Sintetizando el debate de la seguridad en la nube

La nube y la virtualización son los temas modernos que cambian a partir de este momento los paradigmas de la construcción de infraestructura para dar soporte a los servicios de tecnologías de información.

Sin duda todo tipo de nuevas aplicaciones estarán orientadas a la disponibilidad a través de Internet y la rapidéz y economía con que podrán desplegarse a través de un servicio de nube.

Pero sin embargo, con respecto al tema de la seguridad, se esta levantando justificadamente un intenso debate, puesto que si ya con las infraestucturas de TI tradicionales en casa había mucha incomprensión por parte de quienes las crean y operan, ahora con la percepción de la nube por parte de los arquitectos de soluciones de TI se vuelve a sacudir la cultura de la seguridad ante la pregunta de ¿donde estan realmente los servicios?

El debate sobre la seguridad en la nube se centra en 3 temas: la responsabilidad, la jurisdicción y la privacidad.

La responsabilidad

A mis alumnos les digo que si alguien quiere venderles seguridad, que lo regresen por donde vino. La palabra seguridad es tan grande, tan comprometedora, tan deceptiva, tan incompresible que si algun vendedor la usa para promocionar su producto, o no sabe lo que dice, o está tratando de verles la cara.

Solo para empezar a medio visualizar los elementos básicos todo lo que debería de comprender cuando menos el concepto y activiades de la seguridad en la información, denle una hojeada a la ISO17799 o al cuerpo de conocimiento para la certificación CISSP, y comparen, ¿lo que les está ofreciendo un vendedor cumple con muchas de esas cosas? La seguridad no se puede comprar ni vender, sólo puede construirse.

Entonces revisen la publicidad que les ofrece un proveedor de hosting o un servicio de nube en internet, todos hablan de seguridad, pero las actividades que ofrecen en favor de una función de protección del servicio son muy escasas como: redundancia de enlaces, disponibilidad de energía eléctrica, discos de datos en espejo y algunas actualizaciones de sistemas.

Si tu hosting te dice que es seguro, avienta un escaneo de vulnerabilidades a tu sitio, y para empezar, verás que todos los ataques pasan los aparentes filtros que dicen que tienen y todas llegan a tocar hasta tu servidor. Si hay un error de configuración, si tienes sistema operativo o servicos desactualizados, o si tu aplicación de capa 7 tiene agujeros que se pueden explotar, tu ISP no podrá hacer nada para protegerte y si reclamas, te dirán que en contrato de servicios no viene especificado que habría una protección hasta ese nivel.

Así que si pensamos en la nube para establecer la infraestructura de TI, se debe de considerar que así como si estuviera tu servidor a tu lado o de forma remota, el proceso de seguridad sigue siendo completamente responsabilidad del dueño del sistema, y que tiene que establecerse como parte del plan de seguridad y contrato con la compañía de hospedaje, que tipo mecanismos de protección establecerán ellos.

La jurisdicción

Aún cuando tu empresa esté establecida legalmente en tu país y regida por sus leyes, el sacar el hospedaje de tus servicios de TI para llevarlos a un hosting o nube en otro país, cambia automáticamente el contexto legal de los sistemas, servicios y datos a los de ese país por el simple hecho de que la empresa de hospedaje no puede quedar exenta de la leyes y regulaciones que apliquen a los contenidos alojados en ella aunque sean clientes de otro país.

Así que leyes como DMCA, Patriot Act, comerciales, bancarias, etc., pueden afectar a tus sistemas y ser afectados por cualquier cuestion legal que ocurra en el país donde esten tus datos, como por simple ejemplo el que en tu sistema haya material con derechos de autor de forma ilegal, o que por alguna razón legal, las llaves criptográficas privadas y certificados digitales puedan ser obtenidas por alguién que no debería. Simplemente las autoridades de ese país tiene que seguir sus propios procedimientos legales para obtener de cualquier hosting o nube el acceso a tus datos.

