España tenemos la gran suerte de que el Código Penal vigente se promulgó hace relativamente poco
tiempo. En efecto, el conocido como Código Penal Belloch se aprobó el 23 de noviembre de 1995 (Ley
Orgánica del código Penal 10/1995) y en su exposición de motivos se reconoce la necesidad de introducir nuevas figuras delictivas para adaptar los criterios penales a las exigencias sociales actuales.
La doctrina de jurisprudencia viene aplicando diversas denominaciones a las figuras delictivas realizadas en el entorno de las nuevas tecnologías y así se habla indistintamente de: delincuencia informática, criminalidad informática, delitos informáticos, “computer crime”, abuso
informático, etc. En nuestra opinión ninguno de los términos antes reseñados son acertados por
cuanto hacen referencia tan sólo a uno de los campos en que se desarrollan las nuevas tecnologías,
concretamente a la informática y olvidan el otro gran componente: las telecomunicaciones y lo
que es más grave también olvidan la potente convergencia de las dos tecnologías citadas.
Si difícil resulta la definición mucho más difícil es conseguir el acuerdo sobre una exhaustiva clasificación de este tipo de delitos (¿informáticos o tecnológicos?). A modo de ejemplo ilustra-
274
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
tivo de la dificultad para consensuar una clasificación dos de las realizadas por el Profesor Davara
Gómez siguiendo dos criterios diferentes.
a) Acceso y manipulación de datos.
b) Manipulación de programas.
Y a partir de estos criterios clasifica las acciones potencialmente delictivas en los siguientes seis apartados:
1- Manipulación en los datos e informaciones contenidas en los archivos o soportes físicos informáticos ajenos.
2- Acceso a los datos y/o utilización de los mismos por quien no está autorizado para
ello.
3- Introducción de programas o rutinas en otros ordenadores para destruir información,
datos o programas.
4- Utilización del ordenador y/o los programas de otras personas, sin autorización, con el
fin de obtener beneficios propios y en perjuicio de otro.
5- Utilización del ordenador con fines fraudulentos.
6- Agresión a la “privacidad” mediante la utilización y procesamiento de datos personales
con fin distinto al autorizado, que será objeto de este trabajo.
El mismo autor hace otra clasificación siguiendo el orden sistemático del Código Penal en:
a) Delitos contra la intimidad y el derecho a la propia imagen (arts. 197 a 201).
b) Delitos contra el patrimonio y contra el orden socioeconómico.
b.1) De los hurtos (arts. 234 a 236) y de los robos (arts. 237 a 242).
b.2) De las defraudaciones.
b.2.1) De las estafas (arts. 248 a 251).
b.2.2) De la apropiación indebida (arts. 252 a 254).
b.3) De los daños (arts. 263 a 267).
b.4) De los delitos relativos a la propiedad intelectual e industrial, al mercado y a los
consumidores.
b.4.1) De los delitos relativos a la propiedad intelectual (arts. 270 a 272).
b.4.2) De los delitos relativos a la propiedad industrial (arts. 273 a 277).
b.4.3) De los delitos relativos al mercado y a los consumidores (arts. 278 a 286).
c) De las falsedades documentales (arts. 390 a 399).
d) Otras referencias indirectas.
En nuestra opinión la intersección de la criminalidad y las nuevas tecnologías es excesivamente compleja como para resolver cualquier intento de ordenación artificial. Además el concepto
de nuevas tecnologías rebasa con mucho el estricto ámbito TIC y necesariamente debería incluir
otros campos como la genética, fecundación artificial, energía nuclear, etc. Ante esta complejidad
optamos por exponer la transcripción de los diferentes artículos del Código Penal vigente que en
nuestro criterio guarda relación con los múltiples efectos y manifestaciones de las nuevas tecnologías. Y para ello seguimos la pauta utilizada por el Profesor Joan Piqué Vidal en sus apuntes utilizados en numerosos cursos de post-grado.
El delito tecnológico se caracteriza por las dificultades que entraña descubrirlo, probarlo y
perseguirlo. En efecto, son delitos, que en la mayoría de los casos no se denuncian, para evitar la
alarma social o el desprestigio por un fallo en la seguridad. Las víctimas prefieren sufrir las conse-
Marco jurídico 275
cuencias del delito e intentar prevenirlo para el futuro antes que iniciar un procedimiento judicial.
Esta situación dificulta enormemente el conocimiento del número de delitos cometidos y la planificación de las adecuadas medidas legales sancionadoras o preventivas.
Además resulta difícil tipificar penalmente situaciones sometidas a un constante cambio
tecnológico.
La Exposición de Motivos del Código Penal de 1995 considera como uno de sus principales
logros innovadores el haber afrontado “la antinomia existente entre el principio de intervención
mínima y las crecientes necesidades de tutela en una sociedad cada vez más compleja, dando prudente acogida a nuevas formas de delincuencia, pero eliminando, a la vez, figuras delictivas que
han perdido su razón de ser”.
Pese a las críticas que pueda recibir, se puede considerar que el nuevo Código Penal es una
herramienta de gran valor para jueces, juristas y abogados a quienes permitirá efectuar construcciones jurídicas artificiosas para penar conductas socialmente reprochables que necesitan tener su
cabida en el Código Penal del siglo XXI, por lo que consideramos se produce un acercamiento,
mediante la introducción de algunas características en la comisión del delito que nos aproxima al
tema de los llamados “delitos informáticos”, si bien sin acercarnos al nivel de la legislación penal
de países de nuestro entorno.
