Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Antonio Martín Ávila Francisco de Quinto Zumárraga Financiado por: Manual de Seguridad en Internet. Soluciones Técnicas y Jurídicas. Antonio Martín Ávila • Francisco de Quinto Zumárraga NETBIBLO, S.L., A Coruña, 2003 ISBN: 84-9745-023-X Materia: Informática. 681.3 Formato: 17 x 24 • Páginas: 288 MANUAL DE SEGURIDAD EN INTERNET. SOLUCIONES TÉCNICAS Y JURÍDICAS. No está permitida la reproducción total o parcial de este libro, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares del Copyright. DERECHOS RESERVADOS 2003, respecto a la primera edición en español, por © Fundación Una Galicia Moderna. ISBN: 84-9745-023-X Deposito Legal: C-1972-2003 Coordinación Editorial: Netbiblo Diseño: Marco Parra Compuesto en: Centerprint, S.L. · Eduardo Bóveda Impreso en: Josman Press Impreso en España - Printed in Spain. INTRODUCCIÓN En la elaboración del libro que tiene en sus manos hay una doble y ambiciosa intención. Por un lado integrar, en una sola publicación, todo lo relativo a la seguridad en Internet, abarcando el amplio y cambiante espectro técnico junto al necesario marco jurídico. Una vez fijado el contenido, la segunda intención se centra en el objetivo que persiguen los autores: ponerlo al alcance de los empresarios y profesionales, principalmente de los más pequeños y necesitados de conocimiento y ayuda. Por ello ha sido redactado con una clara vocación divulgativa, huyendo de toda pretensión académica, doctrinal o preciosista. Se ha optado, también, por incluir múltiples esquemas y resúmenes que ayudan considerablemente a la consecución de este segundo objetivo. Por su vocación de síntesis divulgativa este libro se dirige en primer lugar, pero no sólo, a los directivos de empresas que estén interesados en proceso de “Internetización” de sus negocios y que deseen conocer y estudiar al factor clave de seguridad en sus sistemas de información y, principalmente, a los empresarios de negocios de reducida dimensión por ser aquellos más necesitados de ayuda y orientación externa, al disponer de menos recursos propios. Además, por el rigor de sus contenidos se dirige a: - Profesionales, estudiantes y directivos que deseen estudiar conceptos de seguridad en un marco conjunto técnico como jurídico. - Los administradores de sistemas interesados en el campo de la seguridad informática en general. - Personas que se encuentren trabajando en el campo de la seguridad tanto técnica como jurídica. - Abogados que deseen conocimiento sobre Derecho en Nuevas Tecnologías. - Las personas que tengan planes de establecer un equipo de trabajo relacionado con la seguridad en Internet. - Toda persona con interés en la seguridad en redes, herramientas de monitoreo, detección de intrusos y firewalls. Es obligado cerrar esta presentación agradeciendo, por su apoyo y entusiasmo para con el buen fin de esta obra, a Roberto Pereira Costa, consultor y asesor de empresas en Santiago que sabe compatibilizar de forma equilibrada e inteligente la gestión de su despacho con sus funciones como Presidente de la Delegación santiaguesa del Colegio de Economistas. También al Instituto Galego de Promoción Económica (IGAPE), que ha sabido captar de modo rápido y acertado las ventajas que se derivan de una obra como la que ahora presentamos para las pymes gallegas en su obligado proceso de incorporación a las nuevas tecnologías. Deseamos todos que el lector encuentre en este manual las respuestas a sus cuestiones y aprenda con nosotros todo el apasionante concepto de la seguridad en algo tan etéreo, transparente y aparentemente infinito como Internet. Antonio Grandío Dopico INTRODUCCIÓN ...................................................................................................................................................... PARTE I. ENTORNO: RIESGOS Y OPORTUNIDADES 1. Evolución del proceso y adaptación de las Tecnologías de la Información y de las Telecomunicaciones (TIC’s)................................................................................................................ 1.1. La convergencia de la información con las telecomunicaciones. ........................................................ 1.2. La digitalización y sus efectos. .............................................................................................................. 2. La implantación de las TIC’s en España: aproximación al entorno Internet y al comercio electrónico... 2.1. Actuaciones a favor de la sociedad de la información. ......................................................................... 2.2. Aspectos sociales..................................................................................................................................... 2.3. Aspectos económicos.............................................................................................................................. 2.3.1. La economía digital o nueva economía ....................................................................................... 2.3.2. Valoración de empresas .com....................................................................................................... 3. Las Pymes y las nuevas tecnologías.............................................................................................................. 4. Las administraciones públicas y las nuevas tecnologías.............................................................................. PARTE II. TECNOLOGÍA Y SEGURIDAD 1. La clave tecnológica ....................................................................................................................................... 1.1. Aproximación al concepto técnico de seguridad................................................................................... 1.1.1. ¿Qué queremos proteger?.............................................................................................................. 1.1.2 .¿De qué nos queremos proteger?.................................................................................................. 1.1.3. ¿Cómo nos debemos proteger? ..................................................................................................... 1.2. Tipología en la seguridad informática ................................................................................................... 1.2.1. Seguridad física y lógica............................................................................................................... 1.2.2. Seguridad por red y por máquina................................................................................................ 2. Políticas de seguridad corporativas............................................................................................................... 2.1. La administración de la seguridad ........................................................................................................ 2.2. Desarrollo de una arquitectura segura de red ....................................................................................... 2.3. Copias de respaldo.................................................................................................................................. 2.4. Plan integral de seguridad...................................................................................................................... 2.5. Ejemplo de una política de seguridad corporativa................................................................................ 3. Seguridad en Redes........................................................................................................................................ 3.1. Introducción ............................................................................................................................................ 3.2. Terminología básica ............................................................................................................................... 3.3. Redes internas......................................................................................................................................... 3.4. Redes externas ......................................................................................................................................... 3.5. Internet y el protocolo TCP/IP................................................................................................................ 3.5.1. Protocolos de aplicación sobre TCP/IP........................................................................................ 3.6. Autenticación en la red............................................................................................................................ 3.7. Control de acceso..................................................................................................................................... 3.8. Riesgos para la privacidad y confidencialidad....................................................................................... 3.8.1. En los ataques de intrusos ............................................................................................................ 3.8.2. En los agentes de comunicación .................................................................................................. 3.8.3. Derivados del protocolo HTTP .................................................................................................... 3 11 15 17 19 19 20 22 22 24 26 28 33 33 34 34 35 35 35 35 36 36 37 38 39 40 41 41 42 43 43 44 46 47 49 50 50 50 51 3.8.4. Derivados del protocolo TCP/IP .................................................................................................. 3.8.5. Derivados del protocolo FTP ....................................................................................................... 4. Cómo proteger nuestro ordenador..................................................................................................................... 4.1. Las típicas vulnerabilidades.................................................................................................................... 4.2. Las soluciones.......................................................................................................................................... 5. Criptografía, Certificación y PKI ................................................................................................................. 5.1. El círculo de confianza........................................................................................................................... 5.2. Criptografía y encriptación .................................................................................................................... 5.2.1. Encriptación simétrica .................................................................................................................. 5.2.2. Encriptación asimétrica................................................................................................................ 5.3. Firma electrónica .................................................................................................................................... 5.4. Certificados digitales .............................................................................................................................. 5.5. Certificación y PKI................................................................................................................................. 5.5.1. La infraestructura de clave pública.............................................................................................. 5.5.2. Autoridades de certificación......................................................................................................... 5.5.2.1. Tipos de entidades emisoras de certificados ................................................................. 5.5.2.2. Jerarquías de entidades raíz........................................................................................... 5.5.3. Aplicaciones de una PKI .............................................................................................................. 5.5.4. Utilización de una PKI ................................................................................................................. 5.5.5. Presente y futuro de la PKI .......................................................................................................... 5.5.6. Certificación electrónica en España............................................................................................. 6. Los riesgos en Internet: virus y hackers................................................................................................ 6.1. Virus ...................................................................................................................................................... 6.1.1. Definición de virus........................................................................................................................ 6.1.2. El peligro de Internet .................................................................................................................... 6.1.3. Tipos de virus................................................................................................................................ 6.1.4. Evitar sus peligros......................................................................................................................... 6.2. Mecanismos complementarios............................................................................................................... 6.2.1. Hackers: tribus en la Nueva Economía...................................................................................... 6.3. Cómo actúa un Hacker............................................................................................................................ 6.3.1. Identificación del objetivo........................................................................................................... 6.3.2. Entrada en el objetivo.................................................................................................................. 6.3.3. Recopilación de información de la víctima............................................................................... 6.3.4. Identificación de vulnerabilidades.............................................................................................. 6.3.5. Obtención del nivel de acceso apropiado................................................................................... 6.3.6. El ataque ...................................................................................................................................... 7. Firewalls y otros sistemas de defensa ........................................................................................................... 7.1. Sistemas de defensa básicos................................................................................................................... 7.2. Tipos de Firewalls................................................................................................................................... 7.3. Funcionamiento de un Firewalls............................................................................................................ 7.4. Cuadro comparativo de tipos de Firewalls............................................................................................ 7.5. Agujeros de seguridad de un Firewalls ................................................................................................. 52 52 53 53 55 57 57 57 58 59 60 62 64 64 65 66 66 67 68 68 68 69 69 69 69 69 70 72 72 74 74 75 75 75 76 76 77 77 79 80 82 83 7.6. Sistemas de defensa añadidos ................................................................................................................ 7.6.1. Detección de intrusos.................................................................................................................. 7.6.2. Seguridad de contenidos............................................................................................................. 7.6.3. Honey Pots................................................................................................................................... 7.6.4. IP Tunneling ................................................................................................................................ 8. Correo electrónico seguro ............................................................................................................................. 8.1. Agentes.................................................................................................................................................... 8.2. Riesgos de privacidad y seguridad ........................................................................................................ 8.3. Herramientas de seguridad .................................................................................................................... 8.3.1. Soluciones .................................................................................................................................... 8.3.2. S/MIME....................................................................................................................................... 8.3.3. PGP .............................................................................................................................................. 8.3.4. OpenPGP ..................................................................................................................................... 8.4. Configuraciones de seguridad corporativas.......................................................................................... 8.4.1. Pasarela o Firewalls de seguridad ................................................................................................ 8.4.2. Seguridad en e-mail en cliente .................................................................................................... 8.4.3. Servicio de e-mail seguro basado en web................................................................................... 8.5. Privacidad del correo electrónico en la empresa .................................................................................. 9. Seguridad en el e-commerce......................................................................................................................... 9.1. La evolución del e-commerce................................................................................................................ 9.2. Seguridad en las Bases de datos del e-business ................................................................................... 9.3. Soluciones de seguridad ......................................................................................................................... 9.3.1. El círculo tecnológico de seguridad........................................................................................... 9.3.2. La confianza on-line ................................................................................................................... 9.3.3. Medios de pago en Internet ........................................................................................................ 9.3.4. Protocolos seguros....................................................................................................................... 9.3.4.1. El protocolo SSL ............................................................................................................. 9.3.4.2. El protocolo SET ............................................................................................................ 9.3.5. Últimas realidades en pago seguro ............................................................................................ 9.4. Soluciones a la carta ............................................................................................................................... 9.5. Ejemplo de un e-commerce seguro....................................................................................................... 9.6. Ejemplo de seguridad en un servicio e-business multiagente ............................................................. 9.7. ASP (Application Service Provider) ...................................................................................................... 10. Movilidad y m-Commerce ............................................................................................................................ 10.1. La internet wireless................................................................................................................................ 10.2. Pasado, presente y futuro en telefonía móvil....................................................................................... 10.3. Tecnologías wireless.............................................................................................................................. 10.3.1. Comunicaciones wireless seguras............................................................................................. 10.3.2. Tecnologías wireless .................................................................................................................. 10.4. El m-commerce: un mercado emergente ............................................................................................. 10.5. Vulnerabilidades de seguridad.............................................................................................................. 10.6. Soluciones de seguridad en dispositivos móviles ................................................................................ 83 83 84 86 86 86 86 87 88 89 89 90 91 92 92 92 92 93 94 94 95 97 97 97 98 99 99 101 102 102 103 105 107 107 107 108 109 109 109 112 113 114 11. Protección de datos personales. Medidas técnicas......................................................................................... 11.1. La adecuación de los ficheros y la empresa.......................................................................................... 11.2. La auditoría técnica ............................................................................................................................... 11.2.1. Objetivos y fases de trabajo........................................................................................................ 11.2.2. Los ficheros, los Sistemas de Tratamiento y los recursos ........................................................ 11.2.3. Un ejemplo práctico: un despacho profesional con Sistemas de Tratamiento de acceso remoto ......................................................................................................................... 11.2.4. Control de acceso ........................................................................................................................ 11.2.5. El registro de Accesos de nivel alto ........................................................................................... 11.3. Resumen de medidas técnicas............................................................................................................... 11.4. Soluciones informáticas para la protección de datos personales ........................................................ PARTE III. MARCO JURÍDICO 1. Los componentes de la seguridad jurídica en un entorno TIC´s................................................................. 1.1. Aproximación al concepto de seguridad............................................................................................... 1.2. Los componentes de la seguridad jurídica en un entorno TIC’s. ......................................................... 1.2.1. Confidencialidad/privacidad....................................................................................................... 1.2.2. Integridad y autenticidad (o autenticación). .............................................................................. 1.2.3. Disponibilidad. ............................................................................................................................ 1.2.4. No repudio: prueba en juicio. ..................................................................................................... 1.3. El entorno seguro..................................................................................................................................... 1.3.1. Políticas preventivas ex–ante...................................................................................................... 1.3.2. Políticas correctivas ex-post: “las auditorías de seguridad”..................................................... 2. La privacidad: protección de datos personales............................................................................................. 2.1. La regulación en España. ....................................................................................................................... 2.1.1. Objeto y ámbito. .......................................................................................................................... 2.1.2. Los derechos de los afectados. ................................................................................................... 2.1.3. El consentimiento de los afectados. ........................................................................................... 2.1.4. Las medidas de seguridad. ......................................................................................................... 2.1.5. La Agencia de Protección de Datos (A.P.D.)............................................................................. 2.1.6. La legalización de ficheros. ........................................................................................................ 2.2. La protección de datos personales en un entorno e-Commerce.......................................................... 2.3. Un ejemplo práctico: adaptación de un entorno empresarial a la normativa sobre protección de datos personales. ................................................................................................................................ 2.4. Once respuestas que lo aclaran todo sobre la protección de datos de carácter personal ................... 2.5. Lo que todo empresario debe saber sobre protección de datos personales......................................... 3. La fiscalidad en el marco de las nuevas tecnologías. ................................................................................... 3.1. Las TIC’s, una nueva forma de relación entre los contribuyentes y Hacienda ................................... 3.1.1. Planteamiento .............................................................................................................................. 3.1.2. La fiscalidad en Internet: problemas y oportunidades.............................................................. 3.2. La nueva fiscalidad ................................................................................................................................. 3.2.1. Impuestos directos....................................................................................................................... 3.2.2. Impuestos indirectos ................................................................................................................... 3.3. Los incentivos fiscales para fomentar la investigación y el desarrollo y la aplicación de las innovaciones tecnológicas ........................................................................................................... 115 115 116 116 117 119 121 121 122 123 125 125 126 126 129 131 132 134 134 135 137 137 137 138 141 143 146 149 150 151 153 160 163 163 163 163 171 171 175 181 4. Nombres de dominio ...................................................................................................................................... 4.1. Concepto e historia ................................................................................................................................. 4.2. Operativa del sistema ............................................................................................................................. 4.3. Nuevos TLDs (Top Level Domain) para Internet................................................................................. 4.3.1. La creación del dominio de nivel superior de Internet .eu ......................................................... 4.4. Gestión y proceso de registro en el dominio de primer nivel .es......................................................... 4.4.1. La regulación en España del registro de nombres adscritos al dominio de primer nivel .es. La actualización en julio 2001................................................ 4.4.2. Protocolo para el registro de nombres bajo el dominio .es....................................................... 4.5. La solución de conflictos........................................................................................................................ 4.5.1. El procedimiento del ICANN..................................................................................................... 4.5.2. El procedimiento según la legislación española........................................................................ 4.6. Aproximación práctica a los nombres de dominio ............................................................................... 5. Propiedad intelectual...................................................................................................................................... 5.1. La intersección de la propiedad intelectual y las TIC’s........................................................................ 5.2. La regulación legal de la propiedad intelectual .................................................................................... 5.2.1. Marco legal .................................................................................................................................. 5.2.2. Dos grandes sistemas de protección .......................................................................................... 5.3. Piratería intelectual................................................................................................................................. 5.3.1. Piratería informática................................................................................................................... 5.3.2. El downloading de archivos D.V.D............................................................................................. 5.4. Checklist para prevenir agresiones contra la propiedad intelectual de los contenidos de una página web ......................................................................................................... 6. La contratación en el ámbito de las nuevas tecnologías .............................................................................. 6.1. El estado de la cuestión .......................................................................................................................... 6.2. La normativa europea: directiva 2000/31 C.E., de 8 de junio de 2000............................................... 6.3. La regulación del comercio electrónico en España .............................................................................. 6.4. El Real Decreto 1906/99 por el que se regula la contratación telefónica electrónica (B.O.E. 313/1999).................................................................................................................................... 6.5. La ley de servicios de la sociedad de la información y del comercio electrónico (LSSI). Ley 34/2002 ........................................................................................................................................... 6.5.1. Circunstancias y evaluación de la ley ........................................................................................ 6.5.2. Objeto........................................................................................................................................... 6.5.3. Ámbito de aplicación .................................................................................................................. 6.5.4. Derechos de los usuarios y obligaciones de los prestadores (responsabilidad)....................... 6.5.5. Síntesis del contenido de la LSSI ............................................................................................... 6.5.6. Infracciones y sanciones ............................................................................................................. 6.6. Caso yahoo!! Francia.............................................................................................................................. 7. La firma electrónica ....................................................................................................................................... 7.1. La firma electrónica como factor de seguridad tecnológica y jurídica ............................................... 7.2. Autoridades de certificación en España (A.C.):.................................................................................... 7.3. Aproximación jurídica............................................................................................................................ 194 194 195 196 198 200 201 202 205 205 209 210 213 213 218 219 220 220 221 222 222 224 224 225 226 226 227 227 230 231 232 233 235 235 237 237 240 245 7.4. Cuestionario básico para aclarar los principales conceptos................................................................. 7.5. La firma electrónica aplicada al ámbito registral de la fe pública....................................................... 7.5.1. El sistema e-notario .................................................................................................................... 7.6. Sociedad limitada nueva empresa.......................................................................................................... 7.6.1. Régimen jurídico de la SLNE .................................................................................................... 7.6.1.1. Denominación social (Artículo 131)............................................................................... 7.6.1.2. Objeto social (Artículo 132)........................................................................................... 7.6.1.3. Requisitos subjetivos y unipersonalidad (Artículo 133) ................................................ 7.6.1.4. Requisitos constitutivos (Artículo 133) .......................................................................... 7.6.1.5. Capital social y participaciones sociales (Artículos 135 y 136) .................................. 7.6.1.6. Acreditación de la condición de socio (Artículo 137) .................................................. 7.6.1.7. Órganos sociales (Artículo 138 y 139) ........................................................................... 7.6.1.8. Modificaciones estatutarias (Artículo 140) ................................................................... 7.6.1.9. Cuentas anuales (Artículo 141)....................................................................................... 7.6.1.10. Disolución (Artículo 142) ............................................................................................. 7.6.1.11. Transformación (Artículo 143) ..................................................................................... 7.6.1.12. Continuación de operaciones en forma de sociedad de responsabilidad limitada (Artículo 144)................................................................................................................ 7.6.2. El documento único electrónico (due) ....................................................................................... 7.6.2.1. Procedimiento para la asignación del código id-circe y su solicitud en los procesos de tramitación no telemática ......................................................................................... 7.6.2.2. Real decreto 682/2003 de 7 de junio por el que se regula el sistema de tratamiento telemático. ..................................................................................................................... 7.6.3. Elementos diferenciales de las SLNE con respecto al régimen general de las SRL:.............. 7.6.4. Medidas fiscales aplicables a la sociedad limitada nueva empresa.......................................... 7.6.5. Responsabilidad de los administradores.................................................................................... 7.6.6. Modelo estandar de estatutos sociales de la Sociedad Limitada Nueva Empresa .................. 8. Delitos en Internet y su prevención............................................................................................................... 8.1. Delitos transfronterizos versus derechos locales .................................................................................. 8.2. Las normas de conflicto en el derecho penal ........................................................................................ 8.2.1. Criterios para determinar la jurisdicción competente............................................................... 8.2.2. Criterios para determinar la ley aplicable.................................................................................. 8.3. La tipificación de delitos relativos a las TIC’s en el código penal español ......................................... 8.3.1. Delitos en relación con la pornografía....................................................................................... 8.3.2. Descubrimiento y revelación de secretos................................................................................... 8.3.3. Delitos de injuria y calumnia con publicidad............................................................................ 8.3.4. Delitos relacionados con instrumentos tecnológicos para la manipulación de accesos y/o contenidos ........................................................................................................... 8.3.5. Delitos relativos a fluidos, radiaciones y emisiones.................................................................. 8.3.6. Daños en programas o ducumentos electrónicos, soportes o sistemas informáticos .............................................................................................................. 8.3.7. Delitos por agresión a la propiedad intelectual ......................................................................... 8.4. Los diez delitos y fraudes más usuales en Internet .............................................................................. 247 248 249 250 252 253 253 253 253 253 254 254 254 254 254 254 255 255 256 258 260 261 263 264 271 271 272 272 273 273 275 276 281 282 282 284 284 286 Entorno: riesgos y oportunidades 11 PARTE I. ENTORNO: RIESGOS Y OPORTUNIDADES 1. Evolución del proceso de adaptación de las Tecnologías de la Información y de las Telecomunicaciones (TIC’s) Por poner un punto de arranque próximo podríamos situar el origen del proceso a caballo entre finales de la década de los ochenta y principio de la década de los noventa, cuando se producen tres fenómenos complementarios aunque de distinta naturaleza. a) Internet supera los estrictos ámbitos en que se gestó e incubó durante los años sesenta a ochenta; el militar y el académico y aterriza en el mundo económico, la sociedad y la empresa. b) Desarrollo y masiva implantación de la informática monopuesto y de los softwares standars de aplicaciones; office, windows en sus diferentes versiones. c) Masivo uso de la telefonía móvil. Estos tres fenómenos comienzan a interrelacionarse entre sí y con otros medios y técnicas; T.V., transmisión de contenidos por cable (fibra óptica) desarrollo de la tecnología wireless, etc., hasta propiciar la eclosión de lo que dio en llamarse LA BURBUJA TECNOLÓGICA que desbordó con mucho el estricto ámbito técnico y anegó sin mesura diferentes entornos; economía, finanzas, sociedad, educación, etc. Al rebufo de esta corriente se configura el Nasdaq como mercado de cotización de las empresas TIC’s; en donde cotizan, las empresas de comunicaciones, las de tratamiento de información, las tecnológicas y las de contenidos. Llegados a este punto puede resultar ilustrativo hacer una breve historia de Internet desde sus orígenes hasta nuestros días. “Para hablar de los orígenes de Internet nos tenemos que remontar a los años 60. En 1965, Roberts, investigador de la agencia americana ARPA (Agencia de Proyectos de Investigación Avanzada para la Defensa) conectó un ordenador en Massachusetts con otro en California a través de una línea telefónica conmutada de baja velocidad, creando de este modo la primera (muy reducida, eso sí) red de ordenadores de área amplia. La idea y el resultado fueron excelentes, pero el sistema telefónico resultó inadecuado. Un a año más tarde, Roberts confeccionó, a partir de su proyecto inicial, otro mucho más ambicioso «ARPANET». El objetivo era conectar entre sí los principales ordenadores militares de los Estados Unidos, de forma que, en caso de ataque nuclear contra uno o varios centros de mando, las valiosas informaciones militares se pudiesen seguir utilizando desde los ordenadores aún intactos. Así nació ARPANET, que constituyó el núcleo de lo que hoy conocemos como Internet. Durante años el acceso a ARPANET estuvo muy limitado: militares, contratistas de Defensa y universidades interesadas en temas de Defensa eran los usuarios. A finales de los 70 surgieron otras redes para dar servicio a las universidades, UUCP, UNIX y USENET y en la década siguiente en EE.UU. ya había redes que daban cobertura a todo el país, como CSNET y BITNET. En 1986 tuvo lugar el nacimiento de NSFNET (red de la Fundación Científica Nacional) que poco a poco fue sustituyendo a ARPANET en el trabajo de redes de investigación. Cada vez más ordenadores se fueron uniendo a NSFNET, primero comunidades científicas, más tarde redes comerciales y por último ordenadores domésticos. Esto unido al desarrollo, en 1985, de la famosa World Wide Web por parte de especialistas del Centro Europeo de Investigación Nuclear (CERN) con TIM BERNERS LEE a la cabeza supuso una revolución que culminó en lo que hoy conocemos como Internet. El nuevo mercado responde a otros criterios económico/financieros, diferentes de los tradicionales y se elaboran índices de rentabilidad de maduración de inversiones, de evaluación del riesgo también distintos. En ese entorno se define el ratio EBITDA como índice de rentabilidad. La moda desborda al mercado financiero estrictamente americano y se replica en el resto de los mercados financieros evolucionados, principalmente Europa y Sudeste Asiático. Más adelante 12 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas tendremos ocasión de entrar en el debate de los planteamientos financieros y de evaluación del riesgo en el entorno TIC. Por ahora nos basta con concluir que el sector TIC’s no es tan diferente del resto de sectores económicos, las dos variables que los diferencia son: - Las empresas TIC’s se mueven en entorno de mayor incertidumbre; lo cual implica MAYOR RIESGO. - Las empresas TIC’s evolucionan a más velocidad, lo cual implica menores ciclos de maduración y en definitiva mayor incertidumbre. A modo de ejemplo podemos citar el plazo que necesitaron diversas tecnologías para alcanzar en el mundo los 50 millones de usuarios. TECNOLOGIA PERIODO Nº AÑOS RADIO 1922/60 38 TELEFONO 1920/45 25 T.V. 1951/64 13 T.V. CABLE 1976/86 10 INTERNET 1993/98 5 Y ya que entramos en algunas cifras no estaría demás reflejar algunos parámetros claramente ilustrativos de la fuerza del fenómeno que estamos analizando: Un aviso, los datos continúan siendo válidos a pesar del “parón tecnológico”: La Red en cifras · Cada minuto se crea un nuevo sitio web. · Cada segundo se conectan siete nuevos usuarios. · El tráfico se dobla cada cien días. · Cuesta cuatro veces más trasmitir datos sobre redes convencionales que sobre Internet. · Una empresa de Internet puede recorrer en un año el camino que una compañía tradicional realiza en siete años. · Forrester Research estima que el volumen de comercio electrónico en Estados Unidos será de un billón y medio de dólares. Esto representará un 13% del PIB del país. Fuente: Booz, Allen & Hamilton. • El fin de una ilusión: revienta la “burbuja tecnológica”. Todo marchaba a pedir de boca hasta que en la primavera del año 2000 se producen una serie de circunstancias que provocan un frenazo en el frenesí económico/tecnológico y da origen a la primera crisis en la evolución del nuevo sector. Con la perspectiva que da el tiempo transcurrido podemos concluir que las principales causas que propiciaron el cambio de ciclo son las siguientes: a) Fracaso de la tecnología wap que defraudó entre los usuarios las expectativas con que había sido anunciado. Entorno: riesgos y oportunidades 13 b) Excesivo coste de licitación de las licencias por parte de las compañías operadoras, lo que propició costes elevados de conectividad para los usuarios y drástica reducción de los márgenes esperados por estas compañías. c) Coste excesivo para los usuarios, tanto de conexión como de equipamiento (innovación tecnológica, ley de Moore). d) El acceso masivo al consumo de las TIC’s por parte de millones de usuarios puso de manifiesto la desprotección del uso de las TIC’s en términos de INSEGURIDAD en su doble apreciación; tecnológica y jurídica. En este sentido podríamos decir que la desconfianza sigue lastrando el desarrollo e implantación de Internet a nivel de los usuarios. e) Por último, pero no lo último, el cambio de ciclo económico general que se inició con la recesión económica en U.S.A de la que parece que comienza a salir a mediados de 2002, a pesar, o quizás gracias a la tragedia del 11-S. A pesar de todo hoy Internet dispone de 125 millones de usuarios y presenta una tasa de crecimiento permanentemente desmesurada. La aplicación estrella es sin duda el e-mail utilizado por el 50% de los usuarios europeos y el 44% de los americanos. El índice para España es del 60% y el 93’6% de los usuarios españoles disponen de una dirección particular de correo electrónico. Todo ello ha propiciado por ejemplo y a los efectos de patentizar la transcendencia del invento que en la fatídica jornada del 11-S/2001 el e-mail se rebeló como el medio estrella de comunicación entre gobiernos, empresas y particulares. Y ya que hemos llegado a la fecha trágica no estaría de más que nos detuviéramos a analizar su influencia sobre el sector de Nuevas Tecnologías. No parece razonable hablar de CRISIS en lo relativo a las nuevas tecnologías a pesar del reventón de la burbuja tecnológica acaecido hace dos años y en este sentido cabe decir que Internet comienza a estar presente en empresas y hogares a una velocidad más que aceptable. En mi opinión, el mercado se encuentra en una situación que ya hubiéramos querido tener a finales de los años 80 o principios de los 90, cuando comenzaban proyectos en una Red que todavía no era tal. Son muchos los que han tratado de enmascarar el fracaso de sus proyectos empresariales en una crisis inventada. A lo largo de estos dos años, se han presentado como estratégicos proyectos triviales perfectamente reproducibles por cualquiera. La criba actual no sólo tiene inconvenientes; también aporta sanas ventajas. Una de ellas es que todos los que, en su día, se acercaron a Internet sólo para hacer «dinero fácil» huyen ahora en desbandada. A pesar de todo algo ha venido a enturbiar los últimos meses la previsión del desarrollo TIC’s en términos de “Tierra Prometida” desde la perspectiva económica y así podemos decir que para el caso español el número de internautas españoles no está creciendo al ritmo esperado y aleja a nuestro país de la media europea. Internet no pasa por su mejor momento en España. Si en 2000 el número de nuevos internautas alcanzó los 2,65 millones, el año pasado sólo fueron 1,9 millones los recién llegados a la red. Teniendo en cuenta que las previsiones para 2001 eran que esta cifra sobrepasara los tres millones, algo está fallando en el ritmo de crecimiento del medio. “Hemos tenido un descenso importante a partir del segundo trimestre de 2001, fecha en la que se empieza a generalizar la decepción en todo el sector de las nuevas tecnologías y, especialmente, en las empresas puntocom”, explica Miguel Pérez Subías presidente de la Asociación de Usuarios de Internet, (AUI). Una de las explicaciones del parón es el bajo número de ordenadores que se utilizan en España. Este soporte continúa siendo el principal instrumento para conectarse, dada la lentitud en la implantación de otros medios, como la televisión interactiva y las nuevas tecnologías móviles, según los expertos. 14 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas El número de Internautas españoles es de 7,38 millones, lo que supone el 21,2% de los ciudadanos mayores de catorce años, según los datos del EGM de octubre y noviembre de 2001. Para 2002, “el crecimiento del número de usuarios se prevé en torno al 8%, lo cual nos llevará a tener a finales de año un 30% de españoles que utilicen habitualmente Internet”, afirma Pérez Subías. Con respecto a Europa, España ocupa el puesto número catorce, alejada de la media, que es ya de un 36% de internautas. “Las distancias con los países de nuestro entorno han crecido en 2001, lo que debería hacer reflexionar a los agentes implicados”, opina Pérez Subías. • El número de usuarios de Europa Occidental ha superado al de Estados Unidos. Esta situación contrasta con los últimos datos de la consultora IDC, que indican que por primera vez en la historia, el número de usuarios de Europa Occidental –29,8% del total mundial-, supera al de Estados Unidos –29,2%-. Número de internautas en España En millones Feb.-mar. 99 Abr.-may. 99 Oct.-nov. 99 Febr.-mar. 00 Abr.-may. 00 Oct.-nov. 00 Feb.-mar. 01 Abr.-may. 01 Oct.-nov. 01 2.01 2.44 2.83 3.35 3.94 5.48 6.89 7.07 7.18 En cuanto al comercio on-line en España, su desarrollo también se está viendo limitado por el parón del número de usuario, pero según un estudio realizado por la Asociación Española de Comercio Electrónico y la consultora Eyeglue, movió 172 millones de euros durante la pasada Navidad (Dic. 2001) -en B2C-, un 79% más que en 2000, por lo que se puede ser optimista. España continúa por debajo de la media europea en cuanto a uso de Internet en todos los ámbitos, según constata el balance final sobre el plan de acción «e-Europe» (2000-2002), presentado por la Comisión Europea. El informe advierte además de una ralentización en el proceso de implantación en la Unión Europea (UE) de las tecnologías de la información, así como del riesgo de que se produzca una fisura digital entre los países del norte y los del sur. En cuanto al uso doméstico de Internet, el informe establece en un 37,7 por ciento la media europea de hogares que dispone de acceso a la Red, mientras que el porcentaje en España se sitúa en un 25 por ciento. Este dato influye de manera directa en el desarrollo del comercio electrónico, mucho menor en España. La recuperación. A mediados de 2002 todo parece apuntar a un nuevo cambio en la tendencia, esta vez en positivo, una vez se ha absorbido el “pinchazo de la burbuja tecnológica” junto a la aplicación práctica de nuevos desarrollos tecnológicos y nuevas estrategias y logística para diseñar interacción entre tecnología y contenidos. En este sentido los visitantes que acudieron a la CeBIT de Hannover, el mayor escaparate tecnológico del mundo, tuvieron ocasión de comprobar, entre muchas otras cosas, que la telefonía móvil de tercera generación no se encuentra precisa- Entorno: riesgos y oportunidades 15 mente a la vuelta de la esquina. Es cierto que este año ya se han exhibido modelos reales, en lugar de prototipos, que han demostrado de forma espectacular sus capacidades multimedia, pero todo parece indicar que los primeros móviles no estarán en el mercado hasta finales de 2003. El despegue no se producirá, según, PricewaterhouseCoopers, hasta el 2004, año en el que se calcula que habrán en España 29 millones de móviles y un 6,8% serán UMTS. Este dato contrasta con el compromiso adquirido entre los operadores y el Ministerio de Ciencia y Tecnología para realizar el lanzamiento de esta tecnología el próximo 1 de junio. Tal vez esta red de telecomunicaciones sea una realidad de aquí unos meses, pero sin duda no habrán suficientes terminales en el mercado (por: el momento, tan solo Motorola fabrica un terminal tercera generación) y mucho menos, una oferta de servicios suficiente para esta tecnología. Las fuertes inversiones realizadas por los operadores sólo pueden entenderse si tenemos en cuenta será el gran motor que impulsará el sector cara al siglo XXI. Un mercado que en Europa representará más de 156.000 millones de dólares, según la consultora JP Morgan, y en que España tendrá una cuota del 10 por ciento: por otra parte, los servicios de voz aportarán cada vez menos ingresos a los operadores, hasta convertirse tan sólo en la mitad del negocio. El resto lo ocuparán los; contenidos, las aplicaciones y los servicios de valor añadido, un área de negocio en la que las principales firmas se apresuran a tomar posiciones. De hecho, el mercado se encuentra próximo a la saturación en cuanto a número de móviles, pero la aparición de nuevos servicios permitirá incrementar su uso y renovar los modelos existentes. Mientras, las tecnologías “puente” 2,5G- se convierten en una alternativa disponible por la que apuestan cantidad de modelos presentados en CeBIT. Qué duda cabe que los operadores con licencia GSM intentarán amortizar el coste de la transición al UMTS con tecnologías GPRS o EDGE. El fracaso del WAP y el éxito del i-mode japonés se han convertido en dos lecciones complementarias, muy a tener en cuenta a la hora de tener éxito con servicios de nueva generación: sencillez de uso, un precio asequible y estar permanentemente conectados. A pesar de los modestos 40 kilobits por segundo del GPTD –frente a los 2 Mbps del UMTS– hay quién afirma que esta tecnología pude hacer sombre a la telefonía de tercera generación con un nuevo tipo de mensajería capaz de enviar imágenes, vídeo, sonido y texto: el Multimedia Messaging Service o MMS. Esta es la razón por la que los stands del CeBIT se han llenado de modelos con cámara incorporada. Tras el chat y el MP3, la imagen es el próximo reto. Para verla en movimiento, eso sí, habrá que esperar al UMTS. Con esta tecnología accederemos a servicios parecidos a los que podemos encontrar hoy en internet, solo que, en lugar de minutos, tardaremos tan sólo segundos en encontrar lo que estamos buscando. 1.1. La convergencia de la información con las telecomunicaciones Algo desconcertante está aconteciendo en la evolución de las sociedades avanzadas (quizás también en las que no son tan evolucionadas) y como consecuencia también en nuestras vidas, se conoce como el fenómeno de las Nuevas Tecnologías, que en síntesis supone la convergencia entre las técnicas de tratamiento de la información (I) y las técnicas de comunicar dicha información (C). Por eso, de entre todas las posibles denominaciones del fenómeno a mí la que más me gusta es la de Tecnologías de la Información y de las Comunicaciones, en acróstico TIC’s, que será la simplificación que utilizaremos con mayor frecuencia para referirnos al fenómeno que nos ocupa. Una vez sintetizada su naturaleza resulta imprescindible hablar de su evolución. No es muy conocido a nivel de divulgación pero, desde hace décadas, se conoce y se viene cumpliendo hasta la fecha la llamada Ley de Moore que en síntesis enuncia un fenómeno evolutivo, que se viene cumpliendo religiosamente, en los siguientes términos: “cada 18 meses (un año y medio ni más ni menos) la capacidad y eficiencia de la tecnología se multiplica por dos y además su coste se divido por dos”. Quiere ello decir, y repito que no se trata de una mera especulación sino de un fenómeno sobradamente contrastado, que cada 18 meses, el potencial coste/prestación de las TIC’s se multiplica por 4, a lo que resulta equivalente; cada 3 años el índice evoluciona por un multiplicador 8 y en los últimos 15 años, el multiplicador ha resultado ser de magnitud (relativa) de 40. 16 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Otro parámetro altamente ilustrativo de la velocidad de cambio que impulsa el fenómeno que nos ocupa es el de “factor multiplicador de una tecnología” (F.M.T.) concepto atribuido a Miquel Barceló, profesor de Informática en la Universidad Politécnica de Catalunya de Barcelona, quien lo define como; “número de veces que una tecnología concreta es capaz de mejorar la función u objetivo que le ha sido asignado”. Así por ejemplo: · El automóvil desplaza personas a 90 Km./h., cuando antes estas personas se desplazaban a pié a 6 Km./h.: 90/6 = 15. Podemos concluir que el automóvil supuso en su día un FMT de 15. · Avión a reacción: 900 Km./h. / 6 km./h. = 150 FMT. · Informática; permite reducir tareas y cálculos de 1 segundo a una millonésima de segundo: FMT = 1.000.000. · Telecomunicaciones, por la misma razón; FMY = 1.000.000. · Las TIC’s, como convergencia de los dos casos anteriores consiguen un FMT de 1 billón de unidades. Esta es la enorme fuerza y el enorme potencial del fenómeno TIC que consigue una nueva dimensión, un cambio de escala en la forma de relación del individuo con su entorno. Pero no todo se reduce a una mera convergencia tecnológica. Aquí y ahora todo (lo positivo) debe ser capaz de converger. Vivimos la era de la asertividad (del yo) en términos de autoestima, de proactividad entre individuos (en términos de integración del individuo en el grupo/s) que no es ni más ni menos que una nueva reformulación del término cooperación o colaboración. Y esta, aparentemente nueva, exigencia social (por no decir de la especie humana) es a la vez causa y efecto de la evolución de las TIC’s. En este punto del discurso puede resultar hasta curioso aportar el enfoque de Lawrence Lessing, abogado americano y profesor de la Universidad de Harvard, respecto de la relación tecnología/regulación jurídica del entorno definido por una determinada tecnología o modo de hacer las cosas (“modus ad quo”). Su tesis plasmada en su famosa obra “Code and other laws of the cyberspace” editorial xxx;) se resume en la siguiente hipótesis suficiente y científicamente contrastada en opinión del citado autor: “El Código, entendido como el conjunto de instrucciones que consiguen que el ciberespacio funcione, condiciona y define la regulabilidad de la Red”. Con todos mis respetos a tan reconocido estudioso y profesional de la materia, me veo en la obligación de señalar que: a) La originalidad del modelo de inferencia no es de L. Lessig sino del Método del Materialismo Histórico desarrollado por Marx y Engels en la segunda mitad del S. XIX y que fue tan brillantemente cuestionado “a sensu contrario” por la tesis de Max Weber unas décadas más tarde. b) Como consecuencia de la formulación de Marx y la contestación de Weber, sin que un siglo más tarde los pensadores se hayan puesto de acuerdo sobre el particular, cabe concluir sin ánimo de sesgar la polémica teórica, que si bien es cierto que el “Código” (concebido como el conjunto de protocolos y estructuras que permiten el funcionamiento de la red) condiciona las posibilidades de su regulación, no por ello es menos cierto lo contrario; el modelo de regulación condiciona a su vez un determinado tipo de “Código”. Según la tesis de Lessig en el espacio virtual las posibilidades vienen marcadas y predefinidas por el software de código, es decir por la arquitectura. La regulabilidad (la seguridad en definitiva) depende del código y viceversa. En su opinión, aún sin la colaboración del Estado, la Red se irá desplazando paulatinamente hacia una ARQUITECTURA DE CONTROL, presionada por las propias exigencias del e-commerce. Esta afirmación es la que da pié a pensar que en la tesis Entorno: riesgos y oportunidades 17 de Lessig coexisten la tesis y la antitesis antes señaladas. La Arquitectura de control se plasma en: passwords, cookies, certificados digitales, criptografía y en Sistemas Globales de Vigilancia (COMMINT). La arquitectura actual dificulta la regulabilidad y al Estado le resulta relativamente más fácil regular la propia Arquitectura; “los autores de código son cada vez más creadores de leyes, es decir legisladores”. Para terminar sintetizamos las causas que, en su opinión, están impulsando el proceso; a) Como ya se ha dicho, la implantación del e-commerce. Como dice Zane Ryan de RSL Iberica; “sin e-confianza, no habrá e-negocios”. b) La dicotomía globalización/antiglobalización. c) La situación internacional generada tras el 11-S. d) La estrategia internacional contra el terrorismo. 1.2. La digitalización y sus efectos En este punto de la disquisición cabe incorporar una técnica que podría definirse como inamovible y omnipresente en el fenómeno de convergencia tecnológica que nos ocupa; me refiero a la digitalización. La digitalización se puede sintetizar como la técnica que permite la sustitución de átomos por bits, la substitución de lo real por lo virtual. Ella aporta elementos fundamentales para el éxito del modelo, sea éste cual sea; rapidez, economía y fidelidad al modelo. Los dos primeros elementos son de naturaleza cuantitativa y por lo tanto medibles. Por el contrario el tercero de ellos es cualitativo y en síntesis consiste en la perfecta replicación de los contenidos originales (ya sean imagen, sonido o audiovisuales) de modo que resulta imposible la distinción entre las copias y su original. Vamos a intentar una aproximación comprensible sobre las repercusiones que la digitalización proyecta sobre el ámbito de la seguridad en el entorno TIC. Las dos primeras consecuencias/efectos de la digitalización provocan la doble “desubicación” espacial y temporal configurando un nuevo plano relacional que ha dado en denominarse “realidad virtual”. Este término no es más que un oximorón y como tal no hace más que aportar confusión e inseguridad en el ámbito de las nuevas relaciones; económicas, sociales, jurídicas, políticas, educativas, etc. ¿Cómo incide este nuevo plano relacional es en la correcta aceptación e implantación social de las TIC’s? Indudablemente aporta más preguntas que respuestas, más ruido que música. En definitiva genera inseguridad. Esta nueva percepción genera una exigencia a la regulación jurídica de las nuevas tecnologías (quizás cabría hablar de un Nuevo Derecho, como se habla de las nuevas tecnologías y hasta de la nueva economía), al tiempo que define las circunstancias que dificultan enormemente la concienciación de respuestas eficaces a las nuevas exigencias. En este orden de consideraciones y tan sólo a modo de ejemplo podríamos señalar: a) ¿Cómo es posible compatibilizar un entorno territorial como la U.E. con una rígida regulación sobre la intimidad y privacidad de los ciudadanos europeos, con la posición U.S.A. al respecto a partir de una absoluta desregulación legal? La respuesta la encontraremos en el desarrollo de los Códigos Éticos, al modo del acuerdo EU/USA sobre Protección de Datos Personales conocido como “Safe Harbour”. b) ¿Cómo adaptar los convenios internacionales sobre Propiedad Intelectual (Comercio de Berna de 1.886 y sus sucesivas actualizaciones) o la Directiva Europea de la C.E. y el Consejo sobre el particular a una realidad caracterizada por la desubicación especial? c) Generalizando la anterior dificultad en relación con la protección de la propiedad intelectual, también cabría preguntarse cómo definir las jurisdicciones civiles y penales y su legitimación para entender en conflictos reales generados en un espacio virtual. 18 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas A modo de ejemplo citamos el acuerdo alcanzado por una treintena de países, entre ellos los pertenecientes a la U.E., U.S.A., Canadá, Japón y Sudáfrica, el pasado 23 de noviembre de 2001 en Budapest. Se trata de; “el primer acuerdo internacional contra los delitos en el ciberespacio. El acuerdo alcanzado incluye 48 artículos que han sido objeto de múltiples retoques y debates políticos durante los cuatro años de trabajo que se han invertido en el proyecto. El acuerdo es un referente histórico innegable ya que se trata del primer consenso internacional sobre el tema, aunque no faltan aspectos polémicos. Uno de ellos son los capítulos que atañen a la privacidad de los usuarios. El segundo, es la aplicación real que harán los respectivos gobiernos, ya que países como Estados Unidos, tras los ataques terroristas del 11 de septiembre, han anunciado medidas especiales de vigilancia y control sobre Internet”. El primer acuerdo internacional contra el crimen en Internet se conoce como convencion sobre el ciberespacio y se basa en tres grandes principios: a) Definir de un mismo modo las prácticas delictivas en Internet. Esta unidad de criterio es aceptada por todos los países firmantes de la convención. b) Aceptar, por parte de todos, reglas comunes para los procesos penales que entiendan de este tipo de delitos. c) Establecimiento de la suficiente cooperación internacional que funcionará de modo permanente a través de equipos de control comunes en cada país. A pesar del hito histórico que supone la firma del acuerdo no todo ha sido fácil y así nos lo cuenta el Periodista Alex Barnet en La Vanguardia del 24 de noviembre de 2001; “El consenso alcanzado entre los países no ha sido total. Europa se ha opuesto a la idea norteamericana de crear una policía sin fronteras para la red. Y las peticiones de Alemania y Francia para que se prohibiesen todos los contenidos xenófobos y racistas en Internet han sido aplazadas por Estados Unidos, que ha argumentado el gran valor que su Constitución da a la defensa de la libertad de expresión. El caso se ha incluido en un protocolo anexo y se debatirá de nuevo el próximo año”. El tercero y último efecto de la digitalización antes apuntado el relativo a la fidelidad, por no decir exactitud, de la copia respecto al original lo que a su vez provoca una necesidad absoluta de replantear los grandes principios jurídicos en que se basa la regulación de la Propiedad Intelectual. Quizás sea necesario en aras a aportar luz a la actual situación, lanzar una mirada retrospectiva a los orígenes de esta especial regulación jurídica, cuya principal característica consiste en su relativamente reciente configuración. En efecto, así como el Derecho a la Propiedad en general es uno de los primeros en su desarrollo y configuración, el tema que nos ocupa no se concreta hasta la invención, desarrollo e implantación de la prensa (el inicio de la llamada Era Guttemberg) y ello es así porque hasta ese momento no existía “bien jurídico a proteger” por cuanto las copias de cualquier original era tan costosa y valiosa como éste y quizás los autores tuvieran una especial predisposición a fomentar las copias controladas de su obra por mor de una mayor difusión en un entorno de penuria relacional y cultural. El fenómeno de la copia (no cien por ciento fidedigno) pero rápida y barata propicia el desarrollo del Derecho relativo a la Propiedad Intelectual que desde su origen se desarrolla en una doble dirección que aún hoy en día, cinco siglos más tarde aún, coexisten a pesar de un lento pero progresivo proceso de aproximación. Por un lado se desarrolla en el ámbito del “Common Law” el conocido como “copyright” en contraposición posterior con el más tardío “derecho de autor” que es el eje sobre el que pivota la protección del Derecho a la Propiedad Intelectual en la Europa continental heredera y tributaria del Derecho Romano. Sirva esta disquisición como piedra de toque para destacar el hecho de que si la imprenta fue capaz de provocar semejante desarrollo jurídico que no podemos esperar de la digitalización que no sólo confunde la copia con el original sino que además convierte el proceso de copiar en más eficaz al hacerlo más fácil y rápido. En definitiva, mayor calidad a menor coste. Entorno: riesgos y oportunidades 19 Retomando una perspectiva más elevada podemos detectar la incidencia de la digitalización en nuestro entorno. En opinión de Manuel Castells Sociólogo de la Universidad de Columbia, el proceso de digitalización de la tecnología en el ámbito de Internet se caracteriza por: a) Ha generado una arquitectura abierta y gratuita configurada a partir de redes y nudos. b) La esencia de Internet es la interacción entre productores y usuarios. Valga como ejemplo la realidad del e-mail. c) Internet segmenta y discrimina los hábitos y la cultura con mayor fuerza que la cultura en general. De ahí que se comience a definir la llamada “quiebra generacional”. d) Variación en los flujos financieros y en los métodos de valoración a partir de la capacidad para generar aceptación en los mercados. e) Internet acelera la crisis de las organizaciones tradicionales y la aparición de nuevas organizaciones a partir de intereses comunes. Aparecen nuevos movimientos en torno a “valores comunes”. f) Surge la dialéctica entre las Redes Globales (utilizadas por el poder y recientemente por el anti-poder del terrorismo) y las Redes Locales que son aquellas utilizadas por la gente normal. g) A nivel político, los partidos y las organizaciones utilizan Internet, pero a diferencia de los demás sectores, lo hacen unidireccionalmente, como si de un mero “tablón de anuncios” se tratara. La gran potencialidad de Internet en el ámbito político, que es la democracia virtual total y permanente, no interesa al poder político, porque puede resultar obsesiva y les asusta. En definitiva y en el límite resultaría el asamblearismo permanente, con lo que implica de revolucion permanente por la imposibilidad de ser controlado. h) Privacidad: Se deben separar dos planos distintos desde esta perspectiva: GOBIERNO Æ CIUDADANOS CIUDADANOS Æ CIUDADANOS • INTERNET • Prohibición gubernamental USA a la ENCRIPTACION SOFISTICADA. • El sistema carnivor del F.B.I. de vigilancia en prevención del crimen organizado, ha sido prohibido por el Tribunal Supremo de los EEUU. • desaparición de la privacidad con internet: Ambos son incompatibles (No se puede nadar sin mojarse). Según Castells se puede concluir que Internet es la Nueva Sociedad, a la que incorpora la novedad de su estructura en “Sociedad Red”. 2. La implantación de las TIC’s en España: aproximación al entorno Internet y al comercio electrónico 2.1. Actuaciones a favor de la sociedad de la información En el ámbito institucional, la UE ha sido consciente desde principios de los años 80 de los retos que planteaba el desarrollo de las nuevas tecnologías. Desde entonces ha multiplicado sus iniciativas en todos los ámbitos de sus crecientes atribuciones, ha logrado dotarse de un marco coherente y coordinado de actividades impulsoras entre sus Estados miembros (EEMM) y ha propiciado un ordenamiento jurídico adaptado a las nuevas circunstancias, que ha servido de valioso punto de referencia en las decisiones que han tomado otros países y organizaciones internacionales. 20 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas El Consejo Europeo especial sobre empleo, reforma económica y cohesión social, celebrado en Lisboa los días 23 y 24 de marzo de 2000 bajo el lema “Hacia una Europa de la innovación y el conocimiento”, marcó un plazo de 10 años para convertir a la UE en “la economía basada en el conocimiento más competitiva y dinámica del mundo, capaz de crecer económicamente de manera sostenible con más y mejores empleos y con mayor cohesión social”. Para alcanzar este nuevo objetivo estratégico de la UE, el Consejo Europeo dispuso que se reuniría cada primavera en una sesión específica y determinó distintas líneas de acción y metas a llevar a cabo tanto por las Instituciones comunitarias como por los EEMM. Colateralmente al anterior panorama institucional, se ha ido consolidando en España en el curso de los últimos años un conjunto de iniciativas en relación con el comercio electrónico por parte de entidades públicas y privadas. Entre otras muchas pueden citarse las actuaciones de la Asociación Española de Comercio Electrónico, el Consejo Superior de Cámaras de Comercio, Industria y Navegación, la Fundación para el Estudio de la Seguridad de las Telecomunicaciones, la Agencia de Certificación Electrónica y, finalmente, la Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda, que ha desarrollado el proyecto CERES -Certificación Pública de Transacciones Electrónicas- en colaboración con el Ministerio de Administraciones Públicas y con la entidad pública empresarial Correos y Telégrafos. 2.2. Aspectos sociales El núcleo duro del cambio consiste en que se ha evolucionado en la relación entre los individuos y los grupos con el entorno desde una Estructura Jerarquizada (vertical), pasando por una Estructura Matricial (horizontal), hasta una Estructura en Red que, tras una primera definición bidimensional en el plano, ha cobrado volumen y se ha concretado en la famosa GLOBALIZACION (organización a partir de redes sobre esferas). En opinión de Lluis Mª Pugés, Director General de ESADE; “Cada nuevo paradigma tecnológico comporta una nueva forma de organizar la producción y el trabajo, conceptos estratégicos nuevos y una más compleja internacionalización de las actividades. El resultado operativo es el siguiente; integración de operaciones internas y externas de la empresa, descentralización, flexibilidad y rapidez. En el ámbito de la función se detecta un desplazamiento desde las tareas de poca calificación y repetitivas, hacia aquellas que exigen polivalencia y flexibilidad. Se premia la capacidad de dirigir personas y equipos y de trabajar con diferentes culturas. El cambio tecnológico exige la formación permanente y se pasa de la “Sociedad de la producción” a la “Sociedad del Conocimiento”. Por su parte Barry Wellman, Profesor de Sociología de la Universidad de Toronto ha dedicado su esfuerzo investigador en determinar como las TIC’s (fundamentalmente Internet) han influido en el reforzamiento, supresión o innovación de los modelos standars de relación entre los individuos y los grupos y entre diferentes grupos. A grandes rasgos su conclusión no puede ser más tajante; realmente estamos ante un nuevo paradigma en el ámbito de la Sociología. Es importante recordar que ello supone que los sociólogos disponen de un nuevo abanico de realizaciones que les permite plantear nuevas preguntas y nuevas respuestas. A nivel de detalle con cierta perspectiva, sus conclusiones se pueden concretar como sigue: a) Los trabajadores tienen más intimidad para realizar su trabajo. Las relaciones entre compañeros y con los superiores se estructuran de forma global. La gestión de esta estructura en red, sustituye a las tradicionales en árbol jerárquico o matriciales. b) Las empresas y corporaciones están menos preparadas para afrontar estrategias en términos de autarquía. Las unidades económicas y organizativas se entremezclan en complejas redes de alianzas e intercambios entre ellos, por encima de consideraciones sobre la competencia. Algunos tipos de relaciones entre los componentes de una empresa o sector comienzan a resolverse en el plano virtual, vía videoconferencia. Entorno: riesgos y oportunidades 21 c) La política de bloques en el comercio y en el Sistema Mundial ha perdido su carácter monolítico, superando así la dinámica resultante del final de la política de bloques generada al principio de los años noventa. Las redes resultantes han propiciado un incremento de las relaciones entre naciones y zonas comerciales. Todo ello se ha visto fuertemente alterado, en más o en menos, por la situación surgida tras los atentados del 11 de septiembre de 2001. A nivel esquemático, Barry Wellman nos propone la siguiente alteración de patrones relacionales y modelos de estructuras: Sociedades Basadas en Grupos Jerárquicos y Matriciales Sociedades Basadas en Relaciones (Sociedad Red) - Matrimonios seriados y custodia alternativa de los hijos. Redes dispersas en el espacio real y virtual. - Unidad familiar. - Vecindad. - - Organizaciones Voluntarias (Voluntariado). - Cara a cara. - - Espacios abiertos. - Tiempo libre. Comunicación pública a través de computadoras. Espacios Privados. - Unidades de trabajo centralizadas. - Organizaciones en red. - Trabajo en equipo. - Progresar en la profesión. - Autarquía. - Outsourcing. - Fábrica, oficina. - Avión, Internet, teléfono, móvil. - Adscripción a un grupo. - Realización personal. - Conglomerados. - Alianzas. - Enfrentamiento de bloques. - Alianzas fluidas y transitorias. A la vista del anterior resumen, no cabe duda de que algo profundo está cambiando. A pesar de que en unas sociedades el cambio esté más adelantado que en otras, no cabe sino concluir que el futuro, si no el propio presente, es diferente. Una de las primeras dificultades surgidas al abordar el examen de las implicaciones del comercio electrónico reside en la multiplicidad de definiciones. Sin perjuicio de los trabajos en la OCDE, en el “Estudio de la situación del comercio electrónico en España”, dentro de la Iniciativa PISTA de la anterior Secretaría General de Comunicaciones, se define el comercio electrónico “en sentido amplio, como cualquier forma de transacción o intercambio de información comercial basada en la transmisión de datos sobre redes de comunicación, como Internet”. Incluye, por consiguiente, no sólo la mera adquisición y venta electrónica de bienes, información o servicios, sino también el uso de la Red para las actividades anteriores y posteriores a la transacción económica. El comercio electrónico comprende tanto el directo mediante entrega por la Red, en formato digitalizado, de bienes intangibles (comercio online) como el indirecto -pedido electrónico de bienes tangibles- (comercio offIine). A su vez, puede establecerse una clasificación en función de los agentes intervinientes. Así se distingue entre las operaciones que se practican entre empresas (Business to Business o B2B), entre empresas y consumidores (Business to Consumer o B2C) o viceversa (Consumer to Business o C2B), entre consumidores ((Consumer to Consumer o C2C), entre empresas y Administraciones Públicas ((Business to Goverment o B2G), etc. Las dos primeras categorías son las más importantes. El comercio electrónico permite la penetración de la globalización económica en las estructuras sociales, lo que autoriza a calificarlo como influir en las relaciones sociales y económicas. No obstante, su actual importancia mediática no se correspon- 22 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas de con la realidad económica en términos cuantitativos, siendo únicamente destacables sus ratios de crecimiento. El comercio electrónico genera, a su vez, dos tipos de tensiones contrapuestas. Por un lado, es centrípeto, al favorecer grandes concentraciones empresariales y propiciar agrupaciones lingüísticas y culturales de consumidores y usuarios, según diferentes perfiles. Por otro lado, es centrífugo, al otorgar posibilidades de negocio desconocidas a las pequeñas y medianas empresas (PYMEs) y al provocar una cierta cesión de poder al consumidor final. El comercio electrónico y, más generalmente, el desarrollo de los servicios de la sociedad de la información acarrea otras consecuencias económicas. La más destacable es la globalización económica. Su interacción con la productividad, sobre el empleo y sobre los precios generales de un país es objeto aún de controversia, apuntando algunas opiniones la expresión “nueva economía” para explicar el nuevo contexto. En cambio, todos los análisis coinciden en sus negativos efectos redistributivos, tanto a un nivel personal, como sectorial y geográfico, al menos en una primera fase. De ahí la necesidad de promover políticas públicas orientadas a superar dichas barreras, principalmente en el ámbito educativo, en el mercado laboral, en la utilización activa de las nuevas tecnologías por parte de las Administraciones Públicas y en la adopción de un marco normativo y de infraestructuras favorables, con especial atención a las circunstancias de las PYMEs, que favorezca la innovación y la explotación de las nuevas oportunidades de negocios. Respecto de España, todos los estudios disponibles muestran un rápido crecimiento en la utilización de las nuevas tecnologías, especialmente en el acceso a Internet y en la realización de operaciones de comercio electrónico. Pero siguen siendo comportamientos minoritarios. Asimismo, revelan un elevado grado de desconfianza y una escasa presencia en el tejido productivo; y, cuando la hay, más reducida es todavía la utilización plena de todas las potencialidades del comercio electrónico. 2.3. Aspectos económicos 2.3.1. La economía digital o nueva economía Los expertos convienen en que actualmente conviven estrechamente interrelacionados varios tipos de economías, ninguna por suerte en estado puro, ya que cuando una de ellas se olvida de apoyarse en las demás los problemas surgen por todas partes. Las “cuatro economías” como han dado en llamarse y sus elementos identificativos son los siguientes: 1. ECONOMÍA TRANSNACIONAL. Se caracteriza por el declive del papel del Estado tradicional a favor de otras estructuras globalizadoras. FACTOR ESTRATÉGICO: El mercado. CARACTERÍSTICA: Crecimiento. 2. ECONOMÍA PRODUCTIVA. Es la más “tradicional” de las cuatro y la joya de la corona de la microeconomía que trabaja hacia la configuración de los agregados macroeconómicos fundamentales: la inversión y el consumo. FACTOR ESTRATÉGICO: Productos y servicios. CARACTERÍSTICA: Innovación y Gestión. 3. ECONOMÍA FINANCIERA. Es como la segunda derivada de la Economía, con todos los riesgos que conlleva la virtualidad, como término opuesto a la realidad. FACTOR ESTRATÉGICO: El dinero. CARACTERÍSTICA: La eficiencia. 4. ECONOMÍA DIGITAL. Como su nombre indica el elemento diferencial es la digitalización como resultado de la convergencia de las tecnologías de la información y de las telecomunicaciones. Entorno: riesgos y oportunidades 23 FACTOR ESTRATÉGICO: El conocimiento. CARACTERÍSTICA: Aprendizaje y generación de valor añadido a partir de intangibles. La anterior clasificación es debido a José Cabanelas, profesor del Departamento de Organización de Empresas de la Facultad de Económicas (Universidad de Vigo). Así definida la ECONOMÍA DIGITAL presenta diversas notas que la caracterizan y la diferencian de las demás formas de “hacer economía”. Podemos destacar por su importancia las siguientes: a) Se organiza a partir de estructuras flexibles y en red. b) Efecto apalancamiento sobre las otras economías a través de la creación y difusión del conocimiento. c) Nueva consideración del término valor. Hasta ahora el trabajo era un factor considerado como coste. A partir de la Economía Digital el trabajo queda definido por el conocimiento y como tal es un Activo de la empresa. Además su uso no genera costes ni amortización, sino que antes al contrario, el valor de este “nuevo factor” incrementa constantemente su valor. d) La Economía Digital aporta un nuevo y eficaz canal para la comunicación y relación de negocios, lo que conlleva una importante reducción, sino más, de los costes de transacción. Las reglas de la economía real son también las reglas de la Nueva Economía. No hay nuevas fórmulas, solamente la adaptación a nuevas circunstancias socioeconómicas. El management ha de saber dirigir la empresa hacia los objetivos y tomar las medidas apropiadas para que se alcancen: más clientes, más facturación, bottom lines más bajas, etc. Pese al discurso que encuentra una continuidad entre “vieja” y “nueva”, lo cierto es que el modelo de negocio ha cambiado, aunque las reglas del juego sigan siendo las de la cuenta de resultados. Muchos mitos del inicio de la era Internet han caído por diversos motivos, entre ellos la poca importancia de las ventas reales frente a la inversión continuada (Amazon.com), la potencia económica de la publicidad en la red (Yahoo.com) o la creencia de que en Internet no hay espacio para los segundones y solo el primer (el “First Mover”) acaba controlando el mercado. La experiencia de los últimos cinco años ha demostrado lo equivocado de estas premisas de negocio. La denominada “crisis de las punto com” ha puesto las cosas en su sitio: Internet no es un fin de negocio, sino una herramienta más. Un medio que ofrece la oportunidad de no canibalizar mercados, de liberalizar mercados cautivos o situaciones de monopolios fácticos y de agrandar el ámbito de negocio a las empresas. Todo cambia, desde 1996 se ha desarrollado una nueva forma de entender las aventuras empresariales. Al derribar Internet las fronteras espacio-temporales, cualquier empresa punto.com se convertía en un escaparate accesible desde cualquier lugar en cualquier momento. El talento emprendedor encontraba financiación a manos llenas de las conservadoras empresas de capital riesgo que, por primera vez, confiaban sin reparos en iniciativas con fondo tecnológico. Las punto com se convierten, además, en un fenómeno social. Apenas tienen gastos de infraestructura fuera de lo propiamente tecnológico, sus empleados rara vez superan la media de los 27 años de edad y los sueldos –altísimos- que cobran dependen en un gran porcentaje del valor que alcancen las acciones. De hecho, antes de que una punto com esté totalmente perfilada ya se empieza a pensar en su salida a bolsa. Paralelamente, las empresas tradicionales ven el potencial de la Red como un nuevo canal de distribución y, con la banca y los medios de comunicación a la cabeza, comienzan a desarrollar sus planes de adaptación a la nueva lógica que propone Internet. Para ello necesitan sangre nueva y empieza entonces la sucesión ininterrumpida de adquisiciones y fusiones entre empresas de la vieja economía y punto coms que poseen ideas, genio y visión. Como ejemplos, la megafusión entre Time Warner y America On Line y la compra de la argentina Patagon y del buscador Olé! Por parte del BSCH y Telefónica, respectivamente. Y así hasta límites insospechados, hasta que la burbuja tecnológica estalló el pasado verano (año 2000) en las manos de quienes la habían alentado. 24 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas La primera baja conocida fue en julio de 2000. Boo, una empresa británica dedicada a la distribución de ropa exclusiva cerraba sus puertas virtuales. El baile de quiebras comenzó entonces en Estados Unidos con las crisis de Kozmo.com, Egghead.com, Emusic, Drugstore.com o Travelocity entre otras. Entre diciembre de 1999 y julio de 2000 los despidos contabilizados en las punto com norteamericanas ascendían a 7.592. Un mes más tarde la cifra subía a 11.785, según los datos de la agencia de colocación Challenger & Gray. Amazon se estrella en bolsa, Yahoo! sigue sus pasos y en Europa empezamos a prepararnos para lo mismo. Efectivamente: en España Terra se desplomó; experimentos como Recol y Teknoland, que llegó a disfrutar de una capitalización de 200.000 millones de pesetas y 500 empleados, no llegaron a tomar las uvas el año pasado mostrando, además, la precariedad de las relaciones laborales en la nueva economía. Pero quizás la actual fase depresiva no sea consecuencia, o quizás no solo, de la fase recesiva del ciclo económico, ni tan siquiera por haber hecho las cosas tan rematadamente mal en un principio. Porque es cierto que se pone de manifiesto con la perspectiva que aporta el tiempo transcurrido que incluso las empresas que hicieran muy bien los deberes están sufriendo pérdida de cotización. 2.3.2. Valoración de empresas .com Aunque pueda parecer mentira la creación de una burbuja financiera a partir de una nueva idea, un nuevo territorio por descubrir o una nueva tecnología no es un fenómeno nuevo. Es más se viene reproduciendo desde el S.XVIII cuando se configuran las grandes compañías anónimas para financiar los grandes proyectos colonizadores en los nuevos territorios americanos y de los Mares del Sur. Todas, absolutamente todas las burbujas históricas acabaron en un reventón. En este sentido recordemos fenómenos financieros más o menos presentes en nuestra memoria como: - La subida de Wall Street del 29 y del famoso crack posterior. - El Tronic Boom de los años 60. - Las BioTech de los años 80. A pesar de todo no aprendemos y el fenómeno se repite una y otra vez porque aunque suene extraño no carece de unos ciertos fundamentos lógicos, como pudieran ser entre otros los siguientes: a) Se produce después de períodos más o menos largos de crecimiento sostenido del P.I.B.. b) Se basa en la aparición de nuevos mercados. c) No todos los proyectos acaban al estallar la burbuja. Algunas de las sociedades logran sus objetivos y sus accionistas ganan con ellas. d) Para distinguir los buenos proyectos de los malos cabe recurrir a correctos métodos de valoración. Para seleccionar un método correcto de valoración tan solo hay que recordar que Internet no es un sector tan diferente del resto de sectores de la economía, simplemente se mueve a más velocidad y ello implica mayor incertidumbre. Siempre de la mano de la prudencia hay que huir de los métodos exóticos de valoración que posteriormente todos ellos se manifiestan como de vida efímera. En esta última burbuja hemos visto la aparición de un amplio número de multiplicadores a partir del número de clientes, o de suscriptores o de visitantes de un web-site. A finales de los años 90 se puso de moda valorar las .com a partir de 1 millón de pesetas por cada cliente o visitante de un portal web. • El método de descuento de flujos de caja (discounted cash flow). Este método tradicional y por lo tanto conservador se basa en los siguientes principios: - Se basa en flujos de caja y no en magnitudes contables. Entorno: riesgos y oportunidades 25 - Permite reflejar con mayor precisión las circunstancias coyunturales. - Considera el valor temporal del dinero. - Recoge todos los matices tanto del Balance como de la Cuenta de Pérdidas y Ganancias. - Recoge correctamente el efecto derivado de las inversiones de la campaña. Por todo ello es sin duda el método más minucioso de todos los conocidos y así es considerado por los analistas financieros. El cash flow se obtiene extracontablemente a partir del EBITDA incorporando las siguientes magnitudes: + EBITDA (±) INVERSIONES FIJAS (±) INVERSIONES EN CAPITAL DE TRABAJO (Circulante) = CASH FLOW LIBRE DE EXPLOTACION El EBITDA es el acrónimo inglés del término “Beneficios antes de intereses, impuestos, depreciaciones y amortizaciones”. Sorprende que sirva para algo serio relacionado con la rentabilidad un concepto como el EBITDA. ¿Cómo puede manejarse una referencia al beneficio sin descontar todas las magnitudes que componen el acrónimo de referencia? Pero además la práctica se mixtificó llegándose a utilizar esta magnitud pre-contable como base para valorar las empresas punto.com. Y así, era usual oir a finales de los años noventa que una empresa tecnológica valía n veces su EBITDA. Además de las aproximaciones más o menos científicas el mercado debería valorar otros componentes del RIESGO alguno de ellos muy volátiles por su carácter intangible, pero altamente significativos: - Potencial de mercado. - Modelo de Negocio. - Marca. - Número y calidad de los usuarios. - Innovación (positioning = ser el primero). - Calidad de la dirección. • Conclusiones: Después de lo dicho y a pesar de lo impreciso del tema podemos concluir: 1º Los métodos de valoración no cambian ni tienen porqué cambiar. 2º Las incertidumbres son mayores porque los inversores compran opciones sobre negocios que aún no se conocen. 3º En consecuencia los RIESGOS AUMENTAN. En respuesta es necesario recurrir a diversas aproximaciones al referido riesgo: a) RIESGO ECONOMICO (sectorial). Sensibilidad de las ventas ante fluctuaciones del ciclo económico. b) RIESGO OPERATIVO. Sensibilidad del beneficio de explotación ante variaciones de las ventas (a). c) RIESGO FINANCIERO. Impacto sobre rentabilidad de una compañía como consecuencia de incorporar la deuda en su estructura de Pasivo Exigible. Realmente todo lo expuesto a tono pasado resulta muy fácil de decir pero difícil de anticipar. El Nasdaq trabajó desde su creación con criterios innovadores para la toma de decisiones, principalmente la aplicación de diversos multiplicadores y así pasó lo que pasó a finales de los años 90. 26 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Por el contrario el Nuevo Mercado de la Bolsa de Madrid no consistió más que un apartado nominativo sin ninguna variación sustancial ni en sus métodos ni en sus tomas de decisión. La absorción por parte del Indice General del estallido financiero resultó así más fácil. A veces Dios escribe derecho con renglones torcidos aunque también es cierto que el Nuevo Mercado era incluso proporcionalmente más estrecho que el Nasdaq. 3. Las Pymes y las nuevas tecnologías Pero no siempre llueve igual para todos y no cabe duda que a día de hoy existe un segmento débil en lo relativo a implantación y uso de las TIC’s, nos referimos a las pymes a pesar de que representan el mayor porcentaje del PIB y del empleo tanto en España como en la U.E. Por su importancia cuantitativa y por el gran déficit que presentan en todo lo relativo a seguridad, que como resulta obligado recordar es el objetivo primordial de este manual, vamos a destinar el próximo epígrafe a analizar el posicionamiento de las pymes respecto a nuestro tema. Europa cuenta con más de 19 millones de PYMES, lo que supone para el conjunto más del 99% de las empresas. A la vista del enorme peso específico que representan sobre la creación de riqueza (PIB) y el empleo, son un factor clave para la creación de empleo y un ámbito idóneo (yo diría que el ideal) para el desarrollo del espíritu empresarial y de nuevas ideas. Europa sólo se convertirá en el centro neurálgico del comercio electrónico si las PYME europeas se comprometen a utilizar Internet como herramienta puntera para el desarrollo de su actividad. Dado que su organización interna es más flexible que la de las empresas de mayor tamaño, las PYME pueden adaptarse muchas veces a las fluctuaciones de los mercados de manera más rápida y eficaz. No obstante, aunque las cifras sobre la utilización de Internet varían según los Estados miembros y los sectores de actividad, la utilización de Internet con fines comerciales es, en general, directamente proporcional al tamaño de la empresa; es decir, cuanto más pequeña es la empresa, menos utiliza las TIC. Por lo tanto, el predominio de las PYME en la economía europea no va parejo con una utilización por éstas de las herramientas del comercio electrónico (véase cuadro 1). No obstante, conviene observar que la mayoría de las empresas incipientes activas en el sector del comercio electrónico son PYME. Utilización de Internet según el tamaño de la empresa, Europa – 1999. Número de asalariados 1 1-9 10-49 50-249 Total Con acceso directo a Internet 33% 49% 67% 86% 42% Difusión de información sobre sus productos a través de Internet Distribución de sus productos a través de Internet 14% 27% 42% 59% 21% 6% 7% 9% 13% 7% Recepción de pedidos 8% 10% 15% 20% 10% Confirmación de pedidos 6& 9% 12% 16% 8% Pago a través de Internet 4% 5% 8% 9% 4% Recepción de pagos a través de Internet Cooperación para ofrecer conjuntamente productos o servicios 3% 3% 4% 7% 3% 9% 13% 19% 29% 12% Fuente: ENSR Enterprise Survey 1999, tal como se utiliza en el Observatorio Europeo de las PYME Sexto informe, Comisión Europea, 2000. Entorno: riesgos y oportunidades 27 A las mismas conclusiones llega un estudio más reciente (primavera del año 2001) realizado por ESADE para el conjunto de PYMES catalanas, en donde representan un 99’8% de las empresas radicadas en Catalunya. La conclusión es que las empresas catalanas utilizan las TIC’s en grado insatisfactorio “aún por debajo de sus homónimas en la U.E. y muy por detrás del resto de tipología empresarial en Catalunya”. La investigación de ESADE sobre el sector determina que sólo el 6’3% de las pequeñas empresas (con menos de 50 trabajadores) usan Internet entendiendo por uso de Internet a efectos de este estudio: - Disponer de una conexión a Internet, - Disponer de una web, - Utilizar habitualmente el e-mail. En Cataluña la economía basada en Internet presenta un desarrollo asimétrico, presentando un mayor protagonismo en el lado de la demanda que del lado de la oferta. De persistir a largo plazo esta tendencia se producirá un desequilibrio importante en la economía catalana, porque los consumidores recurrirán a ofertas foráneas o de grandes empresas. Para dar la vuelta a la situación en un sector tan fundamental para asegurar el desarrollo de Europa en el uso y aplicación de las TIC’s, cabe superar una serie de obstáculos por suerte bien conocidos y percibidos a fecha de hoy. a) La coyuntura económica actual. b) El débil desarrollo normativo (leyes) así como su escaso conocimiento, aplicación y exigibilidad de seguridad. c) Cualificación profesional se refiere a la falta de personal técnico y de gestión con suficientes conocimientos en materia de TIC. Ante esta situación algunos Estados miembros han adoptado medidas para atraer a expertos en TIC de terceros países. La obtención en el exterior de mano de obra cualificada es costosa y ante la competencia salvaje que reina hoy en el mercado de los especialistas en TIC, las grandes sociedades y las empresas incipientes de TIC en pleno desarrollo poseen clara una ventaja sobre las PYME «tradicionales». d) Tecnología y normas. Más que cualquier otro usuario empresarial, las PYME buscan soluciones TIC normalizadas y plenamente compatibles que se mantengan relativamente estables con el paso del tiempo. La complejidad y la falta de solidez de numerosas soluciones TIC desalientan actualmente a muchas PYME. Cuando los programas informáticos o los sistemas resultan incompatibles con los de los clientes y proveedores, existe un riesgo importante de perder las inversiones en TIC. Con el fin de dar un vuelco a la situación de partida y superar los obstáculos antes descritos los Estados miembros de la UE adoptaron el Plan de acción e-Europe 2002 en el Consejo Europeo de Feira de junio de 2000. El tercer objetivo del Plan de acción, «Estimular el uso de Internet», incluye una iniciativa encaminada a alentar a las pequeñas y medianas empresas (PYME) a que «pasen a la fase digital». El Plan considera a las PYME un elemento esencial para la realización de la iniciativa eEurope y define objetivos específicos para prepararlas para esta fase. El objetivo perseguido es el siguiente: «Alentar a las PYME a que ‘pasen a la fase digital’ mediante actividades coordinadas de creación de redes para el intercambio de conocimientos sobre mejores prácticas, capacidad de llevar a cabo comercio electrónico y evaluación comparativa (‘benchmarking’). Los ‘centros de referencia’ podrían ayudar a las PYME a introducir el comercio electrónico en su estrategia empresarial». 28 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Para ello se define la ESTRATEGIA GO-DIGITAL en el marco del PLAN DE ACCION e-EUROPE 2002. Las prioridades de GO-DIGITAL son las siguientes: - Fomentar un entorno favorable y las condiciones generales requeridas para estimular el comercio electrónico y el espíritu empresarial; - Facilitar la adopción del comercio electrónico, difundiendo ampliamente los resultados de la investigación y el desarrollo tecnológico (IDT) y permitiendo a las PYME de todos los sectores beneficiarse de los mismos; y - Contribuir al suministro de conocimientos en materia de tecnologías de la información y la comunicación (TIC), subsanando la falta de estos conocimientos en las PYME y buscando y desarrollando nuevas competencias empresariales para la nueva economía. El punto débil de estos programas radica en la falta de fondos comunitarios para estos fines que no están incluidos en los Presupuestos de la U.E. La situación se agrava cuando la apertura al Este, con la incorporación de un número importante de nuevos socios, provoca de modo más patente que nunca la imposibilidad de distraer fondos ya asignados a otros fines. Ante esta dificultad la gracia del Plan de Acción e-EUROPE consiste en que acierta a compatibilizar tres niveles de objetivos claramente vinculados, de modo que ninguno de ellos se podrán alcanzar sin el armónico logro de los restantes: 1º OBJETIVO: Incremento de la competitividad de la economía de la U.E. 2º OBJETIVO: Reducción de las diferencias regionales en lo económico y lo social. 3º OBJETIVO: Los señalados anteriormente como integrantes de la ESTRATEGIA GO-DIGITAL. A diferencia del tercero, los dos objetivos primeros sí disponen de recursos presupuestarios asignados a su finalidad específica y gracias a la estrecha interrelación entre los tres resulta posible el desvío de recursos de cualquiera de los dos primeros hacia las necesidades de financiación del último: UNION EUROPEA: e-EUROPE y GO-DIGITAL INCREMENTAR COMPETITIVIDAD T.I.C. + PYME REDUCIR DIFERENCIAS REGIONALES 4. Las administraciones públicas y las nuevas tecnologías Al margen del polémico Plan INFO XXI auspiciado por el Gobierno del Partido Popular, son muchas las iniciativas desarrolladas por diversas instancias de las administraciones públicas españolas con un doble fin: a) Acercar las administraciones a los ciudadanos para así aumentar su eficacia. b) Acercar los ciudadanos a la Administración para fomentar el conocimiento y uso de las nuevas tecnologías por parte de aquellas. El proyecto más global de entre todos los desarrollados es sin duda el conocido como el portal del ciudadano al que se accede a través del dominio www.administraciones.es. Quizás por su ansia de universalidad no carece de polémica y a continuación mostramos dos posiciones encontradas a la hora de juzgarlo. Para Lucía Delgado, portavoz del PP en la Comisión de Internet del Senado; “La puesta en funcionamiento del Portal del Ciudadano es un primer paso dentro de la iniciativa del Gobierno para Entorno: riesgos y oportunidades 29 el desarrollo del Plan Info XXI, y pone en marcha la Administración electrónica. Con esta medida, el ciudadano ve simplificada sus gestiones al evitarle el peregrinaje de ventanilla en ventanilla. Aunque el portal no ha arrancado con todas las funciones previstas en el proyecto inicial, se espera que estas se vayan ampliando. A pesar de ello, no deja ya de ser un avance muy significativo en el cumplimiento de los compromisos del Ejecutivo esta página que mejora el acceso de los ciudadanos a los servicios de la Sociedad de la Información. No debemos olvidar que en 1996 España contaba con uno de los mercados de telecomunicaciones mas cerrados y monopolísticos de la UE, con uno de los precios de servicios telefónicos más caros de Europa y con un enorme déficit en infraestructuras y servicios. Ha sido en estos cinco años de gobierno del Partido Popular cuando se han llevado a cabo importantes avances tecnológicos y se han diseñado eficaces medidas legislativas tendentes a facilitar las comunicaciones entre los ciudadanos.” Por el contrario Felix Lavilla, portavoz del PSOE en la referida Comisión opinó lo siguiente: “…, se ha vendido la piel del oso antes de cazarlo. Yo daría un suspenso claro a la actual iniciativa. Se esperaba más de este Portal Unico, cuyo presupuesto asciende a mil millones pesetas. Administracion.es consiste en un simple «refrito» de páginas web ya existentes anteriormente en cada departamento, unificadas ahora en una misma entrada sin coherencia estética y, peor todavía, sin que el ciudadano tenga la oportunidad de hacer las gestiones concretas que debería facilitar un sitio como éste. ¿Por qué se ha anunciado a bombo y platillo algo que no funciona? Mucho me temo que el Gobierno, aquejado de pasividad e inoperancia por varios frentes, necesitaba un asunto para arrancar el nuevo curso político y es aquí donde encaja la presentación «accidentada» de una iniciativa positiva que el Ejecutivo ha malogrado por su precipitación. En España, tener un ordenador o acceso a Internet aún no está al alcance de cualquier ciudadano; por eso, el acceso al Portal Unico debería ser un derecho de los ciudadanos desde cada Ayuntamiento; así se lo dije al ministro Posada en presencia de un alcalde de su partido, quien se mostró de acuerdo. Esperemos que, en junio, apruebe el Gobierno y el Portal funcione mucho mejor que ahora.” Este llamado Portal del Ciudadano es un proyecto auspiciado por el Ministerio de Administraciones Públicas (MAP) que nació con vocación de convertirse en la “ventanilla única virtual” con una dotación presupuestaria de dos millones de euros y fue desarrollado por Indra. La verdad es que parece haberse quedado a medio camino de sus posibilidades. Por su parte los usuarios parecen estar al respecto más de acuerdo con la oposición que con el Gobierno y así hemos podido recopilar las siguientes opiniones: A pesar de estas críticas sería injusto ignorar la existencia de brillantes ejemplos de web-sites tituladas y desarrolladas por diversas instancias de la Administración Central. Entre las mejores es obligado citar las siguientes: a) Página web de la Agencia Estatal de Administración Tributaria; www.aeat.es. b) Página web de la Secretaría de Estado de la Seguridad Social; Sistema Red. c) Página web de la Agencia de Protección de Datos; www.agenciaprotecciondatos.org. Los tres son ejemplos de web-sites bien resueltos y animamos a que sean visitados por el lector. • www.bcn.es. Un proyecto que funciona. El Ayuntamiento de Barcelona fue uno de los pioneros, a nivel mundial, en ofrecer un portal de información local a sus ciudadanos desde 1995. La web ha ido creciendo de acuerdo con las necesidades de los usuarios. Todo está al alcance de un clik y para muestra ahí van algunos de sus contenidos. 