Reunión Regional Preparatoria del FGI

Transcripción

Panel 2: Promoviendo ciberseguridad y confianza

Rodrigo de la Parra: Bien, sin más vamos a empezar las presentaciones, vamos a pedirle Ariel Graizer que nos haga el favor de darnos su presentación.

Ariel Graizer: Buenos días. Antes de comenzar quisiera hacer dos comentarios.

Primero, agradecer a LACNIC la invitación a participar en este evento. Creo que dos días es poco. De hecho, el panel anterior a demostrado eso: yo tengo ganas de seguir hablando dos días más solamente del panel anterior. Creo que hay muchas cosas para compartir en la diversidad de países que tenemos. Creo además es necesario que repitamos esto más seguido, con lo cual desde CABASE, Argentina, apoyamos y vamos a seguir apoyando esto.

Este panel es sobre ciberseguridad y yo les voy a contar que me pasó esta mañana: me pasé toda la mañana pelando con un troyano en mi notebook, recién, durante el panel anterior. Parte de las cosas que tenemos que hacer es educarnos. Resulta que presté mi pendrive y me volvió con virus. Y en parte a esto que me refiero cuando digo que se trata de educarnos. En algunos de estos aspectos me considero un especialista, y sin embargo caí en mi propia trampa.

Bueno, yo vengo de CABASE. CABASE es la Cámara Argentina de Bases de Datos de Servicios en Línea en la Argentina; hoy también somos llamados la Cámara de Internet. Fundada a fines de los años ochenta, uno de nuestros mayores hitos y en parte lo que nos ha mantenido vivos durante todos estos años, mas allá de la participación en los distintos foros, fue haber creado el NAP de la República Argentina. El NAP es el punto de encuentro de todas las redes nacionales y desde ese punto hemos desarrollado una política activa promoviendo la interconexión, la igualdad de oportunidades, y promoviendo un ambiente corporativo para el desarrollo del Internet en la Argentina. Somos fundadores de eCOM-LAC y de LACNIC y además participamos en todo evento internacional en el cual podamos desarrollarnos.

Nosotros en CABASE detectamos que en la Argentina − y quizás esto también esté pasando en otros países de América Latina − no teníamos un CSIRT. El único que había es uno que es del gobierno y que sólo puede dedicarse a trabajar dentro del ámbito del gobierno. Por esto, en vez desarrollar este aspecto desde una empresa, pensamos en hacerlo desde la Cámara bajo el mismo concepto que tuvimos con el NAP: un punto de encuentro que es de todos y no es de nadie y en el cual todos tienen participación. Teníamos que desarrollar un CSIRT − un Computer Security Incident Response Team.

Básicamente lo entendemos como una necesidad en cada lugar, en cada país, en cada región para poder coordinar las tareas y poder estar actualizados y estar prevenidos dentro de lo que son las normas, las regulaciones, los buenos procedimientos, las buenas prácticas para incrementar los niveles de seguridad, para compartir mejores prácticas y atender los incidentes del mundo privado, no ya del mundo público − por lo menos en la Argentina, donde el mundo público tiene ya su CSIRT. Nos hemos fijado como metas y como objetivos el asesoramiento, la centralización de reportes, el repositorio de información, fomentar la interacción y, fundamentalmente, evangelizar a toda nuestra comunidad, a todos nuestros usuarios para que entendamos que Internet es una herramienta está a nuestra disposición pero tenemos que tener buenas prácticas y cuidarnos para poder llevar adelante con seguridad nuestro trabajo y nuestra necesidad de acceso a la información.

Dentro de las causas que identificamos de por qué hacía falta un CSIRT en la Argentina está la existencia de una tendencia internacional. También la necesidad de identificar y proteger las infraestructuras criticas (y nuestro NAP es hoy una infraestructura critica dentro de la Argentina). Todas las redes de Internet en la Argentina se interconectan, la mayoría de ellas (todas menos dos) se interconectan en nuestro NAP, por lo que es muy importante protegernos. Además, determinar riesgos y generar controles son parte de las políticas típicas de un CSIRT y en eso es en lo que estamos trabajando.

Bueno, ¿por qué CABASE? Básicamente por los puntos que están escritos en mi presentación. Nosotros entendemos que esto no puede ser de una sola empresa, y de la forma en que está dividido en la Argentina tiene que haber uno privado y uno público. Entonces entendemos que CABASE representa para el ámbito de la República Argentina el lugar lógico donde el CSIRT debe estar establecido − al lado del NAP.

¿Qué misión nos fijamos? Nuestra misión es estrictamente técnica. El CSIRT no investiga el origen de los ataques, damos absoluta confidencialidad de la información y de la identidad a los actores que están trabajando con nosotros, damos respuestas a incidentes y de alguna manera estamos trabajando en tres tipos de servicios.

Un tipo son los servicios reactivos, es decir los que se dan como una reacción ante un incidente, otro son los servicios proactivos (los de asistencia, los de evangelización, los de informar, los de educar) y el último tipo son los servicios de gestión de la calidad de la información.

Para poder hacerlo nos fijamos ciertos objetivos: desarrollar estrategias de gestión de incidentes; canales de comunicación confiables con nuestros asociados y con el resto de la comunidad; generar alertas tempranas a usuarios afectados; trabajar con nuestros asociados para disminuir los incidentes, ayudándolos a reducir los impactos que estos generan en sus propias redes; notificar y notificarnos con otros CSIRT de lo que estamos percibiendo en la red; compartir información y soluciones, que creo es unos de los puntos estratégicos sobre los cuales estamos trabajando; y el monitoreo de las tendencias a nivel mundial. Estar conectados con otros nos permite de alguna manera entender que está pasando en otros lugares del mundo.

La verdad es que hoy no nos diferenciamos de otros lugares del mundo en cuanto a lo que son los ataques: somos todos primer mundo, no hay diferencias en cuanto a los ataques. Los ataques suceden en todas partes al mismo tiempo sin discriminación, sin diferencias, y esto es algo de lo que la mayoría de nosotros no nos damos cuenta.

Ventajas y beneficios que nos planteamos para trabajar, que quizá sirvan como modelo para discutir o generar opiniones en otros que puedan desarrollarse en otros países: protección de infraestructura crítica, como ya lo mencioné anteriormente; colaboración entre el sector público y el sector privado, entendiendo que en el caso de Argentina el sector público tiene otro centro de respuesta; y gestión de incidentes en el ámbito privado.

Esta página muestra otros CSIRT que ya están funcionando. Algunos de ellos son públicos, algunos de ellos privados, algunos de ellos son de organizaciones sin fines de lucro como el de CABASE, pero lo importante es entender que hay muchos lugares vacíos ahí todavía, lugares que hay que llenar. Hay muchos espacios en los cuales no hay CSIRT y, como decíamos, los ataques suceden en muchas partes al mismo tiempo, instantáneamente.