La privacidad

Derivado un poco del punto anterior, con el simple hecho de que el almacenamiento final de tus datos sale de tu control y realmente sólo esta respaldado por una promesa de que la empresa de hospedaje tendrá un buen cuidado de ellos. No tenemos realmente ninguna forma de saber que ha estado pasando con los discos y bases de datos virtuales almacenados en quien sabe que otra parte del mundo, ni que hacen con los respaldos, ni los registros que toman de ellos. Y si añadimos que por estar en la jurisdicción de otras autoridades con otras reglas, los datos siempre estarán en al alcance de ojos extraños.

También tener en mente que muchos de los servicios de hospedaje y nube, la compañía que te ofrezca el servicio para poder controlar simultáneamente sus recursos para todos sus clientes, pues tiene que establecer sus propios parámetros de configuración y operación, que para empezar podrían ser diferentes o incompatibles con una política de seguridad que se realize para tu empresa, o que también no sean realmente tan buenos para definir y administrar los mecanismos de protección de sus propios sistemas, y que ocurran cosas por ejemplo, como que una intrusión a la red de ellos afecte a todos los clientes o que un sistema de otra persona en otra parte de esa red tenga un incidente y por ahí el intruso pueda ingresar a los sistemas de otros clientes.

Así en uno de los más grandes retos de los sistemas en la nube es asegurar que operen en un contexto de privacidad sin importar lo que ocurra a su alrededor o los servicios que ofrezcan para ellos, desde cosas tan sencillas como evitar que los registros de actividad de tu sistema y tus usuarios no puedan ser diseminados sin control o hasta cosas más complejas como construir un sistema cuya base de datos tenga todos sus registros de forma cifrada, lo cual no es lo mismo que tener un disco cifrado, puesto que el disco cifrado podría ser abierto por quien instala el sistema operativo en la empresa de hospedaje y los sistemas con tablas y registros cifrados realmente no se programan igual aprendieron en la escuela, si no con mucho más cuidado para el manejo de las llaves y asegurarse de la integridad de un protocolo critográfico.

Como vén, pues el concepto de nube aunque novedoso, con ventajas y que ahora es lo que viene, dentro del contexto de seguridad de la información, no cambia nada de lo que ya se debe de hacer en cualquier organización si no es que hasta se tiene que tener mayores cuidados.


31 Jul, 2010 | hmier |

Texto del ACTA

Una victoria para la libertad en Internet y la igualdad de derechos para las personas.

Aqui pongo un mirror personal para que la gente lea el documento del ACTA.

21 Apr, 2010 | hmier |

Explicando la regla de los 3 strikes y porque no va a funcionar en Mexico

En varios paises del mundo se esta poniendo en marcha una disposición legal en telecomunicaciones y derechos de autor que se conoce como la regla de los 3-strikes y al mismo tiempo esta levantando de las mas grandes controversias entre usuarios y proveedores de acceso a internet desde el primer día.

Esta regla de los 3-strikes es una propuesta que forma parte del nucleo de acciones a realizar con Anti Counterfeit Trade Agreement (ACTA) y que en México seguramente escucharemos cada vez más en público por parte de los legisladores.

De una forma muy sencilla el concepto de los 3 strikes es el siguiente: Si acumulas tres reportes por piratería de cualquier tipo a través de internet se te cortará el servicio de internet sin aviso previo y sin derecho a compensación, y en caso extremo por reincidencia, legalmente formarás parte de una lista negra y quedarás prohibido de contratar internet de nuevo.

Suena muy sencillo pero en la práctica es muy complejo y tiene agravantes que lo hacen muy serio debido a la gran cantidad de malas experiencias y equivocaciones que han sucedido ya.

- La gran pregunta es quien es quien va a ser el juez imparcial que va a determinar si lo que una persona esta transmitiendo en internet es realmente un material ilegal.

- La unica manera de que se pueda verificar que lo que uno esta haciendo en internet sea legal es que estuviera una persona vigilandote las 24 hrs. Y esto es todavia peor puesto que la privacidad de un usuario practicamente no existiria. Los derechos de autor NO estan por encima de los derechos humanos.