30 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas • Agenda: En Barcelona se convocan gran cantidad de actividades durante todo el año. Desde acontecimientos culturales, hasta exposiciones, pasando por conferencias, deportes, ferias de muestras… La agenda cuenta con listados detallados que se pueden consultar por día, semana o mes, o bien por el tipo de evento. En la página principal de la agenda, además, se destacan las actividades más relevantes del momento. • Guía de Barcelona: Una de las aplicaciones pioneras de www.bcn.es, desde ella se puede obtener información cartográfica correspondiente a la guía que se reparte al ciudadano periódicamente en papel. Esta Guía viene acompañada de funcionalidades añadidas, como siete niveles de zoom (que alejan o acercan el territorio), consulta de índice de calles o localización de cualquier dirección en el plano. Está disponible en catalán, castellano e inglés. • Trámites y Gestiones: La Oficina d’Atenció al Ciutadà por Internet permite gestionar muchos trámites que se pueden hacer en la ciudad, además de consultar información acerca de más de 600 trámites. Podrá consultar los trámites por listados de los disponibles in Internet, o por listado telemático; también existe la posibilidad de realizar búsquedas de un trámite concreto o de palabras relacionadas. • Transporte: La web “Com anar” facilita al ciudadano los desplazamientos por la ciudad de Barcelona. El sistema busca la combinación más favorable de transporte público. El usuario debe rellenar el formulario con la dirección de salida y la de llegada, y en unos segundos aparecerán en pantalla los medios de transporte, las líneas recomendadas y el tiempo estimado que tardará en el recorrido. • Directorio: La web del Ayuntament dispone de listados detallados de entidades y equipamientos. Estas páginas amarillas locales pueden consultarse desde el índice temático de su página principal, o tecleando el nombre de la entidad de la cual se busca información, incluyendo campos de localización como el distrito. • Tráfico: En esta página el ciudadano podrá conocer el estado del tráfico en tiempo real, así como la previsión del mismo con una antelación de 15 minutos. Asimismo se podrá observar el tráfico a través de las cámaras instaladas en puntos críticos de la ciudad. • Correo Ciudadano: Todas las personas empadronadas en la ciudad de Barcelona podrán disfrutar de su propia dirección de correo electrónico a partir de esta página de bcn.es. Para interrelacionarse con el web-site municipal, los barceloneses disponen de cinco razones diferentes de correo electrónicos: • Cómo contactar: El ciudadano tiene línea directa con el Ajuntament a través del correo electrónico. Para ello, dispone de cinco buzones: · Consultas o sugerencias, para obtener más información. · Calidad, para proponer mejoras en la ciudad o en los propios servicios municipales. · Infopime, con lo relativo al mundo de la pequeña y mediana empresa. Entorno: riesgos y oportunidades 31 · Directorio, en el que pueden hacerse aportaciones a las bases de datos. · Alcalde, para enviar mensajes al máximo responsable del Ajuntament. • Otros proyectos en Internet. Otro proyecto es el desarrollado por la multinacional francesa del sector de las nuevas tecnologías Transiciel por el que las administraciones públicas podrán traspasar sus contenidos del mundo real a Internet. Opera bajo la marca Ajunt@net y ofrece varios servicios básicos por un lado, la gestión de los contenidos de uso interno (análisis del padrón para estudios de perfiles de la población, contrataciones, multas, tributos y a través de un centro de información (o Datawarehouse) al que también podrán acceder los ciudadanos por Internet para consultar información sobre valores contractuales o multas pendientes; enviar mensajes personalizados a móviles o suscribirse a determinados acontecimientos programados, entre otras aplicaciones. Ajunt@net también ofrece un servicio de consultoría jurídico-informática orientada a la administración pública. Su objetivo es estudiar el grado de cumplimiento de la protección y confidencialidad de los datos que manejan los ayuntamientos, diputaciones o cabildos, entre otros organismos oficiales; e implantar las medidas correctoras necesarias si no los cumplen. Por último, Ajunt@net ofrece la posibilidad de crear un portal en Internet que opera en un entorno multicanal (web, televisión interactiva, emisoras de radio, SMS, Wap, GPRS, teletexto, etcétera) y que está abierto a la aportación descentralizada de contenidos por parte de aquellas entidades que constituyen el tejido vital de la comunidad. Otro de los proyectos en desarrollo es el Administracio Oberta de Catalunya (AOC) que se inicia en 1999 a través del Centre de Telecomunicacions y Tecnologíes de la Informació. El objetivo final de la A.O.C. es crear el marco para que los ciudadanos y las empresas se relacionen electrónicamente con la administración autonómica catalana. El proyecto dotado inicialmente con un presupuesto de 346 millones de Ptas. se desarrolla en colaboración con la Universitat Politécnica (U.P.C.) y diversas empresas punteras del sector; Microsoft, I.B.M., Lotus, Oracle, etc. Para más información sobre el proyecto se puede recurrir a: www.gencat.es/csi/cat/proyecte/adminitracio/1999/aoc.htm. Tecnología y Seguridad 33 PARTE II. TECNOLOGÍA Y SEGURIDAD 1. La clave tecnológica La seguridad de los sistemas de información requiere de la adecuada tecnología y el marco jurídico apropiado que los legisladores deben adecuar a las necesidades de la sociedad, las empresas y las organizaciones. Estudiar la tecnología de seguridad en sistemas informáticos y telemáticos es una tarea totalmente dinámica que requiere un continuo trabajo y adecuación constante para conseguir la mayor seguridad posible. 1.1. Aproximación al concepto técnico de seguridad La seguridad es una característica de cualquier sistema que nos indica si está libre de todo peligro, daño o riesgo. Debido a que es imposible alcanzarla se suele estudiar y dar soluciones a las vulnerabilidades y proponer sistemas fiables en lugar de sistemas seguros. Es por ello que a nivel técnico al estudiar la seguridad, nos centramos en minimizar la inseguridad, para conseguir, de esta manera, sistemas seguros. En los capítulos anteriores y en todo el manual, venimos dando argumentos para subrayar que la seguridad es un punto fundamental en la planificación de una empresa de servicios en la sociedad de la información. Para conseguir esa seguridad se necesita tecnología, servida por un departamento de la empresa o a través de servicios localizados y de outsourcing total. La tecnología tendrá que darnos soluciones a la seguridad, confidencialidad de la información, integridad y disponibilidad en cualquier circunstancia, valores fundamentales en las empresas que ofrecen sus servicios por internet o simplemente están conectadas a la red. En los capítulos siguientes haremos un estudio del estado del arte en materia de seguridad y privacidad, citando las vulnerabilidades y las soluciones a ellas, ampliando los temas con la tecnología actual y su tendencia, y haciendo especial hincapié en todo lo relacionado a internet. Estudiaremos las políticas de seguridad empresariales, a partir de las cuales se estructuran los siguientes capítulos, donde se estudian las tecnologías (recursos, protocolos, soluciones software y hardware) para averiguar los riesgos y amenazas (hackers, virus, etc), donde, previamente, nos centramos en la seguridad de sistemas, máquinas y redes de empresas conectadas a Internet. El comercio electrónico y los servicios móviles tienen apartados especiales, junto con las medidas técnicas a tomar por las organizaciones referente a la normativa de protección de datos personales. Por último, hacemos mención de los servicios de seguridad que ofrecen empresas de TI, como clave en el outsourcing informático. Para comenzar un estudio de tecnología de seguridad. Vamos a plantearlos en un sencillo esquema formado por preguntas, y cuyas respuestas van a darnos las soluciones tecnológicas: ¿Que queremos proteger? ¿De que nos queremos proteger? ¿Como nos podemos proteger? 34 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 1.1.1. ¿Qué queremos proteger? El objetivo es que la información que disponen nuestras empresas no se vea alterada, dañada, interrumpida o interceptada por usuarios no autorizados. Para conseguir este objetivo hay que centrarse en las claves de seguridad. Éstas son (repetidas en varias ocasiones en este manual) y referidas aquí entre la comunicación entre un emisor y un receptor de un mensaje: • Autentificación: Verificar que el mensaje ha sido firmado por una determinada persona, y al firmarlo, la certeza de que no ha sido alterado. • Confidencialidad: Garantizar al remitente que sólo el destinatario podrá leer el mensaje. • Integridad: Asegurarse que el contenido de la información no ha sido alterado o dañado en la comunicación o acceso del mismo. • No repudio: Se trata de poder tener la certeza de que el emisor de un mensaje no podrá, después, negar haberlo enviado. 1.1.2. ¿De qué nos queremos proteger? De LAS VULNERABILIDADES de SEGURIDAD: • Agujeros de seguridad. • Vulnerabilidades en la codificación de aplicaciones, en las bases de datos, en los sistemas operativos, en las redes, en los equipos de comunicación. De LAS PERSONAS: • Personal de la empresa. • Ex-empleados. • Curiosos. • Crackers. • Intrusos. • Terroristas. De LAS AMENAZAS LÓGICAS: • Software con errores. • Incorrectas políticas de seguridad. • Puertas traseras. • Trampas y bombas lógicas. • Virus. • Gusanos. • Caballos de Troya. • Sanciones judiciales, penales o a través de la Agencia de Protección de Datos. De CATÁSTROFES: • Naturales/Artificiales. • Riesgos físicos. Tecnología y Seguridad 35 1.1.3. ¿Cómo nos podemos proteger? De alguna manera la manera de protegernos es estudiar las vulnerabilidades, utilizando la tecnología adecuada para defendernos de los peligros. Todo ello implica reunir aspectos jurídicos y técnicos, sobre una correcta política de seguridad para cubrir los riesgos de seguridad y las medidas y soluciones que se deben tomar. La respuesta a esta pregunta es el objetivo de todos los capítulos siguientes, donde el lector podrá encontrar estudios de todo tipo encaminados a conocer los riesgos y las soluciones a ellos. 1.2. Tipología de la seguridad informática 1.2.1. Seguridad física y lógica Actualmente la seguridad se consigue por lo general mediante defensas añadidas como medio de reacción frente a los ataques. Este tipo de filosofía para el concepto de seguridad, hace que el disponer de sistemas fiables choque de frente con aspectos comerciales de la empresa, que hacen que por culpa de estos inhibidores, no se consiga los niveles adecuados en las organizaciones. La seguridad total es ahora mismo cara, y los profesionales de este sector tiene la obligación de hacer girar el concepto técnico de “seguridad total” al de “seguridad desde el principio”, para que , por ejemplo, todos los lenguajes de programación no tengan agujeros, todos los sistemas operativos sean seguros, las bases de datos cajas herméticas de información y los equipos dispositivos infalibles. Aspectos, todos ellos hoy día, utópicos, que hacen que se necesiten soluciones particulares o globales para alcanzar la deseada seguridad total. El estudio de la seguridad informática puede plantearse desde dos enfoques: • Seguridad Física. Protección del sistema ante las amenazas físicas, planes de contingencia, control de acceso físico, políticas de backups, etc. Este tema será tratado en el capítulo X, Políticas de seguridad corporativas. • Seguridad Lógica. Protección de la información en su propio medio mediante el enmascaramiento de la misma usando técnicas de criptografía. Este enfoque propio de las Aplicaciones Criptográficas será tratado a lo largo de todo el resto de capítulos, haciendo especial hincapié en la Autenticación y la Privacidad. 1.2.2. Seguridad por red y por máquina Pensemos en aspectos de ingeniería para acometer la tipología de seguridad. Desde lo más pequeño hasta aspectos macros. De la misma manera que distinguimos por la naturaleza de la seguridad (física o lógica) podemos distinguir la seguridad informática según le origen o el objetivo de los ataques y soluciones: • Seguridad por máquina o por host. Procedimientos, riesgos, políticas, tecnología, etc para solucionar las vulnerabilidades de una máquina (por ejemplo, un PC) en sí mismo (conectado o no a internet). • Seguridad por red. Todos estos procedimientos, riesgos, políticas, tecnología, etc asociados a la red (usualmente internet, o redes privadas), donde estas vulnerabilidades y soluciones se deben aplicar en sentido general la red y en otros dispositivos (servidores de comunicaciones, servidores DNS, routers, etc). A menudo resulta difícil si una vulnerabilidad y su solución está a nivel de máquina o de red, por ejemplo un cortafuegos (que estudiaremos con detalle en el capítulo V Firewalls), puede actuar para proteger el PC de nuestra casa o la red local de nuestra empresa. ¿Qué queremos proteger? ¿De qué nos queremos proteger? ¿Cómo nos podemos proteger? 36 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 2. Políticas de seguridad corporativas 2.1. La administración de la seguridad Una política de seguridad informática es una forma de comunicarse con los usuarios y los gerentes. Las políticas de seguridad establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos importantes de la organización. No es una descripción técnica de mecanismos de seguridad, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y el por qué de ello. Cada política de seguridad es una invitación de la organización a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Invitación que debe concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía. Habitualmente en las empresas (pequeñas, grandes y medianas) el papel profesional de la responsabilidad de la seguridad informática la lleva el comúnmente denominado administrador de red o director, gerente o responsable informático. Una serie de tareas que hoy en día resulta vitales en la vida de una empresa, ya que de su trabajo reside, en parte, la continuidad del negocio. Ello hace que estos profesionales deban estar implicados directamente en la dirección de la empresa, en los consejos de dirección, y que hoy en día, este hecho desgraciadamente no ocurre en todas las organizaciones. Por ello, son los directivos, los directores de empresa, los primeros que deben concienciarse de la importancia de la seguridad informática, y las políticas de seguridad deben montarse también para ellos y con ellos. Para simplificar el concepto de administración de seguridad, podemos dividirlo en tres grandes bloques: ∑ Autenticación: Establecer las entidades (usuarios, perfiles, sistemas) que pueden tener acceso al conjunto de recursos informatizados que la empresa ofrece. ∑ Autorización: Crear los mecanismos de accesos para estas entidades con autenticación, tengan efectivamente acceso únicamente a las áreas de trabajo e información que realmente deban acceder y vigilar los accesos ilegales a recursos no permitidos. ∑ Auditoría: Continua vigilancia en los servicios de producción, desarrollo e implementación de sistemas informáticos y organizativos (nuevos programas, nuevos empleados). También disponer de listados de usuarios activos, estadísticas de acceso y políticas de acceso físico a los recursos. Como detalle en una de las “patas” de la seguridad global, podemos darnos cuenta que estos tres aspectos coinciden plenamente con la normativa española y europea sobre Protección de datos personales (Real Decreto 994/1999, LOPD 13 dic. 99, Directiva Europea 95/46/CE y la LSSICE1). Además de estos tres grandes bloques la autenticación, la autorización, y la auditoría, el esquema para la administración de la seguridad debe centrarse también en un flujo constante de procedimientos y metodologías adecuadas a la empresa, pero que siempre deben seguir un análisis de riesgos, su plan de continuidad, el centro de respaldo para la posible (y no deseada) recuperación y las pruebas en él. 1 Ley de Servicios de la Sociedad de la información y del Comercio Electrónico. Tecnología y Seguridad 37 Plan de continuidad Análisis de riesgos Centro de respaldo y pruebas 2.2. Desarrollo de una arquitectura segura de red El objetivo de un política de seguridad empresarial es definir en la organización un esquema de red aplicando medidas (técnicas y también jurídicas), que una vez implementadas, minimizan los riesgos de seguridad. Para conseguir la arquitectura de red segura, debemos aplicar los métodos en: ∑ La red Interna. Todo lo relacionado con la seguridad de los terminales, servidores de datos y aplicaciones, monitorizar la red. ∑ Las conexiones de la red con Internet. Todo lo relacionado con redes externas. ∑ Los aspectos específicos en comercio electrónico. Medios de pago, autenticación de usuarios, tratamiento de los datos personales. Los pasos para desarrollar una red segura, forman parte de las tareas de la administración de red (del responsable de seguridad) y podemos simplificarlas en las siguientes: 1. Diseño de una arquitectura de red segura: - Esquema de red. - Mecanismos (routers, firewalls, IDS, servidores proxy). - Sistemas operativo (de la plataforma de red y de los terminales: Windows, Unix, AS/400, Novell). - Protocolos de comunicación (en los SO, en los servidores, etc). - Diseño de la seguridad en los servidores de las bases de datos. - Seguridad en las aplicaciones cliente/servidor e internet, tanto internas como externas (servidores web, ERP, CRM, Bases de datos, email corporativo, etc). 2. Evaluación de los flujos de información: - Estudio del origen y destino de los datos que viajan por la red. - Identificación de recursos. - Identificación de los riesgos. 3. Implementación de la arquitectura segura: - Mecanismos de seguridad (firewalls, IDS, pasarelas de correo, gateways de aplicaciones, etc). - Seguridad en los sistemas operativos de los terminales (opciones de administración, protocolos permitidos, autenticación de los usuarios, etc). - Seguridad en las aplicaciones internas (y con acceso remoto) y de las bases de datos. - Protección de datos personales. Implantación de medidas técnicas y jurídicas. - Implementación de la arquitectura de red segura mediante políticas de seguridad. 38 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 2.3. Copias de respaldo Las copias de respaldo, copias de seguridad y backups representan de por sí el primer paso para asegurar la información. La información, los datos, representan la riqueza de la empresa. Su almacenamiento debe garantizar la integridad de los datos, su seguridad y su disponibilidad. Estamos hablando, por tanto, de implantar en la empresa los mecanismos adecuados de prevención de desastres. Objetivo de una apropiada política de copias de respaldo: - Proteger la información contra los desastres. - Disponer del control de los datos, dispersados en las redes corporativas bajo la campana de la arquitectura cliente-servidor. - Soluciones ágiles para el intercambio de información. - Ejecución de los backups con rapidez. - Soluciones de almacenamiento capaces de adaptarse a la evolución de la organización. - Reducir los costes de backups. - Estandarización de los soportes utilizados y de los sistemas operativos. Tecnologías: 1. Copias de respaldo tradicionales en cliente: Copias de seguridad bajo software de los sistemas operativos sobre los discos duros de un ordenador utilizando soportes como cintas DAT, CD, DVD, etc. Este sistema se aplica sobre un ordenador o sobre unidades de red situadas en servidores. 2. NAS – Network Attached Storage: Dispositivo de almacenamiento unido a la red corporativa. Los sistemas de almacenamiento se conectan a la red actuando como servidores de ficheros. El modo de comunicación entre los clientes de la red y el servidor de almacenamiento se basa en protocolos de red bajo TCP/ IP. La administración del sistema se basa a través de agentes implantados en los servidores. 3. SAN – Storage Area Network: El concepto SAN designa una nueva arquitectura de almacenamiento basada en el concepto de RED DEDICADA AL ALMACENAMIENTO. Una nueva red dedicada al almacenamiento que se interconecta con la red corporativa, una red rápida basada en tecnología de alta velocidad, como por ejemplo, Fibre Channel. Algunas de las características de la red SAN son: a. Red rápida a la que se unen servidores y sistema de almacenamiento. b. Administración centralizada y datos distribuidos. c. Recursos compartidos. d. Optimización de los movimientos de datos. e. Conexión de un punto cualquiera de la red corporativa a cualquier otro punto. f. Protocolos de tipo entrada/salida. Tecnología y Seguridad 39 Cuadro comparativo NAS-SAN. Tipo de red NAS Se une a la red corporativa existente (Ethernet, FDI, Token-ring, etc) SAN Red específica Fibre Channel, ... Función de las unidades de almacenamiento Servidor de ficheros Gestión multiprotocolos Servidores de recursos de almacenamiento. Ayuda a la protección y al movimiento de datos Protocolo de comunicación (intercambio de datos) Tipo mensaje (TCP/IP) Tipo entrada/salida (SCSI) Ancho de banda En función de la red existente Ethernet: 100/1000 Mbps FDDI: 100 Mbps ATM: 155/622 Mbps Con Fibre Channel: n x 1000 Mbps Administración del sistema A través de un servidor central Administración directa, inclusive la infraestructura SAN Fuente: Bull Libro Blanco SAN. Recuerde: Existen actualmente dos formas de almacenamiento en red: NAS, donde el servidor de almacenamiento se implanta en la red empresarial y NAS, una red rápida dedicada exclusivamente al almacenamiento. 2.4. Plan integral de seguridad Para acometer un plan integral de seguridad de nuestra empresa que finalice con una política de seguridad debemos empezar con un análisis de seguridad que consistirá en estudiar todos los elementos relacionados con los sistemas informáticos. El siguiente esquema nos puede ayudar al trabajo de una AUDITORÍA DE SEGURIDAD (ésta es una opción elaborada por el autor, y no es ni mucho menos la mejor ni la única): PLAN INTEGRAL DE SEGURIDAD ANÁLISIS DE RIESGOS En los elementos • FACTOR HARDWARE Hardware de red Servidores • FACTOR SOFTWARE Aplicaciones Sistemas operativos Software de red IDENTIFICACIÓN DE RECURSOS IDENTIFICACIÓN DE AMENAZAS MEDIDAS DE PROTECCIÓN ESTRATEGIAS DE RESPUESTA (PLANES DE CONTINGENCIA), GESTIÓN Y RETROALIMENTACIÓN • SEGURIDAD LÓGICA Factor organizacional Auditoría y Control Información: Protección, privacidad, control accesos • SEGURIDAD EN COMUNICACIONES Integridad Confidencialidad Disponibilidad Autenticación Arquitectura segura • PROTECCIÓN DE DATOS PERSONALES Aspectos jurídicos (registro fichero y derechos afectados) Medidas técnicas El PLAN INTEGRAL finaliza con una POLÍTICA DE SEGURIDAD DE LA ORGANIZACIÓN Fig. II-2. El plan de seguridad integral. 40 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 2.5. Ejemplo de una política de seguridad corporativa En este apartado se pretende mostrar un ejemplo de una política de seguridad de una empresa (al nivel de una pyme) que disponga de un responsable de seguridad (habitualmente el administrador de sistema o de la red). Este ejemplo no pretende ser una regla fija para la política de seguridad de cada empresa ya que la metodología debe ser la adecuada a cada caso y necesidad, sólo un acercamiento a la filosofía de un planteamiento de seguridad en base a una política que sirva de práctica real para la seguridad, nuca mejor dicho, de la información de la empresa en el sistema informático y de comunicaciones. Lo más importante es realizar un exhaustivo análisis de seguridad (medidas proactivas y reactivas) para asegurar la privacidad y la integridad de los datos sin olvidar que las políticas de seguridad deben incluir elementos de retroalimentación que permitan adecuarse a las exigencias del entorno de la empresa (básicamente realizar las auditorías periódicas). • Origen: Lo primero de todo es acometer como el responsable de seguridad realiza la política: • Propia. Diseñada e implementada por el responsable de seguridad (normalmente el administrador de red) de la misma empresa. • Outsourcing. El servicio se contrata a una empresa especializada en planes integrales de seguridad. • RIS. El servicio se contrata a una empresa especializada para que haga un análisis de riesgos, y con éstos, el responsable de seguridad acomete y realiza la política de seguridad. • Protección de datos. Debido a la normativa de protección de datos (obligatoria para las empresa que dispongan de ficheros automatizados), la empresa realiza su documento de seguridad que se convertirá en la el documento interno de seguridad donde estarán las políticas y procedimientos de seguridad. • Protección del hardware: El hardware es normalmente el elemento más caro de todo sistema informático. Por tanto, las medidas encaminadas a asegurar su integridad son una parte importante de la seguridad física de cualquier organización, especialmente en las dedicadas a I+D: universidades, empresas de informática, centros de investigación, etc suelen tener entre sus equipos máquinas caras, desde servidores hasta dispositivos de comunicaciones: switches, routers, fibra óptica, etc: • Desastres naturales, continuidad energética, control ambiental, medidas contra intrusión, fuego, robos, inundaciones, ruido eléctrico, etc. Todas las medidas relacionadas con la seguridad física. • • • • • Identificación de recursos y personas. Inventario de soportes, terminales, servidores, workstations y portátiles. Listado de usuarios. Medidas para PCs portátiles de uso por varias personas. Mecanismos de prevención y medidas de protección. - Identificación. - Autenticación. Tecnología y Seguridad 41 - Control de acceso. - Separación de sistemas y recursos modulable. - Obligaciones de los usuarios. - Confidencialidad de los datos. - Medidas a tomar cuando un empleado deja de pertenecer a la plantilla. - Procedimiento de cambios y comunicación de contraseñas. - Medidas Antivirus en terminales. - Configuración y reglas para los Firewalls. - Configuración segura de correo corporativo (Antivirus y bugs). • Mecanismos de detección. - Auditoría. - Detección de intrusos y amenazas. - Firewalls (reglas de emtrada). • Mecanismos de recuperación. - Hardware (balanceo/clusters). - Copias de seguridad (back-ups/SAN/NAS). - Recuperación contra desastres. • Medidas técnicas según la normativa “Protección de Datos”. • Registro del fichero. • Documento de seguridad (apartado especial para protección de datos en las políticas de seguridad). • Derechos de los afectados (textos en formularios web y en aplicaciones informáticas, sistemas que permitan el acceso, cancelación y rectificación de los usuarios a sus datos). • Complemento de las medidas con el resto de puntos de la política. • Mecanismos de información internos: • Procedimientos con flujo de información con empresas externas (también en medidas sobre protección de datos). • Publicación de las políticas en la Intranet. • Relación con el departamento de Recursos Humanos. • Relación con los enlaces sindicales. • Relación con las medidas de riesgos laborales. • Formación a administradores y usuarios en general. • Implicación en alta dirección de la empresa (“la seguridad es algo serio en la continuidad del negocio”). 3. Seguridad en Redes 3.1. Introducción En este capítulo empezamos a estudiar con detalle la problemática de seguridad en Internet, ya que cuando hablamos de redes, estamos hablando realmente de “la red”, de Internet. Podríamos desde estas líneas estudiar los riesgos de seguridad y las soluciones a ellos, englobado desde la perspectiva de empresa o de usuario. Cada uno de estos detalles: los hackers, los cortafuegos y las políticas de seguridad los dejamos para capítulos posteriores, ya que representan de por sí un estudio 42 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas especial. Es por ello que este capítulo representa una introducción a la problemática de seguridad de las empresas y organizaciones y que en puntos siguientes iremos detallando. Un estudio que empezará por unas básicas definiciones para poder continuar con el estudio de redes internas y externas (las redes móviles requieren un capítulo aparte especial y que hacemos hincapié en lo que se está denominando como la Internet wireless). Un estudio del protocolo TCP/IP y la arquitectura ISO nos permitirá entrar en la autenticación y el control de acceso en las redes seguras y los riesgos derivados del protocolo IP, riesgos a nivel de privacidad y de aplicación, relacionados con los servicios y protocolos a este nivel y que en posteriores capítulos estudiamos sus soluciones (Firewalls, detección de de intrusos, seguridad de contenidos, antivirus, arquitectura de 3 capas, seguridad en las bases de datos, seguridad en terminales,etc). 3.2. Terminología básica Para poder estudiar las vulnerabilidades de las redes y sus soluciones conviene conocer más nomenclatura relacionada con redes e Internet: • Protocolos en la red: Habíamos adelantado en el anterior capítulo la defi nición de protocolo: “Un protocolo es un lenguaje utilizado por nuestro equipo para comunicarse con otros.” Con más detalle, un protocolo es un lenguaje utilizado por dos máquinas para comunicarse entre sí, según el nivel de comunicación del estándar OSI. Fig. III-1. La torre OSI y el protocolo TCP/IP. En la anterior figura podemos ver los diferentes niveles según el estándar OSI, entre los diferentes niveles el lenguaje de comunicación es un protocolo. Así para comunicarse dos máquinas a nivel de red, éstas lo pueden hacer a través del protocolo IP, y a nivel de transporte, a través del protocolo TCP. Por eso decimos que IP es un protocolo de red y TCP un protocolo de transporte. • Extranet: Parte privada de Internet destinada a usuarios que requieren una autenticación no básica, normalmente clientes de una empresa. • Intranet: WebSite interno de una organización donde los empleados acceden mediante Internet a los recursos corporativos. Tecnología y Seguridad 43 • Redes virtuales privadas (VPNs): Redes privadas seguras dentro del ámbito de Internet que interconectan empresas, organizaciones y por las que corren aplicaciones web/email. 3.3. Redes internas La seguridad de redes, empieza como no, por las redes internas. Una red interna como suma de terminales, servidores de datos y aplicaciones, reúne una cantidad de recursos (hardware, software, datos, personas, etc) que necesitan de una arquitectura segura y de una política de seguridad a cumplir por cada uno de los recursos de la misma. Una seguridad que bien debemos aplicar máquina por máquina, o que, resultando mucho más fácil, debemos aplicar al conjunto de la organización. El responsable de seguridad (normalmente el administrador de red) de una organización conoce de sobras su entorno (o debería conocerlo). La plataforma de red (Uníx, Lynux, Mac, NT), el sistema operativo de los terminales y servidores, las aplicaciones cliente/servidor instaladas en los terminales (ERP/CRM/Intranet, etc), las unidades de red compartidas por los usuarios, las bases de datos corporativas y debe aplicar en los usuarios, los diferentes permisos para poder instalar, consultar, eliminar carpetas, datos, aplicaciones, etc. Es sabido que los primeros problemas de seguridad ocurren en la misma organización interna, no siempre debidos a intrusiones maléficas de empleados, sino muchas de las veces por fallos de seguridad o puertas abiertas que se ejecutan “sin quererlo”. Muchas organizaciones optan en la seguridad de su red interna, por no dar permisos de instalación de aplicaciones en sus terminales de empleados, evitando de esta manera los primeros problemas de seguridad derivados de acciones desde aplicaciones no deseadas por la administración de la red. Un tema importante y básico es la autenticación de los usuarios en la red. La seguridad interna empieza por la autenticación de los usuarios en un servidor central. Para identificar los usuarios normalmente los sistemas operativos incorporan la suficiente tecnología para ello y habría que disponer de sistemas más fuertes, según las características de la información y los recursos a acceder por los usuarios de la red. La seguridad interna de la red de una organización, debe ser administrada por profesionales en la materia, de sobrado conocimiento de la plataforma (sistema operativo, aplicaciones y bases de datos), y regida sobre una política de seguridad que implique a todos los recursos del sistema. 3.4. Redes externas Cuando hablamos de aplicaciones en la red interna que permiten la conexión hacia fuera (Internet, RAS, punto a punto, etc), entonces la seguridad es mucho más importante, ya que entran más peligros: “los de fuera”. Los peligros pueden venir de: • Ataques dedicados: Un intruso que nos elige y que intenta colarse en nuestra red. • Ataques aleatorios: Un hacker desconocido que ha descubierto un dominio y una IP y curiosea puertos para ver hasta donde puede llegar. Sus herramientas son fácil de encontrar (Internet es su mejor biblioteca), sus mecanismos fáciles de realizar y por ello la red interna puede ser blanco fácil para los ataques. Estudiamos con más detalles en el Capítulo de hackers, la manera de realizar sus fechorías, pero adelantamos en este punto algunos ejemplos, para poner de manifiesto la obligada seguridad cuando nuestra red está conectada al exterior: 44 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas • Una pasarela de correo electrónico permite a los empleados conectarse con los clientes de la empresa y enviarse documentación, ofreciendo por ejemplo un servicio de Call Center a través del email, pero este servidor de correo, asociado al dominio de la empresa, puede ser la puerta de entrada de intrusos. • Un servidor web y FTP, permitirá a los clientes de nuestra empresa conectarse directamente con nosotros (extranet/servicios B2C, B2B, etc), pero también puede ser una puerta muy fácil de entrar por un intruso que en pocos minutos, podría detectar los puntos vulnerables de estos servicios. Para desarrollar nuestra red externa teniendo en cuenta los peligros que significa abrir la red a Internet y para mantenerla segura, debemos tener en cuenta los siguientes puntos: • Seguridad en la arquitectura de las comunicaciones: Soluciones firewall, conexión de routers, etc. • Seguridad en la conexión a Internet: Servidores DMZ, Servicios de seguridad del operador de telecomunicaciones, aplicaciones web/ftp/email seguras, servidor de comunicaciones con separación de la red interna, etc. • Acceso a aplicaciones seguras: La tendencia empresarial es que la organización ofrezca mecanismos para que los empleados y colaboradores puedan acceder de forma remota y segura a través de internet a las aplicaciones internas, englobado en el entorno denominado business to business (B2B), o como podemos conocerlo más común como teletrabajo. • Autenticación remota: Mediante usuario y contraseña, certificados digitales o tarjetas hardware. Temas que trataremos con detalle en capítulos siguientes. 3.5. Internet y el protocolo TCP/IP Internet es una red de ordenadores que se comunican entre sí utilizando el protocolo de control y transporte de internet, TCP/IP. Éste es el protocolo básico de transmisión de datos en Internet y que todos los servicios dependen de él. Este protocolo es sencillo de instalar en cualquier máquina y no depende de ningún sistema informático y operativo. Aunque habíamos estudiado brevemente este protocolo en el Capítulo II, vamos a estudiarlo más a fondo, pues representa el punto básico técnico de la redes informáticas, y por tanto de Internet. Las redes TCP/IP se basan en la transmisión de pequeños paquetes de información. Estos paquetes contienen la dirección IP del emisor y del destinatario. Relacionado con el protocolo de transporte IP existe el sistema de nombres de dominio DNS, que es un mecanismo de asignación de nombres de ordenadores identificados con una dirección IP. Por ejemplo podemos relacionar la dirección IP 183.56.78.2 con el nombre de dominio www.miempresa.com (ejemplo no real). Tecnología y Seguridad 45 Fig. III-2. Familia de protocolos TCP/IP y la torre OSI. Los protocolos de comunicaciones están asociados a la torre OSI y son como el lenguaje entre dos dispositivos (que cada uno dispone de toda la torre) para comunicarse entre sí. Los protocolos están definidos en cada nivel. Así, como vemos en la fig.III-1, el protocolo IP está en el Nivel 3. En Telecomunicaciones este nivel ofrece por sí mismo escasas garantías de seguridad, ya que permite acceder a cualquier servidor en una red. Un ordenador con TCP/IP puede establecer múltiples comunicaciones simultáneamente, a través de los denominados puertos. Un puerto es como un canal de un televisor: a través de un único cable llegan infinidad de emisiones (según la frecuencia escogida de la señal), de las cuales podemos escoger cuál ver con sólo seleccionar el canal correspondiente (eligiendo una cierta frecuencia). Los puertos están asociados a números como los canales a frecuencias, existiendo puertos destinados a tareas concretas. Así el puerto 80 se emplea para servir páginas web, y el 21 para la transferencia de ficheros. Los demonios (daemon, en inglés) son programas que se encargan de escuchar a través de un puerto en espera de establecer comunicaciones. Así, el puerto 80 tiene un demonio asociado, esperando recibir peticiones de páginas web, para establecer la comunicación solicitada por el usuario. Puerto Servicio 21 FTP 23 Telnet 25 SMTP 43 Whois 80 HTTP 110 POP3 119 NNTP (News) Fig. III-3. Algunos puertos TCP/IP y las funciones asociadas. 46 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 3.5.1 Protocolos de aplicación sobre TCP/IP TCP define una amplia gama de protocolos a nivel de aplicación , los cuales representan puntos débiles en la red IP: • PING: Debido a que este protocolo del nivel IP el módulo servidor se implementa en el sistema operativo, por lo que es la prueba “más baja” para saber si un terminal está conectado a la red, funcionando, incluso si existen servicios basados en TCP de nivel superior no estén funcionando. • TELNET: Es el protocolo estándar para acceso remoto. Corre sobre TCP. Bajo Telnet no se puede dar por hecho que la conexión sea segura. Comúnmente se deberán tratar de implementar mecanismos de seguridad en los niveles de seguridad inferiores, como niveles de transporte o de red. • RLOGIN: Similar a Telnet, Rlogin permite en Unix a un usuario conectarse a otro host a través de una red. Existen versiones para usar autenticación Kerberos, citado más adelante. • RSH: Es un comando de conectividad Unix originado en Berkeley para ejecutar un comando dado en un host remoto, comunicándose con un daemon en éste. • FTP: Es un protocolo cliente-servidor que habilita la transferencia de archivos entre dos computadoras entre redes TCP/IP. • TFTP: Muy similar a FTP, este protocolo simple de transferencia de archivos, se utiliza para transferir código de arranque (boot) a las estaciones de trabajo sin disco. • SMTP: Protocolo básico de transferencia de correo electrónico. De por sí representa numerosas vulnerabilidades, puesto que su contenido puede ser leído por cualquiera, sino se aplican otras capas de seguridad. • KERBEROS. • DNS Name. • NFS. • SNMP: Protocolo básico de administración de red. Presente en todos los sistemas operativos. Últimamente están apareciendo diferentes vulnerabilidades que hacen peligrar el corazón de las administraciones de redes. • PROTOCOLO CHAP: El protocolo CHAP es un sistema empleado para verificar la contraseña de los usuarios que se conectan a un servidor de forma remota. Este sistema guarda los nombres de todos los usuarios que tienen permitido el acceso y sus respectivas contraseñas, y sólo permite completar la conexión en caso de que el ordenador remoto le envíe un nombre de usuario y una clave válidas. • HTTP HyperText Transfer Protocol. En español, Protocolo de transferencia de Hipertexto. Es un lenguaje pensado para mostrar texto con formato (títulos, efectos, tablas, etc.), así como incluir otro tipo de contenidos (imágenes, audio, etc). Tecnología y Seguridad INSEGUROS SEGUROS Telnet SSH FTP SCP TCP HTTPS HTTP IMAP sobre SSL 47 POP3 NetBios Fig. III-4. Protocolos seguros e inseguros. 3.6. Autenticación en la red En el siguiente cuadro se resumen las diferentes tecnologías de autenticación y control de acceso en entorno NT y Unix/Lynux. Algunas de estas tecnologías se explican con más detalle en los siguientes puntos del presente capitulo (certificados digitales y PKI), y con más detalles y ejemplos prácticos en el capítulo sobre seguridad en el comercio electrónico. MÉTODO SEGURIDAD SERVIDOR CLIENTE UTILIDADES Ningún requisito, sólo el poder acceder al servidor Sólo para áreas públicas del servidor que no necesiten aparentemente seguridad Orientado para intranets, directorios corporativos Anónimo Ninguna Tener habilitado el usuario IUSR-host (para NT) Autenticación NT Alta e integrada en Windows Cuentas de usuarios NT Internet Explorer Básico Usuario y contraseña Cuentas de usuarios Ventana de autenticación Kerberos Alta Usuarios y servidores Certificados Muy alta PKI Tarjetas inteligentes Muy alta Software apropiado Biométricas Muy alta Hard y soft Tener instalado el certificado Software apropiado Hard y soft No encripta la información por internet, por lo que debe adaptarse a sistemas apropiados Sistema de seguridad basado en la encriptación que proporciona autentificación mutua entre usuarios y servidores en un entorno de red PKI, aplicaciones de los certificados Seguridad en entornos internos Seguridad en entornos internos Fig. III- 5. Diferentes sistemas de autenticación. 48 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Internet no tiene el equivalente al modelo de “presencia física” para transacciones de crédito que no son tan importantes en el mundo físico. Esto significa que el pago en internet, con tarjetas de crédito está sujeto a alto grado de fraude. Por ello las empresas que emiten tarjetas de crédito cargan altas comisiones en las transacciones que se realizan por internet. El cuadro 3.1 es la teoría de los sistemas de autenticación actuales y que en este punto vamos a estudiar con los servicios ofrecidos por internet. El comercio electrónico requiere de utilización de métodos para el establecimiento de identidades, de sistema de pago y de mecanismos de resolución de disputas legales similares a las tradicionales. La tecnología que debe utilizarse en entornos de negocios a través de la red deberán proporcionar una infraestructura digital de confianza. Para esta infraestructura segura, debemos diferenciar dos grandes grupos, cada uno de los cuales requerirán a la hora de ofrecer sus servicios por internet, sistemas de autenticación y privacidad adecuados al público al que están destinados, la estructura y acceso de los datos y a la calidad de la información que viaja por la red: • Intranets: Normalmente las empresas usan intranets privadas para facilitar las comunicaciones internas entre sus empleados. En este entorno todos los usuarios son conocidos y la autenticación puede realizarse en conexión con procesos establecidos (usuarios para el acceso a la LAN) y a fuentes de datos internos de la empresa (usuarios y contraseñas para acceder a las bases de datos). Fig. III-6. La autenticación básica (usuario-password) resulta ineficiente para sistemas Extranet o B2B. • Extranet entre empresas: En general en los entornos de negocios entre empresas (B2B), donde los valores de la transacciones son más elevados, el riesgo de fraude aumenta drásticamente. Por ejemplo una aplicación internet sobre una VPN que permita a una empresa comprar sus productos conectándose directamente con la planta de su proveedor, requerirá una autenticación apropiada como el uso de un usuario y contraseña personales para el responsable de compras o en algunos casos el uso de certificados digitales para operaciones “delicadas” (certificado digitales para VPNs). • Sitios web de comercio electrónico: La infraestructura del negocio deberá comenzar con conseguir la confianza on-line del usuario a través de un marketing orientado a internet. A partir de aquí disponer de la tecnología y protocolos de seguridad necesarios. Por ejemplo, una típica tienda virtual (abierta a cualquier usuario) donde por ejemplo, podemos adquirir un CD o publicar nuestro CV para que nos encuentren las mejores empresas, requiere pagar con una Tecnología y Seguridad 49 tarjeta de crédito Una compra que requerirá en el pago, un protocolo de comunicación que encripte la información (típicamente SSL). Además el website deberá cumplir la normativa sobre Protección de datos e informar por ejemplo, al usuario de la fi nalidad de los datos que se le piden. Fig. III-7. La autenticación en aplicaciones B2C suele combinar usuario y password y certificados de servidor (SSL). 3.7. Control de acceso El control de acceso constituye una herramienta para proteger la entrada a un sitio web o a una máquina que presta servicios en la red. Esta protección de la información puede ser a la máquina completa, a ciertos directorios o a ciertos recursos o programas. El control de acceso consta de tres fases: 1. La identificación: Identifica al usuario o a la máquina que intenta acceder a los recursos que debemos o intentamos proteger. 2. La autenticación: El sistema que asegura que el usuario o la máquina que accede sea realmente quien “dice” ser. 3. La autorización para el acceso: Una vez el usuario ha sido reconocido o autenticado, el sistema le da privilegios de acceso a ciertos recursos, le dota de autorización de acceso a programas, páginas web, bases de datos, etc. 50 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Fig. III-8. Las medidas biométricas de autenticación son sistemas muy seguros. Entre los que se muestran en esta imagen, la geometría de la mano es la más difícil de “imitar” y por tanto es el sistema de autenticación biométrico más seguro. 3.8. Riesgos para la privacidad y confidencialidad Los riegos o vulnerabilidades en la seguridad de internet deben ser sumados a todos los que hemos citado en la protección de nuestro PC (Capítulo II), además añadimos una serie de posibles riesgos inherentes a internet, en especial aquellos relacionados con la privacidad: 3.8.1. En los ataques de intrusos Los hackers tienen infinidad de sistemas y medios (el mismo internet) para entrar en nuestro PC y en nuestra red. En “Cómo proteger nuestro PC” (capítulo II) hemos estudiado algunos puntos de vulnerabilidades que utilizan estos individuos para atacar los sistemas informáticos. Hacemos mención especial en este punto, a los ataques de negación de servicio, de especial relevancia para servidores de datos, web o de correo electrónico. Los hackers realizan miles de ataques SYN2 al servidor de red y para dificultar la identificación y seguimiento del hacker, cada petición es falseada con una dirección de origen errónea. Cuando un servidor recibe miles de peticiones de este tipo, queda sobrecargado y no puede gestionar las peticiones internas (las “buenas”), por lo que deniega el servicio a los usuarios autorizados. 3.8.2. En los agentes de la comunicación ∑ Los proveedores de servicios Internet (ISP): Estos servidores registran la identificación de la línea de llamada (en caso de ser proveedores de acceso a Internet) y disponen del canal de comunicación: el tráfico de red. Los sistemas internacionales de espionaje Carnivore y Echelon captan en esta etapa (podríamos hacer sólo un libro sobre este tema) el contenido de correos electrónicos y páginas web susceptibles de ser investigados por temas de fraude, pornografía o terrorismo. ∑ Los routers (o encaminadores): ROUTER: La información que se envía a través de Internet se divide en paquetes de datos que viajan por la Red hasta llegar a su destino. 2 SYN: inicios de sesión. Tecnología y Seguridad 51 El recorrido se lleva a cabo, generalmente, en varias etapas, en las que se va decidiendo el camino a seguir. Para ello, se emplean dispositivos llamados routers (en español caminadores o enrutadores). Este dispositivo sabe en qué dirección debe enviar un paquete según su destino. En el siguiente salto se repetirá el proceso, hasta que el paquete llegue a la última etapa, la de la red del receptor, momento en el que la información llega a su destino. En el camino entre antes el proveedor de servicios de internet y el sitio web visitado, el tráfico pasa por varios routers que dirigen los datos entre entre la dirección IP del usuario de Internet y la dirección IP (y nombre de dominio) del sitio web. Respecto al almacenamiento y tratamiento de datos de carácter personal, estos encaminadores se consideran elementos neutrales, aunque se puedan aplicar en ellos recursos destinados a interceptar el tráfico de Internet. Por ello, en estos dispositivos existe un riesgo de interceptación ilegal de información. ∑ Sitios web visitados: El posible tratamiento de datos personales deberá estar adecuado a la normativa pertinente: - Registro de peticiones a otros sitios web. - Registro de visitas realizadas. - Registro de datos personales del usuario (mediante formularios). - Pagos on-line. - Registro de páginas remitentes. - Envío de cookies al disco duro del usuario. - Elaboración de perfiles. - Registro de palabras clave introducidas (en buscadores, peticiones de información, etc) 3.8.3. Derivados del protocolo HTTP Este protocolo presenta una importancia estratégica ya que es el más utilizado en la Web, y puede ofrecer servicios como el correo electrónico, y los foros, que hasta ahora ofrecían los protocolos especializados de alto nivel, POP3, SMTP, o NNTP3. También utilizado por aplicaciones de uso cotidiano por usuarios de Internet, como IRC, Chat e ICQ. ∑ Cabeceras HTTP: En cualquier petición de acceso a una página web se generan cabeceras HTTP, 4 que contienen diversa información del software que tenemos instalado (dependiendo del navegador utilizado), del lenguaje (español, inglés, etc), del sistema operativo, etc. ∑ Links invisibles: Si un sitio web contiene en su código HTML la llamada a una página externa 5 o una imagen de un sitio web publicitario o de cibermarketing, ésta conocerá la página remitente 6 antes de enviar el banner o el código HMTL solicitado. Esto significa que aunque naveguemos por páginas a priori seguras, éstas puede recabar datos de nuestra conexión sin nuestro conocimiento expreso, y lo peor de todo compartirlas por otras. ∑ Acciones de navegación no esperadas: En algunas páginas web, el código HMTL “nos obliga” a visitar sitios web no esperados, que contengan todos estos “inconvenientes”. Este tipo de acciones es normal en 3 DINANT, Jean Marc, Law and technology Convergence in Data Protection Filed?, Proyecto ESPRIT 27028. Definidas técnicamente en le RFC 1945 del estandar HTTP 1.0. 5 A través de <frames> o <iframes> que hacen componer una página en varios “trozos”. 6 Gracias a la variable HTTP_REFERER de la cabecera HTTP. 4 52 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas sitios web de carácter pornográfico o de publicidad agresiva, donde empiezan a aparecer ventanas no esperadas y un día recibimos un e-mail, que no sabemos de donde proviene nuestra dirección de correo, invitándonos con un mensaje muy corto a visitar “chicas dulces a tu gusto”. ∑ Cookies: Las cookies son datos que crea un servidor web y pueden almacenarse en ficheros de texto en el disco duro del usuario de Internet, y de los que el sitio web pueden conservar una copia. Forman parte de la cabecera HTTP y existen dos tipos: las duraderas y las de sesión. Estas cookies aumentan la capacidad de los sitios web de almacenar y personalizar la información sobre sus visitantes. La combinación de estos cuatro factores proporcionan los medios necesarios para elaborar un perfil inteligente de cada usuario de Internet que utiliza un navegador estándar instalado en su sistema operativo y que navega en un sitio web. Este perfil no está vinculado en sí mismo al protocolo http, como ha definido el W3C 7 y representa un peligro evidente para la privacidad de nuestros datos. 3.8.4. Derivados del protocolo TCP/IP 8 ∑ El camino o la ruta que siguen los paquetes TCP/IP es dinámica: Depende más de la congestión de la red, que de la distancia física entre los routers (encaminadores). En el camino de un mensaje correo que se divide en paquetes, podría ser que alguno de ellos pasara por algún país fuera de la UE, donde no hubiera una política de privacidad y protección de datos adecuada. Además, el usuario medio de Internet no dispone de medios técnicos para modificar esta ruta, sí el conocerla (por ejemplo con el famosos programa TraceRoute). ∑ Los servidores DNS: La traducción entre el nombre de dominio y la dirección IP de un web site se realiza en los servidores DNS. A menudo, quienes mantienen estos servidores de nombre de dominio suelen ser los proveedores de acceso a Internet, que disponen de capacidad técnica para conocer mucho más que eso. ∑ La IP del usuario abierta al mundo: Al conectarnos a internet cualquier usuario puede saber si estamos conectados utilizando el comando ping (desde MS-DOS, Uníx, Lynux, etc). No sabremos quien ha podido hacer esta petición ni porqué. Es debido a que el protocolo IP está a nivel 3 (nivel de red en la torre OSI). 3.8.5. Derivados del protocolo FTP En los últimos años, se ha incrementado el debate en torno a los problemas relacionados con el comando PORT del protocolo del FTP. Estos problemas se basan el uso erróneo de dicho comando. Para entender estos ataques, es necesario tener una comprensión básica del protocolo FTP. Un cliente abre una conexión al port (puerto) de control de ftp (21) de un servidor FTP. De este modo, para que el servidor sea capaz luego de enviar datos de nuevo a la máquina del cliente, una segunda conexión (de datos) debe abrirse entre el servidor y el cliente. Para hacer esta segunda conexión, el cliente envía un comando PORT al servidor. Este comando incluye parámetros que indican al servidor cuál IP ADDRESS conectar y qué puerto abrir en aquella dirección. El servidor luego abre aquella conexión, siendo la fuente de la conexión el puerto 20 del servidor y el destino el port identificado en los parámetros del comando PORT. El comando PORT se utiliza 7 El World Wide Web Consortium (W3C) es una organización sin ánimo de lucro, albergada por el INRIA (Francia), el MIT (USA) y la Universidad de Keio (Japón). Microsoft, AOL y Netscape también pertenecen a este grupo. 8 Fuente: Grupo de Trabajo sobre protección de datos del artículo 29 (Directiva 95/46/CE de la UE). Documento 5063/00/ES/FINAL. Privacidad en Internet, 21-11-2000. Tecnología y Seguridad 53 generalmente sólo en el “modo activo” del ftp (por default). No se suele utilizar en modo pasivo (PASV). Debe notarse que los servidores de ftp generalmente implementan ambos modos en ejecución, y el cliente especifica qué método utilizar. Conforme con el protocolo FTP, el comando PORT hace que la máquina que lo origina especifique una máquina de destino y un puerto arbitrarios para la conexión de datos. Sin embargo, esto también significa que un hacker puede abrir una conexión a un puerto del hacker eligiendo una máquina que puede no ser el cliente original. Hacer esta conexión a una máquina arbitraria es hacer un ataque “ftp bounce”. 4. Cómo proteger nuestro ordenador 4.1. Las típicas vulnerabilidades Hagamos un esquema de las vulnerabilidades posibles de nuestro ordenador conectado a la red: 1. Uso por parte de personal no autorizado de nuestro ordenador. Algo evidente que no podemos olvidar y es que nuestro ordenador puede estar en peligro por el uso de otras personas, y no siempre por su mala intención, puede provocar la alteración, pérdida o sustracción de la información que contiene. 2. Configuración de red. Un protocolo es un lenguaje utilizado por nuestro equipo para comunicarse con otros. Siguiendo la estructura OSI, existen dos tipos de protocolos, de red y de transporte 9. Los protocolos se encargan de enlazar servicios (clientes de redes Microsoft, compartir archivos e impresoras con adaptadores hardware (módem, ADSL/cable módem, tarjeta de red local, etc). Fig. IV-1. Enlaces entre servicios de red, protocolos y hardware. El no disponer de una correcta configuración de protocolos (muy en especial en entornos de redes Microsoft), puede poner en peligro la seguridad de nuestra máquina. Normalmente al instalar un sistema operativo todos los protocolos de redes Microsoft (TCP/ IP, NetBios-NetBeui10 e IPX/SPX11) aparecen todos enlazados. 9 Ejemplo: TCP protocolo de red. IP, protocolo de transporte. 10 NetBios NetBeui son protocolos sencillos diseñados por Microsoft para comunicaciones de equipos en redes de área local -LAN- entre 20 y 200 estaciones de trabajo. La tecnología de Windows de redes está basada en estos protocolos. 11 IPX/SPX . Protocolo de red/transporte equivalente a TCP/IP para Redes Novell. 54 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas La incorrecta interconexión entre los servicios de red y los adaptadores hardware pueden provocar puertas abiertas a nuestro sistema, haciéndolo inseguro. 3. Entradas indeseadas por puertos de comunicaciones. Asociados a los servicios de red están los puertos de comunicaciones. Éstos son como las oficinas de una empresa. La empresa es la dirección IP y las oficinas tienen una labor y un número identificativo. Así la manera de entrar a un servidor web será mediante la dirección IP de la máquina (por ejemplo 193.44.67.223) y sobre el puerto 80. El disponer de puertos abiertos en nuestro ordenador (que no deberían estarlo) permitiría “entrar” en nuestro máquina por hackers o curiosos. Fig. IV-2. Consultando la dirección http://grc.com podemos hacer un escaneo de los puertos abiertos de nuestro sistema. Este servicio gratuito en Internet nos avisa de que puertos están abiertos y de los peligros que ello conlleva. En este ejemplo, el sistema detecta que el puerto 80 está abierto (Personal Web server de Windows 98). 4. Tarifa plana e IP fija. Últimamente el mercado al consumidor se inunda de ofertas de tarifa plana, alguna de las cuales asociadas a IPs fijas. Esto tiene un peligro evidente, pues nuestra máquina siempre tendrá el mismo identificativo en Internet, poniendo así más fácil el trabajo de curiosos. 5. Virus. Visitando ciertas páginas web o ejecutando correos electrónicos maléficos pueden provocar la entrada de virus en nuestra máquina si nos disponemos de protección adecuada para ello. 6. Sistema Operativo. Una vez el posible atacante de nuestra máquina ha conocido el terreno identificando el sistema operativo de nuestro terminal (Windows 95/NT/200, Unís, Lynux, etc), podrá aplicar el conocimiento de sus agujeros de seguridad para hacer fiel a su nombre. Utilizando nuestra máquina para esconder su rastro de ataques a otras (más importantes que nuestra máquina), servirse de funcionalidades de nuestra red, etc. Todo el hacking del sistema es difícil de evitar pues “viene incorporado” cuando compramos una máquina que ya viene con un famoso y estándar sistema operativo instalado. Tecnología y Seguridad 55 Otro tipo de vulnerabilidades en el sistema operativo radican en la mala configuración del sistema por parte del usuario. Los sistemas operativos actuales disponen de diversas herramientas para proteger nuestro PC y evitar por ejemplo ataques al sistema que puedan provocar negación de servicios, inutilizando por ejemplo la funcionalidad de un programa residente de correo en un servidor web. 7. Software instalado. Los productos de software basados en comunicaciones están a la escucha de conexiones en puertos específicos en nuestro ordenador. El numero y el tipo de puertos dependen enteramente del software. Nos podríamos quedar sorprendidos de cuantos usuarios disponen de aplicaciones de control remoto sin conocerlo y sin autorización. Las debilidades (hacking del software) que pueden explotar estas aplicaciones de control pueden ser: ∑ Nombres de usuarios y contraseñas sin encriptar. ∑ Contraseñas débiles (utilizando algoritmos fáciles de desencriptar). ∑ Contraseñas conocidas o reveladas (extraídas de otros ficheros de nuestro ordenador). ∑ Perfiles conocidos. 4.2. Las soluciones 1. Uso indebido de la máquina: Solución: Primeramente aplicarnos simples políticas de seguridad: vigilar nuestra máquina y no dejarla en cualquier lado. Si nuestro ordenador lo utilizan diferentes personas la solución se basa en disponer de identificación y autenticación (usuario y password) al comienzo de la sesión de trabajo o en mejores casos disponer de software específico para asegurarnos de un cierto usuario no pueda acceder a ciertos servicios de la máquina, conectarse a Internet, etc. 2. Configuración de red: Solución: El protocolo TCP/IP correspondiente a cada adaptador hardware no debe tener enlazado ningún cliente de red; esta es la premisa más importante para evitar que un atacante entre en nuestro PC utilizando NetBios. Hay que eliminar, por tanto, los enlaces correspondientes en cada una de las entradas que comiencen por TCP/IP. En el siguiente esquema mostramos la correcta configuración adecuada de los enlaces entre protocolos, servicios de red y componentes hardware: Compartir archivos e impresoras Clientes de redes Microsoft TCP/IP Acceso telefónico a redes NetBeui ADSL/Cable módem IPX/SPX Adaptador de red local Fig. IV-3. La mejor y más flexible configuración es ésta utilizando sólo TCP/IP para internet 56 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 3. Puertos de comunicaciones: Solución: Una medida básica es conocer qué puertos tenemos, cuales están abiertos, porqué y cuales pueden traer problemas de seguridad. Para ello podemos disponer de herramientas de escaneo de puertos y después de averiguar cuáles debemos no abrir bloquearlos o utilizar firewalls para ello. Un puerto típico que nos puede traer problemas es el puerto 139 asociado al protocolo NetBios de Windows. Es el protocolo TCP/IP asociado al servicio de red compartir archivos e impresoras. Esta facilidad de compartir recursos de nuestra máquina la hace totalmente vulnerable ya que con simplemente conocer nuestra dirección IP podría utilizar nuestra máquina como transporte de ataque a otros o simplemente como objetivo primero. Esta medida de seguridad viene a ilustrar la solución que dábamos anteriormente para configuración de red en ordenadores con sistemas operativos Windows: Fig. IV-4. El puerto 139 está asociado al protocolo TCP/IP sobre el servicio de red “Compartir archivos e impresoras”. Se recomienda no enlazarlos para el acceso telefónico a redes, ya que podría provocar entradas indeseadas en nuestra máquina desde Internet. 4. Tarifa plana e IP fija: Solución: Al conocer con detalle estas últimas problemáticas y sus soluciones, nos podemos dar cuenta que estar conectado a internet con IP fija, aumenta la posibilidad de ataques. Por ello los ISP (proveedores de acceso internet), ya no suelen dar IPs fijas para sus clientes de tarifa plana, aunque conviene saber que si no desconectamos nuestro sistema de la red, ésta mantendrá nuestra IP y por ello la facilidad de encontrarnos algún hacker. 5. Virus: Solución: Es muy simple, disponer de un software antivirus actualizado y seguir una serie de normas que explicamos con detalle en el capítulo VIII Las amenazas de los virus. 6. Sistema operativo: Solución: Conocer las vulnerabilidades de los sistemas operativos y actualizarlos con los parches oficiales que editan los fabricantes. Disponer de licencias oficiales de los sistemas operativos ayuda sin duda, a disponer de las últimas versiones. 7. Software instalado: Solución: Disponer de un firewall personal para filtrar qué sale de nuestro ordenador y qué entra es una solución básica y perfecta para controlar cuando nuestros programas se conecten a la red sin nuestro consentimiento. Tecnología y Seguridad 57 5. Criptografía, Certificación y PKI 5.1. El círculo de confianza La seguridad integral en la red se centra en ofrecer un círculo de confianza entre todas las posibles partes de una comunicación electrónica, por ejemplo: 1. Comunicación entre dos usuarios, a través de correo electrónico, ICQ, chat a través de web, consolas UNÍX, etc. 2. Comunicación entre un usuario y un servicio en internet, ofrecido por un website (ecommerce o B2C). 3. Comunicación entre oficinas remotas (redes locales, VPNs, etc). 4. Comunicación de una empresa con sus clientes y usuarios potenciales que se puedan conectar a su sistema informático (a través de web, aplicaciones cliente/servidor a través de la red, e-mail, ftp, telnet, etc). Fig. V-1. El círculo de confianza en la red. En este círculo de confianza todas las partes que intervienen necesitan para la confianza que su comunicación que se cumplan las claves de seguridad (interior del círculo). Crear esta estructura donde se ven involucrados todos los agentes de internet (incluido las personas y las organizaciones) es el reto de las Nuevas Tecnologías, donde actualmente la PKI (Infraestructura de clave pública) se ofrece como alternativa global de seguridad. En los siguientes puntos estudiaremos la criptografía como medio de encriptar la información que viaja por la red, la firma digital para asegurarnos de la entidad del emisor y receptor de una comunicación y por último los certificados digitales y la PKI, como finalización del objetivo de este ideal círculo de confianza de seguridad. 5.2. Criptografía y encriptación Etimológicamente, las raíces de la palabra criptografía provienen de las palabras griegas kriptos, que significa ‘oculto’, y graphos, que significa ‘escritura’. Podríamos definir la criptografía como el arte o ciencia cuya finalidad es proteger la información alterando su representación de forma que resulte enigmática e incomprensible. Existen una serie de términos asociados a la criptografía cuya definición es preciso conocer para un completo entendimiento de la materia: 58 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas ∑ Criptografía: Criptografía es la ciencia que tiene como objetivo proteger la información por medio de un cifrado. ∑ Criptoanálisis: Criptoanálisis es la ciencia cuyos fines son justamente los opuestos a los de la criptografía: desencriptar los criptogramas y acceder de manera ilegítima a la información contenida en los mensajes mediante ciertas técnicas. ∑ Criptología: La criptología comprende el conjunto de ambas ciencias, criptografía y criptoanálisis. ∑ Clave: La clave puede ser un número, palabra o frase, dependiendo del sistema de cifrado, en función de la cual se cifra el mensaje en claro. El tamaño de la clave en los sistemas informáticos se expresa normalmente en bits y en función de un tamaño n se obtiene el número de posibles claves según la fórmula: claves = 2 n. El tamaño de clave es un factor decisivo en la seguridad de un cifrado: Cuanto mayo sea n mayor será la seguridad de la encriptación, pero en detrimento será más costosa la operación de procesado del texto cifrado (mayor requerimientos de hardware y software). La criptografía es probablemente tan antigua como la propia escritura. A lo largo de la historia ha sido empleada por diversas civilizaciones, casi siempre para guardar secretos de estado o de carácter militar. De hecho, los primeros usos de la criptografía de los que se tiene constancia se hicieron en las guerras entre Atenas y Esparta (siglo V a.C.) y durante la época de Julio César (siglo I a.C.). En esta tercera generación donde Internet es el epicentro y el canal de todas las comunicaciones, la criptografía define dos divisiones, que se corresponden a dos filosofías distintas: ∑ Criptografía de clave privada o simétrica: se utiliza la misma clave para cifrar y descifrar un mensaje y su seguridad reside en mantenerla en secreto. ∑ Criptografía de clave pública o asimétrica: en este caso se emplean dos claves distintas para cifrar y descifrar un mensaje y su seguridad reside en mantener en secreto la de descifrado. La encriptación utiliza la criptografía para poder cumplir cada uno de las aspectos básicos de la seguridad. El proceso de encriptación o cifrado es un mecanismo matemático, habitualmente en encriptación hablaremos de algoritmos. Éste puede ser realizado por un programa (software) y en algunos casos por dispositivos físicos (hardware). En los procesos de encriptación y desencriptación se necesitan claves secretas (conocidas únicamente por algunas de las partes de la comunicación) o públicas (conocidas por todos ellos). Los métodos de encriptación que se utilizan actualmente son: 5.2.1. Encriptación simétrica La clave secreta con que se encripta el mensaje es la misma con la que se desencripta. El uso de una misma clave para cifrar y descifrar la información es la manera más simple para encriptar, por ejemplo, un mensaje de correo electrónico. El agente emisor que pretende enviar un mensaje encriptado a un agente receptor debe enviar éste la clave de encriptación mediante algún mecanismo seguro. Estos sistemas son mucho más rápidos que los de clave pública, y resultan apropiados para el cifrado de grandes volúmenes de datos. Ésta es la opción utilizada para Tecnología y Seguridad 59 cifrar el cuerpo de los mensajes en el correo electrónico o los datos intercambiados en las comunicaciones digitales. Los algoritmos más utilizados son: ∑ DES (Data Encription Standard): Algoritmo basado en encriptacióp de paquetes de 56 bits. Está regulado por leyes de seguridad de EE.UU. ∑ Triple DES: Se trata de una evolución del DES. El triple DES por su propio nombre cifra la información a 128 bits y por tanto será más seguro de descifrar que el primero, siendo totalmente compatible con éste. ∑ RC4 (Rivest’s Code 4): RC4 es un algoritmo de cifrado de flujo de clave de tamaño variable. RC4 es un algoritmo que se utiliza en diversos productos comerciales, como Lotus Notes y Oracle secure SQL. ∑ IDEA (International Data Encription Algorithm): Está siendo utilizado en sistemas europeos de alta seguridad. ∑ CAST: Algoritmo que utiliza un tamaño de bloque de 64 bits utilizando la clave de encriptado/ desencriptado también de 64 bits. ∑ Skipjack: Skipjack es un algoritmo secreto desarrollado por la NSA (National Security Agency, Agencia Nacional de Seguridad de los EE.UU.) para implementación hardware. Es un algoritmo del que no se conocen detalles, por estar evidentemente clasificado. La clave que utiliza tiene un tamaño de 80 bits. ∑ Blowfish: Es un algoritmo de cifrado de bloque muy rápido, compacto (puede funcionar con solamente 5 Kb de memoria) y la clave que utiliza es de tamaño variable de cómo máximo 448 bits. 5.2.2. Encriptación asimétrica El sistema actual de encriptamiento asimétrico más usado es el denominado de clave pública RSA. Desarrollado en 1977 por Rivest, Shamir y Adleman en el MIT. Su teoría matemática no es muy compleja, y conceptualmente es sencillo de entender. ∑ Se usan dos claves: ∑ Una Clave Privada (el dueño debe mantenerla en secreto, es su responsabilidad). ∑ Una Clave Pública, que el dueño comparte con quienes intercambia información. ∑ La función de encriptación, que transforma el documento original en un documento indescifrable, cumple: ∑ El documento encriptado con la clave privada solo puede ser descifrado con la clave pública. ∑ El documento encriptado con la clave pública solo puede ser descifrado con la clave privada. Este esquema permite confidencialidad e inclusive verificar la identidad del EMISOR. Si EMISOR y RECEPTOR usan este esquema para el intercambio de datos se logra privacidad y autenticidad. Se tiene un canal seguro para la comunicación de datos. 60 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Fig.V-2. Encriptación asimétrica: Para encriptar un mensaje el EMISOR encripta el mensaje con la CLAVE PÚBLICA del RECEPTOR. Para desencriptar o descifrar el mensaje, el RECEPTOR debe aplicar su CLAVE PRIVADA. Recuerde La finalidad de la ENCRIPTACIÓN es que el emisor envíe un mensaje que exclusivamente el receptor pueda leer: • Encriptación simétrica cuando se emplea la misma clave en las operaciones de cifrado y descifrado, se dice que el criptosistema es simétrico o de clave secreta. • Encriptación asimétrica Cuando se utiliza una pareja de claves para separar los procesos de cifrado y descifrado. Una clave, la privada, se mantiene secreta, mientras que la segunda clave, la pública, es conocida por todos. 5.3. Firma electrónica Sabemos quien es el autor o el responsable de un documento escrito en papel verificando la firma al pie del mismo. Normalmente todo documento escrito en papel está firmado por su autor, o por las personas que son responsables y están aludidas en dicho documento. En forma similar un documento electrónico necesita la firma electrónica o digital del autor. La firma electrónica es por tanto como una huella digital de un documento encriptada con la clave privada del autor. ∑ Un mensaje electrónico fi rmado digitalmente no le deja dudas al receptor, sobre quien es el autor. ∑ Una vez estampada o aplicada una firma digital, el titular no la puede desconocer. ∑ Cuando un documento es fi rmado digitalmente, se puede verificar y autenticar. ∑ Integridad: La huella digital como código verificador, permite comprobar la integridad del documento, que no haya sido alterado. ∑ Autenticar: La fi rma electrónica es un bloque de caracteres que acompaña a un documento o fichero acreditando quien es el autor (autenticar). Tecnología y Seguridad 61 ∑ No Repudio. En el proceso de encriptación del mensaje el autor utiliza su clave privada, por lo que impide que luego pueda negar su autoría. Tanto en las firma digital como en los certificados digitales se utilizan dos juegos de claves, en lugar de sólo uno. Ello obedece a que la utilización de claves distintas para encriptar y firmar, refuerza la seguridad del sistema. Cuando se firma electrónicamente un mensaje, se utiliza la clave privada de autenticación para generar la firma digital y que se adjuntará al mensaje. Cuando se encripta este mensaje que quiere enviar el emisor, se utiliza la clave pública de encriptación del receptor. Sólo el receptor podrá desencriptar el mensaje, gracias a la clave privada de confidencialidad. Visto de manera esquemática, el proceso en el emisor, para obtener el mensaje encriptado con la firma electrónica adjunta, es el siguiente: Fig. V-3. Proceso desde el emisor para obtener su mensaje encriptado con firma digital. CÉSAR ∑ César conoce la clave pública de María. ∑ César quiere recibir un texto fi rmado de tal forma que tenga la seguridad de que el texto, tal y como lo recibe sólo ha podido ser enviado por María (CONFIDENCIALIDAD). ∑ Aunque un tercero pueda manipular el texto, César al verificar la firma, que el texto no es el mismo que envió María (INTEGRIDAD Y AUTENTICACIÓN). ∑ César podría probar ante terceros que el texto que tiene en su poder ha sido enviado por María (NO REPUDIO). En este esquema intervienen los siguientes nuevos agentes: ∑ Funcion hash: Función criptográfica que cuando se aplica a un texto lo reduce a un tamaño fijo. ∑ Mensaje digest: 62 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Versión reducida del mensaje que encriptado con la clave privada del emisor se obtiene la firma digital. En el proceso de desencriptación el mensaje digest deberá ser el mismo. La autenticidad de la firma electrónica se verifica a través de dos fases mediante la función hash y el mensaje digest: 1. Comprobación de que el certificado fi rmante no ha sido manipulado. Para verificar la autenticidad del certificado fi rmante: a. Se obtiene un resumen de los datos del certificado C con un algoritmo (MD5–SHA1). b. Se descifra la fi rma que realizó la CA cuando concedió el certificado con la clave pública de la FNMT. c. Si el resultado de a) y b) es el mismo, se tiene la certeza que el certificado de usuario no ha sido manipulado y la clave pública del signatario del mensaje es la que se generó en la petición del certificado. ∑ Comprobar la autenticidad de la firma. Los datos que intervienen en el proceso de verificación de firma son: 1. Mensaje con los datos que se fi rmaron. 2. Los datos de la propia fi rma electrónica. 3. Parte pública del certificado fi rmante. Para verificar la autenticidad de la firma: a. Se obtiene un resumen del mensaje A con un algoritmo (MD5 – SHA1). b. Se descifra la firma B con la clave pública del signatario validada en el proceso 1. c. Si el resultado de a) y b) es el mismo, se tiene la certeza que el certificado de usuario no ha sido manipulado y la clave pública del signatario del mensaje es la que se generó en la petición del certificado. Recuerde La finalidad de la Firma Electrónica es que el emisor sea reconocido por el receptor del mensaje como el autor del mismo. 5.4. Certificados digitales Un certificado digital es un contenedor de datos que alberga identidades (por ejemplo de una persona, sus nombre, dirección e mail) con un par de claves encriptadas públicas y/o privadas. Los certificados se usan en una gran variedad de contextos de seguridad en red para establecer la autenticación y privacidad entre usuarios de red y usuarios de aplicaciones. La diferencia entre la firma y el certificado digital reside en que éste último es una especie de DNI electrónico con el que además de firmar, se encripta el documento electrónico por una Autoridad de Certificación (CA). Los certificados digitales forman la estructura tecnológica más avanzada y son soportados por casi todos los protocolos de internet y aplicaciones en red. Tecnología y Seguridad 63 CERTIFICADO DIGITAL Tipo de certificado Número de certificado Algoritmo de la firma digital del titular Fecha de inicio y caducidad TITULAR CLAVE PÚBLICA DEL TITULAR Autoridad de certificación Identificador del Titular Fig.V-4. Estructura de un certificado digital. El certificado digital proporciona absolutas garantías de seguridad respecto a las cuatro claves fundamentales: ∑ Autenticar si quien envía el mensaje al que se adjunta el documento es efectivamente quien dice ser. ∑ La Integridad de la transacción garantizando que el mensaje (la transacción), no ha sido manipulada. ∑ La Confidencialidad de la comunicación, permitiendo el acceso de lectura de la misma solamente a aquellos que hayan sido previamente autorizados. ∑ El no-repudio, asegurando que el mensaje (la comunicación, la transacción), una vez aceptada no puede ser rechazada por negar su origen. La función principal de un certificado es asegurar la validez de una clave pública. Es por tanto, muy importante estar realmente seguros de que la clave pública que manejamos para verificar una firma o cifrar un texto, pertenece realmente a quine creemos que pertenece. Tipos de CERTIFICADOS ∑ Certificado de servidor: Se instala en el servidor por ejemplo para establecer el protocolo seguro SSL, que permite que los datos entre el cliente y el servidor (entre el usuario y el proveedor) viajen por la red encriptados. ∑ Certificados Personales: Sirven para autentificar, firmar y encriptar un archivo. Un ejemplo son los certificados emitidos por la FNMT que sirven para realizar ciertas operaciones con la Agencia Tributaria para pagar o cobrar la declaración de Renta o a la Seguridad Social a través del sistema RED por internet. ∑ Certificados para VPNs: Permite la autentificación de un usuario que se conecta a lo servicios de una VPN, red privada virtual, una red interna, donde los empleados o proveedores que la utilizan deben ser reconocidos por el sistema. ∑ Certificados para WAP: Localizado en el proveedor de servicios o en dispositivos inalámbricos. Permite firmar digitalmente los pedidos a través del móvil. 64 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 5.5. Certificación y PKI 5.5.1. La infraestructura de clave pública Imaginemos un grupo de usuarios que se quieran intercambiar mensajes encriptados con sistema de clave pública y privada. AL existir múltiples pares de claves para mantener comunicaciones distintas con grupos diferentes resulta esencial plantear un método para administrar y controlar su utilización. Nace aquí la PKI, Infraestuctura de clave pública. En octubre de1995 se constituyó un grupo de trabajo denominado PKIX Working Group con la intención de desarrollar estándares en Internet para poder soportar PKIs. Uno de los primeros trabajos de este grupo fue la recomendación emitida por la ITU-I sobre los certificados X.509. Actualmente este grupo sigue trabajando en trabajos y en enero de 2001 se hizo público un documento titulado como “Internet X.509 Public Key Infraestructure Roadmap”, en el cual se define una infraestructura de clave público como el conjunto de hardware, software, personas, políticas y procedimientos necesarios para crear, gestionar, almacenar, distribuir y revocar certificados digitales basados en clave pública: es decir, el auténtico corazón de la PKI, sus funciones y obligaciones. Fig. V-6. EL Círculo de confianza y el papel de la PKI. Hablar de PKI, como bien resume su acrónimo, es hablar de clave pública. Como hemos estudiado, los sistemas de encriptación de clave pública funcionan con dos claves: una clave pública utilizada para encriptar el mensaje, y otra clave privada, utilizada para desencriptarlo. La clave privada evidentemente debe mantenerse en secreto, mientras que la pública debe estar accesible al público, normalmente alojada en una web o en un directorio de claves. En una PKI este directorio de claves suele ser una aplicación Internet donde acceder a todas ellas: Fig. V-7. Listado de claves públicas en PGP. Tecnología y Seguridad 65 Debido a este inconveniente en la gestión de claves públicas para conseguir una credibilidad e integridad del sistema hace falta un marco legal y técnico para que el sistema de encriptación pueda funcionar de forma eficaz: la PKI. La función principal de una PKI es crear confianza entre las partes que intervienen en las comunicaciones y transacciones On-line, comerciales (B2C) legales, empresariales (B2B). Estas funciones giran desde tres factores: tecnológicamente, factores de negocio y factores legales. Recuerde La PKI es la infraestructura que gestiona las claves y certificados para personas, programas, y sistemas. La Infraestructura de Clave Pública deberá suministrar mecanismos de autenticación, integridad, confidencialidad y no repudio entre todas las partes. Los componentes esenciales de una PKI son: ∑ Autoridad de certificación (CA), entidad que emite los certificados digitales alojados en el servidor web o en el terminal cliente. ∑ El directorio que contiene las claves públicas y los certificados (ver figura IV-7). PKI debe implementar un repositorio central donde se almacenan y se consultan los certificados. Además almacena las denominadas Listas de Certificados Revocados (CRL). ∑ El management de la infraestructura que marca y establece la Política de seguridad de la PKI. ∑ Key Recovery Service (Servicio de recuperación de claves) que se debe utilizar cuando se pierde una clave. ∑ Autoridad de Registro (RA). Proporciona el interfaz entre el usuario y al CA, capturando y autenticando la identidad de éstos, además de entregar la solicitud de certificados a la CA. La calidad en este proceso de intercambio de identidades (CA-RA) establece el nivel de confianza que puede otorgarse a los certificados. 5.5.2. Autoridades de certificación En la emisión de los certificados, las Autoridades de Certificación, CA, deben: ∑ Aceptar una solicitud de certificado. ∑ Comprobar la información del solicitante, de acuerdo con la directiva de la entidad (plasmada en la política de seguridad de la PKI). ∑ Utilizar su clave privada para aplicar su fi rma digital al certificado. Las Autoridades de Certificación son la base de confianza de una PKI, ya que gestionan los certificados de clave pública durante toda su vida, ya que: ∑ Emiten los certificados vinculando la identidad del usuario a una clave pública con su fi rma digital. ∑ Incluyen los certificados emitidos en el directorio (o repositorio). ∑ Programan las fechas en las que expiran los certificados. ∑ Garantizan que los certificados se revocan cuando son necesarios. ∑ Publican las listas de revocación de certificados, CR. Además, pueden asumir responsabilidades sobre el uso de los certificados, como podría ser el caso de la FNMT17 que emite certificados para trabajar con la Agencia Tributaria y la Seguridad Social, donde la CA juega un papel de Entidad pública de certificación. 17 La Fábrica Nacional de Moneda y Timbre, la misma entidad que fabrica los Euros. 66 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Los certificados emitidos por las CAs pueden clasificarse, según los siguientes criterios: ∑ Objeto de la certificación: Podría ser únicamente la firma digital, identificación y autenticación para pago en comercios electrónicos. ∑ Aplicación: Correo electrónico, pagos seguros, servicios web, movilidad y m-commerce, acceso remoto a intranets, etc. ∑ Tipo de identidad: En el caso de certificados de identidad, éste puede ser un ciudadano, una organización, un sistema informático, etc. ∑ Nivel de garantía: Un ejemplo de esta clasificación son los distintos certificados que emite la FNMT. Esta entidad pública emite tres tipos de certificados: ∑ FNMT clase 1 CA. ∑ FNMT clase 1S CA. ∑ FNMT clase 2 CA. Para, por ejemplo, identificar el nivel de garantía que ofrece cada certificado, y según el cual sea el cual una aplicación puede aceptarlo o no, se definen clases, o niveles, a los que se asignan los certificados emitidos. Cada uno de estos certificados estas destinados a distintas aplicaciones que por su naturaleza requieren un nivel mayor o menor de seguridad o menor. 5.5.2.1. Tipos de entidades emisoras de certificados Los tipos de entidades emisoras de certificados son: ∑ Entidad emisora de certificados con autofirma: La clave pública de certificado y la clave utilizada para comprobar el certificado son la misma. ∑ Entidad emisora de certificados subordinada: La clave pública del certificado y la utilizada para comprobar los certificados son diferentes. Este proceso, donde una entidad emite un certificado a otra entidad emisora, se conoce como certificación cruzada. ∑ Entidad emisora de certificados de certificados raíz: El cliente confía plenamente en una entidad emisora de certificados raíz, que ocupa es escalafón más alto en una jerarquía de certificados. 5.5.2.2. Jerarquías de entidades raíz Un administrador puede crear una jerarquía de entidades emisoras de certificados comenzando por un certificado de entidad emisora raiz, y a continuación, ir agregando entidades intermedias que emitirán certificados a entidades subordinadas. La cadena de Cas termina cuando una entidad emite un certificado a un usuario final. Una jerarquía CA es una estructura de fiabilidad por la cual una CA se ubica en la parte superior de la estructura y hasta x capas de CA subordinadas se ubican por debajo de ella. Cuando los usuarios o los servidores se registran en una CA, reciben un certificado firmado por la CA y heredan la jerarquía de certificación de las capas superiores. En una estructura PKI, una CA puede configurarse para formar parte de una jerarquía interna, ascendente o descendente. Tecnología y Seguridad 67 Fig. V-8. Jerarquías en las CAs. 5.5.3. Aplicaciones de la PKI La PKI posibilita que dos personas o entidades se comuniquen de forma segura sin necesidad de conocerse o que exista una relación de confianza electrónica. Esto es posible por la figura de la Autoridad de Certificación, CA, que gestiona los usuarios, las claves y los certificados. Todas aquellas aplicaciones que requieran comunicaciones seguras entre dos partes (conocidas o no), serán potencialmente aplicaciones posibles de PKI: ∑ Redes virtuales privadas (VPN): La PKI permite a las empresas y organizaciones crear redes privadas seguras dentro del ámbito de Internet. El estándar en este ámbito es el Internet Protocol Security (IPSEC), que sirve para asegurar la red privada en lugar de las aplicaciones. ∑ E-mail seguro: La utilización de tecnología de clave pública en el correo electrónico permite que el envío de la información pueda realizarse de forma más segura utilizando para ello el protocolo S/MIME. ∑ E-Commerce: Aprovechar Internet para el desarrollo del comercio electrónico es quizás el objetivo principal de las claves públicas. Los protocolos utilizados en las transacciones On-line son el SSL y el SET: ∑ ∑ o Servicios de banca a distancia. o Compra-venta-marketplaces. o Servicios B2b en el ámbito del e-Procurement (ventas a proveedores). Software seguro: o Firma del software (authenticode). o Descarga de software seguro. o Sistema de archivos encriptados NTFS de Windows NT/200/xp (sistema EFS). Servicios públicos en Internet: La administración pública, la AEAT, la Seguridad Social, dispone con la PKI, una herramienta de comunicación con el ciudadano, en la que otros organismos, como por ejem- 68 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas plo Tráfico, el Gobierno, etc pueden aprovecharse de las CA, como la FNMT, y crear así una aplicación útil y directa para el ciudadano. Otros ejemplos pueden ser la PTT Post (servicios postales de Holanda) o la UPU en Suiza, donde se garantiza la seguridad de mensajes EDIFACT referidos a transferencias de fondos entre organismos postales nacionales. 5.5.4. Utilización de una PKI El proceso para que un usuario requiera entrar en una PKI y acceda a un servidor seguro de esta infraestructura es el siguiente: 1. El usuario pide un certificado digital a la Autoridad de Registro, AR. 2. La Autoridad de Registro, RA, verifica la identidad de un usuario pidiendo a la Autoridad de Certificación, CA, que emita el certificado. 3. La Autoridad de Certificación, CA, expide este certificado almacenándolo en el directorio y enviando una copia al usuario. A partir de aquí el usuario ya está en disposición de utilizarlo: 4. El usuario accede a un servidor seguro con su certificado personal previamente obtenido mediante peticiones a la AR (y ésta a la AC). 5. El servidor seguro se comunica con el usuario mediante su certificado de servidor. 6. El usuario y el servidor validan los certificados (comprobándose en el directorio de certificados). Una vez que esta comprobación se haya validado, la autenticación se habrá completado y el usuario tiene permiso de acceso al servidor. 5.5.5. Presente y futuro de la PKI Actualmente existen diversas aplicaciones PKI en Internet, todas ellas propietarias de un sistema de relación B2B o B2C. Montar una PKI no es un proceso fácil, requiere tecnología, hardware, software, bases de datos y gestión contínua. Al haber diferentes PKI instauradas, existen diferentes CAs y RAs que autentiquen sus usuarios y certificados. Cuando estas entidades sean capaces de entenderse entre sí, estaremos hablando de la consolidación de la PKI como estructura básica de seguridad en el comercio electrónico a escala global. 5.5.6. Certificación electrónica en España ∑ Agencia de Certificación Electrónica (ACE): http://www.ace.es ∑ Cámaras de Comercio (España): http://www.camerfi rma.com ∑ FNMT. Entidad pública de certificación (AEAT, Seguridad Social, ayuntamientos, etc), http://www.fnmt.es ∑ TRUSTe: http://www.truste.com ∑ JurisNET: http://www.jurisnet.ch ∑ FESTE: http://www.feste.es Recuerde Una infraestructura de clave pública es el conjunto de todas las tecnologías que aplicadas a procesos de negocio en una organización, permiten establecer el adecuado marco de seguridad para el desarrollo de transacciones comerciales a través de Internet o entre intranets corporativas. Tecnología y Seguridad 69 6. Los riesgos en Internet: virus y hackers 6.1. Virus 6.1.1. Definición de virus Los virus son pequeños programas diseñados y escritos intencionadamente para instalarse ejecutarse en ordenadores sin el conocimiento del usuario que se lo utiliza. Su funcionamiento maléfico se basa en el hecho que se reproduce y se propaga y transmite terceros ordenadores gracias por ejemplo a Internet. Los virus infectan archivos de ordenadores y ejecutan procesos sobre ellos. Cuando un archivo de un ordenador es infectado y se ejecuta (normalmente sin intención explícita por parte del usuario), éste se transmite a otros archivos y se propaga sin control, enviando por ejemplo archivos infectados a otros usuarios vía correo electrónico (el caso del famoso I love you). 6.1.2. El peligro de Internet Los primeros registros que se tiene constancia de programas dañinos constan de 1937, donde en la Universidad de Delaware se propago un virus que hacía cambiar el nombre del prompt (C:) del sistema operativo de la red universitaria. Desde entonces, programadores de software han utilizado los lenguajes Pascal, C o Ensamblador para diseñar sus “programas”. Hoy en día, debido al auge de Internet y a los entornos de programación asociados a la web y al e-mail, es más fácil programar virus: el lenguaje JAVA y los lenguajes SCRIPT (VBasic, JavaScript) permiten ejecutar ordenes peligrosas en paginas HMTL o correos que un usuario puede visitar a recibir sin sospechar de su efecto. Internet por tanto ha hecho crecer los medios de propagación y transmisión de los virus, que antes sólo se propagaban a través de dispositivos de almacenamiento. Los medios son las herramientas de la red: las páginas web que soporta cada día más lenguajes y programas plug-ins, el correo electrónico, el ICQ, el CHAT y el IRC. Este peligro evidente en las empresas hacen indispensable tomar medidas que se basan en disponer de un programa Antivirus de calidad con los servicios de mantenimiento en regla. 6.1.3. Tipos de virus • Virus sobre VAX/VMS: Diseñados para ser ejecutados en entornos de estos sistemas operativos. Estos son los primeros y más antiguos virus entre los que destacan el CHRISMAT LETTER. • Puertas traseras: Conjunto de instrucciones dentro de un programa o sistema operativo que permiten su acceso sin dejar rastro en los controles de seguridad o auditoría. Denominados puertas traseras pues son diseñadas expresamente por programadores expertos. • Macrovirus: Diseñados para infectar programas muy populares como el Word, Excel, Adobe Acrobat. Ejemplos famosos son los virus MELISSA o el ETHAN. • Caballos de Troya (o troyanos): Programas que a primera vista son útiles, pero que esconden código no esperado y generalmente maléfico. Ejemplos son el NETBUS y el BACK ORIFICE. • Bombas lógicas: Código indeseable que se ejecuta en aplicaciones de uso cotidiano según ciertas acciones o circunstancias (por ejemplo un código de teclas). Ejemplos son el VIERNES 13 y el MIGUEL ANGEL. 70 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas • Bacterias: Son programas que se replican a sí mismo continuamente hasta detener el sistema del ordenador, bien por memoria, CPU o tamaño del disco duro. • Virus de código script: Las páginas HTML y los mensajes de correo-e pueden ser contendores de peueños programas escritos en lenguaje script de cliente (se ejecutan en el ordenador de un usuario que se conecta a un cierto sitio web o recibe un peligroso mensaje). La ejecución de estos programas (y que el usuario no controla puede tener resultados desastrosos. Son ejemplos relevantes los virus AVM, INTERNAL y el famoso I LOVE YOU. • Virus sobre Java: No tan famosos como los virus de script, pero más dañinos pues el lenguaje JAVA permite más interacción con el sistema. Ejemplos destacados son los virus BEANHIVE y el STRANGEBEAN. • Gusanos: Los gusanos utilizan las redes para propagarse y reproducirse. Diseñados al principio para reproducirse a través del correo electrñonico, los gusanos escudriñan las tablas de ruta de los ordenadores y servidores de red, las listas de correo para copiarse a sí mismo y propagarse por ellas. El peligro consiste en que está distribución del programa infectado puede ser exponencial, como una reacción en cadena. De esta manera es posible infectar en poco tiempo una MAN completa. Esta propagación no sólo se realiza a través del email, sino a través de LOGINs en sistemas, conectándose el gusano como usuario en otros sistemas y una vez en ellos, propagándose en otros, mediante esta u otra manera. Ejemplos de estos virus son el SIRCAM, el LOVETTER y el MAGISTR. • HOAX: Los HOAX no propiamente virus. Traducidos al castellano, bulos o engaños. Son mensajes –normalmente a través del email– que nos informan de falsos virus o amenazas. Son textos que aparentemente serios asociados a alguna empresa de renombre en el mundo de la informática IBM, AOL, Microsoft, etc y que bajo contenido normalmente catastrófico pretende crear miedo entre los usuarios. Un ejemplo es un mensaje recibido por muchos usuarios que invitaban a escribir en el WORD la frase Q33 NY y pasando la fuente la letra a Windings. El falso mensaje es que Q33 NY era el código de vuelo de uno de los aviones del 11 sept. Pasando este texto a la fuente citada se pegará un buen susto (Q33 NY). La mentira: Q33 NY no era realmente el código de vuelo. 6.1.4. Evitar sus peligros • Programas de antivirus: La norma primera y evidente es disponer en nuestro ordenador personal y en nuestra red corporativa de una programa Antivirus adecuado a nuestras necesidades con el consecuente servicio de mantenimiento que nos actualice el programa de defensa para los virus recientes aparecidos. En este sentido cabe mencionar que para proteger una red de ordenadores se necesitan programas diferentes que para un portátil. • Actualización del antivirus: Actualizar los programa de antivirus al menos cada diez días. Todos los programas de antivirus disponen de servicio de actualización automática por internet. Tecnología y Seguridad 71 Existen numerosos recursos en Internet para conocer lo último en virus. En el ejemplo se muestran los virus más atacados en las últimas 24 horas en la zona del sur de Europa (www.trendmicro.com). • Escaneos periódicos: Realizar escaneos de los discos duros y ordenadores de la red con cierta periodicidad. • Instalación de programas: Vigilar qué programas se instalan en los ordenadores. Internet es una fuente de programas de cualquier origen que no podemos fiarnos de su seguridad. • Servidores de correo electrónico: Si en nuestra empresa se dispone de servidores de correo, este programa deberá disponer de programas de seguridad añadidos para evitar que entren correos con códigos Script o ActiveX dañinos. • Programas de correo: Modificar las características de los programas de correo para por ejemplo, no ejecutar los emails nada más llegar, sino después de aceptarlos (evitando así una posible infección). En este sentido, existen añadidos de los programas de antivirus para proteger especialmente el Eudora, Lotus Notes y MS Outlook, puerta de entrada para los virus de los últimos años. Antes de todo vigilar que programas se van a aceptar: mensajes pornográficos, ejecutables, etc. Existen archivos altamente peligrosos que lo mejor es no abrirlos: archivos con extensión .exe, .vbs, etc). • Mentiras en la red: No hacer caso de mensajes de correo con la aparición de ciertos virus. Sólo hacer caso de aquellos que vengan de la mano (origen de la cuenta de correo) de empresas en las que se confíe. • Backups de datos: Realizar copias de seguridad con la frecuencia necesaria. A veces los desastres producidos por los virus sólo pueden ser solucionados con el formateo de los discos duras. • Arranque en disquetera: Para limpiar un disco duro, arrancar el sistema desde la disquetera (asegurando este disco previamente). 72 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas • Políticas de seguridad: Las empresas deben disponer de medidas proactivas para evitar los virus Este ejemplo de recopilatorio de medidas debería formar parte de estas políticas empresariales. 6.2. Mecanismos complementarios Aunque con los mecanismos indicados hasta ahora se garantiza en alto grado la ausencia de virus en el sistema informático, hay una serie de medidas complementarias que contribuyen a aumentar nuestra seguridad y nuestra tranquilidad ante la posible presencia de virus. Algunos de estos mecanismos complementarios son de índole mecánica y otros son de procedimiento. 1. Llaves de cierre. Existen en el mercado dispositivos adaptables a las disqueteras del ordenador que pueden cerrarse con llave y que evitan que puedan introducirse disquetes. Si necesita proteger de manera total alguno de sus ordenadores, éste es un mecanismo muy efectivo. 2. Auditoría de Seguridad antivirus. Aunque se estén tomando medidas para evitar la introducción de virus en nuestro sistema, es necesario que, de forma periódica, se concierte una auditoría que certifique que el proceso que se está realizando cumple las especificaciones mínimas que aquí se indican. Siempre pueden producirse errores humanos en la operatoria que no son detectables a no ser mediante la inspección ocular de un experto en la operación. 3. Revisión periódica del plan antivirus. Los cambios en la configuración del sistema informático, los cambios en el personal encargado de los procesos y la aparición de nuevos virus (y sus correspondientes ativirus) hacen recomendable que el plan antivirus se revise de forma periódica. Como en el caso anterior, la revisión por parte de un experto ayudará a poner de manifiesto cuáles son los posibles defectos de su plan actual. 4. Por qué certificar periódicamente? A pesar de los mecanismos de comprobación indicados en los apartados anteriores, nunca se puede tener la completa seguridad de que absolutamente todos los disquetes pasan por una certificación antes de ser introducidos en el sistema informático. Ante esto, la única posibilidad de garantizar la total limpieza del sistema es certificar periódicamente que todos los ordenadores de nuestro sistema informático están libres de virus. Esta certificación consiste en ejecutar en cada ordenador un programa detector de virus. 6.2.1 Hackers: tribus en la Nueva Economía El significado de la palabra hacker ha ido evolucionando. En un principio hacía referencia al nombre que se daba a las personas que efectuaban ataques maléficos a sistemas informáticos. Normalmente estos avezados eran estudiantes que descubrían en los principios de internet, el ancho poder de entrar en “cualquier sitio” y hacer “cualquier cosa”. Tras la aparición de los primeros virus y caballos de troya, los hackers ya se hicieron con este nombre y partir de entonces se ha ido creando en Internet una especie de ética de estos expertos usuarios de la red pero sin fines maléficos. Hoy por hoy, se utilizan los términos de hackers, crackers, vándalos, y curiosos. Incluso existen organizaciones creadas como hackers.com cuya política y ética es precisamente la de no atacar con fines destructivos sino la de informar y estudiar los agujeros de seguridad de las redes, los sistemas operativos y los programas informáticos que son puertas abiertas para que curiosos y vándalos hagan de las suyas. Así que ningún “hacker” se nos enfade cuando utilicemos este término sobre todo al hablar de “hacking”, vocablo evolucionado en el lenguaje informático y que los profesionales del sector entendemos como entradas a sistemas, redes y programas por medios y conductos ilegales, por suplantación de usuarios y en contra de las políticas de seguridad y procedimientos de estos sistemas. Tecnología y Seguridad 73 Entonces ¿Qué es un hacker? Hacker es una expresión idiomática inglesa cuya traducción literal al español tiene varios significados, siendo el más popular el atribuido a “una persona contratada para un trabajo rutinario” y que por la naturaleza del mismo su trabajo es tedioso, entregado, hasta se podría maniático. El apelativo de hacker se crea a fines del siglo pasado cuando los Estados Unidos de América empieza a recibir un masivo movimiento migratorio de personas de todos los países del mundo que esperaban encontrar en el “país de las oportunidades” un bienestar económico y progreso. Un hacker se define hoy en la comunidad Internet, como un programador fervientemente dedicado, por hobby, a explotar ordenadores al máximo y con resultados útiles para otras personas. Este concepto es, por tanto, contrario al habitualmente aceptado, que asocia “hacker” a un pirata informático. ¿Y un cracker o vándalo? El cracker es un hacker que no actúa de forma altruista, por amor al arte o por investigación y curioseo. Un cracker suele tener ideales políticos o filosófico y motivados por darse a conocer a sí mismo, o simplemente algo tan viejo como la ambición y la avaricia. Un cracker una vez entra en el sistema (algo que también hace un hacker), hace “crack” obteniendo un beneficio propio, robando o destruyendo información. Un tipo de cracker sería un cyberocupa, una típica acción con fines maléficos que consiste en cambiar la relación IP/dominio de tal manera que cuando queremos acceder a un sitio web determinado, obtenemos otro en lugar del pedido, “ocupando” ilegalmente el dominio de la víctima por páginas web desconocida, normalmente pensadas para hacer daño o simplemente hacerse publicidad gratuita. ¿Qué es un intruso? Los intrusos en sistemas informáticos son usuarios que penetran en ellos y que desconociendo por parte de sus víctimas cuales son sus intenciones, presentan de por sí un peligro, ya que los ataques no viene firmados por la filosofía del atacante. EN el capítulo de Firewalls estudiamos herramientas para detectar intrusos. ¿Qué es un pirata informático? Un pirata informático en la comunidad hispana es considerado aquel que se dedica a la copia y distribución de software ilegal. En contra de lo que algunos creen el término “pirata informático”, no es la traducción de hacker. Al software no original se le denomina “copia pirata”, pero en términos reales y crudos debería llamarse un software robado. La palabra pirata, asociada al uso ilegal del software, fue nombrada por primera vez por William Gates en 1976, en su “Carta abierta a los Hobistas” mediante la cual expresó su protesta debido a que muchos usuarios de computadoras estaban haciendo uso de un software desarrollado por él, sin su autorización. ¿Qué es un phreaker? El phreaker es una persona que con amplios conocimientos de telefonía puede llegar a realizar actividades no autorizadas con los teléfonos, por lo general celulares. Construyen equipos electrónicos artesanales que pueden interceptar y hasta ejecutar llamadas de aparatos telefónicos celulares sin que el titular se percate de ello. En Internet se distribuyen planos con las instrucciones y nomenclaturas de los componentes para construir diversos modelos de estos aparatos. Las acciones de los intrusos, crackers, cyberocupas y piaratas son tratadas también desde el punto de vista jurídico en todo lo relacionado con los delitos en Internet, estudiado con detalle en la parte III. 74 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas En el transcurso de los siguientes puntos del capítulo, nos referiremos normalmente al término hacker, aunque en algún momento su ataque se convierta en un cracking (cuando hace daño). 6.3. Cómo actúa un Hacker El concepto que podemos tener de un hacker es que su ataque lo hace a través de internet. Esto no es del todo cierto. Hay que tener claro que no sólo las redes conectadas a Internet son vulnerables a los ataques de los hackers, sino cualquier red de ordenadores puede ser víctima de un ataque. Independientemente de adonde ataca y cómo, un hacker será siempre una persona que pondrá en jaque la seguridad de nuestra información, y si cumple su cometido, verse reflejado con un hecho claro las consecuencias que acarrear no disponer de un sistema seguro. Es importante reseñar que las acciones maléficas de un intruso no obedecen a una simple casualidad, son la consecuencia de un apurado trabajo que requiere el conocimiento necesario. Para estudiar como trabaja un hacker, podemos estudiar las fases de su “trabajo” en diferentes fases: Fig. VI-1. Las fases de actuación del hacking. 6.3.1 Identificación del objetivo La primera fase consiste en saber a quien atacar. El hacker puede actúar con una IP determinada asociada al dominio de una empresa, o simplemente hacer de su ataque una víctima aleatoria (muchas ahora por la proliferación de tarifas planas en la red). Por ello según su naturaleza podríamos distinguir a los ataques de hackers como: • Pasivos • Coordinados Las herramientas para acceder a qué máquina atacar o cuál es la IP de un dominio es través del comando unís Whois (implementado en Windows y en numerosas páginas de Internet), y mediante el comando de MS DOS/Uníx ping. Tecnología y Seguridad 75 6.3.2. Entrada en el objetivo El método más común de acceder ilegalmente a un sistema es a través de un terminal de la propia red de la organización. En principio cualquier persona con acceso físico a un terminal tiene la oportunidad de ingresar. Por ello los primeros posibles hackers son los empleados de la empresa, pués son los que disponen de primera mano de este acceso físico. 6.3.3. Recopilación de información de la víctima Una vez el hacker haya conseguido entrar en una red, su objetivo será la de intentar recopilar la mayor información posible. Está atacando a una red y no sabe que terminales, servidores , bases de datos, etc existen. Por el contrario si su ataque es específico irá directamente a entrar al objetivo (por ejemplo el ataque a la información de una base de datos). Si el ataque del hacker es de intentar “encontrar lo que hay”, utilizará herramientas de exploración de red y de puertos. El objetivo será por tanto determinar qué puestros están abiertos en el sistema de la víctima. Para ello existen diferentes herramientas que pasan a través de una conexión TCP enviando a un puerto un paquete SYN y estudiando su respuesta. De igual manera puede utilizar el protocolo UDP. Pero de todas maneras, no hace falta que “sepa tanto”, existen en Internet numerosas herramientas para escanear puertos, como Nmap y Netcat (denominada como la navaja suiza). La mejor defensa para estas exploraciones de puertos son los IDS, estudiados en el capítulo de Firewalls y otros sistemas de defensa. 