Parte de lo que estamos trabajando es en el marco legal, que es muy importante y que no solamente nos toca en el punto del trabajo interno, sino en cómo interactuamos con la ley de telecomunicaciones que hay en la Argentina, con la nueva ley sobre delitos informáticos, con la ley de protección de datos personales. Como ejemplo, en CABASE trabajamos constantemente para entender y ayudar a que el senado y la cámara de diputados en Argentina promuevan leyes que sean realizables, que contribuyan al desarrollo coherente de la industria. Hemos hecho, por ejemplo, un trabajo con el cual con algunos seminarios en los que hemos intervenido se pretende lograr que los senadores o ministros aprueben leyes que generen el desarrollo local y la infraestructura y no que promuevan leyes que lleven a los servicios o servidores a salir del país producto de la imposibilidad que esas leyes le imponen al desarrollo de negocios o de emprendimientos. Pero todo esto se debe entender desde un marco legal que permita seguridad y que permita que haya de alguna manera una contrapartida ante el delito y una organización trabajando para combatir el delito, tanto desde el punto de vista de los que están en el país como de los que vienen de afuera. Como decía antes, el desarrollo de un CSIRT y el desarrollo de políticas proactivas son lo que nos permiten desarrollar y llegar a ese punto.

En algún momento tuvimos una pequeña incompatibilidad que quizás ya les haya mencionado. El gobierno argentino sacó en el 2004 una ley que nos obligaba a los prestadores de servicios a guardar los datos de tráfico de los últimos 10 años y entregarlos inmediatamente a cualquier oficial de justicia que nos lo requiriera. Pero “un oficial de justicia” incluía también a los oficiales de las agencias de seguridad que en la Argentina la mayoría de ellos son anónimos. Al mismo tiempo teníamos una ley − la ley de protección de datos personales − que nos prohibía entregar esos datos.

Entonces el entorno legal en el cual estábamos trabajando, el marco legal en el cual estábamos desarrollando nuestra actividades, nos generaba una incompatibilidad, no podíamos responder a la ley de protección de datos personales y tampoco podíamos darle a las fuerzas de seguridad las herramientas que nos pedían. Por este motivo trabajamos con ellos en el desarrollar un marco legal un poco más confiable que nos permita a las empresas prestadoras de servicios ocupar esos espacios. Nada más, gracias.

Rodrigo de la Parra: Muchas gracias Ariel. Vamos a dar ahora la palabra a Carlos Gregorio, del Instituto de la Investigación para la Justicia.

Carlos Gregorio: Muchas gracias. Entendiendo que estamos reunidos aquí para poder concentrarnos en el próximo Foro de Gobernanza de Internet para tratar la posición de América Latina sobre el tema de la ciberseguridad.

Me gustaría empezar analizando un poco cómo están puestos ya los tantos. He analizado un poco los contenidos de ciberseguridad del foro de Río y del próximo foro de la India, y he encontrado algunos temas que concentran la atención. Si ustedes revisan, para el próximo foro están planificados ya unos seis talleres sobre explotación sexual, pornografía infantil, seguridad de los niños en Internet... Es decir que ahí ya tenemos una primera gran preocupación de la seguridad que hace a los grupos vulnerables. Si bien el tema de los grupos vulnerables está por ahora centralizado en los adolescentes y en los niños, creo que ya ahí tenemos una primer posición desde América Latina, en la cual deberíamos forzar algunos otros grupos vulnerables adicionales, en mi visión por ejemplo los trabajadores. Otro contenido que aparece puntualmente es extender Interpol a una ciberpolicía mundial. Esa es una presentación que creo es interesante, aunque no vamos a profundizarla por ahora. También observo que ha desaparecido prácticamente desde el foro de Río el tema de la privacidad, prácticamente en el foro de India no hay ningún contenido de privacidad.

A mí me gustaría centrarme en el tema de la seguridad desde dos puntos de vista: desde el punto de vista de los grupos vulnerables y desde el punto de vista de los derechos de privacidad, entendiendo derechos de privacidad, honor, intimidad, y fundamentalmente imagen. Aquí tenemos dos planos de la seguridad que hacen a un aspecto: la seguridad de los niños, que históricamente ha sido legislada y las legislaciones recientes en América Latina son extraordinarias en cuanto a la protección contra la explotación sexual de los niños, y la pornografía infantil. Sin embargo, contaban en el foro de Río que en diciembre del año pasado gran parte de los sitios de pornografía infantil se estaban migrando a Panamá. Panamá es un país que tiene una excelente regulación sobre la persecución penal de la pornografía infantil y la explotación sexual de los niños. Sin embargo, una excelente regulación no era suficiente.

Por otro lado, las legislaciones sobre privacidad son absolutamente pobres, excepto, tal vez la que se ocupa de los datos personales, pero los datos personales son solamente un aspecto dentro de la intimidad, del honor, de la imagen... y tenemos una legislación extremadamente pobre.

Como contexto de estos dos procesos legislativos en la región, observamos una vulnerabilidad creciente. La vulnerabilidad creciente yo la asociaría con dos aspectos. El primero es el éxito de la Internet social, de la web 2.0, en la cual cada día hay más espacios donde cuestiones íntimas o cuestiones de imágenes pueden ser compartidas sin ningún tipo de límites. El segundo aspecto que hace que se cree mayor vulnerabilidad es la creatividad comercial: Internet es un espacio interesantísimo, y hay muchas pero muchas personas usando su inteligencia para desarrollar productos en Internet o productos de información. Les voy a poner un ejemplo, es un poco viejo pero creo que es un ejemplo interesante. En Brasil hay una gran discusión alrededor de lo que es el “passagem.” Yo no sé si ustedes han oído esa palabra en el contexto de los informes crediticios, pero en un informe crediticio, si un señor no pagó, se informa que ese señor está en rojo en sus cuentas y no se le da crédito. Pero en Brasil inventaron que también dicen “…mire este señor sí pagó, pagó siempre bien pero este mes ha tenido cinco consultas de comerciantes preguntando si tiene crédito, si está bien….”, puede ser que esté bien pero puede estar excediéndose en su crédito. Es un producto de información que se discute mucho si es legítimo o no es legítimo informarlo. Gracias a esa creatividad, cada día se inventan productos nuevos de información y es imposible pensar que una legislación sobre informes crediticios pueda contener esa visión especulativa que traspasa cualquier limite de la imaginación de cualquier legislador.

Entonces, la pregunta de fondo aquí es cómo abordar estos temas de seguridad al lo menos en estos dos aspectos − el de los grupos vulnerables y el de los derechos de privacidad − desde América Latina con legislaciones en proceso, con instituciones públicas de muy poca penetración o muy poco poder y con riesgos que están aumentando considerablemente. Aquí tenemos la misma estructura clásica de la división de poderes. Por un lado, necesitamos buenas legislaciones − está claro que las legislaciones en América Latina todavía no están funcionando muy bien, en algunos países no existen leyes de protección ni siquiera de datos personales, sería favorable alguna convención internacional que oriente las cosas, pero eso por el momento no existe, las autoridades de gobierno están en un conflicto tremendo, por un lado suelen ser ellos quienes exponen más que nadie a los ciudadanos con todas las políticas de gobierno electrónico, entonces va a ser muy difícil que alguna autoridad de gobierno pueda tener la capacidad de equilibrar este derecho y los procesos de autorregulación están en manos de los buenos y no en manos de los malos, y además el punto central de lo que yo quería introducir en esta presentación que es el papel de los jueces.