8.3.1. Delitos en relación con la pornografía
Artículo 186.
El que, por cualquier medio directo, vendiere, difundiere o exhibiere material pornográfico entre menores de edad o incapaces, será castigado con la pena de prisión de seis
meses a un año, o multa de seis a doce meses.
Artículo 189.
1. Será castigado con la pena de prisión de uno a tres años:
a) El que utilizare a menores de edad o a incapaces con fines o en espectáculos exhibicionistas
o pornográficos, tanto públicos como privados o para elaborar cualquier clase de material
pornográfico, o financiare cualquiera de estas actividades.
b) El que produjere, vendiere, distribuyere, exhibiere o facilitare la producción,
venta, difusión o exhibición por cualquier medio de material pornográfico en cuya
elaboración hayan sido utilizados menores de edad o incapaces, aunque el material
tuviere su origen en el extranjero o fuere desocnocido. A quien poseyera dicho
material para la realización de cualquiera de estas conductas se le impondrá la pena
en su mitad inferior.
2. Se impondrá la pena superior en grado cuando el culpable perteneciere a una organización o asociación, incluso de carácter transitorio, que se dedicare a la realización de
tales actividades.
3. El que haga participar a un menor o incapaz en un comportamiento de naturaleza sexual
que perjudique la evolución o desarrollo de la personalidad de éste. Será castigado con la
pena de prisión de seis meses a un año o multa de seis a doce meses.
4. El que tuviere bajo su potestad, tutela guarda o acogimiento, a un menor de edad o
incapaz, y que, con conocimiento de su estado de prostitución o corrupción, no haga lo
posible para impedir su continuación en tal estado, o no acuda a la autoridad competente para el msimo fin si carece de medios para la custodia del menor o incapaz, será
castigado con la pena de multa de seis a doce meses.
276
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
5. El Ministerio Fiscal promoverá las acciones pertinentes con objeto de privar de la patria
potestad, tutela, guarda o acogimiento familiar, en su caso, a la persona que incurra en
alguna de las conductas descritas en el apartado anterior.
A destacar que en los dos artículos anteriores se hace referencia a venta, difusión o exhibición POR CUALQUIER MEDIO de material pornográfico genérico a menores de edad, o material
elaborado mediante utilización de menores de edad o incapaces.
Con el criterio del apartado 1, b) del art. 189 la sentencia antes comentada del T.S. americano respecto a la pornografía infantil de diseño digital sería plenamente compartida por nuestros tribunales.
8.3.2. Descubrimiento y revelación de secretos
A. Correo Electrónico
Artículo 197.
1. El que, para descubrir secretos o vulnerar la intimidad de otro, sin su consentimiento,
se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera
otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice
artificios técnicos de escucha, transmisión, grabación o reprodución del sonido o de
la imagen, de cualquier otra señal de comunicación, será castigado con las penas de
prisión de uno a cuatro años y multa de doce a veinticuatro meses.
2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o
modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar
de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o
telemáticos, o en cualquier otro tipo de archivo público o privado. Iguales penas se
impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y
a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.
3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden
a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren
los números anteriores. Será castigado con las penas de prisión de uno a tres años
y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito
y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el
párrafo anterior.
4. Si los hechos descritos en los apartados 1 y 2 de este artículo se realizan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos
o telemáticos, archivos o registros, se impondrá la pena de prisión de tres a cinco
años, y si se difunden, ceden o revelan los datos reservados, se impondrá la pena
en su mitad superior.
5. Igualmente, cuando los hechos descritos en los apartados anteriores afecten a datos
de carácter personal que revelen la ideología, religión, creencia, salud, origen racial
o vida sexual, o la víctima fuere un menor de edad o incapaz, se impondrán las
penas previstas en su mitad superior.
6. Si los hechos se realizan con fines lucrativos, se impondrán las penas previstas respectivamente en los apartados 1 al 4 de este artículo en su mitad superior. Si además afectan a datos de los mencionados en el apartado 5, la pena a imponer será la
de prisión de cuatro a siete años.
Artículo 199.
1. El que revelare secretos ajenos, de los que tenga conocimiento por razón de su oficio
o sus relaciones laborales, será castigado con la pena de prisión de uno a tres años
y multa de seis a doce meses.
Marco jurídico 277
2. El profesional que, con incumplimiento de su obligación de sigilo o reserva, divulgue
los secretos de otra persona, será castigado con la pena de prisión de uno a cuatro
años, multa de doce a veinticuatro meses e inhabilitación especial para dicha profesión por tiempo de dos a seis años.
Artículo 200.
Lo dispuesto en este capítulo será aplicable al que descubriere, revelare o cediere
datos reservados de personas jurídicas sin el consentimiento de sus representantes,
salvo lo dispuesto en otros preceptos de este Código.