6.3.4. Identificación de vulnerabilidades El objetivo principal de un hacker es aprovecharse de los agujeros de seguridad para entra en los sistemas y realizar operaciones (de destrucción, modificación, entrada de información, etc). Sus medios se pueden centrar en aprovecharse de los agujeros de seguridad para por ejemplo mediante suplantación de usuarios, disponer de la administración total de una LAN. Podríamos distinguir los agujeros de seguridad en: • Agujeros de seguridad físicos. • Agujeros de Seguridad en la red. En Internet se pueden encontrar una amplia variedad de herramientas para monitorear y analizar redes, llamadas packet sniffers, las que actúan revisando los paquetes de información electrónica que circulan por una determinada red. Generalmente dichos paquetes de una red no están encriptados. En el caso de redes conectadas a la Internet, los hackers pueden alterar su identidad, haciendo creer al computador que da acceso a una determinada institución que son computadores “autorizados” a ingresar o confiables (Address Spoofing), existen numerosos procedimientos. • VPN. • Acceso telefónico. • Dispositivos de red. • Firewalls. • Ataques al control por IP o nombre. • Agujeros de Seguridad en sistemas operativos • Windows 95/98/Me/NT/2000. • AS 400. • Unix, Lynux. • Novell Netware. • Hacking de servidores web. 76 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas • Agujeros de Seguridad en el Software. • Agujeros de Seguridad por Incompatibilidades Software/hardware. Se da cuando, por falta de experiencia, o por descuido, el administrador del sistema hace funcionar software sobre un hardware para el que no está optimizado, dando lugar a posibles resultados inesperado y fallos que pueden dañar seriamente la seguridad del sistema. Es la incompatibilidad entre software y hardware la que crea agujeros de seguridad. Problemas como este son muy difíciles de encontrar una vez que el sistema esta montado y funcionando, de manera que es muy conveniente el leer atentamente la documentación del software y del hardware que se va a montar (o que pretendemos atacar) y estar muy atento a cualquier noticia o actualización. • Agujeros por incorrectas políticas de seguridad. 6.3.5. Obtención del nivel de acceso apropiado Una vez el intruso ha logrado estudiar su víctima mediante las vulnerabilidades que ha encontrado y recopilado información del sistema informático, el hacker necesita adquirir el nivel de acceso apropiado para entrar al objetivo final. Normalmente disponer del nivel de acceso necesario es disponer de los privilegios de administrador, tanto del sistema operativo del algún servidor o de alguna base de dato que el intruso quiere atacar. Obtener la contraseña del administrador sería el recurso mejor que podría encontrarse el intruso. Tarea no fácil, pero no imposible. La contraseña del administrador se pueden encontrar en sistemas Uníx en el archivo /etc/ password. En NT, se puede encontrar en el archivo SAM (Security Accounts Manager). Después de disponer de este archivo, el intruso necesita crackearla para poder conocer su valor real. Para ello existen herramientas fáciles de encontrar en Internet como el Lophtcrack (www.securitysoftw aretech.com) de uso para sistemas NT y John The Ripper (www.openwall.com/john) para Uníx. 6.3.6. El ataque Una vez el hacker la logrado todo lo necesario para lanzar su ataque, debe tener en cuenta dos aspectos: • Eliminar sus huellas Para eliminar huellas, el hacker suele utilizar otras máquinas (otras Ips) diferentes de las huellas, y utilizar alguna máquina de la red (que por lo tanto, también sufrirá un ataque), para limpiarse las manos. • Realizar alguna operación, para evitar todo el trabajo anterior para futuros ataques. Instalar una puerta trasera, será el objetivo por tanto del intruso: creación de usuarios, instalación de programas, etc. Las herramientas más utilizadas son los rootkits y los troyanos (como BackOrifice, www.bo2k.com) , que permiten el control remoto total de la máquina. Algunos ataques típicos son: • Ataque por Negación de Servicio (DoS): Mediante ataques al servidor por constantes peticiones de paquetes SYN, o de UDP o ICMP, el hacker puede conseguir bloquear un servidor y que no pueda realizar sus servicio en la red interna, provocando por lo tanto, un serio problema en la empresa. • Ataques al control de IP y dominio: Mediante Tunneling o ataques al DNS (ver capítulo V, en agujeros de Firewalls), el hacer consigue cambiar la relación IP(nombre de dominio y conseguir, por ejemplo que si un usuario intenta entrar en la web de una organización, salga otra página. Tecnología y Seguridad 77 Son famosos en la prensa este tipo de ataques, que han hecho a los hackers ponerlos en la fama. Otros tipos de ataques son el Spoofi ng (cambio de la dirección de origen) o el Hijacking (secuestro de una sesión con sus privilegios). • Snooping y Downloading: Los ataques de este tipo tienen el objetivo de obtener información de la red pero sin modificarla. EL hacker intercepta el tráfico de red y consigue descargarse en su máquina (download) archivos de sus víctima (documentos, email, datos, etc). • Tampering o Data Diddling: Esta categoría se refiere a la modificación desautorizada a los datos, o al software instalado en un sistema, incluyendo borrado de archivos. Son posibles sujetos los casos de empleados, ex-empleados, etc que por ejemplo crean falsas cuentas para derivar cuentas, estudiantes que modifican sus notas, o contribuyentes que modifican sus datos tributarios. • Jamming o flooding: Este tipo de ataques desactivan o saturan los recursos de un sistema. Por ejemplo, un atacante puede consumir toda la memoria o espacio. Ataques a un ISP mediante TCP o el envío de millares de e-mails sin sentido a todos los usuarios de una organización y de forma contínua, saturando así el servidor de correo de destino. Recuerde A menudo el problema principal de entrada de un intruso es la falta de percepción y el entendimiento por parte del profesional responsable de seguridad. Software perfecto, hardware protegido, y componentes compatibles no funcionan a menos que se haya elegido una política de seguridad correcta y que se hayan puesto en marcha las partes del sistema que la refuerzan. Soluciones que se basan en el desarrollo de una arquitectura de red segura y que mediante cortafuegos y software de detección de intrusos, podemos minimizar el peligro del underground de Internet. 7. Firewalls y otros sistemas de defensa 7.1. Sistemas de defensa básicos Actualmente las redes se encuentran en el centro de las empresas actuales, transmitiendo información vital y en muchos casos, confidencial, mientras los usuarios –internos o externos- tienen la posibilidad de conectarse a los recursos y sistemas de información esenciales. A medida que aumenta 78 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas el tamaño de las empresas, crece también el tamaño y la complejidad de sus redes, y cada vez resulta más difícil protegerlas de amenazas, tales como ataques de protocolos de bajo nivel y la intrusión de servidores y equipos workstations. También entrañan otros peligros los virus y otros contenidos malignos, como applets, Actives o códigos Script, que malintencionadamente entran en la red interna. Es necesario detectar y bloquear con adecuados sistemas de defensa, el acceso no permitido a los servidores y ordenadores de sobremesa, los servicios de red, las aplicaciones, y las bases de datos. Si nuestro ordenador o nuestra red corporativa está conectada a Internet y necesitamos compartir ficheros a través de la red, entonces necesitaremos un firewall: • Si necesitamos acceder a ficheros remotamente a través de la red. • Si en algún servidor de la LAN o en nuestro PC disponemos de algún tipo de programa servidor, como el Personal Web Server o el Internet Information Server. • Si utilizamos algún programa de control de máquinas remotas, como el PC Anywhere o WinGate. • Si podemos proteger nuestro sistema de ataques de intrusos o de caballos de Troya como NetBus y Back Orifice que pueden hacer abrir nuestra red. Fig. VII-1. El firewall: seguridad básica. Fuente www.grc.com. Un cortafuegos o Firewall es un sistema de defensa de una red informática o de un Pc. Está basado en el hecho de que todo tráfico de entrada o salida a la red debe pasar obligatoriamente por un sistema de seguridad capaz de autorizar, negar y registrar todo aquello que ocurre en la comunicación interna-externa. El cortafuegos está a mitad de camino entre la seguridad por máquina y por red y representa hoy la segunda medida utilizada por las empresas para la seguridad de sus datos, siendo la primera herramienta la instalación de sistemas Antivirus. Un firewall es un sistema de defensa que se basa en la instalación de una barrera entre un PC y la red por la que circulan todos los datos. Este tráfico entre la red y un PC es autorizado o denegado por el firewall , siguiendo las instrucciones (las reglas) que le hayamos configurado en su instalación y parametrización posterior. Básicamente su funcionamiento se basa en hacer de barrera entre internet y nuestra red local o PC: Tecnología y Seguridad 79 Fig. VII-2. Arquitectura de red con un firewall (Fuente: El autor). Existen medidas (no soluciones) firewall bien de hardware (routers o servidor dedicado) o software. • Hardware. Los sistemas hardware son más difíciles de configurar y más costosos que los sistemas software. Existen numerosas opciones de mercado. Siempre destinados a grandes corporaciones por el coste que tiene. • Software. Son fáciles de instalar y generalmente llevan configurados una serie de reglas predeterminadas para diferentes niveles de seguridad, permitiendo al usuario adaptar estas reglas a las necesidades de seguridad necesarias para la arquitectura de red (servidor web contra base de datos Caché). Aunque hay programas que se venden bajo la nominación de Firewall, un cortafuegos NO es un programa. Un Firewall consiste en un conjunto de medidas hardware y software destinadas a asegurar una instalación de red. 7.2. Tipos de Firewalls Cualquier Firewall puede clasificarse dentro de uno de los siguientes tipos o como una combinación de los mismos. • Packet Filters (filtrado de paquetes): Su función consiste en filtrar paquetes 13 a través de la capa de red dejando pasar únicamente cierto tipo de tráfico. Los paquetes que puedan entra salir lo hacen a partir de las ACL (listas de control de accesos tolerantes) preinstalas en el cortafuegos y de las reglas que se configuran en la instalación del mismo. Estos filtros pueden implementarse a partir de routers. (Ejemplos Firewall-1 de Check Point, Cisco PIX). Fig. VII-3. Diagrama de OSI en firewalls tipo packet filters. 13 Un filtrado de paquetes consiste en una regla y acción (tupla) aplicada a los paquetes que circula por la red. 80 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas • Application Gateway (pasarelas a nivel de aplicación): Estas pasarelas se ocupan de comprobar que los protocolos a nivel de aplicación (FTP, http, telnet,etc.) se están utilizando de forma correcta sin explotar los posibles problemas que pudiera tener el software de red. El inconveniente de este tipo de Firewall es que deben estar constantemente actualizados ya que no habría forma de saber si alguien está intentando atacar la red de nuestra empresa. Estos Firewalls también se led denomina Servidores Proxy. • Circuit Gateways (Proxy): En este tipo de Firewall la pasarela actúa del mismo modo que un simple cable via software conectando nuestra red interna con el exterior (Internet). En general se requiere que el usuario esté autorizado para acceder al exterior o interior y que tenga una cuenta de salida en el Proxy. • Combinaciones de routers y cortafuegos multifunción: También conocidos como “Cajas God”. Estos cortafuegos diseñados para grandes empresas tienen gran complejidad y requieren una gran experiencia, sólidos conocimientos y contínuo mantenimiento. Fig. VII- 4. Diagrama de OSI en firewalls tipo Application gateway. 7.3. Funcionamiento de un Firewalls El funcionamiento básico del tipo más común de firewall se basa en el filtrado de paquetes sobre los puertos de comunicaciones. Todo dato o información que circule entre nuestro PC y la Red es analizado por el programa firewall con la misión de permitir o denegar su paso en ambas direcciones (comunicación internet- PC y PC-internet). Podríamos situar en el esquema de la figura IV-1, la capa de firewall: Es importante resaltar que la misión del firewall es la de aceptar o denegar el trafico, pero no el contenido del mismo: Tecnología y Seguridad 81 Servicios de red Protocolos de comunicación Adaptadores hardware Fig. VII-5. Servicios, protocolos y adaptadores hardware. • En el momento que un determinado servicio o programa intente acceder a Internet o a nuestro PC el cortafuegos nos lo hará saber. • En ese momento aceptaremos la comunicación o la denegaremos. • El fi rewall no va a decirnos que es correcto o incorrecto. • A partir de entonces el fi rewall actuará siempre cn la decisión que hayamos tomado. Por ejemplo si en las reglas de nuestro cortafuegos aceptamos entradas y salidas de correo electrónico, si entra un email con un virus, el cortafuegos no lo frenará (porque le dimos permiso en la configuración) y nuestra máquina podrá infectarse. Necesitaremos por tanto sistemas de seguridad añadidos, en este caso, un programa Antivirus. Por eso hablamos del firewall como la primera barrera, pero no la única. Se nos abre un inconveniente a la hora de hacer funcionar nuestro firewall: la decisión de las reglas. Por eso, como todas las herramientas informáticas, la formación de su funcionalidad es básica. Podemos tener el mejor firewall del mundo y nuestra red sufrir ataques debido a la falta de conocimiento de toda su potencialidad. Para empezar a trabajar con un cortafuegos doméstico (nos podemos descargar uno gratuitamente en www.zonealert.com) una buena política debería ser, ante la duda, no aceptar nunca cualquier acceso hasta comprobar que es necesario para un correcto funcionamiento del servicio que pretendamos usar y no es potencialmente peligroso para el sistema. Si denegamos el acceso y nuestro sistema sigue funcionando bien, no nos es necesario por lo que lo debemos denegar. Recuerde • Con la instalación de un firewall conseguiremos hacer nuestro PC y nuestra red local mucho menos vulnerable a intrusiones en nuestro sistema. • Un cortafuegos bien diseñado, configurado y sobre el que se efectúe el mantenimiento adecuado es, prácticamente, impenetrable. 82 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Puntos fuertes Puntos débiles Filtrado de paquetes • Dado que la mayor parte del software de enrutadores ya incorpora la capacidad de filtrado de paquetes, resulta muy rápido y económico instalar un control basado en esta solución, ya que no se necesitaría comprar software ni hardware adicional. • Si el número de reglas creadas no es muy elevado, tampoco llega a imponer una sobrecarga importante de procesamiento en el enrutador, por lo que el rendimiento de la red no se verá afectado. • No suelen correr sobre sistemas operativos generales, como Unix o NT, por lo que no son vulnerables a ataques contra ellos. • Una ventaja importante es que resultan totalmente transparentes, por lo que las máquinas de la red no necesitan que se les instale software adicional ni que los usuarios tengan que hacer nada especial. • Definir las regalas de filtrado puede convertirse en una tarea muy complicada, si no se conocen a fondo para su correcta configuración, pueden dejar abierta la puerta a ataques variados (ataques de falsificación de dirección IP origen, ataques de enrutamiento de origen, ataques de fragmentación, etc.). • Cuanto mayor sea el número de reglas, menor será el rendimiento del router, que en principio está diseñado únicamente para enrutar paquetes, no para tomar decisiones acerca de si debería o no debería hacerlo. • Por operar a un nivel tan bajo, desconoce el contenido de los paquetes. Aunque puede bloquear un servicio, si lo acepta no es capaz de bloquear selectivamente ciertos comandos del servicio o rechazar ciertos contenidos, por lo que son susceptibles a ataques basados en datos. Pasarelas de aplicaciones • Proporcionan al administrador de red un control absoluto sobre los servicios a los que los usuarios tienen acceso, ya que sólo pueden utilizar aquellos servicios soportados por el proxy y, dentro de cada servicio, sólo los comando permitidos. • Dado que las aplicaciones proxy son componentes software ejecutándose en el bastión, se trata del lugar ideal para realizar registros de actividad (logging), informes de auditorías y controles de acceso. • Pueden utilizarse como traductores de direcciones de red (NAT), ya que por ellas pasa todo el tráfico en uno y otro sentido, por lo cual pueden enmascarar la dirección de las máquinas de la red interna. • Por último, hay que tener en cuenta que la definición de las reglas de filtrado a nivel de aplicación es mucho más sencilla que a nivel de paquete, pudiendo implementar reglas más conservadoras con mayor flexibilidad. • Los más antiguos requieres que el usuario de la red interna instale software de cliente especial para cada servicio proxy al que se conecta, o bien que, utilizando el software de cliente habitual, siga ciertas instrucciones especiales de uso. Nuevas aplicaciones de Internet exigían escribir e instalar nuevos servicios proxy en el corta fuegos y nuevos clientes proxy en los ordenadores de los usuarios. Actualmente, los modernos cortafuegos de nivel de aplicación son completamente transparentes para los usuarios finales. • Desde el punto de vista de la seguridad, los servicios proxy son útiles sólo si se utilizan junto con un mecanismo que restrinja las comunicaciones directas entre las máquinas de la red interna y las del exterior, como por ejemplo el filtrado de paquetes. De nada sirve un cortafuegos de nivel de aplicación si se puede salir al exterior a través de otro punto. Inspección multinivel de estados 7.4. Cuadro comparativo de tipos de Firewalls • El cortafuegos es transparente para las aplicaciones y usuarios, que no necesitan modificar o instalar software adicional. El motor de inspección puede adaptarse a protocolos y aplicaciones nuevamente definidos. Esta característica facilita la escalabilidad. • Dado que operan principalmente a los niveles bajos de la pila de protocolos, son más rápidos que las aplicaciones proxy, por lo que el rendimiento de la red no se ve notablemente afectado, aunque aumente el número de usuarios conectados a través del cortafuegos. • En la medida en la que las implantaciones reales el filtrado no inspecciona datos de nivel de aplicación, aunque teóricamente sería posible, SMLI no es capaz de evitar los ataques más sofisticados enmascarados a nivel de aplicación, como desbordamiento de búfer o comando de aplicación ilegales o inseguros. • A pesar de la propaganda con la que se anuncian, la mayoría de expertos en seguridad convienen en aceptar que la arquitectura de cortafuegos basados en psarelas de aplicación son más seguros que los sistemas basados en filtrado de paquetes, incluso SMLI. Tecnología y Seguridad 83 7.5. Agujeros de seguridad de un Firewalls A pesar de todas sus virtudes y ventajas, los cortafuegos no proporcionan la solución definitiva a todos los problemas de seguridad. Existen amenazas fuera del alcance del cortafuegos, contra las cuales deben buscarse otros caminos de protección: • Ataques desde el interior de la red local: evidentemente, el cortafuegos no puede proteger ataques de empleados desleales que roban un disco duro con información confi dencial y salen con él bajo el brazo (recordad Los Alamos). • Ataques que no pasan por el cortafuegos: el cortafuegos se encuentra impotente ante accesos directos a ordenadores de la red protegida a través de módem o a través de redes privadas virtuales: • Tunneling: Se aprovecha un ordenador que estás detrás de del filtro o tiene permisos de acceso para utilizarlo de plataforma de ataque. El ordenador externo recibe una conexión del interno y a partir de ésta realiza los ataques. • Ataques al DNS: Modificar las memorias caché de los servidores DNS, falsificando las relaciones IP/ nombre de dominio. Fig. VII-6. Algunos ataques pueden “pasar” por un firewall tipo servidor proxy porque dentro de su nivel de aplicación se pueden esconder un falso DNS o falsa IP y si la aplicación y el origen van parejos esta incoherencia en la entrada de la LAN puede provocar fallos de integridad en ataques a bases de datos corporativas. • Ataques basados en datos: si los programas que son accedidos a través del cortafuegos, como el servidor web, ocultan errores graves, un hacker podría explotarlos haciendo uso exclusivamente de tráfico HTTP. Los virus constituyen una amenaza difícil de rechazar incluso para los cortafuegos más sofisticados. • Ataques creativos: los buenos cortafuegos pueden proteger ante muchos ataques desconocidos aún por llegar, pero no frente a todos. Los hackers siempre corren un paso por delante de los fabricantes de productos de seguridad, pertenecen al underground creativo de la red y van normalmente por delante de la tecnología, ya que ellos “descubren” los agujeros. 7.6. Sistemas de defensa añadidos 7.6.1 Detección de intrusos Un sistema de detección de intrusos, conocido como IDS, tiene la función de detectar POSIBLES intrusiones. Específicamente, pretende detectar ataques o abusos al sistema, alertando con los pormenores del ataque. Proporciona una seguridad parecida a la que un sistema de alarma instalado 84 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas en casa puede suponer. Mediante varios métodos, ambos detectan si un intruso, atacante o ladrón está presente, y en consecuencia disparan una alarma. • Los sistemas de detección de intrusiones ayudan a los administradores de redes a enfrentarse a los hackers antes de que causen daños irreparables. Estos sistemas deben repeler los ataques externos y: • Mecanismos de alertas cuando se detectan ataques. • Detección del ataque interrumpiendo la comunicación con el exterior. • Lanzar contraofensivas. • Impedir daños colaterales. • Actualización de posibles ataques (al mismo estilo que los antivirus). • Servicios gestionados. Existen diferentes tipos de IDS, entre los más utilizados distinguimos: 1. NIDS, Network-Based Intrusión Detection Systems: Se trata de sondas de red, originadas por sistemas hardware o software, no direccionables (y por ello “invisibles”) y que se dedican a analizar todo el tráfico de red en busca de patrones. 2. HIDS, Host-Based Intrusion Detection Systems: Funciones software instaladas en el servidor central que vigilan acciones y actividades dentro del mismo (intentos erróneos de login, registros de log, control de integridad de ficheros sensibles, etc.) con el mismo objetivo. Ambos sistemas pueden ser complementarios. Se pueden configurar de forma que, ante determinados ataques, generen alertas (vía SNMP, e-mail, mensajes SMS, etc) o realicen acciones con el objeto de parar el ataque (vgr. Reconfigurar el filtrado a nivel de router o firewall o finalizar sesiones TCP/IP). Fig. VII-7. Las reglas para la entrada permitida/protegida de entradas en un IDS. Fuente: Computer Associates. 7.6.2. Seguridad de contenidos Una plataforma de seguridad basada en firewall nos puede proteger los paquetes que entren y salgan de la red, filtrar los datos a nivel de aplicación (proxy), pero podemos dejar pasar contenidos que una vez situados en la red puede peligrar la protección, integridad y privacidad de los sistemas. Para ello necesitamos una capa de seguridad añadida que se preocupe de filtrar estos contenidos y dejar pasar aquellos que no sean maléficos. Este tipo de peligros se denominan “vandals”, asi un AntiVandal Gateway es un aplicativo de protección de contenidos. Tecnología y Seguridad 85 Los peligros pueden venir de la mano de: • Java. • Activex. • Scripts (JScript, VBScript). • Cookies. ¿Dónde se esconden estos “vandals”, contenidos malignos? Contenidos web: Lasnuevas tecnologías sobre Internet, especialmente Java y ActiveX, son usadas para crear sitios web dinámicos, los cuales se alimentan de sistemas de información que se sitúan detrás del e-commerce y que se ejecutan en el terminal cliente (el del usuario). Desafortunadamente estos modernos components que hacen rica y atractiva la web, también aumentan los riegos de peligros. Applets de Java y controles Actives son descargados y ejecutados automáticamente simplememnete al visualizar una web que los contiene. A partir de entonces, desde el navegador se está permitiendo que un “desconocido” entre en la red y se ejecute. Por ello todos los navegadores comerciales disponen de funcionalidades de parametrización para evitar poder ejecutar (o avisar) este tipo de posibles contenedores malignos. • E-mails: Los emails son posibles contenedores de código HTML que pueden transportar cualquiera de los contenidos malignos, como Actives, applets java, códigos scripts (como el famoso caso del virus I love you, un script Vbasic que enviaba a la lista de distribución de correo una replica de si mismo, además de realizar otras operaciones con archivos gráficos). • Descarga de ficheros: Evidentemente el peligro más fuerte es descargar directamente de la red un programa dañino. A veces esta descarga puede estar escondida con un falso nombre que te invita a bajarte un útil freeware que no dudas en hacer clic y ejecutarlo. Lo que viene después puede ser cualquier cosa. • Fig. VII-8. Existen numerosas aplicaciones en el mercado que permiten el control de contenidos malignos, como éste que “vigila” los contenidos que pueden entrar vía FTP, http, SMTP sobre Java y ActiveX, realizando auditorías de red e informes del status de la network. Fuente: Computer Associates-eSafe. 86 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 7.6.3. Honey Pots Los Honey Pots o “Tarros de miel” representan una nueva técnica de seguridad que consiste en instalar servidores y administración de sistemas y red, diseñados específicamente para atraer la atención de los hackers. Cuando estos intrusos intentan sacar jugo del falso fallo de seguridad (la trampa del tarro de miel), los honey pots registran sus movimientos y actúan como un módulo más en los sistemas de detección de intrusos (cortafuegos, alertas, gestión continuada, zonas desmilitarizadas). 7.6.4. IP Tunneling El Tunneling es una familia de protocolos de nivel 2 (nivel de enlace). Éste Sistema que permite encapsular paquetes IP encriptados a través de Internet. La encriptación utilizada es mediante el algoritmo DES. Esta es una solución válida para VPNs conocidas en esta estructura como la solución IPSec, (integrada por ejemplo dentro de las soluciones de seguridad de Windows 2000 y en las carácterísiticas del nuevo estándar en Internet, el IPv6) y en servidores de autenticación RADIUS. IPSec asegura la confidencialidad (encriptación), autenticación e integridad mediante un conjunto de recomendaciones y protocolos definidos para proteger datos sobre IP. 8. Correo electrónico seguro 8.1. Agentes La propia estructura de la red IP causa que la transmisión de información a través de las redes que los emplean sea insegura. Esto se debe a que los paquetes enviados por el originario de la información tienen que ser leídos por un numero indeterminado de routers y dispositivos varios, antes de llegar a su destino. Para estudiar las vulnerabilidades y las soluciones de seguridad en la transmisión y recepción de un mensaje de correo electrónico, debemos tener claro este circuito desde que el emisor envía un mensaje, hasta que es recibido por el receptor. En todo este camino, intervienen varios agentes, que son todos ellos, a priori, vulnerables: Fig. VIII.1. Agentes en una comunicación de correo electrónico. 1. El software de correo-e del cliente. 2. La cuenta de origen del emisor. Ésta puede ser enmascarada por varios sistemas. 3. El mensaje puede ser alterado, eliminado o puede contener virus. 4. El servidor de correo del emisor y su software, alojado en proveedor de servicios internet (o en la propia empresa caso de disponer de software de correo servidor). 5. El canal: internet, donde los hackers pueden interceptarlo, otros proveedores de telecomunicaciones, los routers, servidores DMZ, etc. 6. El servidor de correo del destino y su software (asociado al dominio de la cuenta y al ISP donde esté alojado este dominio). 7. El software del correo del receptor (MS Outlook, Lotus Notes, Eudora, etc). Tecnología y Seguridad 87 Todos estos agentes son potencialmente puntos de riesgo en la seguridad de un envío de correo electrónico y que en el siguiente punto estudiamos con más detalle. 8.2. Riesgos de privacidad y seguridad Los riesgos los podemos agrupar en tres grupos: 1. La falsificación y/o suplantación de mensajes. Por ejemplo la utilización por parte de un usuario de una cuenta de internet (por ejemplo de hotmail, servicio gratuito de email), de alguien que dispone de nuestra contraseña y que suplanta nuestra persona enviando correos, que nosotros no hemos enviado. La solución para este punto es claramente la firma electrónica. 2. La transmisión de mensajes a través de Internet: • Los servidores de correo (origen y destino): Los servidores que gestionan éste utilizan los protocolos llamados SMTP y POP3 que mantienen un “diálogo” en un lenguaje especial con tu programa de correo cada vez que envías un mensaje. El resultado de cada operación lo almacena el servidor en su propio archivo de registro. Lo primero que se archiva son dos datos: • La fecha y la hora de la conexión. • Dirección IP del usuario conectado. A continuación, lo primero que deberá hacer el programa de correo es enviar el nombre de usuario y la contraseña que le sirven para identificarse. El archivo de registro procesa esta información y muestra el Nombre de usuario y el resultado de la operación. A continuación, se producirá la recepción de los mensajes. La información que se almacena después suele incluir el número de mensajes descargados y la hora de la desconexión. Cuando se envía correo también quedan registradas todas las operaciones. Se registra el tamaño en bytes, la dirección de origen, la dirección de destino y si el mensaje se ha enviado con éxito. • Datos sobre tráfico. Son los datos que los protocolos de comunicación necesitan para realizar correctamente la transmisión del email. Los datos sobre tráfico constan, por una parte, de la información que proporciona el emisor (los datos del mismo emisor y la dirección de correo del destinatario), y por otra de información técnica generada de forma automática durante el procesamiento del mensaje(por ejemplo, la fecha y hora del envío o la IP del emisor). En la práctica, normalmente, los servidores de correo electrónico del emisor y del receptor almacenan los datos sobre tráfico. Esto también podrían hacerlo los servidores de retransmisión en el camino en Internet. • Contenido del correo electrónico. De manera especial la confidencialidad de las comunicaciones está protegida por el artículo 5 de la Directiva 97/66/CE donde “ninguna persona distinta de los usuarios podrá leer el contenido de un correo electrónico entre dos partes. Si durante la transmisión el contenido del mensaje se almacena en servidores de retransmisión, debería borrarse tan pronto como haya sido enviado”. En grandes empresas es común por parte de la administración de red, llevar cierto control de entradas y salidas de correo electrónico, almacenando en algunos casos copias de mensajes que entran y salen en la red corporativa, vulnerando de manera evidente la confidencialidad del mensaje. Este punto es actualmente de gran controversia, pues aunque el responsable de red nos comunique que la cuenta de correo que dispone la empresa al trabajador es una herramienta de trabajo, ello no implica la puerta abierta a almacenar su contenido (incluso si lo hemos borrado de nuestro terminal). Se abre aquí, un auténtico dilema, pues chocan los principios fundamentales de la persona, defendidos en la Constitución, la potestad de la empresa de hacer tratamien- 88 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas to informático de información asociada a personas e incluso temas de recursos humanos y sindical. • El email bomming se caracteriza por el exceso de enviar repetidamente un mensaje email idéntico a una dirección particular. • Email spamming es una variante de bomming, está referido al envío de mensajes a cientos o miles de usuarios (o a una lista que expande a muchos usuarios). El email spamming puede hacerse más grave si los receptores contestan al email, ocasionando que todas las direcciones de origen reciban la respuesta. El spamming es casi imposible de prevenir porque un usuario con una dirección email válida puede “spam” cualquier otra dirección válida. Ambos sistemas de “ataques”, están muy prohibidos en los anteproyectos de la LSSI, y en espera de su defi nitiva aprobación, resulta evidente que en el marco legislativo español, este sistema agresivo por parte de empresas, para enviar información comercial, estará castigado. Recuerde • Al enviar un email sin cifrar, éste puede ser leído por infi nidad de agentes, haciendo la comunicación realmente insegura. • Cuando grandes cantidades de email se dirigen a/o mediante un dominio único, el sitio puede sufrir una negativa de servicio mediante la pérdida de conectividad de la red, sistema colisionado, o el fallo de un servicio a causa de: • sobrecarga de conexiones de red. • uso de todos los recursos disponibles del sistema. • llenar el disco como resultado de múltiples accesos. 8.3. Herramientas de seguridad 8.3.1. Soluciones Desde el punto de vista del usuario, son varias las cuestiones pertinentes según el tipo de correo electrónico: • La confidencialidad, que es la protección de los datos transmitidos contra la curiosidad de terceros. Una posible forma de garantizar la confidencialidad consiste en encriptar el e-mail que se va a enviar. La encriptación y la desencriptación se basan en software complementario de los programas habituales de correo electrónico (programas accesorios o plugg-ins) o en programas de correo electrónico y navegadores que ofrecen estos servicios. • La integridad puede obtenerse calculando un código especial basado en el texto que se transferirá encriptado junto con el propio texto. El receptor podrá entonces descifrar el código y, volviéndolo a calcular, comprobar si el mensaje ha sido modificado. • La autentificación se puede verificar mediante el intercambio de fi rmas digitales basadas en certificados electrónicos. No es necesario que dichos certificados mencionen el verdadero nombre del abonado, que, en virtud de lo establecido en el artículo 8 de la Directiva 95/46 relativa a la fi rma electrónica, puede sustituirse por un seudónimo. • La fi rma electrónica. Si el email es enviado mediante un certificado digital el receptor podrá reconocer la identidad del emisor mediante la fi rma electrónica. Tecnología y Seguridad Confidencialidad Integridad Autenticación Firma 89 Mediante sellos de “confidencial”. Si alguien abriera el sobre diferente que el receptor al que va destinado se vería mediante la manipulación del sobre. La integridad de una carta postal se denota por ejemplo en la protección del sobre y en las propiedades del papel y la tinta. Mediante sistemas grafológicos podríamos detectar si la carta ha sido escrita por quien dice haberla hecho. También el matasellos de la oficina postal nos indicaría su origen. También mediante sistemas grafológicos podríamos verificar la identidad del remitente en la firma de la carta. Fig. VIII-2. Analogía de las claves de seguridad con el correo postal. Las herramientas de seguridad para lograr estos objetivos pueden ser: a) Sistema antivirus (instalados bien en cliente o en el servidor del correo corporativo). El correo electrónico es la vía de entrada más común de los virus. Disponer de programas antivirus es básico para la seguridad de la empresa. b) Encriptación (clásica como RSA o específica para e-mail como PGP). c) Firma electrónica. d) Certificados digitales (tanto en el emisor como en el receptor). e) Sistemas basados en Autenticación fuerte (tokens, certificados y sistemas biométricos) f) S/MIME.14 Formato de encriptación y firma digital estándar aceptado por los principales proveedores de software de clientes. Microsoft Outlook y Lotus Notes. A pesar de ser un sistema estándar existen diferentes versiones de S/MIME haciendo más problemática la seguridad integral en la transmisión de un mensaje de correo electrónico. 8.3.2. S/MIME Para estudiar más detalles sobre este formato de encriptación y firma digital en correo electrónico debemos citar que los primeros sistemas de seguridad funcionaban directamente sobre SMTP, estos eran: • PGP. No tiene restricciones para su distribución. • PEM. Desarrollado por la NSA para fines militares (actualmente no utilizado comercialmente). Después apareció el estándar MIME como una extensión al SMTP para dotar al email de contenidos multimedia, mejorar en general del protocolo de comunicación, mejorar también el formato de mensajes, y adaptarlo de sistemas de seguridad, como la firma digital y los certificados. Actualmente los nuevos y antiguos sistemas de seguridad se han adaptado a MIME: • DMS. Desarrollado por USA para funciones militares. • MOS. Es el PEM adaptado a MIME y con algunas mejoras. • PGP/MIME y OpenPGP. Son versiones del PGP adaptadas al MIME y con algunas mejoras. • S/MIME. Sistema abierto desarrollado por RSA y actualmente el estándar del IETF. Es un formato de encriptación y firma digital estándar aceptado por los principales proveedores de software de clientes. Microsoft Outlook y Lotus Notes. A pesar de ser un sistema estándar existen diferentes versiones de S/MIME haciendo más problemática la seguridad integral en la transmisión de un mensaje de correo electrónico. Existen diferentes estándares de criptología pública creados por RSA son los denominados PKCS. El sistema S/MIME permite: 14 Secure Multiporpose Internet Mail Extension. 90 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 1. Confidencialidad. 2. Autenticación e integridad sin firma. 3. Firma Digital. El protocolo S/MIME trabaja con certificados X.509 y permite autoridades de certificación, está, además, preparado para jerarquías CA y permite CRLs. Las nuevas versiones actualizadas en sistemas seguros de correo electrónico son: PGP/ MIME y OpenPGP. PGP/MIME15 es una versión del PGP adaptado a la estructura de correo MIME. A continuación estudiamos con más detalles los sistemas PGP y OpenPGP. 8.3.3. PGP PGP (Pretty Good Privacy, privacidad bastante buena) es un programa freeware de cifrado de datos, principalmente utilizado para correo electrónico, que incluye además múltiples funciones de seguridad adicionales y de gestión de claves. Fue originalmente creado por Phillip R. Zimmermann, un defensor del derecho a la intimidad, como un medio que permitiera a cualquier persona protegerse de la inseguridad del correo electrónico. PGP fue en un principio un programa objeto de gran controversia, debido a diversos problemas legales. Este hecho fue el que contribuyó en mayor medida a aumentar la popularidad de PGP y extender su uso a nivel internacional. En la actualidad se han resuelto todos los problemas legales y el uso de PGP es completamente legal en todo el mundo, a excepción de aquellos estados con regímenes totalitarios, en los que el uso de criptografía está perseguido, y algún que otro país, como Francia, con leyes muy restrictivas sobre este tema. PGP está disponible en múltiples plataformas y sistemas, entre los que se incluyen Unix, MS-DOS y Windows. Existen diversas versiones de PGP, dependiendo tanto del uso que se vaya a hacer del programa (fines personales o comerciales) como del lugar de residencia del usuario (el empleo de determinadas versiones es legal o ilegal dependiendo de si se hace dentro o fuera de los EE.UU. y Canadá). La utilización de PGP puede asimismo variar en función del sistema empleado y de la versión del programa. El PGP presenta los siguientes servicios en las claves de seguridad: Servicios Descripción y Algoritmos utilizados Confidencialidad IDEA y RSA. Firma RSA y MD5. Compresión ZIP.: La compresión debe hacerse después de la firma y antes de la confidencialidad para mantener la firma independiente del algoritmo utilizado para comprimir, ya que éste con el tiempo pueden cambiar, pero el mensaje y su firma asociada deben continuar vigentes. Compatibilidad Radix 64: Muchos sistemas de correo electrónico sólo permiten caracteres ASCII de 7 bits, no permitiendo por tanto el envío de ciertos caracteres símbolos y caracteres especiales. Para solucionar esto se utiliza un sistema para mapear los símbolos de 8 bits en palabras de 7 bits: el sistemas RADIX 64. Segmentación PGP ofrece un servicio de segmentación para enviar mensajes de gran tamaño. Fig. VIII-4. Servicios que incorpora el sistema de encriptación PGP. 15 PGP/MIME está definido el RFC 2015 del IETF. Tecnología y Seguridad 91 Cada clave de PGP se almacena dentro de un certificado de clave, junto con otra información relativa a la misma. Un certificado está formado por: • La clave pública en sí. • Su tamaño (en bits) y su identificador asociado. • La fecha en que fue creada. • El identificador o identificadores de usuario de la persona propietaria de la clave. • Opcionalmente, una lista de fi rmas digitales pertenecientes a otras personas. Estas fi rmás avalan la autenticidad de esa clave. En la siguiente figura podemos observar las partes de este certificado de clave: Fig. VIII-5. Gestión de claves públicas en PGP, alojadas en un directorio común al que damos confianza al utilizar este sistema. Recuerde Hoy en día, el PGP es un sistema muy utilizado, debido sobre todo a su condición de freeware, sobretodo entre usuarios domésticos de Internet. 8.3.4. OpenPGP OpenPGP es una mejora del sistema PGP que incorpora: • Nuevos formatos de mensajes (publicado en el RFC 2440 del IETF). • Adaptación a Autoridades de certificación, CA en PKI. • Introducción de MIME. El OpenPGP se trabaja desde un grupo del IETF junto empresa Network Associates, que compró en su día la empresa PGP Inc. • Confidencialidad y firma digital (autenticación e integridad). Igualdades entre S/MIME y OpenPGP Diferencias entre S/MIME y OpenPGP • Algoritmos de encriptación: TRIPLE DES, SHA-1, MD5 (aunque con diferentes métodos. • Los formatos de los mensajes son incompatibles. • La encapsulación MIME de datos firmados. • La encapsulación MIME de datos encriptados. Fig. VIII-6. Analogías y diferencias entre los sistemas S/MIME y OpenPGP. 92 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 8.4. Configuraciones de seguridad corporativas Si queremos disponer de correo en nuestra empresa y que todos nuestros empleados dispongan de cuentas de correo personales (o bien de grupo), tenemos la posibilidad de albergar en nuestro equipo de red un servidor de correo, o bien utilizar los servicios de un ISP que albergue este servidor asociado al dominio de nuestra empresa. Existen diferentes arquitecturas de seguridad para dotar al correo corporativo de las garantías suficientes de fiabilidad. 8.4.1. Pasarela o Firewall de seguridad Fig. VIII-7. Arquitectura de seguridad de correo-e con pasarela de seguridad. La opción más sencilla de seguridad consiste en situar un gateway (pasarela de correo) en el servidor saliente. Esta pasarela tiene la función de firmar, encriptar, aplicar filtros antivirus y reglas de seguridad al estilo de los Firewalls (por ejemplo, evitar enviar e-mails a cuentas de un cierto dominio). 8.4.2. Seguridad de e-mail en cliente Fig. VIII-8. Seguridad en e-mail cliente. Situar niveles de seguridad en el cliente representa un mayor nivel de éxito pero implica otros inconvenientes. Es necesario instalar en cada equipo de sobremesa el certificado digital para usar la clave privada del emisor. Cada usuario necesita un certificado digital diferente. Estos dos puntos necesitan una instalación en el software del terminal, tarea que requiere un cierto grado de formación por lo que el administrador de red debería ir ordenador por ordenador de la empresa para instalar la seguridad integral. Una tarea que requiere tiempo y no muy recomendada para empresas que los usuarios pueden utilizar distintos terminales para trabajar o en empresas donde hay cambios continuos en la plantilla de personal. 8.4.3. Servicio de e-mail seguro basado en web Fig. VIII-9. Servidor host de correo electrónico seguro. Tecnología y Seguridad 93 Una opción para acceder o enviar correo electrónico es a través de programas alojados en un sitio web que ofrezca este servicio. El usuario envía o recibe un e-mail a través de una conexión segura SSL donde su mensaje es encriptado por el ISP. Este sistema a primera vista parece sencillo y eficaz pero plantea inconvenientes para certificados digitales en el receptor. La cuestión más problemática es crear un directorio de certificados digitales sobre un servidor LDAP (Light Weigth Directory Access Protocol). Aunque hay tecnologías disponibles para el correo electrónico seguro su despliegue resulta todavía problemático. 8.5. Privacidad del correo electrónico en la empresa El uso del correo electrónico como herramienta de trabajo es cada día más evidente. El ahorro de costes que supone disponer de una herramienta tan versátil y rápida para enviar documentos, imágenes, etc, ha convertido al email como la estrella del universo Internet. Hoy en día es habitual que los empleados de las empresas y organizaciones, dispongan de una cuenta de correo propia, bautizadas (en teoría,inicialmente) por la empresa como “herramientas de trabajo”. Nacen como consecuencia de esta herramienta, en manos de un empleado de una empresa, las posibles problemáticas: • Una puerta abierta insegura a la empresa, además, “multipuerta”, si no se ha implantado en la organización un sistema de correo corporativo con sus seguridad debida. Unos “multiagujeros” por donde colarse los virus y que pueden hacer que algunas organizaciones eviten este sistema de comunicación y se piensen el volver atrás, y disponer en sus locales de un único servidor, a modo de estafeta, que sea el único con el servicio de correo electrónico. • La privacidad del correo electrónico de los empleados, tanto a nivel de protección de datos personales, como de ética profesional por parte de la dirección de la empresa. • Uso del correo electrónico (y su tratamiento) por parte de entidades relacionadas con la empresa, como comités de empresas, sindicatos, mutuas de trabajo, etc. Todas esta problemática hace necesaria por parte de los responsables de seguridad (y como no, de la dirección de la empresa), de disponer de una normativa interna del uso de la herramienta por parte de empleados y colaboradores (usos, finalidades, qué sistemas de protección dispone y las medidas que se realizan sobre su contenido). Esta normativa debe además hacerse pública a la empresa. Un ejemplo de esta normativa podría ser: • Usos y finalidades de la cuenta de correo corporativa (derechos y obligaciones). Hasta qué punto es posible usar la cuenta de correo, etc. • Aviso de si el sistema en red almacena los mensajes y de su contenido. Es normal que muchas organizaciones efectúe estas medidas , pero en algunos casos no informan a sus empleados. Fuera de pensar si existe o no legislación sobre ello, en este aspecto aún queda camino por recorrer, lo que sí parece ético es informar al empleado de estas medidas, antes de discutir si invaden la intimidad del empleado versus una herramienta de trabajo corporativa. • Normativa para información comercial. Adaptación a la LSSICE. Implica disponer en la base de datos de clientes de un campo que esté informado el consentimiento de recibir e-mails comerciales. • Usos del email para sindicatos y comités de empresa. • Implantación de medidas técnicas necesarias para evitar males mayores por entradas de contenidos maléficos a través del email personal de cada empleado: • Política de back-ups del servidor de correo. 94 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas • Software de detección de intrusos a través de los puertos relacionados con email (SMTP, etc). • Listas ACL en los gateways de aplicaciones (servidores proxy) y cortafuegos, para filtrar los contenidos posiblemente maléficos (no dejar pasar archivos .exe, .vbs que podrían dar entrada a virus y gusanos). • Antivirus central, gestionado por la administración de red e instalado en terminal de trabajo (no sólo es Internet la fuente de los virus). • Auditorías internas para la correcta configuración del software cliente de cada terminal. • Herramientas de encriptación (si es el caso) de contenidos (S/MIME, certificados, firma, etc), habilitado para algunos empleados (Consejo de dirección, gerentes, etc). Recuerde Son muchos los problemas que la dirección de las organizaciones podría ahorrarse si hiciera pública la normativa de uso de correo electrónico a sus empleados, colaboradores y clientes. 9. Seguridad en el e-commerce 9.1. La evolución del e-commerce Habíamos definido el e-commerce o comercio electrónico como parte del e-business, orientado a la venta y compra de productos y servicios a través de internet. La seguridad y la privacidad de la información son fundamentales, por tanto, a la hora de adquirir un producto o servicio que ofrezca al usuario doméstico o a la empresa en una web. El e-commerce en España está todavía por desarrollar y llegar a los niveles de otros países del nivel tecnológico equivalente, sobre todo a niveles de consumidor. Basta con citar la comparación de que por ejemplo en EEUU el 80% de los billetes se compran a través de websites de compañías aéreas y agencias de viajes. En el ámbito europeo, muchas de las incertidumbres que existen para la explosión y crecimiento del comercio electrónico se han centrado en la seguridad de las transacciones. Por lo que este crecimiento previsto se debe “aprovechar” para adecuar las tiendas virtuales a los niveles requeridos sobre seguridad y privacidad. EL E-COMMERCE EN ESPAÑA 1997 4,81 1998 20,43 1999 51,09 2000 126,21 2001 383,15 2002 1.532,58 UN DATO CLAVE Según la Agencia de Protección de Datos el 80% de los websites no cumplen la normativa sobre protección de datos. Cifras en millones de euros. Fuente: ACE Fig. IX-1. Algunos datos relevantes del e-commerce en España. Tecnología y Seguridad 95 9.2. Seguridad en las Bases de datos del e-business Las aplicaciones de negocio internas y externas de una organización dentro de su e-business suelen funcionar junto con bases de datos, las cuales son los contenedores de la información, alguna de ella restringida, y representan por lo tanto, el corazón de la seguridad de la información. Esta capa de información, la última empezando por el usuario es la contenedora del repositorio de valor de la empresa: aquello que quiere proteger la empresa es la información y ésta se localiza en las bases de datos. Las aplicaciones de las empresas orientadas a Internet que utilizan bases de datos podemos clasificarlas en: • ERP. Conjunto de aplicaciones de gestión para llevar la facturación, contabilidad, recursos humanos, gestión de almacén, clientes, etc. • Extranets. Donde el cliente de la empresa accede directamente a su información para poder consultarla (por ejemplo, las facturas pendientes) y en algunos casos poder interactuar con ella. • CRM (Costumer Relationships Manager). Aplicaciones orientadas a mejorar el servicio al cliente para ofrecerle el mejor servicio desde la identificación de sus necesidades a la captación de clientes perdidos. Son aplicaciones orientadas al equipo comercial y de marketing. • Business Intelligence-Datawarehouse. Representan un último grado de conocimiento de la información interna de la empresa, para poder extrapolar conocimiento de las mismas bases de datos de los ERP, CRM, etc, y tomar conclusiones de negocio. Las técnicas asociadas a la seguridad en las bases de datos, están tendiendo en las siguientes áreas de trabajo: • Técnicas de control de acceso y modelos de seguridad. Este campo estará orientado tanto al diseño de nuevas técnicas de control de acceso como al perfeccionamiento de técnicas de control de acceso ya existentes, incorporándole aspectos de otras modalidades de control de acceso, como por ejemplo considerar el control de acceso obligatorio, añadiendo la clasificación tanto de objetos como de sujetos en roles. Las últimas versiones de bases de datos, SQL Server, Oracle, etc, disponen de herramientas de seguridad de control de acceso y autenticación para poder disponer de un sistema homogéneo de seguridad en la organización. • Bases de datos Multinivel. Investigaciones en el diseño de bases de datos multinivel que permitan clasificar en diversos niveles de seguridad tanto los objetos como los sujetos, estableciendo arquitecturas que aseguren la confidencialidad de la información, de tal forma que sólo aquellos sujetos que tengan un nivel de autorización suficiente puedan acceder a la información dependiendo del nivel de seguridad que ésta tenga. • Seguridad en DataWarehouse. Tanto la aparición de los almacenes de datos (data warehousing) como la utilización de técnicas de recuperación de datos (data mining) están provocando la necesidad de establecer nuevas técnicas de seguridad debido a problemas arquitecturales, de inferencia, de administración, de auditoría y de privacidad. Por lo tanto la investigación de estas técnicas será una de las actividades a las que prestaremos más atención dentro de la red temática de seguridad. • Metodologías para el diseño de bases de datos seguras. Se pretende realizar investigaciones sobre metodologías completas para el diseño de bases de datos seguras multinivel, considerando nuevos ciclos de vida, nuevos modelos y nuevas técnicas de seguridad, de tal forma que la seguridad esté presente en todas las fases de las metodologías. Todas estas metodologías de seguridad deben estra orientadas a la normativa de Protección de Datos Personales. • Seguridad en bases de datos orientadas a web. Puesto que el desarrollo del Comercio Electrónico depende de la comunicación entre front-ends de acceso a la información basados en un servidor Web y de sistemas de bases de datos que mantienen la informa- 96 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas ción que se ofrece, resulta muy importante realizar investigaciones para garantizar la seguridad de la información almacenada en esas bases de datos, y del flujo de información a través de las redes. Estos servicios orientado normalmente en Extranets. Fig. IX-2. La plataforma CCS Profesionales incorpora funcionalidades BI mediante el módulo CMI-Cuadro de Mando Integral. CMI es una herramienta de análisis de datos y de ayuda en la toma de decisiones para despachos profesionales. Fig. IX-3. Las Bases de datos alojadas en servidores web, son algunos servicios que pueden ofrecer un ISP. La seguridad se hace en este caso vital, teniendo cada BBDD su usuario y su rol, como es el caso del ejemplo con SQL Server funcionando en hosting. • Criptografía en Bases de Datos. Uno de los principales aspectos característicos de la seguridad es la confidencialidad, y para poder garantizarla es necesario evitar que sujetos no autorizados accedan a la información confidencial. Puesto que en muchos casos las bases de datos almacenan información secreta, que debe ser protegida por su carácter personal, o que requiere ser especialmente protegida, es vital cifrar la información con nuevas técnicas de criptografía que garanticen la confidencialidad de la información. Añadimos aquí las copias de respaldo de las bases de datos que de igual manera conviene cifralas por los mismo motivos anteriores. Tecnología y Seguridad 97 Recuerde El objetivo principal de la seguridad en Internet y en el comercio electrónico reside en la seguridad de la información, cuyo repositorio final son las BASES DE DATOS de la organización, que deberán aportar todas las herramientas y funciones de seguridad posibles. 9.3. Soluciones de seguridad 9.3.1. El círculo tecnológico de seguridad Fig. IX-4. El círculo tecnológico de seguridad en Internet. El siguiente cuadro pretende resumir las tecnologías de seguridad en una arquitectura ebusiness enfocadas en las claves de seguridad (o requisitos) que juntos formarían la arquitectura de seguridad de la organización, soluciones a integrar en el CIRCULO DE SEGURIDAD: AUTENTICACIÓN Contraseñas, tokens, Certificados digitales –firma electrónica-, dispositivos biométricos. CONTROL DE ACCESO Filtrado IP/host, Socks, Gateways, DMZ, ACLs, Certificados. CONFIDENCIALIDAD Encriptación simétrica/asimétrica. INTEGRIDAD Message Authenticaction Code (MAC), Hash, Firma electrónica, Antivirus. NO REPUDIO Firma electrónica, Trusted Third Parties, Certificados, Rostro de auditoría. DISPONIBILIDAD Tolerancia a fallos, Redundancia, Respaldo y recuperación, Políticas de seguridad. PRIVACIDAD Riesgos de ataques (internos/externos), Formación a empleados, privacidad del email corporativo, Protección de datos personales. 9.3.2. La confianza on-line La seguridad es parte fundamental en muchos de los negocios en Internet. En el momento en que se registran datos del usuario para acceder a servicios y, como no, en el proceso de compra on-line, la confianza del usuario se asocia completamente a factores de seguridad. El concepto denominado e-trust se convierte en la clave de éxito del e-commerce. En una serie de estudios realizados en EEUU por Yahoo se llegaron a las siguientes conclusiones acerca de la confianza y la seguridad en websites: 98 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas ∑ Generar confianza requiere tiempo: Los procesos de confianza comienzan cuando el usuario, habiendo conocido un website, percibe signos que le ofrecen seguridad en sus transacciones y transmisiones de datos. ∑ El usuario percibe lo bueno y lo malo: Tras ya varios años de experiencia los profesionales en el mundo del comercio electrónico conocen que los usuarios perciben en Internet tanto amenazas como oportunidades. ∑ Relación directa entre ser conocido y generar confianza: En las diversas encuestas realizadas, los internautas asociaban aquellos portales más seguros, como los más conocidos. Es por tanto la seguridad, una asignatura que ganar para las empresas que empiezan a presentar sus servicios en la Red, y cuyo nombre y prestigio se deben ganar con el tiempo y las visitas de los usuarios. ∑ El mostrar la política de seguridad aumenta el factor seguridad: Es habitual y hoy por hoy obligatorio en el marco nacional español (según la Agencia de Protección de Datos) mostrar explícitamente la política de seguridad de un sitio web cuya lectura en el usuario hace generar confianza. Fig. IX-5. El mostrar en la web la política de seguridad, representa un factor clave en la confianza on-line. 9.3.3. Medios de pago en Internet Existen diversas formas de gestionar los pagos en Internet. Éstos los podemos clasificar en: ∑ Medios basados en tarjetas de crédito o débito. ∑ Medios basados en dinero electrónico (tarjetas inteligentes y monederos electrónicos) diseñados específicamente para el comercio electrónico. ∑ Los sistemas de micropagos que se basan en transacciones pequeñas y que representan pocos problemas de vulnerabilidades por el bajo aporte que podrían obtener hackers e intrusos. Tecnología y Seguridad Método Tradicional SSL Descripción Ventajas En metalico, tarjetas de crédito o de débito. Protocolo de seguridad diseñado especificamente para Internet sobre canales seguros que incorpora cifrado de datos, autenticación de servidores. Nos fiamos de ellas. El método de toda la vida... Componente que incorpora la seguridad necesaria de una forma personalizada para los websites . Protocolo desarrollado exclusivamente para realizar comercio electrónico con tarjetas de crédito. SET Smart Cards Smart Cards Mondex Walllets Micropagos 99 Desventajas La posible falsificación del papel moneda o la tarjeta. No proporciona un solución integrada (aspectos de registro). No hay autenticación del usuario. Permite a los comercios el pago off-line (sistema no fiable). Vincula a todos los agentes Se centra en el pago dejanpara que se autentiquen evi- do de lado las relaciones tando así los fraudes. directas entre el cliente y el Se presenta no sólo sobre servidor. TCP/IP, sino para otros sis- Las relaciones entre el temas presentes y futuros. cliente y su banco quedan fuera de SET. Autenticación alta. Falta de acuerdo en los estándares y fracasos de algunos casos pilotos (JJ.OO de Atlanta). Tarjeta inteligentes con microchip que incorpora encriptación y memoria de caantidades, donde el usuario previamente ha descontado dinero de su cuenta. Un estándar en tarjetas inte- Acepta multidivisa. ligentes. Software localizados en los ordenadores que pretenden imitar los monederos tradicionales. Sistemas de pagos de cantidades pequeñas, funcionando por tokens o por suscripción gracias a intermediarios llamados brokers. Falta de lectores. Modelo de negocio complicado. Manera fácil mediante Necesidad de instalar softtokens (usuario-banco) de ware extra. entrada en el comercio elec- Falta de acuerdo de estántrónico. dares. Modelo de negocio impreciso. Apropiado para servicios Escasez de servicios y proque por sus costes otros ductos on-line que los utisistemas los haría antiecolizan. nómico. Cifrado débil. Fig. IX-6. Medios de pago en Internet. 9.3.4. Protocolos seguros 9.3.4.1. El protocolo SSL El protocolo SSL fue desarrollado por Netscape Communications y RSA Data Security. El objetivo del protocolo SSL (Socket Secure Layer) es lograr que la comunicación de datos entre dos computadores en Internet, sea confidencial, verificable y autenticable. En sus estado actual proporciona los siguientes servicios: ∑ Cifrado de datos: La información transferida entre el navegador y el servidor, aunque caiga en manos de un atacante, será indescifrable, garantizando así la confidencialidad. ∑ Integridad de mensajes: Impide que modificaciones intencionadas o accidentales se efectúen en la información que viaje por la red. 100 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas ∑ Autenticación de servidores: El usuario puede asegurarse la identidad del servidor al que se conecta. Para poder utilizar el protocolo SSL se necesita una navegador web que tenga incorporado el servicio SSL (actualmente todos en general), y un CID (certificado de identificación digital) instalado. Los navegadores de Internet actuales, soportan plenamente el SSL. Desde el Explorer 3.x de Windows y desde el Navigator 2.x de NetScape, en adelante, pueden establecer conexiones seguras. El servidor Web también tiene que disponer del SSL y de un CID, para poder establecer comunicaciones seguras, con usuarios que emplean un navegador de Internet seguro. Entre el Servidor Web y el Navegador del usuario, se produce un diálogo mediante mensajes, con el fin de implementar las funciones requeridas por una conexión segura, confidencial y auténtica. Al iniciar la conexión, el Servidor y el usuario, intercambian sus CIDs, con el fin de poder identificarse mutuamente, y saber que cada cual es quien dice ser. Una vez, la fase de autenticación ha terminado exitosamente, se establece una clave de sesión para encriptar el flujo de datos. Tan pronto como servidor y navegador terminan de negociar la clave de sesión, se inicia la comunicación segura de datos entre ambos. Los datos se encriptan usando la clave de sesión, y la clave de sesión a su vez se encripta usando la clave pública del receptor. Solamente el receptor puede abrir el paquete de datos y descifrar su contenido. La clave de sesión permite encriptar el flujo de datos y su longitud determina su grado de vulnerabilidad. Una clave de sesión de 128 bits (16 caracteres) se considera que es imposible de vulnerar, y como consecuencia es imposible descifrar los flujos de datos. Una clave de sesión de 40 bits (5 caracteres) es considerada de seguridad aceptable para las aplicaciones comunes, pero mediante un ataque exhaustivo se la puede vulnerar, aunque se requieren buenos recursos de computación y un gasto de unos 10,000 dólares actualmente! Por restricciones de exportación en los EE.UU. los Visores Web americanos solo pueden aceptar una clave de sesión de 40 bits (5 caracteres). Cuando se necesita mantener plenamente confidencial un flujo de datos, no se posible recomendar el uso de una clave de 5 caracteres (40 bits). Tiene que usar una clave de 128 bits. Verifique en la sección Seguridad en Internet de su Visor Web, si necesita saber cual es el nivel de seguridad del protocolo SSL que está usando. Aún en el nivel mas bajo (40 bits) es suficiente para las aplicaciones comunes, piense que una sesión de transmisión de datos normalmente es breve, unos pocos minutos en promedio, por lo cual no es negocio invertir 10,000 dólares en descifrar sus datos. ¿Qué se requiere para establecer conexiones seguras mediante el SSL? El servidor Web y el browser del usuario deben tener el protocolo SSL y un CID. El usuario puede iniciar una conexión segura SSL empleando la instrucción https. Es habitual establecer una conexión segura, solo cuando la información es confidencial, a los efectos de hacer más ágil la transmisión y reducir la carga de trabajo en el servidor. Empleando SSL es posible implementar operaciones de comercio electrónico en forma segura y confidencial. Un usuario puede con toda seguridad efectuar sus compras en Internet, porque sus datos personales y los datos de su tarjeta de crédito, se pueden mantener en forma confidencial. No hay peligro de que el número de su tarjeta y sus datos personales puedan ser interceptados y luego usados en un fraude. Recuerde El protocolo SSL es la principal herramienta para implementar transmisiones seguras en Internet. Permite transmitir mensajes y archivos de todo tipo de forma confidencial para el usuario. Tecnología y Seguridad 101 9.3.4.2. El protocolo SET SET es un protocolo de transmisión de datos en Internet, diseñado para que los pagos mediante tarjeta de crédito sean seguros y confidenciales. En Febrero de 1996 fue presentado el protocolo SET, como resultado del acuerdo entre VISA, MasterCard, IBM, Microsoft, NetScape, Verisign y otros. El estándar de SET especifica el formato de los mensajes que se intercambian entre el vendedor, el comprador y los otros participantes (bancos, agencia de autorización, etc.). La seguridad y privacidad se logra mediante la encriptación de los mensajes, y mediante la autenticación de todos los participantes. Funcionalidad Seguridad Encriptación Autenticación Confidencialidad Integridad No repudio Firma digital SSL SET Medio de pago básico en Internet Medio de pago basado en tarjetas de crédito Entre el titular de la tarjeta de crédito, el comercio electrónico y la pasarela de pago SÍ SÍ SÍ SÍ SÍ SÍ Entre el usuario (navegador) y el servidor web SÍ NO para el usuario SÍ SÍ NO NO IPSEC Destinado a VPNs De pasarela a pasarela SÍ SÍ Opcional SÍ NO NO Fig.IX-7 Diferencias entre los protocolos SET-SSL-IPS. Fig. IX-8. Las empresas pueden simplificar sus enlaces a Internet sobre VPN, se pueden simplificar mediante SSL, en lugar de utilizar sistemas hardware VPN IPSec mucho menos económicos. En este esquema en los pasos de conexión entre un cliente y un servidor web seguro, podemos observar los tres puntos en el camino de conexión. 102 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 9.3.5. Últimas realidades en pago seguro Las dos grandes compañías que dominan el mercado español, Visa y Mastercard, han desarrollado nuevos sistemas de seguridad para autenticar los pagos con tarjeta por Internet: ∑ 3D Secure (Visa): Basada en el modelo de 3 dominios (el dominio del usuario, el de internet, y el del ecommerce). Con este sistema Visa se centra en el dominio de interoperabilidad. También existen los modelos 3D SET, donde el banco ejecuta el pago mediante SET y en nombre del titular y del e-commerce; 3D PA (Payer Authentication) y el citado 3D Secure. ∑ SPA/UCAF (Mastercard): Igual que su competidora el sistema funciona mediante una tarjeta auténtica, garantizando la transacción en una web con la garantía de la identidad del usuario. Ambos sistemas pretenden garantizar el pago seguro, paliando así uno de los grandes problemas de los comercios en Internet: el rechazo de la operación por parte del titular, dejando de ser responsables de las operaciones los propietarios del comercio electrónico. El reto de las tarjetas es la sustitución de la banda magnética por un chip. Una realidad ya en el mercado que deberá imponerse en los pagos por la red. 9.4. Soluciones a la carta En este punto hacemos una síntesis de diferentes soluciones de seguridad que hemos ido estudiando en capítulos anteriores y que representan el abecedario para el responsable de seguridad: • Protección de los terminales de la red local. • Encriptación. • Autenticación. • Firma electrónica. • Certificados digitales. • Infraestructuras PKI. • Firewalls. • Sistemas Antivirus. • Protección de las bases de datos: A menudo las bases de datos están conectadas a la red, asociadas a aplicaciones internet, programas cliente/servidor, etc. En estas bases de datos deberemos aplicar medidas internas de seguridad (normalmente propias en el software de la base de datos), autenticación de usuarios, detección de intrusos, auditorías de sistemas, perfiles de usuarios adecuados, backups, etc. • Anuladores de cookies: Los navegadores habituales aportan la posibilidad de no aceptar cookies o de preguntar su aceptación, aunque cabe reseñar que ciertos sitios web requieren su aceptación. Si añadimos que existen vínculos invisibles y frames continuos que requieren cookies, el usuario acaba por aceptar en las opciones de su navegador la aceptación de éstas, para no “agotarse” haciendo clicks en numerosas ventanas de preguntas. Existen además freeware (como cookie washer o cookie master) que realizan estas opciones de seguridad fuera de las opciones del navegador. • Servidores Proxy: El servidor Proxy es un servidor intermediario entre el usuario de internet y la red. Tiene varias funcionalidades, como la gestión de usuarios de acceso, caché web. En Tecnología y Seguridad 103 general, mejora el funcionamiento de la conexión de una empresa a internet, ya que con una misma conexión, todos los usuarios son capaces de conectarse a la red. El servidor Proxy no envía a la red la dirección IP del usuario y puede filtrar las cabeceras http. • Software que garantiza el anonimato: Estos programas permiten a los usuarios interactuar de forma anónima cuando visitan sitios web, pues primero pasan por un sitio que garantiza su anonimato disfrazando su identidad. (Ejemplos: Anonymizer, Zero Knowledge System, Privada.com, iPrivacy). • Detección de intrusos. • Honey Pots. • IP Tunneling. Y por último no cabe olvidar, dos soluciones evidentes: • Políticas y auditorías de seguridad. • Medidas técnicas sobre Protección de datos. Recuerde La seguridad es un requisito fundamental para las empresas que ofrecen sus servicios por Internet, por ello las soluciones de seguridad que debe disponer deben ser adaptadas contínuamente. 9.5. Ejemplo de un e-commerce seguro Como hemos visto continuamente en este libro, la creciente importancia del comercio electrónico lleva consigo una necesidad de sistemas de pago adecuados para la venta de productos y servicios. Dos de los factores más importantes que limitan la expansión del comercio electrónico son las preocupaciones por parte de los usuarios acerca de los riesgos que implica el envío por Internet de detalles de la tarjeta de crédito y la posibilidad que su información confidencial se revele ilegalmente a terceros. Pero el usuario debe saber que hay otras posibles vulnerabilidades. Estos riesgos también hay que evaluarlos para la empresa que coloca su tienda virtual para vender sus productos. El no tener un sistema seguro puede acarrearle problemas que pueden hacer peligrar la continuidad de su negocio. Hoy en día, los servicios de pago en internet se basan en conexiones seguras (típicamente SSL), que se implemente en los navegadores más utilizados y establece un canal seguro entre los ordenadores del consumidor y del website a través de encriptación y certificados digitales. Para atreverse a comprar en la red con las garantías suficientes para nuestros datos sean utilizados únicamente para comprar lo que hemos escogido, podemos citar una serie de características, que deberían cumplir cualquier servicio de comercio electrónico: ∑ Seguridad de las transacciones. A la hora de comprar y pagar sobre internet es necesario proteger los datos bajo protocolos de seguridad como SSL y con autoridades de certificación que conozca nuestro navegador, o en las que confiemos y demos por válida el origen del certificado digital que utilice. ∑ Transacciones directamente sobre la entidad bancaria. Muchas de las tiendas virtuales muestra su página de pago donde se nos pregunta el número de la tarjeta VISA y su fecha de caducidad (habitualmente la última página en el proceso de compra) en páginas de su dominio. En cambio otros e-commerce se conectan directamente con pasarelas de pagos virtuales. El uso de esta segunda alternativa es más segura para el usuario, pues sus datos sólo serán conocidos por la entidad fi nanciera y no serán almacenadas en bases de datos del e-commerce, aumentando por tanto, el peligro de su privacidad. 104 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Comercio electrónico Web de la entidad financiera SSL Cesta de la compra Total... 200 Tarjeta nº El comercio electrónico no captura los datos de la tarjeta, lo hace la entidad financiera a través de una conexión segura Su compra ha sido procesada OK / no OK Pago correcto/incorrecto Caducidad Certificado de servidor Compra OK/no OK Fig. IX-9. Transacciones seguras a través de la TPV virtual de la entidad financiera. ∑ Protección de las bases de datos del e-commerce: Las bases de datos donde se almacenen la información del comercio virtual, deberá disponer de usuarios y contraseñas, conocidas únicamente por los administradores del sistema (incluso protegidos a programadores), y deberán cambiarse periódicamente. ∑ Protección de los programas en servidor web: Existen ciertas vulnerabilidades en servidores web (IIS de Microsoft o Apache de Linux), que permiten a hackers o “curiosos de la red”, poder ver, por ejemplo, el código fuente de scripts16 que se ejecutan en servidor, y donde podrían conocer como acceder a ciertos datos, como números de tarjetas de crédito, de usuarios que han utilizado los servicios de compra de un cierto comercio electrónico. ∑ Información sobre protección de datos personales: Un ecommerce seguro17 deberá informar al usuario de: 1. La fi nalidad de los datos que se le piden y almacenan. 2. Cómo acceder a los derechos de acceso, rectificación y cancelación de los datos que se le piden. 3. Si el sistema utiliza cookies, u otros métodos de detección de perfiles y patrones de uso y navegación. 4. Los protocolos de seguridad utilizados en las transacciones. 5. El responsable de seguridad y del tratamiento de los datos. ∑ Un ISP seguro. Un proveedor de servicios que aloje una tienda virtual debería ofrecer en sus servicios y ser utilizados por el e-commerce, cortafuegos y sistemas de detección de intrusos, para aumentar la seguridad de “curiosos” que quieran entrar por “otras puertas”. Esta información podrá ser diferencial a la hora de elegir un ISP para alojar un negocio electrónico. Actualmente los DataCenters18 de servicios avanzados de internet, ofrecen en su portafolio de productos y servicios, valores y aspectos de seguridad en todos los ámbitos. 16 Los scripts son pequeños programas independientes, que se ejecutan en el ordenador del usuario (por ejemplo Java Script) o en el servidor (ASP ó PHP). Conocer para un usuario el código script de servidor es un peligro para la seguridad de acceso a los datos. 17 Ver Real Decreto Recomendación de la Agencia de protección de datos sobre sitios web y Ley de las Sociedad sobre Servicios de la Información. 18 Servicios avanzados de internet donde se agrupan el alojamiento de espacio web (hosting), conexión a internet de servidores (housing) con la posibilidad de conectividad a otros proveedores (co-location). Tecnología y Seguridad 105 Fig. IX-10. Arquitectura de un e-Commerce seguro. 9.6. Ejemplo de seguridad en un servicio e-business multiagente Estudiamos un caso particular de negocio en Internet, donde se ven implicados diversas partes, donde la seguridad de los datos que se tratan y viajan por la red es fundamental. En un entorno de trabajo entre las asesorías que realizan los trámites fiscales (impuestos, etc) y laborales de empresas, la Administración tributaria (AEAT) y las entidades financieras, se creó por parte de la Administración pública, el protocolo NRC que permite la interconexión entre estos agentes para el pago de declaraciones (impuestos) a través de los servicios de banca a distancia y la web de la Agencia Tributaria. El sitio web de la AEAT (www.aeat.es) dispone de diversos servicios telemáticos para el usuario final que presenta su declaración de la renta, y para los asesores fiscales y laborales que presentan estas declaraciones por sus clientes. 106 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas En este entorno plenamente B2B, estudiamos en estas líneas la Seguridad en el tratamiento y envío de Presentaciones telemáticas por lotes NRC, donde se ven implicados tres agentes: el asesor, la entidad financiera y la Agencia Tributaria. En el tratamiento y envío telemático de declaraciones mediante el protocolo NRC (envío por lotes de diversos contribuyentes y declaraciones en un solo paso) intervienen tres agentes: ∑ El sistema de información del asesor fiscal El módulo NRC integrado en la plataforma de aplicaciones de CCS Profesionales, que gestiona la solicitud de NRCs a partir de los programas de gestión, lee las respuestas de la entidad financiera, gestiona los archivos devueltos correctos y no correctos para prepararlos en el formato de la AEAT (además de otras gestiones diversas: listados, integración con otros aplicativos, etc). La seguridad en este sistema de información debe: • Seguridad en el control de acceso al aplicativo que gestiona los ficheros y la información de los mismos (identificación del usuario y autenticación). • Seguridad en la base de datos asociada al sistema de información (en este caso la base de datos Caché). • Por temas de protección de datos personales, el asesor debe disponer de un contrato con sus cliente (el “contribuyente” para la AEAT), ya que el asesor en este caso hace la funciones de encargado del tratamiento. ∑ El programa de Banca a distancia de la entidad financiera que incorpora la lectura de solicitudes de ficheros NRC, los procesa y envía las respuestas (ficheros con el NRC) al usuario: • La identificación y autenticación del usuario (el asesor fiscal) se realiza en el website también bajo SSL. • Seguridad en la transmisión de la información. El servicio de banca a distancia vía web suele funcionar bajo el protocolo SSL que encripta los datos entre el asesor y la entidad financiera. • El asesor debe firmar un contrato de servicios con la entidad financiera. Este contrato junto con los que el asesor firma con sus clientes forman la prestación de servicios “expresa y por escrito”, según la LOPD. • Los sistemas técnicos que garantizan la seguridad interna obvia de los sistemas de información de la entidad financiera. ∑ La AEAT que a través de sus servicios en la web, el asesor presenta las liquidaciones previamente procesadas por los anteriores agentes. ∑ La seguridad en la comunicación viene garantizada por el certificado digital de la FNMT del asesor, que asegura la confidencialidad e integridad así como la autenticación del mismo ante la AEAT, ya que incorpora la firma del titular y la de la autoridad de certificación (la FNMT) en la que confían emisor y receptor del servicio. Una PKI entre el asesor, la Administración tributaria y la FNMT. • El sistema de información del asesor crea ficheros de solicitud de NRC a partir de información de los aplicativos de gestión. • El asesor se conecta al servicio de banca a distancia, mediante una comunicación segura, para enviar la solicitud de los archivos NRC. • El asesor descarga de Internet estos archivos NRC (con su código de error si existe) y se incorporan al sistema de información del asesor para su control, gestión y posterior envío a la AEAT. Tecnología y Seguridad 107 • El asesor se conecta a la web de la AEAT y mediante su certificado digital se autentica con el sistema. Desde el applet java de la web se procede al envío de los ficheros preparados por los anteriores agentes. • El asesor visualiza el comprobante del envío (correcto o no). 9.7. ASP (Application Service Provider) Los proveedores de aplicaciones o ASP (Application Service Provider) se encargan de gestionar aplicaciones de software estandarizadas para diversos clientes en régimen de alquiler y a través de Internet. El amplio y creciente mercado abierto ante las innumerables posibilidades que ofrece Internet ha convertido a los proveedores de aplicaciones en Internet en uno de los sectores que mayor protagonismo está cobrando, basando su principal foco de negocio en la gestión de aplicaciones de software estandarizadas y personalizadas en régimen de alquiler y a través de la red. Los ASPs como servicios de alojamiento deberá incorporar todas las medidas necesarias de seguridad posibles, ya que precisamente el convencer a su cliente de que sus datos, a partir del día que contrata sus servicios, ya no estarán en su empresa , sino que en un ISP, será la tarea más difícil. Una tarea de comunicación donde la palabra SEGURIDAD será la clave del argumentario: ∑ Seguridad física. ∑ Seguridad lógica: • PKI. • Política de certificados. • Firewalls. • Antivirus, contenidos malignos y detección de intrusos. • Alta disponibilidad. ∑ Seguridad de aplicaciones y BBDD: • Seguridad para los administradores de cada cliente. • Seguridad para los usuarios finales (clientes de los clientes del ASP). ∑ Servicios de gestión continuada (24x7x365). ∑ Seguridad de las comunicaciones: • Acceso a Internet y al ISP. Un servicio posible que puede ofrecer un ASP es el denominado “Back-up Remoto”, que consiste en una funcionalidad extra de copias de seguridad, de tal manera que se efectúa una copia de resplado hacia el ASP, por ejemplo cada noche. Esta es una medidad de las bautizadas como “contra desastres” y puede formar parte de un plan de contingencia bien organizado, para tener esta copia de la información en un lugar fuera de la empresa. 10. Movilidad y m-Commerce 10.1. La internet wireless La internet sin hilos realmente representa el hito a conseguir por la tecnología de comunicaciones, software y harware. Un ideal que todos los que trabajamos con la red y los usuarios domésticos, vemos cada día más cerca con la proliferación de los dispositivos móviles y los servicios asociados a ellos. Con los teléfonos móviles está pasando algo parecido que pasó antes de la web. Cuando con terminales Unís y antes de que estuviera el Mosaic, navegábamos mediante gopher para decubir cosas en la red y comunicarnos mediante chat en entorno host con colegas de universidades de otros países. Hoy en día los mensajes SMS son los gophers de antes, y representan el preludio del WAP, y éste de GPRS y éste del esperado UMTS,donde prodremos recibir en un dispositivo móvil y pequelño “casi de todo”. 108 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas En este capítulo vamos a estudiar los conceptos y aspectos de seguridad en tecnologías de acceso inalámbrico, en dos vertientes, una dentro de organizaciones y otra orientada a usuarios finales. Estos conceptos los hemos agrupado en los términos movilidad y m-Commerce: • Movilidad: El acceso móvil a información corporativa ya está al alcance de las empresas, gracias a la tecnología GSM y GPRS, en el camino de la espera de la tercera generación a través de UMTS. Utilizamos el término “Movilidad”, porque gracias a entornos de acceso a datos sin cables, los empleados y clientes pueden acceder a los sistemas informáticos con dispositivos como teléfonos WAP, terminales PDA y portátiles. Los conceptos de trabajar fuera del despacho, fuera de la oficina, sin fronteras de movilidad, se abren a las empresas para que los ejecutivos, comerciales y consultores, dispongan de acceso al e-mail corporativo, aplicaciones de trabajo, con disponer sólo del dispositivo apropiado. • M-Commerce: Los servicios de comercio electrónico a través de dispositivos móviles para el usuario, está emergiendo como un vía rápida de acceso a servicios y productos en Internet , donde la seguridad representa un factor clave para su desarrollo. 10.2. Pasado, presente y futuro en telefonía móvil Ambos conceptos, el del acceso del usuario doméstico a Internet y el de uso por organizaciones a datos en redes inalámbricas las podemos estudiar en las generaciones de telefonía móvil, resumidas en el siguiente cuadro: • Tecnologías: • AMPS (USA). • USDC (United States Digital Cellular System). • ETACS (Europa)-España Telefónica Moviline (400.000 usuarios en el año 2000, 4% cuota mercado. Soporte digital de voz y datos • Tecnologías: • IS-95 (USA). Compatible con el sistema AMPS. Velocidad de datos a 9.6 kbps, 14,4 kbps y 115,2 kbps. • GSM (Europa-Australia, países sudamericanos y otros). Implantado desde 1993. Voz, fax, videotexto y teletexto. Velocidad de datos a 9.6 kbps. Encriptación de datos. 2G SEGUNDA GENERACIÓN PRIMERA GENERACIÓN 1G Voz analógica, implantada por primera vez en 1983 • 2.5G • xG FUTURAS GENERACIONES • • TERCERA GENERACIÓN 3G SEGUNDA-TERCERA GENERACIÓN Tecnología y Seguridad 109 WAP: Sistema de mensajes avanzados para terminales digitales que permiten acceder a Internet en teléfonos móviles adaptados al protocolo mediante el lenguaje WML. Protocolo de seguridad WTLS (análogo del SSL). GPRS: Ofrece un acceso de datos por conmutación de paquetes sobre la red GSM. Máxima velocidad de 171.2 kbps, conexión inmediata y conectividad con redes TCP/IP (internet). GSM EDGE: Sobre la red GSM utilizando diversos canales se consigue mayor velocidad de acceso (máximo de 64 kbps). GSM HSCSD: También desarrollada sobre la red GSM pero requiriendo terminales móviles especiales, este sistema basado en modulación denominada 8PSK puede llegar a alcanzar velocidades de transmisión de datos de 48 kbps. Los sistemas de telefonía movil de tercera generación se ha diseñado para proveer servicios multimedia (voz, internet, imagen): • Velocidades de hasta 2 Mbps. • Compatibilidad con sistemas de 2G. • Accesos simultáneos de servicios (hablar y conectarse a Internet al mismo tiempo). La estandarización de los diferentes sistemas pasa por el UMTS que actualmente (junio 2002) no se ha clarificado, existiendo diversos sistemas como el CDMA2000 (USA) y el WCDMA (Europa). • Wireless LANs (redes sin hilos) a 10 Mbits/s. • Estaciones estaratosféricas para conseguir velocidades de hasta 47 GHz que requerirán roaming entre sistemas (terminales que soporten diferentes sistemas). • Redes inteligentes, ITS (Intelligent Transport System), redes integraninformación, telecomunicaciones, carreteras, vehículos, etc. que 10.3. Tecnologías wireless 10.3.1. Comunicaciones wireless seguras Un sistema de comunicación es seguro cuando el receptor recibe exactamente aquello que el emisor ha enviado. El canal de comunicación puede ser una vía de inseguridad, para ello se utilizan sistemas de codificación, además de la posible intervención directa de la comunicación (curiosos, hackers, etc), para ello se utilizan sistemas de criptografía. En general la seguridad en redes inalámbricas y dispositivos móviles , se puede definir en tres niveles: • Seguridad operacional, cuando los datos deben llegar correctamente al destinatario. • Seguridad del operador, de tal manera que el sistema lo utilice aquel que paga el servicio. • Seguridad del usuario. Hace referencia a la confidencialidad y privacidad de la información que viaja por la red asociada al usuario que la está utilizando. 10.3.2. Tecnologías wireless • WI-FI (Wireless Fidelity): Basada en el protocolo 802.11b, para el acceso a redes locales, proporciona una ancho de banda de 11 Mbps a distancias de hasta 100 m. Tiene importantes problemas de seguridad, por lo que se han desarrollado estándares como WEP, (Wired Equivalent 110 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Privacy) sobre el IEE 802.11, para implementar medidas adicionales de seguridad (Radius, Kerberos, VPN, SSL, PKI, etc). • WAP: El Wireless Application Protocol es el protocolo por excelencia de aplicaciones por internet sin cable. Es un sistema no propietario, como C-HTML (HTML compacto y válido para terminales internet con pantallas pequeñas), y a diferencia del Web Clipping que es un sistema prpietario de las PDAs de Palm. WAP, a diferencia que CHTML es algo más que un lenguaje de tags , es un conjunto de protocolos específicos para la red móvil. Esto le hace más complicado, pero para nuestro interés, más fiable. Aunque WAP utiliza sus propios protocolos (como WML o WTSL, el paralelo de SSL sobre la red móvil), está diseñado para ser completamente compatible con internet. Así una página que sirva cualquier website y por el protocolo HTTP sobre TCP/IP podrá convertirse a WAP al pasar por la pasarela entre internet y la red sin cable. En esta transición de redes, en la pasarela o gateway, es donde pueden encontrarse las vulnerabilidades básicas, fáciles de resolver, pero costosas. Fig. X-1. Arquitectura WAP. • Bluetooth: La nueva tecnología Bluetooth nace de la necesidad de solucionar las limitaciones de movilidad en el entorno de ordenadores y periféricos y de su interconexión entre ellos. Establece un nuevo estándar basado en un sistema de rediofrecuencia de corto alcance con el objetivo de permitir la comunicación. Esta tecnología permite la comunicación inalámbrica a pequeñas distancias (10 m. aproximadamente) con una ancho de banda de 1 Mbps. Bajo Bluetooth, se han desarrollado multitud de aplicaciones en dispositivos electrónicos (periféricos de ordenadores personales, tarjetas contact-less, teléfonos móviles, reproductores de sonido, PDA’s, etc). La clave de esta tecnología es la interoperabilidad, de tal manera de cualquier dispositivo que disponga del sello Bluetooth, pueda conectarse con otro independientemente del fabricante. Fue Ericsson quien desarrolló Bluetooth para comunicar sus teléfonos móviles con ordenadores. A partir de entonces, otros fabricantes se apuntaron al estándar: Intel, IBM, Nokia, Toshiba, etc. Actualmente son más de 1500 compañías las que desarrollan software y hardware bajo la firma BlueTooth. Tecnología y Seguridad 111 BlueTooth • Comunicación entre todo tipo de dispositivos dentro de una determinada cobertura. • Sistema de homologación muy estricto para conseguir la compatibilidad total, versión actual 1.1. • Sustitución del cable. • Acceso a voz y datos. • Radiofrecuencia a 2.45 GHz – velocidad de transmisión a 1 Mbps. • Alcance 10 m (0 dbm). Se pueden conseguir más distancias con antenas y amplificadores (hasta 100 m y 2 Mbps). • GPRS: Hasta ahora, la transmisión de datos en teléfonos móviles tuvo siempre en los servicios de voz su principal utilización. El primer servicio WAP en España apenas apareció en el año 2000 y el SMS solo comenzó a utilizarse en gran escala hace poco más de un o dos años. A pesar de que los fabricantes de redes y dispositivos comunicaciones móviles están ya desarrollando la tercera generación de teléfonos móviles (UMTS), que permitirá adelantos sin precedentes en el campo de la Internet móvil, existen otras tecnologías que intentarán hacer el puente entre la 2ª e 3ª generación con relación a la transmisión de servicios de datos. El General Packet Radio Service (GPRS) es uno de estos nuevos adelantos apellidados de 2.5 G (segunda generación y media) debido al echo de posibilitaren un mayor abanico de opciones que los sistemas de 2ª generación pero aún se situaren detrás del UMTS con relación al vídeo y multimedia. GPRS, por tanto es la red de comunicaciones móviles creada específicamente para la transmisión de datos, y está totalmente operativa a precios asequibles para empresas en el mercado español. El retraso de UMTS y la recesión económica que ha obligado a las empresas, a buscar la máxima rentabilidad en sus inversiones en Tecnologías de la Información y Comunicaciones, han hecho desarrollar con éxito la tecnología GPRS, como una nueva forma de trabajar en las empresas, logrando que la Internet móvil se convierta de un mito a una realidad palpable. GPRS permite un mayor ancho de banda mayor que GSM (40 kbps frente a los 9 kbps de GSM) y es ideal para proporcionar acceso desde el móvil (conectado al portátil o integrado en la PDA) a las redes IP y sus servicios asociados (acceso a internet/Intranet, WAP, email, etc). Sobre aspectos de seguridad, GPRS dispone del estándar 3GPP, donde se recogen los mecanismos a implementar en la red para poder autenticar al usuario y al terminal, garantizar la confidencialidad del usuario y la integridad de la comunicación. Los sistemas que cubren estos aspectos se basan en mecanismos de desafío/respuesta sobre el IMEI (International Mobile Equipment Identity), algoritmos asimétrcicos como el A3 y el A5, y el empleo de una TLI (Temporary Logical Link Identity) para la confidencialidad de la información. Las soluciones de seguridad como VPN y PKI se pueden implementar sobre GPRS, y existen soluciones concretas como Firewalls específicos (como Firewall-1 GX de Check-Point), para filtrar los paquetes en conexiones roaming, identificando y previniendo la entrada de paquetes “anormales” o desconfigurados, al mismo tiempo que no se pierde la calidad de servicio requerido por los usuarios de móviles. 112 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas GPRS • • Acceso móvil a Internet, desde un PC o PDA mediante un teléfono GPRS como móvil • Acceso móvil a Intranet • Acceso móvil a aplicaciones corporativas, ERP/CRM/SCM • Máxima velocidad teórica a 171.2 kbps • Ancho de banda bajo demanda • Aplicaciones • Chat • Navegación en la red y WAP sobre GPRS • Imágenes • Transferencia de archivos • Email y Audio • Control remoto de sistemas UMTS: Como hemos citado antes el UMTS promete ser la tecnología en la tercera generación de dispositivos móviles. El UMTS será por tanto el sistema universal de telecomunicaciones móviles. Es un protocolo de banda ancha de transmisión de paquetes e inalámbrico, que ofrecerá una velocidad de transmisión superior a 2 Mbps. Este nuevo protocolo de banda ancha permitirá la transmisión de señales digitales de vídeo a aparatos portátiles con la misma calidad de la televisión. Actualmente la red GSM permite velocidades en torno a los 11 kbps, suficientes para transmitir señales sonoras pero no imágenes en movimiento. 10.4. El m-commerce: un mercado emergente Las compras a través de nuestros terminales de teléfono móvil se hacen cada vez más habituales, este tipo de comercio, denominado m-commerce, se encuentra actualmente en una fase de crecimiento acelerado, que han dejado “puertas abiertas”, “agujeros de seguridad” que requieren soluciones de arquitecturas adecuadas. El comercio electrónico desde dispositivos móviles plantea diferente problemática que el acceso desde un terminal donde llega la información por cable. Ocurre, que debido a estas soluciones de seguridad que no han crecido al mismo nivel que la venta de móviles, pueda incluso al m-commerce, verse frenado, haciendo de esta manera, urgente el plantearse la seguridad y la privacidad como punto indispensable a tratar cuando una empresa quiere entrar en el mundo de los negocios a través de la red móvil. Sobre la red móvil viajan actualmente aplicaciones de banca, tiendas virtuales, publicidad, aplicaciones de localización, juegos, programas informáticos, que hacen que no sólo sea indispensable la seguridad, sino también la privacidad, como venimos citando en varias ocasiones en el presente manual. En el despegue de lo inalámbrico, tenemos que pensar que los dispositivos móviles no sólo pueden ser utilizados por personas, sino también por otras máquinas que la utilicen de forma automática. Por ejemplo una máquina tragaperras o un terminal que dispone de datos personales, y que envía información por GSM de su facturación diaria. Punto también de importancia al pensar en la privacidad de los datos. Existe además un problema relacionado con la misma evolución de la tecnología. Los teléfonos móviles de hoy que acceden a internet mediante el protocolo WAP (por eso también se concibe el término w-commerce), serán mañana terminales UMTS y dispositivos de 3G, y dejarán obsoletas las soluciones y técnicas de hoy, para dar paso a las nuevas. Tecnología y Seguridad 113 10.5. Vulnerabilidades de seguridad Teléfonos móviles GSM, consolas Palm, dispositivos WAP, etc son canales de venta para el comercio electrónico o aplicaciones que requieran alta seguridad y que por su arquitectura de información por vía radio, pueden tener los siguientes problemas sobre seguridad y privacidad. • Tamaño de los dispositivos: Básicamente un problema que pueda parecer sorprendente como el tamaño es que los dispositivos móviles son aparatos fáciles de perder y por tanto, fáciles de utilizar por personas que únicamente con conocer un código PIN y quizás una password, podrán efectuar compras por internet. Además el hecho de que las pantallas son más pequeñas, hace que las soluciones mcommerce, utilicen mecanismos de autenticación con “menos letras”, guardando información del tipo cookie en los dispositivos, y haciendo más fácil la vulnerabilidad del uso ilegítimo. • Soluciones de encriptación mas costosas: La encriptación entre la red inalámbrica y la alámbrica se pierde, debido a que la gateway que precisamente hace esta conversión, necesita trabajar con los datos digitales sin encriptación, por lo que las soluciones m-commerce con transacciones deberían adquirir la gateway detrás del cortafuegos, estando normalmente en el ISP. • Privacidad: Existen numerosas soluciones basadas en la localización física del movil y del usuario que la utiliza, tecnología e-positionning que podría incurrir en materia de protección e datos y en todo caso vulnerar la confidencialidad del de la persona que lo utiliza. Vulnerabilidad: normalmente los gateways wap, se sitúan en la red del operador DISPOSITIVO MOVIL SERVIDOR WAP GATEWAY SSL WTLS Con esta arquitectura, los datos en este punto aparecen desencriptados Fig. X-2. 114 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Aumentar la seguridad: Situar la pasarela detrás del cortafuegos, implica mayor gasto para la empresa de soluciones m-commerce, a diferencia de sistemas TI alámbricos que la situarían en el ISP FIREWAL GATEWAY Back-end corporativo Fig. X-3. Riesgo y solución en la pérdida de la encriptación con el protocolo SSL. 10.6. Soluciones de seguridad en dispositivos móviles Las soluciones de seguridad y privacidad sobre dispositivos móviles deben proteger el acceso, los contenidos y las transacciones: • Arquitectura de red: Hemos visto en el esquema anterior la vulnerabilidad que presenta la transición de la red fija a móvil. Para la empresa que quiera incorporar el m-commerce en sus estrategias de negocio y quiera evitar la costosa implantación de pasarelas de conversión de datos (gateways), necesita contratar una solución de servicios englobada en un ISP que ofrezca la conversión WAP, la integración con la red inalámbrica, servicios de hosting y co-location, así como acceso a bases de datos e integración con VPNS. Otras tendencias tecnológicas sobre radio son LDMS (Banda ancha pero actualmente costosas licencias de adquisición). • Autenticación: • Password based. • Clave pública PKI sobre RSA. • Certificados digitales. Certificados integrados en los móviles o en los servidores WAP, permiten realizar compras seguras identificando al usuario y encriptando la información. • Por voz: La última tendencia tecnológica en autenticación sobre dispositivos móviles es el reconocimiento de voz. Identificar al usuario de telefonía movil en operaciones de comercio electrónico mediante su voz, sin necesidad de utilizar certificados, contraseñas, PINs, simplifica el proceso de compra y aumenta las posibilidades del m-commerce. Las tecnologías de reconocimiento de voz se basan en soluciones soft sobre sistemas operativos inteligentes, como el Nuance 7, apoyadas por sistemas hardware de reconocimiento de señales acústicas humanas en tiempo real. • Encriptación: • DES, 56 bits. • A5 sobre GSM. La seguridad entre dispositivos GSM es de las más desarrolladas. • Protocolo WLTS. El protocolo SSL equivalente sobre la red móvil. Es un protocolo de la familia WAP. Tecnología y Seguridad 115 • Virus: Debido a la funcionalidad limitada de los dispositivos móviles, el riesgo de que llegue un virus a un móvil o PDA es menor que a un PC doméstico. Pero no podemos olvidar el riesgo que ello supone y así lo advierten las compañías anti-virus que deben vigilar e investigar día a día la tecnología y los peligrosos creadores de tales criaturas informáticas. Los riesgos más cercanos pueden venir, por ejemplo, por Wscript o por envíos masivos de mensajes SMS desde PCs (como el caso del virus Timofónica). Fig. X-4. Estructura de red de PKI para una red inalámbrica. Fuente RSA Security. Recuerde El acceso móvil a información corporativa y a servicios a usuarios finales, ya está al alcance de todos, con tecnologías cada vez más “rápidas”, donde la seguridad representa un factor clave en el desarrollo e implementación de las mismas. 11. Protección de datos personales. Medidas técnicas 11.1. La adecuación de los ficheros y la empresa La adecuación de una empresa u organización a la normativa de protección de datos representa cumplir diferentes medidas englobadas en tres grupos: • Medidas organizativas: • Reestructuración de ficheros y de sus responsable. • Responsables de seguridad, del fichero, etc según la normativa de protección de datos, LOPD 13 dic 99 y Real Decreto 994/199. • Medidas técnicas: • Reestructuración de ficheros, Sistemas de Tratamiento y recursos. • Usuarios, contraseñas, control de acceso, copias de seguridad, etc. • Medidas legales: • Relacionadas con la legitimación de la información: contratos de outsourcing, entrada, salida de información. • Procedimientos de cesión de datos , medidas a tomar en la baja de empleados, etc. Para situar la auditoría técnica y la implantación de las medidas apropiadas según el nivel de seguridad requerido (bajo, medio o alto), observamos en el siguiente esquema gráfico su rol en la globalidad de las actuaciones que se deben realizar en la empresa para adecuarla a la normativa: 116 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas FICHERO Legitimación Documento de seguridad Implantación de medidas técnicas sobre: • Los Sistemas de Tratamiento • Los RECURSOS Registro frente a la APD Fig. XI-1. Las obligaciones de las empresas que tratan ficheros que contienen datos personales. Donde situar la adecuación técnica. • Legitimación: Toda la entrada de datos personales en el fichero debe ser “legitimada”. • Documento de seguridad. Reglamento interno de seguridad que más tarde estudiaremos. • Medidas técnicas para cumplir el nivel de seguridad requerido. • Registro del fichero ante la Agencia de Protección de Datos. 11.2. La auditoría técnica 11.2.1. Objetivos y fases de trabajo En la auditoría técnica (informática y de comunicaciones) de cumplimiento de la normativa de protección de datos personales se pueden distinguir dos fases principales: 1. Identificación de ficheros, sistemas, recursos, datos, contenido, calidad, etc. Un control técnico de un profesional adecuado deberá ser capaz de identificar todos estos agentes que conformarán el siguiente paso. 2. La implantación de medidas técnicas y de procedimientos. Todo ello adecuado al nivel de seguridad requerido. La lectura y estudio del Real Decreto 994/1999 conlleva en la auditoría técnica, las siguientes etapas de manera, que detallamos en este esquema de manera más específica: Tecnología y Seguridad 117 Identificación Medidas técnicas Procedimientos 15. Ficheros 16. Sistemas de Tratamiento y recursos 17. Calidad y contenido de los datos 18. Usuarios y accesos a los datos 19. Nivel de seguridad 5. Identificación y autenticación 6. Control de acceso 7. Copias de respaldo 8. Ficheros temporales 9. Pruebas con datos reales 10. Redes de comunicaciones 11. Control de acceso físico 12. Auditorías (a partir de nivel medio) 13. Registro de acceso (sólo nivel alto) 14. Cifrado (sólo nivel alto) 1. Registro de incidencias 2. Control de entrada y salida de soportes informáticos 3. Inventario de soportes 4. Política de contraseñas Fig. XI-2. 11.2.2. Los ficheros, los Sistemas de Tratamiento y los recursos Según la normativa sobre protección de datos estudiada con detalle en la parte III del manual, las medidas técnicas recopiladas en el RD 994/99, hay que aplicarlas sobre el FICHERO en su totalidad. Sobre esta medida general y debido a la infraestructura informática de las empresas y organizaciones (programas informáticos de diferentes proveedores) se deben aplicar estas medidas en diferentes sistemas. Repasamos las definiciones que nos interesan para este punto, extraídas de la LOPD 13 dic. 99 y el RD 994/99: 1. Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. 2. Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. 3. Sistema de información: Conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal. 4. Recurso: Cualquier parte componente de un sistema de información. Una lectura de estas definiciones nos hace cuestionar ¿A nivel técnico qué es un fichero y dónde debemos aplicar en la práctica las medidas técnicas?. Una respuesta técnica-jurídica (y obligatoriamente práctica) debe considerar que se deben aplicar las medidas al conjunto de todo el FICHERO. Por ello resulta vital, generalizar al máximo el termino FICHERO y dividirlo en los Sistemas de Tratamiento que lo componen y los recursos que tratan los datos personales, sobre todo al regular los mecanismos de control de acceso, identificación y autenticación. 118 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas FICHERO Sistema Tratamiento 1 Sistema Tratamiento 2 Recurso 1 Recurso 2 Fig. XI-3. La estructura de ficheros, Sistemas de Tratamiento y recursos. ¿Cuándo distinguir entre distintos ficheros? Es una de las preguntas clave en la auditoría de protección de datos. La respuesta más sencilla es la que debe tener en cuenta que al registrar un fichero, las medidas técnicas se deben aplicar a todo el conjunto del mismo. Por lo tanto puede ser conveniente en un ejemplo real, reestructurar la información (Sistemas de Tratamiento y ficheros) en dos ficheros: uno de nivel básico y otro de nivel alto, para evitar aplicar medidas técnicas como cifrado de la información a todos los aplicativos informáticos de una empresa, y sólo hacerlo en aquellos que traten datos del nivel alto. La decisión de cuantos ficheros adecuar representa también un factor organizativo, de gestión y de trámites con la Agencia de Protección de datos, por lo que resulta práctico disponer del mínimo número de ficheros posibles. ¿Cuándo distinguir entre diferentes Sistemas de Tratamiento? El control de acceso a los recursos informáticos nos permitirá diferenciar los distintos Sistemas de Tratamiento. Cuando a un conjunto de programas accedamos de la misma manera (con el mismo usuario y password, por ejemplo), estos recursos formarán un sistema y agruparemos en otros cuando el control de acceso sea distinto. Habitualmente habrá diferentes Sistemas de Tratamiento cuando haya diferentes proveedores de software, puesto que además de que sus bases de datos son diferentes, la manera de acceder a los recursos son también diferentes disponiendo en la mayoría de casos de listados de usuarios y contraseñas diferentes. Un punto importante es considerar un sistema de información aparte todo lo relativo a la conexión externa a Internet de la organización. Englobamos en este caso el acceso web, email, ftp, etc. Por ejemplo un empleado de una empresa utiliza diferentes recursos (el navegador, el programa de correo y otros) susceptibles de tratar (entrar y salir y almacenar datos personales) que agrupados formaría un sistema de información denominado “sistema de información internet”. ¿Cuál es la mejor opción en la auditoría técnica de una empresa? Entenderemos fichero, por tanto, a todo el conjunto de datos informatizados de la empresa, y definiendo en todo lo posible un solo fichero (ya que disponer de varios, significa disponer de varios responsables por fichero, varios documentos de seguridad, etc). Será oportuno declarar varios ficheros Tecnología y Seguridad 119 cuando las medidas técnicas a aplicar a todo el CONJUNTO DE DATOS sea difícil de implantar y en algunos casos inviable, por ejemplo cuando medidas de cifrado de la información (si el fichero es de nivel alto) sea difícil de realizar en todos los Sistemas de Tratamiento de la organización. 