El papel de los jueces en la regulación de las tecnologías tiene una trascendencia histórica muy grande. Otros grandes cambios tecnológicos que han ocurrido en el pasado han sido regulados por los jueces por la gran variabilidad de los litigios. Es decir, ninguna legislación puede prever qué cosas van a pasar, por lo que está en manos de los jueces poder decir qué está bien y qué está mal y aplicar sanciones ejemplares que regulan en definitiva la industria.

La privacidad es una creación jurisprudencial, de hecho no está definida concretamente en ninguna legislación exactamente qué es privado y qué es público ni qué puede caer en el ámbito íntimo. Incluso un señor muy creativo en El Salvador demandó al parlamento por no haber desarrollado el Artículo 2 de la constitución que habla de la intimidad. La corte suprema que tenía que resolver esa demanda, muy curiosa por cierto, dijo que no, que el parlamento no había cometido ninguna falta porque de hecho la privacidad o la intimidad estaba protegida porque estaban los jueces para cumplir esa misión de aplicar el Artículo 2 de la constitución. Es decir que estamos en un área específica, donde los jueces juegan un papel muy importante y los jueces están despistados − quiero ser muy respetuoso − despistados cuando los vemos desde nuestra visión, pero cuando los vemos desde su responsabilidad de sostener el estado de derecho no están tan despistados, están ejerciendo unas decisiones judiciales que tienen que armonizar muchas cosas. Les voy a mencionar tres casos y con esto termino mi presentación.

El primero fue el caso Cabezas en Argentina donde un hacker entró en la página de la Corte Suprema de Justicia y puso la foto de un periodista asesinado. La policía hizo un trabajo extraordinario de rastreo, encontraron y procesaron a los culpables, y el juez los absolvió porque una página de Internet no es una cosa y por lo tanto no habían destruido nada y por lo tanto no los podían castigar.

Otro tema también sumamente interesante de cómo los jueces están manejando esto en Argentina: el correo electrónico es considerado tan personal en Argentina y tan dentro del ámbito de la intimidad que a un señor se le ocurrió hacer spam con el correo electrónico que le proveía la empresa, o sea que hizo spam usando el identificador de la empresa. El juez laboral dictaminó que no es causal de despido que un señor haya usado el correo electrónico que le provee la empresa para hacer spam. Esa es una posición que están desarrollando los jueces en la Argentina que no es similar en otras partes del mundo. Con esto voy al tema del despiste.

Y el tercer caso que quiero ponerles es el de jujuy.com. Este caso también es viejo. Se trata de un sitio que tenía una página de visitas donde uno podía escribir cualquier cosa o entrar y descargarse contra el honor de la señora o de no sé quién, y obviamente el juez sancionó al proveedor del hosting, porque en definitiva los jueces buscan de quién agarrarse. Pero en estos casos si ustedes los comparan con otras situaciones en América Latina van a ver que los jueces están muy despistados. Entonces es muy probable que esta fuerza descontrolada requiera − siempre respetando su independencia − cierto esfuerzo colaborativo para orientarlos respecto de cómo manejar mejor este proceso que en definitiva van a ser las pautas que van a alimentar la autorregulación, la responsabilidad de la empresa, y posteriormente procesos de regulación mucho más estables.

Rodrigo de la Parra: Ahora le vamos a pedir por favor a Cristine Hoepers del CERT de Brasil nos haga el favor de darnos su presentación.

/Aunque Cristine Hoepers dio su presentación en inglés, lo que sigue es la transcripción de las palabras de la intérprete./

Cristine Hoepers: Mi inglés es mejor que mi español, así que voy a hablar en inglés.

He trabajado en CERT Brasil desde hace 10 años. CERT Brasil tiene 11 años de vida y voy a hablar un poco de qué es lo que falta. Inclusive la gente que tiene toda la infraestructura, en los países que tiene CSIRT, la gente no necesariamente está colaborando, pero en la mayoría de los lados sí se coopera. Pero, ¿qué necesitamos además de la cooperación de la gente? Hablar de situaciones de seguridad e inseguridad. Yo creo que el primer panel fue muy bueno destacando cómo ahora Internet es la infraestructura para todo. Entonces, si bien tenemos una gran parte de la sociedad que todavía no está conectada, aquellos que sí están conectados realmente confían en esto, se basan en esto y los gobiernos se basan en el sector de negocios, etc. Por este motivo no podemos decir que hay demasiadas cosas inseguras y por lo tanto tenemos que cerrar. Por el contrario, tenemos que ver cómo podemos mejorar la situación.

Uno de los problemas es estamos teniendo nuevas vulnerabilidades todos los días. Voy a hablar de alguno de los temas técnicos que tiene que ver con esto. Surgen de muchos problemas, surgen por inseguridades en el software, sobre sistemas complejos de los que nunca se habla y hay muchas cosas que vienen, inclusive cuando tenemos quejas y tenemos a los usuarios. La tecnología es muy compleja, entonces a los usuarios − que no tienen idea de la tecnología − darles un parche no les sirve, por qué, dicen, tengo que estarle poniendo un parche? ¿Por qué tengo que estar actualizando mi computadora? ¿Por qué no es como mi radio o mi televisión? ¿Por qué es tan inseguro? Y la tecnología realmente está cambiando tanto que la gente no sabe que le pasan cosas. Este es uno de los problemas: tenemos seguir enseñándole a la gente y a los profesionales.

Pero hay un problema que es mucho mayor que es que, por supuesto, los delincuentes también usan Internet. Esto se debe a que el riesgo es muy bajo, es mucho más fácil simplemente ir a Internet y robar un poco de dinero allí que ir con una arma y arriesgarse a que le dispare la policía. En consecuencia, tenemos que pensar que los delincuentes no van a abandonar Internet, lo van a seguir utilizando.

¿Cómo está reaccionando la comunidad hoy? En América Latina y en el Caribe hay varios países que no tienen CSIRT para trabajar en el tema de la seguridad. Pero lo que nosotros podemos hacer es estar siempre haciendo parches, viendo las vulnerabilidades, poniendo parches para luego desarrollar medidas de seguridad, desarrollar firewalls y ahora tenemos antispyware, antiphishing... es un mundo muy complejo. Yo por ejemplo a mi padre no se lo puedo explicar. Me resulta muy difícil explicarle cómo hacer todo, entonces él realmente está en riesgo y esto es un problema.

Una cosa que es buena es que cada vez tenemos más iniciativas de alertas a los usuarios e inclusive si no se los puede proteger completamente, tal vez puedan por lo menos aprender a reconocer si hay algo que marchó mal, saber cuál es el riesgo que están tomando. La mayoría de las veces simplemente deciden “bueno, es mejor tomar este riesgo que este otro.” Entonces, la idea es hacer que la comunidad sea conciente de los problemas y de las ventajas de la tecnología.

En cuanto a los profesionales y los que administran los CSIRT, ahora nosotros vamos más allá de ver los incidentes, queremos hacer un monitoreo, ahora buscamos Botnets y redes en Fast-Flux. Si tienen por ejemplo pornografía infantil en una red en Fast-Flux, cómo se hace para cerrar esa red? ¿Y cómo se puede determinar quién es el culpable? Esto está cambiando toda nuestra forma de ver las cosas, es complejo, no es tan sencillo de que si está en ese sitio esa es la persona culpable. Entonces hay una serie de problemas, los PKI si bien se supone que están funcionando dentro de un sistema en ambiente seguro, hay otros problemas subyacentes.