Es obligado detenerse con sosiego en este artículo por lo que tiene de aproximación
al tema de la “privacidad” y los puntos en contacto con la normativa sobre Protección de Datos Personales.
a) En primer lugar destacar que el punto 2 se refiere a agresiones por descubrimiento de secretos sobre datos reservados de carácter personal o familiar. Se contemplan las mismas penas que en el caso general.
b) Se agrava la pena cuando los hechos tipificados en los puntos 1 y 2 se realizan
por personas encargadas o responsables de los ficheros. En estos casos la pena se
impondrá en su mitad superior.
c) Recordar que la LOPD en su artículo 10, estipula la obligación de guardar secreto
sobre los datos personales conocidos por el tratamiento de los mismos.
d) Recordar también que en el art. 44. LOPD se tipifica como infracción grave el
descubrimiento de secreto sobre datos personales.
Como ejemplo de la estrecha interrelación entre el Código Penal y la legislación
sobre protección de datos personales comentamos a continuación el caso real ocurrido en Barcelona hace unos meses y conocido como “Caso Deutsche Bank” que
se desarrolla en dos instancias judiciales diferentes; la Magistratura Laboral y un
Juzgado de Instrucción.
El caso Deutsche Bank; despido laboral y posterior querella por incumplimiento del “deber
de secreto y vulneración del derecho a la intimidad”
La Sentencia del Tribunal Superior de Justicia de Cataluña núm. 9382/2000, de la Sala de
lo Social, de 14 de noviembre (Marginal Aranzadi AS 2000\3444), así como la posterior querella,
que comentaremos a continuación, tiene especial relevancia por ser de las primeras en que se trata
la problemática derivada de la introducción de las redes de comunicaciones en el ámbito laboral,
con la particularidad añadida de tratarse de la primera incursión en la jurisdicción penal.
Los antecedentes se remontan al despido de Don Gregorio G.R. por motivos disciplinarios
por parte del Deutsche Bank. Los motivos que el Banco adujo para su despido consistieron en:
“La entidad ha tenido conocimiento de la utilización totalmente prohibida por su parte del
correo electrónico con fines personales, en tanto en cuanto esta herramienta de trabajo ha sido instalada exclusivamente para facilitar y agilizar las comunicaciones y el trabajo a realizar tanto dentro de la propia oficina como con el resto de oficinas que tiene Deutsche Bank, SAE.
Ha utilizado el mismo para enviar mensajes humorísticos, sexistas e incluso algunos obscenos
a sus compañeros de trabajo y amistades, todo ello dentro del horario laboral y utilizando los medios
propios de la Entidad Bancaria. Dicha actuación supone la pérdida de tiempo de trabajo efectivo,
tanto suyo al confeccionar y enviar los mensajes como de sus compañeros al recibirlos y leerlos.
En concreto, esta parte ha podido observar que a lo largo del período comprendido entre el
7-10-1999 al 19-11-1999 ha enviado 140 mensajes, con un total de 298 receptores (…).
Los mensajes que han sido enviados por usted, en horario laboral han sido (…) claramente
obscenos.
278
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Su conducta es constitutiva de un incumplimiento grave y culpable por transgresión de la
buena fe, y abuso de confianza en el desempeño de su trabajo, tal y como está previsto en los artículos 54.2 d) del Texto Refundido de la Ley del Estatuto de los Trabajadores, aprobado por Real
Decreto Legislativo 1/1995, de 24 de marzo, y el artículo 50.1 del XVII Convenio Colectivo de
Bancos Privados, haciéndose acreedora, de conformidad con el propio artículo 54 del Estatuto y
art. 51 c).5 del convenio aplicable, de la sanción de despido disciplinario que se le aplica”.
Don Gregorio, G.R., intentó una conciliación con la entidad bancaria sin éxito, y por ello
presentó demanda sobre despido disciplinario en el Juzgado de lo Social. En la Sentencia de dicho
Juzgado se consideraron probados entre otros aspectos:
- “ Que desde el 7-10-1999 hasta el 19-11-1999, el actor -sin conocimiento ni autorización
de la empresa demandada- envió -a través del correo electrónico que él tiene asignado
en la compañía-, 140 mensajes a 298 destinatarios…”.
- “ Que dichos mensajes eran ajenos a la prestación de servicios del señor G. R. en Deutsche
Bank, SAE, y se remitieron en horario laboral. La empresa demandada sólo permite utilizar el referido sistema de comunicación por motivos de trabajo”.
El fallo del Juzgado de lo Social consistió en “estimar la demanda interpuesta por don Gregorio G.R. frente a la empresa Deutsche Bank, SAE, debo declarar y declaro la nulidad del despido del actor acordado por la empresa demandada (…), condenando a la compañía Deutsche Bank,
SAE, a que readmita al demandante en las mismas condiciones que regían antes de producirse
el despido y a que le abone los salarios dejados de percibir desde el despido hasta la fecha de la
readmisión…”.
Frente a dicho fallo el Deutsche Bank, SAE, formuló recurso de suplicación ante el Tribunal
Superior de Justicia de Cataluña. De la Sentencia que resolvió el recurso de suplicación merece
destacarse a nuestros efectos, el Fundamento de Derecho Cuarto:
“CUARTO. Declara probado la sentencia recurrida que “(…) el actor (…) envió -a través del correo electrónico que él tiene asignado en la compañía- 140 mensajes a 298 destinatarios (…)”. Dichos
mensajes, “ajenos a la prestación de servicios (…), se remitieron en horario laboral”; cuando es así que
“la empresa demandada sólo permite utilizar el referido sistema de comunicación por motivos de trabajo”. Concurre así un acreditado incumplimiento laboral del trabajador sancionado que, tanto por su
contenido como por su reiteración en el tiempo, resulta expresivo de una entidad disciplinaria suficiente como para revestir de razonabilidad a la reacción empresarial; no pudiendo, por ello, enmarcarse su
decisión en motivaciones ajenas a las propias que disciplinan la relación de trabajo.