11.2.3. Un ejemplo práctico: un despacho profesional con Sistemas de Tratamiento de acceso remoto Para aclarar esta distinción entre ficheros, Sistemas de Tratamiento y recursos, pensemos en un ejemplo de una asesoría laboral-fiscal que dispone de cantidad de datos personales: • Sus clientes personas físicas a las que realiza gestiones fiscales (Declaración de la renta), trámites de gestoría, seguros, etc. • Sus clientes personas jurídicas a los que realiza las nóminas de sus trabajadores y toda la gestión laboral, además de las liquidaciones tributarias (IVA, IRPF, etc) de la empresa. • Datos personales de sus empleados, donde en la misma asesoría se le realizan sus nóminas y otras gestiones propias de recursos humanos. Pensemos que la asesoría dispone (como es evidente) de una serie de programas informáticos de gestión para realizar todos los procesos que trate por ejemplos datos de nómina donde el dato de persona discapacitada puede estar informada y los trate en programas informáticos, el fichero a declarar y proteger será de nivel alto. El acceso remoto a estos datos deberá encriptarse (típicamente en internet utilizando SSL). Si esta medida de encriptación las aplicáramos a todo el conjunto de programas informáticos del despacho, puede resultar imposible implantar esta medida técnica, y por ello oportuno declarar (y hacer diferentes documentos de seguridad e implantación de medidas) en dos ficheros: uno por ejemplo denominado administración y otro, por ejemplo, laboral internet. Red local de la gestoría-asesoría donde existen datos personales de sus clientes y de los “empleados y clientes de sus clientes”. En esta gestoría existen Sistemas de Tratamiento para llevar la gestión fiscal y laboral de las empresas a las que asesora y además existe otro sistema de información de acceso remoto (por Internet) a información laboral PARA CIERTOS CLIENTES Aplicación internet con identificación de usuarios El cliente del despacho gestiona la información laboral de sus empresas conectándose por Internet con su gestoría Fig. XII-4. Un caso práctico con dos Sistemas de Tratamiento, uno de ellos de acceso remoto por Internet. El siguiente esquema sería válido para entender la tipología de arquitectura técnica del fichero de una asesoría laboral y fiscal que dispone de datos de personas físicas y jurídicas en una plataforma de aplicativos informáticos de CCS Profesionales (CCSP), además de un software de gestión laboral donde el cliente de la asesoría se conecta al despacho para hacer ciertas gestiones on-line a través de internet: 120 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Fichero 1 ADMINISTRACIÓN Sistema de tratamiento 1 CCSP CACHE NT Fichero 2 LABORAL INTERNET Sistema de tratamiento 2 CCSP acceso Telnet Por cada fichero se debe disponer de un documento de seguridad y aplicar las medidas técnicas (y jurídicas) en su conjunto Sistema de tratamiento 3 Otras plataformas de programas Los Sistemas de Tratamiento del fichero se distinguen por el CONTROL DE ACCESO a los datos, la IDENTIFICACIÓN de los usuarios, el procedimiento de COPIAS DE RESPALDO y la AUTENTICACIÓN de los usuarios (contraseñas, etc) Recurso 1 CCSP LABORAL Recurso 2 CCSP RENTA Recurso 3 CCSP FISCAL Los recursos son los aplicativos informáticos que comparten el mismo sistema de información (típicamente la misma base de datos o el mismo proveedor de software). Cada usuario del despacho podrá entrar a los recursos que el sistema le permita (CONTROL de ACCESO) Fig. XI-5. Esquema de Sistemas de Tratamiento y recursos en el ejemplo. Fig. XI-6. El software GPD de CCS Profesionales permite gestionar y almacenar la información relativa a los sistemas de tratamiento y recursos asociados, de los que el control de acceso y la política de copias de seguridad son comunes. Tecnología y Seguridad 121 11.2.4. Control de acceso El control de acceso constituye una herramienta para proteger la entrada a una aplicación informática que trate datos personales, un sitio web o a una máquina que presta servicios en la red. Esta protección de la información puede ser a la máquina completa, a ciertos directorios o a ciertos recursos o programas. Como habíamos estudiado anteriormente, el control de acceso consta de tres fases: 1. La identificación. 2. La autenticación. 3. La autorización para el acceso. 11.2.5. El registro de Accesos de nivel alto A finales de junio de este año entrará en vigor el nivel alto de seguridad para los ficheros automatizados que contengan datos de carácter personal. Dicho nivel afecta a aquellos ficheros que contengan datos personales relativos a: ideología, religión, creencias, origen racial, salud y vida sexual. El punto principal de las especificaciones técnicas concretas de nivel alto es que deberá existir un Registro de accesos con las siguientes características básicas: 1. De cada acceso a un dato de nivel alto se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. 2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido. Usuario Sistema operativo Sistema de información FICHERO Recursos o aplicativos Base de datos Dato personal Fig. XI-7. El registro de accesos al fichero se puede diseñar en cualquier “etapa” informática en el proceso de acceso a los datos, desde el sistema operativo hasta la base de datos donde se alberga la información a proteger. Los mecanismos de registro de acceso que marcan la normativa para los ficheros de nivel alto, se podrán realizar en cualquiera de estas etapas, aunque lo ideal sería en los propios aplicativos pués son los que acceden directamente a los datos conociendo su calidad y cantidad, a diferencia de los sistemas operativos por donde pueden correr infinidad de recursos desconociendo el SO su naturaleza y por lo tanto, las medidas técnicas a aplicar. 122 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 11.3. Resumen de medidas técnicas Autenticación FICHERO Sistemas de tratamiento Identificación Back-ups Control de Acceso Acceso remoto Política de contraseñas Nivel Básico Nivel Medio Nivel Alto Distinción de Sistemas de Tratamiento y recursos SÍ SÍ SÍ Identificación SÍ Distinción de usuarios Distinción de usuarios Autenticación SÍ SÍ SÍ Registro de accesos -- SÍ SÍ Fichcros temporales Mismo nivel de seguridad Mismo nivel de seguridad Mismo nivel de seguridad Copias de seguridad SÍ SÍ Almacenadas en lugares distintos del servidor Calendario de copias de seguridad SÍ SÍ SÍ Procedimiento recuperación de copias -- SI SI Aplicar el mismo nivel de seguridad que en la red local Aplicar el mismo nivel de seguridad que en la red local Aplicar el mismo nivel de seguridad que en la red local Política de usuarios SÍ SÍ SÍ Política de contraseñas -- Posible método de autenticación. Aplicar Periodicidad Posible método de autenticación. Aplicar Periodicidad Limitación accesos reiterados -- SÍ SÍ Encriptación/cifrado de datos -- -- Aplicada en la transmisión de los datos Acceso remoto Tecnología y Seguridad 123 11.4. Soluciones informáticas para la protección de datos personales • • • • • Sistemas operativos y bases de datos: Los propios sistemas operativos y las bases de datos comerciales ya disponen de gestión de usuarios, niveles de identificación, autenticación (passwords), control de acceso, registro de acceso, control de las copias de seguridad, etc. Medidas necesarias todas ellas para la adecuación de los Sistemas de Tratamiento a la normativa de protección de datos personales. De gestión: Para gestionar los controles periódicos las auditorías internas y mantener el documento de seguridad totalmente actualizado, disponer de un registro de incidencias, inventario de soportes y el registro de entrada y salida de soportes. De Control de acceso a los sistemas: Un punto importante en las medidas técnicas es el registro de acceso. Si el fichero es de nivel alto se deben almacenar el usuario, la fecha y hora, el tipo de acceso y si este ha sido aceptado o no por el sistema. Normalmente este registro y control lo sirven los sistemas operativos y las bases de datos donde están funcionando los recursos informáticos, pero en le caso de que dispongamos en el mismo servidor de diferente Sistemas de Tratamiento deberemos habilitar en las aplicaciones (en los recursos) el control de acceso obligado. De Auditoría de sistemas y de red: Existen diferentes soluciones en el mercado que permiten disponer de un registro de accesos a los terminales, aplicaciones informáticas, bases de datos, etc, realizando un “rastro” de las operaciones efectuadas por el usuario, dejando así claramente especificado el registro de accesos que marca la normativa para los archivos de nivel alto. De protección y privacidad: Para cumplir los niveles requeridos de seguridad obviamente son necesarias herramientas de autenticación y encriptación: cuentas de usuarios, política de contraseñas, certificados digitales, protocolos de encriptación, etc. Marco jurídico 125 PARTE III. MARCO JURÍDICO 1. Los componentes de la seguridad jurídica en un entorno TIC’s 1.1. Aproximación al concepto de seguridad Es evidente que el término “seguridad” es un vocablo de amplio espectro en el sentido que podemos llegar a definirlo desde diversas aproximaciones del modo más científico y objetivo posible. Pero además cada uno de nosotros tiene una personal interiorización del concepto seguridad. Cualquier concepto integrante del saber humano, por muy complejo que resulte, se puede definir a través de dos caminos diferentes. Uno de ellos consiste en compararlo con conceptos y términos próximos pero distintos, tanto por su complementariedad como por su competitividad. Entendemos por conceptos complementarios aquellos que pueden crecer o decrecer en su gradación de forma paralela. Por contra los competitivos son aquéllos que a medida que uno aumenta el otro disminuye y viceversa. En esta línea definitiva podemos señalar que en principio “Seguridad” parece un concepto competitivo de “libertad” en el sentido antes descrito, pero nada más lejos de la realidad porque se llega a un punto de inflexión en la evolución de ambas variables de modo que por debajo de un umbral mínimo de “libertad” la “Seguridad” no sólo deja de aumentar sino que también inicia un proceso decreciente pudiendo llegar a niveles bajo mínimos. Siguiendo con el discurso encadenado, si aceptamos que en niveles normales “Seguridad” e “Intimidad” son conceptos complementarios porque se retroalimentan en su evolución ya sea creciente o decreciente y aceptando como cierto el silogismo que vincula “Seguridad” con “Libertad”, en los términos antes descritos, podemos llegar a la siguiente paradoja: 1) A más libertad, más Intimidad. 2) A más Intimidad, más Seguridad. 3) En consecuencia a más Libertad más Seguridad lo cual es una contradicción con la vinculación que hemos establecido entre ambas variables en condiciones normales. Esta paradoja del raciocinio se produce porque los tres conceptos que venimos analizando no son unidimensionales (con permiso de Umberto Eco) sino por al contrario son poliedros de innumerables caras. Las relaciones causa/efecto son ciertas a medias y en determinadas circunstancias. El otro camino de aproximación a cualquier concepto complejo consiste en realizar un proceso de análisis e intentar descomponer lo complejo en elementos más simples. En esta línea también cabe hacer una tarea de análisis desde diversas aproximaciones disciplinares; histórica, lingüística, antropológica, filosófica y eurística. Con un enfoque de esta naturaleza y para el caso que nos ocupa no podemos ignorar, que debemos incorporar la aproximación desde el punto de vista de la Tecnología y del Derecho y todo ello con la debida observación dinámica que resulta inherente al término aproximación. En nuestro caso vienen a cuenta por las razones expuestas las siguientes reflexiones: 1. La SEGURIDAD como concepto está profundamente enraizado con el instinto de conservación tanto a nivel de individuo como a nivel de especie y como tal concepto atávico tiene, necesariamente, una descomposición en factores conceptuales integradores. Más adelante habrá ocasión de entrar en dicho desglose. 2. La INTIMIDAD, uno de los integrantes sin duda de la “seguridad”, también es un concepto complejo que permite una aproximación multidisciplinar. Siguiendo al Dr. Josep Monserrat Catedrático de la Universitat Ramón Llull cabria una relación directa entre “propiedad” e “intimidad” y así parece confirmarlo el origen histórico de ambos conceptos y sus respectivos derechos vinculados y ahondando un poco más, encontraremos un concepto más profundo e individualista, eco la idea de que; “en la intimidad encuentra refugio aquello que nos define” (sic) en alusión a la persona, espiritual e irreductible al yo diferenciable, etc. 126 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 3. No podemos hacer abstracción de que estamos intentando proyectar conceptos tradicionales en el plano real sobre un nuevo entorno definido por las TIC’s y cuando menos deberíamos hacer una pregunta: ¿Los integrantes del concepto “Seguridad” en el plano real, son los mismos que ayudan a definir el mismo concepto en el plano virtual? Como primera aproximación a la respuesta vamos a establecer algunos de los componentes que integran el CONCEPTO SEGURIDAD en el PLANO REAL. y con esta finalidad obtenemos, sin ánimo de ser exhaustivos: a) DISTANCIA: lejos/cerca. b) TIEMPO: inmediato/remoto. c) SIMETRÍA/ASIMETRÍA: relación indirecta Seguridad/Riesgo. d) EQUILIBRIO y ESTABILIDAD: miedo al cambio. e) INFORMACIÓN y CONOCIMIENTO: miedo a lo desconocido. A la vista del anterior despiece nos vemos obligados a concluir que: “LA SEGURIDAD VIRTUAL ES UN CONCEPTO SUSTANCIALMENTE DIFERENTE DEL TRADICIONAL CONCEPTO DE SEGURIDAD REAL”. Conclusión que se apoya en las siguientes razones: - El entorno TIC’s se caracteriza por una desubicación espacio/temporal, en clara incidencia sobre los apartados a), b) y c) anteriores. - El entorno TIC’s se caracteriza por una creciente aceleración del cambio que incide directamente en el factor d) anterior. - En relación con el último de los términos desglosado, e), tan sólo cabe argumentar lo difícil que resulta romper la barrera de la ignorancia (desconocimiento) en un entorno que cambia de forma rápida y creciente. Parece ser que una vez aceptado el NUEVO PARADIGMA no tenemos más remedio que redefinir algunos conceptos profundos y fundamentales, uno de ellos es necesariamente la SEGURIDAD y, en consecuencia, procedemos a su re-definición como antesala necesaria para la definición de nuevas relaciones y nuevas estrategias del individuo y de la Sociedad en el nuevo entorno. 1.2. Los componentes de la seguridad jurídica en el entorno TIC’s Abundamos una vez más en nuestra obsesiva fijación consistente en que en el entorno virtual la “Seguridad” debe abordarse necesariamente al menos desde la doble perspectiva técnica y jurídica. Los expertos en Seguridad Tecnológica (recordar a nuestros efectos la tesis de L. Lessig) que son los que trabajan desde hace décadas en la cadena: necesidad diagnóstico solución, se han puesto de acuerdo tradicionalmente en que la SEGURIDAD en el nuevo entorno TIC’s viene definida por los siguientes elementos: COMPONENTES DE LA SEGURIDAD EN UN ENTORNO VIRTUAL DEFINIDO POR LAS TIC’s. A. CONFIDENCIALIDAD. B. INTEGRIDAD. C. DISPONIBILIDAD. D. AUTENTICIDAD/AUTENTICACIÓN. E. NO REPUDIO = A + B + D. A continuación procedemos a llenar de contenido cada una de las ideas-flashes que acabamos de exponer. 1.2.1. Confidencialidad/privacidad Es la expresión más próxima a la Tecnología de la Información que presenta el mismo significado que los vocablos INTIMIDAD o PRIVACIDAD que presentan un perfil más coloquial y jurídico. Marco jurídico 127 Podemos entender por CONFIDENCIALIDAD la cualidad que reviste la información protegida frente a terceros no autorizados. En el ámbito de la información tecnológica estamos en el terreno del secreto de empresa o secreto científico, con ramificaciones excepcionales hacia el “secreto de Estado” y también hacia el “secreto militar”. Su homólogo en el ámbito de la información con contenido personalizado lo encontramos en el término INTIMIDAD, entendido como Derecho a preservar la esfera interna, íntima y próxima del individuo frente a su proyección pública. La “realidad virtual” que comienza a cobrar carta de naturaleza en nuestro entorno personal, familiar y profesional inicia la agresión planificada desde hace décadas en respuesta a “un peligro” que los expertos colocaban bien en el tiempo, pero muy mal en su histología y en su tratamiento. Si alguien se regodea pensando en lo nuevo, innovador, “progre” y culto que resulta la debilidad del binomio Derecho/TIC’s no debe caer en la tentación de proponer que las agresiones a la INTIMIDAD de las personas físicas es un nuevo escenario. Mi consejo es que no se debe caer en la tentación ni de “barrer para casa” ni de pensar que nunca pasa nada. Históricamente las agresiones a la “intimidad de las personas” han constituido una casuística propia, baste para ello decir que el concepto no es coetáneo del desarrollo de la Humanidad, puesto que se trata de uno de los conceptos sociales y jurídicos de más reciente incorporación al acervo del saber común. En efecto, hay que esperar al declive de la época feudal y aparición de los “burgos” o ciudades generadoras del perfil burgués para que el concepto se defina, se asuma y se incorpore al Sistema Jurídico de la Civilización. Parece mentira, pero la Humanidad ha sabido convivir y evolucionar durante millones de años sin tener conciencia de ese concepto, de esa necesidad que hoy en día se ha convertido en estandarte, luz y guía de una parte de nuestra especie más evolucionada. Por el contrario, y consiguientemente, a nadie debe extrañar de que aún en pleno S. XXI existan culturas residuales, testimonios antropológicos vivos, que carecen de la más mínima conciencia en relación con el concepto que tratamos. Sin lugar a dudas se trata del componente del término genérico Seguridad que más se acerca a los planteamientos del manual que estamos desarrollando. Es por ello que le dedicaremos más atención, en función de sus merecimientos. Contra todo lugar común, la privacidad (la intimidad) y sus carencias no son nada nuevo bajo el cielo como ya hemos visto anteriormente y las agresiones al “bien protegido” tampoco son un mérito del entorno TIC’s. Ya en 1.787 el filósofo utilitarista inglés Jeremy Bentham desarrolla el concepto de PANÓPTICO como un diseño arquitectónico aplicado a prisiones, colegios, cuarteles, fábricas, etc. Es decir cualquier lugar donde se desarrolle cualquier tipo de vida colectiva. El “Panóptico” es un teatro cuya representación según Bentham; “consiste en la ilusión de una vigilancia permanente en la que los individuos no están realmente bajo una vigilancia constante, simplemente piensan que lo están”. El objetivo del “Sistema Pan óptico” es el adiestramiento hacia la autodisciplina: mientras los miembros colectivos teman que son siempre observados y que no se les pueda castigar por sus transgresiones, interiorizarán las reglas y de este modo se tiende al cumplimiento de éstas. El siguiente paso menos estructurado científicamente que el anterior, pero mucho más creativo y aproximado a la actual realidad es la novela “1984” de George Orwell, que fue escrita a finales de la década de los años cuarenta y que introduce en nuestra cultura el término “Gran Hermano” como síntesis de la autoridad política y administrativa que todo lo ve y todo lo oye. El libro utópico en su origen, es de una actualidad rabiosa y resulta una útil denuncia de los excesos a que puede conducirnos el uso de las tecnologías de tratamiento y transmisión de la información como medio de control sobre los individuos y su conducta. Se trata de un libro de obligada lectura para todos aquellos interesados en el concepto de la intimidad y en definitiva de la libertad de las personas en un entorno de civilización tecnológicamente avanzado. La teoría más estructurada sobre el particular la debemos al sociólogo canadiense Oscar Gandy quien desarrolló una enorme investigación sobre las implicaciones de las nuevas tecnologías sobre el control social de los individuos. El eje de sus conclusiones lo constituyen las llamadas “Categorías de la Información Personal” de Gandy que en síntesis son las siguientes: 128 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas LAS CATEGORÍAS DE INFORMACIÓN PERSONAL (Oscar Gandy). 1. INFORMACIÓN PERSONAL PARA IDENTIFICAR y CUALIFICAR A LAS PERSONAS, que incluye certificado de nacimiento, permiso de conducir, pasaporte, censo electoral, registros de vehículos, libro de familia. 2. INFORMACIÓN FINANCIERA, que incluye historial bancario, cuentas bancarias, tarjetas de débito y cajeros automáticos, tarjetas de crédito (de financiación, monedero, de conexión a la red bancaria), financiaciones actuales y pasadas, impuestos, inversiones y bonos, cheques de viaje. 3. INFORMACIÓN SOBRE PÓLIZAS DE COMPAÑÍAS DE SEGUROS, que incluye seguros de salud, del automóvil, de la casa, del negocio, con cobertura, general o específica, individuales o colectivos, planes de pensiones. 4. INFORMACIÓN SOBRE SERVICIOS SOCIALES, que incluye seguridad social, mutuas de salud, ingresos y privilegios laborales, subsidios de desempleo, de incapacidad, pensiones, cupones de servicios gubernamentales, subsidios y privilegios para veteranos. 5. INFORMACIÓN SOBRE SERVICIOS DOMÉSTICOS, que incluye teléfono, electricidad, gas natural, calefacción, televisión por cable (conexión a internet), limpieza e higiene, escombros y basuras, seguridad, entregas a domicilio. 6. INFORMACIÓN SOBRE PROPIEDADES INMOBILIARIAS, relacionada con compras, ventas, alquileres, leasing. 7. INFORMACIÓN SOBRE ENTRETENIMIENTO Y TIEMPO LIBRE, que incluye itinerarios de viajes, perfiles de esparcimiento, vehículos y alquileres, reservas de alojamiento, de billetes de avión, de barco, de tren, reservas para espectáculos, suscripciones a diarios y revistas, suscripciones a programas de televisión por cable. 8. INFORMACIÓN SOBRE CONSUMO, como tarjetas de créditos comerciales, cuentas comerciales, financiaciones, arrendamientos y alquileres, compras e información sobre productos, suscripciones a catálogos. tallas de ropa y zapatos. 9. INFORMACIÓN LABORAL, que incluye solicitudes laborales, exámenes médicos, referencias, logros y éxitos laborales, currículum e historial profesional, solicitudes a empresas de colocación laboral. 10. INFORMACIÓN EDUCATIVA, que incluye solicitudes de ingreso en escuelas e universidades, libro de escolaridad, expediente académico, referencias, estudios no reglados y actividades extracurriculares, asociación a clubes ya otras organizaciones, premios y sanciones, graduación. 11. INFORMACIÓN JUDICIAL, que incluye expedientes judiciales, servicios de abonados, artículos e informes de prensa, servicios de indexación y resumen. Gandy, Oscar H. Jr: “The Panoptic Sort; a Political Economy of Personal Information”. Westuiew Press (1993). Boulder, Colorado. Cualquier interesado en establecer una ficha histórica sobre el comportamiento de un individuo, le bastará para sus fines el ir recopilando metódicamente información suficiente para rellenar las “categorías” ante descritas. Sorprende lo fácil que puede resultar para cualquiera mínimamente organizado y con medios adecuados el que lo consiga y en consecuencia, también sorprende la fragilidad en la práctica del término “Intimidad”. En opinión de Gandy la acumulación de información confidencial por parte del “Sistema” persigue una doble finalidad. Por una parte castigar a los individuos transgresores, hasta su final expulsión del sistema si resultare necesario y por otra el premio, el incentivo de los buenos individuos con la finalidad de estimular su conducta positiva, a través de la aplicación del marketing incentivado a través de las prácticas de “fidelización del cliente”. Marco jurídico 129 OBJETIVOS DE LAS BASES DE DATOS PERSONALES DIGITALIZADAS. 1° EVALUACIÓN DEL RIESGO ° EXCLUSIÓN DE SUJETOS PELIGROSOS. (El sistema se autodepura). 2° IDENTIFICACIÓN DE CLIENTE ° INCLUSIÓN DE CLIENTES (El sistema se autoalimenta). ¤ Estrategias “nicho” del tipo “one to one”. Objetivo: FIDELIZACIÓN DEL CLIENTE. Los dos objetivos son QUERIDOS y ACEPTADOS por el ciudadano medio. Por eso lo que el Parlamento U.S.A. prohibió que llevara acabo el FBI (década de los ochenta) lo ha realizado sin problemas el mercado financiero diez años más tarde. Se trata en terminología de L. Lessig del “Pequeño Hermano” actuando al margen de la Ley. Sirva este amplio repaso histórico como medio para destacar la importancia del término y lo vulnerable que deviene en nuestro actual entorno tras la acumulación de las potencialidades del tratamiento de la información y de su transmisión y de su almacenamiento. 1.2.2. Integridad y autenticidad (o autenticación) Se entiende por INTEGRIDAD la cualidad de un mensaje por lo que resulta imposible su manipulación por persona distinta de su autor. La integridad como concepto persigue que el mensaje no sea alterado en el proceso de transmisión entre el emisor y el receptor ya sea de forma intencionada o por error del propio proceso. La AUTENTICIDAD o AUTENTICACIÓN, puesto que de las dos formas se define, consiste en la cualidad por lo que en un proceso de comunicación, los sujetos intervinientes; emisor/es y receptor/es, son realmente quienes dicen ser, sin que resulte posible el equívoco de identidades ni la suplantación por parte de terceros. Abordamos ambos términos de forma conjunta por dos razones: a) Son conceptos complementarios para blindar un proceso de comunicación en su objeto (contenidos) y en sus sujetos (las partes que intervienen). b) Los mecanismos conceptuales y tecnológicos desarrollados para su protección tienen un tronco común y se basan en la codificación y encriptación de los mensajes. Retomando esta última idea podemos decir que el origen y desarrollo de ambas técnicas en el mundo moderno: codificación y encriptación se encuentran en los ámbitos diplomáticos y militar. Posteriormente el centro de interés invade el terreno del “secreto industrial” y no es hasta fecha reciente, cuando se instala plácidamente orientado hacia la protección de los Derechos Humanos llamados de tercera generación, como conceptos capaces de preservar la confidencialidad, intimidad y privacidad de los mensajes y de las personas que los intercambian, dentro del esquema para preservar el cierre o covertura de las antes expuestas Categorías de Información de O. Gandy. Una primera aproximación respecto de estas técnicas nos obliga a señalar que, como toda tecnología está cargada de ideología (recordar la tesis de L. Lessig antes comentada) y en consecuencia se trata de una arma de doble filo en función de quién la utilice. La base técnica de los sistemas de protección de la integridad y autenticación de la información es la llamada “clave asimétrica” a PKI (public key infrastucture) en términos ingleses. En el ámbito de la encriptación existen dos sistemas globales: 1. SISTEMAS DE CLAVE SIMÉTRICA. Que son aquellos en que las partes intervienen (emisores y receptores) operan con un mismo código de encriptación y descriptación. Su vulnerabilidad radica en el dicho español; “secreto de dos es secreto de Dios 130 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas y secreto de tres secreto no es”. En efecto la progresiva y reciente divulgación de la clave convierte al sistema de protección es altamente vulnerable. 2. SISTEMAS DE CLAVE ASIMÉTRICA. Se caracterizan porque emisor y receptor actúan en el circuito con claves dobles y diferentes; una pública conocida por todos y otra privada de carácter reservado. El sistema así concebido debe disponer necesariamente de una “Autoridad de Certificación” que en el marco de una regulación legal muy estricta emite, controla y depura las claves que operan, tanto las públicas como las privadas. Una variante de las claves asimétricas son las que se basan en datos orgánicos de los sujetos intervinientes en el proceso de comunicación, ya se trate de huella digital, manchas del iris ocular o entorno facial, entre otros. ANEXO I. EL CERTIFICADO DIGITAL EMISOR CREA FIRMA CODIFICA MENSAJE ORIGINAL MENSAJE FIRMADO MENSAJE FIRMADO CODIFICADO CLAVE PRIVADA CLAVE PÚBLICA ENVIAR CLAVE PÚBLICA CLAVE PRIVADA MENSAJE ORIGINAL MENSAJE FIRMADO LEE COMPRUEBA FIRMA RECEPTOR MENSAJE FIRMADO CODIFICADO DECODIFICA Marco jurídico 131 Como puede apreciarse en el gráfico adjunto por el tramado de las áreas correspondientes a las claves, el EMISOR opera con su clave privada y la clave pública del RECEPTOR y este a su vez ocupa una posición asimétrica al operar con su propia clave privada y la pública del EMISOR.FIRMA ELECTRONICA AVANZADA (F.E.A.) es aquella asimétrica cuyas claves, pública y privada, son extendidas y custodiadas por una AUTORIDAD DE CERTIFICACION o Prestador de Servicios de Certificación en terminología de nuestro Real Decreto Ley hoy vigente. La FIRMA ELECTRÓNICA ASIMÉTRICA funciona técnicamente del siguiente modo: Firmar electrónica o digitalmente un documento consiste en pasar un determinado algoritmo sobre el texto que se desea cifrar, basándose en la clave privada del signatario electrónico. Cuando el texto debe transmitirse firmado, el algoritmo recorre todos sus datos electrónicos y, junto ala clave privada, obtiene un valor (“hash”), que es la llamada firma digital asimétrica. El hash es un algoritmo matemático o número resultante de aplicar una clave de encriptación a un documento. En la transmisión, se envía por una parte el documento cifrado, y por otra el hash. Cuando el receptor recibe ambos documentos, debe actuar bajo las siguientes pautas: 1. Descifra el texto del destinatario con la clave pública. 2. Con este texto calcula el hash. 3. Si el hash claculado y el enviado coinciden, eso significa que el documento que ha llegado lo envía quien dice ser (ha sido descifrado con su clave “contraria”) y que además no ha sido alterado por el camino, pues de lo contrario los dos hash no coincidirían. 1.2.3. Disponibilidad Se trata de la característica por la cual una información está de modo permanente a disposición de los sujetos legitimados para acceder a ella. Estamos en el ámbito de los vulgarmente conocidos como virus y antivirus que por extensión incluyen a figuras como los “troyanos” y los llamados “gusanos”. ¿Qué es un virus informático? El término agrupa uno o varios programas de ordenador que actúan de modo coordinado. Se introducen en los sistemas de información por diversas vías de acceso, según la configuración de aquellos y una vez dentro se activan de modo automático con el fin de producir diversos tipos de daños en el sistema. La característica principal de los virus informáticos es su capacidad para propagarse a partir de la auto-replicación. Las agresiones a la disponibilidad también presentan una doble vertiente ya comentada desde la perspectiva de agresiones/defensas. La tecnología es la reina en este terreno y, lógicamente, también se encuentra sometida a la omnipresente “Ley de Moore”. Estamos de nuevo en una alocada carrera armamentista en donde tan importante como los sistemas de ataque se manifiestan los sistemas de defensa; “misiles y antimisiles”. Los daños y perjuicios provocados por estas agresiones a la disponibilidad que representan los virus son enormes. Jurídicamente su ámbito se inscribe en el Derecho Penal y su aplicación tiene una doble dificultad: a) Por un lado la tecnología, consecuencia de lo que podríamos llamar la huída hacia adelante. b) Por otro lado la jurídica, tanto en la materialización de la prueba como en la persecución y castigo de los culpables en un entorno desubicado especialmente y de difícil asignación de jurisdicción competente. Al lado de los tradicionales “Paraísos Fiscales” comienzan a desarrollarse los balbucientes “Paraísos Tecnológicos” en entornos al margen de cualquier tipo de legislación. Al paso del comentario a) anterior cabe preguntarse ¿quién se beneficia de los virus informáticos? Los virus informáticos y los ataques de hackers son un peligro para la Nueva Economía y sabotean la Seguridad en la Red, pero a la vez suponen una fuente de ingresos para las compañías que han hecho los antivirus su línea de negocio. Para estas empresas la 132 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas aparición de un virus es paralela en ocasiones más numerosas de lo que permitiría la casualidad, a fuertes subidas de sus cotizaciones en las Bolsas internacionales. A esta conclusión llega un informe elaborado por J. M. Rodrígez y publicado por Expansión/Financial Times el 9 de junio de 2000, en donde aparece la siguiente y tajante conclusión: “El vandalismo cibernético es una regla de tres aparentemente simple. A mayor número de ataques de virus o de hackers en la red, más posibilidades de negocio para las empresas que suministran productos de seguridad. ¿Pero quién se benefició más de esta situación? Ataques tan famosos como el del virus Melissa, o el I love you, o el gamberrismo cibernético que sufrieron empresas como Yahoo! Y eBay, ha coincidido en muchas ocasiones con fuertes oscilaciones bursátiles de las empresas de seguridad, lo que ha dado pie a que en el mercado se hable de una posible especulación. El comportamiento de las empresas de seguridad es en muchas ocasiones parecido en momentos de ataques en la red. Un patrón que suelo repetirse es que antes de un ataque las acciones siguen una tendencia bajista. A veces en picado. Justo en el momento del ataque, se recuperan con vigor”. Lo grave del virus es su polimorfismo permanente que le permite cambiar de estructura y de estrategia. La consecuencia es la dificultad de establecer políticas de prevención anti-virus eficaces. Por eso los expertos aconsejan una estrategia defensiva también polimórfica, basada en operaciones de rastreo, prevención y eliminación a todos los niveles técnicos posibles, mediante la monitorización de técnicas genéricas. Los MÉTODOS DE DETECCIÓN DE VIRUS se dividen en dos grandes grupos: a) Genéricos: se dirigen a la localización global de sistemas de agresión exterior de naturaleza vírica. b) Específicos: Dirigidos a la detección y eliminación de un determinado tipo de virus. De entre ellos, los más complejos son los que están diseñados contra los denominados “virus mutantes”. Las herramientas multinivel mejor adaptadas para la lucha anti-virus son las siguientes, en la idea de que siempre es mejor diseñar sistemas mixtos de defensa, al utilizar varios y, por qué no, todos ellos. a) COPIAS DE SEGURIDAD. Que resultan necesarias en función de otros diversos fines preventivos: fallos de hardware, borradores involuntarios, intrusiones y ataques externos en general. b) DISCOS DE RECUPERACIÓN usados en paralelo con software específico anti-virus. c) SOFTWARE ANTI-VIRUS. 1.2.4. No repudio: prueba en juicio Desde una perspectiva legal y jurídica es lógico concluir que cualquier información que goce de los atributos descritos anteriormente en A, B y C se califica como “no repudiable” y su consecuencia más transcendental es que necesariamente debe ser admitida como PRUEBA EN JUICIO. En este sentido y con este propósito se elaboró el Real Decreto Ley 14/1999 de 17 de septiembre sobre la Firma Electrónica, como consecuencia de la transposición obligada de la Directiva de la Unión y del Consejo Europeo de 1999/93/CE, de diciembre 1999. En su preámbulo, a modo de exposición de motivos, se dice textualmente: Se considera que debe introducirse, cuanto antes, la disciplina que permita utilizar, con la adecuada seguridad jurídica, este medio tecnológico que contribuye al desarrollo de lo que se ha venido a denominar, en la Unión Europea, la sociedad de la información. La urgencia de la apro- El marco jurídico 133 bación de esta norma deriva, también, del deseo de dar, a los usuarios de los nuevos servicios, elementos de confianza en los sistemas, permitiendo su introducción y rápida difusión. Por ello, este Real Decreto-ley persigue, respetando el contenido de la posición común respecto de la Directiva sobre firma electrónica, establecer una regulación clara del uso de ésta, atribuyéndole eficacia jurídica y previendo el régimen aplicable a los prestadores de servicios de certificación. De igual modo, este Real Decreto-ley determina el registro en el que habrán de inscribirse los prestadores de servicios de certificación y el régimen de inspección administrativa de su actividad, regula la expedición y la pérdida de eficacia de los certificados y tipifica las infracciones y las sanciones que se prevén para garantizar su cumplimiento.” En el Art. 2 se introduce, a nivel jurídico, as definiciones de los instrumentos que hemos visto antes al tratar de la “integridad” y “autenticación” de la información, en los siguientes términos: “Artículo 2. Definiciones. A los efectos de este Real Decreto-ley, se establecen las siguientes definiciones: a) «Firma electrónica»: Es el conjunto de datos, en forma electrónica, anejos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge. b) «Firma electrónica avanzada»: Es la firma electrónica que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo ya los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos.” El espíritu del “no repudio” que es el eje vertebrador del R.D. Ley que nos ocupa se concreta en el Art. 3: “Artículo 3. Efectos jurídicos de la firma electrónica. 1. La firma electrónica avanzada, siempre que esté basada en un certificado reconocido y que haya sido producida por un dispositivo seguro de creación de firma, tendrá, respecto de los datos consignados en forma electrónica, el mismo valor jurídico que la firma manuscrita en relación con los consignados en papel y será admisible como prueba en juicio, valorándose ésta según los criterios de apreciación establecidos en las normas procesales. Se presumirá que la firma electrónica avanzada reúne las condiciones necesarias para producir los efectos indicados en este apartado, cuando el certificado reconocido en que se base haya sido expedido Por un Prestador de servicios de certificación acreditado y el dispositivo seguro de creación de firma con el que esta se produzca se encuentre certificado, con arreglo a lo establecido en el artículo 2.1. 2. A la firma electrónica que no reúna todos los requisitos previstos en el apartado anterior, no se le negarán efectos jurídicos ni será excluida como prueba en JUICIO, por el mero hecho de presentarse en forma electrónica. La trascendencia de esta disposición para la pacífica intersección entre el mundo del Derecho y de las Nuevas Tecnologías es fundamental. Se trata del principio de convergencia y yo diría que hasta de reconciliación entre ambos planos de suyo tan distantes y distintos. El principal efecto de esta regulación del instrumento llamado “firma electrónica” consiste en que aporta SEGURIDAD JURÍDICA en el entorno de las nuevas tecnologías. A pesar de esta trascendencia, o quizás por culpa de ella, la vigencia del R.D. Ley que comentamos se ha revelado breve. Hoy en día el Gobierno trabaja el borrador de una Ley, no un simple R. D. Ley, que venga a dotar al asunto que nos ocupa de su verdadera relevancia jurídica, al tiempo que subsane los graves errores, tanto técnicos como operativos, en los que incurrió el original R.D. Ley, sin duda a causa de las prisas por ser los primeros en regular esta materia dentro del ámbito de la Unión Europea. 134 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 1.3. El entorno seguro La norma internacional ISO/IEC 17799 conocida como el “CÓDIGO DE BUENA PRÁCTICA” para la gestión de la SEGURIDAD DE LA INFORMACIÓN aclaró taxativamente que: “La seguridad obtenida sólo con medios tecnológicos es limitada y en consecuencia insuficiente”. En opinión de Miguel A. Navarrete, Director de Seguridad Informática, Planificación e Innovación Tecnológica de Caja Madrid, publicada en la revista SIC*, los factores esenciales para alcanzar la seguridad en la información son: - La cultura, aptitud y papel desarrollado por la Dirección en la gestión de la seguridad. - El área de Seguridad Informática (tecnológica). - El cuerpo normativo de la seguridad de la información (se refiere al conjunto de normas legales y protocolos privados sobre el particular). - El Plan y los Programas de seguridad de la información. - La concienciación de los usuarios (se refiere a los trabajadores y terceros con acceso web a Internet o a intreanets). - Los sistemas de análisis del riesgo, seguimiento y control (se refiere a AUDITORIA DE SEGURIDAD). En el esquema anterior queda manifiesta la opción multidisciplinar y multifactorial que defiende el autor sobre el ámbito de la Seguridad Informática. Como consecuencia inmediata de la aceptación y posterior implantación de las Políticas de Seguridad, se conseguirá que la Red se vaya desplazando paulatinamente hacia una “Arquitectura de Control”, incluso sin la colaboración del Estado (“la arquitectura es una especie de ley”), de acuerdo con las tesis de Lessig. Ello proporciona la proliferación de intranets reservados o élites capacitadas y sobre todo capitalizadas que, marginalmente, definirán un entorno excluido repleto de “infobasura” recordar la tesis de Reg Withacker. Tanto la posición de Lessig como la de Withacker sin ningún punto en común, están elaboradas con notable anticipación a los sucesos del 11-S/2001. La inmediata consecuencia posterior a estos desmesurados y criminales actos detectada en los escasos meses transcurridos es una manifiesta tendencia al REFORZAMIENTO DE LA SEGURIDAD (Law enforcement) y en este sentido son reiteradas las manifestaciones en todos los ámbitos legislativos en este sentido, tanto en USA como en la UE y potencias limítrofes como Rusia, Japón o China. 1.3.1. Politicas preventivas ex-ante Consisten en la definición de protocolos de conducta diversas: a) Dentro/fuera. b) Del personal con el Sistema de Información (S.I.). c) De terceros con el S.I., proveedores, clientes y clientes potenciales. d) Administraciones Públicas con el S.I. Estos protocolos deberán contemplar y entrar a considerar como mínimo, los siguientes aspectos: 1. Las Políticas Generales de la empresa o entidad en las diferentes áreas de actividad: - Imagen, Relaciones externas. - Aprovisionamiento y compras. - Factor humano. - Producción/Logística. * Navarrete, Miguel A. Revista SIC Nº 47, nov. 2001, págs. 60 y 61: “Gestión de la seguridad de la información: las claves de un modelo”. Marco jurídico 135 - Administración/Finanzas. - Comercial/Marketing. 2. El ORGANIGRAMA de la organización en su doble vertiente de estructura y de flujos, que en definitiva determinan la interrelación entre diferentes áreas antes citadas. 3. La ARQUITECTURA DEL SISTEMA, como determinante de la estructura y flujos del Sistema de Información. En este apartado y en relación con el asunto que nos ocupa se deberá prestar especial atención, pero nunca exclusiva a los siguientes elementos: - Fire-walls. - Pixels. - Scanners de seguridad. - VPN’S. 4. La POLÍTICA DE AUTENTICACIÓN Y ENCRIPTACIÓN. En este punto se diseñará la tecnología mínima necesaria para reforzar estos dos elementos de la seguridad de los Sistemas de Información, incorporando todas las nuevas tecnologías de generación aleatoria y permanente de passwords, PKI (public key infrastucture) certificados digitales, etc. 5. La POLÍTICA DE SEGURIDAD FÍSICA. Esta área debe aglutinar desde la problemática de reparación y conservación de la maquinaria e instalaciones, hasta la preservación de los inmovilizados más intangibles; patentes, marcas, información, I + D, etc. Todos estos componentes y alguno más que puede resultar imprescindible en entornos concretos, se deben incardinar en lo que ha dado en llamarse la CULTURA de la SEGURIDAD que necesariamente debe aglutinar los siguientes factores: a) La POLÍTICA DE SEGURIDAD propiamente dicha. b) El respeto a los DERECHOS FINDAMENTALES de los sujetos internos y externos al Sistema y la puntual observancia del marco normativo vigente. c) La política permanente de FORMACIÓN/INFORMACIÓN de las personas internas y externas al Sistema pero interrelacionadas por él. 1.3.2. Políticas correctivas ex-post: “las auditorías de seguridad” En general el concepto técnico de auditoría extraído del marco jurídico en España relativo a la Auditoría contable y financiera podría resumirse en los siguientes términos: “El término auditoría se aplica al informe emitido por un experto independiente que tras haber aplicado normas técnicas de general aceptación, define una opinión profesional en relación con el ámbito (objeto) revisado, susceptible de provocar efectos frente a terceros en general, al margen de cualquier veleidad de legitimación”. Los términos encerrados en la definición anterior se resumen en: - Revisión de un entorno determinado. - Revisión realizada mediante la aplicación de normas técnicas (de procedimiento) generalmente homologados. - Se concreta en la “opinión profesional” emitida por una persona “independiente”. - Esta opinión es susceptible de causar efectos frente a terceros en general. En el ámbito jurídico que nos ocupa la única referencia al término “auditoría” es la recogida en el R.D. 994/99 de 11 de junio, por el que se desarrolla el Reglamento de Medidas de Seguridad de los ficheros que contengan datos de carácter personal. Concretamente en el contenido que define las medidas de seguridad de los ficheros denominados de “nivel medio” y de “nivel alto” sobre los que resulta obligada la realización de una “auditoría bianual” sobre protección de datos. Dicho esto el 136 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas marco normativo guarda silencio y las preguntas que nos provocan zozobra por la falta de respuestas son las siguientes: - ¿Cuál es el contenido y extensión de dicha “auditoría” de protección de datos? No hay respuesta. - ¿Quién debe hacer dicha auditoría? En un punto de una de las normas sobre protección de datos se dice que podrá ser realizada la auditoría por medios externos o internos. ¿Dónde queda salvaguardada la independencia que se le supone al auditor?. - En alguno de los R.D. de mediados de los años noventa que regulaban la ya derogada L.O.R.T.A.D., se menciona que la auditoría deberá ser realizada por un “experto en datos”. De nuevo nos vemos obligados a cerrar el bucle; ¿qué es un experto en datos? Y de nuevo no tenemos respuesta estructurada en el ámbito legislativo. Una vez hemos acotado lo que las normas establecen sobre el particular procedemos a desarrollar el contenido del técnico genérico AUDITORÍA JURÍDICA EN EL ÁMBITO DE LAS NUEVAS TECNOLOGÍAS, una de cuyas áreas será sin duda la relativa a PROTECCIÓN DE DATOS PERSONALES. A. Metodología para desarrollar una auditoría jurídica en el ámbito TIC’s: necesaria aproximación interdisciplinar: técnica y jurídica. 1º Determinar objetivos. 2º Delimitar áreas de actuación. 3º Elaboración de la propuesta de trabajo que deberá explicar la metodología concreta a desarrollar, el programa de tiempos para su realización (calendario) y presupuesto económico. 4º Recabar información sobre el terreno. Para ello se debe desarrollar un trabajo de campo abierto pero estructurado en la medida de lo posible mediante cuestionarios (check-list) para facilitar la recogida de información de la forma más sistematizada posible, en función de las concretas circunstancias de cada caso. Si el entorno a estudiar estuviera fuertemente estructurado, automatizado y controlado, gran parte de esta fase se podría desarrollar vía Internet, con la consiguiente reducción de costes. En este supuesto la visita sobre el terreno se limita a la inspección física de las medidas de seguridad y al cotejo de los documentos originales. 5º Análisis de la información recogida. Cruce de los antecedentes obtenidos en la fase anterior con los siguientes elementos: a) Marco normativo vigente en cada área examinada. b) Marco normativo de referencia: Tratados Internacionales, Directivas de la Unión Europea, Convenios de las organizaciones internacionales (OCDE, GATT, etc.) y Códigos Eticos Internacionales. c) Control Interno; puntos fuentes y débiles. d) Nivel de aplicación de los instrumentos y estructuras tecnológicas. Determinar el grado de incorporación de las últimas soluciones tecnológicas. 6º Establecimiento de diagnóstico en relación con las áreas de actuación y objetivos previamente definidos. 7º Propuesta de medidas correctoras, a modo de la carta de recomendaciones usual en el ámbito de la Auditoría Contable. 8º Emisión de opinión en el ámbito de lo que sería el espíritu de un informe de “due diligence”. Todo este proceso se debe ejecutar mediante la colaboración entre profesionales técnicos (ingenieros en telecomunicaciones, informáticos, etc.) jurídicos (abogados) y de organización (econo- Marco jurídico 137 mistas, graduados sociales, auditores). En caso de no hacerse del modo aconsejado vamos a obtener como resultado final soluciones parciales y en consecuencia ineficaces. Como ejemplo de lo que no se debe hacer, es relativamente frecuente encontrar empresas que para mayor seguridad han aplicado esquemas de Protección de Datos Personales dobles; uno desde la perspectiva jurídica y otro desde la perspectiva técnica. Con ello la empresa cree estar doblemente protegida y la verdad es que tan sólo dispone de dos soluciones parciales que no necesariamente deben satisfacer el 100% de todas las necesidades, debido principalmente a que el trabajo se ha realizado con toda seguridad sin la debida colaboración entre ambos equipos profesionales. El resultado es que con un coste doble seguimos careciendo de la solución total. La situación se agrava lógicamente cuando sólo se aplican de inicio soluciones parciales ya sean éstas tecnológicas o jurídicas. B.Ámbito de actuación de la auditoría jurídica. Potencialmente el ámbito de actuación está definido por los cinco elementos que hemos expuesto anteriormente como definidores del concepto SEGURIDAD. • CONFIDENCIALIDAD. • INTEGRIDAD. • ACCESIBILIDAD. • AUTENTICIDAD/AUTENTICACIÓN. • NO REPUDIO. Proyectando estos conceptos sobre el mundo del Derecho, del tradicional y del nuevo, obtendremos las siguientes áreas susceptibles de integrar el contenido de una AUDITORIA JURIDICA: • PROTECCION DE DATOS PERSONALES. • FIRMA ELECTRÓNICA. • MEDIOS DE PAGO. 2. La privacidad: protección de datos personales 2.1. La regulación en España 2.1.1. Objeto y ámbito El art. 1 de la LOPD dice textualmente: «Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar». Hay que resaltar que con esta nueva regulación el objeto de la protección legal de los datos personales en España ha dejado de ser una cuestión técnico-informática y fundamentalmente se trata de un problema jurídico: «protección de DERECHOS FUNDAMENTALES de las personas físicas». Lo cual no quiere decir que toda la normativa vuelva la espalda a la componente tecnológica, cosa que no puede hacer, sino que la relega a un segundo plano por extensión del objeto. Los Derechos Fundamentales protegidos por esta Ley son los llamados de “tercera generación” y están recogidos en el Art. 18.1.4 de nuestra Constitución. La más reciente constatación del marcado carácter jurídico del objeto de la L.O.P.D.P. lo encontramos en la Sentencia del Tribunal Constitucional 292/2000 de 30 de noviembre que además aprovecha el Recurso de Amparo que la provoca para alumbrar el nacimiento de un nuevo derecho fundamental en el ámbito de la privacidad. Todo ello confirma además la voluntad expresa y activa de la L.O.P.D.P. de disfrutar de un “Objeto” expansivo tanto en su configuración como en su aplicación. En dicha sentencia se define la figura del “dato de carácter personal” como generador de un nuevo Derecho Fundamental que por su novedad no figura individualizado en nuestra Constitución, 138 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas si bien la propia Sentencia que comentamos se entretiene con primoroso detallismo en imbricarlo en el “derecho a la intimidad personal y familiar”, pero con personalidad propia. Su contenido podría resumirse en el PODER DE DISPOSICIÓN Y CONTROL que sobre los datos de carácter personal tiene su titular. La consecuencia jurídica de este incipiente Derecho Fundamental es; “la facultad que tiene el titular de los datos para consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular”. En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. ÁMBITO La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación: a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas. c) A los ficheros establecidos para la investigación del terrorismo. Nos encontramos por primera vez frente al reflejo de la vocación expansiva de la LOPD en la que a su ámbito de aplicación se refiere. Tal como está redactado este Art. 2 es necesario concluir que, salvo las tres excepciones tasadas, todos ¡Todos! los ficheros que contengan datos personales están obligados a su observancia y cumplimiento. Quiere ello decir que ya no es tema circunscrito a los ficheros automatizados, el sometimiento a la Ley no depende de la cualidad del tratamiento que se otorgue a los datos, sino a todos ellos sea cual sea su tratamiento; de imagen, de sonido, etc. Ello debe ser así porque en definitiva la LOPD ya no regula una determinada aplicación tecnológica, sino al contrario regula la protección de un importante grupo de Derechos Fundamentales que son garantes de la intimidad y el buen nombre de las personas. 2.1.2. Los derechos de los afectados Como venimos reiterando desde la introducción a este trabajo, la preservación y defensa de los derechos humanos son el eje central de la normativa de protección de datos en la Unión Europea y por descontado también en España, una vez conseguida la conveniente adaptación (transposición) de nuestro ordenamiento a las normativas comunitarias. Los derechos humanos preservados son algunos de los reconocidos en el art. 18.4 de la Constitución Española. Concretamente, y a tenor de lo visto en el objeto y alcance de la L.O.P.D. (art. 1), de forma especial en lo relativo al honor e intimidad personal y familiar. Para el pacífico ejercicio de estos derechos fundamentales la L.O.P.D. y la legislación concurrente, así como también la jurisprudencia, desarrollan otros derechos que podríamos llamar “derechos vehiculares”. ¿Cuáles son estos “derechos vehiculares” introducidos y desarrollados por la normativa de protección de datos?. DERECHO DE CONSULTA AL REGISTRO GENERAL DE PROTECCIÓN DE DATOS Artículo 14. Derecho de consulta al Registro General de Protección de Datos. Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General será de consulta pública y gratuita. Marco jurídico 139 Resulta incuestionable que el afectado, para la defensa de sus derechos, lo primero a lo que tiene derecho es a conocer las circunstancias de lugar, modo y persona, que rodean el tratamiento de información que le pertenece. Esta información de base “debería” estar en todo caso inscrita en el Registro General de la A.P.D. (véase apartado 4.3.c) siguiente) y su consulta resulta gratuita. DERECHO DE ACCESO Se regula en el art. 15 de la L.O.P.D.: 1. El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos. 2. La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos. 3. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes. El ejercicio de este derecho por el afectado también es gratuito y alcanza a los datos disponibles, al tratamiento de que son objeto y a las hipotéticas cesiones de los mismos a terceras personas. El acceso debe ser “suficiente” para que los datos resulten “legibles e inteligibles”. El artículo que nos ocupa introduce una cautela en defensa de los propietarios de ficheros frente a “interesados compulsivos”, en el sentido de limitar la frecuencia de acceso a doce meses, salvo la acreditación por parte del afectado de un interés legítimo. DERECHO DE RECTIFICACIÓN Y CANCELACIÓN Artículo 16. Derecho de rectificación y cancelación. 1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días. 2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos. 3. La cancelación dará lugar al bloqueo de los datos, que se conservarán únicamente a disposición de las administraciones públicas, jueces y tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión. 4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se haya comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación. 5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado. Son “derechos vehiculares” encaminados a preservar lo que antes hemos definido como “calidad de los datos”. Cuando una persona (afectada) no está conforme con el uso que se está propiciando a sus datos personales puede exigir la cancelación de éstos o la rectificación por la parte que resulte inexacta. Ante la solicitud del afectado el RESPONSABLE DEL TRATAMIENTO tiene la OBLIGACIÓN de dar satisfacción al requerimiento en el PLAZO DE DIEZ DÍAS. 140 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas La cancelación provocará el BLOQUEO DE LOS DATOS, y éstos quedarán a disposición tan sólo de las autoridades. Si los datos rectificados o cancelados hubieran sido cedidos previamente, el RESPONSABLE DEL TRATAMIENTO viene obligado, lógicamente, a informar de estas circunstancias a los cesionarios. DERECHO DE INDEMNIZACIÓN Se regula en el art. 19 de la L.O.P.D.: 1. Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados. 2. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las administraciones públicas. 3. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria. Se trata de la piedra angular que cierra el capítulo de los derechos de las personas en lo relativo a la protección de datos. En efecto, salvo esta escueta disposición, todo el conjunto normativo tiende a preservar el ejercicio de los derechos de los afectados desde una perspectiva generalista, de defensa de la sociedad. A través del artículo 19 se abre el camino para que éste, el afectado, que como su denominación indica es el primer y principal damnificado por un incumplimiento de la normativa, pueda hacer valer sus derechos individuales y reclamar una compensación por la vía de la indemnización. Cabe destacar sobre el particular los siguientes extremos: 1. Los responsables del pago de las indemnizaciones que proceda son el RESPONSABLE DEL FICHERO y el ENCARGADO DEL TRATAMIENTO (véase lo dicho en el apartado 2.3. anterior). 2. Las administraciones públicas también serán responsables en lo que les afecte. 3. En el caso de ficheros privados, la acción de responsabilidad se ejercitará en la jurisdicción ordinaria. Como último punto relativo al derecho de indemnización, cabe decir que se trata del verdadero “talón de Aquiles” del sistema de defensa de los derechos afectados, por cuanto en vía ordinaria (jurisdicción civil) el núcleo que cuantifica la indemnización es la PRUEBA PERICIAL. Aun y reconociendo que la nueva Ley de Enjuiciamiento Civil, que entró en vigor en enero de 2001, introduce mejoras sustanciales en el procedimiento pericial, hay que reconocer también que, en relación con la casuística que nos ocupa, las dificultades objetivas persisten y se centran en la dificultad de cuantificar la lesión o agresión de un “intangible” como es el buen nombre o la intimidad. Como sistema de encauzar las demandas y reclamaciones sobre el particular, sugiero que se cuantifique de inicio una cantidad como mínimo igual a la sanción administrativa que suscita el hecho ilícito. Si la sociedad, el sistema, considera que la conducta transgresora se hace acreedora de una sanción X, ¿por qué yo, que soy el directamente agredido, debo evaluar en menos mi perjuicio? Queda ahí la sugerencia por si puede resultar útil. • AVISO Los DERECHOS DE LOS AFECTADOS establecidos por la L.O.P.D. no son el verdadero objeto de la normativa de protección de datos. Los entendemos como DERECHOS VEHICULARES encaminados a la defensa de los derechos humanos relativos al buen nombre y la intimidad de las personas. • AVISO El ejercicio de los derechos de CONSULTA AL REGISTRO GENERAL DE LA A.P.D. y los ejercicios de los derechos de ACCESO, RECTIFICACIÓN Y CANCELACIÓN son siempre GRATUITOS. • AVISO Si usted se siente agredido en sus derechos, no olvide exigir una indemnización en la vía civil ordinaria, a pesar de las dificultades objetivas para cuantificar el daño sufrido. Marco jurídico 141 2.1.3. El consentimiento de los afectados NORMA GENERAL Entendemos por legitimación de datos personales la obtención del CONSENTIMIENTO del afectado para el almacenamiento, tratamiento y cesión, si procede, de sus datos personales. Junto con los derechos de los afectados, el consentimiento es el elemento de cierre de todo el sistema de defensa de los derechos humanos, en lo relativo a la información personal. En efecto, de poco valdría disponer de ficheros legalizados (inscritos en el Registro General de la A.P.D.) y protegidos mediante la aplicación de las medidas de seguridad, si no hubiéramos obtenido legítimamente la información. Para satisfacer el requisito de legitimación se requiere el CONSENTIMIENTO en los términos que regula la L.O.P.D. NORMATIVA APLICABLE Antes de descender al detalle resulta conveniente destacar algunas consideraciones generales al respecto, recogidas en el art. 6 L.O.P.D. 1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado salvo que la ley disponga otra cosa. 2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. 3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. 4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado. EXCEPCIONES No será necesario el consentimiento del afectado en los siguientes supuestos (art. 6 L.O.P.D., apartado 2): – Cuando se recojan los datos para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias. – Cuando se refieran a las partes de un contrato de una relación negocial (¿mercantil?), laboral o administrativa y sean necesarios para el mantenimiento o cumplimiento del referido contrato. – Cuando los datos figuren en fuentes accesibles al público. – El consentimiento podrá ser REVOCADO siempre que exista causa justificada para ello y no se atribuyan efectos retroactivos a la revocación (art. 6 L.O.P.D., apartado 3). – La cesión de datos a terceros requiere el consentimiento a la misma, con las excepciones que estipula el art. 11 L.O.P.D. 142 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas TIPOLOGÍA DEL CONSENTIMIENTO EL CONSENTIMIENTO INEQUÍVOCO La nueva Ley Orgánica, al tratar del consentimiento en términos generales, introduce el calificativo INEQUÍVOCO (art. 6 L.O.P.D., apartado 1). ¿Qué quiere decir este término? En mi opinión no hay nada más equívoco que el propio termino inequívoco. ¿Por qué no utilizó el legislador otro calificativo menos ambiguo como podría ser seguro o fehaciente? Con toda probabilidad la ambigüedad del texto legal es calculada. Aún así, la jurisprudencia (que por cierto recoge la Memoria de la Agencia de Protección de Datos del año 2000) comienza a perfilar el contenido del término consentimiento inequívoco, como por ejemplo en la Sentencia de 14 de abril de 2000 de la Audiencia Nacional: “Tampoco puede admitirse (..) la existencia de un consentimiento tácito o de un impropiamente llamado silencio positivo del afectado para admitir la cesión de sus datos, pues tal forma de obtener el consentimiento requeriría, en la mejor de las hipótesis, una rigurosa constancia documental de que la entidad cedente había informado y conservaba el escrito, con constancia de la recepción por el interesado, en el que tales extremos quedaban claramente expuestos.”. Después de la lectura del párrafo de la Sentencia citada parece que el perfil del tipo de consentimiento que estamos tratando comienza a dibujarse de forma clara, es decir, el Responsable del Fichero que diga poseer el consentimiento inequívoco deberá poder acreditarlo, por ejemplo con la constancia de la recepción del interesado del documento en el que se solicita. La pregunta que se plantea a continuación está ligada ineludiblemente con una cuestión práctica, en el sentido de ¿ cómo se puede acreditar el consentimiento si se deben enviar cientos o miles de cartas a todos los interesados que consten en un fichero?. En la LOPD aparece una posible solución en el artículo 5.5 que podría ser aplicable en virtud de la analogía legis: “no será de aplicación lo dispuesto en el párrafo anterior (el informar a una persona física de la incorporación de los datos a un fichero dentro de los tres meses siguientes al momento del registro) cuando (…) la información al interesado resulte imposible o exija esfuerzos desproporcionados a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.” La analogía consiste en que si por las circunstancias como un esfuerzo desproporcionado a criterio de la Agencia de Protección de Datos, se puede excepcionar el informar de la incorporación de datos personales no recabados del interesado en un fichero, y como el derecho de información y el consentimiento aparecen ambos como principios de la protección de datos, en virtud de la constatación de un esfuerzo desproporcionado a criterio de la Agencia, se podría excepcionar también el tener que remitir cientos o miles de cartas para solicitar los preceptivos consentimientos inequívocos. EL CONSENTIMIENTO REFORZADO PARA EL ALMACENAMIENTO Y TRATAMIENTO DE LOS DATOS ESPECIALMENTE PROTEGIDOS. El art. 7 de la L.O.P.D. regula el consentimiento requerido para el almacenamiento y tratamiento de los datos ESPECIALMENTE PROTEGIDOS, que son los que hacen referencia a ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual. “Art. 7. L.O.P.D. Datos especialmente protegidos. 1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo. 2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en Marco jurídico 143 cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado. 3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente. 4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual. 5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras. 6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto. También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.” Cabe destacar del texto anterior que de nuevo estamos ante la exigencia normativa de CONSENTIMIENTO EXPRESO en todos los supuestos de tratamiento de DATOS ESPECIALMENTE PROTEGIDOS. 2.1.4. Las medidas de seguridad NOCIONES GENERALES SOBRE EL DOCUMENTO DE SEGURIDAD: BLINDAR UN ENTORNO EMPRESARIAL PARA ERRADICAR LAS INFRACCIONES Y LAS CONSEGUIENTES SANCIONES. Se trata de un texto configurado jurídicamente a modo de reglamento en donde se regulan los sistemas y los medios de seguridad empleados por el responsable del fichero y de los datos con el fin de garantizar los derechos de los afectados de acuerdo con las disposiciones legales nacionales y comunitarias al uso. El documento de seguridad es un reglamento interno de control que obliga y rige para todos aquellos -personas físicas o jurídicas- que tengan acceso a las personas, locales, máquinas, programas, instalaciones o mobiliario en donde se traten o puedan tratarse datos de carácter personal, entendidos como cualquier tipo de información que afecte directa o indirectamente a personas físicas identificadas o identificables. Está compuesto por dos elementos: uno estático -el Reglamento de medidas de seguridad- y otro dinámico –los registros perimetrales de uso, administración y autocontrol. LAS MEDIDAS DE SEGURIDAD EN FUNCIÓN DEL NIVEL DE LOS DATOS. En aplicación de lo dispuesto en los artículos 3 y 4 del R.D. 994/1999 de 11 de junio se establece que: “Artículo 3. Niveles de seguridad. 3. Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto. 144 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 4. Dichos niveles se establecen atendiendo a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información.” “Artículo 4. Aplicación de los niveles de seguridad. 1. Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico. 2. Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo 28 de la Ley Orgánica 5/1992, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio. 3. Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alto. 4. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20. 5. Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes.” La aplicación de los niveles ha llevado a confusión a algunos profesionales del derecho y de la auditoria. Algunos han interpretado, a nuestro criterio de forma errónea, que los niveles de seguridad había que implantarlos con fundamento en la longitud y calidad de los datos que constan en los ficheros informatizados. Es evidente que en los ficheros de las empresas constan los datos básicos de las personas que intervienen en las operaciones, pero la información realmente relevante se encuentra en soportes que, en la mayor parte de las ocasiones, son independientes de los ficheros informatizados. El ejemplo de los hospitales y empresas de salud es claro: en los ficheros informatizados de pacientes sólo consta el nombre, los apellidos, el D.N.I., la dirección, los teléfonos y el número de cuenta corriente. Según esa interpretación, esas empresas habrían de tener las medidas de seguridad de nivel básico; sin embargo, poseen datos de salud (ap. 3 del art. 4) en soportes distintos de los ficheros informatizados, como es el caso de los historiales clínicos compuestos por radiografías y anotaciones del profesional sanitario. Por lo tanto, la clave del error radica en la concepción del objeto y del ámbito de aplicación de la norma. Si bien en la anterior legislación (L.O.R.T.A.D.), el ámbito quedaba reducido al tratamiento informatizado de datos de carácter personal y la norma era aplicable a los ficheros; en la presente, el ámbito es universal: “será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento y a toda modalidad de uso posterior de estos datos por los sectores público y privado” (art. 2.1 L.O.P.D.), y su objeto, claramente distinto: “La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.” (art. 1 L.O.P.D.). Por consecuencia, para establecer el nivel de seguridad aplicable a los datos que son tratados por las instituciones -tanto públicas, como privadas- habrá que tener en cuenta no sólo los ficheros informatizados y manuales de los que se dispone, sino cualquier tipo de información que exista en cualquier tipo de soporte que sea susceptible de tratamiento actual o posterior. Acerca de los soportes que contengan información, se plantean varios interrogantes: ¿Es necesario que los soportes que contengan información sobre personas físicas estén radicados en los mismos espacios físicos en donde radican los ficheros declarados y regidos por el responsable figurante Marco jurídico 145 de la recogida y tratamiento? No estando en los mismos locales, ¿quién responde del tratamiento de la información? ¿Es aplicable lo dispuesto en el artículo 43 de la L.O.P.D. a los trabajadores de una empresa que trate los datos por cuenta del responsable del fichero?. Como ha quedado establecido, el objeto y el ámbito del tratamiento es universal y afecta a “los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos de carácter personal” (art. 1, R.D. 994/1999 de 11 de junio); por lo tanto, afecta a todos, tanto a personas como a sistemas, con independencia del espacio físico que ocupen o si las personas pertenecen a otra entidad distinta de la del responsable. Como principio general, queda establecido que responde quien trate los datos, sea dentro o fuera de la institución responsable del “fichero” o “base de datos”. PROCEDIMIENTO PARA IMPLANTAR LOS NIVELES DE SEGURIDAD DE LOS DATOS TRATADOS EN UNA INSTITUCIÓN. Para llegar a definir e implantar el nivel aplicable, es necesario contar con los siguientes datos: 1º. Localización de los soportes. 2º. Análisis de los soportes. Estudio del objeto del tratamiento de cada uno de los soportes. 3º. Análisis de la longitud y calidad de los datos contenidos en los soportes. 4º. Calificación y clasificación de los tipos de información sobre personas físicas contenidos en los soportes analizados. 5º. Establecimiento de especialidades: datos especialmente protegidos, ficheros “Robinson” e información condicionada. 6º. Personal afecto. Estudio de las personas implicadas en el tratamiento. En este estudio, se dejará constancia de las formas de acceso, longitud de las autorizaciones en las aplicaciones y los responsables. Asimismo, se dejará constancia de las instituciones a las que pertenece el personal con accesos. De acuerdo con los soportes analizados, obtendremos como resultado que habrían de regularse diferentes niveles, según el tipo de soporte. Hay quien dice que para cada fichero hay que aplicar un sistema de seguridad de acuerdo con lo dispuesto en el R.D. 994/1999 de 11 de junio. Es nuestro criterio que una institución tiene la obligación de garantizar los derechos de los afectados y la forma de hacerlo puede sujetarse a los mínimos establecidos en la Ley, sin que esté prevista forma alguna en concreto. Por lo tanto, cada institución aplicará las medidas de seguridad a sus ficheros o soportes de forma que se respeten los niveles de seguridad y se garanticen los mínimos exigibles utilizando las formas y estructuras que tenga por conveniente. ESTABLECIMIENTO, CONCRECIÓN E IMPLANTACIÓN DE LAS MEDIDAS A APLICAR. Como es bien sabido, las medidas recomendadas por el R.D. 994 son mínimos imprescindibles de aplicación obligatoria al tenor de lo dispuesto en el art. 9 de la L.O.P.D. En este caso, el Reglamento propone los mínimos de aplicación, pero las instituciones y responsables han de implantar sistemas eficaces que garanticen los derechos de los afectados de forma, cuanto menos, práctica. Por ello, es necesario seguir un procedimiento de cara a implantar las medidas sin que ello signifique un trauma para la empresa. Se trata de que la institución o empresa realice su objeto, continúe con su organigrama funcional, con su jerarquía y con sus rutinas de producción sin que la implantación de las medidas de seguridad modifiquen nada de ello, o al menos lo afecten en la menor medida posible. No se trata de poner al día la empresa; se trata de que se implanten sistemas que garanticen los derechos de los afectados en el tratamiento de la información. SISTEMAS DE AUTOCONTROL. Consiste en diseñar el procedimiento que van a utilizar los encargados de seguridad para administrar los sistemas de control en cada departamento o aplicación. 146 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Los encargados de seguridad velarán por que se cumplan las medidas físicas e informáticas acordadas en la puesta en común y descritas en el documento de seguridad. Para ello, elaborarán periódicamente (entendemos adecuado una vez al mes) un informe de incidencias físicas e informáticas, de forma que queden reflejados, al menos, los siguientes parámetros: 1. Estado de conservación y mantenimiento de los aparatos informáticos, con indicación de cualquier incidencia sobre el funcionamiento anormal de cualquiera de ellos. 2. Lista de accesos físicos e informáticos: cumplimiento de los procedimientos de administración y uso de contraseñas y llaves de acceso a dependencias, armarios y archivos, reflejando cualquier cambio efectuado con respecto a la norma del documento. 3. Estado de conservación del mobiliario y de los soportes. Custodia de documentos y soportes informáticos y audiovisuales. 4. Novedades o incidencias de personal. Modificaciones funcionales. 5. Incidencias sobre el tratamiento general de los datos: ejercicio del derecho de acceso, denuncias, cambios de criterio en la administración de los datos, legitimaciones, etc. 6. Propuestas y sugerencias. EL INFORME DE REVISIONES. El responsable de seguridad controlará, revisará y anotará cualquier incidencia producida en el tratamiento ordinario o extraordinario de la información referida a personas identificadas o identificables en todos los ámbitos del tratamiento que afecten a la institución; tanto si se produce en los locales, como si se produce fuera de su ámbito, siempre que afecte a datos que sean objeto de tratamiento de la institución. Al menos una vez al mes, el responsable de seguridad elaborará un informe en donde se hará constar la información de control general sobre el cumplimiento de la normativa aplicable al tratamiento de la información referida a las personas, incorporará al mismo los informes de incidencias y dejará constancia de los problemas detectados y las propuestas de solución o las soluciones definitivas adoptadas. Estos informes quedarán archivados en el Registro de Autocontrol y se dará copia al responsable del fichero. 2.1.5. La Agencia de Protección de Datos (A.P.D.) • Naturaleza y referencias de localización y acceso: Es un ENTE DE DERECHO PÚBLICO CON PERSONALIDAD JURÍDICA PROPIA Y PLENA CAPACIDAD, que actúa con absoluta independencia de las administraciones públicas en el ejercicio de sus funciones (art. 35 L.O.P.D.). Su creación se remonta al marco de la derogada L.O.R.T.A.D. y su funcionamiento se rige en lo que le afectan los reales decretos 428/1993, de 26 de marzo, y 1332/1994, de 20 de junio, y en la L.O.P.D. Se trata de una AUTORIDAD DE CONTROL con jurisdicción propia que emana de las autoridades de la Unión Europea. Las referencias para localizarla y entrar en contacto son: AGENCIA DE PROTECCIÓN DE DATOS C/ Sagasta, n° 22. 28004 MADRID Tel. 91.399.62.00 Fax. 91.448.91.65 - 91.448.36.80 Dirección internet: www.agenciaprotecciondatos.org La A.P.D. dispone desde hace escasos años de una aceptable página web de libre acceso a la que, por mi parte, animo a los lectores a visitar y trabajar en detalle, con el fin de obtener beneficio de la ingente cantidad de información que dispone sobre el tema que nos interesa. Marco jurídico 147 Así mismo es aconsejable, por su utilidad, mantener contactos personales con los funcionarios ya sea mediante visita, consulta telefónica o consulta escrita vía fax o correo electrónico. La relativa novedad del tema y su complejidad jurídica convierten en obligada la práctica de los contactos reiterados con la A.P.D. Además la A.P.D. publica cada año su MEMORIA en formato de libro y en soporte C.D. de difusión gratuita entre aquellos que la soliciten. Toda la información de la Memoria está disponible en la web de la Agencia, pero a veces resulta útil para su estudio y manejo disponer de otros soportes más próximos. Año tras año mejora notablemente la calidad de la información incluida en la Memoria. • Organigrama y estructura; las agencias en el ambito de las comunidades autónomas: El desarrollo normativo de la estructura y funciones de la A.P.D. se desarrolla en el R.D. 428/93 que, curiosamente, es uno de los tres R.D. conservados como vigentes en la Disposición Transitoria tercera de la L.O.P.D.; “Subsistencia de normas preexistentes”. En este R.D. la A.P.D. se configura de acuerdo con la siguiente estructura organizativa y operativa: A. NATURALEZA (Art. 35 R.D. 428/93). La A.P.D. es un ente de Derecho Público, con personalidad jurídica propia que actúa con plena independencia de las administraciones públicas. Su marco regulador está definido por la L.O.P.D. el Estatuto regulado por el R.D. que nos ocupa y por la Ley de Régimen Jurídico de las Administraciones Públicas. El personal adscrito a la A.P.D. tiene el estatuto de funcionario. B. ORGANOS. La A.P.D. se organiza de acuerdo con la siguiente estructura: 1. CONSEJO CONSULTIVO. (Art. 38). Sus funciones son meramente consultivas hacia el Director de la A.P.D. y sus miembros lo son por designación entre colectivos de muy distinta condición, por ejemplo; un diputado, un senador, un miembro de la Real Academia de la Historia (!), un representante del Consejo Superior de Universidades, un representante del Consejo de Consumidores y Usuarios, etc. 2. DIRECTOR (Art. 36). Es designado por el Gobierno para el cargo de entre los miembros que integran el Consejo Consultivo. 3. REGISTRO GENERAL DE PROTECCION DE DATOS (Art. 39). Nos remitimos al apartado 7.3.1. siguiente, baste ahora decir que en el Registro General se inscriben los ficheros, los códigos tipo y las incidencias. 4. INSPECCION (Art. 40). Además el referido R.D. contempla la posibilidad de que se materialice la descentralización autonómica de la A.P.D. con competencia plena y con carácter exclusivo de los ficheros públicos en el ámbito de una autonomía. A pesar del tiempo transcurrido desde la implantación del R.D., a día de hoy tan sólo la C.A. de Madrid ha desarrollado plenamente su A.P.D. autonómica. La situación sorprende a primera vista por cuanto el vacío descentralizador sobre la materia contrasta con la algarabía reivindicativa de transferencias de todo tipo desde el Estado Central a los diferentes ámbitos autonómicos. Pero la sorpresa se desvanece pronto; ninguna autonomía quiere meterse en un jardín tortuoso que tan sólo le va a reportar problemas y ningún beneficio, ni tan siquiera indirecto. La sorpresa es mayor por cuanto la única Comunidad Autónoma que ha desarrollado plenamente su competencia en la materia resulta ser la de Madrid que, casualmente una vez más, es la que menos lo necesita por cuanto en su ámbito reside la A.P.D. estatal. Lo de casualmente no deja de ser una reticente llamada a los celos competenciales. En junio de 2002 la Generalitat de Catalunya regula l’Agencia Catalana de Protecció de Dades Personals, organismo que aún está pendiente de materialización. 148 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas • Funciones: El registro general como núcleo para el ejercicio de los derechos de los afectados. Entendemos por Derechos de los Afectados en su conjunto como aquellos “derechos vehiculares” o instrumentales para la consecución del pleno y pacífico ejercicio de los Derechos Fundamentales que, de acuerdo con lo dispuesto en el Art. 1, constituyen el objeto de la L.O.P.D. (recordar el derecho al buen nombre, a la intimidad y al honor personal y familiar Art. 18.1. y 18.4. de la Constitución Española). Recordemos también que un apartado anterior trata de modo genérico los Derechos de los afectados. De acuerdo con el orden lógico de su ejercicio, que es denominado como “Derecho de Consulta al Registro General de Protección de Datos”. En esta línea hay que decir que el Derecho de Consulta del Registro de General no sólo es el primero, sino también el núcleo central sobre el que pivota el ejercicio de los demás “Derechos Vehiculares”. A modo de analogía podríamos decir que el Registro General de la A.P.D. es el equivalente en el campo de la privacidad al Registro Mercantil en el ámbito de la seguridad mercantil. Como contrapartida el Registro General también supone el núcleo central en torno al que gira la Función Inspectora de la A.P.D. De este modo hemos llegado a definir las dos caras dialécticas de un mismo instrumento que se manifiesta como no neutro, al adquirir una u otra connotación en función de la intención con que es utilizado. Cuando un afectado quiere ejercer sus “derechos vehiculares” y no sabe a dónde y a quién dirigirse para ello, debe recurrir al Registro General de la A.P.D. donde se le facilitará el nombre del Responsable del Fichero y la dirección del mismo. LA FUNCIÓN INSPECTORA Está regulada en el “Artículo 40 de la L.O.P.D.”: Potestad de inspección 1. Las autoridades de control podrán inspeccionar los ficheros a que hace referencia la presente Ley, recabando cuantas informaciones precisen para el cumplimiento de sus cometidos. A tal efecto, podrán solicitar la exhibición o el envío de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los equipos físicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales donde se hallen instalados. 2. Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior tendrán la consideración de autoridad pública en el desempeño de sus cometidos. Estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas”. Dada la general ignorancia del texto legal que nos ocupa resulta hasta frecuente que los funcionarios inspectores de la A.P.D. no sean “bien acogidos” por las empresas o personas sobre las que actúan. Sobre el particular cabe decir que la obstrucción a la función inspectora se considera como infracción grave (art. 44., apartado 3.j), como se indicará más adelante, lo cual acarrea sanciones económicas entre 60.101.- euros. y 300.506.- euros. Normalmente los funcionarios inspectores actúan por parejas y en su mayoría, aunque no exclusivamente, son técnicos informáticos, por lo que saben perfectamente cómo llegar a localizar ficheros y circuitos de datos personales. El director de la A.P.D. reitera en público y en privado a quien quiera oírle que la Agencia tan sólo actúa en inspecciones de oficio sobre “sectores sensibles”: información de solvencia económica, publicidad directa, sector sanitario, sector financiero, seguros, etc. Marco jurídico 149 Sobre el resto de sectores y en las empresas pequeñas, la actuación se limita a proceder, por estrategia y por escasez de recursos, en caso de DENUNCIA. Cabe decir que en estos casos la actuación es fulminante a pesar de la escasez de recursos humanos de la A.P.D. Contra las resoluciones de la Inspección, así como contra las propuestas de sanción, cabe recurso contencioso-administrativo, recurso que no paraliza la ejecución de la sanción si no media garantía suficiente. AVISO: Si es usted asesor o consultor de empresas no dude en recurrir a la AGENCIA DE PROTECCIÓN DE DATOS (A.P.D.) para obtener información y plantear sus dudas. Puede optar por la visita personal, teléfono, fax o vía internet en las direcciones que hemos facilitado. AVISO: Si usted es un ciudadano recuerde que la AGENCIA DE PROTECCIÓN DE DATOS (A.P.D.) es el organismo encargado de defender sus derechos frente a posibles agresiones y siempre de forma gratuita. AVISO: Nunca obstruya la acción inspectora de la A.P.D. sobre sus ficheros. Sólo le conducirá a un posible incremento de la posible multa de hasta 5 veces su importe. 2.1.6. La legalización de los ficheros El capítulo II de la L.O.P.D. regula los FICHEROS DE TITULARIDAD PRIVADA, que son los que nos interesan a nuestros efectos. En el art. 26 se describe el procedimiento para inscribir los ficheros en el Registro General de la Agencia. “Artículo 26”. Notificación e Inscripción Registral. 1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos. 2. Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible, y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros. 3. Deberá comunicarse a la agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación. 4. El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación. 5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos. Destaquemos sobre la disposición anterior que la notificación a la Agencia debe ser PREVIA a la creación de un fichero. ¿Qué pasa con los ficheros existentes y no legalizados? Se debe proceder cuanto antes a su presentación ante la Agencia. Hay que destacar que, a partir del 26 de marzo de 2000, para notificar un fichero se debe haber aplicado previamente las medidas de seguridad en los términos que explicaremos en una próxima colaboración. 150 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 2.2. La protección de datos personales en un entorno e-Commerce • Planteamiento de la cuestión. De nuevo a vueltas con la seguridad Como ya hemos señalado en el Epígrafe 2, uno de los factores que obstaculiza la rápida implantación y aceptación de Internet por parte de los usuarios es la dificultad de dotar al entorno de unos niveles mínimos de seguridad. Recordemos la frase; “sin e-confianza no puede existir el e-negocio”. Con el propósito de remediar estas carencias se viene trabajando desde hace meses en el ámbito de la Unión Europea y de sus Estados miembros a fin de establecer un marco jurídico suficiente y mínimo para superar los déficits de confianza antes aludidos. A pesar de que la Directiva dispone una transposición obligatoria a las normativas de todos los Estados miembros en un plazo máximo de 18 meses, lo cierto es que en junio de 2002 se promulga la ley conocida como Ley de Servicios de la Sociedad de la Información y del Correo Electrónico denominada LSSI con lo que es manifiesto el incumplimiento del plazo ordenado. Mucha y amplia va a ser la incidencia de esta norma en el desarrollo e implantación de Internet. Uno de los aspectos que contempla, como no podía ser menos, hace referencia a la “confidencialidad de los datos personales” y la correspondiente “intimidad de los usuarios”. Esta referencia se centra en líneas generales en remitir las diferentes problemáticas a la legislación vigente en España sobre Protección de Datos Personales. En tanto en cuanto no se disponga del texto legal definitivo de la LSSI nos vemos limitados a hacer referencia a los diferentes estudios y recomendaciones elaborados hasta la fecha por la Agencia de Protección de Datos (APD). Transcribimos estos documentos por su importancia a los efectos de los fines que persigue este manual. Los documentos son públicos y se puede acceder a ellos a través del web-site de la APD (www.agenciaprotecciondatos.org). Inspección de la agencia de protección de datos sobre el sector del e-Commerce en España. Durante los meses de septiembre, octubre y noviembre de 2000, la Agencia de Protección de Datos llevó a cabo una inspección sectorial cuyo objetivo era determinar si las entidades que actualmente desarrollan su actividad comercial a través de Internet cumplen con los principios de la legislación vigente en materia de protección de datos, así como coadyuvar al cumplimiento de la misma, a cuyo efecto el Plan de Inspección culmina con las pertinentes Recomendaciones, en las que se recogen los criterios que han de seguir las entidades inspeccionadas para el mejor cumplimiento de la ley. En el transcurso de esta inspección se analizaron dos de las modalidades de comercio electrónico en las que el ciudadano tiene una clara participación: la que se establece entre empresa y consumidor (B2C) y la venta directa entre consumidores (C2C). Por otra parte, el análisis se circunscribió a las entidades que comercian a través de la Red, dejando de momento a un lado a aquellas otras que tan sólo disponen de portales generalistas entre cuyos servicios no se ofrece la adquisición on-line de productos o servicios. Se analizaron 44 webs desde las que se desarrollaban actividades de comercio electrónico. En la totalidad de las webs analizadas se pudo determinar el nombre de la compañía que había registrado el dominio correspondiente en Internet, verificándose por el contrario que no siempre se informaba desde la propia web del nombre del responsable del fichero en el que se incorporan los datos personales recabados. En este sentido, se comprobó también que en 12 de las 44 webs analizadas (27%) no se hacía ninguna referencia a la información que establece el apartado 1 del artículo 5 de la LOPD, mientras que en el resto sí se incluía un texto con el que se pretende cubrir en mayor o menor medida ese requisito legal. También se verificó que, a la fecha de la inspección, los responsables de 16 de las 44 webs analizadas (36%) no figuraban aún inscritos en el Registro General de Protección de Datos, cuando en la práctica totalidad de los casos resultaba evidente que recababan datos personales desde las citadas webs. Marco jurídico 151 En materia de seguridad, de las 44 webs analizadas sólo 24 (54%) utilizaban el protocolo HTTPS (SSL) para establecer un “canal seguro” de comunicación entre el servidor y el usuario para el envío de sus datos personales. 2.3. Un ejemplo práctico: adaptación de un entorno empresarial a la normativa sobre protección de datos personales Ya hemos tratado a lo largo del libro que la protección de datos personales es un tema de total actualidad por diferentes motivos: la obligatoriedad de su aplicación, su emergente conocimiento, el carácter expansivo del objeto y ámbito de la vigente LOPD y, sin duda, las millonarias sanciones impuestas por la Agencia de Protección de Datos y que aparecen con asiduidad en los medios de información. Pese a la obligatoriedad general de su aplicación, ya que prácticamente todos los ficheros poseen algún dato personal, ya sea la persona de contacto, un e-mail perteneciente a una persona física, un N.I.F., etc, su grado de implantación dista bastante de ser generalizado y aceptado debido en gran medida al profundo desconocimiento existente sobre la materia a todos los niveles. En este contexto, concretamente el ser una normativa aplicable a todos los casos de ficheros que contengan datos de carácter personal, hace que no sea sencillo el citar un ejemplo práctico debido a la gran cantidad de casos posibles existentes, ya que además cada uno de ellos tiene múltiples peculiaridades y, por supuesto, dificultades. A continuación expondremos el ejemplo práctico que comentaremos. El supuesto es el de una empresa, concretamente una fábrica de mediano tamaño que iniciará su actividad en breve, con todos los servicios centralizados en una única sede social, y que dispone de un departamento interno que será el que realizará las nóminas de sus empleados. En cualquier aplicación que se realice en materia de protección de datos personales se debe tener en cuenta en principio como mínimo tres partes fundamentales: LA LEGALIZACIÓN, LA LEGITIMACIÓN Y LA APLICACIÓN DE LAS MEDIDAS DE SEGURIDAD. Comenzaremos por la LEGALIZACIÓN, que consiste en declarar el fichero o ficheros que posea el Responsable ante la Agencia de Protección de Datos, concretamente ante el Registro General de Protección de Datos. Concretamente, en nuestro ejemplo, nuestra fábrica posee un fichero de personal, uno de clientes y otro de proveedores, que por otra parte suele ser lo más común. Una vez delimitados los ficheros, procederemos a su declaración, la cual se realizará entregando a la Agencia de Protección de Datos los modelos de declaración de ficheros debidamente cumplimentados. El modelo de notificación a la Agencia consta de diferentes apartados los cuales cumplimentaremos en función de este caso en concreto. El primer apartado se titula Responsable del fichero o tratamiento, y es la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Deberemos cumplimentar este apartado con toda la información que se nos solicita referente a la fábrica cuyos ficheros vamos a declarar. El punto segundo se titula literalmente “Servicio o Unidad concreto ante el que puedan ejercitarse los derechos de oposición, acceso, rectificación y cancelación. (Cumplimentar en el caso de que sea diferente al declarado en el apartado 1. Responsable del Fichero o Tratamiento)”. Como en el caso que nos ocupa, los derechos que vayan a ejercer en su caso los titulares de los datos los realizarían en la sede social de la fábrica que ya hemos descrito en el punto primero del Responsable, es decir, que será en la misma dirección, este apartado se deberá dejar en blanco. El tercer apartado deberemos cumplimentarlo con el nombre y descripción del fichero o tratamiento. Por lo tanto daremos un nombre a los ficheros que vayamos a proceder a su notificación y los describiremos brevemente. Siguiendo con la declaración, el siguiente punto es el de la ubicación principal, y como ya hemos visto que la fábrica tiene todos sus servicios y gestión centralizados, y por lo tanto los ficheros 152 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas se encuentran ubicados en la misma dirección ya detallada en el apartado primero, dejaremos también este apartado en blanco, al igual que el apartado quinto, ya que ninguna entidad realiza ningún tratamiento de datos por cuenta de la fábrica al realizarse su gestión de manera interna. El sistema de tratamiento de la información es el título del apartado sexto de la declaración, y lo cumplimentaremos con la descripción general del sistema, además de hacer constar si se poseen conexiones remotas y si se trata de una página web, lo cual en nuestro ejemplo contestaremos de forma negativa. El brevísimo apartado siete es uno de los que reviste mayor importancia. Deberemos declarar si las medidas de seguridad adoptadas son de nivel básico, medio o alto. En nuestra fábrica todos los datos que se poseen son identificativos y por ello declararemos un nivel de seguridad básico. Más adelante, concretamente cuando hagamos referencia a las medidas de seguridad, explicaremos más detenidamente los niveles de seguridad y su importancia. En el octavo apartado detallaremos los tipos de datos que contiene cada fichero y en el noveno la finalidad y los usos previstos. En el apartado décimo señalaremos la procedencia de los datos, que en el caso de la fábrica será del propio interesado; el procedimiento de recogida, por ejemplo mediante formularios y el soporte utilizado para la obtención, que será papel. El resto de apartados de la declaración los dejaremos sin cumplimentar dado que no se realizan por la fábrica cesiones de datos, al igual que tampoco transferencias internacionales. Los dos últimos apartados de la declaración no se completarán debido a que están reservados para la modificación o supresión de los ficheros, y en el presente caso lo que estamos haciendo es una declaración. Una vez cumplimentado el formulario de declaración se enviará a la Agencia de Protección de Datos de la cual si en un plazo de un mes no recibimos respuesta en contrario, podremos considerar que el fichero o ficheros en su caso, están inscritos a todos los efectos. La segunda vertiente de la protección de datos es lo que se denomina la LEGITIMACIÓN, es decir, resumidamente, poseer el consentimiento de los titulares de los datos para estar en nuestros ficheros. El consentimiento para incluir datos personales en un fichero no será preciso en lo que a la fábrica afecta cuando se refiera a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento. Pese a poseer el consentimiento sí será preciso el cumplir, cuando se soliciten datos, con el llamado por el artículo 5 de la L.O.P.D. derecho de información, es decir, que las personas a las que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de: a) La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) Las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) La identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Llegamos en nuestro ejemplo a la tercera y última parte: LA APLICACIÓN DE LAS MEDIDAS DE SEGURIDAD EN LOS FICHEROS. Como ya hemos visto, nuestra fábrica tan sólo posee datos de carácter identificativo, por lo que las medidas de seguridad a aplicar son de nivel básico. Las concretas medidas de seguridad en cuanto a los ficheros automatizados se encuentran recogidas en el RD 994/99 de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. El nivel básico de seguridad se caracteriza principalmente por: Marco jurídico 153 a) La realización de un documento de seguridad que recoja la normativa de seguridad de los datos de la empresa, en este caso de la fábrica, según las indicaciones exactas establecidas en el Reglamento. b) Delimitar las funciones y obligaciones del personal con acceso a los datos. c) Identificar y autenticar el acceso al fichero del personal autorizado que se deberá cambiar con una periodicidad que aconsejamos sea inferior a dos años. d) Controlar los soportes que contengan datos personales en cuanto a su inventario y autorización para la salida del domicilio donde esté ubicado el responsable del fichero. e) Realizar copias de respaldo y recuperación en principio, como mínimo, semanalmente. Además del nivel básico, y a título informativo, existen dos niveles más de seguridad: el medio y el alto. Las medidas de seguridad a adoptar son acumulativas siendo el alto la acumulación de todos los requisitos necesarios para el nivel básico y el medio además de las establecidas para el alto. El nivel básico, como ya hemos comentado, afecta a datos identificativos; el nivel medio a datos de infracciones administrativas o penales, servicios financieros, hacienda pública, los relativos a la prestación de servicios de solvencia patrimonial y crédito y ficheros con datos que permitan realizar una evaluación de la personalidad del individuo; el nivel alto hace referencia a ficheros que contengan datos de ideología, salud, afiliación sindical, religión, creencias, origen racial y vida sexual. Pese a que en nuestro ejemplo no es aplicable, debemos resaltar que en el caso de un fichero con datos de nivel alto, no se deberán tan sólo reforzar las medidas de seguridad aplicables, sinó que el consentimiento también será reforzado, debiendo obtenerse el consentimiento expreso y por escrito. Una vez cumplidas las tres partes fundamentales de los puntos expuestos, en principio se podría considerar que la fábrica posee los datos personales contenidos en sus ficheros adaptados a la normativa de protección de datos personales ya que los habrá legalizado, poseerá el consentimiento para tratarlos y habrá aplicado las medidas de seguridad correspondientes. Aún así se debe poner de relieve que toda la actuación en este campo debe estar constantemente actualizada (por ejemplo la legalización en el caso de que haya algún cambio) y que todas las nuevas actuaciones de la empresa deberán seguir adecuadas a la normativa, ya que puede que en el futuro existan cesiones de datos, por poner un ejemplo práctico. Previamente a la conclusión, queremos recalcar que lo expuesto es tan sólo un ejemplo y que en la práctica se producen multitud de situaciones con una gran cantidad de variantes y especificaciones. Cada aplicación de la normativa en un supuesto concreto se debe enfocar como un traje a medida y realizado por personal cualificado que proporcione seguridad jurídica y tecnológica entendidas siempre como conceptos complementarios y necesarios para lograr una perfecta protección de los datos de carácter personal. 2.4. Once respuestas que lo aclaran todo sobre la protección de datos de carácter personal 1. INTRODUCCIÓN Poco a poco, como la lluvia fina sobre los campos, la reciente normativa que regula la protección de datos personales va calando en nuestra sociedad, principalmente en las empresas y en el Sector Público, por ser éstos los mayores almacenadores y tratadores de información personalizada. La pregunta que surge a continuación es cómo se deben adaptar y proteger los datos que se tratan en cada sector, empresa o institución para dar cumplimiento a la Ley. Con el presente artículo se pretende acercar de una forma didáctica y directa la protección de datos con el objetivo de proporcionar los elementos básicos con los que abordar la obligatoria adaptación a la normativa. 154 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 2. ¿DEBE CUMPLIR MI EMPRESA LO DISPUESTO EN LA LEY DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL? La L.O.P.D. se aplica a cualquier información (desde un N.I.F. o un nombre hasta un dato de salud) de una persona física identificada o identificable que esté contenida en un fichero. Vemos entonces, que prácticamente la totalidad tanto del sector privado como público dispone de datos personales en sus ficheros, ya sean informatizados, documentales o de otro tipo y por lo tanto les es de aplicación toda la normativa sobre protección de datos personales. 3. ¿CUÁLES SON LAS PRINCIPALES NOVEDADES DE LA LEGISLACIÓN VIGENTE SOBRE PROTECCIÓN DE DATOS? La Directiva Comunitaria 46/1995 de 24 de octubre de 1995 introduce un cambio sustancial respecto a la ya derogada Ley Orgánica Reguladora del Tratamiento Automatizado de Datos (LORTAD) de 1992. En lo fundamental, amplía el ámbito de protección de la información personalizada a cualquier dato o información concerniente a una persona física identificada o identificable, cualquiera que sea la forma o modalidad de su obtención, conservación y tratamiento. Obsérvese sobre el particular que la nueva Ley Orgánica de 1999, consecuencia de la obligada transposición de la Directiva Comunitaria, elimina de su título el término “TRATAMIENTO AUTOMATIZADO DE DATOS”. Ahora lo que se protege no es un modo de tratar la información personalizada, sino esta misma información y los derechos que pivotan en torno a ella. Es importante destacar otro aparente detalle que en realidad es trascendental a fin y efecto de aquilatar en su verdadera dimensión la vocación expansiva de la nueva Ley Orgánica por lo que respecta a su objeto. Al referirse a la información protegida lo hace en relación con las personas físicas IDENTIFICADAS o IDENTIFICABLES. Con ello quiere decir el nuevo texto normativo que no es necesario que la información esté vinculada directamente a una persona física, basta con que lo esté unívocamente. Por ejemplo, una relación de matrículas de automóviles, una relación de números de contraseña de acceso a un sistema informático o una relación de clientes o proveedores, ciento por ciento personas jurídicas, son tres claros ejemplos de ficheros (o bases de datos) con información de carácter personal. Esta aclaración es importante porque resuelve una duda metódica que se presenta siempre al abordar por primera vez esta problemática. Hay que resaltar que, con esta nueva regulación, el objeto de la protección legal de los datos personales en España ha dejado de ser una cuestión técnico-informática y fundamentalmente se trata de un problema jurídico: “protección de DERECHOS FUNDAMENTALES de las personas físicas”. Esto no quiere decir que toda la normativa vuelva la espalda a la componente tecnológica, cosa que no puede hacer, sino que la relega a un segundo plano por extensión del objeto. 4. ¿QUÉ DEFINICIÓN DA LA LEY A LOS CONCEPTOS MÁS IMPORTANTES? Sin ánimo de ser exhaustivos y a los efectos del presente artículo a continuación expondremos los conceptos básicos que aparecen en la Ley: a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables. b) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Es muy importante resaltar la tan reiterada vocación expansiva de la L.O.P.D. en lo relativo al alcance de los ficheros regulados, que resultan ser TODOS, con independencia de sus circunstancias, sean éstas las que sean. c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, Marco jurídico 155 bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. La importancia jurídica de este concepto es transcendental por tratarse de la persona, FÍSICA o JURÍDICA, que será responsable jurídicamente por la posesión o utilización de los datos personales organizados en ficheros. En la práctica se recurre generalmente a designar como responsable a la persona jurídica propietaria del fichero. e) Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo. f) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Después de mucha discusión entre los expertos, tras la publicación de la última Ley Orgánica la Agencia de Protección de Datos, ha quedado claro que este concepto se refiere a las personas ajenas a la persona o empresa responsable del fichero que, mediante la formalización de un contrato de prestación de servicios entre ambos (contrato de outsourcing) realiza el tratamiento de datos por cuenta de aquél. La figura del contrato resulta fundamental para clarificar el espinoso asunto de las responsabilidades de cada parte. g) Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. h) Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado. 5. ¿QUÉ SE DEBE HACER PARA CUMPLIR LA NORMATIVA DE PROTECCIÓN DE DATOS? Para cumplir con la normativa se deberán fundamentalmente realizar los siguientes pasos: informar a la persona titular de los datos, obtener el consentimiento suficiente para incluir los datos en el fichero, aplicar las medidas de seguridad necesarias y por último declarar el fichero ante la Agencia de Protección de Datos. En primer lugar hay que abordar el problema con una perspectiva multidisciplinar. En segundo lugar hay que adaptar la Ley a la realidad de la empresa y nunca al revés. Quiere ello decir que cuando una empresa o entidad funciona razonablemente no hay que cambiar nada su organigrama, basta con saber adaptar las exigencias legales a la realidad de nuestro entorno. Las soluciones parciales son ineficaces y a la larga más caras. La experiencia nos ha confirmado que hay que aplicar soluciones mixtas: técnicas, jurídicas y organizativas. 