Lo que estamos haciendo nosotros es invitar a los países que, si no lo han hecho, es que tengan grupos y profesionales que colaboren para determinar el impacto, el alcance y la naturaleza de los incidentes, que investiguen y recomienden medidas. A veces lo que funcionó anteriormente ya no sirve y cada vez más tenemos riesgos específicos en algunos países, por ejemplo en Brasil, donde pasan cosas que no pasan en ningún otro lado y que tienen que ver con la gente que usa Internet, los delincuentes que están utilizando Internet y se está haciendo más y más complejo.

Estos grupos tienen que difundir información, tiene que coordinar y colaborar. No se puede realmente responder a todas las amenazas si no hay colaboración.

Para nosotros está claro que este ciclo de despliegue y parches no funciona porque, incluso si se está actualizado y se tienen todos los parches, igual pueden haber troyanos, igual puede comprometerse la red y eso realmente es un problema más fundamental.

Entonces, qué es lo que falta? La verdadera mejora va a venir con mejores prácticas en el desarrollo de software. La industria del desarrollo de software no está madura y esto es un problema. Hay razones económicas para ello: el primero que produce, el que pone primero el producto en el mercado, es el que gana el mercado. Y dicen “bueno, total después hacemos los parches.” Pero este es el problema: tenemos que poner parches una y otra vez.

Y hay otro punto que es que aunque se tenga un protocolo de seguridad muy bueno y se tengan medidas de seguridad, si éstas son mal aplicadas, van a tener fallas de seguridad. No importa si el diseño es bueno si la implementación es mala. Entonces realmente tenemos que pensar en la seguridad antes y hoy lo que estamos haciendo, porque no tenemos mejor software, no tenemos mejor infraestructura, estamos de hecho tratando de poner parches y llenar las brechas. Por eso es que tenemos firewalls y todo eso.

Una de las cosas es que las empresas se rigen por el mercado, pero no hay nadie que exija algo mejor: la gente va y compra. Pero por qué no se posiciona y se dice “bueno, nosotros solamente vamos a comprar si ustedes confirman que están siguiendo las mejores prácticas.” Alguna gente puede hacer eso, pero lo que sucede ahora es que los profesionales no aprenden esto en la universidad y ese es un problema. La gente que está prendiendo a programar y diseñar sistemas hoy tiene las mismas disciplinas y se les habla de la misma manera en que se hacía hace 20 años cuando recién apareció la Internet. Los problemas que estamos viendo hoy, las vulnerabilidades de hoy, son las mismas que veíamos hace 20 años y esto realmente es algo que es más básico, que inclusive si tenemos CSIRTs y si tenemos colaboradores y tratamos de hacer de todo, siguen apareciendo fallas. Realmente es problemático, pero no podemos simplemente sentarnos a esperar que venga un software mejor. Entonces en el corto plazo tenemos que hacer esfuerzo continuos, entrenamiento, tomar medidas legales, porque los delincuentes están usando Internet y no van a dejar de hacerlo.

Una de las maneras en que las comunidades tienen mucho éxito es formando CSIRTs y trabajando juntos. Pero, a la larga, yo creo que es realmente muy importante que toda la comunidad, las universidades, los gobiernos, piensen cómo tener mejor software y una industria más madura. Vamos a tener 3G, vamos a tener IPv6 y estamos planificando conectar a todo el planeta. Pero realmente tenemos que tener mejor desarrollo de software, y tal vez exigirlo, para tener algunos actores en la industria que inviertan dinero para realmente ver investigación más tangible en seguridad de software.

El año pasado en el panel de seguridad del IGF de Río, ese fue uno de los puntos que se trataron En IGF estamos discutiendo consultas estratégicas y así sea tal vez el momento de ver qué es lo que nos gustaría hacer de aquí a 20 años, si vamos a seguir repitiendo una y otra vez los mismo errores sin mirar hacia atrás en el pasado para ver cómo podemos darle una mejor formación a los profesionales de la seguridad.

Entonces realmente tenemos que pensar si tal vez esto es una demanda. Una de las cosas que dificulta trabajar en la implementación de una red de seguridad es si la infraestructura no es segura.

Estas son simplemente algunas ideas que se podrían discutir en mayor detalle. Esa es mi presentación, muchas gracias.

Rodrigo de la Parra: Le damos la palabra ahora a Katitza Rodríguez.

Katitza Rodríguez: Quisiera agradecer a LACNIC y especialmente a Raúl Echeberría por su invitación para contarles lo que hacemos en nuestra organización. Yo represento a EPIC, un centro creado hace 18 años en 1994. Desde entonces nuestro objetivo ha sido advertir a la población en general y a los legisladores en particular sobre los temas emergentes relacionados con el tema de la privacidad y la libertad de expresión. Tenemos varias publicaciones, como nuestra newsletter, y además hemos publicado un libro que pueden encontrar en la Internet con un estudio comparativo sobre la privacidad y los derechos humanos. Todos nuestros informes están publicados en el sitio www.epic.org.

Como este es un encuentro regional preparatorio para el IGF, he analizado los documentos que se presentaron dentro del marco de la IGF relacionados con la privacidad. De hecho, este es un tema preocupante. La agenda publicada por la Secretaría General es preocupante, en particular el tema de privacidad.

En primer lugar, se elimina el tema de openness y el tema de diversidad y este se fusiona con el tema de privacidad, seguridad y openness (o transparencia). Segundo, el borrador de la agenda de la reunión de India hace un comentario, con el cual nosotros no concordamos. Dice que debe haber un delicado balance ente seguridad, privacidad y openness y las opciones morales, legales y políticas que una sociedad debe realizar. Desde ahí parte de un concepto errado, pues en una sociedad justa los tres intereses − privacidad, seguridad y transparencia − deben ser protegidos por el estado.

Este tema de la seguridad y la privacidad lamentablemente está centrado en temas específicos que ignoran, en nuestra opinión, el debate internacional que hay en temas de privacidad y protección de datos personales. No podemos negar el avance que se ha dado, por ejemplo, en el marco de la OECD, con las guías de privacidad desde 1980, desde antes de la creación del IGF y todas las reuniones en el marco del Foro de Cooperación Asia-Pacifico, los trabajos de la Red Iberoamericana de Protección de Datos en Latinoamérica, el trabajo que se ha hecho en el marco del grupo del trabajo del artículo 29, el grupo de trabajo internacional sobre protección de datos en telecomunicaciones, analizando el tema de privacidad como un todo.

Dentro del tema de privacidad y protección de datos hay muchos temas que se pueden tratar. Por ejemplo, el desarrollo de las redes sociales, la web 2.0, los nuevos modelos de negocios relacionados con lo que se conoce como behavioral targeting advertisement. Aquí la mayoría ya estamos usamos Facebook y también se utilizan algunas otras redes sociales. Los modelos de negocios de esas empresas están muy vinculados a los nuevos modelos de cómo utilizan nuestros datos personales para publicitar ciertos avisos en la red.