Nuestra doctrina jurisprudencial ha venido señalando [en aplicación del artículo 54.2 d) ET]
cómo esta causa de despido comprende, dentro de la rúbrica general de transgresión de la buena
fe contractual, todas las violaciones de los deberes de conducta y cumplimiento de la buena fe que
el contrato de trabajo impone al trabajador (STS 27 octubre 1982), lo que abarca todo el sistema
de derechos y obligaciones que disciplina la conducta del hombre en sus relaciones jurídicas con
los demás y supone, en definitiva, obrar de acuerdo con las reglas naturales y de rectitud conforme
a los criterios morales y sociales imperantes en cada momento histórico (STS 8 de mayo 1984);
debiendo estarse para la valoración de la conducta que la empresa considera contraria a este deber, a la entidad del cargo de la persona que cometió la falta y sus circunstancias personales (STS
20 octubre 1983); pero sin que se requiera para justificar el despido que el trabajador haya conseguido un lucro personal, ni sea exigible que tenga una determinada entidad el perjuicio sufrido
por el empleador, pues simplemente basta que el operario, con intención dolosa o culpable y plena consciencia, quebrante de forma grave y relevante los deberes de fidelidad implícitos en toda
prestación de servicios, que debe observar con celo y probidad para no defraudar los intereses de
la empresa y la confianza en él depositada (STS 16 mayo 1985).
En el presente supuesto, la naturaleza y características del ilícito proceder descrito suponen
una clara infracción del deber de lealtad laboral que justifica la decisión empresarial de extinguir
Marco jurídico 279
el contrato de trabajo con base en el citado art. 54.2.d), al haber utilizado el trabajador los medios informáticos con que cuenta la empresa, en gran número de ocasiones, para fines ajenos a los
laborales [contraviniendo, así -con independencia de su concreto coste económico-temporal- un
deber básico que, además de inherente “a las reglas de buena fe y diligencia” que han de presidir
las relaciones de trabajo- “ex” art. 5 a) ET- parece explicitado en el hecho 11] y comprometiendo
la actividad laboral de otros productores. Como señala la SRSJ de Murcia de 15 de junio de 1999
“(…) por razones elementales de orden lógico y de buena fe, un trabajador no puede introducir datos ajenos a la empresa en un ordenador de la misma sin expresa autorización de ésta, pues todos
los instrumentos están puestos a su exclusivo servicio…”. Imponiéndose, por ello, la consecuente
estimación del duodécimo motivo de recurso, al haberse producido la “aplicación indebida” que
en el mismo se denuncia del artículo 54.2 d) del Estatuto de los Trabajadores (…)”.
Como resumen del Fundamento de Derecho reproducido, los requisitos para considerar inadecuado el uso por parte del trabajador del correo electrónico son los siguientes:
• Mensajes ajenos a la prestación de servicios que se remitieron en horario laboral.
• La empresa sólo permite utilizar el referido sistema de comunicación por motivos de
trabajo.
• Transgresión de la buena fe contractual que el contrato de trabajo impone al trabajador.
• No se requiere para justificar el despido que el trabajador haya conseguido un lucro
personal, ni es exigible que tenga una determinada entidad el perjuicio sufrido por el
empleador, pues simplemente basta que el operario, con intención dolosa o culpable y
plena consciencia, quebrante de forma grave y relevante los deberes de fidelidad implícitos en toda prestación de servicios, que debe observar con celo y probidad para no
defraudar los intereses de la empresa y la confianza en él depositada.
• Haber utilizado el trabajador los medios informáticos con que cuenta la empresa, en
gran número de ocasiones, para fines ajenos a los laborales contraviniendo, así -con
independencia de su concreto coste económico -temporal- un deber básico que, además de inherente a las reglas de buena fe y diligencia.
El Fallo del Tribunal Superior de Justicia de Cataluña estimó el recurso de suplicación interpuesto por Deutsche Bank, SAE, y revocó en su integridad la resolución del Juzgado de lo Social,
confirmando el despido del trabajador y extinguiendo su contrato de trabajo.
Con este Fallo se empiezan a sentar las bases jurisprudenciales sobre el uso del correo electrónico en el puesto de trabajo. Aunque no solo debemos pensar en el e-mail, sino en cualquier
uso de las redes de comunicaciones que la empresa pone a disposición de sus trabajadores, por
ejemplo la simple navegación por Internet. No es una cuestión baladí, ya que estamos viviendo
la era de la denominada Sociedad de la Información, y las herramientas tecnológicas con las que
desempeñar la actividad laboral irán aumentarán espectacularmente y como es lógico también los
conflictos derivados de su uso (o mal uso).
Pese a que parecen claras las pautas establecidas para considerar que se está realizando un
uso indebido del correo electrónico por parte de un trabajador, otro tema relacionado que no debe
pasar por alto es el relativo a como se obtienen por parte del empresario las pruebas de un supuesto uso indebido del mismo.
