viernes, 19 de diciembre de 2014

Tribler, intercambio anónimo archivos y el peligro de los "falso positivos"

Una de las aplicaciones para el intercambio de archivos basados en el protocolo Bittorrent, Tribler, ha presentado su versión mejorada que asegura una navegación más anónima o más difícil de rastrear.
Tribler, cliente Bittorrent sobre TOR
Según cuentan en la página del proyecto, desarrollan su propia red TOR cifrada con el fin de que no sea sencillo localizar a quien comparte y a quien descarga. Incluso se da la opción de funcionamiento anónimo para los "seeders" o semillas, lo que haría casi imposible rastrear el origen de un archivo compartido.

Me he acordado de Tribler, porque otra de las características que tiene este cliente Bittorrent es que no necesita de páginas de enlaces para localizar los archivos ".torrent" ya que son localizables directamente desde su propio buscador.
 
Cómo hacer un buscador de archivos ".torrent" sin necesidad de web es una cosa que Tribler resuelve descargando varios miles de esos torrent en los ordenadores que instalan el programa, de manera  se depositan en la carpeta “collected_torrent_files” hasta 50.000 torrent.
 
Carpeta con Torrents descargados
automáticamente por la aplicación
Se genera así una base de datos distribuida entre todos los usuarios de la aplicación de tal manera que el usuario no tiene que dirigirse a ninguna web para realizar su búsqueda y puede localizar los contenidos desde la propia aplicación.

Esta característica es aprovechada por la Policía para investigar la difusión de pornografía infantil, por ejemplo. Ya que con ese buscador no es necesario acceder a foros donde se publiquen los ".torrent", pueden coger los ".torrent" de esa carpeta y directamente cargarlos en sus aplicaciones de rastreo y ver quien está compartiendo los archivos investigados. 

Sumado a ello la figura del "agente encubierto" informático que se pretende crear da unas grandes posibilidades de investigación.
 
Pero también puede convertirse en un problema, puesto que los ".torrent" que se descargan en el ordenador son de todo tipo. Es decir, no hay un filtro, así que pueden aparecer torrents identificativos de archivos con pornografía infantil, por ejemplo.

Por supuesto ello no quiere decir que el usuario haya compartido o se haya descargado el archivo, pero sí se ha dado el caso de usuarios que han instalado la aplicación y en revisiones posteriores por peritos han sido señalados por tener "rastros" en su ordenador de este tipo de archivos, con acusaciones muy graves de delitos.

Esto, que da lugar a un "falso positivo" puede provocar situaciones incómodas e incluso acusaciones que luego hay que andar explicando en los juzgados.

Es necesario, por lo tanto, conocer estos instrumentos para evitar este tipo de "falsos positivos" ahora que además las opciones de cifrado complicarán el rastreo del origen de la comunicación, puesto que podría parecer en un momento dado que se apunta a una persona y ser ella simplemente un nodo más en la red TOR que Tribler genera para la comunicación entre clientes.

viernes, 12 de diciembre de 2014

Resumen, breve y no jurídico, del #canonAEDE

EL CONTEXTO
En el año 2012  CEDRO recauda 7.75 millones de euros. En 2013 8,12 millones.

Durante los años previos, entre 2005 y  2009 CEDRO estaba recaudando entre 3 y 5 veces más y casi toda su recaudación tenía como origen el canon digital que se cobraba por los dispositivos.

Informe de gestión de 2013 (pdf) pg 22
Informe de gestión 2009 (pdf) pg 20

Con la reforma del canon digital, provocada por varias sentencias judiciales, las entidades de gestión pasan de percibir 115 millones de euros a 5. Lógicamente, una de las más afectadas es CEDRO que se queda en un situación económica delicada.

Recordemos que CEDRO es la entidad de gestión de los autores y editores de libros. Algunos editores de libros son también propietarios de medios de comunicación.

Al tiempo que eso sucede, muchos periódicos han visto reducidos sus ingresos por problemas de todo tipo, entre ellos adaptación al entorno digital, nuevos competidores, el fracaso de los muros de pago, etc. Y, fruto de su trabajo, han publicado informaciones muy críticas con el actual gobierno.

Los periódicos (las grandes cabeceras) y el gobierno están de acuerdo en rebajar la presión "mediática" a cambio de ayudas (publicidad institucional, etc.) esenciales para hacer sostenibles esos medios. Un trato que a todos conviene, al menos en el corto plazo.

Por su parte, Google (como otras muchas empresas de todos los ámbitos) emplea cierta ingeniería fiscal (ni especialmente compleja ni aparentemente ilegal) para pagar los menos impuestos posibles.