También está el tema de la retención de datos de tráfico. Por eso nosotros queremos apoyar la propuesta enviada por la coalición Bill of Rights para que los derechos fundamentales sea un tema clave en el marco del Foro de Gobernanza de Internet y que las discusiones sobre privacidad sean tratadas en el marco de la discusión de privacidad y la protección de datos personales.

También está el tema de la transferencia internacional de datos personales, que se está tratando en distintos foros con distintos modelos de protección y que también amerita a ser tratado en nuestros países. ¿Por qué en América Latina? Nuestro países están tratando estos temas, aunque no sean temas masivos de conciencia publica, que no salgan en los medios. En Argentina tuvimos todo el problema de la ley de retención de datos de tráfico por 10 años, respecto de lo cual hubo una gran propuesta, uno de los representantes que está a mi lado fue uno de los que llevó el tema al poder judicial para que la se archivara. Hay muchos casos de infracciones de las medidas de seguridad en las empresas. Por ejemplo el caso de Choice Point, muy conocido, que se vendieron muchos datos de latinoamericanos al servicio de inteligencia de los Estado unidos.

Entres muchos otros temas, el incremento de la práctica no sólo por parte de menores de poner todos nuestros datos en Internet o en las redes sociales sin una conciencia de lo que puede pasar, o del impacto que puede tener sobre la privacidad. La privacidad a veces es un derecho que es invisible, el daño es invisible, uno no sabe que ha sido discriminado y que eso fue por causa de una información que fue publicada en la red. Es por eso que a veces es muy difícil probar. Por eso es importante tener reglas claras, que una vez que se infrinjan se pueda responsabilizar a quienes hayan tratado incorrectamente los datos.

En el marco de la seguridad, las discusiones se han centrado más en la lucha contra el ciberterrorismo y los delitos informáticos. No ha entrado a ver el tema de la seguridad tal vez como un tema tan amplio como se ha visto en el marco de la OECD en el que se discutieron, por ejemplo, guías para la seguridad de los sistemas de información, que incluso incluyen nueve principios, uno de los cuales es el tema de la transparencia por proporcionalidad y protección de la información personal como valores democráticos que deben tomarse en cuenta cuando se establezcan medidas y requisitos de seguridad.

Con relación al tema de los delitos informáticos, es importante revisar el marco en que se están dando las discusiones − pueden revisarlo también en el libro publicado en la red. El tema de los ciberdelitos, los delitos informáticos, viene mucho a la par con el tema de la vigilancia de las comunicaciones, del tema de la retención de los datos de tráfico. Si bien las medidas de interceptación siempre han sido tratadas como una medida auxiliar, siempre han sido vistas como una medida muy intrusiva que debe utilizarse solamente en casos excepcionales y regulados por ley y con una rendición de cuentas pública. Ahora se discuten temas en los que principios tradicionales del derecho penal, como la presunción de inocencia, no son tomados en cuenta. El debate a ese nivel granular no llega a darse y simplemente se queda en conversaciones generales. Es importante ahondar sobre cómo estas medidas pueden afectar nuestros derechos como ciudadanos.

Finalmente, quiero señalar que varias organizaciones a nivel internacional, incluyendo América Latina − Argentina, Perú, México − (la propuesta es una iniciativa de las organizaciones en Europa) estamos organizando una protesta en contra de la retención de datos de tráfico. Esta se va a llevar a cabo el 11 de octubre y va a ser una forma anecdótica − vamos a hacer festivales, fiestas, parrilladas − para explicar al ciudadano cómo la retención de datos de tráfico puede afectar nuestros derechos. Nosotros no queremos vivir en una sociedad en la cual nuestras propias palabras nos inhiban de hablar públicamente o seamos susceptibles de una autocensura que es más difícil de probar que la censura.

Finalmente, esa es nuestra propuesta en el marco del Foro de Gobernanza de Internet. Creemos que hay muchos temas que son de índole internacional que se están discutiendo en muchos foros internaciones y creemos que también deben tratarse en el Foro de Gobernanza de Internet: el tema de privacidad y protección de datos personales − y un enfoque de derechos humanos como lo propuesto por la coalición Bill Rights. Gracias.

Rodrigo de la Parra: Muchas gracias, Katitza. Con esto terminamos las presentaciones por parte de los panelistas. Nos queda tiempo para una buena discusión. Les doy la palabra para que puedan formular sus preguntas o comentarios.

Tony Harris, CABASE y eCOM-LAC: Gracias. Mi pregunta es para la panelista Katitza Rodríguez, con respecto al tema de la cruzada de privacidad que has expuesto con tanto entusiasmo. La pregunta o la reflexión que me hago es qué es más importante para un usuario: tener su información escondida o que en el caso de que se cometa en su contra un delito informático, por ejemplo que le vacíen su cuenta corriente bancaria, si este individuo no preferiría que quien tiene que actuar para solucionar ese problema pueda rápidamente tener la información necesaria para poder actuar. Porque cuando se protegen los datos personales como concepto global de protección de todos, se protege también la información de todos los delincuentes que nos hacen la vida difícil en Internet. Entonces, mi reflexión es respecto de esta disyuntiva, si ustedes en este estudio, en esta iniciativa que llevan adelante, han ponderado con todo su peso lo que significa el ciberdelito.

Katitza Rodríguez: Antes que nada, nosotros no consideramos que nuestros datos deben ser escondidos, de hecho yo uso las redes sociales − las uso para networking y son muy buenas. Lo que estamos diciendo es que nosotros debemos tener el control de nuestros datos personales. Si yo deseo eliminar una información de una red social sea cual sea, quiero que esta información ya no aparezca más en el servidor. No sólo no debemos tener ya la capacidad de no verla sino que ya no debe existir en el servidor. De acuerdo con cada política de privacidad, la información se almacena por mucho más tiempo que por aquello que nosotros hemos decidido retenerla. Otro ejemplo: cuando yo instalo una aplicación en una red social todos mis datos personales son transferidos a esa aplicación. No creo que haya tanta conciencia de que estamos haciendo una distribución de esos datos por todas partes ni de qué se está haciendo con esos datos, cómo accedemos a nuestro derecho de acceso, rectificación, modificación de todos esos datos. Justamente el robo de identidad y todo esto se da por un mal trato de los datos personales: los datos deben ser tratados considerando ciertas obligaciones y derechos que tiene el ciudadano para poder acceder, modificarlos y rectificarlos.

Ahora, con relación a la presunción de inocencia, no considero que todos deban ser tratados como delincuentes, al menos yo no me considero así, y no creo que por unos pocos delincuentes todos debamos pagar y ceder nuestros derechos. Creemos que obviamente la delincuencia es importante y hay que analizarla caso por caso. Por eso el levantamiento del secreto de las comunicaciones siempre estuvo regulado por ley.

Estamos hablando de una rendición de cuentas, de cómo saber que el agente de la autoridad está utilizando sus poderes para vigilancia de una forma adecuada y no para otros propósitos. Un ejemplo claro de esto se dio en Perú, donde el ex-presidente Fujimori utilizó los servicios de inteligencia para cualquier otro propósito que no fue un tema de terrorismo ni de crímenes graves. Lamentablemente están poniendo mucho poder en manos de ciertos grupos y no hay una debida vigilancia.