Es exactamente lo que sucedió en el caso expuesto ya que el trabajador despedido de la entidad bancaria en virtud del fallo del Tribunal Superior de Justicia de Cataluña, interpuso una querella contra altos directivos del Deutsche Bank por presunto delito de Descubrimiento y Revelación
de Secretos que aparece en el Código Penal al aportar el banco como prueba inculpatoria en el procedimiento anterior de despido unos correos electrónicos remitidos por el ahora querellante.
280
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
El artículo del Código Penal que regula el descubrimiento y revelación de secretos es el
siguiente:
“Artículo 197.
1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus (…) mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, de
cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a
cuatro años y multa de doce a veinticuatro meses.
4. Si los hechos descritos (…) se realizan por las personas encargadas o responsables de
los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros, se
impondrá la pena de prisión de tres a cinco años, y se difunden, ceden o revelan los
datos reservados, se impondrá la pena en su mitad superior”.
Para valorar las actuaciones a seguir se deberán ponderar los límites entre el derecho a la intimidad del trabajador y la facultad de control del correo electrónico por parte del empresario. En
la fecha que se redactan estas líneas la Fiscalía de Barcelona ha solicitado el archivo de la querella
presentada contra los directivos de la entidad bancaria por interceptación de correo electrónico y
violación de la intimidad.
A la espera de la tramitación o archivo de la querella conviene detenerse en los aspectos
principales que configuran los límites del derecho a la intimidad. El derecho a la intimidad no es
absoluto y por tanto posee ciertas limitaciones. Dichas limitaciones aparecen en diversos puntos
de la jurisprudencia del Tribunal Constitucional, y giran entorno al concepto de proporcionalidad
como ha expuesto en el libro Intimidad y Seguridad* por Joan B. Cremades:
“La constitucionalidad de cualquier medida restrictiva de ese derecho, como todo derecho
fundamental viene determinada por la estricta observancia del principio de proporcionalidad (…)
conformado por los siguientes requisitos:
1. Que la medida limitativa del derecho fundamental esté prevista por la ley (…).
2. Que tenga un fin constitucionalmente legítimo (por ejemplo la investigación de un delito).
3. Que sea adoptada mediante resolución judicial, especialmente motivada (…).
4. Que sea idónea, necesaria y proporcionada, proporcionalidad estricta que requiere tres
condiciones: si tal medida es susceptible de conseguir el propósito propuesto (juicio de
idoneidad); si es necesaria, en el sentido de que no exista otra más moderada, para la consecución de tal propósito con igual eficacia (juicio de necesidad); si es ponderada o equilibrada, por derivarse de ella más beneficios para el interés general que perjuicios sobre
otros bienes o valores en conflicto.
5. Otras exigencias específicas respecto de la forma de llevarla a la práctica”.
Para finalizar veremos cuál es el tratamiento que recibe por parte de la normativa de protección de datos el e-mail. El correo electrónico en sí mismo no es un dato personal. Dicha afirmación,
sin embargo, se debe matizar, ya que el concepto de dato personal es todo aquel dato que sea concerniente a personas identificadas e identificables. Por lo tanto, en la medida que una dirección de correo electrónico permita llegar a identificar a una persona física, dicho dato será considerado un dato
personal y afectado por la normativa de protección de datos, al menos por extensión del concepto.
Otra cuestión relacionada pero diferente, como refleja la interposición de la querella comentada,
es el uso que se realice del correo electrónico en el ámbito de una relación laboral. El límite de la intimidad del trabajador en el puesto de trabajo utilizando herramientas que la empresa ha puesto a su dis-
Marco jurídico 281
posición para el cumplimiento de la prestación laboral posee como ya hemos expuesto diversas matizaciones que salvaguarden los derechos de todas las partes intervinientes y que se pueden sintetizar en:
• Definición y puesta en conocimiento de todos los trabajadores de una correcta política de
seguridad y de utilización de las redes de comunicaciones en una empresa.
• Respeto de la intimidad del trabajador y de los límites de proporcionalidad como medida
restrictiva del derecho fundamental a la intimidad.
• Uso de los procedimientos legales para intervención en caso necesario de las redes de
comunicaciones por parte del empresario.
Deberemos esperar la evolución legal y jurisprudencial para que se asienten y concreten los
anteriores puntos y hasta entonces su escrupuloso seguimiento evitará perjuicios a todas las partes
intervinientes en una relación laboral, tanto desde el punto de vista de los trabajadores, como por las
consiguientes querellas como en el caso del Deutsche Bank que lleven a imputar a parte de sus directivos en una causa penal con el consiguiente perjuicio para las empresas.
B. Revelación de secreto de empresa
Artículo 278.
1. El que, para descubrir un secreto de empresa se apoderare por cualquier medio de datos,
documentos escritos o electrónicos, soportes informáticos u otros objetos que se refieran
al mismo, o empleare alguno de los medios o instrumentos señalados en el apartado 1
del artículo 197, será castigado con la pena de prisión de dos a cuatro años y multa de
doce a veinticuatro meses.
2. Se impondrá la pena de prisión de tres a cinco años y multa de doce a veinticuatro
meses si se difuncieren, revelaren o cedieren a terceros los secretos descubiertos.