6. ¿CÓMO SE CUMPLE CON EL DERECHO DE INFORMACIÓN EN LA RECOGIDA DE LOS DATOS? En el momento de solicitar los datos se debe informar a la persona titular de los datos de los siguientes extremos: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. 156 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. La L.O.P.D. establece algunas excepciones respecto a informar al afectado las cuales constan en el último apartado del artículo y que son fundamentalmente: cuando una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias; tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten. 7. ¿CÓMO SE OBTIENE EL CONSENTIMIENTO PARA INCLUIR LOS DATOS PERSONALES EN UN FICHERO? Cualquier tratamiento de datos personales necesitará previamente que la persona interesada haya dado su consentimiento. Existen dos tipos de consentimiento según la Ley y que son el inequívoco y el expreso: ∑ El inequívoco es aquel que no ofrezca lugar a dudas que se posee y que podríamos equiparar con el tácito. Dicho consentimiento se necesitará para cualquier tipo de dato excepto los que sean de nivel alto, según se indica en el párrafo siguiente. ∑ El expreso y por escrito es aquel consentimiento reforzado que exige la Ley para aquellos tipos de datos que requieren especial protección y que son los relativos a la ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual. Las excepciones a la solicitud del consentimiento están reflejadas en la Ley y son las siguientes: cuando se recojan los datos para el ejercicio de las propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado o cuando los datos figuren en fuentes accesibles al público. En resumen, cualquier dato personal que contenga un fichero deberá poseer el consentimiento suficiente el cual se podrá excepcionar únicamente según los supuestos tasados que aparecen en el párrafo anterior. 8. ¿CUALES SON LAS MEDIDAS DE SEGURIDAD A APLICAR? Las medidas de seguridad reguladas en detalle son las referentes al ámbito informático. Aún así no se debe olvidar que la L.O.P.D. es aplicable a los datos personales contenidos en un fichero sea del tipo que sea: informático, documental, óptico, etc, y que el Responsable del Fichero deberá garantizar la seguridad de los datos contenidos en él, ya que de lo contrario se expondrá a cuantiosas sanciones. Las medidas de seguridad se dividen en los niveles básico, medio y alto dependiendo del tipo de datos que contenga el fichero, y hay que destacar que las medidas a aplicar son acumulativas, es decir, el nivel alto deberá cumplir además de las medidas de seguridad correspondientes a su nivel, las de nivel básico y medio. Marco jurídico 157 Los datos de nivel básico son cualquier tipo de dato personal como un nombre o un N.I.F. y las principales medidas de seguridad a aplicar son: ∑ Redacción de un documento de seguridad en el que se refleje la política de seguridad del Responsable del Fichero. ∑ Poseer mecanismos de identificación y autenticación de los usuarios que entren en el sistema de información. ∑ Poseer un Registro de Incidencias. ∑ Realizar copias de seguridad. El nivel de seguridad de nivel medio se aplica a aquellos datos relativos a los servicios financieros, a los datos que permitan obtener una evaluación de la personalidad del individuo, datos sobre solvencia patrimonial y crédito (ficheros de morosos), datos de la Hacienda Pública y de infracciones administrativas y penales. Las medidas de seguridad más importantes del nivel medio son: ∑ La designación de un responsable de seguridad. ∑ Un sistema de identificación y autenticación de usuarios personalizado. ∑ Control de acceso físico al sistema de información. ∑ Un registro de entrada, salida y un control exhaustivo de soportes. ∑ Un registro de incidencias reforzado. El nivel máximo de seguridad es el alto y se aplicará a aquellos datos especialmente protegidos como los de salud, afiliación sindical, etc., a los cuales nos hemos referido anteriormente. Las principales especificaciones de seguridad son: ∑ La distribución de soportes se realizará cifrando los datos. ∑ Existirá un registro de accesos que controle la identificación del usuario, la fecha y hora del acceso, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. ∑ La distribución de datos personales a través de redes de telecomunicaciones se realizará cifrando dichos datos. 9. ¿EN QUÉ CONSISTE DECLARAR LOS FICHEROS QUE CONTENGAN DATOS PERSONALES A LA AGENCIA DE PROTECCIÓN DE DATOS? En el art. 26 de la LOPD se describe el procedimiento para inscribir los ficheros en el Registro General de la Agencia. “Artículo 26”. Notificación e inscripción registral. 1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos. 2. Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible, y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros. 3. Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación. 158 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 4. El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación. 5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos. Destaquemos sobre la disposición anterior que la notificación a la Agencia debe ser PREVIA a la creación de un fichero. ¿Qué pasa con los ficheros existentes y no legalizados? Se debe proceder cuanto antes a su presentación ante la Agencia. Hay que destacar que, a partir del 26 de marzo de 2000, para notificar un fichero se debía haber aplicado previamente las medidas de seguridad de nivel básico, las de nivel medio entraron en vigor en junio del 2000 y las de nivel alto serán exigibles a partir de junio del 2002. 10. ¿CUÁLES SON LAS SANCIONES POR NO CUMPLIR LA NORMATIVA? La L.O.P.D. posee un régimen sancionador dividido en tres tipos de infracciones: leves, graves y muy graves, cuyo importe puede llegar a ser de seis millones de Euros (Cien millones de pesestas). Las Infracciones son las siguientes: • INFRACCIONES LEVES (art. 44.2). SUPUESTOS: a) No solicitar inscripción en el REGISTRO GENERAL (NO LEGALIZAR). b) Recoger datos sin INFORMAR al titular (NO LEGITIMAR). (art. 5 L.O.P.D.). c) No atender solicitudes de rectificación y cancelación por motivos meramente formales. • INFRACCIONES GRAVES (art. 44.3). SUPUESTOS: a) No aplicar MEDIDAS DE SEGURIDAD. b) OBSTACULIZACIÓN al ejercicio de los derechos de ACCESO y OPOSICIÓN. c) MANTENER DATOS INEXACTOS y NO EFECTUAR RECTIFICACIÓN o CANCELACIÓN a petición del interesado. d) NO GUARDAR SECRETO de los datos ESPECIALMENTE PROTEGIDOS. e) OBSTRUCCIÓN A LA INSPECCIÓN. f) NO INSCRIBIR un fichero en el REGISTRO GRAL., después de ser requerido por la A.P.D. • INFRACCIONES MUY GRAVES (art. 44.4). SUPUESTOS: a) RECOGER DATOS EN FORMA ENGAÑOSA Y FRAUDULENTA. b) COMUNICAR O CEDER DATOS (sin autorización) (art. 1). c) INCUMPLIR OBLIGACIONES PROTEGIDOS (art. 7 y art. 8). SOBRE DATOS ESPECIALMENTE d) OBSTACULIZAR SISTEMÁTICAMENTE EL EJERCICIO DE LOS DERECHOS DE LOS AFECTADOS. Marco jurídico 159 La cuantía de las sanciones aparece en función del tipo de infracción es: LEVES: de 100.000 a 10 millones de ptas. (entre 601,01 y 60.101,21 Euros). GRAVES: de 10 a 50 millones de ptas. (entre 60.101,22 y 300.506,05 Euros). MUY GRAVES: de 50 a 100 millones de ptas (entre 300.506,06 y 601.012,01 Euros). En definitiva, que el riesgo por no tener adecuados los ficheros a la normativa de protección de datos personales es demasiado elevado como para no tenerlo en consideración, ya que una sanción puede llegar a afectar a la continuidad de la empresa. 11. ¿QUÉ ES LA AGENCIA DE PROTECCION DE DATOS? • Naturaleza Es un ENTE DE DERECHO PÚBLICO CON PERSONALIDAD JURÍDICA PROPIA Y PLENA CAPACIDAD, que actúa con absoluta independencia de las administraciones públicas en el ejercicio de sus funciones (art. 35 L.O.P.D.). Su creación se remonta al marco de la derogada L.O.R.T.A.D. y su funcionamiento se rige en lo que le afectan los Reales Decretos 428/1993, de 26 de marzo, y 1332/ 1994, de 20 de junio, y en la L.O.P.D. Se trata de una AUTORIDAD DE CONTROL con jurisdicción propia que emana de las autoridades de la Unión Europea. • Funciones de la A.P.D. De entre todas la funciones, destacamos por su importancia las siguientes: 1. Todas aquellas relativas a la información, gestión y defensa de los DERECHOS DE LOS AFECTADOS. Esta función se desarrolla mediante la gestión del Registro General, donde se deben inscribir los ficheros de acuerdo con lo indicado en el apartado 9 anterior. 2. Ejercer la POTESTAD SANCIONADORA, derivada de la POTESTAD DE INSPECCIÓN. 3. Controlar los MOVIMIENTOS INTERNACIONALES DE DATOS, con mayor atención respecto a aquellos países que carecen de normativa homologable con la nuestra. • Comentarios destacables: La L.O.P.D. se aplica a cualquier información (desde un N.I.F. o un nombre hasta un dato de salud) de una persona física identificada o identificable que esté contenida en un fichero. La protección legal de los datos personales en España ha dejado de ser una cuestión técnico-informática y fundamentalmente se trata de un problema jurídico: “protección de DERECHOS FUNDAMENTALES de las personas físicas”. • ¿Qué se debe hacer para cumplir la normativa de protección de datos? Para cumplir con la normativa se deberán fundamentalmente realizar los siguientes pasos: 1. Informar a la persona titular de los datos. 2. Obtener el consentimiento suficiente del afectado. 3. Aplicar las medidas de seguridad. 4. Declarar el fichero ante la agencia de protección de datos (inscripción del fichero en el registro general). 160 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas La L.O.P.D. es aplicable a los datos personales contenidos en un fichero sea del tipo que sea: informático, documental, óptico, etc, y el Responsable del Fichero deberá garantizar la seguridad de los datos contenidos en él ya que de lo contrario se expondrá a cuantiosas sanciones. Las medidas de seguridad se dividen en los niveles básico, medio y alto dependiendo del tipo de dato que contenga el fichero, y hay que destacar que las medidas a aplicar son acumulativas, es decir, el nivel alto deberá cumplir además de las medidas de seguridad correspondientes a su nivel, las de nivel básico y medio. La Agencia de Protección de Datos es un ente de derecho público con personalidad jurídica propia y plena capacidad, que actúa con absoluta independencia de las administraciones públicas en el ejercicio de sus funciones (art. 35 L.O.P.D.). 2.5. Lo que todo empresario y directivo debe saber sobre datos personales La regulación de la PROTECCIÓN DE DATOS PERSONALES tiene ya una tradición de más de 10 años en España, pero no es hasta 1999 cuando alcanza una cierta notoriedad y ello obedece a dos causas diferentes: 1º ACTUALIZACIÓN NORMATIVA. En efecto el 11 de junio de 1999 se publicó el RD 994/99 que desarrolla el Reglamento de Medidas de Seguridad de los ficheros que contienen datos personales y el 13 de diciembre de 1999 se publica la vigente Ley Orgánica de Protección de Datos Personales, (LOPD) que derogó la primigenia LORTAD de 1992. 2º ACTUACIÓN INSPECTORA de la AGENCIA DE PROTECCIÓN DE DATOS (APD). La APD es un Ente Administrativo Autónomo, cuya autoridad emana de Bruselas y es el órgano encargado por la Ley para desarrollar las funciones que ella le encomienda con el fin de garantizar el adecuado cumplimiento de la normativa a los efectos de alcanzar la deseada protección de los Derechos Fundamentales que la LOPD defiende. Entre estas funciones destacan las siguientes: a) Gestionar el Registro General de archivos con datos personales (Principio de Publicidad). b) Emitir Directrices y Recomendaciones que desarrollan e interpretan la legislación. c) Control de la Transferencia Internacional de Datos. d) Tutelar el pacífico ejercicio de los Derechos de los Afectado; derecho de consulta al Registro General, de acceso a los ficheros y de rectificación y cancelación de los datos. e) Función de inspección. f) Función sancionadora. Es a partir de 1999 cuando la APD dispone de más medios presupuestarios, tecnológicos (por cierto es obligada, por ilustrativa, la visita al portal web www.agenciaprotecciondatos.org) y humanos. Ello ha permitido incrementar las funciones de inspección y sancionadora, lo que le ha otorgado una cierta notoriedad en los ámbitos profesionales, jurídicos y empresariales, así como en los medios de comunicación. A pesar de todo ello un estudio reciente de Landwell realizado sobre las 5000 primeras empresas españolas para recabar información sobre el grado de cumplimiento respecto de las Medidas de Seguridad presenta para el conjunto la siguiente conclusión: - un 55% de las empresas españolas NO APLICA MEDIDAS DE SEGURIDAD; - un 35% las aplica de forma INCORRECTA; - tan solo un 7% APLICA CORRECTAMENTE las medidas de seguridad. Marco jurídico 161 Todo ello habiendo transcurrido más de tres años desde la entrada en vigor de la norma. A nivel segmentado por sector y tamaño de empresa, los resultados son aún más decepcionantes: MEDIDAS DE SEGURIDAD Incumplimiento de las 5000 Primeras empresas Incumplimiento PYMES Entidades Financieras y aseguradoras 32% - Industria 92% 98% Telecomunicaciones 96% 99% Comercio y Distribución 98% 98% Transportes y logística 96% 97% Energía y agua 94% - Servicios (profesionales sector médico) 97% 98% Sector ¿QUÉ HAY QUE HACER CON LOS DATOS PERSONALES? En conjunto las obligaciones que los Responsables de los Ficheros deben observar con respecto a éstos y a los datos personales que contengan son los siguientes: 1. LEGITIMACIÓN DE LOS DATOS PERSONALES Consiste en la cualidad jurídica que deben disponer los datos para su inclusión y tratamiento legítimos en un fichero, así como para las previsibles cesiones a terceros, todo ello relativo al CONSENTIMIENTO mínimo necesario que la LOPD determina para cada caso concreto. Se trata sin duda de la obligación más compleja por su eminente contenido jurídico. Por ello el grado de cumplimiento es aún más bajo que en el caso de las medidas de seguridad, conclusión confirmada por cuanto la mayor parte de las sanciones impuestas por la APD derivadas de su actuación inspectora, tienen este origen. Con el fin de evidenciar el grado de desconocimiento y la dificultad de interpretación de una legislación nueva y compleja, es posible que Usted esté en la idea que su empresa NO CEDE DATOS PERSONALES A TERCEROS. Para descartar fácilmente lo erróneo de esta idea presentamos el siguiente cuadro y saque Usted sus propias conclusiones al respecto: EJEMPLOS DE CESIÓN TEMPORAL Proveedor al que se ceden datos Datos Cedidos Finalidad con que se ceden los datos Imprenta Nombre y cargo de Empleados Impresión de tarjetas de visita Proveedor de servicios Datos de empleados Cuentas de correo electrónico de Internet 162 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Tranferencia de salario, tarjetas de crédito de la empresa, fondos de pensiones Entidad Financiera Datos de empleados Gestoría Datos de empleados y clientes Operador de Telefonía móvil Datos de empleados Teléfono móvil de empresa Empresa de contabilidad Datos de empleados, clientes y proveedores Contabilidad Nóminas y seguros sociales, Retenciones IRPF, contabilidad ¿En cuántos de los supuestos anteriores incurre su empresa? ¿Sabe Ud. que el consentimiento para ceder datos es uno de los supuestos más complejos en los términos de la LOPD? 2. PROTECCIÓN DE LOS FICHEROS Se trata de la implantación de las Medidas de Seguridad contempladas en el ya citado RD 994/99. Esta es la obligación de mayor contenido tecnológico, pero su adecuada observancia exige necesariamente de soluciones transversales jurídicas y técnicas, aplicadas de forma coordinada. 3. LEGALIZACIÓN DE LOS FICHEROS Es un mero trámite que consiste en la inscripción del fichero en el Registro General de la APD. según la propia Agencia, existen a finales de 2001 un total de 256.533 ficheros registrados, lo cual da una idea del elevado incumplimiento de esta obligación por otra parte muy fácil de satisfacer. ¿Por qué debe preocuparse? 1º. En primer lugar por que Ud. es un empresario a quien le gusta hacer bien las cosas. Ud. busca la EXCELENCIA en la GESTIÓN y está motivado por temas como la calidad, la protección de los riesgos laborales, la seguridad, etc. Si esto es así, ¿cómo puede vivir ignorando y de espaldas a todo a lo que la Ley le obliga respecto de los datos personales y sus ficheros?. 2º El segundo motivo es quizás un tanto intangible y podríamos llamarlo EGOISMO ÉTICO. Ud. no puede permitir que su desidia colabore en la agresión a los Derechos Fundamentales relativos a la intimidad y al buen nombre de sus conciudadanos. Entre otros motivos porque a Ud. tampoco le gusta que invadan su propia intimidad. 3º Tampoco podemos olvidarnos del importante RIESGO que puede derivarse del incumplimiento de la normativa, por vía sanción de la APD. El cuadro legal de infracciones y sanciones provoca que una actuación inspectora de la Agencia concluya normalmente con sanciones entre 300.000 y 900.000 euros. ¿Cree Ud. que es racional desarrollar cualquier actividad empresarial aceptando un riesgo de cuantía tan importante?. 4º Por último, Ud. acabará por convencerse cuando conozca que las soluciones técnicas y jurídicas para adaptar un entorno empresarial a la normativa legal son realmente baratas y además deben contemplarse como una inversión, no como un gasto, por cuanto ayudarán sin duda a mejorar la eficacia y productividad de cualquier empresa. Las cuantía de las sanciones es: LEVES: (de 601,01 a 60.101,21 Euros). Marco jurídico 163 GRAVES: (de 60.101,22 a 300.506,05 Euros). MUY GRAVES: (de 300.506,06 y 601.012,1 Euros). 3. La fiscalidad en el marco de las nuevas tecnologías 3.1. Las TIC´s, una nueva forma de relación entre los contribuyentes y Hacienda 3.1.1. Planteamiento Para abordar con posibilidades de éxito un aspecto tan complejo como la fiscalidad en el ámbito de las TIC´s, o mejor dicho, la fiscalidad de las situaciones y operaciones económicas desarrolladas en el ámbito TIC´s, hay que ser ambicioso, no regatear esfuerzos y desarrollar una aproximación múltiple, porque el tema así lo exige. En consecuencia, vamos a abordar el tema desde una perspectiva multidireccional: 1. PLANTEAMIENTO INTERNACIONAL DE LA FISCALIDAD EN EL ÁMBITO TIC’s. 2. LOS IMPUESTOS DIRECTOS: Posibilidades recaudatorias. 3. LOS IMPUESTOS INDIRECTOS: Posibilidades recaudatorias. 4. LOS IMPUESTOS LOCALES: Un replanteamiento en profundidad. 5. LAS NUEVAS TECNOLOGÍAS COMO ELEMENTO PARA REFORZAR LA GESTIÓN TRIBUTARIA. Un ejemplo, la página web de la AGENCIA ESTATAL DE ADMINISTRACIÓN TRIBUTARIA. 6. LA DESGRAVACIÓN E INCENTIVOS FISCALES POR I+D e INNOVACIÓN TECNOLÓGICA. En la medida de lo posible seguimos el esquema del INFORME DE LA COMISIÓN PARA EL ESTUDIO DEL IMPACTO DEL COMERCIO ELECTRÓNICO EN LA FISCALIDAD ESPAÑOLA (versión octubre 2000) elaborada por la SECRETARÍA DE ESTADO DE HACIENDA, por los siguientes motivos: a) Sin duda se trata del estudio más serio y completo sobre el tema que nos ocupa, con notable diferencia sobre los demás. b) Se ha tenido en cuenta, aunque no de forma vinculante, el posicionamiento de los principales países y de las principales Organizaciones Económicas Internacionales. c) Se ha tenido en cuenta, aunque no como obligación, las opiniones e intereses de las principales asociaciones e instituciones españolas de la economía (sus principales sectores) y de las nuevas tecnologías. 3.1.2. La fiscalidad en Internet: problemas y oportunidades El desarrollo de los servicios de la sociedad de la información, íntimamente ligado con el proceso de globalización económica, pone de relieve una cierta inadaptación de los sistemas tributarios que se fundamentan aún en la idea de la soberanía nacional. En el ámbito fiscal, el papel de las organizaciones internacionales asume un protagonismo necesario ya que las soluciones nacionales son insuficientes para abordar correctamente los problemas de la internacionalización y desintermediación: Impulsar la adopción en la UE, a la mayor brevedad posible, en el ámbito de sus competencias, de una normativa fiscal sobre el comercio electrónico. La normativa y la gestión tributaria han de prestar una creciente atención a la internacionalización de la economía y al Derecho Internacional Tributario. España debe trabajar y participar en las organizaciones y foros internacionales dedicados a cuestiones tributarias, especialmente en la UE y la OCDE, para establecer un marco tributario general e internacional sobre el comercio electrónico. 164 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas La Administración española debería dedicar más recursos humanos y materiales, dada la importancia del problema, a los debates que, en diversos foros internacionales, se están produciendo sobre la fiscalidad del comercio electrónico. Incrementar la presencia de España en programas de formación como el FISCALIS, SCAT y otros semejantes, por la necesidad de una mayor colaboración y comunicación entre los auditores fiscales de los distintos países, ya que el nivel de actualización y estandarización en los conocimientos de nuevas tecnologías se hace imprescindible, particularmente si se persigue abordar comprobaciones de contribuyentes que operan en ámbitos transfronterizos. Esta supuesta incapacidad, junto a la progresión acelerada en todas las facetas de la sociedad de la información, su novedad radical, su cambio tecnológico constante, su flexibilidad y carácter omnicomprensivo, sustenta los argumentos para la defensa de una autorregulación propia y competencia abierta. En definitiva, constituyen los planteamientos contrarios a imponer nuevos gravámenes o a ajustar los actuales al nuevo contexto. En EEUU es donde más apoyos encuentra esta concepción, existiendo, de hecho, una moratoria fiscal respecto de los gravámenes internos indirectos que podrían ser aplicables, además de defender la continuidad de la moratoria en el ámbito aduanero respecto de los bienes digitales, como más adelante se explica. Esta posición favorece la situación de predominio de EEUU en materia de comercio electrónico frente al resto del mundo, puesto que tanto una moratoria, como una autorregulación conduciría a impuestos muy reducidos o nulos, provocando ineficiencias y pérdidas de ingresos tributarios en los países receptores de servicios de la sociedad de la información y ocasionaría supuestos de competencia fiscal perniciosa entre países prestadores y receptores, además de entre distintos sectores económicos, lesionándose gravemente los principios de equidad, neutralidad y eficiencia que deben presidir los sistemas tributarios. Estos inconvenientes son sufridos en dicho país por parte de diferentes Estados de la Unión y del comercio tradicional, razón por la que la moratoria tiene un límite temporal y no afecta a los impuestos federales: No aceptar, en principio, ninguna propuesta de moratoria fiscal del comercio electrónico. La Administración Tributaria española debería valorar la incidencia de la moratoria norteamericana en los operadores económicos, especialmente si se prolonga. Los motivos anteriores también se han utilizado para argumentar que únicamente una autoridad tributaria internacional con poderes supranacionales suficientes podría someter adecuadamente a imposición el comercio electrónico. Otros planteamientos que enfatizan la radicalidad del nuevo modelo socioeconómico de la sociedad de la información, rechazando en consecuencia la posibilidad de ajustar simplemente los esquemas de tributación hoy vigentes al nuevo contexto, defienden la implantación de un gravamen sobre el número de bits (bit tax). Tal propuesta sólo podría llevarse a la práctica por una autoridad tributaria internacional; pero presenta muchos otros inconvenientes que justifican su rechazo (injusto -al exaccionar las transacciones no por su valor sino por el número de bits, gravando así más a las operaciones repetidas de pequeño valor que a las transacciones unitarias de gran valor o a los archivos no comprimidos respecto de los comprimidos-; limitado -porque grava comunicaciones que no tienen carácter comercial-; y tecnológicamente desfasado): No se deberían introducir nuevos gravámenes sobre el comercio electrónico. En particular, ideas como el bit tax deben rechazarse. Frente a los anteriores planteamientos resulta más útil adoptar posiciones pragmáticas para afrontar con realismo los desafíos derivados del nuevo escenario. Marco jurídico 165 Del mismo modo, el diseño de las modificaciones precisas sobre el marco fiscal actual, en cuya conformación son fundamentales los acuerdos que se alcancen por la UE y por la OCDE, habrá de ser conjugado con los criterios nacionales que se adopten. Y entre estos últimos han de figurar la prudencia respecto de las consecuencias recaudatorias -teniendo en cuenta los compromisos de España con la UE-, los objetivos de reducir al máximo los costes de cumplimentación y los propios costes de funcionamiento de la Administración Tributaria y la voluntad de situar a España al nivel de los países más avanzados respecto del grado de desarrollo de la sociedad de la información. Ésta es la perspectiva que preside todo el Informe y con la que se atienden los objetivos de la Iniciativa estratégica del Gobierno para el desarrollo de la sociedad de la información y de las nuevas tecnologías: Adaptar periódicamente, en el seno de la Iniciativa Estratégica, la posición española en el marco de la sociedad de la información, teniendo siempre en cuenta el aspecto fiscal. La administración española debería dedicar más recursos humanos y materiales, dad la importancia del problema, a los debates que, en diversos foros internacionales, se están produciendo sobre la fiscalidad del comercio electrónico. Sin perjuicio de su posterior examen, los principales problemas que plantea el comercio electrónico se pueden resumir de la forma siguiente: 166 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas PROBLEMAS QUE PLANTEA EL COMERCIO ELECTRÓNICO Problemas en la normativa fiscal Imposición directa Identificación del sujeto pasivo Dificultades de localización de la persona física o jurídica y del equipo informático; facilidad de utilización de seudónimos; sistemas de encriptación; paraísos fiscales; protección de datos personales; etc. Control de la renta o transacción Facilidades para deslocalizar el sistema informático; desintermediación (pérdida de puntos de conexión o control); escasas huellas de la transacción electrónica; fiabilidad de los registros informáticos; etc. Jurisdicción fiscal competente Dificultades para fijar dónde se ha realizado la transacción y la residencia fiscal. Posibilidades de rápida alteración. Calificación de las rentas Problemas especialmente respecto de bienes digitalizados y cuando existe un Convenio para evitar la doble imposición (CDI) por el distinto tratamiento de las rentas por cánones (cesión de uso) respecto de las empresariales (cesión de propiedad). Conflictos de intereses entre país fuente-país de residencia y estímulo para la elusión fiscal. Concepto de establecimiento permanente Crisis de los conceptos de permanencia o fijeza que permiten que el Estado de origen pueda gravar las rentas empresariales obtenidas a través de los establecimientos permanentes. Precios de transferencia La globalización favorece los grupos empresariales transnacionales. El valor añadido de las operaciones se aleja de la transmisión de bienes físicos, al ser cada vez más importante el valor añadido de los servicios y bienes materiales. Dificultades para determinar el método de valoración correcto, dónde se ha producido el beneficio y cuánto. Crisis de los métodos tradicionales. Facilidades de elusión fiscal. Otras cuestiones Problemas respecto de las reglas imputación; distribución de gastos ingresos entre los diversos operadores comercio electrónico; individualización las rentas sometidas a gravamen; etc. de e en de Marco jurídico 167 PROBLEMAS QUE PLANTEA EL COMERCIO ELECTRÓNICO (CONTINUACIÓN) Problemas en la normativa fiscal Imposición Indirecta Localización del hecho imponible Problemas similares que en imposición directa, que se agravan cuando un país cuenta con diversos tributos estatales sobre tráfico de bienes. Distinción en el IVA entre entrega de bienes y prestación de servicios Los bienes digitalizados se asimilan a prestaciones de servicios; problemas respecto de si determinados envíos digitales suponen una mera compraventa o llevan aparejados servicios incorporados de uso, transmisión, etc.; problemática de las telecomunicaciones, etc. Identificación y localización del sujeto pasivo Necesidad de designar a un representante fiscal, o de registrarse en todos los EEMM de la UE o en uno sólo, además de las dificultades de aplicar el sistema de devolución a los no residentes. Sujeto pasivo Se multiplican situaciones donde aplicar la llamada inversión del sujeto pasivo del IVA, función que genera fuertes costes de cumplimentación para las personas implicadas. Problema adicional en Impuestos Especiales Posibilidad de compras masivas por el consumidor final de productos sometidos a estos impuestos a través de pequeños envíos que se benefician de franquicia aduanera y exención en IVA. Aduanas Dificultades para controlar transmisiones de bienes digitalizados; desplazamiento de parte del valor de bienes físicos a prestaciones de servicios (ejemplo: planos, manuales, etc.); posibilidad de desviar tráfico comercial mediante régimen de pequeños paquetes (problemas de congestión y de elusión fiscal). Tributación local Necesidad de adaptar los tributos de carácter censal como el Impuesto sobre Actividades Económicas a la mayor movilidad de los operadores. Otros ingresos públicos coactivos Problemas de control y evasión respecto de tasas sobre el juego (casinos virtuales), etc. 168 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas PROBLEMAS QUE PLANTEA EL COMERCIO ELECTRÓNICO (CONTINUACIÓN) Problemas en la gestión y administración tributarias – Identificación de los sujetos que intervienen en las operaciones. – Distinción sobre su naturaleza (ejemplo: si vende bien, intermedia o presta servicio). – Registro actualizado de operadores propios de comercio electrónico (certificadores de firmas, proveedores de servicios de Internet, generadores de software, creadores de páginas de Internet, prestadores de servicios, etc.). – Localización segura de los operadores y seguimiento de los mismos y de sus operaciones. – Ejecución y pago de las deudas tributarias imputadas a cada operador. – Control de los medios de pago utilizados. – Fórmulas para evitar la deslocalización de operaciones y de los sujetos pasivos y métodos de elusión (ejemplo: recalificación de rentas). – Encriptado y seguridad de bases de datos tributarios. – Fiabilidad de los sistemas informáticos empleados. – Facturas telemáticas y libros electrónicos de contabilidad. – Necesidad de incrementar la cooperación con otras Administraciones Tributarias y lograr su máxima efectividad. A lo largo de nuestra exposición trataremos los puntos más significativos del anterior inventario de problemas que plantean las TIC´s a la fiscalidad de las nuevas operativas y operaciones. Por el contrario, como decimos en el punto 6 del inicio de este capítulo, el desarrollo de los servicios de la sociedad de la información ofrece nuevas posibilidades y potencialidades a la Administración de los Tributos haciendo buena de este modo, una vez más, la famosa frase “EL CAMBIO NO ES UN RIESGO SINO UNA OPORTUNIDAD”. Marco jurídico 169 OPORTUNIDADES PARA LA ADMINISTRACIÓN TRIBUTARIA – El uso de la vía telemática de la Red para la asistencia e información a los contribuyentes (ejemplo, declaraciones tributarias por Internet), reduciéndose los costes de cumplimentación. – Una mayor aproximación del control al momento del nacimiento del hecho imponible. – La creación de nuevos sistemas de pago a cuenta en estas transacciones, de fácil gestión y que permitan recaudar los impuestos de muchos contribuyentes a través del control de unos pocos agentes. – La aparición de nuevos sujetos intermediarios para la recaudación. – La potenciación de nuevos medios de control informático, como la auditoría por ordenador, los cuales facilitarán el control de las operaciones de comercio electrónico. – La reducción de costes en la gestión tributaria, por ejemplo, con un menor uso del papel y otros recuros materiales y humanos, lo que disminuirá los costes de la Administración y agilizará su funcionamiento. A simple vista, podría parecer que los problemas son más que las oportunidades y así es en términos estrictamente cuantitativos. No obstante, desde una perspectiva cualitativa, las ventajas derivadas de cada una de las escasas oportunidades, son de tal naturaleza que la partida apunta como bastante equilibrada, siempre y cuando siga el principio de realidad y se aborden los problemas, mejor dicho sus soluciones, bajo este prisma. Y hablando de principios el Informe enumera los siguientes como sectores de la tributación del Comercio Electrónico: • Principio de internacionalización. Se precisa un mínimo consenso internacional sobre las cuestiones básicas: España debe trabajar y participar en las organizaciones y foros internaiconales dedicados a cuestiones tributarias, especialmente en la UE y la OCDE, para establecer un marco tributario general e internacional sobre el comercio electrónico. Instar a la OCDE para que, en el marco de sus competencias, acelere los trabajos para definir el marco tributario del comercio electrónico. Convendría que los países de la UE fijaran una posición común en las organizaciones internacionales en tiempo útil. La UE debería instar a la OMC a que adopte rápidamente una solución en relación con la clasificación de las transacciones de determinados productos digitalizados. • Principio de neutralidad. Debe evitarse discriminaciones significativas con las modalidades de tribulación del comercio tradicional: Las decisiones tributarias han de ser neutrales a la hora de gravar las diferentes formas de comercio y de servicios de la sociedad de la información. Los contribuyentes que ejerzan actividades económicas idénticas, utilizando medios diferenciados: informáticos o tradicionales, no deben estar sometidos a una carga tributaria distinta; por ello, la fiscalidad del comercio electrónico ha de atender a sus particularidades y ha de tener en cuenta sus peculiaridades procedimentales, gestoras y de lucha contra el fraude fiscal de forma que el resultado sea análogo al del comercio tradicional. 170 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Buscar el equilibrio entre la solicitud de las informaciones necesarias para permitir un adecuado control del cumplimiento de las obligaciones fiscales entre los operadores de comercio electrónico y los que actúna en el comercio tradicional. • Principio de simplicidad. El comercio electrónico presenta múltiples y complejas facetas, pero la normativa fiscal no debe convertirse en un obstáculo para su desarrollo: • Principio de suficiencia. La escasa o nula imposición de las operaciones realizadas a través del comercio, electrónico generaría una pérdida de recaudación inasumible: Cualquier regulación del comercio electrónico ha de generar recursos impositivos suficientes. • Principio de eficiencia. Los costes de cumplimentación y de gestión deben ser los mínimos posibles. Asimismo, el marco tributario ha de producir escasas interferencias en las decisiones de los agentes económicos: Ha de regularse tributariamente el comercio electrónico, teniendo en cuenta sus especificidades. Adaptar los modelos de gestión tributaria a las nuevas realidades tecnológicas. Aprovechar las nuevas oportunidades que ofrece el comercio electrónico y, en general, las nuevas tecnologías para mejorar la gestión tributaria y los mecanismos de ayuda y asistencia a los contribuyentes. Impulsar el uso de las nuevas tecnologías en la Administración Tributaria, con los profesionales tributarios y con los contribuyentes, así como con otras Administraciones Públicas. • Principio de seguridad jurídica. El marco tributario debe ser claro y el comercio electrónico debe moverse en un entorno legal para desarrollar sus potencialidades: La Administración Tributaria española debe estar al tanto de los desarrollos normativos que se produzcan en la UE, en lo que respecta a la sociedad de la información, para evitar contradicciones entre su regulación fiscal y su normación por otras áreas del Derecho. • Principio de equidad. Tanto horizontal (no discriminación de los operadores por la forma de actuar) como vertical (tomar en consideración las diferentes capacidades de los agentes económicos que intervienen): Establecer las cautelas adecuadas para evitar que operaciones gravadas con algún impuesto queden sin atribuir al sujeto pasivo que corresponda. Los contribuyentes que ejerzan actividades económicas idénticas, utilizando medios diferenciados: informáticos o tradicionales, no deben estar sometidos a una carga tributaria distinta; por ello, la fiscalidad del comercio electrónico ha de atender a sus particularidades y ha de tener en cuenta sus peculiaridades procedimentales, gestoras y de lucha contra el fraude fiscal de forma que el resultado sea análogo al del comercio tradicional. A la hora de configurar el marco fiscal del comercio electrónico ha de tenerse en cuenta el diferente grado y capacidad de acceso de las PYMEs y de los consumidores al comercio electrónico. • Principio de flexibilidad. Dado el dinamismo de los servicios de la sociedad de la información y el constante cambio tecnológico, las reglas de tributación habrán de amoldarse continuamente. • Principio de coordinación. Con el resto de la legislación sobre el comercio electrónico, con las instituciones internacionales y autoridades tributarias de otros países, con todas las autoridades tributarias nacionales. Profundizar en la transmisión de datos tributarios a otras Administraciones Fiscales por medios telemáticos. Fomentar la necesaria coordinación normativa internacional en materia de imposición directa con la finalidad de evitar la deslocalización fiscal. Marco jurídico 171 Impulsar la cooperación entre Administraciones Tributarias, no sólo de la UE, para intercambiar informaciones tributarias. La postura española en la UE debe ser favorable a la creación de un marco normativo para calificar las operaciones de comercio electrónico, en colaboración con instituciones internacionales tales como la OMC y la Organización Mundial de Aduanas, con el fin de adoptar unos criterios uniformes a un nivel mundial. Estudiar la creación, en el marco del Convenio de Nápoles II, de unidades centrales europeas de supervisión de Internet que constituirán puntos de contacto de una red de cooperación. Proponer ante organizaciones internacionales la adopción de acuerdos que posibiliten el acceso justificado, por razones de verificación fiscal, a los registros y bases de datos equivalentes a los mencionados anteriormente, gestionados por entidades u organismos de otros países o de carácter supranacional. Potenciar la adopción de acuerdos de colaboración mutua, así como el establecimiento de procedimientos que posibiliten el ejercicio de esta colaboración, de forma ágil y sencilla, por las Administraciones de los países afectados. Incrementar la presencia de España en programas de formación como el FISCALIS, SCAT y otros semejantes, por la necesidad de una mayor colaboración y comunicación entre los auditores fiscales de los distintos países, ya que el nivel de actualización y estandarización en los conocimientos de nuevas tecnologías se hace imprescindible, particularmente si se persigue abordar comprobaciones de contribuyentes que operan en ámbitos transfronterizos. Se propone impulsar, en los debates internacionales, la investigación en la adopción, impulso y difusión de estándares en el tratamiento de la información en comprobación fiscal y en el propio procedimiento inspector. Impulsar la adopción de acuerdos institucionales que posibiliten, con las debidas cautelas, el acceso directo, por vía telemática, a registros de otras instituciones, de modo que puedan agilizarse los procedimientos y la obtención de información de trascendencia fiscal. Se propone defender, ante instituciones internacionales, el acceso al registro de nombres de dominio de Internet por motivos fiscales. 3.2. La nueva fiscalidad 3.2.1. Impuestos directos En materia del impuesto sobre Sociedades (IS), Impuesto sobre la Renta de las Personas Físicas (IRPF) e Impuesto sobre la Renta de no Residentes (IRnR), lo que interesa son las rentas netas que obtienen los agentes económicos por las operaciones que realizan a través de redes informáticas, excepto, en el IRNR, cuando los contribuyentes actúan sin establecimiento permanente. Hay, pues, una doble vertiente (ingresos-gastos), ya que, al definirse la base imponible como el resultado de minorar los ingresos computables con los gastos fiscalmente deducibles, se hace necesario verificar tanto que se han producido los ingresos como que se ha incurrido efectivamente en los gastos declarados. Esta doble vertiente presenta las siguientes peculiaridades en el comercio electrónico: Jurisdicción fiscal competente. Se trata de determinar dónde se ha producido el hecho imponible, es decir, qué jurisdicción fiscal, de entre las diversas que pueden tener algún tipo de legitimidad para gravarlo, es la que ha de proceder para ello. En caso contrario, podrían exigirse tributos similares a un mismo contribuyente, por el mismo hecho imponible y por el mismo período impositivo (doble imposición jurídica internacional). También podrían producirse situaciones de ausencia indebida de gravamen. Históricamente se han definido dos sistemas para evitar la doble imposición: el principio del origen o de la fuente -según el cual la renta queda gravada en el país 172 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas donde se produce y el país de residencia del sujeto pasivo concede un crédito fiscal por los impuestos pagados o una exención por las rentas obtenidas- y el principio de la residencia -que establece en el país de origen de la renta una exención a los no residentes, gravándose en el país de residencia del sujeto pasivo-. Para evitar los conflictos de jurisdicción sobre las rentas obtenidas, mediante los CDl se clasifican las rentas y con posterioridad se atribuye el reparto del impuesto correspondiente. Las peculiaridades del comercio electrónico -fácil deslocalización, relativo anonimato y movilidad de los sujetos intervinientes- dificultan la aplicación de estas reglas. Puede ocurrir una constante variación de la localización de una empresa, o que radique en un paraíso fiscal, o que una persona física, viajando por el mundo con un ordenador portátil, se convierta en una empresa de servicios a través de Internet. Lo anterior se complica si se añade que la prestación de servicios mediante Internet disfruta de cierto anonimato, dada la inexistencia de un control central, los sistemas de atribución de direcciones y nombres y la fácil utilización de seudónimo. Determinar si la regulación tributaria española sobre paraísos fiscales es adecuada para hacer frente a los paraísos informáticos y, en su caso, modificarla. Establecimiento permanente. Se trata de un mecanismo utilizado en los diversos ordenamientos jurídico-tributarios para solucionar el problema de la actividad habitual o continuada de empresas no residentes, permitiéndose que el Estado donde radica (Estado fuente) pueda gravar sus rentas como si fuese una persona distinta de la casa matriz que tiene su residencia en otro Estado. Ello es así, porque se considera que su carácter de permanencia, que supone disfrutar de las infraestructuras del país, obliga a contribuir al sostenimiento de las cargas públicas del mismo. Como en el supuesto anterior, la idea de permanencia -“Lugar fijo de negocios mediante el cual una empresa realiza toda o parte de su actividad” (en dicho país)- quiebra en el comercio electrónico. Una empresa puede estar implantada en muchos países a través de la Red, sin haberse movido del Estado de su residencia. La Red permite una presencia continuada, bastando con disponer de un sitio web para ofrecer bienes y servicios y una dirección de correo electrónico donde recibir los pedidos. No se precisa una presencia física de la empresa y ni siquiera la de un agente. Los contenidos se pueden actualizar instantáneamente e incluso se pueden expedir inmediatamente, si se trata de bienes inmateriales o de servicios. En estas circunstancias es fácil comprender por qué el concepto de establecimiento permanente, basado en una idea de permanencia o fijeza física, entra en crisis. Tres son las alternativas posibles (abandonar dicho concepto respecto de actividades de comercio electrónico; elaborar un nuevo concepto para tales situaciones; o adaptar el actual concepto en los Convenios de Doble Imposición para dar cabida a las nuevas circunstancias). Las dos primeras plantean a corto plazo enormes dificultades. La primera, porque supone romper con una tradición fiscal de este siglo respecto del gravamen de la renta de no residentes. La segunda, porque añadiría conflictos y posibilidades de discriminación involuntaria entre los dos tipos de comercio (electrónico-tradicional), si no quedan claramente delimitados. La tercera opción es la que se sigue actualmente en la OCDE. En el Informe se propugna la idea de considerar la existencia de un establecimiento permanente de la empresa operadora de comercio electrónico en todos aquellos países donde se realicen efectivamente operaciones, entendiendo que el lugar donde se realizan efectivamente es el correspondiente a la residencia del adquirente de los bienes o beneficiario de los servicios. La atribución de rentas a los establecimientos permanentes. El Estado de la fuente ve limitadas sus prerrogativas de gravamen a las rentas que sean imputables a los mismos y no a todas las rentas que puedan obtener, lo que obliga a tratar de forma independiente cada una de las fuentes de los beneficios que una empresa obtiene en dicho Estado, aplicando a cada una de ellas el criterio de establecimiento permanente: Marco jurídico 173 Las autoridades tributarias españolas han de adoptar una postura ante las propuestas de la OCDE relativas al concepto de establecimiento permanente en el comercio electrónico, al tratamiento de los cánones y a la atribución de rentas al mismo. Los precios de transferencia. A través de los cuales, mediante operaciones intragrupo, se busca minimizar la carga fiscal del grupo de empresas. El sistema seguido habitualmente por las Administraciones Tributarias para no verse lesionadas por estas prácticas es la de considerar que dichas operaciones deben de valorarse, a efectos fiscales, por el precio que se hubiera pactado entre partes independientes, en un mercado donde existiese libre competencia. La extrema movilidad de las operaciones realizadas por redes informáticas y la profusa utilización de intranets entre las empresas del grupo provoca dificultades de enorme complejidad en el terreno fiscal que requieren el desarrollo de sistemas de acuerdos previos de valoración con las autoridades fiscales de uno o varios países: La legislación española sobre precios de transferencia debe evaluar la incidencia del comercio electrónico en su regulación. Se deben seguir atentamente las propuestas de la OCDE para adaptar su guía sobre precios de transferencia al comercio electrónico, defendiendo la postura Española, cuando sea preciso. Potenciar los acuerdos previos de valoración como procedimiento para adecuar los precios de transferencia a los que hubiesen sido pactados entre partes independientes en mercados de libre competencia. La determinación de la renta gravable. La determinación del volumen y el valor de operaciones comerciales presenta dificultades adicionales cuando se trata de bienes inmateriales o digitales. No basta con conocer el número de descargas de un determinado archivo para determinar el volumen de negocio, ya que en ocasiones la descarga es gratuita o corresponde a versiones no plenamente operativas o de prueba. No obstante, sí ofrecen indicios de actividad, lo que unido a otros elementos (seguimiento de fondos, obligaciones de conservación de información, etc.) supone que en este aspecto no se presenten problemas de definición sino de control: Se potenciará el seguimiento por la Agencia Tributaria de los sitios web donde se produzcan transacciones comerciales. A modo de conclusión y en relación con la actual regulación del IS, IRPF, IRnR y del Impuesto sobre Actividades Económicas (IAE) pueden señalarse las siguientes necesidades futuras de modificación: - Ninguno de los CDI (Convenio de Doble Imposición) suscritos hasta el momento por España incluyen disposiciones específicas sobre comercio electrónico: Analizar los mencionados acuerdos y los convenios para evitar la doble imposición firmados hasta el momento, a efectos de determinar si alguna de las cláusulas en ellos contenidas puede ser perjudicial a los intereses de la Hacienda Pública española en lo referente a la tributación del comercio electrónico. Considerar en las negociaciones de los futuros acuerdos y convenios para evitar la doble imposición en materia de renta y patrimonio, la tributación de las operaciones de comercio electrónico. - La definición de establecimiento permanente que se contiene en el IRNR puede ser adaptada para adecuarse a la problemática específica del comercio electrónico, pues es la norma que rige respecto de los residentes en países con los que no se ha suscrito un CDI: - La actual configuración del IAE determina que, en el caso de actividades de comercio electrónico, haya de tributarse en función de la naturaleza de cada una de las actividades realizadas. Al no existir un epígrafe específico relativo al comercio electrónico, en algunos 174 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas casos puede suponer la obligación de matricularse en numerosos epígrafes del Impuesto. Parece conveniente establecer un epígrafe específico para que, en aquellos casos en que el comercio a través de Internet se asemeje a las actividades de venta por catálogo o a la venta a través de grandes suder presente en este Impuesto un tratamiento similar. Incluir entre los supuestos de consultas vinculantes, al menos, durante un cierto periodo de tiempo, las relativas al comercio electrónico, siempre que se presenten por asociaciones y entidades representativas de esa actividad. Elaborar un epígrafe relativo a las actividades de comercio electrónico en el IAE. - A su vez, en muchos epígrafes del IAE, que son susceptibles de incluir actividades económicas a través de Internet, únicamente existen cuotas municipales, lo que obliga a darse de alta en todos los municipios con los que se realicen operaciones comerciales. Parece aconsejable prever la existencia de cuotas nacionales en todas esas actividades: Incluir cuotas nacionales en todas las actividades de comercio que sean susceptibles de ser realizadas a través de Internet, mediante una revisión de la Tarifa del IAE. - Del mismo modo, los criterios de reparto de las cuotas del IAE no son aplicables al comercio electrónico, por lo que, si no se configuran cuotas nacionales, habría que prever criterios específicos de reparto para las actividades de comercio electrónico: Si no se configuran cuotas nacionales para el comercio electrónico habría que que prever criterios específicos de reparto para esta actividad en el IAE. - El IAE, donde la Administración Tributaria del Estado mantiene importantes competencias censases además de las derivadas de gestión, puede servir para alimentar un censo de operadores económicos que realicen operaciones de comercio electrónico: Formar un censo de operadores económicos que realicen, exclusivamente o entre otras, operaciones de comercio electrónico, partiendo de la combinación de las competencias censales propias y de las derivadas de la gestión de IAE que ostenta la Administración Tributaria del Estado. Entre las lagunas a reforzar dentro de los impuestos directos -IRPF y Sociedades- destaca la identificación del sujeto que debe pagar los tributos. Existen dificultades para localizar a la persona, física o jurídica, que obtiene la renta derivada del comercio electrónico. Este problema se radicaliza con la posibilidad de que el medio informático esté ubicado en un paraíso fiscal o en un lugar cubierto por las leyes del secreto y del anonimato más estrictas. La falta de identificación del sujeto genera un efecto en cascada que desemboca en la dificultad de controlar y calificar las rentas y transacciones y de saber qué jurisdicción es competente en cada caso. Los conflictos entre jurisdicciones fiscales se multiplican debido a que la residencia del sujeto que obtiene las rentas no sólo es ardua de definir sino que además puede alterarse con rapidez agravándose el problema de la doble imposición. Conceptos a tener en cuenta: A) El concepto de establecimiento permanente. Sólo existiría establecimiento. • El proveedor extranjero comercializa productos en España mediante una página web almacenada en un servidor situado en España. • Siempre que permanezca en ese servidor durante suficiente tiempo. • La actividad desarrollada por medio de la página web no se limite a actividades que tengan carácter auxiliar o preparatorio. B) Calificación de las rentas obtenidas. La venta de artículos protegidos por copyright tendrá la calificación de compraventa a efectos fiscales, mientras que la cesión de un derecho limitado sobre un copyright sería constitutivo de canon. La transmisión de un Marco jurídico 175 copyright sin limitación alguna supondría la venta del derecho y por tanto generaría un incremento de patrimonio para la parte transmitente. C) Identificación y localización del Proveedor no residente. Uno de los problemas mayores que plantea Internet es la dificultad que puede existir para conocer la residencia fiscal de las partes en una transacción. La aplicación de retenciones puede en estos casos generar un problema significativo al desconocer cuál es el convenio que resulta de aplicación. 3.2.2. Impuestos indirectos En el ámbito de la imposición indirecta las figuras tributarios que se ven afectadas por el desarrollo del comercio electrónico son el Impuesto sobre Transmisiones Patrimoniales y Actos jurídicos Documentados (ITP y AJD), los tributos sobre el juego, el IVA y los Impuestos Especiales (IIEE). • El Impuesto sobre Transmisiones Patrimoniales y Actos jurídicos Documentados: En materia del ITP y AJD, el desarrollo del comercio electrónico puede multiplicar el número de operaciones de entrega de bienes y transmisiones de derechos entre particulares (C2C), siendo un ejemplo de las mismas las subastas por Internet. El gravamen efectivo de estas operaciones presenta evidentes dificultades de control, por lo que deberá facilitarse al máximo el cumplimiento voluntario de las obligaciones fiscales. Teniendo en cuenta que se trata de un impuesto cedido a las Comunidades Autónomas, deberán abordarse en el futuro las actuaciones legislativas y de control precisas, aunque en el momento actual las transacciones entre particulares no sean relevantes en términos cuantitativos y de valor: Aunque en el marco del comercio electrónico las transacciones entre particulares no sean actualmente muy relevantes, debe facilitarse el cumplimiento voluntario y asegurarse el control de dichas operaciones y, en particular, de las que se produzcan dentro del territorio de la UE. Tratándose de un Impuesto cedido por el Estado a las Comunidades Autónomas y no armonizado en el seno de la UE, deberán abordarse por las autoridades españolas las actuaciones legislativas y de control en el ITP y AJD. Este impuesto, que grava asimismo determinados documentos notariales, mercantiles y administrativos, puede verse afectado por el desarrollo de nuevas modalidades de pago al amparo de la evolución del comercio electrónico, que pueden encuadrarse bajo la denominación genérica de dinero electrónico. En efecto, según la jurisprudencia del Tribunal Supremo el impuesto recae también sobre cualquier instrumento con función de giro, con independencia de que el mismo pueda merecer o no la calificación de título o documento, entendiéndose por documento, conforme al artículo 76.3 del Reglamento del ITP y AJD, cualquier soporte escrito, incluidos los informáticos, por los que se pruebe, acredite o se haga constar alguna cosa. • El Impuesto sobre el Valor Añadido: El IVA es un tributo de naturaleza indirecta que recae sobre el consumo y que grava las operaciones comerciales en sus distintas formas, cuya estructura ha alcanzado un elevado grado de armonización en la UE, por lo que las modificaciones en su normativa deben llevarse a cabo de acuerdo con el marco comunitario: Las autoridades españolas deberían encarecer a las comunitarias la rápida adopción de una propuesta sobre las modificaciones legislativas necesarias para adaptar la normativa europea del IVA al comercio electrónico. El IVA se caracteriza, entre otros rasgos, por su vocación de absoluta generalidad, teniendo los supuestos de exención un carácter excepcional. En consecuencia, es un tributo que recae sobre las operaciones de comercio electrónico, para lo que introducir los oportunos ajustes en su normativa: En cualquier modificación de la Sexta Directiva IVA ha de tomarse muy en cuenta la incidencia de las reformas sobre el comercio electrónico. Bajo estas premisas resulta innecesario establecer una nueva figura tributaria que grave el comercio electrónico. Del mismo modo no es aceptable la inaplicación del IVA al comercio electrónico: No aceptar, en principio, ninguna propuesta de moratoria fiscal del comercio electrónico. 176 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas No se deberían introducir nuevos gravámenes sobre el comercio electrónico. En particular, ideas como el bit tax deben rechazarse. En la delimitación de la problemática de la tribulación por IVA del comercio electrónico, deben diferenciarse las operaciones entre empresarios de las realizadas entre empresarios y particulares. También han de distinguirse las operaciones intracomunitarias (prestador y cliente de la UE) de las extracomunitarias (prestador o cliente de fuera de la UE). Como ya se ha mencionado, la adaptación de la normativa del IVA debe tener como resultado que los servicios prestados mediante comercio electrónico en la UE se graven dentro de ella, independientemente de su origen o de la sede del prestador de los mismos, y que los servicios prestados mediante comercio electrónico a su consumo fuera de la UE no estén sujetos al IVA: Las dificultades que genera el comercio electrónico en relación con el IVA surgen esencialmente en las operaciones online, donde todos los elementos son de carácter electrónico. Distinto es el caso de las operaciones offline, en las que lo único que se efectúa por vía electrónica es el pedido o solicitud por parte del cliente del bien o servicio. En estas operaciones el principal problema reside en su potencial para incrementar el número tanto de las pequeñas importaciones por particulares -donde tendrá que preverse el aumento la carga de trabajo de los servicios aduaneros y valorar el régimen de franquicia, teniendo en cuenta su incidencia en el comercio interior y comunitario- como de las pequeñas entregas de bienes con expedición realizadas por operadores comunitarios a consumidores españoles -donde habrá de prestarse una atención particular al régimen de ventas a distancia, para asegurar la efectiva tributación en España de los operadores comunitarios que superen el volumen de ventas previsto para dicho régimen: Sin perjuicio de la adopción de las necesarias medidas normativas, relativas a la aplicación del IVA a las operaciones denominadas offline efectuadas a través del comercio electrónico, el desarrollo normativo debe centrarse sobre las operaciones online. Se propone que la AEAT garantice el que los servicios aduaneros dispongan de los medios técnicos y humanos para hacer frente al incremento en su carga de trabajo derivado de las operaciones de comercio electrónico. Deberá analizarse la conveniencia de establecer franquicias en IVA para las pequeñas importaciones de paquetes comerciales realizadas por particulares, teniendo en cuenta su incidencia en el comercio interior e intracomunitario. Deberá analizarse el funcionamiento del régimen de ventas a distancia, potenciando la colaboración administrativa prevista en la normativa europea, para asegurar la efectiva tributación en nuestro país de aquellos operadores comunitarios que superen el volumen de ventas previsto en el artículo 68. Tres. 4º de la Ley del IVA. Los problemas que puede generar el comercio electrónico y a los que el IVA ha de hacer frente son, esencialmente, los siguientes: Calificación de las operaciones. Tradicionalmente se distingue entre las entregas, adquisiciones intracomunitarias o importaciones de bienes -donde se produce la transmisión de poder de disposición sobre un bien que es de carácter corporal (con la excepción de suministro de gas, calor, frío o energía)- y las prestaciones de servicios -donde no hay transmisión u obtención del poder de disposición de un bien sino de un derecho sobre el mismo además de incluirse las operaciones que no se refieren a bienes corporales (como la publicidad o el asesoramiento)-. La progresiva aparición de bienes digitales, desmaterializados, es lo que plantea ciertas incongruencias en la distinción tradicional entre bienes y servicios (libro material-libro digital). La Comisión Europea se inclina por considerar todas las operaciones con bienes digitales prestaciones de servicios y parece ser el criterio aceptado generalmente a nivel internacional. Marco jurídico 177 Este enfoque debe apoyarse, a pesar de los problemas de falta de neutralidad que pueden aducirse por la aplicación de distintos tipos impositivos. La distinción entre entregas de bienes y prestaciones de servicios resulta especialmente relevante respecto de las reglas relativas al lugar de realización de las operaciones. Por ejemplo, en el supuesto de operaciones con bienes corporales con consumidores finales de otro Estado miembro se aplicaría o no el régimen de ventas a distancia, en función del umbral del volumen de negocio, pero si se suministran por vía electrónica en ningún caso sería de aplicación tal régimen. En concordancia con las directrices emanadas de los trabajos realizados en el seno de la UE relativas al comercio electrónico, toda operación consistente en poner a disposición del destinatario un producto en formato digital a través de una Red electrónica debe considerarse, a efectos del IVA, como una prestación de servicios. Debería modificarse la normativa de IVA en materia de tipos impositivos, de forma que el tipo impositivo aplicable al suministro de bienes en formato digital, que tengan la consideración de prestaciones de servicios, sea el mismo que el aplicable cuando se trate de una entrega de bienes. Profundizar en la convergencia de tipos impositivos en la Comunidad Europea. Localización de las prestaciones de servicios. La Sexta Directiva relativa al IVA dispone en su artículo 9 las reglas de localización aplicables a las prestaciones de servicios. La regla general es la de sede del prestador, aunque contiene otras reglas especiales, según tipo de operaciones y condiciones de realización (sede del destinatario). La regla general pudo ser adecuada como tal regla general en épocas pasadas, donde lo más normal era que el prestador del servicio y el cliente estuviesen establecidos en el mismo Estado; pero en la actualidad ocasiona problemas cada vez mayores de deslocalización de servicios, dados los nuevos desarrollos tecnológicos, como se puso de relieve recientemente con los servicios de telecomunicaciones: En las operaciones cuyos destinatarios sean sujetos pasivos del IVA han de distinguirse dos supuestos distintos: - Aquéllos en los que proveedor y destinatario de la prestación de servicios están establecidos en el mismo Estado miembro, operaciones en cuyo caso la operación se localizará en dicho Estado y el sujeto pasivo será el prestador del servicio. - Aquéllos en los que el proveedor está localizado bien en otro Estado miembro, bien fuera de la UE, localizándose las operaciones en la sede del destinatario y aplicando la regla de inversión del sujeto pasivo. Las operaciones cuyos destinatarios sean consumidores comunitarios deben de quedar gravadas por un IVA comunitario. La UE considera como un objetivo la eliminación de las barreras fiscales al comercio intracomunitario, dentro del cual puede comprenderse el comercio electrónico, de manera tal que las operaciones intracomunitarias con consumidores finales sean tratadas como operaciones interiores, es decir, de cada Estado miembro. Por ello se considera irrenunciable el logro que supone que los particulares puedan comprar (IVA incluido) en cualquier lugar de la UE, descartando, por lo tanto, aplicar al comercio puramente electrónico, esto es, aquél que no da lugar al envío de paquetes, la regla de localización de las ventas a distancia. Así pues, las prestaciones de servicios efectuadas por empresarios establecidos en la UE para consumidores finales pertenecientes a la misma se localizarían en dicho territorio (en la sede del prestador), y los prestados por dichos empresarios a consumidores finales no pertenecientes a la UE no se localizarían en ella. También se localizarían en la UE los servicios prestados por empresarios no establecidos en la misma para consumidores finales comunitarios: Identificación de los operadores no comunitarios. Para poder cumplir las obligaciones tributarias derivadas del comercio electrónico, los operadores no comunitarios deben registrarse en la UE. La cuestión es determinar si dicho registro debe ser único, es decir, que mediante el registro en un único Estado miembro se pueda operar en toda la UE, o si debe existir un registro en cada 178 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas uno de los EEMM donde se realicen dichas operaciones. La cuestión es fundamental puesto que puede determinar, si se opta por el registro único, que el Estado miembro donde el operador no comunitario decida registrarse, perciba la totalidad del IVA que grave las operaciones de dicho operador con consumidores finales comunitarios. Se trata de una de las cuestiones más polémicas en los trabajos preliminares de la Comisión Europea. La adopción del registro único no debería ser apoyada por España. No parece estar justificado un reparto de los ingresos fiscales procedentes de este tipo de operaciones en función de las preferencias de los operadores por el registro en uno u otro país. Parece más conveniente el registro obligatorio en todos los países en los que se opera, Facilitando, eso sí, al máximo los trámites formales de dicho registro. Podría establecerse un procedimiento de registro múltiple en la UE, de carácter automático, aprovechando las tecnologías de la información y que facilite al máximo el cumplimiento voluntario de las obligaciones tributarias a los operadores no comunitarios. Pero, ¿quién entrará voluntariamente en este juego? ¿Dónde radicará la legitimación para obligar a terceros?: Se debería sentar la posibilidad de que los sujetos pasivos de IVA que operan desde terceros países, designen un solo representante fiscal en la UE (acreditarlo ante una sola Administración fiscal) que sea reconocido en toda la UE (pasaporte fiscal), con obligación de ingresar en el Estado miembro de consumo. Identificación del destinatario de las operaciones. Los operadores no comunitarios deben dar un tratamiento tributario diferente a las prestaciones de servicios de comercio electrónico, según que los destinatarios sean empresarios o consumidores finales. Si son empresarios, no deben repercutir ni ingresar el IVA (se produce la inversión del sujeto pasivo). Si son consumidores finales, deben repercutirles el impuesto e ingresarlo. Por consiguiente, debe establecerse un sistema claro y rápido que permita al prestador no comunitario discernir, sin dificultad, si el destinatario comunitario es empresario o consumidor final. La extensión del NIF/IVA para todos los sujetos pasivos del IVA en el seno de la UE podría ser una solución a este problema. A este respecto, debe tenerse en cuenta que no todos los empresarios tienen la consideración de sujetos pasivos. Al mismo tiempo se necesitará un procedimiento en tiempo real para la comprobación del NIF/IVA comunicado por el destinatario: Establecer un sistema de acreditación inspirado en el NIF/IVA, para todos los empresarios o profesionales de la UE, con independencia de la realización de determinadas operaciones intracomunitarias, de forma que se pudiera garantizar a los prestadores de los servicios la condición de los destinatarios, salvaguardando la distinción entre los operadores comunitarios que realizan operaciones intracomunitarias exentas y aquéllos que no realizan dichas operaciones. Control de las prestaciones de servicios efectuadas online por operadores no comunitarios para consumidores finales de la UE. Se hace necesario contar con herramientas que permitan un control eficaz de estas operaciones. Sin perjuicio de los mecanismos de control que se abordan específicamente más adelante, debería establecerse una medida coercitiva consistente en establecer algún tipo de responsabilidad que recaiga sobre el destinatario de tales servicios cuando no se haya repercutido el IVA, en la línea de la medida adoptada para los servicios de telecomunicaciones. Utilización efectiva de los servicios online para consumidores finales comunitarios. En las prestaciones de servicios de comercio electrónico para consumidores finales el problema consiste en determinar si el consumo se produce en la UE. La determinación del lugar de consumo debe, además, poderse verificar de forma segura, puesto que de lo contrario el consumidor se limitaría a comunicar al empresario proveedor del servicio un domicilio fuera de la UE. A este respecto, deben establecerse criterios claros para concretar cuándo un servicio prestado online por un empresario no comunitario a un consumidor final se utiliza en la UE. Podría establecerse un sistema Marco jurídico 179 de presunciones iuris tantum, similar al aplicado para los servicios de telecomunicación, es decir, atendiendo al domicilio del destinatario o al lugar en que se ubica la sucursal bancaria desde la que se efectúa el pago: Establecer en la normativa interna una presunción iuris tantum, similar a la aplicable a los servicios de telecomunicación, presumiendo que se efectúa la utilización material de los servicios de comercio electrónico en el ámbito de la UE y, consecuentemente, de cualquier Estado miembro de aquélla, cuando el destinatario disponga en dicho territorio de su domicilio habitual o cuando efectúe el pago de los referidos servicios con cargo a una cuenta bancaria de una entidad ubicada en el mismo. Relevancia del concepto de establecimiento permanente para el IVA. Las reformas que se proponen a las reglas de localización del IVA tienden a reducir el ámbito de aplicación de la regla de sede del prestador y, en consecuencia, la relevancia del concepto de establecimiento permanente. Pero seguirá siendo imprescindible para localizar las prestaciones de servicios que realicen operadores comunitarios, así como para determinar si los operadores no comunitarios disponen de un establecimiento permanente en la Comunidad Europea y, por lo tanto, pueden operar desde él sin necesidad de registrarse en cada uno de los países. Como ya se ha mencionado anteriormente, sobre este concepto existe jurisprudencia del Tribunal de justicia de las Comunidades Europeas, de la cual se desprende una interpretación estricta, exigiendo la concurrencia de medios humanos y materiales, cierta autonomía en la contratación y contribución efectiva a la prestación del servicio sin limitarse a meras tareas de mediación. Cuando no considera reunidos estos requisitos, se inclina por imputar una prestación de servicios a la sede central del prestador y no a su establecimiento permanente. Bajo estas premisas parece descartable que, por ejemplo, a efectos del IVA, una página web constituya un establecimiento permanente. Desde nuestra perspectiva mucho menos comprometida y militante que lo expresado por la Secretaría de Estado de Hacienda en su Informe sobre el impacto del comercio electrónico en la fiscalidad española, no podemos por menos de manifestar un profundo escepticismo sobre la viabilidad de aplicar imposición indirecta en las operaciones en la Red. El propio Informe de la Secretaría de Estado apunta las peculiaridades y dificultades que se derivan de la desubicación especial y a pesar de ello se introduce en una complicada vereda de registros, identificación del destinatario final en función de su carácter de empresario (B2B) o consumidor final (B2C), establecimientos permanentes, identificación de los operadores no comunitarios, etc. No podemos pecar de ingenuos, el proyecto así planteado es absolutamente inviable porque “al mar no se le puede poner barreras” y la tributación debe responder a criterios globales y métricos. Sobre el particular no debemos olvidar las siguientes consideraciones que sí parecen ser olvidadas, por no decir obviadas, por parte de la referida Secretaría de Estado: - En muchos países no se practica la Imposición Indirecta, ni tan siquiera el tan generalizado IVA. (Como muestra basta señalar a los EEUU). - Bastante problema existe en el plano real con los Paraísos Fiscales (basados en planteamientos tributarios asimétricos) como para establecer un sistema en el plano virtual que generalice el problema. - La fiscalidad internacional debe basarse, en principios generales que garanticen planteamientos simétricos de igual carga para igual operación sea cual sea el lugar o la personalización de los sujetos participantes, y ello en aras al más elemental principio de justicia recaudatoria. Por todo lo expuesto no podemos por menos de concluir que el sistema descrito en base a los principios de la U.E. no lo consideramos viable. El sistema basado en los planteamientos de la OCDE es más realista, sin llegar a la perfección y la posición más correcta es la adaptada por los EEUU, de aplicar una moratoria fiscal hasta octubre de 2001 promulgada en la Tax Freedom Act (que se supone prorrogable) y en contra de la posición reiteradamente en contrario por parte del 180 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Informe que venimos exponiendo, porque de lo último que se puede pecar al abordar sistemas impositivos es de ingenuidad y mucho de lo expuesto hasta ahora nos ha sonado a “música celestial” y voluntarismo técnico tributario. Quizás deberíamos replantear la posibilidad de un sistema basado en el “bit tax” planteado por los EEUU, donde la tendencia más realista es adoptar la tributación en origen como regla general para las operaciones telemáticas. En el campo de los impuestos indirectos -IVA- los problemas se repiten a la hora de definir un sistema impositivo general y razonable. Gran dificultad de localizar al sujeto, y la situación se agrava debido a que ni tan siquiera se puede identificar con facilidad el propio hecho que genera la obligación de pagar impuestos. La causa de este grave problema radica en que la operación completa de compra-venta o de prestación de servicios se puede realizar sin salir de la red. La tipología básica que pueden revistir las transacciones es en función del producto vendido (operaciones on line y off line) como en función de los sujetos que intervienen (de empresa a empresa -business to business- o de empresa a consumidor -business to consumer-). El comercio on line suele entenderse como el suministro de productos en formato digitalizado a través de la propia red: programas de ordenador, música, libros digitalizados que, en tiempo real, se descargan en el ordenador del usuario tras haber pagado el producto. El suministro off line abarca la entrega de productos tangibles usando medios de transporte convencionales, vendidos a través de la red. Principalmente la problemática surge con el comercio “on line”. Se entenderán sometidas a IVA en España en función de unas reglas similares a las establecidas para los servicios de telecomunicaciones. DESCARGA DE PRODUCTOS ON-LINE = PRESTACIÓN DE SERVICIOS: • Cuando la operación se realiza entre empresarios, tributará por IVA en el territorio en que radique la sede del destinatario del servicio a través del ya conocido mecanismo de la inversión del sujeto pasivo. • Cuando la operación se realice entre un empresario establecido en el territorio de aplicación del IVA español y un particular que consuma el producto en cualquier Estado miembro de la CE, tal servicio quedará sujeto a IVA español. Si el empresario-vendedor radica en otro Estado de la UE y el consumidor en España, la transacción tributará por el IVA del país donde se encuentre el proveedor. • Si el empresario vendedor radica en territorio español de IVA pero el destinatario es un consumidor situado fuera de la UE, no existirá tributación por IVA español. Cuando el empresario vendedor se encuentra fuera de la UE y el destinatario del producto en territorio español de aplicación de IVA, se prevé establecer la obligación de identificarse a efectos de IVA en España y repercutir e ingresar el impuesto como se tratara de empresarios locales. • Conclusiones: El consenso internacional se presenta como una solución que tarde o temprano tendrán que adoptar los países con el fin de evitar una implantación en cascada de impuestos sobre el comercio electrónico. Internet y el comercio electrónico son imparables y establecer impuestos por temor a la pérdida de recaudación no parece que sea la receta apropiada. Por el contrario, no establecer impuestos sobre la Red beneficia el crecimiento de ingresos, así como gente mejor preparada. En los intercambios comerciales y económicos aparecen nuevos “sujetos intermediarios” -entidades de certificación de las firmas digitales, servidores y entidades financieras que permiten el pago- que pueden convertirse en los nuevos puntos de referencia desde los que obtener la necesaria información tributaría a efectos censales y establecimiento de tasas operativas, por ejemplo. Marco jurídico 181 3.3. Los incentivos fiscales para fomentar la investigación y el desarrollo y la aplicación de las innovaciones tecnológicas Los INCENTIVOS FISCALES son excepciones dentro del marco fiscal y tributario para promover unas determinadas actividades y conductas por parte de los sujetos económicos (principalmente productores y consumidores) que facilitan la reducción de la carga tributaria normal. Los incentivos fiscales deben diferenciarse de las SUBVENCIONES por su naturaleza y por su cronología, aunque al final el resultado sea el mismo mediante su impacto en los Presupuestos Generales del Estado. La subvención está vinculada siempre a un hecho a potenciar, mientras que el incentivo fiscal es consecuencia de unos hechos anteriores. Mientras éstos generan un menor ingreso para el Estado (en cualquiera de sus niveles administrativos), las subvenciones son una aplicación particular de unos ingresos previamente obtenidos. EN EL TIEMPO EN LOS PRESUPUESTOS GENERALES INCENTIVO FISCAL EX – POST REDUCE EL INGRESO DEL ESTADO SUBVENCIÓN EX – ANTE AUMENTA EL GASTO DEL ESTADO AMBOS EJEMPLO: REDUCEN EL SALDO NETO DE LOS PRESUPUESTOS GENERALES SITUACIÓN FISCAL DE UNA SOCIEDAD AL CIERRE DEL EJERCICIO DESDE LA PERSPECTIVA DEL IMPUESTO SOBRE SOCIEDADES (I.S.). - Base Imponible (B.I.): 120.000. euros. - Cuota Íntegra (35% B.I.): 42.000. euros. Esta empresa desarrolló un proyecto de I+D por un importe de 60 mil euros. - Deducción por I+D (35% 60.000.): 21.000. euros. - Cuota líquida final = 42.000. – 21.000. = 24.000. euros. La operación ha supuesto un ahorro fiscal para la empresa de 3 millones de Ptas. y en consecuencia un menor ingreso para el Estado. En síntesis ha supuesto una reducción del tipo impositivo del I.S. desde el 35% inicial al 20% resultante. • Investigación científica e innovación tecnológica Los sujetos pasivos del I.S. tienen derecho a deducir de la cuota líquida del impuesto por las inversiones y gastos que realicen en actividades de investigación y desarrollo (I+D) de nuevos productos o procedimientos industriales y de innovación tecnológica (IT). Los conceptos que vamos a manejar a lo largo de este epígrafe se encuentran regulados en el artículo 33 de la Ley 43/1995, de 27 de diciembre, del Impuesto sobre Sociedades según redacción dada por la Ley 55/1999, de 29 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social. Actividades de investigación y desarrollo (I+D): 182 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas ∑ Concepto de investigación: Es la indagación original y planificada que persigue descubrir nuevos conocimientos y una superior comprensión en el ámbito científico o tecnológico. ∑ Concepto de desarrollo: Es la aplicación de los resultados de la investigación o de cualquier otro tipo de conocimiento científico para la fabricación de nuevos materiales o productos o/y para el diseño de nuevos procesos o sistemas de producción, así como para la mejora tecnológica sustancial de materiales, productos, procesos o sistema preexistentes. La LIS establece de forma expresa determinadas actividades que se consideran desarrollo: ∑ La materialización de los resultados de la investigación en un plano, esquema o diseño. ∑ Creación de un primer prototipo no comercializable. ∑ Proyectos de demostración inicial o proyectos piloto, siempre que los mismos no puedan convertirse o utilizarse para aplicaciones industriales o para su explotación comercial. ∑ Diseño y elaboración del muestrario para el lanzamiento de los nuevos productos. ∑ La concepción de “software” avanzado, esto es, que suponga un progreso científico o tecnológico significativo mediante el desarrollo de nuevos teoremas y algoritmos o mediante la creación de sistemas operativos y lenguajes nuevos. En el caso específico del “software avanzado” por sus especiales características de inmaterialidad (no tangible) se excluyen expresamente del ámbito de la deducción fiscal, las actividades normales o rutinarias relacionadas con la mera generación de software. Actividades de innovación tecnológica (IT): ∑ Concepto de innovación tecnológica: A los efectos de la deducción se considera como IT la actividad cuyo resultado es la obtención de nuevos productos o procesos de producción, o de mejoras sustanciales, tecnológicamente significativas, de productos o procesos de producción ya existentes. Son nuevos productos aquéllos cuyas características o aplicaciones, desde el punto de vista tecnológico, difieran sustancialmente de las existentes con anterioridad. La LIS considera también como actividades de IT y, por tanto, merecedoras de la deducción, las siguientes: ∑ La materialización de los resultados de la innovación en un plano, esquema o diseño. ∑ Creación de un primer prototipo no comercializable. ∑ Proyectos de demostración inicial o proyectos piloto siempre que los mismos no puedan convertirse o utilizarse para aplicaciones industriales o para su explotación comercial. ∑ El diagnóstico tecnológico tendente a la identificación, definición y orientación de soluciones tecnológicas avanzadas realizadas por Universidades, Organismos públicos de Investigación o Centros de Innovación y Tecnología, reconocidos y registrados como tales según el RD 2609/1996, cualquiera que fuese el resultado de estas actividades. De toda la actividad del IT, cuatro son los gastos del período susceptibles de acogerse a la deducción, los relativos a los conceptos siguientes: 1. Proyectos cuya realización se encargue a Universidades, Organismos Públicos de Investigación o Centros de Innovación y Tecnología, reconocidos y registrados como tales según el RD 2609/1996. 2. Diseño industrial e ingeniería de procesos de producción, que incluirán la concepción y la elaboración de los planos, dibujos y soportes destinados a definir los elementos descriptivos, especificaciones técnicas y características de funcionamiento necesarios para la fabricación, prueba, instalación y utilización de un producto. Marco jurídico 183 3. Adquisición de tecnología avanzada en forma de patentes, licencias, “know-how” y diseños. Condiciones: • La adquisición no debe realizarse por una persona o entidad vinculada a la empresa que se acoge a la deducción. • La base de la deducción por este concepto no puede superar los 50 millones de pesetas anuales. 4. Obtención del certificado de cumplimiento de las normas de aseguramiento de calidad de la serie ISO 9000, GMP o similares, sin que formen parte de la base de la deducción los gastos por la implantación de dichas normas. Actividades excluidas del concepto de I+D o innovación tecnológica (IT): Expresamente, la LIS excluye de dicha consideración a las siguientes, sin que puedan considerarse a estos efectos, aunque formen parte de un proyecto global de I+D o de Implantación Tecnológica: 1. Actividades que no implican una novedad científica o tecnológica sustantiva. En particular las de mejora o adaptación de la producción siguientes: ∑ Los esfuerzos rutinarios destinados a mejorar la calidad de productos o procesos de producción. ∑ La adaptación de un producto o proceso de producción ya existente a los requisitos específicos impuestos por un cliente. ∑ Los cambios periódicos o de temporada. ∑ Las modificaciones estéticas o menores de productos ya existentes para diferenciarlos de otros similares. 2. Las actividades de producción industrial y provisión de servicios, o de distribución de bienes y servicios. En particular las actividades: ∑ La planificación de la actividad productiva. ∑ La preparación y el inicio de la producción. ∑ El reglaje de herramientas y otras actividades distintas del diseño industrial y la ingeniería de procesos de producción. ∑ La incorporación o modificación de instalaciones, máquinas, equipos y sistemas para la producción. ∑ La solución de problemas técnicos de procesos productivos interrumpidos. ∑ El control de calidad y la normalización de productos y procesos. ∑ Los estudios de mercado y el establecimiento de redes o instalaciones para la comercialización. ∑ El adiestramiento y la formación del personal relacionadas con todas estas actividades. 3. La prospección en materia de ciencias sociales y la explotación e investigación de minerales e hidrocarburos. Distinción entre actividades de I+D y las de Implantación Tecnológica (IT): ACTIVIDADES DE I+D: Aquellas que se realizan para introducir un producto o proceso nuevos en el mercado y que implican una novedad tecnológica importante en el ámbito mundial. 184 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas ACTIVIDADES DE IMPLANTACIÓN TECNOLÓGICA (IT): Son las actividades que se realizan para introducir en el mercado un nuevo producto o proceso productivo, así como la mejora sustancial de los productos y procesos ya existentes, siempre que representen un verdadero reto tecnológico, aunque no implique ninguna novedad tecnológica en el sector de actividad. La diferencia entre I+D e I.T. estriba en el impacto tecnológico en términos de novedad. ASPECTOS A CONSIDERAR - TERRITORIALIDAD. Son deducibles los gastos soportados por actividades realizadas en territorio español y las correspondientes actividades en el extranjero, siempre que éstos no superen el 25% del total. Se entiende por actividades desarrolladas en el extranjero lo hecho fuera, no las compras realizadas fuera. - TIEMPO: Un proyecto puede desarrollarse a lo largo de varios ejercicios fiscales y la imputación de cada ejercicio dependerá de los gastos efectivamente soportados por estos conceptos durante el mismo. - SUBVENCIONES: La base de la deducción se minorará en el 65% de las subvenciones recibidas para el fomento de las actividades de I+D/IT y además serán imputadas en su totalidad como ingreso del periodo impositivo correspondiente. En el caso de empresas de reducida dimensión en el sector de las nuevas tecnologías, la base de la deducción se minorará en el 100% de las subvenciones recibidas (art. 33 bis de la Ley del I.S. según la redacción de la Ley 55/1999 de 29 de diciembre). - CONTABILIDAD/FISCALIDAD: a) Base Imponible: se calcula a partir del resultado contable y en consecuencia los gastos deducibles son los contabilizados según la Norma 5ª del Plan General Contable (PGC). b) Libertad de amortización del Inmovilizado si se encuentra afecto a actividades de I+D en un 100%. Si su vinculación es parcial, la libertad de amortización se limita a la proporcionalidad resultante, mediante prorrateo. c) Activación de gastos de I+D/IT para todos los conceptos en la cuenta correspondiente al Inmovilizado Inmaterial (cuenta 210) sin que por ello cambie su naturaleza de gasto en I+D/IT a efectos de deducción fiscal. En caso de preceder a la activación contable como Activo Inmaterial se debe prestar atención al PRINCIPIO CONTABLE DE PRUDENCIA VALORATIVA, puesto que el PGC exige para ello el escrito técnico y la rentabilidad económica, aspectos los dos de difícil apreciación a priori. • Empresas que se pueden beneficiar de la deducción En general todas las empresas con independencia del sector de su actividad. Como casos especiales cabe destacar las siguientes: a) EMPRESAS DE NUEVA CREACIÓN. Para estas empresas se establece un plazo para aplicar la deducción de 10 años, como sucede con el resto, con la diferencia que el inicio de dicho periodo se traslada al primer ejercicio fiscal que generen beneficios, siempre que ello se produzca en el término de prescripción fiscal que actualmente es de 4 años, a partir del inicio de su actividad. b) EMPRESAS QUE DESARROLLAN I+D PARA EMPRESAS EXTRANJERAS sin establecimiento permanente en España. Para estas empresas no se aplica el CRITERIO DE FINANCIAMIENTO (ver más adelante) y podrán considerar como gastos de I+D Marco jurídico 185 los gastos asociados a proyectos encargados por empresas extranjeras (consulta vinculante a la DGT de 29-oct-1998). c) EMPRESAS FILIALES DE MULTINACIONALES establecidas en España que realicen actividades de I+D desde España para otros establecimientos en el extranjero (ver misma consulta anterior). d) EMPRESAS EN PÉRDIDAS. Se aplicará el mismo criterio temporal descrito en el apartado a) anterior si aportan nuevos recursos, no teniendo esta consideración la ampliación de capital con cargo a reservas (por no tratarse de una nueva aportación). e) EMPRESAS DE REDUCIDA DIMENSIÓN. La deducción trata de fomentar el uso de nuevas tecnologías en las entidades consideradas como empresas de reducida dimensión (que facturen menos de 3 M de euros) consistente en una deducción en la cuota líquida del 10% del importe de las inversiones y gastos realizados en el periodo impositivo que estén relacionados con la implantación o mejora de las tecnologías utilizadas en la información y comunicación de la empresa. En particular, los siguientes: a) Acceso y presencia en Internet, que incluyen: - Adquisición de equipos y terminales, con su software y periféricos asociados, para la conexión a Internet y acceso a facilidades de correo electrónico, así como para el desarrollo y publicación de páginas y portales web. - Adquisición de equipos de comunicaciones específicos para conectar redes internas de ordenadores a Internet. - Realización de trabajos, internos o contratados a terceros, para el diseño y desarrollo de páginas y portales web. - Instalación e implantación de dichos sistemas. - Formación del personal de la empresa para su uso. b) Comercio electrónico, que incluyen: - Adquisición de equipos y terminales, con su software y periféricos asociados, para la implantación del comercio electrónico a través de Internet con las adecuadas garantías de seguridad y confidencialidad de las transacciones, así como para la implantación del comercio electrónico a través de redes cerradas formadas por agrupaciones de empresas, clientes y proveedores. - Instalación e implantación de dichos sistemas. - Formación del personal de la empresa para su uso. c) Incorporación de las tecnologías de la información y de las comunicaciones a los procesos industriales, que incluyen: - Adquisición de equipos y paquetes de software específicos para la interconexión de ordenadores, la integración de voz y datos y la creación de configuraciones intranet, así como la adquisición de paquetes de software para su aplicación a procesos específicos de gestión, diseño y producción. - Instalación e implantación de dichos sistemas. - Formación del personal de la empresa para su uso. En las empresas de reducida dimensión, los gastos por compras de tecnologías de la información y de las comunicaciones (TIC’s) no deberán estar necesariamente adscritas a un proyecto para poder aplicar la deducción fiscal. 186 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas IDENTIFICACIÓN DE LOS GASTOS ASOCIADOS A CADA PROYECTO Son aquéllos comprendidos en cualquiera de los cinco grupos siguientes: 1. AMORTIZACIÓN DE ACTIVOS FIJOS (con dedicación total o parcial a actividades de I.T. o I+D). Las cuentas de amortización de estos activos, como por ejemplo ordenadores, equipos de laboratorio, etc., podrán reducirse mediante un prorrateo en función del tiempo dedicado a I+D o I.T. durante el ejercicio, siempre que las cuentas de amortización estén debidamente contabilizadas. Ejemplo: una empresa realiza en 2001 las siguientes adquisiciones: a) Un edificio para dedicarlo a laboratorio de investigación; valor de 600.000. euros sin incluir el terreno. (Máximo de amortización 2%). b) Equipamiento de laboratorio por importe de 300.000. euros. (coeficiente máximo de amortización 12%). El laboratorio entra en funcionamiento en agosto (periodo útil a efectos de amortización 5 meses) y los gastos de funcionamiento ascienden a 120.000. euros. en este periodo. Base de la deducción por I+D: 2% · 5/12 · 600.000. euros. + 12% · 5/12 · 300.000 euros. + 240.000. euros. TOTAL BASE 2. GASTOS DE PERSONAL, correspondientes a los empleados que la empresa dedica a actividades de I+D/I.T. incluyendo el coste bruto. Aquellos empleados que tengan dedicación exclusiva a estas actividades darán derecho a una deducción adicional del 10% sobre su coste bruto para la empresa. 3. ACTIVIDADES REALIZADAS POR TERCEROS. Se considera como gastos susceptibles de deducción los importes de las facturas de terceros por la subcontratación de actividades de I+D/I.T., por la compra de tecnología avanzada o por la obtención de un certificado de calidad. Si la subcontratación recae en una Universidad o Centro Tecnológico, cabe una deducción adicional del 10%. 4. GASTOS PARA LA CREACIÓN DE MUESTRARIOS DE NUEVOS PRODUCTOS, siempre que se distribuyan como muestras gratuitas sin valor comercial por entenderse que es gasto equiparable a divulgación tecnológica. 5. OTROS, siempre que estén vinculados necesariamente a proyectos de I+D/I.T.; primeras materias y aprovisionamientos. • Identificación documental de los gastos susceptibles de deducción Los GASTOS EXTERNOS se identifican mediante su correspondiente factura identificada y vinculada al proyecto concreto y además las facturas deben estar debidamente contabilizadas. A efectos de identificación resulta aconsejable la existencia de un contrato previo con el tercero. Los GASTOS INTERNOS es conveniente que se documenten mediante INFORMES que recojan la siguiente información: - Nombre del proyecto. - Razones por las que se clasifica como I+D o bien como I.T. y novedades que aporta. Marco jurídico 187 - Calendario del desarrollo del proyecto y las incidencias habidas. - Detalle de los gastos internos con especial atención al personal destinado parcial o totalmente. - Conclusión y evaluación del proyecto (a pesar de que la deducción no está condicionada al éxito del mismo). Lógicamente los gastos internos también deben estar correctamente contabilizados. Base de la deducción: Es el importe de los gastos efectuados por estos conceptos en el periodo impositivo. Casos particulares: ∑ Actividades subvencionadas: cuando la actividad esté subvencionada la base de la deducción se minorará en el 65% de las subvenciones recibidas para el fomento de dichas actividades e imputadas como ingreso en el periodo impositivo. ∑ Actividades realizadas por encargo: también tienen la consideración de gastos de I+D o de IT las cantidades pagadas a terceros para la realización de dichas actividades en España. Según la residencia de la entidad que encarga la realización del proyecto y de la entidad que lo ejecuta, pueden darse las siguientes situaciones: ∑ Ambas entidades residen en territorio español: será la entidad que encarga la realización del proyecto quien tenga el derecho a practicar la deducción. La entidad que ejecuta el encargo ha de realizar la actividad investigadora en territorio español. ∑ La entidad que encarga la actividad reside en territorio español y la entidad que lo ejecuta en el extranjero: no podrá aplicarse deducción alguna en la medida en que la actividad no se realiza en España. ∑ La entidad que encarga la actividad reside en el extranjero y la entidad que lo ejecuta reside en territorio español: al ser extranjera la entidad que satisface la actividad, no puede atraer para sí la aplicación de la deducción, por lo que corresponde aplicarla a la que ejecuta el encargo. Porcentajes de deducción: 1. Actividades de I+D: ∑ Con carácter general: el 30% de los gastos efectuados en el periodo impositivo por este concepto. ∑ Cuando los gastos del período sean superiores a la media de los efectuados en los dos años anteriores, se aplicará el 30% sobre la media y el 50% sobre los gastos del período que excedan de esa media. ∑ Podrá aplicarse otra deducción adicional del 10% sobre los gastos del período impositivo que correspondan a: ∑ Gastos de personal de la entidad correspondientes a investigadores cualificados adscritos en exclusiva a actividades de I+D. ∑ Gastos que correspondan a proyectos de I+D contratados con Universidades, Organismos públicos de Investigación o Centros de Innovación y Tecnología, reconocidos y registrados como tales según el RD 2609/1996. 2. Actividades de innovación tecnológica: ∑ El 15% cuando se trate de gastos por proyectos cuya realización se encargue a Universidades, Organismos públicos de Investigación o Centros de Innovación y Tecnología, reconocidos y registrados como tales según el RD 2609/1996. 188 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas ∑ El 10% cuando se trate de gastos de IT que correspondan, exclusivamente, a los siguientes conceptos: diseño industrial e ingeniería de procesos de producción; adquisición de tecnología avanzada en forma de patentes, licencias, “know-how” y diseños; obtención del certificado de cumplimiento de las normas de aseguramiento de la calidad de la serie ISO 9000, GMP o similares. Coeficientes límite: Con carácter general está establecido un coeficiente límite del 35% de la cuota íntegra para el conjunto de las modalidades de deducción. Sin embargo, su valor será del 45% cuando se manifiesten conjuntamente las siguientes condiciones: ∑ Que el sujeto pasivo tenga gastos efectuados en el propio período impositivo correspondientes a I+D e IT. ∑ Que el importe de la deducción correspondiente exclusivamente a los gastos de dichas actividades exceda del 10% de la cuota íntegra minorada en las deducciones para evitar la doble imposición interna e internacional y las bonificaciones (cuota líquida). LAS CONSULTAS PREVIAS A LA ADMINISTRACIÓN Con el fin de facilitar y fomentar el uso de las deducciones que venimos comentando, la Administración ha optado por incorporar a la normativa dos medidas que tienden a conseguir la necesaria seguridad jurídica en un campo que por su novedad puede plantear dudas generalizadas tanto en lo conceptual como en su operativa. La consulta vinculante: La Dirección General de Tributos ofrece la posibilidad de contestar consultas vinculantes relacionadas con los conceptos que venimos manejando; qué se entiende a efectos fiscales por investigación, desarrollo o innovación tecnológica. Sobre la consulta propuesta, la DGT deberá responder en el plazo máximo de 6 meses, o bien notificar que dicha respuesta aún está pendiente de resolución. Contra la respuesta no cabe ningún tipo de recurso, aunque sí cabrá contra los actos administrativos que se derivan por la aplicación de una deducción con criterio distinto a la posición manifestada por la DGT en su respuesta. Tipología de las consultas: a) CONSULTAS BREVES, se pueden plantear al teléfono 901.33.55.33 y las respuestas tienen valor meramente informativo (no vinculante). b) CONSULTAS COMPLICADAS, que precisen de análisis en profundidad se deben dirigir a la Delegación de Hacienda de cada provincia al Departamento de Sociedades de la A.E.A.T. c) CONSULTAS ESCRITAS (vinculantes). Se deben dirigir a la Subdirección General del Impuesto sobre Personas Jurídicas (c/ Alcalá 5, Madrid 28015). Para más información se puede llamar al teléfono 91.595.00.00. ACUERDOS PREVIOS DE VALORACIÓN Para reducir la incertidumbre por parte de las empresas que deseen acogerse a este tipo complejo de deducciones, la norma prevé la posibilidad de llegar a acuerdos previos de valoración de las deducciones con el Departamento de Inspección Financiera y Tributaria de la A.E.A.T. Estos acuerdos tienen como fin valorar la cuantía de los gastos que se pueden asociar a actividades de I+D o de I.T. El procedimiento se inicia a petición del contribuyente y debe hacerse antes de que se efectúe el gasto. La información a detallar en el escrito de petición de acuerdo será como mínimo la siguiente: a) Datos identificativos de la empresa. Marco jurídico 189 b) Descripción e identificación del proyecto. c) Propuesta de valoración y vigencia del proyecto, que nunca será superior a 3 años. La falta de resolución expresa por parte del Departamento de Inspección financiera y Tributaria en el plazo de 6 meses se entiende en sentido de “silencio positivo” como aceptación de la propuesta. La respuesta expresa puede aceptar la propuesta del solicitante, proponer otra alternativa o desestimarla sin más. La resolución no es objeto de recurso. DEDUCCIÓN DE GASTOS EN FORMACIÓN PROFESIONAL Con efectos para los periodos impositivos iniciados a partir del 25-06-2000, la deducción se extiende también a los gastos efectuados con la finalidad de formar a los empleados en el uso de nuevas tecnologías. Entre estos gastos se incluyen los realizados para proporcionar, facilitar o financiar su conexión a Internet, así como los derivados de la entrega gratuita, o a precios rebajados, o de la concesión de préstamos o ayudas económicas para la adquisición de los equipos y terminales necesarios para acceder a la conexión, con su software y periféricos asociados, incluso cuando el uso de tales equipos por los empleados se realiza fuera del lugar y horario de trabajo. Estos gastos serán fiscalmente deducibles para la empresa en la medida en que estén contabilizados, sin que impliquen para el trabajador la obtención de rendimientos de trabajo. Base de deducción: El importe de los gastos efectuados por la empresa en el periodo impositivo, minorado en el 65% de las subvenciones recibidas si las hubiere. Porcentaje de deducción: Los porcentajes varían según sea el valor de los gastos en el periodo impositivo, en comparación con el valor medio de los gastos efectuados en los dos años anteriores: - Cuando sea igual o inferior, el 5% para la totalidad de los gastos del periodo. - Si es superior, el 5% hasta el valor medio y sobre el exceso el 10%. Coeficiente límite: La deducción no puede exceder del 35% o del 45% conjuntamente con las demás deducciones previstas en el capítulo IV del título de la LIS art. 33 a 37, antes expuestos y comentados. CONSEJOS PRÁCTICOS ∑ Es importante IDENTIFICAR LA NATURALEZA DEL PROYECTO susceptible de deducción; I+D, I.T. o función vinculada con TIC’s. ∑ Hay que asociar los gastos externos e internos a cada proyecto, lo cual puede suponer una primera aproximación involuntaria a la contabilidad analítica. ∑ Los proyectos deben ser CORTOS y CONCRETOS. No es aconsejable englobar varios en uno solo genérico por la confusión que ello puede acarrear respecto de las posibles diferencias conceptuales de cada fuente. ∑ Los gastos, tanto los internos como los externos, se deben DOCUMENTAR. En el caso de los gastos externos es necesario disponer de la factura identificativa del gasto y vinculante al proyecto y también es conveniente formalizar un contrato con el proveedor. ∑ Es conveniente plantear las CONSULTAS VINCULANTES Y LAS PROPUESTAS DE VALORACIÓN antes del cierre del ejercicio fiscal, por cuanto la respuesta puede tardar 6 meses y es conveniente conocerla antes de la liquidación del Impuesto sobre Sociedades (I.S.), como máximo 6 meses y veinticinco días después del cierre del ejercicio. 190 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas EJEMPLO DE UNA INVERSIÓN EN NUEVAS TECNOLOGÍAS POR UNA SOCIEDAD DE REDUCIDA DIMENSIÓN Importe de la inversión realizada: Compra de Hardware: 15.000 euros Compra de Software: 2.700 euros Cursos de formación: 1.200 euros Total: 18.900 euros Amortización de los elementos aplicando coeficientes máximos (primer año): Amortización Hardware: 25% 3.750 euros Amortización Software: 33% 891 euros Al ser una empresa de reducida dimensión, las inversiones en elementos de inmovilizado material nuevos pueden amortizarse, a efectos fiscales, al porcentaje que resulte de multiplicar por 1,5 el coeficiente de amortización lineal máximo previsto en las tablas de amortización: Amortización incrementada Hardware: Amortización incrementada Software: 25%x1,5 37,5% 5.625 33%x1,5 49,5% 1.336,5 Total amortización: 6.961,5 Efecto sobre el resultado en el primer ejercicio: Beneficio sin haber realizado la inversión: Supondremos que el resto del inmovilizado que tiene la sociedad es de 48.000. euros. a) Ventas 2.300.000. b) Coste Ventas 1.890.000. c) Margen (a-b) 410.000. d) Gastos generales 168.000 e) Amortización 48.000 f) Beneficio (c-d-e) 194.000 Cuota impuesto ** 58.200 Bº neto después de impuestos 135.800. Marco jurídico 191 A ** Al ser una empresa de reducida dimensión se aplica el 30% como tipo impositivo sobre los primeros 90.000 euros de beneficio y el 35% sobre el importe restante. Beneficio habiendo realizado la inversión (según la ley 6/2000). a) Ventas b) Coste Ventas c) Margen (a-b) d) Gastos generales e) Amortización f) Beneficio (c-d-e) Cuota impuesto ** Deducción 10% Total impuesto Beneficio neto después de impuestos 2.310.000 1.890.000 420.000 168.283 55.054 197.371 64.572 1.893 62.679 132.799 B Importe total inversión: Ahorro fiscal (A-B): 18.932 4.533 El 24% de la inversión en nuevas tecnologías se ahorra fiscalmente en el primer ejercicio. CÁLCULO DE LAS DEDUCCIONES 1º Supuesto Durante el ejercicio 2000 una empresa lleva a cabo un proyecto con el objetivo de introducir un nuevo producto en el mercado. Para ello y una vez definidos los objetivos previstos, decide firmar un contrato de asesoramiento tecnológico con una empresa privada. Una vez realizado el primer proceso de indagación con el resultado de nuevos conocimientos y una mayor comprensión del campo objeto del proyecto, la empresa continúa con el desarrollo del mismo en los siguientes términos: 1. La coordinación y parte de la investigación del proyecto, así como la realización de ensayos, se realizarán en el propio departamento de I+D de la empresa, para lo cual se llevará a cabo la adquisición de todo el material necesario y la contratación de servicios a terceros. 