Carlos Gregorio: Creo que el señor introdujo un tema que es bastante importante: los datos personales de los ciudadanos tienen el mismo nivel de protección que los datos personales de los delincuentes. Hay una tendencia internacional muy fuerte en este momento a que el acceso a los registros penales comienza a ser cada vez mas público. Primero, los delitos sexuales están siendo accesibles a nivel público por Internet en Estados Unidos, también hay una ley en Chile que habilita eso, también hay dos provincias Argentinas (Neuquén y Mendoza) que ya han creado un registro público accesible de delincuentes sexuales. Pero esto va a mucho más allá. En Perú, por ejemplo, en este momento se están abriendo todos los registros de antecedentes penales para que en la práctica los pueda consular cualquier ciudadano. Eso es un contrapeso que indudablemente se ajusta a las necesidades que él planteaba, es decir que ya no es posible mantener los registros de antecedentes penales tan reservados como antes porque ahora hay mucha más necesidad de conocer qué personas han sido delincuentes o no. Estos son cambios que vamos a tener que ir enfrentando y las legislaciones van en ese sentido.

Mónica Abalo: Buenos días. Mi Nombre es Mónica Abalo y estoy aquí en representación del capítulo ISOC de Argentina. Tengo dos pequeñas consultas para el Sr. Carlos Gregorio. En un momento de su presentación, si yo no entendí mal, había dicho que no había una convención internacional que organice las cosas. Quería consultarle qué opinión le merece la Convención de Budapest. En segundo lugar, los ejemplos dados con respecto a la opinión de los jueces en los diferentes ejemplos que mencionó, entiendo que son casos resueltos con anterioridad a la ley de delitos informáticos. ¿Cuál debería ser en todo caso la visión de los jueces ahora, a partir de esta nueva regulación?

Carlos Gregorio: Bien, yo dije que las convenciones internacionales no pueden llenar las necesidades que se tiene sobre este tipo de problemas. Las convenciones internacionales por rigor deben ser de carácter general, mientras que la mayoría de los conflictos nuevos que se presentan son situaciones particulares que en la mayoría de los casos no están o no han sido previstas por el legislador o el redactor de las convenciones. Entonces, obviamente sí existen convenciones internacionales, pero las convenciones internacionales no nos pueden resolver todos los problemas sino que simplemente nos dan una pauta general. Pero para ir de la pauta general a la aplicación en el caso en concreto, eso lo tiene que hacer un administrador de justicia.

Con respeto a los jueces quiero ser muy preciso: esas decisiones fueron anteriores a la ley de delitos informáticos. Pero yo no quería mostrar ese detalle, sino simplemente quería mostrar cómo los jueces están atados de manos. Por un lado tienen que armonizar el estado de derecho y obviamente ningún juez puede condenar a nadie si no hay un delito tipificado − eso es razonable. En otros casos los jueces están, en mi opinión, llamados a la creatividad y a la aplicación directa de muchos principios constitucionales. Y hay entre los jueces como dos polaridades: yo resuelvo de acuerdo a la ley y no me juego o yo resuelvo de acuerdo a principios constitucionales y creo derecho.

Obviamente la regulación de Internet necesita de este modelo de juez − el juez que está dispuesto a interpretar un principio internacional frente a un caso concreto con mucha creatividad, con mucha armonía con el universo. Tampoco es un loco suelto, tiene que estar muy claro qué está pasando en el resto del mundo y aplicar el principio constitucional creando el derecho, porque el derecho no está creado. Son las llamadas lagunas axiológicas, situaciones que no pudieron jamás ser previstas por el legislador.

Ese es mi sentido del juez, yo no quiero ser peyorativo con respecto a los jueces porque los jueces obviamente tienen que mantener el estado de derecho y su independencia es muy importante. Visto desde Internet, a lo mejor nos puede parecer que no han tomado las precisiones suficientes, pero el llamado es a ayudar a los jueces a ser interpretadores de los principios constitucionales frente a situaciones que no han sido previstas por los legisladores, pero que se producen en la práctica y que se consolidan en la medida que no están siendo corregidas por el sistema de justicia.

XXX: Con respecto al mismo tema y siempre girando en relación a la pregunta de Tony, en primer lugar me parece que estamos en una sociedad de la era de la información donde los paradigmas han cambiado, donde los paradigmas han mudado. Nosotros hablamos de esto en la cátedra y a partir de que estos paradigmas han cambiado, necesitamos nuevos derechos, nuevas regulaciones para estos cambios que se producen y en donde el derecho siempre va a la saga de esos cambios, mucho mas en este caso de una sociedad de la información donde los cambios son exponenciales, son explosivos y son rápidos.

No obstante ello, y hasta que el derecho no se adecue a estos nuevos paradigmas, a estos cambios que se vienen haciendo, a estos hechos y actos jurídicos nuevos, el delincuente sigue teniendo derecho, porque en realidad los derechos son para todos y mientras no se cambie ese derecho el delincuente también goza de derecho. En el caso particular de la pregunta de Tony, creo que los jueces, al fallar, como decía Carlos, hay de dos tipos: aquellos que se atienen a la fría letra de la ley, a lo que marca el código a cuyos artículos nos atenemos, y aquellos que crean derecho. Pero para crear derecho, que es creo el sentido que debe tener hoy el juez a partir de este cambio de paradigmas y de regulaciones necesarias que hace falta crear, ese juez − que es algo que reclamamos permanentemente − debe conocer, porque si no conoce no puede crear absolutamente nada. Y este es otro tema que nos toca y nos compete a nosotros, la gente de la academia, que es transmitir todas estas cosas que vamos recogiendo en estos seminarios por ejemplo, para que esta gente sepa. Hoy en día los legisladores y jueces no pueden dejar de saber, porque si no nos encontramos en ese estado de indefensión o de inseguridad jurídica en estos lugares, en la red.

XXX: Me voy a permitir hacer una reflexión muy general atendida la situación de que en el panel anterior no hubo tiempo suficiente. De la forma que deberán disculparme si me abstraigo un poco del tema de este panel y fundamentalmente es en relación con lo siguiente.

Estamos preparando la reunión que se viene en la India a fines del presente año y junto con realizar una diagnosis − como está ocurriendo − también tenemos que proyectarnos con miras a esa reunión. Por tanto, creo que es indispensable − y ojalá lo pudiéramos realizar durante la tarde − a partir de esta diagnosis regional pasar a generar un tipo de propuesta de Latino América para el foro en la india. Desde ese punto de vista rescato un trabajo que está desarrollando la CEPAL de manera muy profesional, ya con muchos años de experiencia, y además de llamar a que revidemos esas conclusiones esos trabajos, seamos capaces como países de proporcionar los elementos, las estadísticas y el aporte profesional y las experiencias individuales como países para que a su vez sean ellos los que nos puedan permitir hacer una exposición regional en la india.

Yo creo que es una oportunidad importante la que tenemos en frente; yo creo que la impresión de los que hemos podido trabajar en otras instancias, en otras reuniones anteriores, es que estamos trabajando en forma desligada como región, como países, y eso tenemos que definitivamente alterarlo. Yo creo que esta es una instancia de coordinación que debemos aprovechar los representantes de cada uno de nuestros países, aprovechar los que no nos conocemos aún para intercambiar correos electrónicos y hacer aproximaciones para que no ocurra lo que ya viene sucediendo en otras reuniones.