3. Los dispuesto en el presente artículo se entenderá sin perjuicio de las penas que pudieran
corresponder por el apoderamiento o destrucción de los soportes informáticos.
Artículo 279.
La difusión, revelación o cesión de un secreto de empresa llevada a cabo por quien
tuviere legal o contractualemente obligación de guardar reserva, se castigará con la
pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses.
Si el secreto se utiliza en provecho propio, las penas se impondrán en su mitad inferior.
Artículo 280.
El que, con conocimiento de su origen ilícito, y sin haber tomado parte en su
descubrimiento, realizare alguna de las conductas descritas en los dos artículos
anteriores, será castigado con la pena de prisión de uno a tres años y multa de doce a
veinticuatro meses.
Al contrario de lo que ocurría con la serie de artículos que tipifican el descubrimiento
de secretos en los que las tecnologías o sus contenidos constituían el objeto propio de
la agresión, ahora nos encontramos con que éstos son un mero medio; documentos
escritos o electrónicos, soportes informáticos (art. 278.1). Es importante la remisión
(art. 278.3) que esta figura delictiva hace a otra conexa, pero diferenciada, cuyo tipo
es regulado por el art. 264. 2.
8.3.3. Delitos de injuria y calumnia con publicidad
Artículo 211.
La calumnia y la injuria se reputarán hechas con publicidad cuando se propaguen por
medio de la imprenta, la radiodifusión o por cualquier otro medio de eficacia semejante.
282
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Artículo 212.
En los casos a los que se refiere el artículo anterior, será responsable civil solidaria la
persona física o jurídica propietaria del medio informativo a través del cual se haya
propagado la calumnia o injuria.
De nuevo se hace referencia tácita a cualquier instrumento TIC (Internet, por ejemplo,
aunque no sólo) como elemento utilizado para publicitar y magnificar así el daño producido por una conducta (o tipificación) en principio ajena al entorno tecnológico.
8.3.4. Delitos relacionados con instrumentos tecnológicos para la manipulación de accesos
y/o contenidos
Concepto de llave falsa en el delito de robo.
Artículo 239.
... se consideran llaves a las tarjetas, magnéticas o perforadas, y los mandos o
instrumentos de apertura a distancia.
Estafa con manipulación informática.
Artículo 248.
1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error
en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.
2. También se consideran reos de estafa los que, con ánimo de lucro, y valiéndose de
alguna manipulación informática o artificio semejante consigan la transferencia no
consentida de cualquier activo patrimonial en perjuicio de tercero.
Alteración o manipulación de aparatos automáticos.
Artículo 238.
Se impondrán penas de prisión de seis meses a un año y multa de seis a dieciocho
meses a los que, en perjuicio del consumidor, facturen cantidades superiores por productos o servicios cuyo costo o precio se mida por aparatos automáticos, mediante la
alteración o manipulación de éstos.
8.3.5. Delitos relativos a fluidos, radiaciones y emisiones
Defraudación de fluidos.
Artículo 255.
Será castigado con la pena de multa de tres a doce meses el que cometiere defraudación por valor superior a cincuenta mil pesetas, utilizando energía eléctrica, gas,
agua, telecomunicaciones u otro elemento, energía o fluido ajenos, por alguno de los
medios siguientes:
1º Valiéndose de mecanismos instalados para realizar la defraudación.
2º Alterando maliciosamente las indicaciones o aparatos contadores.
3º Empleando cualesquiera otros medio a clandestinos.
Artículo 256.
El que hiciere uso de cualquier equipo terminal de telecomunicación, sin consentimiento
de su titular, ocasionando a éste un perjuicio superior a cincuenta mil pesetas, será castigado con la pena de multa de tres a doce meses.
Radiaciones, emisiones.
Artículo 325.
Será castigado con las penas de prisión de seis meses a cuatro años, multa de ocho a
veinticuatro meses e inhabilitación especial para profesión u oficio por tiempo de uno
a tres años el que, contraviniendo las Leyes o disposiciones de carácter general protectoras del medio ambiente, provoque o realice directa o indirectamente emisiones,
Marco jurídico 283
vertidos, radiaciones, extracciones o excavaciones, aterramientos, ruidos, vibraciones,
inyecciones o depósitos, en la atmósfera, el suelo, el subsuelo, o las aguas terrestres,
marítimas o subterráneas, con incidencia, incluso, en los espacios transfronterizos, así
como las captaciones de aguas que puedan perjudicar gravemente el equilibrio de los
sistemas naturales.. si el riesgo de grave perjuicio fuese para la salud de las personas,
la pena de prisión se impondrá en su mitad superior.
Artículo 326.
Se impondrá la pena superior en grado, sin perjuicio de las que puedan corresponder
con arreglo a otros preceptos de este Código, cuando en la comisión de cualquiera de los
hechos descritos en el artículo anterior concurra alguna de las circunstancias siguientes:
a) Que la industria o actividad funcione clandestinamente, sin haber obtenido la
preceptiva autorización, o aprobación administrativa de sus instalaciones.
b) Que se hayan desobedecido las órdenes expresas de la autoridad administrativa
de corrección o suspensión de las actividades tipificadas en el artículo anterior.
c) Que se haya falseado u ocultado información sobre los aspectos ambientales de
la misma.
d) Que se haya obstaculizado la actividad inspectora de la Administración.
e) Que se haya producido un riesgo de deterioro irreversible o catastrófico.
f) Que se produzca una extracción ilegal de aguas en periodo de restricciones.