2. Se encargará a un centro Universitario la innovación tecnológica más avanzada y la realización del primer prototipo. La inversión de la empresa en actividades de I+D durante los dos años anteriores fue de 24.040 euros de media. Al final del ejercicio los gastos imputables al proyecto ascendieron a un total de 170.687 euros que se desglosaron de la siguiente manera: 1. Coste del personal técnico: 57.096 euros (a efectos de aplicar una deducción adicional del 10% sobre los gastos de personal adscritos en exclusividad a dichas actividades, decir que el salario del jefe de proyecto (34.859 euros) está totalmente adscrito en exclusividad). 2. Coste de los materiales consumidos en los ensayos realizados en el propio departamento: 4.508 euros. 192 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 3. Coste de los servicios externos contratados en concepto de asistencia técnica: 11.419 euros. 4. Coste del desarrollo técnico del proyecto contratado a un centro Universitario: 41.470 euros. 5. La amortización dotada en el ejercicio y correspondiente a todo el inmovilizado afecto al proyecto de I+D, así como el coste de toda la indagación y exploración inicial del proyecto: 48,081 euros. 6. El coste de la realización del prototipo vinculado al proyecto: 8.114 euros. La empresa ha recibido subvenciones para el fomento de actividades de I+D, que se imputarán como ingreso en el ejercicio 2002, de un importe de 17.580 euros (que cubrirán el 25% de los costes para la investigación tecnológica encargada al centro universitario, es decir, 10.367,euros, y el 15% de los costes de investigación iniciales contratados a una empresa externa, es decir, 7.212 euros). 2º Cálculo de la base de deducción: Se considerarán gastos a efectos fiscales: 1. Son gastos considerados a efectos fiscales como gastos de investigación y desarrollo: a) Coste del personal técnico. b) Coste de los materiales consumidos en los ensayos. c) Asistencia técnica contratada. d) Coste del desarrollo técnico realizado por un centro público. 2. Son gastos considerados como de investigación tecnológica: a) El coste inicial de exploración del proyecto. b) El coste de realización del proyecto. Para calcular la base de la deducción, hay que tener en cuenta aquellas partidas de gasto que han sido subvencionadas, ya que en este caso, dicha partida deberá reducirse en un 65% del importe de dichas subvenciones. Cálculo de la base de deducción: GASTOS EN INVESTIGACIÓN Y DESARROLLO: Personal (Pto.1): 57.096 euros (34.859 euros imputables al jefe en exclusividad del proyecto). Materiales consumidos (Pto. 2): 4.508 euros. Asistencia técnica (Pto.3): 11.419 euros. Desarrollo técnico realizado por el centro universitario (hay que tener en cuenta la subvención) (Pto.4): 41.470 euros – (65%x10.367 (subvención)) = 34.731 euros. TOTAL GASTOS EN I+D = 107.754 euros. Tienen derecho a una deducción adicional: Investigadores adscritos en exclusividad al proyecto: 34.859 euros. (Pto.1). Actividades de desarrollo técnico contratado al centro universitario: 34.751 euros. TOTAL GASTOS CON DEDUCCIÓN ADICIONAL: 69.590 euros. GASTOS EN INNOVACIÓN TECNOLÓGICA: Costes iniciales del proyecto (hay que tener en cuenta la subvención) (Pto. 5): 48.081 – (65% x7.212 (subvención)) = 43.393 euros. Coste de realización del prototipo (Pto.6): 8.144 euros. Marco jurídico 193 TOTAL GASTOS EN INVESTIGACIÓN TECNOLÓGICA: 51.507 euros. 3º Cálculo de las deducciones aplicables: DEDUCCIÓN APLICABLE A LOS GASTOS DE I+D: Sobre el importe medio de gasto de los dos años anteriores se aplicará un 30% y sobre el exceso un 50%. Dado que la inversión en I+D de los dos años anteriores supuso una media de 24.0440,- euros: a) Sobre la media: 24.0440 x 30% = 7.212 euros. b) Sobre el exceso: (107.754 – 24.040) x 50% = 41.857 euros. Los gastos derivados del personal cualificado adscrito en exclusividad al proyecto (34.859 euros.) y los derivados del desarrollo técnico contratado a un centro universitario (34.731 euros.) tienen una deducción adicional del 10%. De esta manera: c) (34.859 + 34.731) x 10% = 69.590 x 10% = 6.959 euros. TOTAL DEDUCCIÓN SOBRE GASTOS EN I+D = a + b + c = 56.028 euros. DEDUCCIÓN APLICABLE A LOS GASTOS DE INNOVACIÓN TECNOLÓGICA: El coste inicial de explotación tienen una deducción del 10% con el límite de 300.506 euros. Por tanto: a) 43.393 x 10% = 4.339 euros. Los gastos derivados de la contratación a un centro público de la realización del prototipo tienen una deducción del 15%. De esta manera: b) 8.114 x 15% = 1.217 euros. TOTAL DEDUCCIÓN SOBRE GASTOS EN I.T. = a + b = 5.556 euros. Total deducciones = 56.028 + 5.556 + 1.217 = 61.548 euros. Límites a la deducción en el Impuesto sobre sociedades: La deducción está limitada al 35% de la cuota íntegra del impuesto pero con la posibilidad de llegar a ser un 45% si los gastos sujetos a deducción superan en un 10% dicha cuota íntegra. Si suponemos que la base imponible del impuesto de la sociedad en el ejercicio (teniendo en cuenta también la integración como ingreso de las subvenciones recibidas y la aplicación en su caso de otras deducciones por doble imposición y bonificaciones, etc.) es de 171.288 euros, la cuota del impuesto en este caso (aplicando el tipo general del 35% al no considerarse empresa de reducida dimensión y, por tanto, sin posibilidad de aplicar un 30% sobre los primeros 90.152 euros de beneficio). Cuota íntegra = 171.288 x 35% = 59.951 euros. Como el total de gastos sujetos a deducción superan el 10% de la cuota íntegra (5.995 euros) podemos aplicar el límite del 45%. De esta manera la máxima deducción en concepto de I+D e I.T. será: 59.951 x 45% = 26.978 euros. Por lo que del total de deducciones (61.548 euros) durante el ejercicio 2000 sólo nos podremos deducir 26.978,- euros y el exceso (34.570 euros) lo podremos ir deduciendo en los 10 ejercicios siguientes o en 5 ejercicios (según el caso) y siempre respetando el mismo límite. (Se aplicará el límite de los 5 años en el caso de empresas que inicien el periodo impositivo con anterioridad al 25 de junio del 2000 y 10 años si lo inician a partir de esta fecha). 194 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Con la deducción a aplicar la nueva cuota del impuesto de sociedades a pagar será: 59.951 – 26.978 = 32.973 euros (representa un tipo impositivo del 19.25%). Y, por otra parte, se reduce el coste que representa para la sociedad dichas inversiones, consiguiéndose la máxima deducción si la sociedad consigue aplicar el exceso de deducción de este ejercicio en los 10 años posteriores. Comparación de la normativa anterior y la actual: ANTERIOR ACTUAL 20% S/media 40% S/exceso 30% S/media 50% S/exceso % deducción adicional - 10% según concepto % deducción I.T. - 10% / 15% según concepto 35% 35% / 45% según casos % deducción I+D % límite s/ cuota íntegra CON EL EJEMPLO Deducción total ** 38.290 euros 61.548 euros Deducción a aplicar** 20.983 euros 26.978 euros ** En I+D: (107.754 – 24.040) x 40% + 24.040 x 20% = 38.290 euros. Total deducciones = 38.290 euros. Aplicando el 35% de límite de la cuota íntegra: 59.951 x 35% = 20.983 euros. 4. Nombres de dominio 4.1. Concepto e historia El registro de nombres de dominio es el mecanismo por el que se suscribe un usuario de un equipo conectado a Internet a una dirección URL. En consecuencia los nombres de dominio son meros referentes de direcciones sin tener en principio ninguna vinculación con una persona física o jurídica, una marca, un producto o servicio o segmento de mercado. En resumen podemos concluir que se trata de una relación unívica entre una dirección URL y un usuario de un equipo conectado a la red. El sistema de nombres de dominio convierte los nombres (las direcciones) en un correspondiente número de IP necesario para que la información fluya adecuadamente a través de la Red. El sistema internacional regulador del proceso se conoce como Domain Name System (DNS). Internet, tal como la conocemos ahora bajo el protocolo WWW. (3W), es un sistema absolutamente descentralizado que funciona razonablemente bien, al margen de cualquier tipo de control por parte de estados, gobiernos, empresas y organizaciones supranacionales. La excepción a la regla es el organismo encargado de administrar las DNS y ello por estricta exigencia de la función, por cuanto necesariamente alguien debía encargarse de regular la adjudicación de las direcciones. El organismo encargado de ello en el origen fue la IANA (Autoridad de Números Asignados en Internet) que hasta 1998 gozó del rango de empresa pública neutral y fue gestionada por JOHN FOSTER de la Universidad del Sur de California. A partir de dicha fecha el Gobierno USA forzó la privatización de la empresa que define una estructura superior denominada ICANN (International Corporation for Asigned Marco jurídico 195 Names and Numbers) y comienza a aplicarse el PRINCIPIO DE ADJUDICACIÓN conocido como first come, first served (servir primero al primero que llega) y con ello se inicia la carrera de “registros especulativos” dando pie a la figura del CYBEROKUPA, que prolifera lógicamente de modo alarmante. Este fenómeno, unido al hecho de que los criterios de la legislación sobre Marcas Registradas no funcionan en Internet (nos referimos a los criterios de separación en función de emplazamientos físicos o sectorización de mercados), ha propiciado en los últimos años una agresión generalizada al PRINCIPIO DE UNIVERSALIDAD que es uno de los pilares de Internet. A pesar de ello, resulta esencial que los nombres de dominio estén al alcance de la gente y de las empresas normales. Otra de las carencias que inciden sobre el particular consiste en la falta en Internet de algo parecido a una convención internacional al modo de las muchas que existen en torno a las Marcas Registradas. El W3C (WWW COMITEE) se ha mantenido deliberadamente al margen de este conflicto para evidenciar cómo y porqué el ÚNICO PUNTO INTERVENIDO genera trabas y disfunciones en un SISTEMA DESCENTRALIZADO en todo lo demás, que además funciona razonablemente bien sin controles de ningún tipo. El W3C entiende que el ICANN es un interesado atractor, si no más, de las tensiones e intentos políticos por controlar la Red. En opinión de Tim Berners Lee (padre del protocolo WWW); «el Web tan sólo tiene un “talón de Aquiles” centralizado mediante el cual puede ser hundido o centralizado», y lógicamente se refiere al ICANN.19 4.2. Operativa del sistema El DNS (Domain Names System) funciona como un conjunto jerarquizado de ordenadores que pueden ser consultados para encontrar una determinada DIRECCIÓN DE INTERNET. En lo alto de la jerarquía hay cinco ordenadores que almacenan la lista maestra. Los nombres de dominio (las direcciones) se adjudican de un modo delegado (según una estructura piramidal). Los DOMINIOS DE ALTO NIVEL; .com, .org, .edu, .net, .mil, .int, y .gob, proporcionan indirectamente control sobre todos los nombres de dominio que “cuelgan” de ellos. Además a la fecha de redacción de este texto se consideran también dominios de primer nivel todos los identificadores de países (dos letras), por ejemplo España .es y los genéricos .biz (octubre de 2001 para España), y .info (septiembre de 2001 para España). Además están en ciernes los siguientes dominios de primer nivel; .aero, .coop, .pro y .museum. Con la implantación de todos ellos se conseguirá una segmentación sectorial de las direcciones, lo que lógicamente complicará exponencialmente las estrategias de los “ciberokupas”. Y todo ello supone entre otras cosas el final del abrumador predominio de las .com. Actualmente de los 35 millones de dominios registrados, más de 22 millones corresponden a .com. Respecto del dominio .pro adjudicado a los profesionales se prevé un posterior desglose por especializaciones .med .pro, .law.pro y cpa.pro (de chartered public accountant). Los DOMINIOS DE SEGUNDO NIVEL se identifican por el grupo de letras comprendidos entre el primer punto, comenzando por el final, hasta el segundo punto (en el mismo sentido). La asignación de estos nombres de dominio corresponden en el ámbito del .es a ES.NIC que ha delegado en dos únicos AGENTES REGISTRADORES; Nominalia e Interdomain. La longitud mínima requerida para administrar dominios de segundo nivel es de tres caracteres, aunque se recomienda una extensión entre 5 y 63 caracteres. La regulación del registro .es se contempla en el caso de España en un única norma, la O.M. del Ministerio de Fomento de 21 de marzo de 2000. De acuerdo con esta norma, en España la asignación de nombres de dominio tiene carácter de SERVICIO PÚBLICO. En nuestro país, además del principio genérico “first come, first served”, se requiere que la solicitud venga coordinada con los demás registros públicos, es decir, el Registro Mercantil Central y la Oficina Española de Patentes y Marcas. 19 BERNESR-LEE, Tim. “Tejiendo la red”. Ed. Paidos. BCN, 2000. 196 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas El Registro que tutela en España la adjudicación de los nombres de dominio es el ES.NIC que opera de puertas adentro bajo la denominación “Red.es” como entidad pública empresarial adscrita al Ministerio de Ciencia y Tecnología a través de la Secretaria de Estado de Telecomunicaciones y para la Sociedad de la Información. La cuantía de las tasas corresponden al equivalente a 100$ USA (108 euros + -) para el primer año y aproximadamente 72 euros como cuota de mantenimiento anual en años posteriores. 4.3. Nuevos TLDs (Top Level Domain) para Internet En la Red cada terminal tiene asignado un código de identificación, denominado dirección IP, se trata de un número complejo, que no resulta operativo para la identificación rápida de los usuarios. Sucede en Internet como en la vida normal, donde nos resulta más fácil recordar el nombre de una persona o una empresa que su correspondiente DNI o CIF. Para resolver este escollo se creó en sus orígenes el DNS (Domain Name System), servicio que asigna de modo biunívoco un nombre a cada dirección numérica IP. Su estructura es de jerarquía piramidal y en la cúspide se encuentran los TLDs (o Top Level Domains, en castellano Dominios de Alto Nivel), que corresponden a los tradicionales .net, .edu, .com, .org, .mil,... y a las dos iniciales por país. Como reacción a la creciente actividad de los “ciberokupas”, el ICANN comenzó hace pocos meses a facilitar la aparición de nuevos TLDs como uno de los sistemas, que no el único, para poner coto a tan agresiva práctica: .aero, .biz, .coop, .info, .museum, .name y .pro. El ICANN ha anunciado que planea negociar acuerdos de registro con los aspirantes seleccionados para finales de año. Se prevé que los nuevos TLDs no serán operativos totalmente hasta el segundo trimestre de 2001, aunque en algunos casos el registro podrá ser antes de esas fechas. Hasta que los acuerdos no hayan finalizado y algunos hayan sido anunciados, muchos detalles a tener en cuenta en la implantación de estos nuevos TLDs, incluyendo costes, se mantendrán inciertos. En cada caso, el registro de un TLD entregado operará en la base de datos centralizada y autorizada de nombres de dominio en ese nivel dado (por ejemplo, todos los nombres registrados en el TLD .com), y se pondrán restricciones y calificaciones para el registro. Cada registro autorizará a un número de “registradores” a interactuar con el registro por un lado y con los nombres de dominio del resto de “registrantes” por otro, para registrar nombres de dominio demandados por los registrantes. Una vez que los nuevos TLDs hayan sido formalizados, será prudente considerar el registro de nombres de dominio adicionales bajo los TLDs apropiados para preservar el valor de los nombres de dominio que actualmente están en uso y los derechos de las marcas inherentes a esos nombres así como también para limitar nuevas oportunidades para los “ciberokupas” que puedan registrar el nombre de dominio idéntico o similar a esas marcas. Se puede acceder a nuevos detalles sobre el proceso de selección desde la web del ICANN (www.icann.org/tlds). .aero El TLD .aero está controlado por la Societe Internationale de Telecommunications Aeronautiques SC (SITA). Sólo miembros de la industria del transporte aéreo (incluyendo líneas aéreas, aeropuertos, industrias del espacio aéreo y organizaciones y suministradores relacionados) serán autorizados para el registro de este dominio. Para el período de implementación inicial, el dominio .aero sólo será atribuido a líneas aéreas y a aeropuertos. Mientras que el registro sólo esté al alcance de marcas ya establecidas y no esté abierto al público general, SITA ha anunciado que dará prioridad al segundo nivel de dominios con nombres ya establecidos y tratará a las nuevas demandas como segunda prioridad. .biz Se pretende que .biz sea un TLD general para usos comerciales y, esencialmente, una alternativa para el TLD .com. Será administrado por JVTeam. El TLD .biz está abierto Marco jurídico 197 para cualquier persona, organización o entidad que desee anunciar su negocio y/o llevar acabo actividades comerciales a través de Internet. JVTeam actuará como el operador del registro, y todos los registradores acreditados por el ICANN tendrán igual acceso a sus servicios de registro. El poseedor del nombre de dominio tratará con el registro a través de esos registradores. Como el TLD .biz está restringido sólo a usos comerciales, se les requerirá a los solicitantes que garanticen que su web estará enfocada a propósitos comerciales y que faciliten una breve descripción de sus intenciones sobre el nombre de dominio. Bajo este sistema, se les permitirá a los solicitantes que posean una marca que registren una palabra o un grupo de caracteres con el registro por una cuota, y entonces se les notificará si un nombre que contenga esa palabra o esos caracteres se ha registrado previamente. .coop El TLD .coop, patrocinado por la National Cooperative Business Asociation (NCBA), es un TLD especial dedicado a empresas cooperativas. La NCBA y otras asociaciones cooperativas de ámbitos nacionales reconocidas internacionalmente determinarán los parámetros para la elección de las solicitudes. Poptel Limited actuará como el operador del registro, y también hará de registrador base en los trece meses iniciales de la operación. Los registros iniciales bajo el TLD .coop, que comenzará aceptando sólo dominios de segundo nivel, se limitará a una parte de los miembros de la NCBA y de la ICA. .info El patrocinador del TLD .info es Afilias. La intención es que este TLD sea de ámbito general, un nombre de dominio global sin restricciones. Un consorcio de diecinueve registradores del ICANN posee Afilias, éste actuará de operador de registro. Afilias planea ofrecer a todos los registradores acreditados por el ICANN la oportunidad de registrar los nombres de dominio en el TLD .info. Afilias también planea ofrecer un período de auge que empezará noventa días antes del registro en general, que permitirá a los dueños de las marcas pre-registrar sus marcas como nombres de dominio. La posibilidad de entrar en este pre-registro se limita a las marcas establecidas antes del 2 de octubre del 2000 y que tengan un efecto nacional en todo su país. Después de este período, las masivas solicitudes iniciales se manejarán con una tanda de procesos de acercamientos y con un mecanismo estandarizado de selección. .museum El TLD .museum está patrocinado por la Museum Domain Management Association (MDMA), y el registro está abierto a entidades que pertenezcan a la definición de museo que tiene en cuenta el International Council of Museums’ (ICOM), la cual incluye sitios y reservas históricos y naturales. El CORE Internet Council of Registars, actualmente un registrador acreditado por el ICANN, funcionará como el operador del registro. Después, se creará una entidad no lucrativa independiente para este propósito. Para prevenir confusiones, se ha planeado el uso de códigos de países como designaciones de segundo nivel (partiendo de la base de que muchos museos comparten ciertas palabras), y CORE considerará otras peticiones de segundo nivel apropiadas. Por la naturaleza especial del TLD .museum, no habrá un período de auge o un tratamiento especial durante la fase inicial. .name El dominio .name, administrado por Global Name Registry, Ltd., da soporte a nombres de dominio personales que correspondan al nombre del usuario para el e-mail y su web personal. El TLD .name tiene como usuarios a las personas que están opuestas a las corporaciones o a otras entidades. Global Name Registry será el operador del registro, 198 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas y todos los registradores acreditados por el ICANN serán invitados a ser registradores del TLD .name. Los registros del TLD .name no serán posibles en el tercer nivel, dado que el Global Name Registry planea controlar los nombres de dominio de segundo nivel, los cuales contendrán nombres de familia comunes. La visión actual es la de facilitarle al mayor número de personas posible con el mismo apellido que compartan el mismo nombre de dominio (no hay restricciones sobre quién puede registrar un nombre de dominio .name). No obstante, se requerirá que los registradores verifiquen si los nombres están registrados por personas que tengan algún derecho sobre ellos. Las personas pueden registrar tanto el nombre y apellido legales como un alias. El Global Name Registry ha especificado que algunos nombres que puedan causar confusión o dañar los derechos de otras personas están prohibidos. 4.3.1. La creación del dominio de nivel superior de internet .eu La Unión Europea, en el largo camino de configuración de su unidad económica y política, ha establecido como objetivo básico en el ámbito de Internet el lograr la gestión de un TLD exclusivo que identifique a los millones de usuarios, empresas y particulares, ubicados en su territorio. Por ello ya en febrero de 2000 elaboró un amplio documento, que establecía las prioridades y estrategia para la consecución del dominio .eu. • Resumen y conclusiones: (del documento de 2000). En este documento se debate la creación de un dominio de nivel superior ccTLD para la Unión Europea: .eu. La tesis que en él se sostiene es que la creación de este dominio reforzaría la imagen y la infraestructura de Internet en Europa, tanto a efectos de las instituciones europeas y de los usuarios privados como a efectos comerciales, incluido el comercio electrónico. La expansión del espacio de nombres de dominio de Internet que se previó en 1996 no ha tenido lugar por varias razones, y el tema sigue presente en el orden del día de la nueva organización ICANN. • Introducción: El uso de Internet sigue en rápido aumento en todo el mundo y, a la hora actual, especialmente en Europa. También están transformándose de forma significativa las características de tal uso, al ofrecerse nuevas categorías de información y servicios que constituyen nuevas oportunidades aprovechadas por distintos grupos de usuarios. El comercio electrónico, tanto entre empresas como entre una empresa y el consumidor representa un área nueva y de gran importancia. Buena parte de la información disponible para el público y el acceso a los servicios públicos se ofrece de forma cada vez más generalizada a través de Internet. Estas tendencias se encuentran todavía en una fase inicial de su desarrollo. No sabemos hasta dónde llegarán en los próximos años. Sin embargo, es evidente ya que, suceda lo que suceda, dentro de cinco años habrá en Europa una Internet muy distinta de lo que es ahora, e inconmensurablemente más grande. El sistema de nombres de dominio (DNS) de Internet es un elemento importante para la identificación y localización de sus usuarios que, pese al rápido crecimiento de la red y a los varios años dedicados a debatir la cuestión, no se ha expandido ni desarrollado en consonancia con este crecimiento. En Europa, los usuarios de Internet han heredado un conjunto de dominios de nivel superior nacionales (TLD) y tienen la responsabilidad de registrarse en los contados dominios de nivel superior genéricos (TLD) que actualmente gestiona la empresa NSI bajo contrato del Gobierno de Estados Unidos. No se ha tomado ninguna decisión con respecto a la creación de nuevos Marco jurídico 199 TLD, como se propuso ya en 1996/97, aunque un importante número de empresas europeas se incorporaron al consorcio CORE con esta idea. • El dominio .eu y el comercio electrónico: ¿Desean formular los usuarios empresariales potenciales, incluidas las pequeñas y medianas empresas, alguna sugerencia en cuanto a cómo gestionar el dominio .eu con vistas a optimizar su aportación al desarrollo del comercio electrónico en Europa? Muchas empresas de la Unión Europea están interesadas en desarrollar sus actividades a través del comercio electrónico. La Comisión y varios Estados miembros, incluso, se han embarcado en la popularización de este proceso, en particular entre la mediana y pequeña empresa. El comercio electrónico promete convertirse en una forma económica y competitiva de hacer negocios en todo el mundo con proveedores, contratistas y clientes, así como directamente con el consumidor. La Comisión aborda actualmente diversos aspectos jurídicos y reglamentarios del comercio electrónico con vistas a facilitar este tipo de actividad, y en particular a crear un marco jurídico y reglamentario lo más uniforme posible dentro del mercado interior. El comercio electrónico podría convertirse asimismo en un elemento importante de los intercambios en importación y exportación, en particular de los servicios que pueden prestarse en línea. En este contexto, se ha evidenciado ya cierto interés por el TLD de Internet .com, aunque este dominio, en principio de alcance mundial, sea en la práctica predominantemente norteamericano. Además, parece que se encuentra ya saturado, al menos en lengua inglesa. Una ventaja del dominio .eu sería la de ofrecer a todas las empresas de Europa una identidad europea coherente, y al mismo tiempo espacio abundante para los registros de dominio de segundo y/o tercer nivel en un futuro previsible y en una amplia gama de lenguas distintas del inglés utilizables en el comercio transfronterizo e internacional. La forma concreta en que se utilice el dominio .eu en el comercio electrónico dependerá en buena medida de la demanda del mercado, pero parece razonable esperar que se convierta en una plataforma importante cuando el comercio electrónico se consolide en el mercado comunitario, dada la amplia gama de nombres útiles que quedarán disponibles, inicialmente y durante algún tiempo, en todas las lenguas. • El dominio .eu y los TLD nacionales en los Estados miembros: ¿Debe tenerse en cuenta otras consideraciones en torno a la relación entre el Registro .eu que se propone y los Registros TLD nacionales de los Estados miembros? Una gran proporción del número total de registros de la Unión Europea se encuentra en los TLD nacionales de los Estados miembros. Lo normal es que esta situación persista, dado que los registros TLD nacionales se prestan particularmente al fomento de un alto grado de universalidad en el acceso de la población general a Internet. En este contexto, podría proponerse como especialización adecuada que el Registro .eu se centrara en las aplicaciones a las que pueda ofrcer un valor añadido perceptible con respecto a los TLD nacionales. No se prevé que los códigos nacionales se utilicen como dominios de segundo nivel en .eu (p. ej., .se.eu, .nl.eu, etc.), ya que ello supondría cierta duplicación e iría en detrimento de la especifidad del dominio .eu para las aplicaciones paneuropeas transfronterizas. Por otra parte, los miembros de los Registros TLD nacionales y sus agentes deben tener la oportunidad de convertirse en registradores del Registro .eu. De hecho, el ofrecer al mercado del DNS una opción a efectos de registro constituye una de las principales ventajas de la presente propuesta. Sin embargo, el crecimiento de los registros comerciales europeos en otros TLD, incluido .com, demuestra la necesidad y oportunidad de contar con una alternativa a los dominios TLD nacionales. 200 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Las organizaciones y entidades europeas cuyas actividades se extienden a más de un Estado miembro o a agrupaciones regionales transfronterizas podrían estar particularmente interesadas en utilizar el dominio .eu en cuanto estuviera disponible. La situación a mediados del año 2002. La Comisión Europea, tras dos años de intentar que el ICANN delegue la potestad de otorgar dominios.eu en el ámbito de su territorio, ha regulado los trámites internos para ello en mayo 2002 y ha dispuesto un registro que organice, administre y gestione dicho registro (Top Level Domain) en función del interés general. En el que se podrán registrar: - Las empresas que tengan su domicilio social o centro de actividad efectivo en la U.E. - Las personas físicas residentes en la comunidad europea. Suena cuando menos un poco ingenuo el que la U.E. regule una actividad sin disponer de las competencias necesarias para su pleno desarrollo, pero sin duda ello obedece a la voluntad de no quedarse atrás respecto de los Estados Unidos. En este sentido el reglamento persigue; “aportar un vínculo claramente identificador con la comunidad, el marco jurídico a ello asociado y el mercado europeo”. Además se persigue resolver la mayor parte de los trámites que en su día sean necesarios para que, tras haber alcanzado la competencia por delegación del ICANN, se pueda adjudicar rápidamente los dominios pre-registrados. La norma que define la figura del futuro registro prevé un cierto control previo para intentar proteger en el proceso los derechos de propiedad intelectual e industrial. También contempla en caso de conflicto futuro su resolución por vías extrajudiciales. Un argumento más que refuerza nuestra tesis de que también en el ámbito de las Nuevas Tecnologías la función crea al órgano. El referido registro actuará sin ánimo de lucro y aún no se conoce el país de la U.E. en que se ubicará. 4.4. Gestión y proceso de registro en el dominio de primer nivel .es Recordemos que los dominios genéricos de primer nivel se rigen por el principio “first come, first served”, cosa que no se mantiene en la gestión del dominio .es, administrado por la entidad es.NIC a través de la empresa pública Red.es adscrita al Ministerio de Ciencia y Tecnología. La regulación española se limita a la Orden Ministerial del Ministerio de Fomento de 21 de marzo de 2000. Los Agentes Registradores operativos en España se limitan a dos; NOMINALIA e INTERDOMAIN, estando por el momento pendiente el desarrollo normativo que regule su actividad. Los criterios aplicados en España para adjudicar nombres de dominio son los siguientes: ∑ El nombre exacto de la sociedad que figure en la escritura pública de constitución. ∑ Un acrónimo del nombre de la sociedad que sea fácilmente identificable con éste. ∑ Cualquier denominación o marca comercial legalmente registrada en la Oficina Española de Patentes y Marcas. Lógicamente las solicitudes para registrar el dominio .es admiten todas las grafías propias de los alfabetos de las diferentes lenguas peninsulares (ñ, ç, diéresis, etc) pero, además, desde el 26 de febrero de 2001, todos los dominios de primer nivel (incluidos los primitivos originarios) admiten cualquier grafismo de carácter perteneciente a cualquier lengua por muy exótica que esta sea; albanesa, turca, griega o cualquiera de las africanas escritas. La novedad es muy importante para la comunidad castellanohablante por cuanto según datos de 1998 tan sólo el 2% de las páginas web están realizadas en castellano frente a un 80% que lo están en inglés. Frente a ello todos los expertos lingüistas apuntan que el Español será el idioma más hablado en el siglo XXI, principalmente por la eclosión de la Comunidad Hispana en los USA. Según información de El Mundo, dos días después de la comentada apertura de grafías, un estudiante venezolano, de nombre Rufi, Marco jurídico 201 logró registrar el dominio ESPAÑA.COM (nótese que la piratería no abarcó a lo que sería más lógico ESPAÑA.ES por los requisitos sobreañadidos para operar con este dominio). 4.4.1. La regulación en España del registro de nombres adscritos al dominio de primer nivel .es. La actualización en julio 2001 La norma reguladora del proceso de registro y de sus actores es la O.M. de 21 de marzo de 2000, que establece el marco general de funcionamiento del sistema de asignación de nombres de dominio de Internet en nuestro país. La asignación corresponde a ES.NIC (ES. Network Information Centers) y la asignación de los dominios de segundo nivel corresponde a la RED TÉCNICA ESPAÑOLA DE TELEVISIÓN (Red.es). El ICANN reconoce al menos dos entidades Españolas; Interdomain SA y Nominalia SL, aunque falta la regulación de su funcionamiento por parte del Ministerio de Fomento. Los requisitos que debe cumplir un nombre para que se le asigne un dominio son, de acuerdo con la norma de referencia: a) Inexistencia de una asignación previa del nombre que se trate. b) Que el conjunto de caracteres a registrar esté compuesto por las letras del alfabeto, los dígitos numéricos y (-) signo que no puede aparecer al principio, ni al final. c) Que el grupo de caracteres a registrar no esté prohibido, ni incluir términos o expresiones que resulten contrarias a la ley, a la moral o al orden público. La FUNCIÓN DE ASIGNACIÓN consiste en la implantación, mantenimiento y aportación de la base de datos necesaria para el funcionamiento del sistema de nombres de dominio de Internet, bajo el código del país (.es). Los resultados de dicha función de asignación pueden ser objeto de recurso administrativo ante la Secretaría General de Comunicación del Ministerio de Fomento (ver más adelante la O.M. de julio 2001). Dicha Función de Asignación debe actuar necesariamente de forma coordinada con los datos que figuran en el Registro Mercantil, la Oficina Española de Patentes y Marcas y los demás registros nacionales o internacionales de carácter público. Curiosamente, la Disposición Transitoria Tercera de la O.M. que comentamos dispone que las personas físicas no podrán recibir asignaciones de nombres de dominio hasta transcurridos diez meses desde la entrada en vigor de la norma, es decir, 1 de febrero de 2001. Por último, la Disposición Transitoria Cuarta establece que todos los nombres asignados al dominio (.es) antes de la entrada en vigor de la norma, conservarán su validez, sin omitir que quedan sujetos a todo lo dispuesto en aquélla. La velocidad de los acontecimientos en el aumento de las TIC’s obliga a replantear constantemente los problemas y lógicamente también las soluciones. El Derecho siempre evoluciona a remolque de la realidad y cuando ésta se acelera, aquel también aumenta sus revoluciones. Como muestra traemos aquí la O.M. del Ministerio de Ciencia y Tecnología de 12 de Julio 2001 por la que se modifica la Orden de 21 de Marzo de 2000, por la que se regula el sistema de asignación de nombres de dominio de Internet bajo el código de país que corresponde a España (.es). La referida O.M. se ha publicado en el BOE Nº174/2001 del 21 de Julio del mismo año y en su exposición motivada figura el texto que transcribimos a continuación: “El crecimiento del número de usuarios de Internet en España y la demanda cada vez mayor de nombres de dominio bajo el «.es» hace necesario elaborar una regulación más profunda de dicho sistema de asignación de nombres de dominio, mediante la adopción del Plan Nacional de Nombres de Dominio, que sustituirá en su día, a la Orden ministerial de 21 de marzo de 2000. En tanto se elabora y elabora dicho Plan, es preciso introducir algunas modificaciones en la citada Orden de 21 de marzo de 2000, fundamentalmente para corregir ciertos errores detectados en la misma, que dificultan la adecuada aplicación de la norma.” 202 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Como se reconoce en esta exposición, la norma que comentamos nace con una clara vocación de transitoriedad entre la O.M. (primera) de marzo de 2000 ya comentada anteriormente y el futuro Plan Nacional de Nombres de Dominio. La nueva O.M. dispone de un único artículo que comentaremos a continuación y de dos disposiciones. La Disposición Adicional única traspasa las competencias administrativas sobre la materia desde la Secretaría General de Comunicaciones del Ministerio de Fomento a la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, encuadrada en el Ministerio de Ciencia y Tecnología. Por su parte, la Disposición Transitoria única establece la vigencia de los nombres de dominio asignados antes de la entrada en vigor de la nueva O.M., cosa que ocurrió el 22 de julio de 2001. Las novedades incorporadas en la normativa reguladora de los nombres de dominio adscritos a .es y que se recogen en el artículo único de la O.M. que comentamos son las siguientes: a) La Entidad Pública Empresarial Red.es podrá designar nombres de dominio especiales en caso de manifiesto interés público, facultad que es extensiva a los nombres genéricos y topónimos. Para ello se exige que los solicitantes presenten junto a su petición una memoria explicativa de los fines que vayan a ser desahuciados, así como de los contenidos y servicios que pretenden abarcar. Todo ello desde una perspectiva de manifiesto “interés público”. b) Se suprime el Sistema de Recursos que venía resultando inoperante en realidad. c) Permitir el acceso al registro .es a los extranjeros residentes en España, así como a las primeras sucursales de sociedades extranjeras, debidamente inscritas en el Registro Mercantil. d) Multilingüismo representado por la posibilidad de utilizar la letra “ñ” en la configuración de nombres de dominio, siempre que los mecanismos técnicos exigidos para ello estén operativos. Con ello se supera el monopolio del alfabeto inglés en la regulación de los dominios. e) Con respecto a las Marcas Comunitarias, la nueva norma contempla la posibilidad de acceder a un nombre de dominio .es, que se corresponda con una marca comunitaria legalizada e inscrita en la Oficina de Armonización del Mercado Interior (OAMI). 4.4.2 Protocolo para el registro de nombres bajo el dominio .es Se recoge la normativa de la O.M. de 21 de marzo de 2000, según la normativa de Nominalia S.L. Normas básicas Sólo está permitido registrar un único dominio .es por organización. El nombre del dominio debe corresponder al nombre de la organización o empresa registrada en el Registro Mercantil de España, y/o un acrónimo lógico de la misma, o un nombre de marca registrada en OEPM. ¿Quién no puede registrar su dominio .es? ∑ Las personas jurídicas u organizaciones no constituidas legalmente en España. ∑ Las sucursales, departamentos, delegaciones, secretarías, consejerías, concejalías o demás partes de una organización. ¿Qué nombres no se pueden registrar? ∑ Nombres que se compongan exclusivamente de un topónimo (nombre propio de un lugar). ∑ Nombres genéricos (no se podrá registrar ningún nombre que aparezca en el diccionario). ∑ Nombres que incluyan términos o expresiones que resulten contrarios a Ley o al orden público, ofensivos o malsonantes. ∑ Nombres que coincidan con un nombre de protocolo, aplicaciones y terminología de Internet. Marco jurídico 203 ∑ Nombres que se asocien de forma pública y notoria a otra organización, acrónimo, o marca, distintos de los del solicitante del dominio. ∑ Nombres que se compongan exclusivamente de nombres propios o apellidos, salvo cuando se correspondan literalmente con una marca o nombre comercial registrado en la OEPM a nombre de la organización del solicitante del dominio. ∑ Nombres que se compongan exclusivamente de una secuencia de dígitos, salvo cuando ésta se corresponda literalmente con una marca o nombre comercial registrada en la OEPM a nombre de la organización solicitante del dominio. En caso de denegación del registro del dominio por alguna de estas causas descritas anteriormente, Nominalia le imputará al solicitante el 25% del precio del registro del nombre, correspondientes a gastos de gestión. Para más información sobre las normas del registro de ES-NIC, consulte su sitio web. La tramitación del registrador puede durar hasta un mes. Nominalia le gestionará el registro de un nombre accediendo al formulario del registro. Usted puede consultar si el nombre de dominio que quiere está disponible. Para realizar la búsqueda, no es necesario introducir el .es, sólo el nombre del dominio a buscar. CONDICIONES Las condiciones generales de Nominalia implican la aceptación y sumisión de las condiciones aquí expresadas: Condiciones generales de Nominalia: 1. El pago del pedido se realizará de acuerdo con las condiciones generales de pago establecidas por Nominalia. 2. Nominalia no efectuará ninguna operación sobre el pedido hasta que no se haya recibido el pago del mismo. Considerará efectivo el pago cuando la entidad bancaria lo acredite. Esto significa que en caso de coincidencia de dos pedidos sobre el mismo nombre de dominio se tramitará el que sea pagado antes, sin tener en cuenta las fechas de los pedidos. (Primero en ser pagado, primero en ser tramitado). 3. Nominalia, una vez iniciados los trámites sobre el pedido, se reserva el pleno derecho de efectuar una penalización por la anulación de los mismos. (Ver condiciones de pago). 4. Una vez iniciados los trámites sobre un pedido, se aceptarán modificaciones sobre el mismo implicando realizar un pedido de modificación adicional. 5. Los pedidos que no sean pagados en el plazo de 7 días, Nominalia los dará de baja automáticamente finalizado este plazo. 6. El solicitante exonera a Nominalia de cualquier responsabilidad hacia terceros derivada del incumplimiento de las obligaciones derivadas de cualquiera de las condiciones. 7. Nominalia Internet, S.L., cumple con la normativa que establece la Ley LORTAD con código 1982600010 asignado por la Agencia de Protección de Datos. (A destacar que la LORTAD fue derogada en diciembre de 1999 por la nueva LOPD). 8. Las notificaciones se harán a los datos proporcionados por el solicitante mediante e-mail. Nominalia no será responsable de la no recepción de estas notificaciones. El solicitante es el responsable de comunicar a Nominalia cualquier modificación sobre los datos. 9. El incumplimiento de cualquiera de las condiciones aceptadas por el solicitante facultará a Nominalia a anular cualquier pedido, pudiendo aplicar de pleno derecho la penalización estipulada. (Ver condiciones de pago). 10. Nominalia no puede garantizar que el pedido realizado por el solicitante sea practicable. 204 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 11. Nominalia se reserva el derecho de modificar las condiciones notificando con antelación el cambio en el web de Nominalia. Condiciones sobre nombres de dominio: 1. La aceptación de estas condiciones implica la aceptación de las Normas y Condiciones impuestas por todas las organizaciones reguladoras de nombres de dominio de Internet. 2. El solicitante certifica que, de acuerdo con su conocimiento, el uso de este nombre de dominio no afecta los derechos de propiedad intelectual de terceras partes. 3. El solicitante acepta que el registro de un nombre no confiere ningún derecho legal sobre el mismo. 4. El solicitante acepta que es el único responsable de la elección de este nombre de dominio y de su posterior mantenimiento. 5. El solicitante acepta que el registro del nombre es con fines legales. 6. El solicitante acepta que es responsable a todos los efectos de cualquier problema sobre los derechos de uso del nombre elegido. 7. El solicitante se compromete a aceptar cualquier posible requerimiento de arbitraje por el registro de un nombre de dominio. 8. Nominalia no actuará como un árbitro para resoluciones de disputas entre el solicitante y terceras partes por el uso del nombre de dominio. 9. En el supuesto de existir un conflicto sobre la atribución de un nombre de dominio, el solicitante se compromete a seguir las normas sobre resolución de conflicto establecidas, en su caso, por el registro responsable de la administración de dominio. Condiciones especiales de preregistro de nombres de dominio: 1. Con la realización del pedido de preregistro, Nominalia procederá al preregistro del nombre de dominio solicitado en su base de datos. 2. El preregistro de un nombre de dominio no implica el registro definitivo del mismo. Cada nombre de dominio preregistrado es añadido a una cola. Esta cola está ordenada mediante el proceso de “primero en llegar, primero en ser servido”. El orden establecido en la cola determina el orden de solicitud de registro que Nominalia efectuará en el momento en que la base de datos del CORE sea operativa para el registro definitivo del nombre de dominio preregistrado. 3. En el supuesto de existir un conflicto sobre la atribución de un nombre de dominio al efectuarse el registro de la base de datos del CORE, el solicitante se compromete a seguir las normas de resolución de conflictos establecidas por el CORE. 4. Nominalia se reserva el derecho a modificar tarifas de precios vigentes. No obstante, cualquier modificación de las tarifas será comunicado al solicitante antes de tramitar el registro del nombre de dominio solicitado. 5. Una vez realizado el preregistro del nombre de dominio, no se llevará a cabo la tramitación de registro definitivo, sin una confirmación previa por parte del solicitante. Nominalia le informará previamente del proceso de registro definitivo del preregistro solicitado. Condiciones de pago: 1. Formas de pago establecidas por Nominalia Internet, S.L.: - Tarjetas de crédito. 2. Si no se indica el número de pedido en cualquiera de las formas de pago que lo requieren, Nominalia no se hace responsable de los problemas que se deriven del hecho. Marco jurídico 205 3. El pago se debe realizar antes de iniciar los trámites de pedido. 4. El pago se realizará en euros. 5. Nominalia se reserva el derecho de anular un registro en caso de que el pago haya sido realizado con métodos fraudulentos o no se haya hecho efectivo. 6. Los pedidos que no sean pagados en el plazo de 7 días se darán de baja automáticamente y sin previo aviso. 7. La anulación de un pedido completado implica la no devolución del pago. 8. la anulación de un pedido en trámite implica una penalización del 25% del total de la factura. 4.5. La solución de conflictos La precaria regulación hasta la fecha relativa al registro de nombres de dominio en Internet ha venido propiciando lógicamente la actividad de los “cyberokupas”, habiendo trascendido en España los conflictos que afectan a las siguientes marcas y empresas: Hipercor.com, Aireuropa.com, Banesto.org, Barcelona.com, por citar algunos de los conocidos. A lo largo de los últimos meses proliferan las cosas de ciberokupación de “dominios limítrofes” que son posicionados privilegiadamente en los buscadores y que consiguen desplazar de modo engañoso a las webs cuyos titulares son los legítimos. Ante estas situaciones cabe recurrir a cualquiera de los sistemas de defensa que exponemos a continuación. De entre todos, recomendamos por su rapidez, eficacia y bajo coste el procedimiento del ICANN conocido como PAO (ver más adelante). A pesar de todo lo más barato es sin duda aplicar una estrategia preventiva (ex-ante) de la mano de un experto que limite de entrada las agresiones de los ciberokupas. 4.5.1. El procedimiento del ICANN Hasta octubre de 1999 la resolución de conflictos se veía abocada a iniciar acciones legales en las más diversas jurisdicciones y tribunales, tanto en España como en el extranjero, en función del domicilio del “cyberokupa” asignado. En la fecha antes referida el ICANN aprueba la normativa reguladora de la RESOLUCIÓN DE CONFLICTOS, conocida como Política Unificada para la Solución de Conflictos (PUSC). El inicio del procedimiento surge con la presentación de la demanda ante su proveedor de entre los seleccionados por el ICANN; la Organización Mundial de la Propiedad Intelectual (OMPI), e- RESOLUTION, The National Arbitration Forum y CPR. Cualquiera de estos proveedores es el que controla todo el proceso, a lo largo del cual el demandante deberá probar como base de su petición cualquiera de los siguiente supuestos: a) Uso del dominio de mala fe frente a mejor y legítimo derecho del demandante. b) Registro de dominio de mala fe que se prueba al demostrar prácticas abusivas propias de los cyberokupas. Estos requisitos se inscriben en un contexto más amplio de modo que el propio Servicio de Arbitraje de la OMPI exige algunos presupuestos para su previo pronunciamiento: 1º Que el nombre de dominio registrado por el demandado SEA IDÉNTICO u ofrezca semejanza que produzca confusión con una marca de productos o servicios. 2º Que el demandado carezca de derecho o legítimo interés respecto del nombre de dominio. 3º Que el nombre de dominio haya sido registrado y usado de mala fe. A continuación se reproduce el cuadro esquemático elaborado por la OMPI en 1999 sobre el procedimiento administrativo del ICANN respecto de las demandas sobre dominios: El procedimiento a seguir por las partes en la controversia es el siguiente: 206 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 1) Presentación de la demanda ante uno de los cuatro proveedores de servicios de solución acreditados por el ICANN, que deberá ser elegido por el demandante. 2) Contestación de la persona o entidad contra la que se ha presentado la demanda. 3) Elección del grupo administrativo de expertos (1 a 3 panelistas) por parte del proveedor de servicios seleccionado previamente. 4) Resolución del/los experto/s y notificación a las partes en controversia, así como a los registradores interesados y a la ICANN. 5) Ejecución de la resolución por los registradores implicados. La ventaja principal del uso de esta vía de resolución frente a la tradicional de la justicia ordinaria es la rapidez y economía del proceso. Otro de los incentivos consiste en que, en este caso, son expertos en el campo del dercho aplicado a las nuevas tecnologías los encargados de pronunciarse sobre la controversia. El proceso se completa en una media de 50 días desde la remisión de la demanda al proveedor de servicios seleccionado hasta la toma de desición por parte del panel de expertos. Este proceso no cierra la vía de recurso ante los tribunales de justicia ordinarios, aunque es incompatible la utilización de los mismos mientras dure el estudio del caso por parte del panel arbitral. Cuadro esquemático elaborado por la OMPI sobre el procedimiento administrativo de la ICANN (al 1 de diciembre de 1999): - El proveedor recibe la demanda: 3 días, fecha de Inicio: 20 días: * El demandante envía una copia de la demanda al registrador. * El proveedor se pone en contacto con el registrador para confirmar el registro del titular del nombre de dominio y los datos necesarios para ponerse en contacto con dicho lugar. * El Registrador deberá impedir la transferencia del registro durante el “procedimiento administrativo pendiente”. - Escrito de contestación: 5 o 10 días: * El proveedor notifica al registrador. - Nombramiento del grupo de expertos: 14 días. - Resolución: 10 días * El proveedor notifica la resolución al registrador. * El registrador notifica al proveedor, a las partes y a la ICANN la fecha de ejecución de la resolución (10 días después). * El registrador ejecuta la resolución y lo notifica a la ICANN y al proveedor. - Ejecución: El total del procedimiento ocupa entre 52 y 57 días. “La OMPI recibió en el 2000, 2.138 casos de resolución de conflictos por dominios internautas. De todos ellos, el 65% (1077 casos) se resolvieron a favor del demandante y la comisión de arbitraje resolvió traspasar el nombre de dominio. Otro 15% fue considerada demanda indebida, por lo que la solicitud de transferencia de dominio fue rechazada y el último 20% restante recoge bien las demandas indebidas, con lo que la solicitud se rechazó de forma automática, cesiones voluntarias del nombre durante el proceso administrativo o un acuerdo en ambas partes. Sin embargo son muchas las críticas que recibe el proceso para resolver este tipo de conflictos, denominado PUSC. En primer lugar el idioma del procedimiento es el mismo que el que se utiliza durante el proceso del registro del dominio, lo que supone un “perjuicio real” para aquellas empresas que se vieron obligadas a registrar sus nombres en idiomas diferentes por limitaciones a las Marco jurídico 207 grafías. Los expertos en la materia coinciden en que hasta que no exista un tratado internacional sobre dominios, la guerra continuará y, si no existe todavía es simplemente porque a Estados Unidos no le interesa. El control de los dominios de Internet es una cuestión demasiado poderosa en sí misma para perderla en bien de la Humanidad”. Este último párrafo corresponde a la opinión de MAYA RABASCO publicados en TECNOLOGIK@ de fecha 3 de mayo de 2001. EL PROCEDIMIENTO ADMINISTRATIVO OBLIGATORIO (PAO). Una de las contradicciones de Internet es el carácter eficazmente estructurado de su red de ordenadores conectados mediante los protocolos TCP/IP que se enfrenta a un sistema vocacionalmente ácrata en su operativa. La eficacia de su funcionamiento ha provocado la necesidad de sustituir los números de código del referido protocolo, que son largos y (entre 4 y 12 dígitos), por un nombre fácilmente identificable. De ahí nació el ICANN como respuesta capaz de satisfacer una real necesidad. Y de este modo nacieron las DNS (Domain Name System). Pero las contradicciones, aun las virtuales, siempre provocan disfunciones al proyectarse en la realidad y en nuestro caso la solución dada al problema, al trabajar en un entorno desregulado, ha provocado la aparición de un sinnúmero de agresiones al Derecho de Propiedad (en sentido tradicional) de multitud de marcas y denominaciones personales y societarias. La novedad de este problema derivado ha obligado a recurrir a nuevos mecanismos de resolución de conflictos. En primer lugar, se han activado algunos sistemas ya conocidos como el arbitraje, que tenían un papel más bien secundario en el mundo real de las disputas y discrepancias jurídicas. Posteriormente se ha recurrido a nuevas soluciones a partir de un viraje radical en la estrategia por parte del ICANN. Como es sabido, existen dos formas para superar los problemas: evitarlos (posición ex-ante) o resolverlos (posición ex-post). Es la vieja polémica enmarcada por el binomio Seguridad “versus” Libertad, que desde la Filosofía invadió desde siempre la Ciencia Política, la Sociología, la Economía y también el ámbito del Derecho. En el caso que nos ocupa, el ICANN decidió en agosto de 1999 variar su tradicional DNDP (Domain Name Dispute Policy) basado exclusivamente en el principio “first come, first served” por la que bautizó como Política Uniforme de Solución de Controversias (PUSC), todo ello a partir de las presiones y recomendaciones de la OMPI. La PUSC se diferencia profundamente de la vieja DNDP y a modo de ejemplo podemos señalar que no exige identidad entre “dominio” y “marca” y que el dominio en litigio no se pone “on hold” y su primer titular puede continuar usándolo durante el procedimiento. La esencia de la nueva PUSC es el PROCEDIMIENTO ADMINISTRATIVO OBLIGATORIO (PAO), que se estructura a partir de tres documentos: a) La Política, que concreta el ámbito de su aplicación. b) El Reglamento. c) Los Reglamentos adicionales. Éstos dos últimos contienen la regulación del procedimiento de técnicas generales (b) y en detalle (c). Así la Política determina que para que pueda llevarse a cabo una PAO deben darse necesariamente tres circunstancias: 1º. Identidad o similitud capaz de confundir entre un nombre de dominio y una marca. 2º. Falta de interés legítimo (legitimación suficiente) por parte del demandado. 3º. Registro y su utilización de mala fe. A destacar que los tres requisitos anteriores son acumulativos y que la carga de la prueba recae en el demandante. 208 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Para una mejor comprensión de la novedad conceptual del PAO cabe señalar la que ha dado en llamarse la “Triple Negación”; no es judicial, no es mediación y no es arbitraje. A pesar de esta radical posición, casi bíblica, hay que advertir que las decisiones derivadas del PAO son plenamente jurídicas o de Derecho, como se deriva de los conceptos eminentemente técnico-jurídicos, que sustentan tanto al procedimiento como a sus conclusiones; marca, buena fe, derecho o interés legítimo, por no citar otros más y limitarnos a aquellos que están incorporados en los tres requisitos anteriores. Ha llegado el momento de detallar y comentar las características más relevantes del PAO y para ello seguiremos como guía el excelente trabajo “Política uniforme para la resolución de conflictos en materia de nombres de dominio” del Profesor Ramón Casas Vallés, cuyo texto completo se localiza en: http://campus.uoc.es/web/esp/uoc/ca-sas_imp.html. 1º. LA OBLIGATORIEDAD DE ACEPTAR EL PAO, en el marco de la PUSC a partir de la arquitectura contractual del sistema. En la práctica quiere decir que la aceptación de la PUSC es requisito necesario para acceder al dominio. En ello radica la fuerza del sistema. 2º. LA COMPATIBILIDAD CON LA VÍA JUDICIAL. Ello supone una diferencia abismal con el arbitraje. Dice el Profesor Casas sobre el particular: Es importante destacar al respecto que una vez promulgada la conclusión del PAO, cualquiera de las partes, o las dos, pueden recurrir a la vía judicial sin que el procedimiento tenga que condicionar el devenir de esta nueva vía. 3º. LA EJECUTIVIDAD CONDICIONADA DE LA DECISIÓN. Es la continuación o segunda derivada del requisito antes descrito, en lo relativo a la situación del dominio respecto al titular, por cuanto la decisión del grupo de expertos vincula al registrado definitivo, protegido por la arquitectura técnica y contractual del sistema. Estas tres características atribuyen al PAO una nueva naturaleza que es clara expresión de la eficacia en relación con los fines para los que se ha desarrollado. Sin duda estamos ante un nuevo instrumento jurídico propiciado por los condicionantes técnicos del entorno objetivo en que actúa. Las decisiones o conclusiones del PAO no son lógicamente “sentencias” y se conocen como Alternative Dispute Resolution (ADR), cuyas características procedemos a detallar con sus luces y sombras, de nuevo siguiendo el esquema del ya antes citado trabajo del Profesor Casas. 1. NEUTRALIDAD, INDEPENDENCIA E IMPARCIALIDAD. Hay que pensar que el carácter transnacional de las decisiones del PAO no fomenta la parcialidad de los órganos judiciales marcados por una fuerte vinculación nacional. Como alternativa se recurre al sistema por el que un proveedor de servicios, imparcial en principio, selecciona al llamado Grupo de Expertos. La imparcialidad e independencia de estos expertos quedan garantizadas por una declaración que deben firmar en tal sentido, previamente a la aceptación del encargo. 2. ESPECIALIZACIÓN, TANTO EN LA ADMINISTRACIÓN COMO EN LA RESOLUCIÓN DE CONFLICTOS. Todos los integrantes de las listas de expertos que son gestionadas por el ICANN deben acreditar como requisito previo a su inclusión, probada experiencia en dos ámbitos muy diferentes: la resolución de conflictos y en los aspectos técnico-jurídicos de la Propiedad Intelectual y de Internet. 3. RAPIDEZ. El PAO tiene una clara vocación de eficacia, sus plazos son breves y la experiencia acumulada pone en evidencia que se vienen cumpliendo. 4. COSTES REDUCIDOS, sobre todo si se comparan con las tasas de administración y honorarios de los procedimientos judiciales, que son públicos en los sitios web de cada proveedor de servicios, con los costes judiciales y honorarios de los abogados en procedimientos tradicionales y arbitrajes. Además, el PAO resulta gratuito para la parte demandada, aspecto éste que ha dado pié a críticas en el sentido de que ello favorece Marco jurídico 209 la actividad de los cyberokupas al permitirles jugar con peticiones de cantidades inferiores a los costes del PAO para la parte demandante. 5. NO NECESIDAD DE ABOGADOS. 6. ACTUACIÓN DE OFICIO Y ANTIFORMALISMO por parte del Grupo de Expertos. 7. CONFIDENCIALIDAD Y RESPONSABILIDAD. A la vista de las características del PAO y de sus resoluciones (ADR) no cabe ninguna duda de que estamos ante un nuevo instrumento de resolución de conflictos que busca su posicionamiento entre el proceso judicial y el arbitraje y que se aprovecha de las especiales condiciones del entorno en el que opera; la arquitectura técnica de Internet. 4.5.2. El procedimiento según la legislación española El marco normativo español contempla varios procedimientos para la resolución de conflictos en el ámbito que nos ocupa: A) Vía administrativa De conformidad con lo que se dispone en el art. 60 de la Ley 6/1997, de 14 de abril, de organización y Funcionamiento de la Administración General del Estado, Red.es que gestiona el carácter de servicio público, el registro de los nombres y direcciones de dominio de Internet, en el ejercicio de sus potestades administrativas, dicta actos administrativos, y contra los mismos cabe interponer los procedentes recursos administrativos, y en concreto, de acuerdo con lo que se dispone en el artículo 107 de la Ley 30/92, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas, y del Procedimiento Administrativo Común, el recurso de alzada. 20 En este marco regulador, cualquier interesado que se considere agredido en su solicitud podrá interponer el correspondiente RECURSO DE ALZADA, ante el órgano competente de la Administración resulta ser que la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, en el plazo de un mes a partir de recibir la notificación en la que resulte no estar conforme. Los motivos para recurrir son: a) Cualquier tema de fondo de los contemplados en la O.M. de marzo de 2000. b) Causas de nulidad o anulabilidad recogidas en la referida Ley 30/92. En caso de desestimación expresa o por silencio administrativo del recurso de alzada, cabe interponer RECURSO CONTENCIOSO-ADMINISTRATIVO ante el tribunal que resulte competente. B) Vía judicial Cabe la posibilidad de que el conflicto de intereses surja no a causa de una decisión administrativa sino por la existencia de derechos de terceros enfrentados a causa de una determinada asignación de unn registro de dominio. En este caso la reclamación se debe interponer directamente contra el titular que tenga asignado por Red.es el nombre de dominio motivo de controversia y en este caso el procedimiento se insta en vía ordinaria (procedimiento CIVIL, en el marco de la nueva Ley de Enjuiciamiento Civil de enero de 2001). Esta reclamación puede estar basada en cualquiera de los siguientes motivos: a) En base a la NORMATIVA DE MARCAS, siempre que se ostente mejor derecho en este ámbito frente al tercero impugnado. b) En base a la NORMATIVA MERCANTIL, si los sujetos en litigio estuvieran revestidos de personalidad jurídica mercantil, como Sociedades Anónimas o como 20 CONDE DÍAZ, Alipio. “Los dominios de Internet”. ECONOMIST&JURIST nº 50, MAYO 2001. 210 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Sociedades de Responsabilidad Limitada, y en base a la atribución que la legislación mercantil vigente otorga a las sociedades de exclusividad en lo relativo a su razón social. c) En base a la REGULACIÓN SOBRE COMPETENCIA DESLEAL, en los casos en que la práctica seguida por el tercero conculque nuestros derechos en este ámbito. C) Procedimiento arbitral La referida Orden Ministerial de 21 de marzo de 2000 establece en su artículo 6º que las partes en conflicto puedan someter sus diferencias a un árbitro. Como quiera que al día de la fecha está pendiente de desarrollo normativo esta posibilidad procesal, entendemos que caben dos alternativas: a) Recurrir al procedimiento arbitral en el ámbito normativo español, siempre que ello sea posible por la territorialidad de las partes implicadas, o en caso contrario. b) Recurrir al procedimiento arbitral regulado por el ICANN y descrito anteriormente (PUSC y PAO). 4.6. Aproximación práctica a los nombres de dominio A) Algunos consejos prácticos: A través del servicio internacional WHOIS el público puede investigar si el nombre que quiere registrar está o no ocupado y en caso afirmativo la identidad del propietario con el fin de iniciar acciones legales o negociaciones. La práctica nos ha puesto de manifiesto en más de una ocasión que el consultar esta fuente de información resulta contraproducente. En efecto, deben existir uno o más rastreadores de este tipo de consultas de modo que detectan, por ejemplo, que alguien está potencialmente interesado en el dominio www.Pepemartinez.com y mientras usted recibe la respuesta con negativa de ocupación y se toma el tiempo para decidir su política de registros, alguien desde Nueva Zelanda (por poner un ejemplo) le registra automáticamente el www.pepemartinez.com, .org y .net (no sucede otro tanto con .es por su mayor complejidad registral) de modo que cuando usted se decide ya lo encuentra ocupado en cuestión de minutos y a pesar de la reciente respuesta negativa. Siga nuestro consejo; NO DEJE PISTAS SOBRE LO QUE PRETENDE HACER. SIMPLEMENTE, ¡HÁGALO! El coste unitario de cada registro no exige muchos miramientos y una actitud resolutiva sobre el particular puede ahorrarle mucho tiempo. El segundo consejo guarda relación con las nuevas TLD’s de reciente aparición (.biz, .info, .area, etc.) por cuanto en espera de que las empresas adjudicatarias de las mismas abran el plazo de registro, han surgido empresas que ofrecen a los incautos el pre-registro de los dominios que puedan interesar. Al respecto hay que decir que no existe oficialmente ningún procedimiento que regule el pre-registro y, en consecuencia, este trámite no consolida ningún tipo de derecho. Las empresas encargadas de la administración de este tipo de dominios aún no han abierto el plazo de registro ni tan siquiera el de pre-registro, ni autorizado a nadie para hacerlo. El tercer y último consejo guarda relación con el anterior pero va un poco más lejos. Muchos, por no decir todos esos ISP que tramitan pre-registros seguramente registrarían el dominio solicitado a su propio nombre, para así mantener cautivo al peticionario y extorsionarle a placer. Cuando registre su dominio con un proveedor de servicios de Internet, ándese con cuidado, pues están saliendo a la luz casos de ISP que registran el dominio de sus clientes como parte del paquete de servicios Marco jurídico 211 ofrecidos, pero no a nombre del cliente, sino al suyo propio, con lo cual se aseguran la permanencia del cliente bajo su hospedaje. No sea ingenuo, registre usted directamente su propio nombre de dominio y rehuya la trampa de los pre-registros. B) Algunas preguntas de interés: Transcribimos a continuación por su interés algunas preguntas contestadas por la abogada Paloma Llaneza ([email protected]) en CiberPais Nº 02/200. 1. Quiero poner una página web con el nombre de mi empresa, para que mis clientes puedan encontrarla con facilidad. No sé si debo poner www.miempresa.com o www.miempresa.es. ¿Que diferencia hay entre cada una de ellas? Técnicamente, ninguna. La diferencia consiste en que a dominios de primer nivel distintos, entidades registradoras diferentes con normas diversas. Los tan sobados .com, .net o .org son dominios de primer nivel genéricos que se gestionan por InterNIC como Registro -entidad norteamericana de carácter privado- y unos cuantos registradores acreditados. Los dominios de primer nivel geográficos, por su parte, se componen de dos letras (conforme al código ISO-3166) y corresponden a países o territorios tales como España .es. La elección de uno u otro dominio depende, pues, de la rigidez de las normas del registrador. .com lo aguanta casi todo, está sujeto a las mínimas formalidades y se obtendrá, si está libre, rápidamente. En el caso de .es, el dominio habrá de coincidir con la denominación de la entidad, cumplir las normas de sintaxis y no incurrir en las múltiples prohibiciones que la normativa ES-NIC establece. 2. Si alguien ha ocupado el nombre de mi empresa, ¿qué puedo hacer? Lo primero que hay que comprobar es si quien lo ha registrado tiene una marca idéntica o similar, se apellida igual o tiene constituida una empresa con el mismo nombre en la otra punta del mundo. Tal caso es lo que se conoce como “logical choice” o coincidencias fortuitas. Estas coincidencias no reflejan ningún ánimo de aprovecharse de la reputación ajena y el que solicita el dominio es para usarlo y designar su web con él. Al no actuar el ocupante de mala fe, sería difícil recuperar el dominio mediante el arbitraje del ICANN y habría que embarrarse en un pleito. En este caso, la lentitud está asegurada y el éxito de la petición dependerá mucho de la fecha en que cada una de las empresas se constituyese. Pesaría mucho, en el caso de España, que el nombre de la empresa estuviese también registrado como marca: de hecho, todos los pleitos en que se han enfrentado titulares de marcas con empresas que registraron su denominación como dominio acabaron dándole la razón a los que tenían la marca registrada -como Nexus, Metacampus o Sertel-. Si el que registra nuestra marca como dominio es un cyberokupa, la cosa cambia. Aquí sí que tenemos posibilidades de recuperar el dominio por la vía del arbitraje que ha establecido el ICANN. 3. ¿Adónde puedo dirigirme para recuperar de una forma ágil “mi dominio”? A pesar de llevar la Internet comercial tan poco tiempo en danza, son muchos los pleitos iniciados y sentenciados a costa de los nombres de dominio. Muchos de ellos en EEUU, pero también en España, Francia, o el Reino Unido. Pleitear no es siempre el mejor remedio, sobre todo cuando el cyberokupa reside en otro país y cuando uno tiene prisa. Ante la avalancha de pleitos y su lentitud en “tiempo Internet”, el ICANN (Internet Corporation for Assigned Names and Numbers) ha elaborado un sistema de arbitraje on-line UDNR (Uniform Domain Name Dispute Resolution Policy), que permite solucionar la cuestión en un tiempo medio de 45 días y por un coste de unas 168.000 pesetas para quejas de uno a cinco dominios con la intervención de un sólo árbitro. Las quejas se pueden presentar ante cualquiera de los prestadores de servicios de arbitraje previamente aprobados por el ICANN, que al día de hoy son tres: Dispute.org/eResolution Consortium, el National Arbitration Forum y el Centro de Arbitraje de la OMPI. Aunque cada una de estas entidades ha aprobado sus propias 212 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas normas suplementarias, se rigen por las reglas dictadas por el ICANN. Para tener éxito hemos de asegurarnos de que podemos probar la titularidad de la marca, que el nombre de dominio que reclamamos es idéntico y que se ha registrado de “mala fe”. 4. ¿Es delito el cybersquating? ¿Es legal pedir dinero por ceder un dominio? En España, registrar un dominio coincidente con una marca o denominación social no es delito en sí mismo, aunque ya hay quien considera que cuando se okupa un dominio para venderlo por cantidades astronómicas o se pide un rescate a cambio de no cederlo a la competencia se podría estar ante una estafa o incluso ante un delito de coacciones. Hasta el momento, las pocas actuaciones penales que en este aspecto se han iniciado en nuestro país han acabado en archivo. La cuestión de los dineros en los nombres de dominio es bastante delicada. La venta de dominios que están en discusión, como year2000.com, puede alcanzar el precio que los compradores estén dispuestos a pagar por él y nada impide que se venda. Sin embargo, pedir dinero por un dominio discutible es considerado como prueba de mala fe por el ICANN y puede llevarnos a perder el dominio, al equipararlo a un acto de cybersquating. 5. ¿Me pueden embargar el dominio si no pago las cuotas que establece la ley? Como se venden o ceden, podría pensarse que un dominio es un bien con un valor económico y que, si no pago mis deudas, mis acreedores pueden embargarlo tranquilamente. El Tribunal Supremo del Estado de Virginia en el caso UMBRO opinó, sin embargo, que los dominios son inembargables porque la asignación y el mantenimiento es un servicio y no puede equiparase legalmente a otros bienes susceptibles de embargo. 6. ¿Puedo llamar a mi web como quiera, por ejemplo, hastaloshuevos.es? Que exista el sitio hastaloshuevos.com no impediría registrar ese dominio de segundo nivel bajo .es, aunque muy probablemente tendríamos problemas con ES-NIC. Una vez comprobado que no está registrado, el dominio habría de coincidir con nuestro nombre propio (caso ciertamente poco probable), con el de la organización que lo solicite o con una marca que tengamos registrada. Superado este escollo, resulta que las normas de ES-NIC prohiben los dominios que “incluyan términos o expresiones que resulten contrarios a la ley, la moral o al orden público”, lo que nos lleva a la eterna discusión de si una expresión más o menos malsonante o jacarandosa es contraria a la moral, si es que alguien puede definir los contornos de este concepto. En fin, si uno pretende iniciar una cruzada, adelante con la petición. Si lo que pretende es tener el dominio lo antes posible, siempre nos queda .net. C) Glosario de terminología y acrónimos ∑ CORE: Consejo de Registradores, asociación sin ánimo de lucro establecida por el informe IAHC. Lo componen actualmente (9/99) 55 empresas. ∑ ccTLD: Dominio de nivel superior correspondiente a código de país. (En referencia a los códigos de dos letras de la norma ISO 3166 que representan países y entidades territoriales). ∑ Ciberocupación: Registro especulativo (o abusivo) de marcas propiedad de terceros. ∑ Delegación: Delegación de un TLD en la raíz de Internet por parte de ICANN/IANA. ∑ Designación: Designación por la autoridad pública o el gobierno correspondientes del Delegado, reconocido como competente para crear la organización registradora y la base de datos del Registro. ∑ DNS: Sistema de nombres de dominio. ∑ GAC: Comité Asesor Gubernamental del ICANN. Marco jurídico 213 ∑ GTLD: Dominio de nivel superior genérico (tal como .com, .org, .int, etc). ∑ IAHC: Comité Internacional Ad Hoc. ∑ IANA: Autoridad de Números Asignados de Internet (predecesora de ICANN). ∑ ICANN: Corporación de Asignación de Nombres y Números de Internet (sucesora del IANA). ∑ IETF: Grupo de Tareas de Ingeniería de Internet. ∑ ISO: Organización Internacional de Normalización, Ginebra. ∑ ISOC: Sociedad Internet. ∑ NSI: Network Solutions Incorporated, filial de Science Applications Investment Corporation (SAIC). ∑ RFC: Request for Comments (invitaciones formular comentarios): en un principio, denominación de un proyecto de norma Internet (IETF). En la práctica, una vez se estabiliza una norma por consenso, no se modifica la denominación RFC(No). ∑ ACAPARAMIENTO:Registro especulativo de un número importante de palabras o nombres, no necesariamente para utilizarlos, sino a la espera de poderlos transferir posteriormente con una contraprestación. ∑ OMPI: Oficina Mundial de Propiedad Industrial. ∑ OEPM: Oficina Española de Patentes y Marcas. ∑ PUSC: Política Uniforme para la Solución de Conflictos. ∑ PAO: Procedimiento Administrativo Obligatorio. ∑ ADR: Alternative Dispute Resolution. ∑ TLD: Top Level Domain (Dominio de Alto Nivel). ∑ SLD: Second Level Domain (Dominio de Segundo Nivel). 5. Propiedad intelectual 5.1. La intersección de la propiedad intelectual y las TIC’s ¿Qué tienen en común estos dos términos aparentemente tan distantes para el profano? A modo de respuesta global es necesario decir que el nexo de unión entre ambos conceptos son LOS CONTENIDOS. Ciertamente, cualquier contenido que fluya por los impulsos digitalizados de las redes de comunicación; Internet, telefonía móvil, T.V., radio, telefonía tradicional, sea en imagen o en sonido seguramente presenta un flanco de protección de los contenidos en los términos que los americanos denominan “copyright” los europeos “derechos de autor”. Para ayudar al lector a centrarse en un tema distante y complejo para él será bueno recordar que el derecho de propiedad intelectual es un derecho de tardía evolución, desde luego mucho más tardío que el derecho a la propiedad en general, a pesar de que se trata de un subgénero de éste. La protección de la propiedad intelectual no nace hasta que empieza a ser posible su agresión, cosa que sucede tras la invención y difusión de la imprenta. Es sin duda la puesta a punto de esta técnica lo que posibilita y diversifica las posibles agresiones al legítimo uso en exclusiva de los autores respecto del contenido de sus obras. Con anterioridad era tan caro y complicado el realizar una copia de una obra original y tanto el efecto positivo de esta duplicidad sobre el autor y sobre la propia obra, que más que una agresión se consideraba la copia como una bendición para ambos. Es tan sólo cuando la tecnología permite la masificación del fenómeno con costes marginales decrecientes, cuando se hace imprescindible regular dicho disfrute legítimo y limitar las, a partir de entonces fáciles, agresiones. 214 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Si este fenómeno se deriva de la invención y adopción de técnica simple ¿qué no podrá derivarse del uso masivo de una tecnología compleja, múltiple, acumulativa y constantemente cambiante, con respecto a los contenidos de información? La revolución es de tal calibre y de tal calado que está obligando a un replanteamiento de todo el esquema y principios que regulan la propiedad intelectual en el esquema de la producción tradicional. Las novedades al respecto se manifiestan en tres planos diferentes: 1º. La aparición, producción y distribución masiva en tiempo real o no de nuevos productos concebidos y diseñados para desarrollarse en Internet; fundamentalmente, aunque no sólo, los programas y aplicaciones software y las bases de datos. 2º. La reproducción/distribución incontrolada y compulsiva en soportes tradicionales de los contenidos de Internet en un escenario de desubicación espacial y temporal de los sujetos y de las acciones (agresiones). 3º. La proliferación de nuevos instrumentos de copiado, distribución y acceso de contenidos. El primer bloque será abordado más adelante dentro del apartado que describe la evolución del marco normativo. El segundo de los citados será abordado de modo permanente a lo largo del presente capítulo y a continuación desarrollaremos el tercero por lo que encierra de novedad y lo ilustrativo que resulta para calibrar la estrecha vinculación existente entre contenidos (Propiedad Intelectual) y Nuevas Tecnologías. Antes de continuar la lectura es obligado advertir que el contenido de este apartado es de carácter mesuradamente técnico, por necesidades del propio contenido. En principio pudiera parecer que su interés se reduce a los autores o titulares de derechos sobre la propiedad intelectual, pero no hay que olvidar que el desconocimiento de la ley no exime de su cumplimiento y, en consecuencia, el tema se reviste de gran importancia para todos los usuarios si quieren llegar a manejar con soltura unos conceptos mínimos que les sean útiles para prevenir posibles ilícitos no voluntarios y limitar así a priori su responsabilidad jurídica, tanto civil como penal. A. LOS LINKS. Una de las ventajas que presenta la arquitectura de Internet es la posibilidad de desplazarnos de un documento a otro mediante la utilización de links, que permiten desarrollar una mayor y más rápida actividad a los usuarios al tiempo que multiplican las posibilidades de cometer agresiones sobre los contenidos. Por su naturaleza los links (enlaces) son de dos tipos: a) Los normales o activos; son aquellos activados conscientemente por el usuario con el fin de que le sea más fácil la conexión a otras web-sites o páginas de la red, ahorrándose así la memorización y tecleado de las direcciones de destino. b) Los ensamblados o pasivos; son aquellos que aportan a un website cualquier tipo de archivo (texto, imagen, sonido, etc.) situados en otros sitios o páginas. Al activar el link normal, el usuario es consciente de que está visitando otro portal, momentos que en el segundo, que no necesita activación de ningún tipo, aquél no es consciente de haber “invadido” un entorno distinto del que en principio seleccionó. Lógicamente si la página de destino es alterada mediante la aplicación de un deep link, ensamblado o enlace profundo, el usuario tiene acceso a ello sin respetar el recorrido previsto por el titular del sitio web, alterándose de este modo la voluntad del titular manifestado a través del diseño, la arquitectura técnica y los enlaces activos. Con ello es seguro que se desestructura la información contenida en la página web y quizás hasta se violente la pasarela de audiencia con respecto a la publicidad si la hubiera. Con ello estamos apuntando que la problemática jurídica derivada de esta técnica rebasa con mucho el estricto ámbito de la propiedad intelectual, pudiendo abarcar otros como; derecho de la competencia, de marcas, de la publicidad, derecho a la imagen y al honor personal, responsabilidad del titular de la página, etc. Un link o enlace normal no es más que una reserva dentro de una pantalla que cuando es seleccionada por el usuario origina la desaparición de ésta y la inmediata carga en nuestro ordenador Marco jurídico 215 de una pantalla completamente nueva. En definitiva un link es una referencia U.R.L. (dirección) de la red y en general están diferenciadas dentro de la estructura de la página apareciendo en color azul y en ocasiones mediante subrayado del texto, para facilitar su localización y uso activo. Por el contrario la técnica del deep-link actúa de modo automático e inconsciente para el usuario. La doctrina jurídica opina que el link normal no supone una agresión al derecho sobre la propiedad intelectual de los contenidos. Plantear lo contrario sería equivalente a socavar una de las peculiares características de uso de Internet y sin duda alguna, una de las principales razones de su éxito. Debe prevalecer por lo tanto el propio funcionamiento natural de la Red en detrimento de una hipotética vulneración de la propiedad intelectual. Un supuesto distinto lo constituye una colección de vínculos, por ejemplo relacionados con un mismo asunto o cuestión. Entonces estaríamos contemplando una base de datos de enlaces o vínculos y esta unidad sí que sería susceptible de protección intelectual (a modo de antología literaria). Con respecto a los links-profundos cabe decir que sí implican agresiones a este hecho y posiblemente a todos los demás detallados anteriormente. La responsabilidad jurídica derivada de la agresión recaerá lógicamente sobre quien tomó la iniciativa del link y nunca sobre el portal receptor inconsciente, porque el desmesurado número de links existentes, tanto de uno como de otro tipo, convierte en inviable un control exhaustivo sobre ellos. B. BUSCADORES DE PÁGINAS WEB. Otra característica de Internet es la posibilidad que ofrece para llevar a cabo la búsqueda automatizada de una información mediante el uso de sistemas diseñados al efecto. Dicho proceso de búsqueda obliga técnicamente a una especie de reproducción de contenidos por lo que cabría pensar en una posible vulneración del derecho de propiedad intelectual de los contenidos. A modo de ejemplo citamos algunos de los buscadores más famosos: Yahoo!, Google, Atravista, Terra/Lycos, etc. La operativa técnica se estructura a partir de software de inteligencia artificial que opera sobre bases de datos organizadas a partir de palabras o textos de acceso. El resultado obtenido de un proceso de búsqueda se presenta a modo de links normales o activos en relación con la materia buscada. La tecnología disponible permite que el autor manifieste su voluntad de mantenerse al margen de cualquier índice o buscador, opción que debe ejercitarse expresamente (option-out). El simple hecho de que técnicamente sea posible ejercer esa opción reduce sustancialmente la posibilidad de calificar el uso de este instrumento como infracción o agresión a los derechos de los autores de contenidos aportados a la red. C. BROWSING. Del inglés “to browse” (hojear) es una técnica que facilita el navegar por la red para visualizar y evaluar rápidamente los contenidos. A pesar de que su uso exige siempre de algún procedimiento de reproducción de contenidos (ya sea en memoria RAM o en disco duro) lo cierto es que la finalidad última de dicho uso no da pié para que esta práctica sea considerada como agresiva a los efectos de la propiedad intelectual. D. CACHING. En síntesis se trata del proceso de realización de una copia de archivo para su posterior recuperación. El método caching implica un almacenamiento de copias en memoria RAM del ordenador con el fin de facilitar posteriores y sucesivos accesos a una página web previamente visitada sin necesitar del acceso a los datos originales a través del “down load”. Básicamente existen dos tipos diferenciados de caching en función de su sistemática: a) Client caching; cuando el almacenamiento de la información se produce en la memoria RAM del propio ordenador. 216 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas b) Proxy caching; cuando el almacenamiento se produce en la memoria del servidor. Es utilizado por multitud de USUARIOS. Funciona como intermediario entre el usuario individual y la página en la que se pretende acceder. Los dos sistemas consiguen acortar el camino de enlace usuario/web visitado, se reduce el tiempo necesario para acceder a la conexión y en resumen se descongestiona el tráfico de Internet. Esta técnica influye directamente sobre los derechos de propiedad intelectual por cuanto se fundamenta en la COPIA DE PAGINAS WEB. Los dos sistemas antes descritos inciden en el derecho de reproducción atribuida en exclusiva al autor. Además el proxy caching atenta contra el también exclusivo derecho de distribución al permitir accesos plurales a la copia. Al tratarse de una operativa necesaria para el correcto funcionamiento de la red (a modo de una servidumbre tecnológica) algunos autores se han pronunciado en el sentido de incluirla en las excepciones de copia privada en base al fair use. Hasta la fecha no se conocen posicionamiento de la jurisprudencia sobre el tema. Las agresiones a los derechos de los autores derivados de la práctica del caching son: a) Se lesiona a lo bajo el número de “visitas” o accesos al servidor remoto, lo que altera artificialmente la audiencia de la página web y en definitiva perjudica su cualificación publicitaria y la retribución por este concepto. b) No considera las actualizaciones de contenido realizados por el propietario de la página web, hasta transcurrido un tiempo más o menos largo. c) Agrede a los derechos de reproducción y distribución de los que es titular exclusivo el autor. Todo ello presenta también más derivaciones en el plano de la responsabilidad jurídica de las intermediarias y sobre el particular nos remitimos a lo expuesto al trato de la Directiva U.E. 30/2001 y el Proyecto de Ley S.S.I. y del Comercio Electrónico. E. FRAMING. Esta técnica no es de uso tan generalizado como las anteriores. En términos muy elementales supone la inclusión de una página web determinada en una ventana de dimensiones reducidas dentro de otra página web, estando ambas separadas por un marco (frame) manteniéndose en la barra de direcciones la U.R.L. de la originaria. Mediante la utilización de esta técnica la pantalla del ordenador puede quedar dividida en múltiples secciones independientes, cada una de las cuales puede albergar diversos contenidos, incluidos nuevos frames lógicamente más reducidos que los primeros, siguiendo, cada una una de las referidas zonas o ventanas, un funcionamiento independiente del resto. Se usa esta técnica para facilitar la transmisión, almacenamiento y uso de documentos de gran tamaño a través de su división en unidades menores. ¿El uso de esta técnica puede suponer una actividad ilícita desde el punto de vista de la Propiedad Intelectual? Indudablemente sí siempre y cuando los contenidos de las diferentes webs encadenadas mediante framing tengan diferentes autorías, por cuanto se presenta material ajeno como si de propio se tratase. Aún en el caso de que se citara su origen, se debería contar además con la autorización del titular de los contenidos. Los litigios planteados hasta la fecha en U.S.A. han finalizado siempre mediante acuerdo extrajudicial, por lo que aún no se dispone de una idea clara sobre el posicionamiento de los tribunales al respecto. La mayoría de transacciones alcanzadas pasa por la sustitución del framing por links. F. TAGS Y METATAGS. Los metatags son palabras ocultas que sirven para etiquetar (del inglés tag) de forma no visible un portal par facilitar su búsqueda, es decir, para mejorar su colocación en la lista de los resultados obtenidos mediante la utilización de un buscador. ¿Qué tiene que Marco jurídico 217 ver esta práctica con la problemática de la Propiedad Intelectual? ¿Acaso las palabras también son susceptibles de protección y adjudicación a un autor como parte integrante de una obra? Está claro que llevando la problemática a su límite extremo los títulos de las obras, o las marcas y los dominios de Internet son ejemplos de palabras, o de grupos reducidos de palabras, susceptibles de protección. Mediante el uso de esta técnica un portal con nombre notorio puede ser incorporado como metatag no visible en la identificación de otra web-site menos famosa de la competencia, con la cual éste se vería favorecido en el posicionamiento de los resultados obtenidos mediante el uso de un buscador. Supongamos que un portal de una librería cualquiera incorpora en su título a modo de metatag oculta la palabra “fnac”. Como puede intuirse la regulación de este conflicto tiene más relación con la normativa de marcas que con la de propiedad intelectual. G. FILTROS. Se trata de un software específico cuya misión es cribar los contenidos que se transmiten a través de Internet mediante la aplicación de un determinado criterio. Su uso más normal consiste en limitar el acceso a determinados contenidos; pornografía, entornos de ocio o de juegos a través de equipos profesionales de empresa, etc. Como su funcionamiento actúa sobre contenidos específicos a través de “palabras clave”, de ello se deriva una censura parcial de hecho, con la consiguiente alteración de la obra original y lo que ello conlleva de agresión a los derechos morales del autor (integridad y no modificación de la obra). El uso progresivo de las TIC’s propiciará sin duda la aparición de nuevas formas de producción y comunicación de los contenidos. En opinión del Abogado Eduardo Piestra, especializado en derecho de autor. “El autor pasará a ser productor de sus propios contenidos, y tendrá acceso a los medios de producción: En determinados campos de la creación el acceso a las herramientas técnicas dependen de una fuerte inversión económica, pero poco a poco el autor ya va accediendo a las herramientas digitales que le permiten realizar sus trabajos, de forma independiente y sin estar sujeto a las directrices de terceros. Además los costes tecnológicos bajan exponencialmente. El autor pasaría a ser distribuidor: controlando y estableciendo sus propias condiciones, el medio lo tendría a través de un nuevo canal de comunicación inmediato y con bajos costes, Internet, ahora tiene la posibilidad de darse a conocer a través de todo el planeta, la consecuencia inmediata sería la eliminación de todos los intermediarios clásicos sustituyéndolos por nuevas formas de comercializar en el Ciberespacio. El autor, por tanto, tendrá que aprender a interactuar a través de la red, surgirán cibercomunidades en donde compartan sus mismas sensibilidades y siempre habrá alguien que esté interesado por sus creaciones. Mientras tanto, el mundo digital, plantea, entre otras, ciertas cuestiones jurídicas, como la territorialidad de los derechos, conflicto de leyes, derechos de digitalización, o los derechos morales, que difícilmente se resolverán sino es a través de un consenso global; hasta entonces, se estarán creando una serie de conductas socialmente aceptadas que más adelante serán muy difícil reconducir. Por último, la concepción de autor habrá que contextualizarla en el Ciberespacio, que significará que todos seremos autores, abandonando la actitud pasiva frente a los medios actuales, para “ser parte en un mundo interactivo”. H. NAVEGADORES. La importancia del navegador se ha puesto de manifiesto por la pugna entre Netscape y Microsoft a partir de 1995. El resultado ha sido una caída de un 90% de la cuota de mercado en poder de Netscape en dicho año al actual 85% de Microsoft frente al coetá- 218 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas neo 13% que ostenta Nestcape. Ello ha propiciado la razón última de la batalla legal de los organismos defensores de la competencia en U.S.A. contra Microsoft. ¿Por qué si la distribución de los buscadores es gratuita en todos los casos? Porque el navegador es tan sólo el primer eslabón del proceso de distribución y acceso a contenidos. Quien domine ese eslabón dominará mucho más en la práctica, por no decir casi todo. Quien domina el mercado de navegadores dominará sin duda Internet. Con el tiempo (el futuro está ahí) el navegador será el interfaz universal entre el usuario y todos los dispositivos de acceso: móviles, ordenadores, agendas PALM, televisión interactiva, etc., lo cual condicionará el uso de los contenidos por parte de dichos usuarios; música, acceso a documentos, descarga de archivos, videos, chatear, e-mail, etc. I. FRAMES. Es una herramienta introducida en Internet a partir de 1996 como una opción adicional de Netscape Navigator. Esta tecnología permite al diseñador de un website incluir una a modo de ventana independiente que se abre automáticamente y que contiene una página web secundaria, pero de modo que ésta última no está identificada por un nombre de dominio ni por su URL. En consecuencia los usuarios que acceden queriendo o sin querer a esta página secundaria, no almacenan en su memoria cache los datos identificativos de ella, sino los correspondientes a la primera web que diseñó la frame. Lógicamente esta práctica ha provocado querellas y reclamaciones ante los tribunales de U.S.A., en base a la legislación que protege el copyright y las marcas. Las agresiones a las marcas se derivan de que el uso de esta herramienta permite ofrecer y presentar determinados productos y servicios cambiando la marca del website “frameado” por la marca del web principal. Desde la perspectiva de la defensa de la propiedad intelectual la agresión se concreta en el derecho de reproducción y de distribución ejercido sin autorización del autor. También se han iniciado procedimientos judiciales en base a las leyes en defensa de la competencia, por cuanto esta práctica puede llevar a engaño a los consumidores con respecto a quién les vende realmente lo que están comprando. Otro tanto sucede con las actividades de publicidad o de mera esponsorización. En 1997 se hizo famosa una reclamación judicial presentada por nada más y nada menos que por: CNN, Dow Jones, Reuters, Time y The Washington Post contra una empresa denominada Total News que desarrollaba “metasites” o inventario de links y frames sobre diversos temas. Mediante esta práctica Total News controlaba el tráfico de acceso de usuarios a las webs de los denunciantes y además comercializaba la publicidad con base en contenidos ilegalmente apropiados. Los demandantes alegaron que esta práctica violaba sus legítimos derechos sobre marcas y copyright además de tratarse de una apropiación ilegal del fondo de comercio. El final consistió en una transacción extrajudicial entre las partes en el sentido que se consentían los links y se renunciaba a la práctica del frame. A la vista de la agresividad y la potencia de esta técnica respecto de los contenidos y tráfico ajenos sería conveniente desarrollar algún mecanismo capaz de bloquear los frames. 5.2. La regulación legal de la propiedad intelectual El TRLPI considera obra a cualquier creación original expresada por cualquier medio o soporte, y en la práctica, casi cualquier creación salida del ingenio humano reúne los requisitos necesarios para ser protegida por la propiedad intelectual., aunque dependiendo del tipo de obra se exigirá una mayor o menor originalidad. Además de las obras que se muestran en Internet, como textos, fotografías, imágenes en movimiento, música, etc., el propio diseño de los sitios web, si tiene suficiente originalidad, el software sobre el que se crean los webs y las bases de datos que aparezcan en Internet, son asimismo obras. Esta legislación establece un monopolio de utilización a favor del autor por el mero hecho de crear la obra, concediéndole el ejercicio exclusivo de los derechos de explotación en cualquier forma. Marco jurídico 219 La explotación de las obras en Internet puede hacerse de muy distintas formas, lo que afectará a los derechos que los autores tienen reconocidos en exclusiva. Sin embargo, la digitalización, la descarga de archivos, la transmisión a la carta, son actos que difícilmente encajan en los conceptos tradicionales de derechos de autor. Esta legislación, concebida para el mundo analógico, es insuficiente para hacer frente a las cuestiones que se plantean en el entorno digital. Figuras como la copia privada, deben ser replanteadas, estableciéndose algún tipo de compensación o canon para evitar los perjuicios que están suponiendo para la industria del ocio el que cualquier usuario pueda reproducir y enviar archivos, como el MP3, protegidos por la propiedad intelectual. Por ello está en tramitación una Propuesta de Directiva del Parlamento Europeo y del Consejo sobre la autorización de determinados aspectos de los derechos de autor y derechos afines en la sociedad de la información. Esta norma pretende armonizar la legislación europea adaptándola al entorno digital. Los principios que establece son: ∑ La necesidad de autorización por parte de los autores para llevar a cabo la reproducción (salvo cuando sean transitorios y accesorios), la distribución y la comunicación al público de sus obras, por cualquier medio y en cualquier forma. ∑ Se establecen unas excepciones a tales derechos, por las cuales no habrá que pedir autorización, que darán lugar, con carácter general, a una compensación económica. ∑ La transmisión o difusión a la carta de contenidos en la Red constituye un acto de comunicación pública que debe ser autorizado en cada caso por los titulares de derechos. Cada acto en línea debe ser autorizado cuando así lo exijan los derechos de autor o afines (principio de no agotamiento de los derechos). La aprobación de esta Propuesta de Directiva, unida a la recientemente aprobada de Comercio Electrónico, contribuirá a crear un marco legislativo europeo homogéneo para la Red. Sin embargo, el pasado 25 de Mayo los Quince no llegaron a un consenso debido, principalmente, al desacuerdo sobre las condiciones en las que se debe permitir la copia digital privada, y la garantía de que recibirán una compensación por esas copias. 5.2.1. Marco legal En lo sustancial el marco normativo regulador de la Propiedad Intelectual en los planos nacionales, europeo e internacional está definido por las siguientes disposiciones y leyes: 1º. Convenio de Berna de 9 de septiembre de 1886, revisado en París el 24 de julio de 1971 y ratificado por España el 2 de julio de 1973 (BOE nº 81 de 4 de abril de 1974 y nº 260 de 30 de octubre de 1974). 2º. Real Decreto 1434/1992 de 27 de noviembre (BOE nº 301 de 16 de diciembre). Esta disposición legal regula aspectos del derecho de remuneración compensatoria por copia privada. El artículo 10 determina qué reproducciones reprográficas no se consideran realizadas para uso privado del copista y, en consecuencia, requieren la previa autorización de los autores de las obras reproducidas. 3º. Real Decreto 733/1993 de 14 de mayo (BOE nº 142 de 15 junio). Esta norma recoge el nuevo Reglamento del Registro de la Propiedad Intelectual y establece un nuevo sistema que se caracteriza por su descentralización al crear registros territoriales en las Comunidades Autónomas y uno central en Madrid. 4º. Directiva 93/98/CE de 29 de octubre relativa a la armonización del plazo de protección del derecho de autor y otros derechos afines. 5º. Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal (BOE nº 281 de 24 de noviembre). 220 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 6º. Real-Decreto Legislativo 1/1996 de 12 de abril por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual. (BOE nº 97 de 22 de abril). 7º. Directiva Europea 96/9/CE de 11 de marzo sobre la protección jurídica de bases de datos. 8º. Ley 5/1998 de 6 de marzo de incorporación al Derecho español de la Directiva 96/9/ CE, del Parlamento Europeo y del Consejo, de 11 de marzo de 1996, sobre la protección jurídica de las bases de datos (BOE nº 57 de 7 de marzo). 9º. Directiva 01/29/CE de 22 de mayo relativa a la armonización de determinados aspectos del derecho de autor y derechos afines en la sociedad de la información. 5.2.2. Dos grandes sistemas de protección La protección de la Propiedad Intelectual implica el reconocimiento en exclusiva de determinados derechos de disfrute al titular de dicha propiedad, en concreto sobre cuándo y cómo explotarlos. El conjunto de la Propiedad Intelectual se ordena en dos grandes apartados: a) Propiedad Industrial protege las invenciones, marcas, patentes, etc. En Internet el equivalente es el nombre de dominio. b) Derecho de autor (o su equivalente copyright en inglés) que abarca desde la protección de las obras hasta las prestaciones (actuaciones) de cantantes, autores, etc. Contra lo que puede deducirse a primera vista en principio todos los contenidos de Internet estarían protegidos por esta modalidad. Existe un nexo de unión entre ambas modalidades que es el título de una obra que puede estar protegido bajo las dos modalidades. Además es obligado que la distribución semántica incluida en el apartado b) no es gratuita y responde a dos formas distintas de cumplir un mismo objetivo. - Derecho de autor, es el sistema desarrollado en Europa Continental y adaptada por otros países, que pone el acento del sistema en la persona (el autor) y los derechos que giran en torno a ella; los derechos económicos, los derechos morales y los derechos vecinos o conexos. - Copyright, es el sistema desarrollado originalmente por el Reino Unido y USA y conocido consecuentemente como sistema anglosajón. La defensa de los derechos gira en torno a la obra y la limitación de realizar copias sobre ella. Es un enfoque fundamentalmente objetivo. 5.3. La piratería intelectual A los efectos de este epígrafe entenderemos por piratería la realización de actividades comerciales en el ámbito de las TIC’s que tengan por objeto directo una obra creativa sin disponer de la perceptiva autorización del autor. Normalmente este tipo de actividades afectan a los ya comentados derechos de reproducción y distribución. Los efectos de la piratería intelectual provoca multitud de efectos negativos que se concretan al final en pérdidas (o renuncia a ganancias) por importe de cientos de millones de euros por el freno que supone sobre la creación artística y el descenso en las inversiones económicas destinadas al desarrollo de actividades culturales y de promoción del arte y de la cultura. Además se deduce de esta actividad un importe menoscabo a la tributación derivada de la actividad comercial legal, lo cual a su vez provoca un doble efecto permicioso: - La reducción de los ingresos públicos para la necesaria atención del gasto público. - La agresión a las reglas de la competencia por cuanto determinados agentes económicos (piratas) actúan sobre el mercado con unos menores costes (los tributarios). Marco jurídico 221 Dos son los ámbitos preferidos para el desarrollo de la piratería intelectual; por un lado la copia ilegítima de programas de software y por otro la reproducción también ilegítima de archivos DVD con contenidos preferentemente de audio aunque también en menor medida con contenidos audiovisuales. 5.3.1. Piratería informática En la práctica presenta una amplia gama de formas: a) Softlifting; cuando a partir de una única licencia sobre un programa, es posteriormente cargado en diferentes aplicadores (ordenadores o servidores). b) Dowloading; consiste en la copia de software accesible a través de la Red, sin autorización del autor y mediante un acto que podríamos llamar de tracto único. c) Falsificación informática; copiar y vender ilegalmente software protegido intentando conseguir la apariencia de que se trata de copias legales. Dentro de esta actividad ha aparecido más recientemente una nueva modalidad que consiste en poner a disposición gratuita de los usuarios mediante la práctica del dowloading de software en principio obsoleto, con una antigüedad superior a 5 años. Estas aplicaciones son de diversa naturaleza y se pueden encontrar desde sistemas operativos, herramientas de recuperación de información, aplicaciones para fotografía; juegos, etc. Esta práctica se conoce bajo la denominación muy gráfica de “ABANDONWARE”. La base práctica de esta actividad es la fuerte rotación de las empresas que generan software y la elevada velocidad de innovación tecnológica de este tipo de aplicaciones. Es una respuesta del mercado usuario para romper la llamada “dictadura del software” demostrando prácticamente que no siempre es necesario tener lo último, que sí es posible completar aplicaciones antiguas con desarrollos accesorios, los códigos técnicos mantienen una viabilidad operativa pero para eso es necesario encontrar ofertas de aquellas. De momento es una actividad desarrollada por particulares, pero si colma cuerpo no tardarán en aparecer empresas que lo hagan con precios simbólicos. También es la respuesta efectiva de los usuarios frente a la tiranía de los fabricantes que dejan de dar soporte de mantenimiento a programas legítimamente adquiridos para forzar su reposición por otras nuevas. A veces el abandonware se realiza en una cierta autorización, más o menos explicitado por parte del fabricante. De no ser así no cabe duda de que se trata de una actividad ilegal por muchos benéficos efectos que produzca. Los adictos al abandonware tienen en la red un gran aliado, ante la dificultad que tienen de encontrar el software deseado en tiendas de segunda mano o en mercadillos. Muchas de las páginas con aplicaciones abandonadas se encuentran dentro de las de abandonware de juegos. Para los que la informática no es cuestión de comprar el último sistema operativo ni la máquina de 2 GHz de velocidad, extender la vida del ordenador es cuestión de perseverancia. En algunos casos, el nombre del interesado ha bastado para llevar con buen pie una iniciativa de abandonware. Por ejemplo, el inventor de la hoja de cálculo VisiCalc, Daniel Bricklin, consiguió que Lotus Development le permitiera colgar la añeja aplicación en su web para que cualquiera la pueda utilizar exclusivamente para uso particular. Lotus compró VisiCalc en 1985 pero decidió no continuar comercializándola. Algunos comercializadores son más “éticos” y para curarse en salud advierten que “algunas de las aplicaciones todavía están protegidas por las leyes de copyright. Descargarlas y usarlas es ilegal. Intenta comprar estas aplicaciones cuando tengas la oportunidad. Sus creadores se lo merecen”. 