Como no hay dinero suficiente (y las ayudas directas se miran mal desde Europa) Gobierno y editores se fijan en Google que, haciendo uso de los contenidos de otros, gana dinero y, de hecho, ha llegado a acuerdos con otros editores en otros países. Además, resulta fácil "vender" la imagen de que esa empresa gana mucho y no reparte nada.

LA IDEA

El Gobierno, sin pasar por el Ministerio de Cultura, introduce una compensación por "el uso de fragmentos no significativos" de los textos de la noticia en el servicio Google News, teniendo especial cuidado en la redacción en dejar fuera al buscador. Sólo afecta a "agregadores de contenidos" y piensa directamente en Google, denominándolo "Tasa Google"

Los periódicos que proponen la medida para evitar que otros sigan en el servicio sin cobrar (como ha pasado en otros países europeos) y provoquen lo mismo que ha pasado en Europa, incluyen en el texto legal que el derecho sea "irrenunciable" y, además de gestión colectiva obligatoria, es decir, que sólo se puede cobrar vía entidad de gestión.

¿Y qué entidad de gestión se encarga de los textos? Pues eso. 

Además, vista la experiencia con la música, al ser el derecho irrenunciable no pueden plantearse problemas de legitimación activa en la reclamación. CEDRO, por ley, representa a todos y nadie puede decir que no es representado.

En 2013 CEDRO percibió como gastos de administración 2.38 millones de euros. Es decir, un 29.31% de lo recaudado.

Por lo tanto, el planteamiento del #canonAEDE es sencillo, cogemos dinero de Google y se lo damos a los "amigos" de la prensa, dejando una parte a una entidad de gestión que lo necesita.

LOS PROBLEMAS


El derecho de propiedad intelectual que, teóricamente, sería usado por Google es la comunicación pública, en su modalidad de "puesta a disposición del público".

Una semana antes de la aprobación definitiva de esta reforma el Tribunal de Justicia de la Unión Europea dice que no hay "comunicación pública" en supuestos similares al regulado en España.

Por lo tanto, no hay supuesto para cobrar, por lo tanto, nace muerto, al menos jurídicamente, ya que el único derecho afectado (y ese es renunciable y negociable) es la reproducción.



El problema viene cuando el servicio del que pretendes cobrar desaparece, pero esa es otra historia.

-----

Entrada motivada por una interpelación del Profesor Jesús Alfaro vía Twitter:

sábado, 6 de diciembre de 2014

10 preguntas, y muchas dudas, sobre el uso de troyanos en la nueva Ley de Enjuiciamiento Criminal

Una de las medidas más llamativas, y que si no se cambia generará muchos problemas en la práctica, del proyecto de reforma de la Ley de Enjuiciamiento Criminal es la posibilidad de que se use software espía (o troyanos) para revisar el contenido de equipos o dispositivos informáticos de personas investigadas.

Como a veces se habla de troyanos y otro sistemas de monitorización, veamos exactamente en qué consiste la propuesta y alguno de los problemas que se plantean.

1- ¿Qué puede hacerse?

En realidad son dos las cosas que se podrán hacer. 

Por un lado instalar un software espía que permita "el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos",

Y por otro, solicitar a los administradores de sistemas que proporcionen las contraseñas y nombres de usuarios para acceder a servidores o sistemas de alojamiento que pudieran ser de un investigado.

Por lo tanto, no es sólo instalar un software. Esto abre la posibilidad de acudir a un prestador de servicios de alojamiento y obtener la contraseña de acceso de nuestro servidor, para que se pueda analizar todo el contenido allí alojado.

2- ¿En qué consiste?

Hay que destacar que el objeto de la medida es sólo "el examen a distancia del contenido" no puede utilizarse software que intervenga comunicaciones. Las comunicaciones deben quedar al margen de esto, puesto que el artículo habla sólo del examen del contenido.

De hecho la medida se "titula" como "Registros remotos". Un registro en la práctica habitual era entrar en una casa o local o revisar una mochila, pero si durante un registro se encontraba una carta sin abrir no podría abrirse, porque el derecho afectado era el secreto de las comunicaciones. Aquí se afectaría la intimidad.

La instalación de un keylogger u otro sistema que pueda monitorizar todo lo que pasa en tiempo real en un sistema puede afectar a las comunicaciones y por lo tanto, no será objeto de esta medida.

El registro de un sistema no es la intervención de las comunicaciones, los derechos fundamentales afectados son diferentes.

3- ¿Cuáles son los casos en los que se aplicaría?