Energía nuclear y radiaciones ionizantes.
Artículo 341.
El que libere energía nuclear o elementos radiactivos que pongan en peligro la vida
o la salud de las personas o sus bienes, aunque no se produzca explosión, será sancionado con la pena de prisión de quince a veinte años, e inhabilitación especial para
empleo o cargo público, profesión u oficio por tiempo de diez a veinte años.
Artículo 342.
El que, sin estar comprendido en el artículo anterior, perturbe el funcionamiento de
una instalación nuclear o radiactiva, o altere el desarrollo de actividades en las que
intervengan materiales o equipos productores de radiaciones ioinizantes, creando
una situación de grave peligro para la vida o la salud de las personas, será sancionado con la pena de prisión de cuatro a diez años, e inhabilitación especial para empleo
o cargo público, profesión u oficio por tiempo de seis a diez años.
Artículo 343.
El que exponga a una o varias personas a radiaciones ionizantes que pongan en peligro su vida, salud o bienes, será sancionado con la pena de prisión de seis a doce
años, e inhabilitación especial para empleo o cargo público, profesión u oficio por
tiempo de seis a diez años.
Artículo 344.
Los hechos previstos en los artículos anteriores serán sancionados con la pena inferior en
grado, en sus respectivos supuestos, cuando se hayan cometido por imprudencia grave.
Artículo 345.
1. El que se apodere de materiales nucleares o elementos radiactivos, aun sin ánimo de
lucro, será sancionado con la pena de prisión de uno a cinco años. La misma pena se
impondrá al que sin la debida autorización facilite, reciba, transporte o posea materiales radiactivos o sustancias nucleares, trafique con ellos, retire o utilice sus deshechos o haga uso de isótopos radiactivos.
284
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
2. Si la sustracción se ejecutara empleando fuerza en las cosas, se impondrá la pena en
su mitad superior.
3. Si el hecho se cometiera con violencia o intimidación en las personas, el culpable
será castigado con la pena superior en grado.
8.3.6. Daños en programas o documentos electrónicos, soportes o sistemas informáticos
Artículo 263.
El que cause daños en propiedad ajena no comprendidos en otros Títulos de este
código, será castigado con la pena de multa de seis a veinticuatro meses, atendidas
la condición económica de la víctima y la cuantía del daño, si éste excediera de
trescientos cincuenta y un euros.
Artículo 264.
1. Será castigado con la pena de prisión de uno a tres años y multa de tres a veinticuatro
meses el que causare daños expresados en el artículo anterior, si concurriese alguno
de los supuestos siguientes:
1. Que se realicen para impedir el libre ejercicio de la autoridad o en venganza de
sus determinaciones, bien se cometiere el delito contra funcionarios públicos,
bien contra particulares que, como testigos o de cualquier otra manera, hayan
contribuido o puedan contribuir a la ejecución o aplicación de las Leyes o
disposiciones generales.
2. Que se cause por cualquier medio infección o contagio de ganado.
3. Que se empleen sustancias venenosas o corrosivas.
4. Que afecten a bienes de dominio o uso público o comunal.
5. Que arruinen al perjudicado o se le coloque en grave situación económica.
2. La misma pena se impondrá al que por cualquier medio destruya, altere, inutilice
o de cualquier otro modo dañe los datos, programas o documentos electrónicos
ajenos contenidos en redes, soportes o sistemas informáticos.
A nuestros efectos, la disposición interesante es la contenida en el punto 2 del art. 264,
pero su comprensión obliga a la lectura detallada del artículo 263 y 264 punto 1. Sin
duda la trascendencia de esta tipificación penal se proyecta con toda su precisión en la
problemática de los virus y actividad de los crackers, entre otras conductas delictivas.
8.3.7. Delitos por agresión a la propiedad intelectual
Artículo 270.
Será castigado con pena de prisión de seis meses a dos años o con multa de seis a
veinticuatro meses quien, con ánimo de lucro y en perjuicio de tercero, reproduzca,
plagie, distribuya o comunique públicamente, en todo o en parte, una obra literaria,
artística o científica, o su transformación, interpretación o ejecución artística fijada
en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o
de sus cesionarios.
La misma pena se impondrá a quien intencionadamente importe, exporte o almacene
ejemplares de dichas obras o producciones o ejecuciones sin la referida autorización.
Será castigada también con la misma pena la fabricación, puesta en circulación y
tenencia de cualquier medio específicamente destinada a facilitar la supresión no
autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado
para proteger programas de ordenador.
Marco jurídico 285
Artículo 271.
Se impondrá la pena de prisión de un año a cuatro años, multa de ocho a veinticuatro
meses, e inhabilitación especial para el ejercicio de la profesión relacionada con el
delito cometido, por un período de dos a cinco años, cuando concurra alguna de las
siguientes circunstancias:
a) Que el beneficio obtenido posea especial trascendencia económica.
b) Que el daño causado revista especial gravedad.