222 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 5.3.2. El downloading de archivos D.V.D. Hace relativamente poco explotó la moda de la descarga de archivos de audio a partir de la técnica conocida como MP3. Hoy en día el caos está más controlado a partir de reiteradas sentencias condenatorias sobre el particular tanto en la Unión Europea como en U.S.A. contra Napster, pero estas victorias no han supuesto de ninguna manera el final de la guerra, por cuanto al primer programa, hoy controlado, que permitía a los usuarios de todo el mundo la descarga y uso de archivos musicales, le han salido múltiples, mejorados e incontrolados clónicos, como por ejemplo Morpheus. Ante esta situación es cuando las discográficas optan por medidas desesperadas. Una de ellas es la propuesta realizada por la oficina estadounidense de copyright, que pretende aumentar las tasas en concepto de derechos de autor que pagan las radios on-line. El aumento de la cuota significaría tener que asumir en algunos casos hasta diez veces más de lo que se venía pagando hasta ahora, y con carácter retroactivo. La aprobación de esta medida significará sin duda el fin de muchas emisoras de radio on-line en U.S.A. El próximo 20 de mayo de 2002 se hará efectivo el Tratado Internacional contra la piratería, un acuerdo que ha sido ratificado por treinta países y que reconoce a la industria discográfica los “derechos exclusivos de reproducción, distribución, alquiler comercial y difusión pública en Internet”. 5.4. Cheklist para prevenir agresiones contra la propiedad intelectual de los contenidos de una página web - Antes de publicar un web en Internet, es importante crear una prueba de la titularidad mediante la inscripción en el Registro de la Propiedad Intelectual o mediante la constitución de un depósito notarial o escrow. Los elementos del web que deben ser protegidos de esta manera son: los contenidos, el diseño gráfico y el código fuente, descritos a través de los siguientes materiales: a) Texto de cada una de las secciones. b) Imágenes y gráficos de cada página. c) Código fuente en HTML, Java, Java Script, Active X y CGI. d) Código objeto en Java o Active X. También puede depositarse un CD Rom con todo el contenido del web en el mismo formato que puede ser visualizado a través de Internet. - Para proteger los elementos creativos del diseño gráfico y funcional del web: 1. Efectúe un depósito notarial del diseño una vez lo haya finalizado, con el fin de tener una prueba que permita comparar a nivel estético, conceptual y funcional el web que imite las mismas prestaciones. 2. Mantenga un régimen de confidencialidad que impida la divulgación de los elementos creativos antes de que queden plasmados en el web. 3. Mantenga una vigilancia de los webs que se publiquen en Internet dentro del mismo segmento de mercado en el que actúa su empresa, con el fin de detectar si incurren en una imitación de prestaciones. 4. Envíe un requerimiento inmediatamente a los imitadores de sus elementos creativos para evitar que éstos pasen a formar parte del estado de la ciencia del sector. 5. En caso de persistir, demande por competencia desleal a las empresas que de forma sistemática copien sus iniciativas comerciales o las prestaciones de su web. Recuerde que una oferta comercial a través de Internet es plenamente transparente. Marco jurídico 223 - En el caso que el web sea utilizado para comercializar programas de ordenador, imágenes o cualquier otro tipo de obra digital, redacte una licencia de uso adaptada a las leyes de propiedad intelectual y a los Convenios Internacionales. - Durante la fase de diseño del web y de la oferta comercial contenida en él, aplique las medidas de seguridad y confidencialidad necesarias para evitar que los participantes en el proyecto puedan divulgar u obtener un aprovechamiento ilícito de la información. - Antes de iniciar el desarrollo del web: 1. Haga una relación de las fotografías, gráficos, textos, animaciones, sonidos, composiciones musicales, videos y demás obras que vaya a reproducir total o parcialmente. 2. Compruebe el nivel de titularidad que ostenta sobre los mismos, si pertenecen a otros autores o son de dominio público. 3. Diríjase a la entidad de gestión correspondiente para tramitar el pago de royalties. Por ejemplo, si es una obra musical diríjase a la SGAE. 4. Si puede negociar directamente con el titular, intente conseguir una autorización gratuita mediante el argumento de la difusión que se va a dar a su obra. 5. En todo caso, el derecho de cita le permite reproducir fragmentos reducidos de una obra sin necesidad de autorización, siempre que cumpla los requisitos establecidos por la Ley. - Introduzca una advertencia en la que se indique que las actividades de reproducción, transformación, distribución y comunicación sin autorización de su titular, constituyen una infracción. Relacione las actividades que el usuario está autorizado a realizar: visualizar la información, efectuar un download, etc. - En el caso de bases de datos, introduzca identificadores ocultos que le permitan descubrir y demostrar la existencia de reproducciones no autorizadas. Genere una prueba notarial de la situación y contenido de dichos identificadores ocultos, con la finalidad de poder acreditar la copia en un procedimiento judicial. - Si el diseño y desarrollo del web o de alguna de sus partes (Contenidos, diseño gráfico y código fuente) es encomendado a terceros, establezca contractualmente una reserva de los derechos de propiedad intelectual y los pactos de confidencialidad oportunos. - Al contratar profesionales o empresas externas para funciones de desarrollo: 1. Evite en la medida de lo posible que un profesional externo desarrolle todo el web. 2. Reparta las tareas de diseño y programación entre diversos profesionales y técnicos de su empresa con el fin de que sea aplicable el art. 8 TRLPI relativo a las obras colectivas. 3. Formalice siempre un contrato de arrendamiento de obra en el que se establezca una cláusula en la que cada profesional que participe en un proyecto reconozca haber participado en una obra colectiva. - Para conseguir la aplicación del art. 8 TRLPI en el seno de la empresa, y dar a un web el carácter de obra colectiva: 1. Reparta las tareas del proyecto entre varios técnicos. 2. Impida que un solo técnico desarrolle una parte que constituya un módulo independiente. 3. Incluya una cláusula de reconocimiento de la obra colectiva en sus contratos laborales y en sus contratos de arrendamiento de servicios o de obra. 224 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas - Para evitar los efectos negativos de un proyecto en colaboración con otras empresas: 1. Delimite perfectamente su aportación, con el fin de que constituya una obra totalmente independiente que se incorpora a un proyecto compuesto por obras independientes. 2. Establezca siempre un contrato que regule los términos en que se hace la aportación. 3. Exija que en el contrato de colaboración figure de forma anticipada el consentimiento de todos los participantes para divulgar y modificar la obra en el caso de que sea necesario. 4. Establezca los porcentajes de participación en los ingresos que produzca la comercialización de la obra. 5. Establezca la prohibición o la autorización para explotar las aportaciones de cada empresa de forma separada. 6. Regule de forma especial aquéllos puntos del régimen general de la comunidad de bienes establecido en el Código Civil que no le interese que se apliquen de forma subsidiaria. - Un web es un elemento dinámico sometido a constantes modificaciones, lo cual dificulta el procedimiento de creación de pruebas sobre la titularidad. Una buena solución consiste en efectuar depósitos notariales con periodicidad trimestral o semestral, en función de la frecuencia de las modificaciones. 6. La contratación en el ámbito de las nuevas tecnologías 6.1. El estado de la cuestión El imparable incremento de las TIC’s en la vida económica y jurídica de los últimos tiempos, así como su proyección hacia el futuro, ha propiciado la aparición de nuevas circunstancias y posibilidades en dos órdenes diferentes de fenómenos: a) En primer lugar ha facilitado la formalización de contratos en el entorno de Internet en donde la desubicación geográfica y temporal complica, o puede complicar, lo que de siempre se ha llamado las condiciones generales de contratación. Por poner un ejemplo extremo Vd. puede formalizar hoy un contrato de compra-venta con un japonés residente en Osaka y para empezar la concreción de las circunstancias y condiciones se complica: • ¿Dónde estamos reunidos para contratar? • ¿Siendo que día? Puesto que puede darse la circunstancia de que no sólo varíe la hora (seguro) sino que también varíe la fecha (posible). • ¿Qué normativa aplicaremos, la japonesa o la española? • ¿A qué órgano judicial recurrimos en caso de controversia con respecto al contenido y ejecución del contrato? • ¿Qué prueba documental soportará la existencia y condiciones del contrato? Estas son algunas de las cuestiones que debemos resolver. Se argumentará que estas circunstancias ya se dan desde siempre en algunos mercados, por ejemplo en los mercados continuos bursátiles, pero también es cierto que se trata hasta ahora de mercados muy formalizados en donde las partes intervinientes están fuertemente reguladas por normativas pactadas y muy similares. Estas circunstancias todavía no se dan, por desgracia en la mayoría de las transacciones en el entorno de la Red que se mueven en un entorno “cuasi” experimental. Marco jurídico 225 b) En segundo lugar la irrupción de las TIC’s ha propiciado la aparición de nuevos servicios y actividades y ha provocado la posibilidad de realizar actividades tradicionales, como la publicidad, bajo una nueva perspectiva. Cuando todo ello se cruza con la variante de la Privacidad y su asimétrica regulación en función de los bloques geo/políticos, la problemática resultante se complica, siendo el fenómeno más conocido y más agitado como estandarte por partidiarios y detractores o el conocido como SPAM, o mensaje publicitario no solicitado, que está levantando una complicada y agria problemática principalmente en el ámbito de la Unión Europea con ocasión del proceso regulador de las condiciones de contratación y de prestación de servicios en la nueva Sociedad de la Información. Una vez más en este campo del Derecho nos volvemos a encontrar con el diferente posicionamiento frente al problema y a las posibles soluciones desde la óptica europea y la americana, con el eslabón débil del Reino Unido que resulta ser a la fuerza, la intersección de los dos sistemas tan diferenciados. Hoy en día en la Unión Europea y por lo que atañe a España estamos trabajando con tres textos legales de diferente rango y en diferente fase de resolución: A. LA DIRECTIVA EUROPEA 31/2000 de 8 de junio, que obligará a la transposición de las legislaciones nacionales en un plazo máximo de 18 meses (ello quiere decir hasta el 17 de enero de 2002 por fecha de publicación). B. EL REAL DECRETO 1906/99 por el que se regula la CONTRATACIÓN TELEFÓNICA O ELECTRÓNICA, con condiciones generales en desarrollo del artículo 5.3. de la Ley 7/1998 de 13 de abril, de condiciones generales de contratación, que entró en vigor a partir del 29 de febrero de 2000. A destacar que se trata de una norma anterior a la publicación de la Directiva Europea. C. Por último LEY DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y DEL COMERCIO ELECTRÓNICO (Ley 34/2002, B.O.E. de 12 de julio de 2002), conocida como LSSI que ha padecido un largo y tortuoso proceso de elaboración y aprobación, como tendremos ocasión de exponer más adelante. 6.2. La normativa europea: directiva 2000/31/C.E., de 8 de junio de 2000 Es la directiva que regula determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior. Es habitualmente conocida como la DIRECTIVA SOBRE EL COMERCIO ELECTRÓNICO. Hay que destacar la premura de la Comisión y del Parlamento europeos en promulgar una norma de este tipo, conscientes sin duda, como se explicitó en el Consejo de Lisboa de marzo de 2000, de la conveniencia y urgencia de disponer de un marco legal común para el comercio electrónico, como respuesta a las reticencias por parte de los consumidores y empresas europeas, frente a sus homólogos de los Estados Unidos, respecto a la seguridad y transparencia de las prácticas comerciales en la Red, como primera piedra de un marco común ágil y posibilista que busca la armonización de las leyes de los diferentes estados miembros de la U.E. en un plazo relativamente breve (18 meses). En términos generales la directiva es aplicable a todas las actividades comerciales en la red, con y sin remuneración: venta de mercancías, oferta de información, comunicaciones comerciales, servicios de búsqueda y recopilación de datos, vídeo a la carta, mercadotecnia directa y servicios de acceso a Internet. La norma también señala algunas actividades que son excluidas de su ámbito por razones especiales, como detallaremos más adelante. El texto de la directiva fija el lugar de ubicación de un negocio: “Allí donde se desarrolla la actividad económica del prestador de servicios” independientemente de donde se encuentre el proveedor de acceso o la tecnología, a efectos de adjudicar “la competencia país” en caso de conflicto. 226 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Otra novedad consiste en la inclusión de las competencias de las PROFESIONES REGULADAS sin menoscabo de las regulaciones específicas de cada una de ellas en cada uno de los estados miembros. También es importante destacar la apuesta clara y decidida por la RESOLUCIÓN EXTRAJUDICIAL DE CONFLICTOS, mediante la elaboración de CÓDIGOS DE CONDUCTA capaces de facilitar la autorregulación, o bien mediante el establecimiento de SELLOS DE CALIDAD que funcionarían a modo de “las banderas azules” en una playa, indicando así que la empresa que dispone del “sello” ofrece garantías. La norma europea continúa con la práctica de introducir a modo de vocabulario de DEFINICIONES, en donde se precisan los conceptos jurídicos que se entienden detrás de los términos técnicos. Por su prácticamente total coincidencia con el mismo vocabulario y definiciones que incorpora el texto del proyecto de ley español tal como hoy lo conocemos, nos reservaremos para su exposición en el próximo apartado. La eurodiputada del PP Ana Palacio hoy Ministra de Asuntos Exteriores y que fue ponente de la Directiva que comentamos manifiesta; “Hay fragilidades enormes en la red” explica que la directiva sobre comercio electrónico, plantea unos principios generales, pero no resuelve los problemas. “Las fragilidades en la red son enormes, y en Europa no confiamos en ella por la falta de tangibilidad de los actores que operan en Internet”. Cuenta una anécdota para ilustrarlo: “Un compañero me decía hace días que nunca introduciría su tarjeta de crédito en la red. Yo le contestaba que un camarero también puede sacar una copia de su número, y replicaba: ‘Sí, pero a un camarero le puedo coger por las solapas’. Palacio considera que la directiva marca un hito en la mentalidad europea porque permitirá, sobre todo a las pequeñas y medianas empresas, “sentirse en Europa como en casa, y al consumidor moverse con completa seguridad”, según declaraciones hechas a Lucía Enguiba Mayo y publicadas en El País de 18 de mayo de 2000. 6.3. La regulación del comercio electrónico en España Tres son los elementos sobre los que se está configurando el Derecho Sustantivo español sobre la materia: - El primero es una norma de rango menor vigente desde el 29 de febrero de 2000, el Real Decreto 1906/99 por el que se regula la CONTRATACION TELEFONICA O ELECTRONICA. - El segundo en el tiempo es la Directiva Comunitaria 31/2000 de 8 de junio, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular del comercio electrónico en el mercado interior (Directiva sobre comercio electrónico), que ha sido objeto de descripción comentado en el apartado anterior. - El tercero es la Ley de de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI). 6.4. El Real Decreto 1906/99 por el que se regula la contratación telefónica o electrónica (B.O.E. 313/1999) Hoy por hoy es el único texto legislativo sobre la materia, por lo que disfruta de una especial relevancia a pesar de su menor rango normativo, por aquello de que en el país de los ciegos el tuerto es el rey. El Art. 1 dispone el ámbito de su aplicación en los siguientes términos; “El presente Real Decreto se aplicará a los contratos a distancia, o sin presencia física simultánea de los contratantes, realizados por vía telefónica, electrónica o telemática, que contengan condiciones generales de la contratación, entendiendo por tales las definidas por la Ley 7/1998, de 13 de abril, y se entiende sin perjuicio de la aplicación de las normas vigentes en materia de firma electrónica contenidas en el Real Decreto Ley 14/1999, de 17 de diciembre”. Marco jurídico 227 Se excluyen de su ámbito material los siguientes tipos de contratos (por su naturaleza): los administrativos, laborales, de constitución de sociedades, los que regulan las relaciones familiares, los sucesorios y los relativos a servicios financieros de inversión, seguro y reaseguro. En el último apartado (4) del art. 1 se dispone que las normas contenidas en este R.D. son de aplicación siempre que la adhesión a las condiciones generales se haya efectuado en España, con independencia de la ley aplicable al contrato. El DEBER DE INFORMACIÓN PREVIA a la celebración del contrato, se regula en el Art. 2 fijándose un plazo mínimo de 3 días para que el predisponente (vendedor) facilite al adherente (comprador) información sobre todas y cada una de las cláusulas del contrato de modo veraz y completo y remitirle el texto completo de las condiciones generales. Lógicamente se exceptúan de esta obligación los contratos relativos a SERVICIOS DE TRACTO ÚNICO que se ejecutan mediante el empleo de técnicas de comunicación a distancia. Se refiere esta excepción a las compras simultáneas por “bajada” (down loan) del producto por medios informáticos. El art. 4 regula el DERECHO DE RESOLUCIÓN por parte del adherente, que podrá ejecutar en el plazo máximo de siete días hábiles y por el cual no incurrirá en gastos bajo ningún concepto. Lógicamente, se excluyen también de esta posibilidad los supuestos excluidos en el párrafo anterior. Por último se debe destacar por su importancia lo relativo a la ATRIBUCIÓN DE LA CARGA DE LA PRUEBA sobre la que el art. 5 dispone que recaerá sobre el predisponente excepto en los casos en que se utilice una FIRMA ELECTRÓNICA AVANZADA en los términos del Real Decreto-Ley 14/1999 sobre firma electrónica. Esta disposición está enfocada claramente a la defensa de la parte en principio más débil, el consumidor. Curiosamente este criterio que en principio parece acertado no se mantiene en el texto del Proyecto de Ley de Servicios de la Sociedad de la Información, según la última versión hoy conocida y que comentamos a continuación. 6.5. La ley de servicios de la sociedad de la informacion y del comercio electrónico (LSSI) Ley 34/2002 6.5.1. Circunstancias y evaluación de la ley En las fechas que redactamos este texto se deben hacer algunas consideraciones sobre su historia, que es breve pero intensa, así como sobre las circunstancias que la rodean. 1º A pesar de que el Gobierno del Partido Popular viene repitiendo reiteradamente desde 1999 la importancia y la urgencia de esta Ley, la verdad es que el proceso de gestación gobernativa ha sido excesivamente largo, superando con creces el plazo de transposición concedida por la Directiva U.E. que finalizó el 17 de enero 2002, lo que confirma lo tortuoso de un proceso por lo demás “urgente y necesario”. 2º La última versión se ciñe perfectamente al esquema y contenido de la Directiva Europea antes comentada, por lo que a lo largo de esta exposición nos remitiremos reiteradamente a lo expuesto con anterioridad en la medida de lo posible. 3º Esta nueva versión del proyecto normativo se ha elaborado tras un amplio proceso de consulta pública durante el que se han recibido más de 50 contribuciones de las principales asociaciones, grupos, empresas y agentes interesados en el contenido de la norma. Igualmente el texto ha sido informado por el Consejo Asesor de las Telecomunicaciones y de la Sociedad de la Información, y otras instituciones como la Agencia de Protección de Datos, el Consejo de Consumidores y Usuarios, la Comisión del Mercado de las Telecomunicaciones y la Comisión General de Codificación. 4º La evaluación del contenido del proyecto de norma en la versión última conocida ha levantado sonoras críticas por parte de la oposición al Gobierno. Concretamente el PSOE se encuentra preparando una réplica y una posible enmienda a la totalidad para 228 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas oponerse al proyecto de Ley de Servicios de la Sociedad de la Información (LSSI), para su explotación en el trámite parlamentario. Los socialistas denuncian que el Gobierno quiere imponer con éste la censura previa en Internet. A este respecto, el responsable federal socialista de Innovación, Enrique Martínez, ha denunciado “el secuestro y las medidas de restricción” impuestas desde el Ejecutivo en el desarrollo de este proyecto. En su opinión, el Gobierno trata de establecer una especie de censura previa, que vulneraría la Constitución española, al introducir “la obligación de comunicar a las autoridades judiciales y administrativas los contenidos, así como la identificación de los destinatarios”. El anteproyecto de ley es criticado, entre muchas otras cuestiones, por el control que efectúa sobre la información. El texto, que ha sido reformulado en varias ocasiones, regula las obligaciones de los prestadores de servicios que actúan de intermediarios en la transmisión de contenidos por las redes de telecomunicaciones, el régimen de sanciones de los prestadores de servicios en la sociedad de la información, así como las comunicaciones comerciales por vía electrónica y la petición de información previa y posterior a la rúbrica de contratos. Pero no sólo los políticos velan sus armas. Los usuarios españoles de Internet agrupados y liderados por la publicación on-line KRIPTOPOLIS se han declarado públicamente en pié de guerra contra los guiños intervencionistas (que son muchos en comparación con la Directiva Europea) y concretamente en contra del cambio de orientación que el Gobierno ha realizado en este último borrador por lo que respecta al spam (publicidad no solicitada), como tendremos ocasión de comentar más adelante. Es tanta la belicosidad anti-proyecto de Kriptópolis que ya han anunciado su intención de acudir a los Tribunales si la LSSI sale adelante en los términos hoy conocidos. Desde el Ministerio de Ciencia y Tecnología se piensa que determinados grupos, como Kriptópolis, han sacado las cosas de contexto y mantienen una actitud en contra del diálogo que no es beneficiosa. Las fuentes ministeriales consultadas entienden que la alarma que se ha creado en este asunto es excesiva y aseguran que, en este cuarto borrador, aspectos como la libertad de expresión o la capacidad sancionadora de los jueces están absolutamente garantizados. Aunque este último punto es verdad pero no toda la verdad, por cuanto la vía judicial queda relegada al final y derivada hacia la jurisdicción contencioso-administrativa que se caracteriza por su complejidad y consecuente lentitud. Para Kriptópolis el anteproyecto se define como “la nueva Inquisición digital”. En opinión de Gonzalo Álvarez Marañón, doctor ingeniero de telecomunicaciones del C.S.I.C. “Desde algunos colectivos internautas se ha desatado la voz de alarma y el grito de lucha contra una legislación retrógrada y restrictiva que podría poner bozal a la expresión libre en Internet, se sentarían las bases legales para instaurar la censura telemática en nuestro país y el control administrativo exhaustivo de los medios independientes de información en Internet. “La LSSI no sólo no favorece el desarrollo del comercio electrónico en España, sino que perjudica a las empresas españolas respecto a las del resto de Europa”. En definitiva, tanto si se examina desde el punto de vista de las libertades civiles como del fomento del libre mercado digital”. En su exposición de motivos la LSSI dice: “La presente Ley tiene por objeto la incorporación al ordenamiento jurídico español de la Directiva 2000/31/CE”. Dicho así parece que se trata de una mera transposición, pero la realidad supera siempre a la ficción y constatamos que el proyecto español rebasa con mucho los planteamientos de aquella principalmente en lo relativo a: a) La Directiva no acepta las obligaciones de supervisión de carácter general, aunque sí acepta las específicas. Marco jurídico 229 b) El proyecto LSSI aporta inseguridad jurídica a la hora de decir qué ISP están sometidos a la norma española. c) El exceso planteado por el proyecto español en lo relativo a limitar el acceso a contenidos de ISP extranjeros. d) Lo desmedido de las sanciones recogidas en el proyecto LSSI contraviniendo el art. 20 de la Directiva que dispone textualmente; “las sanciones que se establezcan deberán ser efectivas, proporcionadas y disuasorias”. Por el contrario el proyecto instaura sanciones desproporcionadas y recaudatorias. e) El excesivo detallismo de la información a incorporar en los contratos on-line, muy por encima de lo establecido en la Directiva sobre el particular. Por todo ello y quizás por algo más surgen voces pidiendo la retirada del proyecto en base a que no es una ley necesaria. Ante esta pretensión cabe decir lo siguiente: 1. Sí es necesaria una norma que reduzca la inseguridad jurídica derivada de la contratación y prestación de servicios en Internet, pero sin alimentar los excesos intervencionistas de la Administración. 2. En el marco de la U.E. resulta pueril pretender ignorar la vigencia de la Directiva 2000/ 31 y su obligada transposición por parte de los Estados miembros. O se acepta la ley o se renuncia la U.E. ES UNA LEY NECESARIA PERO EL TEXTO APROBADO LA CONVIERTE EN: INEXACTA, PARCIAL, SECTARIA, INTERVENCIONISTA Y EN SÍNTESIS, INJUSTA. 1. INEXACTA. Su objetivo no se corresponde con la verdad. Dice en su EXPOSICION DE MOTIVOS que; “tiene por objeto la incorporación al Ordenamiento Jurídico español de la Directiva 2000/31. Y ello no es cierto por: a) No recoge el espíritu de la Directiva U.E. Por ejemplo el spam (Art. 20) o la legitimación interventora, por parte de la Administración. b) Distorsiona el espíritu de la Directiva con respecto a las sanciones (Art. 37). 2. PARCIAL. Se preocupa de la protección de la Demanda (Usuarios) y sospecha, penaliza y ahoga el desarrollo de la Oferta (Prestadores de Servicios). Desarrolla RELACIONES ECONÓMICAS ASIMÉTRICAS. También hay que decir en este sentido que tal como desarrolla las MEDIDAS CAUTELARES Y PREVENTIVAS divide el ámbito virtual en ricos (poderosos) y pobres (débiles). Los primeros son los que disponen de tecnologías de acceso sofisticadas que eluden fácilmente las barreras legales. Ver L. LESSIG “El Código (tecnológico) y otras leyes del Ciberespacio”. 3. INTERVENCIONISTA/SECTARIA. Siguiendo una lamentable tradición en el desarrollo de los nuevos ámbitos jurídicos (por ejemplo AUDITORÍA DE CUENTAS (1988) o PROTECCIÓN DE DATOS PERSONALES 1992 a 1999) se ha conseguido un texto legal cargado de desconfianza hacia las empresas ofertantes de servicios. Además la filosofía y la cuantía de las infracciones y sanciones es MARCADAMENTE INJUSTA Y CON VOCACION RECAUDATORIA. Perfila la figura del PRESTADOR DE SERVICIOS a modo de “COMISARIO POLÍTICO” colaborador de los Órganos de Control de las Administraciones Públicas (LEY DE LA PATADA EN EL BIT). (Deber de Colaborar Art. 35). 4. INJUSTA. Es la única conclusión posible después de las anteriores calificaciones, porque todas ellas la convierten en una norma que genera RELACIONES JURÍDICAS ASIMÉTRICAS que es el máximo agravio que puede llegar a perpetrar un texto legal. Una ley que no es en sí misma homogénea para todos los que estén en las mismas circunstancias, resulta INJUSTA. 230 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas A pesar de todo también es preciso decir que se trata de una LEY NECESARIA, pero su futuro exige una profunda revisión para SUBSANAR LOS DEFECTOS señalados anteriormente, dotando al proceso de re-elaboración del texto de la NECESARIA TRANSPARENCIA, de la que ha carecido hasta la fecha. En caso contrario habremos perpetrado un atentado legislativo que: a) Entronizará una NORMA INJUSTA. b) Favorecerá a la ADMINISTRACIÓN (por el ansia recaudatoria vía sanciones y por aumentar la cuota de poder del Ejecutivo). c) Favorecerá a los BUFETES JURÍDICOS (por la cantidad ingente de conflictos jurídicos que generará en la práctica). d) Será una AGRESIÓN al necesario desarrollo de la implantación y aceptación de Internet. Paradójicamente puede resultar un lastre para el ya de por sí cuestionado Plan INFO XXI. Quizás pueda parecer excesivo lo dicho al evaluar el contenido de la LSSI. Con el fin de aportar la posición de un tercero ajeno a quien escribe, reseñamos algunos párrafos de un trabajo publicado en La Vanguardia en marzo de 2002 firmado por Adela Alós-Moner que es Presidente del Col-legi Oficial de Bibliotecaris-Documentalistes de Barcelona. “Uno de los aspectos más criticados de esta ley es, precisamente, que se quiera legislar Internet como algo ajeno a la realidad, como un cuerpo extraño a la sociedad. Algunos servicios que ofrecen hoy bibliotecas y centros de documentación pueden verse afectados por esta ley en cuanto proveedores de servicios de información. El proyecto cita una “autoridad competente” -actualmente no existente- con potestad para tomar medidas. Este aspecto es, por lo menos, preocupante: porque, ¿quién decide que unos contenidos son ilícitos? Siempre que se trata este tema se ponen ejemplos socialmente alarmantes (pornografía infantil, básicamente) pero lo cierto es que la línea conducente a la satanización de ideologías puede estar muy cerca. Es necesario así, pues, definir con claridad qué organismo y con qué criterios juzgará. La directiva adolece de dos grandes males: por un lado, no ha consensuado un marco de excepciones común para todos los países miembros, con lo que la ansiada armonización puede no llegar a producirse. Por otro lado, hace especial hincapié en los peligros de la tecnología para los titulares de los derechos de autor, y blinda las medidas tecnológicas que éstos puedan utilizar para proteger sus obras en la red. Como resultado, los usuarios podemos quedar a merced de un férreo control del uso de la información por parte de sus creadores. Si a estas normativas añadimos los intentos -algunas veces logrados- que se han producido a raíz del 11 de septiembre relativos a la violación de la privacidad de los correos electrónicos, deberemos coincidir ciertamente en la necesidad del que proveedores de información, empresas y ciudadanos se informen, conozcan las implicaciones que estas normativas tienen y hagan sentir su voz a través de organizaciones sociales y políticas para que la razón de unos no se imponga sobre la de todos.” 6.5.2. Objeto 1. Es objeto de la presente Ley la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica, en lo referente a las obligaciones de los prestadores de servicios que actúan como intermediarios en la transmisión de contenidos por las redes de telecomunicaciones, las comunicaciones comerciales por vía electrónica, la información previa y posterior a la celebración de contratos electrónicos, las condiciones relativas a su validez y eficacia y el régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información. Marco jurídico 231 2. Las disposiciones contenidas en esta Ley se entenderán sin perjuicio del régimen jurídico aplicable a la protección de la salud pública, a los datos personales y a los derechos de los consumidores y usuarios, del régimen tributario aplicable a los servicios de la sociedad de la información y de la normativa reguladora de Defensa de la competencia. Se amplía la casuística de la excepcionalidad de regímenes jurídicos específicos con respecto a lo contemplado en la Directiva Comunitaria. Concretamente los supuestos incluidos en el Art. 1.2. son: a) Régimen jurídico aplicable a la Salud Pública. b) Régimen jurídico aplicable a la protección de datos. c) Régimen jurídico aplicable a los derechos de los consumidores y usuarios. d) Régimen tributario aplicable a los servicios de la sociedad de la información. e) Régimen tributario aplicable a los servicios de Defensa de la competencia. En la primera regulación ya nos encontramos con excepciones al objeto ampliadas, lo que implica un primer recorte del ámbito objetivo que se le atribuye al anteproyecto. 6.5.3. Ámbito de aplicación En el texto de la Ley, se define el ámbito de aplicación de la norma conforme a los principios de país de origen y de mercado interior previstos en la normativa comunitaria, y se consagra el principio de libre prestación de servicios, no estando sujeta a autorización de ninguna clase. Estos contenidos se recogen en los Arts. 2, 3, 4 y 5. Hay que destacar que la vinculación de un prestador de servicios al término “establecimiento permanente”, como prueba para establecer la sujeción de aquél a la LSSI, se entenderá a partir de la aplicación de criterios fiscales para la definición de éste. Resulta obligado señalar que tal como está redactado el texto para determinar que ISP (prestadores de servicios en Internet) están o no establecidos en España, no aporta más que inseguridad jurídica sobre el particular y acaba el Art. 2 con una disposición en negativa (Art. 2.3., 2º párrafo): “La utilización de medios tecnológicos situados en España para la prestación o el acceso al servicio NO SERVIRA COMO CRITERIO para determinar por sí solo el establecimiento en España del prestador”. El Art. 3 establece la sumisión a la ley española de los ISP establecidos en países de la U.E. cuando presten servicios que afecten las siguientes materias: a) Derechos de propiedad intelectual o industrial. b) Emisión de publicidad por instituciones de inversión colectiva. c) Actividad de seguro directo realizada en régimen de derecho de establecimiento o en régimen de libre prestación de servicios. d) Obligaciones nacidas de los contratos celebrados por personas físicas que tengan la condición de consumidores. e) Régimen de elección por las partes contratantes de la legislación aplicable a su contrato. f) Licitud de las comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente no solicitadas. En todo caso, la constitución, transmisión, modificación y extinción de derechos reales sobre bienes inmuebles sitos en España se sujetará a lo dispuesto en el Derecho español. Los prestadores de servicios a los que se refiere el apartado primero quedarán igualmente sometidos a las normas españolas que regulen las materias señaladas en dicho apartado. Con respecto a los ISP establecidos en países no miembros de la U.E. les será de aplicación lo dispuesto en los Tratados Internacionales que procedan. 232 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas El Art. 5 regula los SERVICIOS EXCLUIDOS, quedando éstos tasados en tres actividades concretas: a) Los servicios prestados por Notarios y Registradores de la Propiedad y Mercantiles en el ejercicio de sus respectivas funciones públicas. b) Los servicios relativos a juegos de azar que impliquen apuestas de valor económico. c) Los servicios prestados por abogados y procuradores en el ejercicio de sus funciones de representación y defensa en juicio. La normativa que regula el PRINCIPIO DE NO SUJECIÓN A AUTORIZACIÓN PREVIA y de LIBRE PRESTACIÓN DE SERVICIOS, se contempla en los Arts. 6, 7 y 8. En este último se enumeran los supuestos la interrupción del libre ejercicio de la actividad cuando se atente gravemente contra los siguientes valores: a) El orden público. b) La salud pública. c) La dignidad humana. d) La protección de la juventud y de la infancia. De nuevo se amplía el número de supuestos que permiten la interrupción administrativa de la actividad con respecto a la Directiva U.E. de referencia. A destacar que en el Art. 8 del proyecto también se cualifican las medidas restrictivas a aplicar en los siguientes términos: Las medidas de restricción a que hace referencia este artículo serán objetivas, proporcionalmente y no discriminatorias, y se adoptarán de forma cautelar o en ejecución de las resoluciones que se dicten, conforme a los procedimientos administrativos legalmente establecidos o a los previstos en la legislación procesal que corresponda. Lo preocupante de esta limitación es que no se centra exclusivamente en criterios judiciales, sino que son expansivos también en el área administrativa de muy difícil objetivización en sus procesos de toma de decisiones. Si para garantizar la efectividad de la resolución que acuerde la interrupción de la prestación de un servicio o la retirada de datos procedentes de un prestador establecido en otro Estado, el órgano competente estimara necesario impedir el acceso desde España a los mismos, podrá ordenar a los prestadores de servicios de intermediación establecidos en España, directamente o mediante solicitud motivada al Ministerio de Ciencia y Tecnología, que tomen las medidas necesarias para impedir dicho acceso. Con respecto a esta última disposición sorprende cuando menos cómo podrá un órgano competente español ordenar a los ISP españoles que impidan el acceso a unos determinados contenidos internacionales, porque esta limitación dependerá muy mucho de la tecnología de conectividad que se aplique. El supuesto se puede complicar mucho más desde el punto de vista de la igualdad jurídica si resultara imposible limitar el acceso de los usuarios españoles a partir de ISP’s extranjeros. En cualquier caso, para este supuesto en concreto, no es conveniente olvidar la tesis de L. Lessig: “el código tecnológico condiciona a la regulabilidad”. 6.5.4. Derechos de los usuarios y obligaciones de los prestadores (responsabilidad) En lo relativo a RESPONSABILIDAD de los prestadores de servicios transcribimos literalmente, por su transcendencia el régimen general y haremos a continuación unos comentarios sobre los regímenes particulares en función de la actividad concreta de cada prestador. Artículo 12. Régimen de responsabilidad de los prestadores de los servicios de la sociedad de la información. Marco jurídico 233 1. Los prestadores de servicios de la sociedad de la información están sometidos a las normas generales del Ordenamiento jurídico sobre responsabilidad civil, penal y administrativa, con las particularidades que deriven de la aplicación de la legislación sobre derechos de los consumidores y usuarios, sin perjuicio de lo establecido en esta Ley. 2. Para determinar la responsabilidad de los prestadores de servicios que, en el ejercicio de actividades de intermediación, transmitan, copien, almacenen o localicen contenidos ajenos, se estará a lo establecido en los artículos siguiente. Los artículos que siguen son los específicos para las actividades de: a) Redes y proveedores de acceso (Art. 13). b) Actividad de copia temporal de bases de datos (catching) (Art. 14). c) Alojamiento o almacenamiento de datos (hasting o housing) (Art. 15). d) Facilitadores de enlaces a contenidos y/o a instrumentos de búsqueda (Art. 16). En líneas generales mantienen, adaptada a sus específicas características, la excepción general de responsabilidad del apartado 2 del Art. 12 si bien todos estos artículos coinciden en un apartado último que dice textualmente: 2. La exención de responsabilidad establecida en el apartado primero no operará en el supuesto de que el destinatario del servicio actúe bajo la dirección, autoridad o control de su prestador. Esta excepción a la regla general de exención de responsabilidad de los prestadores de servicios es común a todas las actividades y pretende evitar que éstos actúen como limitadores de la responsabilidad de sus mandantes, para evitar el posible fraude de ley. 6.5.5. Síntesis del contenido de la LSSI 1º ENTRADA EN VIGOR. La Ley 34/2002 de 11 de julio (BOE de 12 de julio 2002) Ley de los Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI) entra en vigor el 12 de octubre de 2002. 2º PUNTOS DE INTERÉS. En síntesis los centros de interés práctico de esta nueva norma son los siguientes: a) UNA OBLIGACIÓN FORMAL. Registrar los nombres de dominio en el Registro Mercantil. b) RESPONSABILIDAD DE LOS OPERADORES (ISP). c) CONDICIONES DE CONTRATACIÓN ON-LINE. d) TRATAMIENTO DEL SPAM (comunicaciones comerciales no solicitadas). e) CRUCE DE LA LSSI con la LOPD (Ley de Protección de Datos) a efectos de defensa de la privacidad on-line. 3º UNA OBLIGACIÓN FORMAL. Los prestadores de servicios de la sociedad de la información establecidos en España deberán comunicar al Registro Mercantil en el que se encuentren inscritos o a aquel otro registro público en el que lo estuvieran para la adquisición de personalidad jurídica o a los solo efectos de publicidad, al menos, un nombre de dominio o dirección de Internet, así como todo actuó de sustituación o cancelación de los mismos, salvo que dicha información conste ya en el correspondiente registro. (...) La obligación de la comunicación deberá cumplirse en el plazo de un mes desde la obtención, sustitución o cancelación del nombre de dominio o dirección de Internet. 234 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas La obligación, como hemos visto, consiste en inscribir por lo menos un nombre de dominio en el Registro Mercantil y dicha obligación corresponde a los prestadores de servicios de la sociedad de la información establecidos en España. El concepto de prestador de servicio según la LSSI es la persona física o jurídica que proporciona un servicio de la sociedad de la información y a la luz de cómo define la Ley a los referidos servicios, cabe concluir que un prestador de servicios puede ser cualquier empresa que posea una página web y en consecuencia, ésta deberá inscribir su dominio en el Registro Mercantil. En definitiva, que cualquier prestador de servicios de la sociedad de la información, incluidos los servicios de intermediación, deberán inscribir por lo menos uno de sus nombres de dominio en el Registro Mercantil correspondiente, obligación exigible desde la entrada en vigor de la LSSI el 12 de octubre de 2002. 4º RESPONSABILIDAD DE LOS OPERADORES (ISP). Los arts. 13 a 17 de la LSSI establecen la responsabilidad de los diferentes operadores, en razón de la naturaleza de sus específicas actividades. La regla general es la de NO RESPONSABILIDAD excepto que realicen determinados tratamientos sobre los datos objeto de su servicio de acuerdo con cada función específica de dichos servicios. Tal como están redactadas estas disposiciones será necesario aplicar MEDIDAS TECNOLÓGICAS preventivas que registren históricos de movimientos e incidencias “a priori”, para su aportación como prueba en contrario en casos de que alguien pretenda derivar algún tipo de responsabilidad sobre un determinado I.S.P. - Art. 14. Responsabilidad de los operadores de redes y proveedores de acceso. - Art. 15. Responsabilidad de los prestadores de servicios que realizan copia temporal de los datos solicitados por los usuarios. - Art. 16. Responsabilidad de los prestadores de servicios de alojamiento o almacenamiento de datos. - Art. 17. Responsabilidad de los prestadores de servicios que faciliten enlaces a contenidos o instrumentos de búsqueda. Además el Art. 12 establece el deber de retención y conservación por parte de las ISP’s de los datos de tráfico relativos a las comunicaciones electrónicas y lo hace en los siguientes términos: 1. Los operadores de redes y servicios de comunicaciones electrónicas, los proveedores de acceso a redes de telecomunicaciones y los prestadores de servicios de alojamiento de datos deberán retener los datos de conexión y tráficos generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información por un período máximo de doce meses, en los términos establecidos en este artículo y en su normativa de desarrollo. Esta disposición en los términos en que está redactada, obligará a que los tecnólogos aporten soluciones que hagan viable su cumplimiento, de un modo económico y práctico. 5º CONDICIONES DE CONTRATACIÓN ON-LINE. Los Arts. 23 a 29 de la LSSI regulan la contratación por vía electrónica. En conjunto integran una serie de obligaciones formales para las relaciones B2B y B2C, tanto previas como a posteriori de haber formalizado el contrato. De acuerdo con la naturaleza de cada tipo de transacción comercial en la red, se deberá redactar un AVISO LEGAL que informe a los terceros contratantes de dichos requisitos formales. El disponer de un “aviso” de estas características resultará fundamental en caso de que surja en el futuro algún tipo de litigio entre las partes. Marco jurídico 235 6º TRATAMIENTO DEL SPAM. El art. 21 dispone textualmente; “queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”. La opción elegida por nuestro legislador (opt-out) posiciona a todo el sector español de marketing directo on-line, en clara desventaja con el resto de países de la U.E. y por descontado con respecto a los terceros países no regulados al respecto. Sorprende el hecho de que la LSSI aplique un criterio más rígido sobre las comunicaciones comerciales de lo que hace la LOPD (Ley de rango superior) sobre las comunicaciones personales, a pesar de tratarse en este caso de un bien jurídico a proteger de mayor entidad que dichas comunicaciones. 7º CRUCE DE LSSI con la LOPD. Tal como está redactado el texto definitivo de la nueva ley, si nos tomamos la molestia de cruzarlo con las disposiciones de la LOPD en lo relativo a obligaciones, responsabilidades, infracciones y sanciones, llegaremos a la conclusión de que los riesgos de sanción son muy elevados y las cuantías de las multas son acumulativas. Todo ello lleva a concluir sobre la NECESIDAD DE APLICAR MEDIDAS PREVENTIVAS DE SEGURIDAD, tanto TECNOLÓGICAS como JURÍDICAS en el marco de las dos disposiciones legales que comentamos. 6.5.6. Infracciones y sanciones El título VII (artículo 36 al 44) está dedicado en exclusiva a la regulación de las INFRACCIONES y SANCIONES. Una vez más cabe denunciar las veleidades intervencionistas de un Gobierno ¡con mayoría absoluta y liberal! Sobre un tema tan sensible como el de los Servicios de la Sociedad de la Información. Aquí el exceso sobre el espíritu de la Directiva antes comentado es claro y sin paliativos, quizás se trate del “reflejo funcionarial” de la sociedad española. La casuística contemplada como susceptible de sanción es farragosa, prolija, asimétrica y poco coherente y las sanciones oscilan entre 3.000/99.000 euros para las infracciones leves y 300.000/600.000 euros para las muy graves. La competencia sancionadora recae en el Secretario de Estado de Telecomunicaciones y para la Sociedad de la información, para las infracciones graves y leves y en el Ministro de Ciencia y Tecnología para las muy graves. Sorprende una vez más esta obcecación del legislador español, aún cuando se trata de un Parlamento con mayoría liberal, por reforzar el “Estado policía”. Sobre la facultad sancionadora, todos los profesionales abogan por la postura que sean los jueces ordinarios los encargados. En este sentido se manifiestan públicamente la Asociación de Internautas (A.I.) y la Asociación Española de Comercio Electrónico (A.E.C.E.). DEFINICIONES DE TÉRMINOS EMPLEADOS EN LA L.S.S.I. El único ANEXO, perpetra una sana costumbre de la mayoría de leyes y normativa relativas a nuevas tecnologías y desarrolla. Los conceptos y las definiciones son en todo superponibles a los que figuran en la Directiva Europea homóloga. 6.6. Caso yahoo!! Francia La página web norteamericana de Yahoo! mantenía una lista (y mostraba imágenes) de objetos nazis que se ofrecían en subasta y daba servicio de hosting a una sección “revisionista”. A través de la página web de Yahoo France, los usuarios franceses podían acceder a los contenidos de la página norteamericana. Los dos portales fueron demandados en París por LICRA (un grupo dedicado a combatir el racismo y el antisemitismo) y el UEJF (un grupo de estudiantes judíos), alegando 236 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas que la publicidad y venta de los objetos nazis infringía el artículo 645-1 del Código Penal francés, banalizaba el Nacismo, alentaba la propagación del antisemitismo y era una ofensa contra la memoria colectiva de un país profundamente herido por las atrocidades cometidas por los Nazis; y pidiendo que el tribunal obligase a Yahoo! a hacer que estos contenidos y objetos fuesen inaccesibles desde Francia. En tres decisiones de mayo, agosto y noviembre de 2000, el Tribunal de Grande Instance de París (que a pesar de su nombre, es el Tribunal Superior de París) dio la razón a los demandantes. En la primera sentencia (mayo de 2000) el tribunal ordenó a Yahoo! que prohibiese el acceso de los usuarios franceses a las listas y subastas de objetos nazis y a los foros de discusión “revisionista”. En Cuanto a Yahoo France el tribunal le ordenó que notificase a sus usuarios que tendrían que desconectarse si accedían a páginas o forums de Yahoo! que infringiesen las leyes francesas. Aunque las sentencias no dicen nada, parece que cualquier otro de los portales franceses (o incluso buscadores) que proporcionasen un link a la página de Yahoo! norteamericana estarían en la misma situación que Yahoo France. En su defensa Yahoo! alegó: - que el tribunal francés no era competente, porque los actos tuvieron lugar en los EUA, no en Francia, y por lo tanto no podían constituir una infracción del código penal francés - que la decisión del tribunal francés sería contraria a la libertad de expresión recogida en la Constitución Norteamericana (1st amendment) y que Yahoo! no podría cumplirla. - y que es técnicamente imposible cumplir lo que piden los demandantes porque Yahoo! no puede identificar qué visitas a sus páginas web se han iniciado en Francia. Por lo que respecta a la jurisdicción, el Tribunal de París dijo que si bien el upload en el servidor tuvo lugar en los EUA, “al permitir la visualización de estos objetos y la participación en la exhibición y subasta de un usuario en Francia, se ha cometido una infracción en territorio francés”. El Tribunal no dio ninguna importancia al hecho que los actos no fuesen ilícitos en los EUA, ni al hecho que el material no iba principalmente dirigido a los usuarios franceses, porque “Yahoo sabe que las personas francesas accederán, y por lo tanto, hay suficientes vínculos con el foro para establecer competencia”. En cuanto a las limitaciones técnicas, el tribunal decidió que eran “reales pero no insuperables”, y por ello le dio un plazo de dos meses para cumplir la orden. Las partes volvieron a comparecer en julio de 2000; Yahoo alegó que el cumplimiento de la orden era técnicamente imposible. El tribunal nombró un panel de expertos internacionales para evaluar si lo que decía Yahoo! era cierto y/o cómo se podría cumplir la orden. Este panel de expertos dijo que la tecnología para realizarlo ya existía y en la sentencia de noviembre de 2000 el Tribunal de París confirmó su orden de mayo. En diciembre de 2000 para adelantarse a (evitar) que la sentencia francesa fuera ejecutada en los EUA, Yahoo! planteó una acción ante el tribunal federal de San José (California) para que declarase que la sentencia francesa no podía ser ejecutada en los EUA. LICRA pidió que se desestimase la demanda, pero el District Court de San José se negó (orden de 7 de junio de 2001). El 7 de noviembre de 2001, se dictó la sentencia (Yahoo Inc. V. LICRA, U.S. District Court for de Nothern District of California, San José Division, case n.00-21275 JF). Según el juez, no se trata ni de reconocer o no la soberanía francesa ni tampoco de aceptar o no la promoción del nazismo; se trata simplemente de ver si la orden del tribunal francés, que rebasa las fronteras norteamericanas, está de acuerdo con la ley de los EUA y en este sentido concluye: “es preferible permitir la expresión no violenta de puntos de vista ofensivos que no imponer regulaciones de la expresión basadas en puntos de vista gubernamentales. El gobierno y el pueblo de Francia han tomado una decisión diferente basada en su propia experiencia.” Marco jurídico 237 En cuanto a las posibilidades tecnológicas para cumplir la orden del tribunal francés, el juez de San José fue taxativo: “aunque Yahoo! tuviese la tecnología para cumplir la orden francesa, obligarlo a realizarlo sería una violación de su derecho a la libertad de expresión”. Y parece ser que el caso continúa. A finales de febrero de 2002 un juez francés se declaró competente para conocer una demanda presentada por una asociación de antiguos deportados de Auschwitz en contra de Tim Koogle, fundador de Yahoo! ICraveTV operaba una página web canadiense: captaba las señales de radiodifusión de programas canadienses y norteamericanos que se recibían en Canadá, convertía estas señales en formato videostreaming y las ponía a disposición de suscriptores a través de su página web. ICrave TV alegó que la captura, conversión, y la redistribución de programas televisivos de los EUA era lícita bajo la ley canadiense (que permite retransmisiones secundarias de emisiones televisivas). Teóricamente, ICrave TV restringía el acceso a su página web a usuarios canadienses (no obstante, éste filtro se podía salvar fácilmente identificando y proporcionando un prefijo telefónico canadiense). Los productores de la televisión norteamericana plantearon una demanda en el Western District de Pensilvania, donde residen el presidente de ICrave TV y su director internacional de ventas. El Tribunal se declaró competente (también basándose en los continuos y sistemáticos contactos de la entidad canadiense con Pensilvania). En lo que respecta a la ley aplicable el tribunal encontró suficientes vínculos de conexión con los EUA para aplicar la Copyright Act norteamericana a las actividades de los demandantes, y concluir que hubo infracción en los EUA en el momento que los ciudadanos norteamericanos recibieron la transmisión (videostreaming) no autorizada de material protegido por el derecho de autor, independientemente del hecho que esta transmisión (videostreaming) comenzase en Canadá. En este caso concreto a los productores de televisión solo les preocupaba como afectaba esta actividad en el mercado de los EUA y según parece, tenían motivos para estar preocupados, ya que más de la mitad de los suscriptores de la página web eran residentes en los EUA. Pero supongamos que un nombre sustancial de usuarios residentes en otros países (por ejemplo en el Reino Unido y/o Argentina) hubiesen accedido al servicio de ICrave TV. ¿Cuál hubiese sido su reacción en este caso? Paralelamente Yahoo! anunció su decisión de filtrar y eliminar el material racista (pej, objetos nazis y del Klu Klux Klan) de sus subastas, pero que no interferiría de ninguna manera en los chat-rooms y webs particulares a las que prestaba servicio de hosting en su servidor. A lo largo del 2001 otras webs de subastas (e-Bay) también han hecho lo mismo. 7. La firma electrónica 7.1. La firma electrónica como factor de seguridad tecnológica y jurídica La regulación jurídica de las nuevas tecnologías dejará de ser en breve una molesta carga de obligaciones para los empresarios y profesionales y, aunque con notable retraso sobre el calendario previsto, sin duda será la base del proceso de incorporación de hasta tres millones de unidades económicas de producción, integradas por empresas, autónomos y profesionales al uso de los sistemas de la información y las redes de telecomunicaciones. Hasta que esto no se consiga no podremos decir que España ha iniciado con decisión la incorporación de las nuevas tecnologías a la gestión empresarial. Hasta la fecha el país vive inmerso en una esquizofrénica dicotomía: a) Por un lado las grandes empresas con sistemas operativos ciento por ciento integrados en el uso y aplicación puertas adentro de las nuevas tecnologías. b) Por otro, millones de pequeñas empresas y autónomos que viven prácticamente de espaldas al fenómeno, con el que tropiezan tan solo ocasionalmente con vocación experimental. 238 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas En la práctica, el numeroso colectivo segundo de los citados ralentiza notablemente y hasta imposibilita los intentos por parte del segmento de “grandes empresas” por exportar puertas afuera sus sistemas organizativos con aprovechamiento total de las nuevas tecnologías. Para superar el actual estado de cosas es necesario disponer de un marco jurídico capaz de aportar los niveles de seguridad exigidos como mínimos en cada nivel de relación, puesto que dicho nivel es lógicamente diferente en función de los protagonistas y de la naturaleza de la relación que establezcan. Así resulta evidente que las necesidades de seguridad tecnológica y jurídica son distintas en los siguientes supuestos: - Compra por Internet entre un particular y una empresa (B2C). - Relación entre empresas a efectos de pedidos, facturación, etc. (B2B). - Relación entre empresas y particulares con las diferentes instancias de las Administraciones Públicas. El desarrollo del necesario marco jurídico presenta en estos momentos un innegable retraso provocado principalmente por el fallido intento de regular jurídicamente la firma electrónica, mediante la apresurada fórmula del real decreto ley en 1999. Paralelamente hay que hacer responsable por la parte que le toca al retraso en el despliegue tecnológico de las redes extranet necesarias para el intercambio documental entre las diferentes instancias públicas; administraciones, notarios, registradores, etc. Pero como dice el refrán; “nunca es tarde si la dicha es buena” y ahora parece que sí, que el rompecabezas está razonablemente completado y ya comienza a intuirse los beneficiosos efectos de los siguientes sistemas en su funcionamiento integrado. La firma electrónica una vez se haya actualizado su regulación jurídica de una forma operativa, según los parámetros del actual proyecto de ley aprobado por el Gobierno para su remisión a las Cortes en la primera semana de abril de 2003, será el elemento que posibilitará el pleno desarrollo tecnológico y legal de diversos sistemas que ayudarán notablemente sin duda alguna a la difusión del uso de las nuevas tecnologías, principalmente de Internet, entre las Administraciones Públicas, las empresas incluidas las pymes y microempresas y en última instancia entre los ciudadanos españoles. Los referidos sistemas son: 1. El llamado Sistema e-Notario que desarrolla la normativa sobre el particular de la Ley 24/001 conocido coloquialmente como Ley de Acompañamiento a los Presupuestos para el año 2002. 2. El Estatuto Nueva Empresa regulado en la Ley 7/2003 de 1 de abril de la sociedad limitada Nueva Empresa. 3. El Sistema e-Factura. Las facturas y recibos digitales emitidos y comunicados por Internet con plena eficacia jurídica y tributaria. 4. El llamado Punto Neutro Judicial, como red de comunicación entre los diferentes organismos judiciales y entre ellos y otros servicios y bases de datos de la Administración como pueden ser por ejemplo las Fuerzas de Seguridad o los diferentes Registros Públicos, Civil, Mercantil, etc. 1. FIRMA ELECTRÓNICA: APROXIMACIÓN TECNOLÓGICA. Se trata del elemento tecnológico que da soporte a los estándares mínimos de seguridad que son necesarios para la consecución de efectos jurídicos imprescindibles en las relaciones entre particulares y entre éstos y las administraciones. Dada su importancia en la doble vertiente técnica y jurídica procedemos seguidamente a exponer estos dos planos por separado. Marco jurídico 239 La firma electrónica es el resultado de encriptar mediante un código un determinado mensaje digitalizado, es decir que el significante del referido mensaje está soportado en bytes (impulsos electrónicos) y no en átomos. La encriptación deviene imprescindible para los sistemas mixtos de tratamiento y transmisión de la información por redes a los efectos de dotar a los contenidos informatizados de las siguientes propiedades absolutamente necesarias e imprescindibles desde la perspectiva de la seguridad: - Integridad de los contenidos. - Autenticidad (autenticación) de los sujetos que intervienen en el proceso. - Confidencialidad; infracción protegida frente a terceros no autorizados. Abordamos ambos términos de forma conjunta por dos razones: a) Son conceptos complementarios para blindar un proceso de comunicación en su objeto (contenidos) y en sus sujetos (las partes que intervienen). b) Los mecanismos conceptuales y tecnológicos desarrollados para su protección tienen un tronco común y se basan en la codificación y encriptación de los mensajes. Retomando esta última idea podemos decir que el origen y desarrollo de ambas técnicas; codificación y encriptación en el mundo moderno se encuentran en los ámbitos diplomático y militar. Posteriormente el centro de interés invade el terreno del “secreto industrial” y no es hasta fecha reciente, cuando se instala plácidamente orientado hacia la protección de los Derechos Humanos llamados de tercera generación, como conceptos capaces de preservar la confidencialidad, intimidad y privacidad de los mensajes y de las personas que los intercambian. Una primera aproximación respecto de estas técnicas nos obliga a señalar que, como toda tecnología está cargada de ideología y en consecuencia se trata de una arma de doble filo en función de quién la utilice. La base técnica de los sistemas de protección de la integridad y autenticación de la información es la llamada “clave asimétrica” a PKI (public key infrastucture) en términos ingleses. En el ámbito de la encriptación existen dos sistemas globales: 1. SISTEMAS DE CLAVE SIMÉTRICA, que son aquellos en que los sujetos participantes (emisores y receptores) operan con un mismo código de encriptación y desencriptación. Su vulnerabilidad radica en el dicho español; “secreto de dos es secreto de Dios y secreto de tres secreto no es”. En efecto la progresiva y reciente divulgación de la clave convierte al sistema de protección en altamente vulnerable. 2. SISTEMAS DE CLAVE ASIMÉTRICA. Se caracterizan porque emisor y receptor actúan en el circuito con claves dobles y diferentes; una pública conocida por todos y otra privada de carácter reservado. El sistema así concebido debe disponer necesariamente de una “Autoridad de Certificación” que en el marco de una regulación legal muy estricta emite, controla y depura las claves que operan, tanto las públicas como las privadas. Una variante de las claves asimétricas son las que se basan en datos orgánicos de los sujetos intervinientes en el proceso de comunicación, ya se trate de huella digital, manchas del iris ocular o entorno facial, entre otros. La firma electrónica es una tecnología que permite asociar un conjunto de datos o un documento a una determinada persona, ya sea en calidad de autor o como responsable de su emisión. Una vez que lo haya firmado electrónicamente el documento no podrá ser repudiado. Un proceso de firma digital requiere la concurrencia de tres elementos: el propio documento que se va a firmar; el identificador digital de quien va ha hacerlo (o certificado digital), y el programa de software que calculará la firma electrónica mediante unos algoritmos de programación. La firma digital es el resultado de unos cálculos que realiza el software de firma electrónica, que utili- 240 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas za la información que contiene el documento y los datos del firmante que figuran en el certificado digital. El documento puede ser una carta, una factura o una transacción u otro tipo de archivo digital. El certificado digital es emitidos por una empresa prestadora de servicios de certificación, que emiten este tipo de identificadores utilizando la denominada tecnología PKI o de infraestructura de clave pública y se cercioran de la identidad del peticionario. Una vez que el usuario está en poder del certificado, deberá configurar sus aplicaciones informáticas (por ejemplo, el navegador web y el programa de correo electrónico) para que sepan localizar y utilizar el certificado. A partir de este punto, el usuario podrá decidir qué documentos suyos quiere enviar firmados y cuáles no. FIRMA ELECTRONICA AVANZADA (F.E.A.) es aquella asimétrica cuyas claves, pública y privada, son extendidas y custodiadas por una AUTORIDAD DE CERTIFICACION o Prestador de Servicios de Certificación en terminología de nuestro Real Decreto Ley hoy vigente. ¡La FIRMA ELECTRÓNICA ASIMÉTRICA funciona técnicamente del siguiente modo: ¡Firmar electrónica o digitalmente un documento consiste en pasar un determinado algoritmo sobre el texto que se desea cifrar, basándose en la clave privada del signatario electrónico. Cuando el texto debe transmitirse firmado, el algoritmo recorre todos sus datos electrónicos y, junto a la clave privada, obtiene un valor (“hash”), que es la llamada firma digital asimétrica. El hash es un algoritmo matemático o número resultante de aplicar una clave de encriptación a un documento. En la transmisión, se envía por una parte el documento cifrado, y por otra el hash. Cuando el receptor recibe ambos documentos, debe actuar bajo las siguientes pautas: 1. Descifra el texto del destinatario con la clave pública. 2. Con este texto calcula el hash. 3. Si el hash calculado y el enviado coinciden, eso significa que el documento que ha llegado lo envía quien dice ser (ha sido descifrado con su clave “contraria”) y que además no ha sido alterado por el camino, pues de lo contrario los dos hash no coincidirían. El sistema PKI se debe a las investigaciones de Ronald Rivest, Adi Shamin y Leonard Adelman que en 1978 desarrollaron el hoy conocido como criptosistema RSA basado en el procedimiento matemático por el que se codifica el mensaje utilizando un número grande (por ejemplo de 250 dígitos) como clave. Los tres sentaron las bases de la mayor y mejor compañía internacional especializada en criptografía RSA Security Inc. 7.2. Autoridades de certificacion en España (A.C.): - FNMT (Fábrica Nacional de Moneda y Timbre): Es el único certificador en el ámbito de las Administraciones Públicas por lo que la aplicación de su certificado de firma electrónica surte efecto en este entorno. Además de la amplitud de su eficacia su otra gran ventaja frente a sus competidores es el carácter gratuito de su emisión y uso. - ACE (Agencia de Certificación Electrónica): Es la más importante, una empresa creada por: Telefónica (49%), Visa España/ Sermepa (20%), Sistemas 4B (20%), Confederación de Cajas de Ahorro (20%). Se convertirá en la única agencia emisora de certificados SET en España de carácter privado. ACE certificará a los bancos y éstos a su vez harán de avaladores ante ACE de los usuarios y tiendas que pretendan conseguir un certificado. De este modo ACE centralizará todas las iniciativas de certificación de bancos y cajas de ahorro. Marco jurídico 241 - El proyecto CERES es una iniciativa de Correos, la Fábrica Nacional de Moneda y Timbre y el Ministerio de Administración Pública, tiene como socios tecnológicos a la universidad politécnica de Cataluña (UPC). El objetivo es crear una Autoridad Certificadora del Estados, con la intención de que en el futuro se puedan realizar gestiones burocráticas por Internet. - Otra AC importante en España es FESTE, cuyo objetivo es emitir certificados equivalentes a Poderes Notariales o a Actos Mercantiles en presencia de un Corredor de Comercio. - Las Cámaras de Comercio están difundiendo su sistema CAMERFIRMA. EMPRESA Solicitud del certificado a través de la red Envio notificación Recoger certificado Consejo Superior de Camaras de Comercio Envio certificado Generar certificado Camaras de Comercio Verificar datos Visto bueno Como consecuencia de que ninguno de los certificadores de firma electrónica están plenamente homologados con respecto al cumplimiento de los requisitos del RDL 14/94 (ver más adelante), hay que precisar que el uso de las aplicaciones de certificación tan sólo surte efecto entre 242 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas las partes contratantes, de ahí la enorme ventaja del instrumento emitido por la FNM y T por cuanto surte efecto en todas las Administraciones Públicas. En primavera de 2.003 por fin parece que el tema de la certificación digital y de la firma electrónica comienza a madurar. Muchos y muy variados son los signos que los confirman. Por un lado el Consejo de Ministros de 6 de junio aprobó el texto del proyecto de Ley de Firma Electrónica para su remisión al Parlamento. Como ya se ha comentado anteriormente una de las importantes novedades del referido proyecto es la regulación del D.N.I. electrónico y como no podía ser menos la polémica entre la FNMT (Administración Pública) y los certificados privados ya está servida. En efecto el CiberPais de 5 de junio de 2003 informa que la FNMT entrará en septiembre de dicho año en el mercado privado de la certificación, con independencia del proceso legislativo que ahora se inicia con el texto de la futura ley. En opinión de Gonzalo Ferré Moltó presidente de la FNMT; “No tiene sentido que si el ciudadano tiene un documento que le acredita, sólo pueda utilizarlo con la Administración. Se trata de una ventaja para las empresas y los usuarios” “El DNI en España lo expide Interior como servicio público que es y siempre ha servido para acreditar al ciudadano ante otros ciudadanos y no sólo ante la Administración. ¿Por qué tendría que ser distinto el DNI digital? Por definición también ha de ser útil para comunicarse con todo el mundo. El DNI ya te acredita cuando quieres franquear los servicios de seguridad de una empresa privada o confirmar tu identidad en una compra con tarjeta. Junto a esta función básica, el nuevo DNI digital llevará incorporados otros servicios de certificación electrónica”. “Posiblemente, la expedición del DNI digital estará sometida a una tasa, como ahora. Cuando hablamos de un servicio público no tiene sentido hablar de dumping. Los servicios añadidos de certificación digital deberán ser compensados económicamente. Otra cosa es quién debe compensarlos. ¿Los presupuestos públicos? ¿El tenedor del documento? ¿O el que obtenga un beneficio por su uso? En el caso de la Agencia Tributaria, nosotros no cobramos al contribuyente, para quien también es una ayuda, sino a la propia agencia porque es ella la que se beneficia económicamente de un trámite digital que le ahorra papeleo”. El sector privado exige como contrapartida el reconocimiento por parte de la Administración de sus certificados. Pero los miedos de los privados no dejan de ser gratuitos, o al menos así lo parece. Admitiendo, como así es en realidad, que la Agencia Tributaria (AEAT) es el gran prescriptor de certificados de la FNMT, resulta obligado señalar que en 15 de mayo de 2003 se publicó en el BOE una orden por la que el Ministerio de Hacienda (Orden Hac./1181/2003 de 12) regula las relaciones entre los contribuyentes y la Agencia Estatal de Administración Tributaria (AEAT) a través del uso de la firma electrónica. Con la entrada en vigor de esta orden el Ministerio y la Agencia llevan a la práctica su voluntad de romper con la exclusiva (o mejor decir monopolio) que venían representando hasta entonces los certificados librados por la FNMT. Transcribimos por su elocuencia el preámbulo a las disposiciones de la referida Orden Hac. “En esta línea, se han ido dictando en los últimos años diversas normas que han posibilitado la presentación de declaraciones y diversas solicitudes tributarias a través de Internet, estableciendo los requisitos jurídicos y técnicos precisos para ello. Entres estos últimos, es de destacar la exigencia de estar en posesión de un certificado electrónico de usuario expedido por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT-RCM). La atribución a este Organismo Público de la facultad de prestar servicios de seguridad para las comunicaciones a través de técnicas y medios electrónicos, informáticos y telemáticos de las personas físicas y jurídicas con las Administraciones Públicas, había sido establecida en el artículo 81 de la Ley 66/97, de 30 de diciembre, de Medidas Fiscales, Administrativas y del orden Social, desarrollado actualmente por el Real Decreto 1317/2001, de 20 de noviembre. El estado de la técnica y el desarrollo de los servicios de certificación electrónica demandan la modificación del mencionado requisito, removiendo el carácter limitativo que conlleva. Marco jurídico 243 En este sentido, y ese es el objetivo último de esta Orden, se entiende necesario posibilitar que la firma de las declaraciones y otros documentos que se puedan tramitar por vía telemática ante la Agencia Estatal de Administración Tributaria, y la realización de otros trámites administrativos ante la misma, se basen en certificados electrónicos expedidos no sólo por la FNMT-RCM sino por cualquier otro prestador de servicios de certificación, siempre que se cumplan unas condiciones mínimas imprescindibles para que se puedan mantener las debidas garantías en los procedimientos tributarios. Esta Orden establece estas condiciones, así como la actividad administrativa para hacer efectiva la posibilidad mencionada. Con esta regulación se viene a dar cumplimiento, a la vez, al principio de libre competencia en la actividad de prestación de servicios de certificación, en el ámbito de la Hacienda Pública. Es este principio uno de los pilares de nuestro ordenamiento legal en este campo, al igual que lo es del europeo; así lo confirman tanto la Directiva que establece el marco comunitario para la firma electrónica (Directiva 1999/93/CE, de 13 de diciembre de 1999), como lo dispuesto en el Real Decreto-ley 14/1999, de 17 de septiembre, sobre firma electrónica. La presente Orden tiene base particularmente en el artículo 5 del Real Decreto-ley 14/1999, que habilita al Ministro de Economía y Hacienda para establecer un régimen normativo específico destinado a garantizar el cumplimiento de las obligaciones tributarias en los casos de utilización de la firma electrónica. Este régimen normativo específico habrá de integrarse, en lo que no esté expresamente previsto en el mismo, con las disposiciones comunes del Real Decreto-ley 14/1999, el cual tendrá, a estos efectos, un carácter supletorio”. En su disposición segunda detalla las condiciones y requisitos que deben cumplir los sistemas de firma digital para su homologación por parte de la A.E.A.T. y se remite para un mayor detalle a lo dispuesto sobre el particular por la Agencia en su portal web www.agenciatributaria.es (o bien www.aeat.es). “Permitir la generación de firmas electrónicas avanzadas, tal y como se definen en la legislación sobre firma electrónica. Los datos de creación y los de verificación de firma no podrán ser de longitud inferior a la publicada por la Agencia Estatal de Administración Tributaria en su dirección electrónica www.agenciatributaria.es. Emplear certificados electrónicos para vincular los datos de verificación de firma al signatario, confirmando su identidad, que contengan la información descrita en el apartado tercero de esta Orden y sean expedidos por prestadores de servicios de certificación que cumplan los requisitos del apartado cuarto. Generar las firmas electrónicas por un dispositivo seguro de creación de firma, tal y como se define en la legislación sobre firma electrónica. Asimismo, se admitirán los sistemas de firma digital o numérica basada en certificados expedidos por organismos, entidades y corporaciones públicas estatales que, de acuerdo con la Ley, se constituyan en autoridades de certificación. En estos supuestos se estará a lo dispuesto en la normativa específica que regule los distintos servicios de certificación, así como, en su caso, a lo convenido al efecto con la Agencia Estatal de Administración Tributaria. Supletoriamente se les aplicará lo dispuesto en apartado quinto de esta Orden, en los términos que en el mismo se señalan. En la dirección electrónica www.agenciatributaria.es se mantendrá una relación pública de los tipos de certificados electrónicos admitidos así como de los prestadores de servicios de certificación que los expiden. Tercero. Certificados electrónicos admitidos. 1. Los sistemas de firma digital o numérica deberán emplear certificados que puedan calificarse como reconocidos, de conformidad con la legislación de firma electrónica, siempre que incluyan en su contenido las menciones del número 2 siguiente. 244 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 2. Los certificados deberán tener, al menos, el siguiente contenido: a) Código identificativo único del certificado. b) Identificación del prestador de servicios de certificación que expide el certificado. c) Firma electrónica avanzada del prestador de servicios de certificación que expide el certificado. d) Identificación del signatario por su nombre y apellidos o razón social número de identificación fiscal. Cuando el signatario sea una persona jurídica se deberá consignar en el certificado la identidad de la persona física solicitante y responsable del uso del certificado. Las normas técnicas relativas al formato y la localización con que se han de consignar en el certificado los datos de identificación señalados en el párrafo anterior serán publicados por la Agencia Estatal de Administración Tributaria en la dirección electrónica www.agenciatributaria.es. e) Los datos de verificación de firma que correspondan a los datos de creación de firma que se encuentren bajo el control del signatario. f) El comienzo y el fin del período de validez del certificado. 3. De conformidad con el número 3 del apartado primero de esta Orden, los certificados habrán de estar basados en algún estándar técnico admitido por la Agencia Estatal de Administración Tributaria. Se admitirá, en todo caso, el formato basado en la versión 3 de la recomendación X.509 del ITU-T (International Telecommunications UnionTelecommunication), de fecha junio de 1997 o posterior. Los estándares técnicos admitidos serán publicados en la dirección electrónica www.agen ciatributaria.es. El plazo para resolver las solicitudes por la homologación por parte de los futuros certificadores es como máximo de seis meses y, lógicamente, la adminisión efectiva de los certificados estará supeditada al establecimiento de las conexiones telemáticas precisas entre la Agencia y el prestador de servicios de certificación homologado. Como no podría ser de otro modo los certificados de clase 2CA emitidos por la FNM y T con anterioridad a la entrada en vigor de la orden que comentamos continúan gozando de plena vigencia. Otro frente abierto entre la orilla pública y la privada de la firma digital es la voluntad de diversas administraciones autonómicas o locales para digitalizar las relaciones con sus administrados y a tal fin están desarrollando sus propios proyectos de tarjeta digital con, o al margen, del ya conocido de la FNM y T. Cuando se haya cerrado el proceso cabría preguntarse por el número de tarjetas que precisará un ciudadano para entenderse con las distintas administraciones. En palabras de Ferre Moltó, presidente de la FNMT; “cada administración es libre de querer implantar su propio sistema. Ahora bien, sin entrar en consideraciones políticas, los costes son muy altos y hay que tener presente las economías de escala. El coste fijo de implantar una solución telemática de este tipo siempre es el mismo. Obviamente, será menos gravoso si pueden utilizarlo cuarenta millones de ciudadanos que tres”. La verdad de la historia es la consecuencia de una serie de circunstancias desgraciadas que han coincidido en el tiempo tales como: la crisis económica, el fin de la burbuja tecnológica y los retrasos reiterados en diversos proyectos de regulación, unos más desgraciados que otros. En palabras de Alfredo Camín de CiberPaís; “Las entidades emisoras nunca han cuestionado la necesidad de un marco jurídico que impulse el desarrollo de los servicios relacionados con la certificación, claves para el desarrollo de la sociedad de la información. Su temor es que el desarrollo práctico de la Ley de Firma Electrónica perpetúe el estancamiento del mercado y el monopolio de facto de la Administración. Marco jurídico 245 Estas compañías privadas aseguran haber invertido millones de euros implantando su tecnología y adquiriendo las obligatorias infraestructuras de seguridad, muy costosas y que van desde los seguros hasta los búnkeres de seguridad. Sus profesionales han dedicado cuantiosos esfuerzos en la divulgación de una tecnología que a mediados de la década pasada es desconocida. “Sería comprensible que la Administración entrara en este mercado si la iniciativa privada no lo cubriera. Pero lo hace y muy bien, estamos ante una falta de ética comercial”, critica Moure, que no descarta que las entidades privadas acudan a los tribunales de la competencia. 7.3. Aproximación jurídica La normativa legal sobre firma electrónica arranca de la Directiva Europea 1999/93/C.E. del Parlamento Europeo y del Consejo de 13 de diciembre de 1999. En España se cumplió el plazo de transposición establecido en la referida directiva a través de un Real Decreto Ley (14/99 de 17 de septiembre de 1.999) extraña figura legislativa que se acostumbra a utilizar en situaciones de urgencia. Nadie conoce aún los motivos reales de tantas prisas, pero lo que sí se ha podido constatar es la verdad del dicho castellano; “vísteme despacio que tengo prisa”, porque a tres años largos de su publicación la inoperancia práctica del R.D.L. es patente y manifiesta. Como muestra baste decir que hoy en día ni tan siquiera se ha creado el Registro de Certificadores de Firma Electrónica que la norma contempla en el seno del Ministerio de Justicia (?), porque la realidad ha demostrado que ninguno de los Certificadores operativos en el mercado, incluido el que opera en el ámbito de las administraciones públicas (F.N.M. y T.) cumple con las prolijas exigencias y requisitos absurdos incluidos en la norma que comentamos. El RDL 14/1999 de 17 de septiembre (vigente en la actualidad). Evaluación global: • Es cuando menos precipitado en su elaboración y entrada en vigor. • Técnicamente no está bien resuelto, ni en sus planteamientos ni en sus soluciones. • Jurídicamente resulta confuso. • No se hace mención alguna a las exigencias atribuibles al signatario; diligencia, custodia y uso. La consecuencia de todo ello es la imposibilidad de aplicación práctica de esta norma que no obstante lo dicho aún está en vigor en la primavera de 2003. Principios del RDL 14/1999: • Principio de equivalencia funcional entre firma manual y firma electrónica avanzada (F.E.A.). • Principio de no alteración del derecho pre-existente de obligaciones y contratos privados (neutralidad jurídica). • Principio de neutralidad tecnológica. No se relaciona ninguno de entre los sistemas técnicos posibles. Definiciones del RDL 14/1999: • FIRMA ELECTRONICA: Es el conjunto de datos, en forma electrónica, anejos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que lo recoge. • FIRMA ELECTRONICA AVANZADA: Es la firma electrónica que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos. 246 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas • CERTIFICADO: Es la certificación electrónica que vincula unos datos de verificación de firma a un signatario y confirma su identidad. • CERTIFICADO RECONOCIDO: Es el certificado que contiene al menos la información descrita en el artículo 8 y es expedido por un prestador de servicios de certificación que cumple los requisitos enumerados en el artículo 12. • PRESTADOR DE SERVICIOS DE CERTIFICACION: Es la persona física o jurídica que expide certificados, pudiendo prestar, además, otros servicios en relación con la firma electrónica. Efectos jurídicos de la firma electrónica • La firma electrónica avanzada, siempre que esté basada en un certificado reconocido y que haya sido producida por un dispositivo seguro de creación de firma, tendrá, respecto de los datos consignados en forma electrónica, el mismo valor jurídico que la firma manuscrita en relación con los consignados en papel y los documentos que la incorporen serán admisibles como prueba en juicio, valorándose éstos, según los criterios de apreciación establecidos en las normas procesales. • Se presumirá que la firma electrónica avanzada reúne las condiciones necesarias para producir los efectos indicados en este apartado, cuando el certificado reconocido en que se base, haya sido expedido por un prestador de servicios de certificación acreditado y el dispositivo seguro de creación de firma con el que ésta se produzca se encuentre certificado, con arreglo a lo establecido en el RDL 14/99 ART 21. • A la firma electrónica que no reúna los requisitos previstos en el apartado anterior o no se base en un certificado expedido por un prestador de servicios acreditado, no se le negarán, por el mero hecho de presentarse en forma electrónica, efectos jurídicos ni será excluida como prueba en juicio. – La transcendencia de esta disposición radica en que el documento cualificado con la firma electrónica avanzada goza de la presunción iuris tantum (salvo prueba en contrario) de que quien firma el documento admite su total contenido, incluida la autoría por parte del firmante. Elementos que intervienen en el proceso técnico de la firma electrónica: • Un SIGNATARIO PERSONA FISICA que actuando en su propio nombre o en representación de una persona jurídica, crea la firma electrónica. • Un DISPOSITIVO DE CREACION DE FIRMA que es el programa o aparato informático utilizado por el signatario para aplicar los datos, como códigos o claves criptográficas privadas, que éste utiliza para crear su firma electrónica (datos de creación de firma). • Un DISPOSITIVO DE VERIFICACION DE FIRMA, que es el programa o aparato informático que sirve para aplicar los datos, como códigos o claves criptográficas públicas, que el receptor de un documento firmado electrónicamente utiliza para verificar dicha firma (datos de verificación de firma). Proyecto de Ley de Firma Electrónica A pesar de la iniciativa española que en su día se anticipó a todas las instancias de la U.E., lo cierto es que aún hoy se puede decir que tres años más tarde de la publicación del R.D.L. la regulación jurídica de la firma electrónica sigue siendo un tema incipiente y no resuelto. Como consecuencia de la inoperancia en la práctica de la norma vigente, la primera semana de abril de 2003 el Gobierno aprobó un nuevo texto que se encuentra ahora en fase de discusión parlamentaria previa a su aprobación. Marco jurídico 247 Exposición de motivos del borrador del proyecto de ley sobre firma electrónica: • Esta Ley ha recogido la experiencia adquirida en la aplicación del Real Decreto-Ley 14/1999, enriqueciendo el texto original con las modificaciones que sugiere la evolución de la tecnología y los servicios de certificación, con el objetivo de generar en el ámbito digital las condiciones de seguridad y confianza necesarias para estimular el desarrollo de los servicios de la Sociedad de la Información, en particular, de la Administración y del comercio electrónicos. Confiemos en que ahora sí se haya acertado en la rectificación de los errores anteriores. Novedades: • La regulación de la firma electrónica librada a una persona jurídica. • La regulación del D.N.I. electrónico. • La flexibilidad para propiciar la coexistencia de diversas categorías de firmas electrónicas, en función de los requisitos tecnológicos y jurídicos asumidos por cada categoría. • El reparto de las responsabilidades del buen uso de los certificados entre los diversos sujetos participantes, incluidos los usuarios y diversos órganos de defensa de la competencia. Lo cierto es que el texto del proyecto en su versión del día de la fecha sí parece reunir las rectificaciones necesarias al texto legal vigente, al tiempo que incorpora aquellas novedades que sobre el papel lo hacen realmente atractivo desde una perspectiva de su futura aplicación práctica. 7.4. Cuestionario básico para aclarar los principales conceptos Por su elevado valor clarificador y divulgativo sobre unos conceptos complejos de por sí y por su doble naturaleza tecnológica y jurídica reproducimos a continuación textualmente un cuestionario sobre el particular preparado por el suplemento tecnológico CiberPaís y contestado por la letrada Paloma Llaneza Gómez: ¿Qué es la firma digital? La firma es un sistema que permite identificar al emisor de un documento. Cuando hablamos de firma electrónica es para distinguir que no se genera manualmente, sino por medio de sistemas informáticos. Hay dos variedades: la firma electrónica simple y la avanzada; de hecho, cuando se habla de firma digital se entiende que hablamos de la avanzada. La simple consistiría, por ejemplo, en digitalizar tu firma manuscrita, conservarla en un archivo de imagen y adjuntarlo cuando remites un documento. No lleva aparejado ningún sistema seguridad que garantice que el documento es de quien dice haberlo enviado. La firma digital (o electrónica avanzada), por el contrario, permite la identificación del signatario, consiste en un par de claves -la pública y la privada-, tiene que crearse por medios que el signatario mantiene bajo su exclusivo control y permite detectar si se han introducido modificaciones en el documento una vez ha sido enviado. ¿Cómo se genera una firma digital? La firma digital’ aunque la ley no lo dice para evitar tener que cambiarla si surgen nuevas tecnologías, se basa en un sistema de cifrado asimétrico con dos claves, una pública y otra privada. Las claves se generan con dispositivos de creación de firma. ¿Qué son las autoridades de certificación? Son entidades de libre creación, aunque por al1ora se les exige estar registradas, que suministran los certificados que identifican al usuario con su clave pública e, indirectamente, con la privada, con la que mantiene una relación matemática. Los llamados certificados de atri- 248 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas bución no sólo garantizan la identidad del firmante, sino que, por ejemplo, sí tienen poderes de la empresa para concluir un determinado contrato comercial. ¿Es necesaria la intervención de una autoridad de certificación para obtener la firma? No, basta con disponer del programa informático adecuado. Una empresa, un caso, puede organizar un sistema de firma digital de sus empleados para los trámites internos de la misma. Para la relación con terceros es más aconsejable obtener un certificado de una autoridad de certificación. Tras una gestión en persona, como en el caso de la FNMT, para cotejar la identidad del signatario, la autoridad emite un certificado que identifica al usuario con su firma digital (más bien con su clave pública). Este certificado puede instalarse en el disco duro del ordenador, y cada vez que se remita un documento que necesita la firma digital lo adjunta. Este sistema tiene un problema. Al estar deposita- dos los datos en el ordenador, existe el peligro de que un pirata entre en él y los consiga. Es preferible conservar el certificado y las claves en una tarjeta electrónica que, a través de un lector, se introduce cuando se quiere firmar. De esta manera, los datos sólo son vulnerables a una intromisión en el instante de la firma. ¿Cómo trabaja una autoridad de certificación si se contrata que certifique atributos como, por ejemplo, que tengo poderes de la empresa? Mientras que el documento con firma digital se envía directamente al destinatario, en este caso se debería acudir a un sistema de triangulación; es decir, en cada operación la autoridad de certificación habría de acudir a datos externos (como el registro mercantil o un colegio de abogados) para comprobar mis poderes. Este sistema está poco extendido ya que no están generalizados los convenios de las certificadoras con bases de datos de terceros. Algunos poderes de un empleado se inscriben en el Registro Mercantil, pero una empresa puede haberle retirado los poderes sin notificarlo al Registro, por lo que la consulta es inútil. En otros casos, ni siquiera existe esta base de datos. Por ello no se acude a la triangulación. Cuando una empresa solicita una firma digital para uno de sus empleados se concreta el rango de la misma. ¿Qué pasa si la otra parte contrata una autoridad de certificación distinta de la mía? La Administración central sólo reconoce en sus relaciones con el ciudadano la autoridad de certificación de la FNMT. Hay que acudir a ella en las relaciones electrónicas con la Administración central. Las autonómicas están rociando sus propios proyectos de autoridad de certificación, lo que puede conducir a un panorama casi feudal según vayan las cosas necesitaremos tantas firmas digitales como administraciones públicas con las que queramos tener relación, a no ser que se acuerden sistemas de reconocimiento mutuo, aunque con el DNI digital esta situación podrá atenuarse. En el caso de empresas particulares, en principio, las autoridades de certificación deberían reconocerse mutuamente. Si una empresa no admite otra autoridad que la que tiene contratada, entonces dependerá del interés de la otra parte en llegar a un acuerdo para que acuda a ella o no. Es una cuestión de poder en una relación bilateral. 7.5. La firma electrónica aplicada al ámbito registral y de la fe pública De cómo las Nuevas Tecnologías pueden aportar rapidez y eficacia en los ámbitos jurídico y económico. La interrelación entre dos mundos tan complejos y tan diferentes tiene necesariamente que ser complicada y múltiple. Podemos establecer a priori tres niveles posibles de intersección: 1. Legislación: el mundo del Derecho intentando regular un entorno nuevo que se caracteriza por unas nuevas pautas de comportamiento, fundamentalmente basadas en la desubicación espacial y temporal. Marco jurídico 249 2. Herramienta: las TIC´s como conjunto de instrumentos que facilitará la eficacia de la Justicia y redundará en beneficio de las partes que confluyen en su ámbito: jueces, tribunales, justiciables, abogados, personal auxiliar, etc. 3. Las TIC´s como objeto de la Justicia. El nuevo marco de relación auspiciado por las TIC´s se constituirá a su vez como objeto de la Justicia más tarde o más temprano: ∑ Nuevas formas de relaciones jurídicas. ∑ Aparición de nuevos delitos. ∑ Nuevas formas de perpetrar delitos tradicionales. Todo ello obligará a que las partes intervinientes en el ámbito de la Justicia se familiaricen con: a) un nuevo entorno tecnológico distinto del plano real que ha venido en denominarse “Realidad Virtual” que se define por la DIGITALIZACION DE LA INFORMACION. b) un nuevo ámbito de relación económica y jurídica. c) un nuevo marco jurídico de regulación. d) unos nuevos elementos de prueba y nuevos procedimientos para practicar las pruebas testificales, documentales y sobre todo, las periciales. 7.5.1. El sistema e-notario Tras más de dos años de desarrollo, el conocido como Proyecto e-NOTARIO empieza a cobrar fuerza, principalmente porque su madurez tecnológica y organizativa se ha visto refrendada en el B.O.E. y así su uso se regula con fuerza de ley en la Ley 24/001 conocida como Ley de Acompañamiento a los Presupuestos del año 2002, Ley de Medidas Fiscales, Administrativas y de Orden Social (B.O.E. Nº 313 de 31/12/01). Se trata de una ley omnibus en la que como su propio nombre indica cabe de todo. A nuestros efectos lo interesante figura en la “SECCION 8ª: INCORPORACION DE TECNICAS ELECTRONICAS, INFORMATICAS Y TELEMATICAS A LA SEGURIDAD JURIDICA PREVENTIVA” (Arts. 106 a 115 ambos inclusive se reproducen íntegramente en anexo al final). Cuando menos el título resulta sugerente y sugestivo y su exposición comentada deviene en obligada. Antes de entrar en la exposición detallada de la norma será ilustrativo hacer una suscrita exposición del contenido del proyecto que nos ocupa. El Consejo General del Notariado presentó en el año 2000 el proyecto e-NOTARIO, que actualmente está en pruebas. Este proyecto intenta generar confianza en los nuevos medios de tratamiento de la información a través de los que se producen transacciones comerciales y monetarias y pretende facilitar aquellas que exigen la presencia de un notario. Las pruebas han comenzado con una de las operaciones más sencillas: los créditos al consumo. El sistema es similar a la firma electrónica, pero en un sistema cerrado y, por tanto seguro, entre las notarías y los bancos. El sistema tiene las ventajas de eliminar papeleo y ahorrar costes indirectos como tiempo, transporte o envío de documentación. A fecha de hoy y tal como está diseñado el sistema, su aplicación práctica está claramente enfocada a las OPERACIONES INMOBILIARIAS necesitadas u orientadas a la fe pública. Las partes interrelacionadas por el sistema son: - Notarios. - Resgistradores de la propiedad y mercantiles. - Sistema Financiero (optativo). - Corporaciones Locales. - Administraciones Autonómicas. - Hacienda Pública (A.E.A.T.). 250 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas A través del SISTEMA e-NOTARIO se podrán realizar a partir del 1 de septiembre 2002 (el futuro está aquí) las siguientes operaciones sin necesidad de desplazamientos ni copresencia de las partes: - Consultar la situación registral de fincas y solares, embargos, cargas, etc. - Consultar la situación tributaria de las fincas y solares en lo que respecta a pagos pendientes por impuestos locales autonómicos y estatales. - Condiciones sobre préstamos hipotecarios con diferentes entidades financieras. - Formalización de escrituras públicas de compraventa, hipotecas, etc. - Tramitación de inscripción registral de las operaciones. - Liquidación de impuestos estatales, autonómicos y locales. Y la generación y revisión electrónica de todos los documentos enumerados en el Art. 110. Para ello el único requisito formal es que las partes intervinientes lo hagan protegidas por la firma electrónica expedida por la FNMT (es gratuita). El Sistema e-NOTARIO tiene como objetivo incrementar y mejorar la comunicación y el intercambio de documentos entre notarios, colegios notariales, Consejo General del Notariado, Administración Pública y entidades financieras a través de e-not@rio. 7.6. La sociedad limitada Nueva Empresa EL NECESARIO ESTÍMULO PARA LA MODERNIZACIÓN DE AUTÓNOMOS Y MICROEMPRESAS. El texto del proyecto de ley conocido como ESTATUTO NUEVA EMPRESA fue publicado en el Boletín Oficial de las Cortes Generales de 14 de junio pasado y definitivamente aprobado en fecha 1 de abril como Ley 7/2003 y publicado su texto en el B.O.E. de 2 de abril de 2003. Sorprende la premura de legislador en dar salida al proyecto, así como la escasez de novedades que presenta el texto último aprobado respecto del proyecto inicial. Con toda seguridad todo ello es consecuencia de la voluntad de las Cámaras Legislativas y de los grupos políticos que las integran en dar prioridad y urgencia a esta norma por los innegables efectos positivos que sin duda tendrá sobre la incorporación de las nuevas tecnologías por parte de las pequeñas unidades productivas, principalmente autónomos y microempresas. En esta línea la norma que comentamos persigue dos objetivos globales. 1º OBJETIVO: Estimular la creación de nuevas empresas especialmente las de pequeña y mediana dimensión que constituyen la columna vertebral de la economía española y de la europea y son claves en la creación de puestos de trabajo. Sobre el particular baste recordar algunas magnitudes. En Europa existen 19 millones de microempresas y autónomos de los que 2,4 millones corresponden a España. En los dos ámbitos este colectivo genera casi el 80% del empleo total. Como contrapunto globalizador del fenómeno podemos añadir que el fenómeno transciende lo europeo y así un estudio del MIT realizado sobre el empleo USA en la década de los ochenta, ponía de manifiesto que en dicho período las microempresas generaron 20 millones de puestos de trabajos y por el contrario las 500 empresas más grandes eliminaban tres millones de empleos. Este estudio significó el principio del fin de uno de los falsos mitos de la economía. Para la consecución de este gran objetivo el nuevo marco jurídico societario persigue la superación de tres problemas endémicos: a) Superar las dificultades de financiación, mediante incentivos fiscales en los primeros años de actividad. b) Resolver las dificultades de control de la gestión por parte de los socios que ostentan la mayoría. Marco jurídico 251 c) Superar los problemas tradicionales de supervivencia de la sociedad derivada del relevo generacional. 2º OBJETIVO: Fomentar la incorporación de las microempresas al uso de las nuevas tecnologías en su gestión. Alguien dijo en Bruselas no hace mucho que; “Europa será digital o no será”. Sobre el particular sorprenden por negativos los índices de penetración y uso de las nuevas tecnologías por parte del colectivo de microempresas y autónomos en Europa y con mayor razón en España. Para superar este estado de cosas esta nueva Ley contempla la posibilidad de realizar los trámites de constitución de la sociedad por medios telemáticos a partir del denominado Documento Único Electrónico (DUE) que es el elemento básico de esta alternativa constituyente. Este instrumento revolucionario en nuestro ordenamiento jurídico presenta dos aspectos fundamentales: a) Su carácter integrador al permitir en la práctica la necesaria simplificación de los engorrosos trámites y formulismos administrativos mediante la inclusión, en un solo documento virtual, de todos los datos requeridos para la efectiva realización de los trámites antes citados. b) Su naturaleza electrónico-telemática. Para conseguir lo anterior se recurre a las nuevas tecnologías de la información y de las telecomunicaciones a partir del uso de la firma electrónica como instrumento tecnológico que garantiza la seguridad jurídica entre las partes; Administraciones Públicas, ciudadanos, notarios y registradores mercantiles. Con ello se llena de contenido jurídico-mercantil la hipótesis abierta en la Ley 24/2001 de 27 de diciembre de Medidas fiscales, administrativas y de orden social que establece el marco jurídico de una extranet operativa entre los notarios, registradores y diversas instancias de la Administración, como la Agencia Tributaria y la Seguridad Social que permitirá en un futuro próximo la resolución telemática de un considerable volumen de trámites y consultas, con los beneficios que de ello se derivan en términos de reducción de tiempos y costes implícitos, tanto para estas los profesionales como para las compañías emprendedoras. De este modo se completa la práctica aplicación de lo que se denomina Sistema e-Notario definido en la referida norma. En conjunto el Estatuto Nueva Empresa presenta las siguientes características: 1. No supone la creación de un nuevo tipo societario. 2. Presenta un carácter fuertemente personalista y cerrado, sobre todo en el acto fundacional. 3. Es excesivamente rígido en lo relativo al contenido de los estatutos sociales. 4. Su principal nota positiva es la rapidez y agilidad siempre que optativamente los socios constituyentes elijan la tramitación telemática. En principio esta nueva opción debería traducirse en menores costes de tramitación del proceso constituyente. La nueva ley pretende zanjar las tradicionales quejas lanzadas desde la Comisión Europea y la OCDE respecto a las trabas que encuentran los emprendedores españoles en el lanzamiento de empresas. España, con cifras medias que rondan los dos meses y plazos máximos de espera de hasta cinco meses, es uno de los países europeos con mayores costes y demoras en la tramitación administrativa de la necesaria autorización para poder operar. La nueva ley pretende acabar con los catorce trámites que se deben superar para constituir un negocio, limitar a tan sólo 48 horas las demoras y agrupar un conjunto de reformas fiscales y de simplificación contable y de gestión que consiga impulsar, tras la crisis económica internacional, el sector de las pymes, un área decisiva para el tejido empresarial español que da empleo a cerca del 79 por ciento de los trabajadores nacionales. 252 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas El Estatuto, además, se centra con especial interés en personas emprendedoras con capacidad para lanzar un negocio, pero sin conocimientos para llevar a cabo los requisitos de constitución y gestión diarios. Para ello, el Ministerio de Economía ha creado la Red de Creación de Empresas, un entramado de asistencia continua a los emprendedores que asesorará de forma gratuita a los nuevos empresarios en las oficinas del Ministerio o en las Cámaras de Comercio. A estos efectos la Administración ha alcanzado acuerdos con las comunidades autónomas, con los ayuntamientos, con las cámaras de comercio y los colegios profesionales, con las asociaciones empresariales y con las agencias para el desarrollo. Todos ellos han colaborado para unificar los trámites y permitir que el emprendedor pueda impulsar una empresa con un solo trámite ante un notario. El fedatario público será posteriormente el encargado de cumplir el resto de los requisitos. El resultado es el fin de los catorce documentos actuales y de las habituales idas y venidas a oficinas públicas para poder crear una empresa. Un solo documento, que se podrá cumplimentar por Internet se convierte ahora en la puerta de los emprendedores. La ley que regula el Estatuto Nueva Empresa que fundamenta en tres elementos esenciales: el Centro de Información y Red de Creación de Empresas(CIRCE), el régimen jurídico de la Nueva Empresa y el Sistema de contabilidad simplificada. El Centro de Información y Red de Creación de Empresas (CIRCE). Se concibe como una red de Puntos de Asesoramiento e Inicio de Tramitación (PAIT), en los que se asesora y se prestan servicios a los emprendedores, tanto en la gestación, tramitación administrativa y puesta en marcha de sus iniciativas empresariales, como durante los primeros años de actividad de las mismas. Con el objetivo de agilizar al máximo los trámites administrativos necesarios para la constitución y puesta en marcha de las empresas, el proyecto contempla la posibilidad de realizar los mismos por medios telemáticos. A tal efecto, se define el Documento Único Electrónico (DUE) como elemento básico para realizar telemáticamente los trámites antes mencionados, al que nos referimos en otro apartado. El régimen jurídico de la Nueva Empresa (ver número 2 de este apartado). Sistema de contabilidad simplificada. Se implanta un modelo de contabilidad simplificada acorde con las características de la Nueva Empresa. Este modelo, que permitirá la formalización de las obligaciones contables mediante un Registro Único, estará basado en la llevanza del Libro Diario de tal modo que se favorezca la composición inmediata de las partidas a cumplimentar en los modelos de cuentas anuales abreviadas sin que sean necesarios documentos contables adicionales. 