En principio se citan los delitos de "especial gravedad" o alguno del listado:
a) Delitos cometidos en el seno de organizaciones criminales.b) Delitos de terrorismo.c) Delitos cometidos contra menores o personas con capacidad modificada judicialmente.d) Delitos contra la Constitución, de traición y relativos a la defensa nacional.
Como ya tenemos experiencia en conceptos que se quieren sean indeterminados, lo de especial gravedad, puede ser cualquiera que tenga un componente informático, con independencia de la pena. Aunque esto es una indeterminación que puede abrir la puerta a muchos problemas.

viernes, 5 de diciembre de 2014

No, no hay diferente tratamiento en el orden penal y social sobre las comunicaciones de los trabajadores

El pasado mes de junio, el Tribunal Supremo, en su Sala de lo Penal abordó la cuestión del secreto de las comunicaciones del ordenador empleado por el trabajador, si bien no era ese un objeto central de la discusión jurídica aplicable al supuesto analizado.

El Supremo en este caso, señalaba la doctrina de la sala de lo Social en el sentido de las facultades de control y verificación de los usos de los medios informáticos por el trabajador en la empresa, si bien manifestando que eso era un cuestión del otro ámbito, el del derecho del trabajo:
"Criterios contenidos en esas Resoluciones y que no desconocemos que han sido posteriormente avalados por el propio Tribunal Constitucional, en Sentencias como las de 17 de Diciembre de 2012 y 7 de Octubre de 2013, que, a nuestro juicio, han de quedar restringidos al ámbito de la Jurisdicción laboral, ante el que obviamente nuestra actitud no puede ser otra más que la de un absoluto respeto, máxime cuando cuentan con la confirmación constitucional a la que acabamos de referirnos, pero que, en modo alguno, procede que se extiendan al enjuiciamiento penal, por mucho que en éste la gravedad de los hechos que son su objeto, delitos que en ocasiones incluso constituyen infracciones de una importante relevancia, supere la de las infracciones laborales a partir de las que, ante su posible existencia, se justifica la injerencia en el derecho al secreto de las comunicaciones del sospechoso de cometerlas"
Daba la impresión de que optaba por una solución diferente en función del ámbito judicial en que estuviésemos.

Algunos interpretaron que esa declaración de restricción de ámbitos implicaba que el fallo no era aplicable a la jurisdicción social y que el secreto de las comunicaciones era revisable por el empresario o empleador.

Pues bien, para ilustrar como los juzgados sociales no lo ven así, y que realmente no hay enfoque diferenciado, podemos ver como ejemplo la Sentencia del Tribunal Superior de Justicia de La Rioja de 11 de julio de 2014 (pdf), precisamente, que confirma la del juzgado de lo Social que limita el control empresarial de los equipos informáticos:

Así dice que:
"Por otro lado, desde un punto de vista objetivo, el control empresarial estaría vedado en aquellos ámbitos protegidos por los derechos fundamentales en presencia, es decir, los relativos a la intimidad personal y al secreto de las comunicaciones. Esto significa que quedan indiscutiblemente al margen del control empresarial, tanto los archivos personales (protegidos por el primero), como las comunicaciones telefónicas o el correo electrónico (amparados por el segundo)."
Es decir, no hay un ámbito separado, la comunicaciones del trabajador son secretas e inviolables, con independencia de las cláusulas expuestas por la empresa.

En este caso se pretendió usar la figura del hallazgo casual para justificar el acceso al correo electrónico ya que compañeras de trabajo del despedido accedieron a su ordenador (no era compartido) y vieron abierta la carpeta de Gmail. Pero eso fue usando la contraseña del compañero para desbloquear el acceso.

Es importante, por lo tanto, tener claro que no es una cuestión sólo del ámbito penal, sino que en la jurisdicción laboral un despido basado únicamente como prueba en correos electrónicos del trabajador puede tener muy poco recorrido.

martes, 11 de noviembre de 2014

Cómo alterar un correo electrónico y por qué no vale casi nada como prueba (si se impugna)


Esto es extensible a casi cualquier prueba en un soporte digital que tengamos, pero el caso más frecuente de aportación en un juicio es el del correo electrónico, medio preferente de comunicación entre las empresas.

En primer lugar, recordar que si nadie lo impugna no hay ningún problema, la ley establece que se admite y se valora su contenido.

Pero si hay impugnación la cosa se complica para demostrar su autenticidad según lo hayamos recogido. No en pocos asuntos he visto impresiones de mails que son reenvíos de reenvíos que el cliente hace llegar al abogado.

En segundo lugar, y como veremos, imprimirlo en papel y sólo presentarlo así no debería servir de nada si se impugna.

Para que veamos el valor que puede tener un email que hemos descargado, y ya que llegan preguntas sobre ello, veamos como poner cualquier cosa en un email.

Enviemos un correo con una factura a un cliente, por ejemplo:


Vemos que tiene un calendario de pagos e incluso un adjunto, una factura por los servicios prestados.