Nos encontramos fundamentalmente en Ginebra, y sobre la marcha empezamos a comentar acuerdos bilaterales, trilaterales o regionales. Pienso que tenemos que establecer una modificación en ese sentido porque no es aquella reunión la instancia donde debemos coordinarnos, fundamentalmente por lo siguiente: En este tema de la sociedad de la información, es increíble cómo hay una enorme cantidad de aristas, de puntos, donde no sólo interviene propiamente la red Internet, si no que ya ha traspasado a otros ámbitos, como son los derechos humanos, el medio ambiente, y bien podemos enumerar veinte o treinta temas donde la sociedad de la información está interviniendo y afectando individualmente nuestras vidas.

Yo creo que este no es un tema menor, si estamos preparándonos para la India esta es nuestra oportunidad de hacerlo. Como sabemos, los temas de la sociedad de la información se llevan en la Comisión de Ciencia y Tecnología para el Desarrollo − que es un organismo dependiente del ECOSOC que sería en Ginebra. Afortunadamente este año esta comisión ha honrado a Chile con la presidencia de la sesión durante todo este año. Yo diría que es la oportunidad para que nosotros, en bloque, como región hagamos una propuesta interesante y que naturalmente tenga presente los intereses comunes de nuestras regiones. Gracias.

Carlos Viera, Ecuador: Buenas tardes. El tema de la privacidad siempre está relacionado con el tema de la seguridad. La seguridad está siempre exigida por los ciudadanos y no sabemos hasta dónde estamos dispuestos a sacrificar esta privacidad en aras de la seguridad. Tenemos cámaras, tenemos espías en todos lados y lo exigimos los ciudadanos. Quería preguntarle a Katitza, ahora que ella está en Washington. Había una iniciativa sobre traspasar esta responsabilidad de la seguridad de la red a los usuarios, es decir, la industria y los gobiernos están diciendo que el usuario tiene un rol si descuida los pórticos de su computador si descuida el manejo eficiente de su computador... La senadora Hillary Clinton dijo que, así como se entrega una licencia de conducir, así vamos a entregar una licencia para usar el computador. ¿Sabe en qué estado está esta iniciativa? ¿Qué opinión te merece que el ciudadano asuma esta parte de responsabilidad, de que sus equipos sean usados como un trampolín, bien para atacar o para invadir a otros, etc.?

Katitza Rodríguez: No conozco aquella regulación, acabo de mudarme a Washington. Además, yo trabajo en Latinoamérica y trabajo con Europa. En Estados Unidos hay un staff que trabaja sólo temas de Estados Unidos. En todo caso, no conozco esa legislación. Sí estoy al tanto de ella por leer las noticias, pero no conozco esa legislación específica. No sé si Carlos Gregorio la conoce. Veo que no..

Analia Lavin, APC: Tengo una pregunta bien concreta para Cristine. Vi que hiciste mucho énfasis en el tema del software, y quería saber cómo entra el tema del software libre y el software propietario en este tipo de debates, sus posibilidades y limitaciones.

Cristine Hoepers: Yo creo que no hay ninguna diferencia y que de hecho es un tema muy discutido que el software abierto, por el hecho de ser software libre, sea más seguro. El problema es que la gente que desarrolla cualquiera de los dos tipos de software viene de universidades que realmente no están hablando de la seguridad de todo el proceso. Entonces, lo primero que tenemos que hacer es exigir que realmente se incluyan esas características. Nosotros en Brasil tenemos software libre, pero tenemos que tener muchísimo cuidado con este software y tenemos que diseñar parches de la misma manera que se hace con el software comercial. Desde el punto de vista de la seguridad no hay ninguna diferencia entre software propietario y software libre. Pero yo creo que sí tiene que haber diferencias en cuanto a que la comunidad exija que el software y las aplicaciones sean más seguras. Estas iniciativas son más fáciles con el software abierto, libre. Pero se necesita que la gente que desarrolla software sepa lo que está haciendo y cómo mejorarlo, cómo mejorar la seguridad. Yo creo que eso se tiene que hacer a nivel de la universidad. Por eso pienso que es a largo plazo, porque también hay que cambiar la mentalidad de los profesores. Y eso es difícil, no es nada fácil.

Raúl Echeberría: Bueno yo les voy a dar trabajo: un comentario y dos preguntas.

El comentario es que me gustó mucho y es un enfoque que comparto, el hecho de que la privacidad − y yo agregaría también los temas de libertad de expresión − no están solamente vinculados al tema de la seguridad. Este es un enfoque que ha sido presentado insistentemente en el IGF. En varias oportunidades en el Grupo Asesor del IGF he tratado de promover la discusión de los temas de privacidad y libertad de expresión como temas con gran importancia en sí mismos, mas allá de ser contrapesos del tema de seguridad que también lo son. Y creo que los temas de privacidad y libertad de expresión están amenazados por otros factores que no voy a detallar porque varios de ellos ya han sido mencionados. Creo que justamente el aspecto interesante − y por eso a mí me parece que hay que hacer propuestas en este sentido de darle más relevancia a estos temas − es porque justamente son temas donde no hay ninguna estructura de gobernanza en los cuales estos temas sean discutidos y en los cuales puedan llegarse a algún tipo de acuerdo o se pueda llegar a algunas conclusiones de que los acuerdos no son factibles pero por lo menos transitar los caminos de debate en busca de acuerdos internacionales de best practices.

Ahora, dos preguntas concretas. Una es para Cristine. Ella mencionó que una de las cosas a hacer en el mediano plazo era la incidencia en el curriculum universitario. Me quedé pensando en esto  y me gustaría saber un poco más qué es lo que ya has pensado. La segunda es para Ariel. Quisiera aprovechar más la presencia de Ariel en el panel, quisiera saber cómo se ve la situación de los desafíos desde el punto de vista de la seguridad, desde el punto de vista de un empresario que además de empresario también es líder del sector empresarial. O sea, si bien me parece muy interesante toda la experiencia del CERT que van a construir en CABASE − que es muy bueno y los saludo − también me parece que podrías compartir con nosotros cómo ves esto en tu actividad cotidiana de negocios y cómo lo ven tus colegas.

Cristine Hoepers: Con relación a las universidades, el tema no es fácil. Este es un problema que vemos no solamente en Brasil sino también en Europa y en Estados Unidos. Estamos hablando mucho con gente allí que está tratando de cambiar los programas y tratando de cambiar cómo la gente enseña desarrollo de software y una de las maneras en que lo hacen es empezar a tener algunas disciplinas y gente que enseñe software seguro en todo el proceso, desde el diseño, la implementación, las pruebas, o sea que realmente todo el nivel se tiene que pensar en seguridad. La meta final es que la seguridad esté permeando en todo el proceso. Por ejemplo, el profesor que enseña las primeras disciplinas las enseña de una manera ideal. Hoy cuando la gente aprende a programar lo hace en un entorno ideal. El profesor le dice, por ejemplo, “supone que tienes una entrada ideal y que tienes una memoria ilimitada, que no hay intrusos, que nadie te va a tratar de hacer nada”... y así le enseña a programar. Pero el mundo real es muy diferente. Entonces, por ejemplo, cuando se enseña a ingenieros es mucho más tangible: si hay algo mal o un puente colapsa la gente muere. En el software eso no se ve y una de las cosas que vemos es que los profesores de hoy piensan que la seguridad es algo que se agrega después y que en general solamente complica las cosas. Tal vez se pudieran generar talleres con las universidades. Los laboratorios, hablar de desarrollo seguro. Pero es muy difícil porque los profesores de hoy no están pensando en eso. Son muy pocos los profesores universitarios que realmente están prestando atención a esto. Pero hoy tenemos muchos investigadores y hay mucho material bueno. Yo creo que no es necesario empezar de cero, yo creo que es mucho más fácil.