En tales casos, el Juez o Tribunal podrá, asimismo, decretar el cierre temporal o
definitivo de la industria o establecimiento del condenado. El cierre temporal no
podrá exceder de cinco años.
Artículo 272.
1. La extensión de la responsabilidad civil derivada de los delitos tipificados en los dos
artículos anteriores se regirá por las disposiciones de la Ley de Propiedad Intelectual
relativas al cese de la actividad ilícita y a la indemnización de daños y perjuicios.
2. En el supuesto de sentencia condenatoria, el Juez o Tribunal podrá decretar la
publicación de ésta, a costa del infractor, en un periódico oficial.
Artículo 273.
1. Será castigado con las penas de prisión de seis meses a dos años y multa de seis a
veinticuatro meses el que, con fines industriales o comerciales, sin consentimiento
del titular de una patente o modelo de utilidad y con conocimiento de su registro,
fabrique, importe, posea, utilice, ofrezca o introduzca en el comercio objetos
amparados por tales derechos.
2. Las mismas penas se impondrán al que, de igual manera, y para los citados fines,
utilice u ofrezca la utilización de un procedimiento objeto de una patente, o posea,
ofrezca, introduzca en el comercio, o utilice producto directamente obtenido por el
procedimiento patentado.
3. Será castigado con las mismas penas el que realice cualquiera de los actos tipificados
en el párrafo primero de este artículo concurriendo iguales circunstancias en
relación con objetos amparados a favor de tercero por un modelo o dibujo industrial
o artístico o topografía de un producto semiconductor.
Artículo 274.
1. Será castigado con las penas de seis meses a dos años y multa de seis a veinticuatro
meses el que, con fines industriales o comerciales, sin consentimiento del titular e
un derecho de propiedad industrial registrado conforme a la legislación de marcas,
y con conocimiento del registro, que produzca, imite, modifique, o de cualquier otro
modo utilice un signo distintivo idéntico o confundible con aquél, para distinguir los
mismos o similares productos, servicios, actividades o establecimientos para los que
el derecho de propiedad industrial se encuentra registrado.
2. Las mismas penas se impondrán al que, a sabiendas posea para su comercialización,
o ponga en el comercio, productos o servicios con signos distintivos que, de acuerdo
con el apartado 1 de este artículo, supone una infracción de los derechos exclusivos del
titular de los mismos, aun cuando se trate de productos importados del extranjero.
Artículo 275.
Las mismas penas previstas en el artículo anterior se impondrán a quien intencionadamente y sin estar autorizado para ello, utilice en el tráfico económico una denominación de origen o una indicación geográfica representativa de una calidad determinada y legalmente protegidas para distinguir los productos amparados por ellas,
con conocimiento de esa protección.
286
Manual de Seguridad en Internet. Soluciones técnicas y jurídicas
Artículo 276.
1. Se impondrá la pena de prisión de dos a cuatro años, multa de ocho a veinticuatro
meses, en inhabilitación especial para el ejercicio de la profesión relacionada con el
delito cometido, por un período de dos a cinco años, cuando los delitos tipificados en
los anteriores artículos revistan especial gravedad, atendiendo al valor de los objetos
producidos ilícitamente o a la especial importancia de los perjuicios ocasionados.
2. En dicho supuesto, el Juez podrá decretar el cierre temporal o definitivo de una industria
o establecimiento del condenado. El cierre temporal no podrá exceder de cinco años.
Artículo 277.
Será castigado con las penas de prisión de seis meses a dos años y multa de seis a
veinticuatro meses, el que intencionadamente haya divulgado la invención objeto de
una solicitud de patente secreta, en contravención con lo dispuesto en la legislación
de patentes, siempre que ello sea en perjuicio de la defensa nacional.
Los ilícitos relacionados con la propiedad intelectual y su protección deben ser estudiados
en paralelo con el contenido del apartado 5 del presente manual, consejo que damos encarecidamente por la especificidad y grado de complejidad de la regulación tanto civil como penal de esta
materia. Es imposible entender mínimamente los artículos que preceden sin una cierta soltura en
la comprensión de la problemática general sobre protección de la propiedad intelectual.
8.4. Los diez delitos y fraudes más usuales en Internet
Como cierre y a modo de ejemplo reproducimos el resumen elaborado por la Comisión Federal de
Comercio de los Estados Unidos respecto de los delitos más frecuentes en la Red:
LOS DIEZ FRAUDES MÁS USUALES
EN COMERCIO ELECTRÓNICO
1. Subastas:
A) subastar lo que no está disponible.
B) no entregar el objeto.
C) posibilidad de rescisión ante la vista del objeto y devolución del dinero.
2. Letra pequeña:
Ofertar horas sin gastos de conexión, a cambio de conexión por un año
(revocable). Luego la letra pequeña complica las bajas.
3. Tarjetas de crédito:
Protección con protocolos set y ssl (firma electrónica).
4. Cambio de dial:
Cambiar sin informar al usuario una conexión Internet por una telefónica 906,
por ejemplo.
5. Albergue de páginas web:
Gratuito en período de prueba pero que luego se hace imposible de revocar.
6. Pirámides financieras.
7. Vacaciones gratis.
8. Ofertas de empleo (a cambio de aportar algo o comprar algo).
9. Inversiones (de alto riesgo y sin garantías).
10. Curas milagrosas.