7.6.1. Régimen jurídico de la SLNE Se trata de una expresión simplificada de la Sociedad de Responsabilidad Limitada regulada en la Ley 2/1995, de 23 de marzo. Se añade a la mencionada ley un nuevo capítulo, el XII, integrado por 7 secciones y 15 artículos, del 130 al 144, ambos inclusive y además, se añaden dos nuevas disposiciones adicionales; la primera recoge las modificaciones que se producen en el texto de la vigente ley del Impuesto de Sociedades y la segunda lo mismo respecto de la Ley de Asistencia Jurídica Gratuita. Y el texto se cierra con cinco Disposiciones finales de las que la mayor transcendencia es la quinta por establecer la fecha de entrada en vigor de esta nueva ley, concretamente el próximo tres de junio de 2003. En este capítulo XII se regulan todas las singularidades de la Nueva Empresa rigiéndose, por lo demás, por las disposiciones del régimen jurídico de las Sociedades de Responsabilidad Limitada. Marco jurídico 253 Siguiendo el texto del nuevo capítulo XII, abordamos las características de la Sociedad Limitada Nueva Empresa 7.6.1.1. Denominación social (Artículo 131) Estará formada por los dos apellidos y el nombre de uno de los socios fundadores seguidos de un código alfanumérico que permita la identificación de la sociedad de manera única e inequívoca. Por Orden del Ministro de Economía se regulará el procedimiento de asignación del código. En la denominación de la compañía deberá figurar necesariamente la indicación “Sociedad Limitada Nueva Empresa” o su abreviatura “SLNE”. La denominación social se incorporará inmediatamente a una subsección especial de la Sección de Denominaciones del Registro Mercantil Central. 7.6.1.2. Objeto social (Artículo 132) Todas o alguna de las siguientes actividades, que se transcribirán literalmente en los estatutos: la actividad agrícola; ganadera; forestal; pesquera; industrial; de construcción; comercial; hostelera; de transportes; de comunicaciones; de intermediación; de profesionales o de servicios en general. Además, los socios fundadores podrán incluir en el objeto social cualquier actividad singular distinta de las anteriores. En este caso, si la inclusión de dicha actividad singular diera lugar a una calificación negativa del registrador mercantil de la escritura de constitución de la sociedad, no se paralizará su inscripción, que se practicará, sin la actividad singular en cuestión siempre que los socios fundadores lo consienten expresamente en la propia escritura de constitución o con posterioridad a ella. En ningún caso podrán incluirse en el objeto social aquellas actividades para las cuales se exija forma de sociedad anónima ni aquéllas cuyo ejercicio implique objeto único y exclusivo. No podrán adoptar esta forma social aquellas sociedades a las que resulte de aplicación el régimen antiguo de transparencia fiscal previsto en la ley reguladora del Impuesto de Sociedades (nuevo régimen de Sociedades Patrimoniales). 7.6.1.3. Requisitos subjetivos y unipersonalidad. (Artículo 133) Sólo podrán ser socios de la Sociedad Nueva Empresa las personas físicas. Al tiempo de la constitución los socios no podrán superar el número de cinco. No podrán constituir ni adquirir la condición de socio único de una Sociedad Nueva Empresa quienes ya ostenten la condición de socios únicos de otra Sociedad Nueva Empresa. 7.6.1.4. Requisitos constitutivos (Artículo 134) La Sociedad Nueva Empresa requerirá para su válida constitución escritura pública que se inscribirá en el Registro Mercantil correspondiente a su domicilio. Con la inscripción adquirirá la Sociedad Nueva Empresa su personalidad jurídica. En este extenso artículo se regula el procedimiento de constitución que de modo opcional se puede realizar, mediante la comunicación Notario- Registro Mercantil y Administraciones mediante la incorporación de técnicas electrónicas, informáticas y telemáticas que en el ámbito de la seguridad jurídica preventiva han sido recogidas en la Ley 24/2001, de 27 de diciembre, de Medidas fiscales, administrativas y del orden social. 7.6.1.5. Capital social y participaciones sociales (Artículos 135 y 136) El capital social de la Sociedad Nueva Empresa no podrá ser inferior a tres mil doce euros ni superior a ciento veinte mil doscientos euros. En todo caso, la cifra de capital mínimo indicada sólo podrá ser desembolsada mediante aportaciones dinerarias. Por el contrario el exceso, si lo hubiere se podrá ser desembolsado mediante aportaciones en especie. 254 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas La transmisión voluntaria por actos intervivos de participaciones sociales sólo podrá hacerse a favor de personas físicas, pudiendo superar en consecuencia el número de cinco socios. Si como consecuencia de la transmisión adquirieran personas jurídicas participaciones sociales deberán ser enajenadas a favor de personas físicas, en el plazo de tres meses contados desde la adquisición; en caso contrario, la Sociedad Nueva Empresa quedará sometida a la normativa general de la Sociedad de Responsabilidad Limitada, sin perjuicio de la responsabilidad de los administradores. 7.6.1.6. Acreditación de la condición de socio (Artículo 137) No será precisa la llevanza del Libro Registro de Socios, acreditándose la condición de socio mediante el documento público en el que se hubiese adquirido la misma. 7.6.1.7. Órganos sociales (Artículo 138 y 139) La regulación de la Junta General no sufre alteración, si bien se permite la convocatoria por procedimientos telemáticos. Organo de administración: unipersonal o pluripersonal, cuyos miembros actuarán mancomunada o solidariamente. El órgano pluripersonal en ningún caso adoptará la forma y el régimen de funcionamiento de un Consejo de Administración. Para ser nombrado administrador se requerirá la condición de socio. 7.6.1.8. Modificaciones estatutarias (Artículo 140) La Sociedad Nueva Empresa sólo podrá modificar su denominación, respetando lo establecido en el artículo 131, su domicilio social, y su capital social dentro de los límites máximo y mínimo establecidos en el artículo 135. Si los socios acordaren aumentar el capital social por encima del límite máximo establecido en el artículo 135, en dicho acuerdo deberán asimismo establecer si optan por la transformación de la Sociedad Nueva Empresa en cualquier otro tipo social o si continúan sus operaciones en forma de sociedad de responsabilidad limitada, conforme a lo establecido en el artículo 144. 7.6.1.9. Cuentas Anuales (Artículo 141) La contabilidad de la Sociedad Nueva Empresa podrá llevarse, en los términos que reglamentariamente se determinen, de acuerdo con el principio de simplificación de los registros contables a través de un único registro. Estamos a la espera de que, lógicamente se diseñe un nuevo modelo más reducido para el depósito de las cuentas en el Registro Mercantil. 7.6.1.10. Disolución (Artículo 142) Por las causas establecidas en la presente Ley y, además, por las siguientes: a) Por consecuencia de pérdidas que dejen reducido el patrimonio contable a menos de la mitad del capital social durante al menos seis meses, a no ser que se restablezca el patrimonio contable en dicho plazo. b) Por resultar aplicable a la sociedad el régimen de transparencia fiscal en los términos señalados en el apartado cuarto del artículo 132, siempre y cuando las circunstancias señaladas en el mencionado apartado concurran durante más de noventa días. La disolución requerirá acuerdo de la Junta General y será de aplicación el artículo 105 de la presente Ley. 7.6.1.11. Transformación (Artículo 143) La Sociedad Nueva Empresa podrá transformarse en sociedad colectiva, sociedad civil, sociedad comanditaria simple o por acciones, sociedad anónima, sociedad cooperativa, así como en agrupación de interés económico. Marco jurídico 255 7.6.1.12. Continuación de operaciones en forma de sociedad de responsabilidad limitada (Artículo 144) La Sociedad Nueva Empresa podrá continuar sus operaciones en forma de sociedad de responsabilidad limitada, para lo cual requerirá acuerdo de la Junta General y adaptación de los estatutos sociales de la Sociedad Nueva Empresa a lo establecido en la sección 2.ª del capítulo II de la presente Ley. Para la adopción de ambos acuerdos bastará la mayoría que establece el artículo 53.1 de la presente Ley (mayoría de votos que representen el tercio de votos correspondientes en que se divida el capital social). La escritura de adaptación de los estatutos sociales deberá presentarse a inscripción en el Registro Mercantil en el plazo máximo de dos meses desde la adopción del acuerdo de la Junta General. 7.6.2. El documento único electrónico (due) Es el eje central en el que pivotará la realización de TODOS LOS TRÁMITES de esta compañía con: - Registros Públicos; mercantiles y de la propiedad. - Administraciones Públicas; Hacienda, Seguridad Social, Corporaciones Locales. - Profesiones reguladas y organizadas colegialmente; graduados sociales, economistas, gestores administrativos, abogados, etc. En este sentido, el DUE es el elemento material central de este nuevo tipo de sociedad mercantil por cuanto es el que propicia la máxima rapidez de todo el proceso. Este documento recoge todos los datos relativos a la formalización y constitución de una sociedad SLNE, que son necesarios para su remisión al Registro Mercantil y a las Administraciones Públicas competentes para cumplir todos los requisitos que las diferentes normativas mercantiles, tributarias y sociales exigen para la habilitación de una persona jurídica; inscripciones registrales, altas censales, liquidaciones tributarias, otorgamiento de NIF y número de la Seguridad Social, etc. Cualquier envío o remisión del DUE se hará mediante técnicas electrónicas, informáticas y telemáticas, aprovechando la tecnología de la infraestructura e-Notario antes descrita. El procedimiento también se integrará en los Centros de Ventanilla única Empresariales. Para una mayor agilización del sistema el Ministerio de Economía establecerá convenios de colaboración para crear Puntos de Asesoramiento e Inicio de Tramitación con otras entidades públicas y privadas. Entre finales de mayo y principios de junio de 2003 y con un cierto retraso, perdonable por su brevedad, respecto de la entrada en vigor de la Ley que nos ocupa se publican varias disposiciones de diverso rango que redondean definitivamente asuntos tan importantes por su novedad y transcendencia para el buen funcionamiento de la nueva figura SLNE como los siguientes: - Procedimiento de asignación del código ID-CIRCE. - Solicitud de la identificación en los procesos de tramitación no telemática. - Funcionamiento de los Puntos de Asesoramiento e Inicio de Tramitación (PAIT) integrado en el Centro de Información y Red de Creación de Empresas (CIRCE). - Sistema de tramitación telemática de la SLNE. - Funcionamiento y estructura del Documento Único Electrónico (DUE). Todo ello está regulado por las siguientes disposiciones: a) ORDEN ECO/1371/2003 de 30 de mayo por la que se regula el procedimiento de asignación del Código ID-CIRCE que permite la identificación de la SLNE y su solicitud en los procesos de tramitación no telemática. 256 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas b) REAL DECRETO 682/2003 de 7 de junio por el que se regula el sistema de tramitación telemática a que se refiere el art. 134 y la Disposición Adicional Octava de la Ley 2/1995 de 23 de marzo de Sociedades de Responsabilidad Limitada. c) INSTRUCCIÓN de 30 de mayo de 2003 de la Dirección General de los Registros y del Notariado en relación a la entrada en vigor de la Ley 7/2003 de la SLNE. Este texto tiene una clara vocación de unificación de criterios nuevos en su mayoría desde la perspectiva de los sujetos protagonistas en su aplicación; los notarios y los registradores. Por su importancia nos vemos obligados a transcribir casi íntegramente los textos de las referidas disposiciones. 7.6.2.1. Procedimiento para la asignación del código id-circe y su solicitud en los procesos de tramitación no telemática Primero. La presente Orden Ministerial tiene por objeto la regulación del procedimiento de asignación del código ID-CIRCE que permite la identificación de la sociedad limitada Nueva Empresa cualquiera que sea el modo de tramitación que se utilice para su creación. Asimismo, se establecen los trámites que ha de realizar el emprendedor para la obtención de este código en los supuestos de tramitación no telemática. Segundo.—La denominación social estará formada por los dos apellidos y el nombre de uno de los socios fundadores seguidos de un código alfa numérico, de conformidad con el artículo 131.1 de la ley 2/1995, de 23 de marzo. Tercero. 1. El código a que se hace referencia en el apartado segundo será generado por el Sistema de Tramitación Telemática STT-CIRCE. 2. La administración y gestión del Sistema de Tramitación Telemática - Sil - CIRCE corresponde al Ministerio de Economía a través de la Dirección General de Política de la Pequeña y Mediana Empresa. 3. El ID-CIRCE está constituido por una secuencia de diez caracteres alfanuméricos. Los primeros nueve caracteres son dígitos decimales y el décimo es una letra simple mayúscula de acuerdo con la estructura siguiente: una primera parte numérica secuencial que será un número entero de siete dígitos, una segunda parte numérica que será un número entero de dos dígitos de control, y una tercera que será una letra. 4. El algoritmo de la generación del código ID-CIRCE responde al funcionamiento siguiente: a) Cuando se solicite al Sistema de Tramitación Telemática -STT-CIRCE el IDCIRCE correspondiente a un Sociedad Limitada Nueva Empresa, el sistema generará la primera parte del código cuyo carácter secuencial garantiza su unicidad. Inmediatamente, el sistema dividirá el número anterior por los números 97 y 23. b) Los primeros dos dígitos del resto de la división por el número 97 constituirán los dígitos de control, es decir, la segunda parte del código. Los primeros dos dígitos del resto de la división por 23 se convertirán a una letra utilizando la siguiente matriz de conversión: (00=T, 01=R, 02=W, 03=A, 04=G, 05=M, O6=Y, 07=F, 08=P, O9=D, 1O=X, 11=B, 12=N, 13=J, 14=Z, 15=S, 16=Q, 17=V, 18=H, 19=L, 20=C, 21=K, 22=E). Automáticamente el sistema concatenará el resultado de los cálculos anteriores componiendo así el ID-CIRCE. Marco jurídico 257 Cuarto. —De conformidad con lo dispuesto en el articulo 134 de la Ley 2/1 995, de 23 de marzo, los trámites necesarios para la constitución y puesta en marcha de la sociedad podrán ser realizados a través de técnicas electrónicas, informáticas y telemáticas o, si los socios fundadores así lo deciden, se podrá prescindir de los trámites arriba mencionados y realizar la constitución y puesta en marcha por procedimiento no telemático. La tramitación no telemática supone que los socios fundadores realicen por sí mismos los trámites y comuniquen los datos referentes a la Nueva Empresa de conformidad con las normas que resulten de aplicación. Quinto. —Cuando el emprendedor opte por la tramitación no telemática, tendrá que obtener el código ID-CIRCE a través del sitio web del sistema CIRCE, http //www circe.es o del sitio web http://www.ipyme.org. El emprendedor podrá acceder él mismo al mencionado sitio o acudir a cualquiera de los Puntos de Asesoramiento e Inicio de Tramitación (PAIT), incluidas las Ventanillas Unicas Empresariales (VUE), para obtenerlo. El socio fundador que vaya ser titular de la denominación social indicará su nombre y dos apellidos, número de Documento Nacional de Identidad y su dirección completa. Sexto.—El código ID-CIRCE generado de conformidad con los apartados anteriores será el único aceptado por el Registro Mercantil Central. Séptimo. —La generación del ID-CIRCE no supone, en ningún caso, la reserva automática de la denominación social. El emprendedor deberá realizar los trámites legalmente establecidos para solicitar la reserva de dicha denominación ante el Registro Mercantil Central. Octavo. —La presente Orden entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado». A destacar por su transcendencia práctica lo dispuesto en el párrafo séptimo anterior que remite necesariamente a los trámites legalmente establecidos para solicitar y obtener la reserva de la denominación socialmente ante el Registro Mercantil Central. Este texto está complementado desde la perspectiva de los notarios y registradores por la primera parte de lo dispuesto en la INSTRUCCIÓN de 30 de mayo de 2003 de la Dirección General de los Registros y del Notariado: 1) En relación a la solicitud de la denominación social: Primero.- El emprendedor obtendrá el código ID-CIRCE a través del sitio web del sistema CIRCE, http://www.circe.es o .http://www.ipyme.org, para lo que podrá acceder él mismo al mencionado sitio o acudir al área PYME de información de la Dirección General de política de la pequeña y mediana empresa. Posteriormente se podrá acudir a las Ventanillas Unicas Empresariales (VUE) En una fase posterior, se podrá obtener también en los Puntos de Asesoramiento e Inicio de Tramitación (PAIT). Segundo.- La generación del ID-CIRCE no supone, en ningún caso, la reserva automática de la denominación social. El emprendedor deberá presentar la solicitud de denominación en el Registro Mercantil Central. Tercero.- Conforme al artículo 248 de la Ley Hipotecaria, según la redacción dada por la Ley 24/2001 de 27 de diciembre, tras acceder al Registro Mercantil Central una solicitud de denominación social SLNE, aquél practicará inmediatamente el correspondiente asiento de presentación correlativo y referido a la subsección especial de llevanza informática abierta en la Sección de Denominaciones, siéndole comunicado al presentante, este hecho y el número del pertinente asiento. 258 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Cuarto.- La solicitud de denominación social SLNE podrá presentarse en el Registro Mercantil Central durante las veinticuatro horas de cada día. Quinto.- La solicitud, que podrá realizarse también por el notario desde la notaría a instancia del emprendedor, deberá contener, al menos, las siguientes circunstancias. 1. Apellidos y nombre de uno de los socios fundadores seguidos del código alfanumérico asignado. (ID. CIRCE). 2. Beneficiario del nombre social a cuyo favor ha de practicarse la reserva y expedirse la certificación, y que ha de coincidir, necesariamente, con el que figura en la expresión denominativa. 3. Presentante formal de la solicitud. 4. La forma de retirada de la certificación de la denominación social cuando la misma sea expedida en soporte papel, se hará por los procedimientos ordinarios. En el supuesto de que aquella lo sea en soporte electrónico, la certificación de denominación social, será remitida por vía telemática, con la firma electrónica avanzada del Registrador Mercantil Central, y en tal supuesto sólo podrá ser enviada al notario, todo ello de acuerdo con la normativa especifica relativa a la incorporación de las técnicas informáticas, electrónicas y telemáticas a la seguridad jurídica preventiva. Sexto.- EI emprendedor aportará al notario, el correspondiente certificado de reserva de denominación social expedido por el Registrador Mercantil Central en soporte papel, salvo en los supuestos que el notario ya lo tenga. 7.6.2.2. Real decreto 682/2003 de 7 de junio por el que se regula el sistema de tratamiento telemático. Por su importancia lo transcribimos íntegramente y para facilitar su lectura hacemos a continuación un resumen de su estructura. - Art. 2. CENTRO DE INFORMACIÓN Y RED DE CREACIÓN DE EMPRESAS (CIRCE). - Art. 3. PUNTOS DE ASESORAMIENTO E INICIO DE TRAMITACIÓN (PAIT). - Art. 4. NATURALEZA Y CONTENIDO DEL DUE. - Art. 5. TRÁMITES QUE PUEDEN SER REALIZADOS CON EL DUE. De lectura obligada por su interés y transcendencia. - Art. 6. TRAMITACIÓN DEL DUE. a) Incorporación de la denominación social por el Registro Mercantil Central. b) Elección del notario autorizante de la escritura pública de constitución de la SLNE. c) Incorporación de los estatutos sociales. d) Obtención del N.I.F. provisional de la sociedad. e) Autoliquidación del Impuesto sobre Transmisiones Patrimoniales y Actos Jurídicos Documentados. f) Incorporación de los datos relativos a la inscripción registral al DUE. g) Obtención del N.I.F. definitivo de la sociedad. h) Expedición de la copia autorizada en soporte papel de la escritura de constitución de la SLNE. i) Reclamación censal de la actividad. Marco jurídico 259 j) Alta en el I.A.E. a efectos censales. k) Formalización de la cobertura de los accidentes de trabajo y enfermedades profesionales. l) Inscripción del empresario y apertura del código de cuenta de cotización (CCC) en la Seguridad Social. m) Inscripción del empresario e identificación e inscripción de embarcaciones y artefactos flotantes. n) Asignación del nº de la Seguridad Social y reconocimiento de la condición de afiliado del trabajador. o) Obtención del alta en el régimen de la Seguridad Social que corresponda. - Art. 7. COMUNICACIÓN DE MODIFICACIONES POR LAS ADMINISTRACIONES PÚBLICAS. - Art. 8. PROTECCIÓN DE DATOS PERSONALES. - DISPOSICIÓN ADICIONAL ÚNICA. Supletoriedad. - DISPOSICIÓN FINAL PRIMERA. Técnicas vinculadas a la seguridad jurídica preventiva. - ANEXO I. DATOS BÁSICOS DEL DOCUMENTO ÚNICO ELECTRÓNICO. - ANEXO II. DATOS A INCORPORAR EN EL DUE EN CADA FASE DE LA TRAMITACIÓN POR EL NOTORIO AUTORIZANTE. - ANEXO III. FORMULARIOS SUSTITUIDOS POR EL DUE. Este punto por su simpleza es altamente expositivo de la operativa del sistema así como de su potencialidad desde el punto de vista de la agilización de los trámites iniciales para disponer de rápidamente de una SLNE operativa. * Cremades, Joan B., Deslinde Jurisprudencial de la Intimidad: la protección del dato perteneciente a libro: Intimidad y Seguridad: Coordinado por Montserrat Nebrera, Editado por el Instituto de Estudios de la Gobernabilidad y la Seguridad (ISEGS)- Asociación de Directivos de Seguridad Integral (ADSI). 260 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 7.6.3. Elementos diferenciales de las SLNE con respecto al régimen general de las SRL: Denominación social Objeto social Socios Tramites de constitución Capital social Transmisiones participaciones sociales Libro registro de socios Junta general Organo de administración - Nombre y apellidos de uno de los socios fundadores seguido de un código alfanumérico. - Figurará necesariamente la indicación “Sociedad Limitada Nueva Empresa” o “SLNE”. - Se inscribirá en una subsección especial de la Sección de Denominaciones del Registro Mercantil Central. - Estipulado en una amplia relación cerrada de actividades. - Excluidas todas las Sociedades en régimen de Transparencia Fiscal. - Sólo personas físicas y un máximo de 5. - No pueden serlo si son socios únicos de otra SLNE. - Podrán realizarse a través de técnicas electrónicas, informáticas y telemáticas. - Una vez constituida la SLNE, el Notario otorgante generará el Documento único Electrónico (DUE). - Mínimo 3.012 euros y máximo 120.200 euros. - Desembolso del capital mínimo sólo con aportaciones dinerarias. Sólo se podrá realizar entre personas físicas. Podrá superarse el número de 5 socios del momento de constitución. - Si las participaciones son adquiridas por personas jurídicas deben ser enajenadas a favor de personas físicas en tres meses . - NO es obligatorio. - Posibilidad de convocatoria mediante procedimientos telemáticos. - Si es pluripersonal no adoptará forma y régimen de Consejo de Administración. - Se requiere la condición de socio para ser administrador. - Sólo 3: denominación, domicilio y capital social. Modificación de estatutos Cuentas anuales Disolución - En caso de aumento de capital por encima límite máximo, opción por transformación a otro tipo social o continuación como S.R.L. normal. - Se simplifica, permitiendo la contabilización por columnas (Diario/Mayor) integrado (Sistema Americano). 2 causas específicas de disolución: - Pérdidas que dejen el patrimonio contable a la mitad del capital social durante 6 meses. - Resultar aplicable a la sociedad el régimen de transparencia fiscal durante más de 90 días. Tres requisitos: Continuación en forma de SRL normal Participaciones sin derecho de voto - Acuerdo de Junta General (mayoría del artículo 53.1 LSRL). - Adaptación de estatutos. - Inscripción en R.M en 2 meses desde acuerdo. - Límite cualitativo: como máximo 50% del capital social. - Regulación: Se remite al TRLSA (Art. 90 a 92). Marco jurídico 261 Con respecto al proyecto de ley que entró en las Cortes en su día destacamos las modificaciones y novedades más significativas: 1. CAPITAL SOCIAL. En el apartado 1 del nuevo Art. 135 LSRL se contempla un límite máximo de capital social que en el proyecto se estimaba en 60.100 € y que en el texto definitivo ha pasado a ser de 120.200 €. 7.6.4. Medidas fiscales aplicables a la sociedad limitada nueva empresa Sin duda para estimular el paso de empresarios autónomos a la forma jurídica mercantil SLNE el texto aprobado incorpora una Disposición adicional duodécima que contempla importantes incentivos fiscales para los primeros años de vida del nuevo negocio. No se trata de exenciones o reducciones fiscales sino de aplazamiento automático del pago de determinadas figuras positivas, con o sin garantías. En síntesis este paquete de medidas contempla los siguientes supuestos: 1º. Aplazamiento por plazo de un año previa solicitud de una SLNE, sin aportación de garantías y con devengo del interés legal de demora, de la deuda tributaria del Impuesto sobre Transmisiones Patrimoniales y Actos Jurídicos Documentados, derivada de la constitución de la sociedad. 2º. Aplazamiento por plazo de 12 meses el primero y de 6 meses el segundo, previa solicitud de una SLNE de la deuda tributaria del Impuesto sobre Sociedades correspondientes a los dos primeros períodos impositivos. El aplazamiento se otorga automáticamente sin garantías y con devengo del interés legal de demora. 3º Aplazamiento, previa solicitud y por plazo de un año con o sin garantías de las cantidades derivadas de retenciones o ingresos a cuenta del IRPF que se devengue durante el año siguiente a su constitución. 4º Las SLNE no estarán obligadas a efectuar los pagos fraccionados a que se refiere el Art. 38 de la Ley 43/95 del Impuesto sobre Sociedades a cuenta de las liquidaciones correspondientes a los dos primeros ejercicios de actividad. El REAL DECRETO LEY 2/2003 de 25 de abril de medidas de reforma económica introduce una nueva deducción en la cuota de I.R.P.F. directamente vinculada con la figura del ESTATUTO NUEVA EMPRESA y así se hace constar en su exposición de motivos: “En el título I del texto se encuentran las medidas dirigidas a impulsar la actividad y creación de pequeñas y medianas empresas. Para ello, en el Impuesto sobre la Renta de las Personas Físicas se crea la figura de la «cuenta ahorro-empresa», que se configura como una cuenta de ahorro de características muy similares a la actual cuenta ahorro-vivienda. Este incentivo fiscal nace para facilitar la creación de empresas mediante el fomento del espíritu emprendedor, siguiendo así las recomendaciones efectuadas por la Comisión Europea en el Libro Verde de «El espíritu empresarial en Europa» con el fin de contribuir a estimular al ahorrador español, de modo que éste reoriente su esfuerzo inversor hacia la creación y desarrollo de nuevos negocios mediante incentivos fiscales que potencien este tipo de ahorro”. Así el TÍTULO I del referido RDL 2/2003 se titula; “Medidas de apoyo a las pequeñas y medianas empresas” y la idea de fondo consiste en establecer una nueva deducción sobre la cuota a pagar resultante del IRPF de los autónomos y profesionales (por tanto en todo caso personas físicas) que decidan dar el paso para organizar su actividad en forma societaria de acuerdo con el Estatuto Nueva Empresa. DEDUCCIÓN POR “CUENTA AHORRO-EMPRESA”. 262 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas La cuantía de la deducción será del 15% de las aportaciones hechas durante el año tributario a la llamada “cuenta ahorro-empresa” con un límite máximo de 9.000 por año y contribuyente. Aquí cabe recordar que el Estatuto Nueva Empresa permite un máximo de 5 socios Constituyentes todos personas físicas y que el Capital máximo de una SLNE es de 120.000 . Además se permite un plazo máximo de cuatro años a partir de la apertura de la referida cuenta. EJEMPLO: A modo de ejemplo aprovechando al máximo lo permitido legalmente tendríamos el siguiente supuesto. Cinco futuros socios deciden cada uno por separado abrir una cuenta ahorro-empresa para constituir al cabo de 4 años una Sociedad Limitada Nueva Empresa. APORTACIONES MAXIMAS DEDUCIBLES 1º AÑO 2º AÑO 3º AÑO 4º AÑO TOTAL APORT. TOTAL DEDUC. I.R.P.F. SOCIO A 6.000 6.000 6.000 6.000 24.000 3.600 SOCIO B 6.000 6.000 6.000 6.000 24.000 3.600 SOCIO C 6.000 6.000 6.000 6.000 24.000 3.600 SOCIO D 6.000 6.000 6.000 6.000 24.000 3.600 SOCIO E 6.000 6.000 6.000 6.000 24.000 3.600 APORT. 30.000 30.000 30.000 30.000 120.000 4.500 4.500 4.500 4.500 18.000 TOTAL DEDUC. IRPF 18.000 La conclusión es que en cuatro años el ahorro fiscal para cada uno de los cinco futuros socios es de 3.600 € y en total el ahorro para el conjunto de los cinco es de 18.000 € es decir el 15% del capital escriturado al final. Si el proyecto SLNE fuera abordado por un único socio aquí sus “aportaciones deducibles” podrían aumentar hasta 9.000 € anuales durante cuatro años, con lo que el ahorro total sería de 15% sobre 36.000 € (9.000 € x cuatro años) es decir 5.400 €. REQUISITOS PARA ACOGERSE A LA DEDUCCIÓN. 1º Las cantidades aportadas a la “cuenta ahorro-empresa se destinarán en todo caso a suscribir participaciones sociales como fundador de una SLNE en el plazo máximo de 4 años desde la apertura de la cuenta. 2º El capital constituyente se destinará en el plazo máximo de un año necesariamente a las siguientes aplicaciones: a) Compra de inmovilizado material e inmaterial exclusivamente afectos a la actividad. b) Gastos de constitución y primer establecimiento de la nueva SLNE. c) Gastos de personal con contrato laboral. Marco jurídico 263 d) En el plazo máximo de un año a partir de la constitución la SLNE deberá disponer de un local destinado exclusivamente a la actividad y un empleado como mínimo con contrato laboral a jornada completa (estos requisitos se mantendrán al menos durante dos años a partir de la constitución). 3º No desarrollar la actividad que se hubiera ejercido anteriormente bajo otra titularidad. PÉRDIDA DE LOS BENEFICIOS FISCALES Una vez aplicados los beneficios vía deducción en la cuota del I.R.P.F., éstos pueden perderse en los siguientes casos: a) Incumplimiento de los requisitos citados anteriormente. b) Por la transmisión inter-vivos las participaciones dentro del plazo de los dos primeros años tras la constitución. 7.6.5. Responsabilidad de los administradores Lógicamente los administradores de las SLNE están sometidos en todo al régimen de responsabilidades de todo tipo; laborales, tributarias, administrativas, civiles y penales que se deriva del régimen general de las sociedades de responsabilidad limitada. No obstante las especiales características de esta nueva regulación específica incorpora algunos nuevos supuestos de responsabilidad de los administradores que en síntesis no exhaustiva son los siguientes: a) Por superar el límite de capital social máximo en lo que pudiera perjudicar a otras empresas de la competencia. b) Por mantener como socio a persona jurídica encubierta mediante fiducia o recurrir a testaferros. Al respecto cabe considerar la “Teoría de levantamiento de velo”. c) Percibir el administrador retribuciones sin previo acuerdo de la Junta General, salvo que como consecuencia del carácter eminentemente cerrado y personalista, el hecho sea público y notorio. d) Por no proponer la disolución cuando la SLNE incurra en situación de Sociedad Patrimonial. Como cierre de estos comentarios en positivo y con buen sabor de boca enumeramos a continuación los apoyos y estímulos que aporta el ESTATUTO NUEVA EMPRESA. 1º INCENTIVOS FISCALES: mediante el aplazamiento por períodos variables de 1 o 2 años de diversas deudas tributarias: - ITP y AJD por la constitución. - Impuesto sobre Sociedades. - Retenciones y pagos a cuenta sobre el IRPF. Además no obligación a efectuar los pagos a cuenta del Impuesto sobre Sociedades durante los dos primeros años de actividad. 2º SISTEMA CONTABLE SIMPLIFICADO, a partir del denominado Sistema Americano que integra e un único registro contable el Diario, el Mayor y el de Balances. 3º MODELO ESTANDAR DE ESTATUTOS SOCIALES polivalente y adaptable a cualquier tipo de actividad que pretenda desarrollar la nueva compañía. Estos estatutos tendrán un objeto social genérico adaptable con toda agilidad a las exigencias cambiantes del mercado, sin precisar de modificaciones estatutarias. 4º SIMPLICIDAD Y RAPIDEZ DEL PROCESO CONSTITUYENTE. A partir de los estatutos estándares y mediante su incorporación al DUE se dispondrá de una nueva sociedad operativa en el plazo máximo de 48 horas. 264 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 7.6.6. Modelo estandar de estatutos sociales de la Sociedad Limitada Nueva Empresa -------------------------------------------ESTATUTOS---------------------------------------------- Capitulo i. Disposiciones generales ARTICULO 1º.- La sociedad se denomina JUAN PÉREZ LÓPEZ (código alfanumérico) Sociedad Limitada Nueva Empresa (o SLNE). ARTICULO 2º.- La sociedad tiene por objeto social todas o algunas de las siguientes actividades: agrícol, ganadera, forestal, pesquera, industrial, de construcción, comercial, turística, de transportes, de comunicaciones, de intermediación, de profesionales y de servicios en general y además con carácter especial la actividad xxx (*) . ARTICULO 3º.- Quedan excluida del objeto social todas aquellas actividades para cuyo ejercicio la Ley exija requisitos especiales que no queden cumplidos por esta Sociedad. Asimismo quedan excluidas aquellas actividades cuyo ejercicio requiera la forma de sociedad anónima, ni aquellas de las que se derive la aplicación del régimen de sociedades patrimoniales regulada en el cap. VI del título VIII de la Ley 43/95 del Impuesto sobre Sociedades. Si las disposiciones legales exigiesen para al ejercicio da algunas de las actividades comprendidas en el objeto social algún título profesional, o autorización administrativa, o inscripción en Registros Públicos, dichas actividades deberán realizarse por medio de persona que ostente dicha titularidad profesional y, en su caso, no podrán iniciarse antes de que se hayan cumplido los requisitos administrativos exigidos. ARTICULO 4°.- La duración da la Sociedad es indefinida y da comienzo a sus operaciones el día del otorgamiento de la escritura fundacional. ARTICULO 5º.- La fecha del cierra del ejercido social será el día 31 de Diciembre de cada año. ARTICULO 6º.- El domicilio de la Sociedad se establece en Barcelona, calle L’Avenir n° 35, 6º 2ª. ARTICULO 7º.- El capital social es de xxx EUROS (**) (xxx Euros), dividido xxx participaciones sociales, números 1 a la xxx, ambos inclusive, de Un Euro de valor nominal cada una, acumulables e indivisibles, que no podrán incorporarse a títulos negociables ni denominarse acciones. El capital social está íntegramente suscrito y desembolsado. Capitulo ii. Régimen de las participaciones sociales. ARTICULO 8º.- Las participaciones sociales están sujetas al régimen previsto en la Ley. Las transmisiones de participaciones sociales por actos “intervivos” solo podrá hacerse a favor de persona física. Si a consecuencia de la transmisión adquirieran participaciones sociales personas jurídicas, aquellas deberán ser enajenadas a favor de persona física en el plazo de tres meses contados desde la adquisición. La transmisión de participaciones sociales y la constitución del derecho real de prenda deberá constar en documento público. La constitución de otros derechos reales deberá constar en Escritura Pública. Los derechos frente a le Sociedad se podrán ejercer desde que ésta tenga conocimiento de la transmisión o constitución del gravamen. ARTICULO 9º.- La transmisión de participaciones sociales se regirá por lo dispuesto en los artículos 28 y siguientes de la Ley. En consecuencia, será libre la transmisión volun- Marco jurídico 265 taria de participaciones por actos inter-vivos entre socios, o a favor del cónyuge, ascendientes o descendientes de socio o de Sociedades pertenecientes al mismo grupo que la transmitente, así como las transmisiones mortis causa. La sociedad tendrá derecho de adquisición preferente, y de subrogarse en lugar del rematante, o en su caso del acreedor, en los términos que determina el artículo 31-3” da la Ley 2/1995 da 23 da Marzo, para el caso da transmisión forzase de participaciones sociales. ARTICULO 10º.- En caso de USUFRUCTO da par1icipaciones, la cualidad de socio reside en el nudo propietario, pero el usufructuario tendrá derecho en todo caso a los dividendos acordados por la Sociedad durante el usufructo En el caso de PRENDA corresponderá al propietario el ejercicio da los derechos del socio. Capitulo iii.-Organos sociales. ARTICULO 11°.- Los órganos sociales son la Junta General y los Administradores, y en lo no previsto en estos Estatutos se regirán por lo dispuesto en el artículo 139 de la Ley. ARTICULO 12º.- JUNTA GENERAL. Los socios reunidos en Junta General decidirán, en los asuntos propios de la competencia da la Junta, por mayoría de capital social, salvo quórum superior, exigido por la Ley, y lo dispuesto en el artículo 692 sobre acción de responsabilidad de los administradores. ARTICULO 13º. -CONVOCATORIA. La Junta General será convocada por Ice Administradores, o Liquidadores, en su caso, mediante comunicación Individual y escrita del anuncio a todos los socios el domicilio que conste en el libro registro, por correo certificado, con acuse de recibo o mediante procedimientos telemáticos que hagan posible al socio el conocimiento de la convocatoria, a través de la acreditación fehaciente del envío del mensaje electrónico de la convocatoria o por acuse de recibo del socio. ARTICULO 14°.-ASISTENCIA Y REPRESENTACION. Todos los socios tienen derecho a asistir a la Junta General por si o representados por otra persona, socio o no. La representación comprenderá la totalidad de las participaciones del representado, deberá conferirse por escrito y si no consta en documento público deberá ser especial para cada Junta. ARTICULO 15º.- ADMINISTRADORES. La Junta General confiará la Administración de la Sociedad a un Administrador único o varios, que actuarán solidariamente, o mancomunadamente al menos dos de ellos, según determine la Junta General. ARTICULO 16º.- Para ser nombrado Administrador se requerirá la condición de socio. No podrán ser administradores de la Sociedad los quebrados y los concursados no rehabilitados, los menores e incapacitados, los condenados a panas que lleven aneja la inhabilitación para al ejercicio de cargo público, los que hubieren sido condenados por grave incumplimiento de Leyes o disposiciones sociales y aquellos, por razón de su cargo, no pueden ejercer el comercio. Tampoco podrán ser nombrados administradores los funcionarios el servicio de la Administración con funciones a su cargo que se relacionen con las actividades propias de le Sociedad y, en general, las personas determinadas en la Ley 12/1995, de 11 de Mayo. 266 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas ARTICULO 17º.- Los Administradoras ejercerán su cargo indefinidamente, pudiendo ser separados de su cargo por la Junta General aún cuando la separación no conste en el Orden del Día. ARTICULO 18º.- La representación de la Sociedad en juicio y fuera de él corresponde a los Administradores, y se extenderá a todos los actos comprendidos en el objeto social. ARTICULO 19º.” El cargo de Administrador es gratuito. Capitulo iv.- Separacjon y exclusion de los socios. ARTICULO 20º.- Los socios tendrán derecho a separarse de la Sociedad y podrán ser excluidos de la misma por acuerdo de la Junta General, por las causas y en la forma prevista en los artículos 95 y siguientes de la Ley. Capitulo v.- Disolucion y liquidacion. ARTICULO 21º.- La Sociedad se disolverá y liquidará por las causas y de acuerdo con el régimen establecido en el artículo 142 de la Ley. ARTICULO 22º.- Los Administradores al tiempo de la disolución quedarán convertidos en Liquidadores, salvo que la Junta General hubiese designado otros al acordar la disolución. Los Liquidadores ejercerán su carga por tiempo indefinido. Transcurridos tres años desde la apertura da la liquidación sin que se haya sometido a la aprobación de la Junta General el balance final de la liquidación, cualquier socio o persona con interés legitimo podrá solicitar del Juez de Primera Instancia del domicilio social la separación de los liquidadores en la forma prevista por la Ley. ARTICULO 23º.- La cuota de liquidación correspondiente a cada socio será proporcional a su participación en el capital social. ARTICULO 24º.- En caso de que la Sociedad devenga unipersonal se estará a lo dispuesto en los artículos 125 y siguientes de la ley, y el socio único ejercerá las competencias de la Junta General. Transcurridos seis meses desde que un único socio sea propietario de todas las participaciones sociales, sin que esta circunstancia se hubiese inscrito en el Registro Mercantil, aquél responderá personal, ilimitada y solidariamente de las deudas sociales contraídas durante el periodo de unipersonalidad. Inscrita la unipersonalidad, el socio único no responderá de las deudas contraídas con posterioridad. No obstante el anterior modelo de estatutos sociales de la SLNE, la ORDEN JUS/1445/ 2003 de 4 de junio publica unos estatutos orientativos que transcribimos íntegramente dada su gran transcendencia de su uso a efectos de eliminar incertidumbres en la calificación por parte de los registradores de acuerdo con lo que textualmente se dice en el preámbulo de la referida Orden Jus/1445/2003. De todo lo anterior se infiere que la utilización de los estatutos orientativos, provoca que la calificación y en su caso la inscripción por el Registrador Mercantil deberá realizarse en un plazo no superior a las veinticuatro horas, ya se utilicen los procedimientos telemáticos en la tramitación, ya se utilice la tramitación en soporte papel, tradicional, así como en la tramitación telemática, aun cuando el notario remita la copia electrónica autorizada al registro Mercantil, por ser el único habilitado para ello, y no sea posible realizar los restantes trámites previstos en el artículo 134 de la citada Ley en forma telemática. Marco jurídico 267 Los estatutos orientantivos que ahora se aprueban recogen los elementos esenciales que regulan el régimen jurídico de la Sociedad Limitada Nueva Empresa, de manera clara y sencilla. No obstante lo anterior, y como no podía ser de otra manera, los socios pueden elaborar otro tipo de estatutos sociales, con los límites de derecho imperativo establecidos en la Ley, como consecuencia lógica del principio de autonomía de la voluntad, tan esencial en todos los tipos de negocios jurídicos, pero muy especialmente en los societarios, en cuyo caso el plazo para calificar e inscribir será el general contemplado en la legislación específica. A pesar del retraso latente derivado de otro modelo de estatutos diferente del que transcribimos a continuación y en aras a la libre voluntad de los partícipes constituyentes por lo que hemos mantenido el modelo de estatutos sociales estándares según nuestra terminología, en las páginas anteriores. Estatutos sociales de la sociedad mercantil de Responsabilidad Limitada Nueva Empresa y S.L.N.E.» 1. DISPOSICIONES GENERALES Artículo 1.º Denominación La Sociedad mercantil de responsabilidad limitada nueva empresa, de nacionalidad española, se denomina ..............................................., S.L.N.E. Se regirá por lo dispuesto en estos estatutos, en su defecto por lo dispuesto en el Capitulo XII de la ley 2/1995, de 23 de marzo, y, en lo no previsto en el mismo, por las demás disposiciones que sean de aplicación a las Sociedades de responsabilidad limitada. Artículo 2.º Objeto. La sociedad tiene por objeto: ........................................................................... (ver artículo 132 de la Ley 7/2003 a efectos de selección de una o más actividades de las allí descritas, y en su caso para la indicación de una actividad singular). Si alguna de las actividades enumeradas, así lo precisare, deberá ser ejercitada a través de profesionales con la titulación adecuada o, en su caso, deberá ser ejercitada previas las correspondientes autorizaciones o licencias administrativas. Artículo 3.º Duración. La sociedad se constituye por tiempo indefinido ................ (o por el tiempo que se establezca) y, dará comienzo a sus operaciones sociales el día del otorgamiento de la escritura pública de constitución. Artículo 4.º Domicilio. La sociedad tiene su domicilio en ...................................................................................... El órgano de administración, podrá crear, suprimir y trasladar sucursales, agencias o delegaciones en cualquier punto del territorio español o del extranjero, y variar la sede social dentro del mismo término municipal de su domicilio. II. CAPITAL SOCIAL. PARTICIPACIONES Artículo 5.º Cifra capital. El capital social de la sociedad se fija en la cantidad de ......................... euros. Dicho capital social está dividido en ........... participaciones sociales, todas iguales, acumulables e indivisibles, de .................... euros de valor nominal cada una de ellas, numeradas correlativamente a partir de la unidad. 268 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Artículo 6.º Transmisiones. A) Voluntarias por actos ínter vivos.— Será libre toda transmisión voluntaria de participaciones sociales realizada por actos ínter vivos, a titulo oneroso o gratuito, en favor de .............. (otro socio, el cónyuge, o los descendientes o ascendientes del socio). Las demás transmisiones por acto ínter vivos se sujetarán a lo dispuesto en la ley. B) Mortis causa.— Será libre toda transmisión mortis causa de participaciones sociales, sea por vía de herencia o legado en favor de otro socio, en favor de cónyuge, ascendiente o descendiente del socio. Fuera de estos casos, en las demás transmisiones mortis causa de participaciones sociales los socios sobrevivientes, y en su defecto la Sociedad, gozarán de un derecho de adquisición preferente de las participaciones sociales del socio fallecido, apreciadas en el valor razonable que tuvieren el día del fallecimiento del socio y cuyo precio se pagará al contado; tal derecho debera ejercitarse en el plazo máximo de tres meses a contar desde la comunicación a la Sociedad de la adquisición hereditaria. A falta de acuerdo sobre el valor razonable de las participaciones sociales o sobre la persona o personas que hayan de valorarlas y el procedimiento a seguir para su valoración, las participaciones serán valoradas en los términos previstos en los artículos 100 y siguientes de la ley de sociedades de responsabilidad limitada. Transcurrido el indicado plazo, sin que se hubiere ejercitado fehacientemente ese derecho, quedará consolidada la adquisición hereditaria. C) Normas comunes.— 1. La adquisición, por cualquier titulo, de participaciones sociales, deberá ser comunicada por escrito al órgano de administración de la Sociedad, indicando el nombre o denominación social, nacionalidad y domicilio del adquirente. 2. El régimen de la transmisión de las participaciones sociales será el vigente en la fecha en que el socio hubiere comunicado a la sociedad el propósito de transmitir o, en su caso, en la fecha del fallecimiento del socio o en la de adjudicación judicial o administrativa. 3. Las transmisiones de participaciones sociales que no se ajusten a lo previsto en estos estatutos, no producirán efecto alguno frente a la sociedad. III. ÓRGANOS SOCIALES Artículo 7.º Junta general. A) Convocatoria.— Las juntas generales se convocarán mediante correo certificado con acuse de recibo dirigido al domicilio que a tal efecto hayan comunicado los socios al órgano de administración (o mediante comunicación telemática dirigida a la dirección de correo electrónico que a tal efecto hayan comunicado los socios al órgano de administración). B) Adopción de acuerdos.— Los acuerdos sociales se adoptarán por mayoría de los votos válidamente emitidos, siempre que representen al menos un tercio de los votos correspondientes a las participaciones sociales en que se divide el capital social, no computándose los votos en blanco. No obstante y por excepción a lo dispuesto en el apartado anterior, se requerirá el voto favorable: Marco jurídico 269 a) De más de la mitad de los votos correspondientes a las participaciones en que se divide el capital social, para los acuerdos referentes al aumento o reducción de capital social, o, cualquier otra modificación de los estatutos sociales para los que no se requiera la mayoría cualificada que se indica en el apartado siguiente. b) De al menos dos tercios de los votos correspondientes a las participaciones en que se divide el capital social, para los acuerdos referentes al aumento de capital social por encima del límite máximo establecido en el artículo 135 de la Ley, a la transformación, fusión o escisión de la sociedad, a la supresión del derecho de preferencia en los aumentos de capital, a la exclusión de socios, a la autorización a los administradores para que puedan dedicarse, por cuenta propia o ajena, al mismo, análogo o complementario género de actividad que constituya el objeto social. c) Si la Sociedad reuniese la condición de unipersonal el socio único ejercerá las competencias de la Junta General, en cuyo caso sus decisiones se consignarán en acta, bajo su firma o la de su representante, pudiendo ser ejecutadas y formalizadas por el propio socio o por los administradores de la sociedad. Artículo 8.º Órgano de administración: modo de organizarse. 1. La administración de la sociedad podrá confiarse a un órgano unipersonal (administrador único), o a un órgano pluripersonal no colegiado (varios administradores que actuarán solidaria o conjuntamente) y cuyo número no será superior a cinco. 2. Corresponde a la junta general, por mayoría cualificada y sin que implique modificación estatutaria, la facultad de optar por cualquiera de los modos de organizar la administración de la Sociedad. 3. Para ser nombrado administrador se requerirá la condición de socio. 4. Los administradores ejercerán su cargo por tiempo indefinido, salvo que la Junta general, con posterioridad a la constitución, determine su nombramiento por plazo determinado. 5. La Junta General podrá acordar que el cargo de administrador sea retribuido, así como la forma y cuantía de la retribución. Artículo 9.º Poder de representación. En cuanto a las diferentes formas del órgano de administración, se establece lo siguiente: 1. En caso de que exista un Administrador único, el poder de representación corresponderá al mismo. 2. En caso de que existan varios Administradores solidarios, el poder de representación corresponderá a cada uno de ellos. 3. En caso de que existan varios Administradores conjuntos, el poder de representación corresponderá y se ejercerá mancomunadamente por dos cualesquiera de ellos. No podrán ocupar ni ejercer cargos en esta sociedad, las personas comprendidas en alguna de las prohibiciones o incompatibilidades establecidas en la Ley 12/1995, de 11 de Mayo y en las demás disposiciones legales, estatales o autonómicas en la medida y condiciones en ella fijadas. Artículo 10.º Facultades. Al órgano de administración corresponde la gestión y administración social, y, la plena y absoluta representación de la sociedad, en juicio y fuera de él. 270 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Por consiguiente, sin más excepción que la de aquellos actos que sean competencia de la junta general o que estén excluidos del objeto social, el poder de representación de los administradores y las facultades que lo integran, deberán ser entendidas con la mayor extensión para contratar en general y para realizar toda clase de actos y negocios, obligacionales y dispositivos, de administración ordinaria o extraordinaria y de riguroso dominio, respecto de cualquier clase de bienes muebles, inmuebles, acciones y derechos. IV. EJERCICIOS, CUENTAS ANUALES Artículo 11.º Ejercicio social El ejercicio social comienza el uno de Enero y finaliza el treinta y uno de Diciembre de cada año .............. (u otro periodo anual que se establezca). El primer ejercicio social comenzará el día del otorgamiento de la escritura pública de constitución de sociedad y finalizará el día treinta y uno de Diciembre de ese mismo año ( ........... u otro periodo anual). Artículo 12.º Cuentas anuales. 1. El órgano de administración, en el plazo máximo de tres meses, contados a partir del cierre del ejercicio social, formulará las cuentas anuales con el contenido establecido legal o reglamentariamente. 2. En cuanto a la forma, contenido, descripción, partidas, reglas de valoración, verificación, revisión, información a los socios, aprobación, aplicación de resultados, y depósito de las cuentas anuales en el registro mercantil, se estará a lo dispuesto en la legislación aplicable. V. CONTINUACIÓN DE OPERACIONES COMO SOCIEDAD LIMITADA. DISOLUCIÓN Y LIQUIDACIÓN Artículo 13.º Continuación de operaciones como sociedad de responsabilidad limitada. La sociedad podrá continuar sus operaciones sociales como sociedad de responsabilidad limitada general con los requisitos establecidos en el artículo 144 de su ley reguladora. Artículo 14.º Disolución y líquidación. La Sociedad se disolverá por las causas legalmente establecidas, rigiéndose todo el proceso de disolución y liquidación por su normativa específica, y en su defecto por las normas generales. Decidida la disolución y producida la apertura del periodo de liquidación, cesarán en sus cargos los administradores vigentes al tiempo de la disolución, los cuales quedarán convertidos en liquidadores, salvo que la Junta General, al acordar la disolución, designe otros liquidadores en número no superior a cinco. VI. DISPOSICIONES COMPLEMENTARIAS Artículo 15.º Toda cuestión que se suscite entre socios, o entre éstos y la sociedad, con motivo de las relaciones sociales, y sin perjuicio de las normas de procedimiento que sean legalmente de preferente aplicación, será resuelta... (a elegir ante los Juzgados o Tribunales correspondientes al domicilio social o mediante arbitraje formalizado con arreglo a las prescripciones legales). Marco jurídico 271 8. Delitos en internet y su prevención 8.1. Delitos transfronterizos versus derechos locales Las nuevas tecnologías, al configurarse como nuevo paradigma que invade todos los ámbitos de la actividad humana, no podían por menos de incidir también en el lado oscuro de dicha actividad; la conducta delictiva o criminal de los individuos de los grupos organizados. Por sus especiales características dos son las fórmulas a través de las que las TIC’s se relacionan con el delito: a) Por un lado las tecnologías ofertan la posibilidad de renovar las tradicionales formas de delinquir. Entraríamos aquí en figuras delictivas tipificadas tradicionalmente en los códigos penales que revisten una nueva forma de materializarse. Por poner dos ejemplos de los más manidos podemos citar el blanqueo de capitales o la pornografía infantil, entre otros muchos menos espectaculares. b) Por la fuerza de su propia innovación las TIC’s han propiciado la aparición de nuevas figuras delictivas que están en proceso de incorporación, por su novedad, a los códigos penales de los diferentes países. A modo de ejemplo cito las agresiones a la salud pública por antenas de telefonía, o los ataques mediante virus. Repetidamente hemos aludido como la principal característica de las TIC’s su desubicación espacial, mucho pesa esta característica en su incidencia sobre el entorno en general, pero sin duda cobra su máxima expresión en el ámbito del derecho que desde los orígenes siempre ha presentado una clara vocación territorial tanto en lo que respecta al poder o autoridad judicial que juzga (JURISDICCIÓN COMPETENTE) como en lo relativo a la norma que se debe aplicar al juzgar (LEY APLICABLE). Ambos conceptos son aún hoy en día marcadamente geográficos. En síntesis podemos decir que las TIC’s son globales y esencialmente transfronterizas y por el contrario la ley y los tribunales están limitados por definición a un determinado estado o territorio. Además el fenómeno de la desubicación es en realidad mucho más acusado de lo que aparenta. A pesar de que no seamos conscientes de ello, una información bidireccional on-line entre un usuario en Barcelona y un Web Site alojado en un ISP de California puede pasar por más de 10 ISPs distintos domiciliados en los puntos más dispares del mundo, sin contar entre ellos los nodos de conexión de la red que siempre actúan aleatoriamente en función de los caminos menos saturados en cada momento. Ante esta diversidad de domicilios y nacionalidades cabe preguntarse ¿Qué ley se aplicará en caso de litigio? ¿Cuál de entre todos los posibles será el Tribunal idóneo para entender del caso? La perplejidad del Derecho ante la nueva “realidad virtual” es general, pero sin duda reviste su máxima expresión en el ámbito del Derecho Penal por cuanto está limitado a la fuerza a la resolución judicial mediante sentencia del Tribunal. Por el contrario en el ámbito del Derecho Privado (civil, mercantil, etc.) además de los tribunales caben otros instrumentos jurídicos para la resolución de conflictos que no por casualidad están cobrando un protagonismo inusitado desde la “inflación” de las TIC’s. Recomendamos profundizar en el tema de de los nuevos instrumentos en el apartado 9 (ver página XXX y siguientes) Por desgracia en el Derecho Penal carecemos de esta diversificación de medios estando limitados al desarrollo intensivo de los Tratados Internacionales. A modo de ejemplo cabe citar el reciente convenio del Consejo de Europa sobre cibercrimen, firmado el 23 de Noviembre de 2001 en Budapest por 30 países entre los que figuran, lógicamente, los 15 socios de la U.E., Estados Unidos, Canadá, Japón y Sudáfrica entre otros. La firma de este Convenio es la culminación de cuatro años de trabajo que se han plasmado en un documento de 48 artículos que se organizan en torno a cuatro categorías: a) Infracciones contra la confidencialidad. b) Falsificación y fraude informático. c) Infracciones relativas a los contenidos. d) Violaciones de la propiedad intelectual. 272 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas A pesar del trabajo previo y la firma del Convenio, el consenso entre los países firmantes no ha sido total. Así la U.E., celosa de su garantismo procesal, se ha opuesto a la propuesta norteamericana de crear una policía sin fronteras con competencias sobre la actividad criminal de Internet. Por el contrario la petición de eliminar los contenidos racistas y xenófobos por parte de Francia y Alemania han chocado con la Primera Enmienda de la Constitución Americana, relativa a la libertad de expresión. El telón de fondo del 11-S también se ha dejado sentir en las sesiones de Budapest y ha quedado suficientemente clara la voluntad de la Administración Americana para ir mucho más lejos del estricto ámbito del Convenio, eso sí siempre aplicando sus propias leyes. El convenio de Budapest instaura el PRINCIPIO DE TERRITORIALIDAD para definir la jurisdicción competente. De este principio tendremos ocasión de hablar con detalle más adelante y tiene una clara vocación de unificar las normas penales (tipificación de delitos y codificación de penas) a modo de conseguir poco a poco una especie de Lex Mercatoria global para el ámbito penal. Una vez descrito el especialmente complejo marco de regulación y sanciones de la actividad criminal en Internet, es obligado cerrar a modo de primera conclusión las tres principales dificultades para alcanzar el mínimo consenso internacional deseable sobre la materia: 1ª DIFICULTAD: CONFLICTO DE JURISDICCIÓN. Elegir el tribunal competente para juzgar un delito multinacional y transfronterizo. 2ª DIFICULTAD: CONFLICTO DE LEYES. Una vez elegido el tribunal la primera rigidez con que tropezará su actividad es elegir la ley aplicable al caso concreto que debe juzgar. 3ª DIFICULTAD: EJECUCIÓN DE SENTENCIA EXEQUATOR. Una vez el tribunal competente ha emitido sentencia, la segunda rigidez del proceso consiste en la necesidad de que ésta sea ejecutada, previsiblemente en países distintos del foro que la ha dictado. Para ello se debe contra con un compromiso supra-nacional de reconocimiento y aceptación de sentencias. La problemática jurídica del exequator es de tal complejidad que en muchas ocasiones supera la complejidad del propio proceso juzgador. 8.2. Las normas de conflicto en el derecho penal Las normas de conflicto para dilucidar qué tribunal debe actuar y qué ley se debe aplicar, utilizar y potenciar. Pero ya hemos apuntado que este criterio, válido tradicionalmente en el mundo real, poco juego puede dar en el mundo virtual por sus características de globalidad. También apuntábamos que a nuestros efectos sería de gran valor el disponer de una ley uniforme que actuara en la jurisdicción penal a modo de Lex Mercatoria, pero hoy por hoy esto es una aspiración alejada de la realidad. 8.2.1. Criterios para determinar la jurisdicción competente Haciendo una aplicación “sui generis” del Principio de Territorialidad se acepta que en materia de delitos y cuasi-delitos son competentes los tribunales del país en donde se produce el hecho lesivo y así lo disponen entre otras las siguientes normas: a) El Convenio de Bruselas sobre competencia judicial y ejecución de resoluciones judiciales en materia civil y mercantil de 27 de septiembre de 1968. b) Reglamento (C.E.) nº 44/2001 del Consejo de 22 de diciembre de 2000 relativo a la competencia judicial, el reconocimiento y ejecución de resoluciones judiciales en materia civil y mercantil (Art. 5.3). c) Ley Orgánica del Poder Judicial (Art. 22.3). A pesar del título de las dos primeras normas (a) y b) anteriores, relativas a materias civiles y mercantiles, lo cierto es que la jurisprudencia del Tribunal de Justicia de las Comunidades Europeas considera que son normas aplicables para la elección del foro que entienda de cualquier infracción civil no derivada de contrato, así como de aquellas derivadas de conductas delictivas. Con este criterio podemos concluir que las anteriores normas de elección de jurisdicción son apli- Marco jurídico 273 cables a supuestos de defensa de la competencia, agresiones a la propiedad intelectual, agresiones a los derechos de la personas, productos defectuosos, etc. Recordemos pues que en estos supuestos la NORMAL GENERAL PARA DESIGNAR LA COMPETENCIA DE JURISDICCIÓN es la de los tribunales donde se produce el hecho lesivo. Esta norma general se muestra manifiestamente inoperante, o cuando menos confusa, cuando se pretende aplicar en Internet, por cuanto los hechos lesivos derivados de un origen (causa) pueden ser múltiples y producirse en una amplia diversidad de países. Además el foro elegido para entender de una hecho en un país ¿sería o no competente para juzgar los hechos lesivos producidos en el resto de países? Las soluciones aplicadas en la práctica por el sistema judicial de los Estados Unidos tampoco son mucho más eficaces en la conflictividad de la Red y ello es válido tanto para el criterio de jurisdicción “in personam” general, como para el criterio de jurisdicción “in personam” específica, los cuales no consiguen sino aportar más confusión al tema. Concluimos este epígrafe con la molesta sensación de que el problema no está definitivamente resuelto por ninguno de los sistemas judiciales conocidos. 8.2.2. Criterios para determinar la ley aplicable El criterio general en el ámbito criminal es aplicar la “lex loci delicti comissi” y como no hay convenios internacionales para tipificar figuras delictivas de forma homogénea y unificada, volvemos a estar ante la falta de cirterio único para determinar la ley aplicable. Ante esta situación se debe recurrir a reglas particulares de jurisdicción. A modo de ejemplo en España, el criterio sustentado por el código civil (Art. 8) dispone que: “las leyes penales, las de policía y las de seguridad pública obligan a todos los que se hallen en territorio español”. Pero este criterio se demuestra inoperante una vez en el ámbito de Internet. Un Website alojado en U.S.A. que es accesible a usuarios españoles ¿debe o no acatar la legislación penal española? A modo de ejemplo podemos citar la reciente sentencia del Tribunal Supremo americano en el sentido de que la pornografía infantil producida con medios virtuales (diseño digitalizado para entendernos) no constituye delito, ni su producción ni su exhibición, ni por supuesto su consumo. La razón del T.S. americano radica en que al no existir personas reales detrás de las imágenes no existe bien jurídico a proteger y debe primar la Sacrosanta Primera enmnienda que consagra la libertad de expresión ¿quizás artística? Cabe preguntarse si esta norma sería o no asumida por los tribunales españoles en el supuesto de que éstos se declarasen competentes para entender de un caso de pornografía infantil virtual por material colgado en un portal domiciliado en U.S.A. De nuevo nos vemos obligados a concluir que los criterios jurídicos tradicionales no son operativos para su aplicación en el entorno virtual. 8.3. La tipificación de delitos relativos a las TIC’s en el código penal español La tipicidad de las conductas delictivas es uno de los principios imprescindibles en materia penal y en España tenemos la gran suerte de que el Código Penal vigente se promulgó hace relativamente poco tiempo. En efecto, el conocido como Código Penal Belloch se aprobó el 23 de noviembre de 1995 (Ley Orgánica del código Penal 10/1995) y en su exposición de motivos se reconoce la necesidad de introducir nuevas figuras delictivas para adaptar los criterios penales a las exigencias sociales actuales. La doctrina de jurisprudencia viene aplicando diversas denominaciones a las figuras delictivas realizadas en el entorno de las nuevas tecnologías y así se habla indistintamente de: delincuencia informática, criminalidad informática, delitos informáticos, “computer crime”, abuso informático, etc. En nuestra opinión ninguno de los términos antes reseñados son acertados por cuanto hacen referencia tan sólo a uno de los campos en que se desarrollan las nuevas tecnologías, concretamente a la informática y olvidan el otro gran componente: las telecomunicaciones y lo que es más grave también olvidan la potente convergencia de las dos tecnologías citadas. Si difícil resulta la definición mucho más difícil es conseguir el acuerdo sobre una exhaustiva clasificación de este tipo de delitos (¿informáticos o tecnológicos?). A modo de ejemplo ilustra- 274 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas tivo de la dificultad para consensuar una clasificación dos de las realizadas por el Profesor Davara Gómez siguiendo dos criterios diferentes. a) Acceso y manipulación de datos. b) Manipulación de programas. Y a partir de estos criterios clasifica las acciones potencialmente delictivas en los siguientes seis apartados: 1- Manipulación en los datos e informaciones contenidas en los archivos o soportes físicos informáticos ajenos. 2- Acceso a los datos y/o utilización de los mismos por quien no está autorizado para ello. 3- Introducción de programas o rutinas en otros ordenadores para destruir información, datos o programas. 4- Utilización del ordenador y/o los programas de otras personas, sin autorización, con el fin de obtener beneficios propios y en perjuicio de otro. 5- Utilización del ordenador con fines fraudulentos. 6- Agresión a la “privacidad” mediante la utilización y procesamiento de datos personales con fin distinto al autorizado, que será objeto de este trabajo. El mismo autor hace otra clasificación siguiendo el orden sistemático del Código Penal en: a) Delitos contra la intimidad y el derecho a la propia imagen (arts. 197 a 201). b) Delitos contra el patrimonio y contra el orden socioeconómico. b.1) De los hurtos (arts. 234 a 236) y de los robos (arts. 237 a 242). b.2) De las defraudaciones. b.2.1) De las estafas (arts. 248 a 251). b.2.2) De la apropiación indebida (arts. 252 a 254). b.3) De los daños (arts. 263 a 267). b.4) De los delitos relativos a la propiedad intelectual e industrial, al mercado y a los consumidores. b.4.1) De los delitos relativos a la propiedad intelectual (arts. 270 a 272). b.4.2) De los delitos relativos a la propiedad industrial (arts. 273 a 277). b.4.3) De los delitos relativos al mercado y a los consumidores (arts. 278 a 286). c) De las falsedades documentales (arts. 390 a 399). d) Otras referencias indirectas. En nuestra opinión la intersección de la criminalidad y las nuevas tecnologías es excesivamente compleja como para resolver cualquier intento de ordenación artificial. Además el concepto de nuevas tecnologías rebasa con mucho el estricto ámbito TIC y necesariamente debería incluir otros campos como la genética, fecundación artificial, energía nuclear, etc. Ante esta complejidad optamos por exponer la transcripción de los diferentes artículos del Código Penal vigente que en nuestro criterio guarda relación con los múltiples efectos y manifestaciones de las nuevas tecnologías. Y para ello seguimos la pauta utilizada por el Profesor Joan Piqué Vidal en sus apuntes utilizados en numerosos cursos de post-grado. El delito tecnológico se caracteriza por las dificultades que entraña descubrirlo, probarlo y perseguirlo. En efecto, son delitos, que en la mayoría de los casos no se denuncian, para evitar la alarma social o el desprestigio por un fallo en la seguridad. Las víctimas prefieren sufrir las conse- Marco jurídico 275 cuencias del delito e intentar prevenirlo para el futuro antes que iniciar un procedimiento judicial. Esta situación dificulta enormemente el conocimiento del número de delitos cometidos y la planificación de las adecuadas medidas legales sancionadoras o preventivas. Además resulta difícil tipificar penalmente situaciones sometidas a un constante cambio tecnológico. La Exposición de Motivos del Código Penal de 1995 considera como uno de sus principales logros innovadores el haber afrontado “la antinomia existente entre el principio de intervención mínima y las crecientes necesidades de tutela en una sociedad cada vez más compleja, dando prudente acogida a nuevas formas de delincuencia, pero eliminando, a la vez, figuras delictivas que han perdido su razón de ser”. Pese a las críticas que pueda recibir, se puede considerar que el nuevo Código Penal es una herramienta de gran valor para jueces, juristas y abogados a quienes permitirá efectuar construcciones jurídicas artificiosas para penar conductas socialmente reprochables que necesitan tener su cabida en el Código Penal del siglo XXI, por lo que consideramos se produce un acercamiento, mediante la introducción de algunas características en la comisión del delito que nos aproxima al tema de los llamados “delitos informáticos”, si bien sin acercarnos al nivel de la legislación penal de países de nuestro entorno. 8.3.1. Delitos en relación con la pornografía Artículo 186. El que, por cualquier medio directo, vendiere, difundiere o exhibiere material pornográfico entre menores de edad o incapaces, será castigado con la pena de prisión de seis meses a un año, o multa de seis a doce meses. Artículo 189. 1. Será castigado con la pena de prisión de uno a tres años: a) El que utilizare a menores de edad o a incapaces con fines o en espectáculos exhibicionistas o pornográficos, tanto públicos como privados o para elaborar cualquier clase de material pornográfico, o financiare cualquiera de estas actividades. b) El que produjere, vendiere, distribuyere, exhibiere o facilitare la producción, venta, difusión o exhibición por cualquier medio de material pornográfico en cuya elaboración hayan sido utilizados menores de edad o incapaces, aunque el material tuviere su origen en el extranjero o fuere desocnocido. A quien poseyera dicho material para la realización de cualquiera de estas conductas se le impondrá la pena en su mitad inferior. 2. Se impondrá la pena superior en grado cuando el culpable perteneciere a una organización o asociación, incluso de carácter transitorio, que se dedicare a la realización de tales actividades. 3. El que haga participar a un menor o incapaz en un comportamiento de naturaleza sexual que perjudique la evolución o desarrollo de la personalidad de éste. Será castigado con la pena de prisión de seis meses a un año o multa de seis a doce meses. 4. El que tuviere bajo su potestad, tutela guarda o acogimiento, a un menor de edad o incapaz, y que, con conocimiento de su estado de prostitución o corrupción, no haga lo posible para impedir su continuación en tal estado, o no acuda a la autoridad competente para el msimo fin si carece de medios para la custodia del menor o incapaz, será castigado con la pena de multa de seis a doce meses. 276 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 5. El Ministerio Fiscal promoverá las acciones pertinentes con objeto de privar de la patria potestad, tutela, guarda o acogimiento familiar, en su caso, a la persona que incurra en alguna de las conductas descritas en el apartado anterior. A destacar que en los dos artículos anteriores se hace referencia a venta, difusión o exhibición POR CUALQUIER MEDIO de material pornográfico genérico a menores de edad, o material elaborado mediante utilización de menores de edad o incapaces. Con el criterio del apartado 1, b) del art. 189 la sentencia antes comentada del T.S. americano respecto a la pornografía infantil de diseño digital sería plenamente compartida por nuestros tribunales. 8.3.2. Descubrimiento y revelación de secretos A. Correo Electrónico Artículo 197. 1. El que, para descubrir secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reprodución del sonido o de la imagen, de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses. 2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero. 3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores. Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior. 4. Si los hechos descritos en los apartados 1 y 2 de este artículo se realizan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros, se impondrá la pena de prisión de tres a cinco años, y si se difunden, ceden o revelan los datos reservados, se impondrá la pena en su mitad superior. 5. Igualmente, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencia, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o incapaz, se impondrán las penas previstas en su mitad superior. 6. Si los hechos se realizan con fines lucrativos, se impondrán las penas previstas respectivamente en los apartados 1 al 4 de este artículo en su mitad superior. Si además afectan a datos de los mencionados en el apartado 5, la pena a imponer será la de prisión de cuatro a siete años. Artículo 199. 1. El que revelare secretos ajenos, de los que tenga conocimiento por razón de su oficio o sus relaciones laborales, será castigado con la pena de prisión de uno a tres años y multa de seis a doce meses. Marco jurídico 277 2. El profesional que, con incumplimiento de su obligación de sigilo o reserva, divulgue los secretos de otra persona, será castigado con la pena de prisión de uno a cuatro años, multa de doce a veinticuatro meses e inhabilitación especial para dicha profesión por tiempo de dos a seis años. Artículo 200. Lo dispuesto en este capítulo será aplicable al que descubriere, revelare o cediere datos reservados de personas jurídicas sin el consentimiento de sus representantes, salvo lo dispuesto en otros preceptos de este Código. Es obligado detenerse con sosiego en este artículo por lo que tiene de aproximación al tema de la “privacidad” y los puntos en contacto con la normativa sobre Protección de Datos Personales. a) En primer lugar destacar que el punto 2 se refiere a agresiones por descubrimiento de secretos sobre datos reservados de carácter personal o familiar. Se contemplan las mismas penas que en el caso general. b) Se agrava la pena cuando los hechos tipificados en los puntos 1 y 2 se realizan por personas encargadas o responsables de los ficheros. En estos casos la pena se impondrá en su mitad superior. c) Recordar que la LOPD en su artículo 10, estipula la obligación de guardar secreto sobre los datos personales conocidos por el tratamiento de los mismos. d) Recordar también que en el art. 44. LOPD se tipifica como infracción grave el descubrimiento de secreto sobre datos personales. Como ejemplo de la estrecha interrelación entre el Código Penal y la legislación sobre protección de datos personales comentamos a continuación el caso real ocurrido en Barcelona hace unos meses y conocido como “Caso Deutsche Bank” que se desarrolla en dos instancias judiciales diferentes; la Magistratura Laboral y un Juzgado de Instrucción. El caso Deutsche Bank; despido laboral y posterior querella por incumplimiento del “deber de secreto y vulneración del derecho a la intimidad” La Sentencia del Tribunal Superior de Justicia de Cataluña núm. 9382/2000, de la Sala de lo Social, de 14 de noviembre (Marginal Aranzadi AS 2000\3444), así como la posterior querella, que comentaremos a continuación, tiene especial relevancia por ser de las primeras en que se trata la problemática derivada de la introducción de las redes de comunicaciones en el ámbito laboral, con la particularidad añadida de tratarse de la primera incursión en la jurisdicción penal. Los antecedentes se remontan al despido de Don Gregorio G.R. por motivos disciplinarios por parte del Deutsche Bank. Los motivos que el Banco adujo para su despido consistieron en: “La entidad ha tenido conocimiento de la utilización totalmente prohibida por su parte del correo electrónico con fines personales, en tanto en cuanto esta herramienta de trabajo ha sido instalada exclusivamente para facilitar y agilizar las comunicaciones y el trabajo a realizar tanto dentro de la propia oficina como con el resto de oficinas que tiene Deutsche Bank, SAE. Ha utilizado el mismo para enviar mensajes humorísticos, sexistas e incluso algunos obscenos a sus compañeros de trabajo y amistades, todo ello dentro del horario laboral y utilizando los medios propios de la Entidad Bancaria. Dicha actuación supone la pérdida de tiempo de trabajo efectivo, tanto suyo al confeccionar y enviar los mensajes como de sus compañeros al recibirlos y leerlos. En concreto, esta parte ha podido observar que a lo largo del período comprendido entre el 7-10-1999 al 19-11-1999 ha enviado 140 mensajes, con un total de 298 receptores (…). Los mensajes que han sido enviados por usted, en horario laboral han sido (…) claramente obscenos. 278 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Su conducta es constitutiva de un incumplimiento grave y culpable por transgresión de la buena fe, y abuso de confianza en el desempeño de su trabajo, tal y como está previsto en los artículos 54.2 d) del Texto Refundido de la Ley del Estatuto de los Trabajadores, aprobado por Real Decreto Legislativo 1/1995, de 24 de marzo, y el artículo 50.1 del XVII Convenio Colectivo de Bancos Privados, haciéndose acreedora, de conformidad con el propio artículo 54 del Estatuto y art. 51 c).5 del convenio aplicable, de la sanción de despido disciplinario que se le aplica”. Don Gregorio, G.R., intentó una conciliación con la entidad bancaria sin éxito, y por ello presentó demanda sobre despido disciplinario en el Juzgado de lo Social. En la Sentencia de dicho Juzgado se consideraron probados entre otros aspectos: - “ Que desde el 7-10-1999 hasta el 19-11-1999, el actor -sin conocimiento ni autorización de la empresa demandada- envió -a través del correo electrónico que él tiene asignado en la compañía-, 140 mensajes a 298 destinatarios…”. - “ Que dichos mensajes eran ajenos a la prestación de servicios del señor G. R. en Deutsche Bank, SAE, y se remitieron en horario laboral. La empresa demandada sólo permite utilizar el referido sistema de comunicación por motivos de trabajo”. El fallo del Juzgado de lo Social consistió en “estimar la demanda interpuesta por don Gregorio G.R. frente a la empresa Deutsche Bank, SAE, debo declarar y declaro la nulidad del despido del actor acordado por la empresa demandada (…), condenando a la compañía Deutsche Bank, SAE, a que readmita al demandante en las mismas condiciones que regían antes de producirse el despido y a que le abone los salarios dejados de percibir desde el despido hasta la fecha de la readmisión…”. Frente a dicho fallo el Deutsche Bank, SAE, formuló recurso de suplicación ante el Tribunal Superior de Justicia de Cataluña. De la Sentencia que resolvió el recurso de suplicación merece destacarse a nuestros efectos, el Fundamento de Derecho Cuarto: “CUARTO. Declara probado la sentencia recurrida que “(…) el actor (…) envió -a través del correo electrónico que él tiene asignado en la compañía- 140 mensajes a 298 destinatarios (…)”. Dichos mensajes, “ajenos a la prestación de servicios (…), se remitieron en horario laboral”; cuando es así que “la empresa demandada sólo permite utilizar el referido sistema de comunicación por motivos de trabajo”. Concurre así un acreditado incumplimiento laboral del trabajador sancionado que, tanto por su contenido como por su reiteración en el tiempo, resulta expresivo de una entidad disciplinaria suficiente como para revestir de razonabilidad a la reacción empresarial; no pudiendo, por ello, enmarcarse su decisión en motivaciones ajenas a las propias que disciplinan la relación de trabajo. Nuestra doctrina jurisprudencial ha venido señalando [en aplicación del artículo 54.2 d) ET] cómo esta causa de despido comprende, dentro de la rúbrica general de transgresión de la buena fe contractual, todas las violaciones de los deberes de conducta y cumplimiento de la buena fe que el contrato de trabajo impone al trabajador (STS 27 octubre 1982), lo que abarca todo el sistema de derechos y obligaciones que disciplina la conducta del hombre en sus relaciones jurídicas con los demás y supone, en definitiva, obrar de acuerdo con las reglas naturales y de rectitud conforme a los criterios morales y sociales imperantes en cada momento histórico (STS 8 de mayo 1984); debiendo estarse para la valoración de la conducta que la empresa considera contraria a este deber, a la entidad del cargo de la persona que cometió la falta y sus circunstancias personales (STS 20 octubre 1983); pero sin que se requiera para justificar el despido que el trabajador haya conseguido un lucro personal, ni sea exigible que tenga una determinada entidad el perjuicio sufrido por el empleador, pues simplemente basta que el operario, con intención dolosa o culpable y plena consciencia, quebrante de forma grave y relevante los deberes de fidelidad implícitos en toda prestación de servicios, que debe observar con celo y probidad para no defraudar los intereses de la empresa y la confianza en él depositada (STS 16 mayo 1985). En el presente supuesto, la naturaleza y características del ilícito proceder descrito suponen una clara infracción del deber de lealtad laboral que justifica la decisión empresarial de extinguir Marco jurídico 279 el contrato de trabajo con base en el citado art. 54.2.d), al haber utilizado el trabajador los medios informáticos con que cuenta la empresa, en gran número de ocasiones, para fines ajenos a los laborales [contraviniendo, así -con independencia de su concreto coste económico-temporal- un deber básico que, además de inherente “a las reglas de buena fe y diligencia” que han de presidir las relaciones de trabajo- “ex” art. 5 a) ET- parece explicitado en el hecho 11] y comprometiendo la actividad laboral de otros productores. Como señala la SRSJ de Murcia de 15 de junio de 1999 “(…) por razones elementales de orden lógico y de buena fe, un trabajador no puede introducir datos ajenos a la empresa en un ordenador de la misma sin expresa autorización de ésta, pues todos los instrumentos están puestos a su exclusivo servicio…”. Imponiéndose, por ello, la consecuente estimación del duodécimo motivo de recurso, al haberse producido la “aplicación indebida” que en el mismo se denuncia del artículo 54.2 d) del Estatuto de los Trabajadores (…)”. Como resumen del Fundamento de Derecho reproducido, los requisitos para considerar inadecuado el uso por parte del trabajador del correo electrónico son los siguientes: • Mensajes ajenos a la prestación de servicios que se remitieron en horario laboral. • La empresa sólo permite utilizar el referido sistema de comunicación por motivos de trabajo. • Transgresión de la buena fe contractual que el contrato de trabajo impone al trabajador. • No se requiere para justificar el despido que el trabajador haya conseguido un lucro personal, ni es exigible que tenga una determinada entidad el perjuicio sufrido por el empleador, pues simplemente basta que el operario, con intención dolosa o culpable y plena consciencia, quebrante de forma grave y relevante los deberes de fidelidad implícitos en toda prestación de servicios, que debe observar con celo y probidad para no defraudar los intereses de la empresa y la confianza en él depositada. • Haber utilizado el trabajador los medios informáticos con que cuenta la empresa, en gran número de ocasiones, para fines ajenos a los laborales contraviniendo, así -con independencia de su concreto coste económico -temporal- un deber básico que, además de inherente a las reglas de buena fe y diligencia. El Fallo del Tribunal Superior de Justicia de Cataluña estimó el recurso de suplicación interpuesto por Deutsche Bank, SAE, y revocó en su integridad la resolución del Juzgado de lo Social, confirmando el despido del trabajador y extinguiendo su contrato de trabajo. Con este Fallo se empiezan a sentar las bases jurisprudenciales sobre el uso del correo electrónico en el puesto de trabajo. Aunque no solo debemos pensar en el e-mail, sino en cualquier uso de las redes de comunicaciones que la empresa pone a disposición de sus trabajadores, por ejemplo la simple navegación por Internet. No es una cuestión baladí, ya que estamos viviendo la era de la denominada Sociedad de la Información, y las herramientas tecnológicas con las que desempeñar la actividad laboral irán aumentarán espectacularmente y como es lógico también los conflictos derivados de su uso (o mal uso). Pese a que parecen claras las pautas establecidas para considerar que se está realizando un uso indebido del correo electrónico por parte de un trabajador, otro tema relacionado que no debe pasar por alto es el relativo a como se obtienen por parte del empresario las pruebas de un supuesto uso indebido del mismo. Es exactamente lo que sucedió en el caso expuesto ya que el trabajador despedido de la entidad bancaria en virtud del fallo del Tribunal Superior de Justicia de Cataluña, interpuso una querella contra altos directivos del Deutsche Bank por presunto delito de Descubrimiento y Revelación de Secretos que aparece en el Código Penal al aportar el banco como prueba inculpatoria en el procedimiento anterior de despido unos correos electrónicos remitidos por el ahora querellante. 280 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas El artículo del Código Penal que regula el descubrimiento y revelación de secretos es el siguiente: “Artículo 197. 1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus (…) mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses. 4. Si los hechos descritos (…) se realizan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros, se impondrá la pena de prisión de tres a cinco años, y se difunden, ceden o revelan los datos reservados, se impondrá la pena en su mitad superior”. Para valorar las actuaciones a seguir se deberán ponderar los límites entre el derecho a la intimidad del trabajador y la facultad de control del correo electrónico por parte del empresario. En la fecha que se redactan estas líneas la Fiscalía de Barcelona ha solicitado el archivo de la querella presentada contra los directivos de la entidad bancaria por interceptación de correo electrónico y violación de la intimidad. A la espera de la tramitación o archivo de la querella conviene detenerse en los aspectos principales que configuran los límites del derecho a la intimidad. El derecho a la intimidad no es absoluto y por tanto posee ciertas limitaciones. Dichas limitaciones aparecen en diversos puntos de la jurisprudencia del Tribunal Constitucional, y giran entorno al concepto de proporcionalidad como ha expuesto en el libro Intimidad y Seguridad* por Joan B. Cremades: “La constitucionalidad de cualquier medida restrictiva de ese derecho, como todo derecho fundamental viene determinada por la estricta observancia del principio de proporcionalidad (…) conformado por los siguientes requisitos: 1. Que la medida limitativa del derecho fundamental esté prevista por la ley (…). 2. Que tenga un fin constitucionalmente legítimo (por ejemplo la investigación de un delito). 3. Que sea adoptada mediante resolución judicial, especialmente motivada (…). 4. Que sea idónea, necesaria y proporcionada, proporcionalidad estricta que requiere tres condiciones: si tal medida es susceptible de conseguir el propósito propuesto (juicio de idoneidad); si es necesaria, en el sentido de que no exista otra más moderada, para la consecución de tal propósito con igual eficacia (juicio de necesidad); si es ponderada o equilibrada, por derivarse de ella más beneficios para el interés general que perjuicios sobre otros bienes o valores en conflicto. 5. Otras exigencias específicas respecto de la forma de llevarla a la práctica”. Para finalizar veremos cuál es el tratamiento que recibe por parte de la normativa de protección de datos el e-mail. El correo electrónico en sí mismo no es un dato personal. Dicha afirmación, sin embargo, se debe matizar, ya que el concepto de dato personal es todo aquel dato que sea concerniente a personas identificadas e identificables. Por lo tanto, en la medida que una dirección de correo electrónico permita llegar a identificar a una persona física, dicho dato será considerado un dato personal y afectado por la normativa de protección de datos, al menos por extensión del concepto. Otra cuestión relacionada pero diferente, como refleja la interposición de la querella comentada, es el uso que se realice del correo electrónico en el ámbito de una relación laboral. El límite de la intimidad del trabajador en el puesto de trabajo utilizando herramientas que la empresa ha puesto a su dis- Marco jurídico 281 posición para el cumplimiento de la prestación laboral posee como ya hemos expuesto diversas matizaciones que salvaguarden los derechos de todas las partes intervinientes y que se pueden sintetizar en: • Definición y puesta en conocimiento de todos los trabajadores de una correcta política de seguridad y de utilización de las redes de comunicaciones en una empresa. • Respeto de la intimidad del trabajador y de los límites de proporcionalidad como medida restrictiva del derecho fundamental a la intimidad. • Uso de los procedimientos legales para intervención en caso necesario de las redes de comunicaciones por parte del empresario. Deberemos esperar la evolución legal y jurisprudencial para que se asienten y concreten los anteriores puntos y hasta entonces su escrupuloso seguimiento evitará perjuicios a todas las partes intervinientes en una relación laboral, tanto desde el punto de vista de los trabajadores, como por las consiguientes querellas como en el caso del Deutsche Bank que lleven a imputar a parte de sus directivos en una causa penal con el consiguiente perjuicio para las empresas. B. Revelación de secreto de empresa Artículo 278. 1. El que, para descubrir un secreto de empresa se apoderare por cualquier medio de datos, documentos escritos o electrónicos, soportes informáticos u otros objetos que se refieran al mismo, o empleare alguno de los medios o instrumentos señalados en el apartado 1 del artículo 197, será castigado con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses. 2. Se impondrá la pena de prisión de tres a cinco años y multa de doce a veinticuatro meses si se difuncieren, revelaren o cedieren a terceros los secretos descubiertos. 3. Los dispuesto en el presente artículo se entenderá sin perjuicio de las penas que pudieran corresponder por el apoderamiento o destrucción de los soportes informáticos. Artículo 279. La difusión, revelación o cesión de un secreto de empresa llevada a cabo por quien tuviere legal o contractualemente obligación de guardar reserva, se castigará con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses. Si el secreto se utiliza en provecho propio, las penas se impondrán en su mitad inferior. Artículo 280. El que, con conocimiento de su origen ilícito, y sin haber tomado parte en su descubrimiento, realizare alguna de las conductas descritas en los dos artículos anteriores, será castigado con la pena de prisión de uno a tres años y multa de doce a veinticuatro meses. Al contrario de lo que ocurría con la serie de artículos que tipifican el descubrimiento de secretos en los que las tecnologías o sus contenidos constituían el objeto propio de la agresión, ahora nos encontramos con que éstos son un mero medio; documentos escritos o electrónicos, soportes informáticos (art. 278.1). Es importante la remisión (art. 278.3) que esta figura delictiva hace a otra conexa, pero diferenciada, cuyo tipo es regulado por el art. 264. 2. 8.3.3. Delitos de injuria y calumnia con publicidad Artículo 211. La calumnia y la injuria se reputarán hechas con publicidad cuando se propaguen por medio de la imprenta, la radiodifusión o por cualquier otro medio de eficacia semejante. 282 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Artículo 212. En los casos a los que se refiere el artículo anterior, será responsable civil solidaria la persona física o jurídica propietaria del medio informativo a través del cual se haya propagado la calumnia o injuria. De nuevo se hace referencia tácita a cualquier instrumento TIC (Internet, por ejemplo, aunque no sólo) como elemento utilizado para publicitar y magnificar así el daño producido por una conducta (o tipificación) en principio ajena al entorno tecnológico. 8.3.4. Delitos relacionados con instrumentos tecnológicos para la manipulación de accesos y/o contenidos Concepto de llave falsa en el delito de robo. Artículo 239. ... se consideran llaves a las tarjetas, magnéticas o perforadas, y los mandos o instrumentos de apertura a distancia. Estafa con manipulación informática. Artículo 248. 1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno. 2. También se consideran reos de estafa los que, con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero. Alteración o manipulación de aparatos automáticos. Artículo 238. Se impondrán penas de prisión de seis meses a un año y multa de seis a dieciocho meses a los que, en perjuicio del consumidor, facturen cantidades superiores por productos o servicios cuyo costo o precio se mida por aparatos automáticos, mediante la alteración o manipulación de éstos. 8.3.5. Delitos relativos a fluidos, radiaciones y emisiones Defraudación de fluidos. Artículo 255. Será castigado con la pena de multa de tres a doce meses el que cometiere defraudación por valor superior a cincuenta mil pesetas, utilizando energía eléctrica, gas, agua, telecomunicaciones u otro elemento, energía o fluido ajenos, por alguno de los medios siguientes: 1º Valiéndose de mecanismos instalados para realizar la defraudación. 2º Alterando maliciosamente las indicaciones o aparatos contadores. 3º Empleando cualesquiera otros medio a clandestinos. Artículo 256. El que hiciere uso de cualquier equipo terminal de telecomunicación, sin consentimiento de su titular, ocasionando a éste un perjuicio superior a cincuenta mil pesetas, será castigado con la pena de multa de tres a doce meses. Radiaciones, emisiones. Artículo 325. Será castigado con las penas de prisión de seis meses a cuatro años, multa de ocho a veinticuatro meses e inhabilitación especial para profesión u oficio por tiempo de uno a tres años el que, contraviniendo las Leyes o disposiciones de carácter general protectoras del medio ambiente, provoque o realice directa o indirectamente emisiones, Marco jurídico 283 vertidos, radiaciones, extracciones o excavaciones, aterramientos, ruidos, vibraciones, inyecciones o depósitos, en la atmósfera, el suelo, el subsuelo, o las aguas terrestres, marítimas o subterráneas, con incidencia, incluso, en los espacios transfronterizos, así como las captaciones de aguas que puedan perjudicar gravemente el equilibrio de los sistemas naturales.. si el riesgo de grave perjuicio fuese para la salud de las personas, la pena de prisión se impondrá en su mitad superior. Artículo 326. Se impondrá la pena superior en grado, sin perjuicio de las que puedan corresponder con arreglo a otros preceptos de este Código, cuando en la comisión de cualquiera de los hechos descritos en el artículo anterior concurra alguna de las circunstancias siguientes: a) Que la industria o actividad funcione clandestinamente, sin haber obtenido la preceptiva autorización, o aprobación administrativa de sus instalaciones. b) Que se hayan desobedecido las órdenes expresas de la autoridad administrativa de corrección o suspensión de las actividades tipificadas en el artículo anterior. c) Que se haya falseado u ocultado información sobre los aspectos ambientales de la misma. d) Que se haya obstaculizado la actividad inspectora de la Administración. e) Que se haya producido un riesgo de deterioro irreversible o catastrófico. f) Que se produzca una extracción ilegal de aguas en periodo de restricciones. Energía nuclear y radiaciones ionizantes. Artículo 341. El que libere energía nuclear o elementos radiactivos que pongan en peligro la vida o la salud de las personas o sus bienes, aunque no se produzca explosión, será sancionado con la pena de prisión de quince a veinte años, e inhabilitación especial para empleo o cargo público, profesión u oficio por tiempo de diez a veinte años. Artículo 342. El que, sin estar comprendido en el artículo anterior, perturbe el funcionamiento de una instalación nuclear o radiactiva, o altere el desarrollo de actividades en las que intervengan materiales o equipos productores de radiaciones ioinizantes, creando una situación de grave peligro para la vida o la salud de las personas, será sancionado con la pena de prisión de cuatro a diez años, e inhabilitación especial para empleo o cargo público, profesión u oficio por tiempo de seis a diez años. Artículo 343. El que exponga a una o varias personas a radiaciones ionizantes que pongan en peligro su vida, salud o bienes, será sancionado con la pena de prisión de seis a doce años, e inhabilitación especial para empleo o cargo público, profesión u oficio por tiempo de seis a diez años. Artículo 344. Los hechos previstos en los artículos anteriores serán sancionados con la pena inferior en grado, en sus respectivos supuestos, cuando se hayan cometido por imprudencia grave. Artículo 345. 1. El que se apodere de materiales nucleares o elementos radiactivos, aun sin ánimo de lucro, será sancionado con la pena de prisión de uno a cinco años. La misma pena se impondrá al que sin la debida autorización facilite, reciba, transporte o posea materiales radiactivos o sustancias nucleares, trafique con ellos, retire o utilice sus deshechos o haga uso de isótopos radiactivos. 284 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas 2. Si la sustracción se ejecutara empleando fuerza en las cosas, se impondrá la pena en su mitad superior. 3. Si el hecho se cometiera con violencia o intimidación en las personas, el culpable será castigado con la pena superior en grado. 8.3.6. Daños en programas o documentos electrónicos, soportes o sistemas informáticos Artículo 263. El que cause daños en propiedad ajena no comprendidos en otros Títulos de este código, será castigado con la pena de multa de seis a veinticuatro meses, atendidas la condición económica de la víctima y la cuantía del daño, si éste excediera de trescientos cincuenta y un euros. Artículo 264. 1. Será castigado con la pena de prisión de uno a tres años y multa de tres a veinticuatro meses el que causare daños expresados en el artículo anterior, si concurriese alguno de los supuestos siguientes: 1. Que se realicen para impedir el libre ejercicio de la autoridad o en venganza de sus determinaciones, bien se cometiere el delito contra funcionarios públicos, bien contra particulares que, como testigos o de cualquier otra manera, hayan contribuido o puedan contribuir a la ejecución o aplicación de las Leyes o disposiciones generales. 2. Que se cause por cualquier medio infección o contagio de ganado. 3. Que se empleen sustancias venenosas o corrosivas. 4. Que afecten a bienes de dominio o uso público o comunal. 5. Que arruinen al perjudicado o se le coloque en grave situación económica. 2. La misma pena se impondrá al que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos. A nuestros efectos, la disposición interesante es la contenida en el punto 2 del art. 264, pero su comprensión obliga a la lectura detallada del artículo 263 y 264 punto 1. Sin duda la trascendencia de esta tipificación penal se proyecta con toda su precisión en la problemática de los virus y actividad de los crackers, entre otras conductas delictivas. 8.3.7. Delitos por agresión a la propiedad intelectual Artículo 270. Será castigado con pena de prisión de seis meses a dos años o con multa de seis a veinticuatro meses quien, con ánimo de lucro y en perjuicio de tercero, reproduzca, plagie, distribuya o comunique públicamente, en todo o en parte, una obra literaria, artística o científica, o su transformación, interpretación o ejecución artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios. La misma pena se impondrá a quien intencionadamente importe, exporte o almacene ejemplares de dichas obras o producciones o ejecuciones sin la referida autorización. Será castigada también con la misma pena la fabricación, puesta en circulación y tenencia de cualquier medio específicamente destinada a facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador. Marco jurídico 285 Artículo 271. Se impondrá la pena de prisión de un año a cuatro años, multa de ocho a veinticuatro meses, e inhabilitación especial para el ejercicio de la profesión relacionada con el delito cometido, por un período de dos a cinco años, cuando concurra alguna de las siguientes circunstancias: a) Que el beneficio obtenido posea especial trascendencia económica. b) Que el daño causado revista especial gravedad. En tales casos, el Juez o Tribunal podrá, asimismo, decretar el cierre temporal o definitivo de la industria o establecimiento del condenado. El cierre temporal no podrá exceder de cinco años. Artículo 272. 1. La extensión de la responsabilidad civil derivada de los delitos tipificados en los dos artículos anteriores se regirá por las disposiciones de la Ley de Propiedad Intelectual relativas al cese de la actividad ilícita y a la indemnización de daños y perjuicios. 2. En el supuesto de sentencia condenatoria, el Juez o Tribunal podrá decretar la publicación de ésta, a costa del infractor, en un periódico oficial. Artículo 273. 1. Será castigado con las penas de prisión de seis meses a dos años y multa de seis a veinticuatro meses el que, con fines industriales o comerciales, sin consentimiento del titular de una patente o modelo de utilidad y con conocimiento de su registro, fabrique, importe, posea, utilice, ofrezca o introduzca en el comercio objetos amparados por tales derechos. 2. Las mismas penas se impondrán al que, de igual manera, y para los citados fines, utilice u ofrezca la utilización de un procedimiento objeto de una patente, o posea, ofrezca, introduzca en el comercio, o utilice producto directamente obtenido por el procedimiento patentado. 3. Será castigado con las mismas penas el que realice cualquiera de los actos tipificados en el párrafo primero de este artículo concurriendo iguales circunstancias en relación con objetos amparados a favor de tercero por un modelo o dibujo industrial o artístico o topografía de un producto semiconductor. Artículo 274. 1. Será castigado con las penas de seis meses a dos años y multa de seis a veinticuatro meses el que, con fines industriales o comerciales, sin consentimiento del titular e un derecho de propiedad industrial registrado conforme a la legislación de marcas, y con conocimiento del registro, que produzca, imite, modifique, o de cualquier otro modo utilice un signo distintivo idéntico o confundible con aquél, para distinguir los mismos o similares productos, servicios, actividades o establecimientos para los que el derecho de propiedad industrial se encuentra registrado. 2. Las mismas penas se impondrán al que, a sabiendas posea para su comercialización, o ponga en el comercio, productos o servicios con signos distintivos que, de acuerdo con el apartado 1 de este artículo, supone una infracción de los derechos exclusivos del titular de los mismos, aun cuando se trate de productos importados del extranjero. Artículo 275. Las mismas penas previstas en el artículo anterior se impondrán a quien intencionadamente y sin estar autorizado para ello, utilice en el tráfico económico una denominación de origen o una indicación geográfica representativa de una calidad determinada y legalmente protegidas para distinguir los productos amparados por ellas, con conocimiento de esa protección. 286 Manual de Seguridad en Internet. Soluciones técnicas y jurídicas Artículo 276. 1. Se impondrá la pena de prisión de dos a cuatro años, multa de ocho a veinticuatro meses, en inhabilitación especial para el ejercicio de la profesión relacionada con el delito cometido, por un período de dos a cinco años, cuando los delitos tipificados en los anteriores artículos revistan especial gravedad, atendiendo al valor de los objetos producidos ilícitamente o a la especial importancia de los perjuicios ocasionados. 2. En dicho supuesto, el Juez podrá decretar el cierre temporal o definitivo de una industria o establecimiento del condenado. El cierre temporal no podrá exceder de cinco años. Artículo 277. Será castigado con las penas de prisión de seis meses a dos años y multa de seis a veinticuatro meses, el que intencionadamente haya divulgado la invención objeto de una solicitud de patente secreta, en contravención con lo dispuesto en la legislación de patentes, siempre que ello sea en perjuicio de la defensa nacional. Los ilícitos relacionados con la propiedad intelectual y su protección deben ser estudiados en paralelo con el contenido del apartado 5 del presente manual, consejo que damos encarecidamente por la especificidad y grado de complejidad de la regulación tanto civil como penal de esta materia. Es imposible entender mínimamente los artículos que preceden sin una cierta soltura en la comprensión de la problemática general sobre protección de la propiedad intelectual. 8.4. Los diez delitos y fraudes más usuales en Internet Como cierre y a modo de ejemplo reproducimos el resumen elaborado por la Comisión Federal de Comercio de los Estados Unidos respecto de los delitos más frecuentes en la Red: LOS DIEZ FRAUDES MÁS USUALES EN COMERCIO ELECTRÓNICO 1. Subastas: A) subastar lo que no está disponible. B) no entregar el objeto. C) posibilidad de rescisión ante la vista del objeto y devolución del dinero. 2. Letra pequeña: Ofertar horas sin gastos de conexión, a cambio de conexión por un año (revocable). Luego la letra pequeña complica las bajas. 3. Tarjetas de crédito: Protección con protocolos set y ssl (firma electrónica). 4. Cambio de dial: Cambiar sin informar al usuario una conexión Internet por una telefónica 906, por ejemplo. 5. Albergue de páginas web: Gratuito en período de prueba pero que luego se hace imposible de revocar. 6. Pirámides financieras. 7. Vacaciones gratis. 8. Ofertas de empleo (a cambio de aportar algo o comprar algo). 9. Inversiones (de alto riesgo y sin garantías). 10. Curas milagrosas.