Ariel Graizer: Yo creo que desde el punto de vista de los operadores y desde el punto de vista empresario hay dos visiones para tomar. Una es desde el punto de vista de los costos y la rentabilidad que esto nos genera. Nosotros los operadores pensamos que todos estos métodos de protección de datos personales generan costos operativos que van en contra de la rentabilidad directa del negocio, y por esto tratamos de encontrar la mejor manera y la más económica de implementarlos. Pero por otro lado también tenemos el problema de la operación. El mayor daño que le generan estas situaciones a las empresas es que una red no esté activa y, desde ese punto de vista, lo que no queremos la mayoría de los operadores en el mundo es generar repositorios, es decir “vengan acá, roben acá, acá esta la información que usted necesita, nosotros la tenemos.” Esto es algo que quizás el mundo que no está de este lado del mostrador no se da cuenta: que al generar estos lugares donde se almacena toda la información lo que estamos diciendo es “venga y robe acá.” Y sabemos que el robo es un negocio con costo y beneficio. Entender que cuanto más grande sea el beneficio, más personas en el mundo habrá intentando atacar e invirtiendo más dinero tratando de atacar porque el beneficio es muy grande. Esta visión no está siendo tenida en cuenta en muchas de las discusiones académicas y en muchas discusiones que se están teniendo alrededor del mundo, y nosotros estamos preocupado por eso. Porque se requiere invertir un enorme CAPEX para proteger todo esto y al mismo tiempo generar el lugar donde vamos a ser atacados. Este es un problema que la industria está discutiendo internamente: cómo saltar ese paso. Todos queremos estar protegidos, todos queremos estar seguros, la seguridad tiene un costo y hay que implementarla, pero eso tiene que estar también dentro de las razonabilidades que generen que las redes se sigan expandiendo. Los costos de infraestructura de los que hablábamos en el panel anterior, las empresas tienen que solventarlos para poder desarrollarse.

Entonces se genera de alguna manera una dualidad en ese punto, porque se hacen inrentables, teniendo que prestar atención a ese otro punto y al mismo tiempo las legislaciones nos obligan a generar los lugares por los cuales vamos a ser atacados.

Entonces, finalmente, uno de los mayores problemas que soportamos los operadores es la denegación de servicios producto de la cantidad de ataques que tenemos tratando de acceder a esa información que por ley estuvimos obligados a generar.

Eric Iriarte, LACTLD: Bueno días, soy Eric Iriarte de LACTLD. Tengo dos preguntas que pueden ir a cualquier de los panelistas. La primera es cuál es su posición sobre los temas de privacidad para los números IP que sirven tanto para hacer las pesquisas en seguridad como también como protección de datos personales y también la privacidad de los nombres de dominio que tienen además reglas de juego especiales que incluyen también la autoregulación y la regulación. La segunda pregunta es cómo se han planificado los mecanismos de diálogo entre los CERTs, entre los Law Enforcements, entre las entidades de seguridad con los TLDs.
 
Ariel Graizer (CABASE): Yo puedo responder. Digamos que todavía no hay mecanismos regulados en todas partes para el diálogo entre los CERTs y los TLDs. Se están desarrollando, estamos discutiendo. Es uno de los puntos que yo mencionaba hoy, hay muchos puntos que tenemos que trabajar en ese aspecto. Desde el punto de vista de la protección de las IP y de la protección de los dominios, mi postura personal es que − y coincido en parte con lo que decía Tony hoy − hay que protegerlos pero también hay que tener el rápido acceso para poder llegar a encontrar el lugar desde dónde somos atacados y no que eso genere un agujero y no podamos encontrarlos.

Entendiendo que desde el punto de vista de un operador de una red de telecomunicaciones un minuto que esa red no esté en el aire representa un costo muy grande, tenemos que tener claros los mecanismos para poder entender desde qué lugar y desde qué fuente nos están atacando.

Cristine Hoepers: Simplemente un comentario breve sobre cooperación entre los CSIRT. Hay algunas iniciativas para que colaboren esos centros, pero en general se necesita mucho más cooperación. Nosotros participamos en conferencias anuales, nos vemos y construimos una confianza y después de que se forma la confianza recién comienza la cooperación. No hay ningún proceso mágico, no se trata de decir que tienen que cooperar los CSIRT. Esto ocurre porque estamos dando mucha información sensible, estamos manejando muchos datos relacionados con víctimas de ataques, por lo que no tenemos una cooperación abierta ilimitada sobre los detalles, sino que podemos cooperar en tendencia. Por ejemplo, en Brasil, cuando cooperamos con la policía no vamos directamente a la policía y notificamos que está ocurriendo una cosa o otra, sino que la mayoría de las veces ayudamos a la víctima a que vaya a la policía y le damos asistencia técnica a la policía. Por ejemplo algunas veces la policía no entiende un ataque o algo que está pasando. Entonces no es que haya una cooperación para juzgar, sino para darles los medios para que puedan hacer su trabajo. Están ocurriendo muchas cosas de una manera informal y no necesariamente se necesita un marco formal para que esa cooperación sea buena en esa área. El grupo de trabajo antiphishing también está colaborando mucho. Tenemos un grupo de tareas específico para tratar de mejorar las comunicaciones con los gerentes de TLD, con los ccTLD, porque a nivel genérico, porque en general uno tiene que conocer la gente cara a cara y empezar a compartir información de una manera que se vaya construyendo esa confianza para poder lidiar con los problemas. Pero la mayoría de las veces no compartimos lo especifico, no compartimos las IP de las víctimas. En cuanto a la información sobre las IP, en Holanda las IP se consideran como información identificable, por lo que todos los que comienzan con un proyecto en los Países Bajos necesitan registrar direcciones IP, necesitan recibir la aprobación del gobierno. Pero que yo sepa Holanda es el único que tiene un organismo que se encarga de cómo se manejan las direcciones IP y esa información relacionada con la privacidad.

Katitza Rodríguez: En relación con la pregunta de Eric sobre nuestra posición con respecto a la legislación o autorregulación. Cien organizaciones de la sociedad civil firmamos un documento en el marco de la OECD, que también fue presentado en la última reunión de APEC señalando que nuestra posición es que deben haber leyes con estándares altos de protección a la privacidad y mecanismos que permitan la implementación de esa ley. El problema está en la falencia de aquellos países que sí tienen normas de protección de datos personales en los que no se hace un cumplimento de estas normas o se aplica para unos pero no para todos. Por otro lado en aquellos países que no tienen norma de protección de datos, sugerimos o trabajamos para que puedan darse la legislación efectiva en cada país.