- Derivado del punto anterior, el esfuerzo que se requiere para vigilar a millones de usuarios es humanamente inconcebible, por lo que han existido personas que dizque desarrollaron "software especializado" para monitorear automatizadamente, pero los casos conocidos han demostrado que esas "herramientas" tienen un increiblemente alto porcentaje de equivocaciones y todos los casos han terminados ganados por el usuario, no sin antes haberles costado mucho dinero.

- En internet se usan muchas tecnologías que tienen aplicaciones novedosas y provechosas pero como toda herramienta, es la persona la que le da uso e intención a las cosas, de forma que por el simple hecho de usar por ejemplo una red P2P o estar viendo un video el H264 (flash) etc, no significa que automaticamente esté bajando algo malo. Y esto es un punto muy serio a contemplar para entender los siguientes puntos, ya que conociendo como funcionan estas tecnologías, NO ES POSIBLE darse cuenta a simple vista o asi por encimita que es lo que esa transmisión contiene y ver si es legal o ilegal, de forma que esta ignorancia sobre como funcionan las herramientas ha provocado tambien abusos y equivocaciones al buscar a los piratas. De igual manera, para poder saber que es lo que contienen esas transmisiones, se tiene que hacer una actividad de vigilancia mas intrusiva en el uso de internet del usuario.

- Al cortarle el acceso a un usuario por tener los 3-strikes, se le cortara el servicio A TODOS LAS PERSONAS que residan en esa casa. Pagaran justos por pecadores y es un castigo muy cruel que casi casi mencionaria que es un sabotaje a el avance social y economico de un país. Internet llego hace tiempo para quedarse y forma ya parte de la cultura mundial, así que retirar a la gente de internet es un retroceso para la humanidad.

- ¿Que va a hacerse con el acceso a internet de empresas y escuelas? Lo que buscan entonces el ACTA es coarcionar a que sean ellos mismos los que establezcan controles para vigilar y retirar los materiales apocrifos en sus redes y aplicar tambien los 3-strikes. Esta propuesta es muy traicionera, ya que obliga a que la empresa o escuela haga el trabajo de vigilancia de otros y absorba los costos, pero tambien es tonta, pues como va una empresa a sabotear sus propias operaciones y una escuela negar el acceso a la principal fuente de apoyo para la educación que existe.

- Quieren obligar a que sean los mismos ISPs los que realizen la vigilancia sobre sus usuarios y aplicarles los 3-strikes, pero obviamente esta idea no es de su completo agrado, puesto que tendrían que absorver los costos de realizar esa vigilancia sobre sus clientes y ademas de absorver el "costo politico" por acosar a sus clientes cuando empiezen a mandar los avisos de los primeros strikes y recibir toda la furia del cliente cuando le corte el servicio al 3er strike. Toda una tactica que va a salir disparada por la culata pero que se ve preparada para que sean otros los que reciban el fuego.

- Para poder vigilar lo que una persona hace en internet hay que monitorear las comunicaciones de su dirección IP, pero en Mexico no es asi de facil debido a la forma en que los ISPs construyen sus redes:

Ejemplo telmex

Utilizan mucho las IPs dinamicas, es decir que cambian frecuentemente la dirección IP que asignan a sus usuarios, de manera que si alguien esta vigilando que archivos esta transmitiendo un usuario pues ya de entrada existe garantizado un porcentaje de incertidumbre a ver si es la misma persona o no.

Ejemplo cableras

Utilizan una enorme configuracion de NAT sobre NAT. Practicamente se puede decir que tienen una sola IP por todos sus usuarios de una ciudad o una colonia. Desde afuera de esa red es extremadamente dificil distiguir cuales son las comunicaciones de un usuario escondido atras de NATs.

Y en ambos ejemplos para acabar de complicar más todavia tenemos los usuarios que construyen sus redes locales usando uno o varios niveles adicionales de NATs firewalleadas. Entonces es comun que haya duplicidad de segmentos de redes privadas 192.168.0.0 o 10.0.0.1 que se hacen mas dificil de monitorear entre más alejado te encuentres de ellas.

Y no se diga sobre la dificultad para detectar a los usuarios que se cuelgan de otras redes con o sin permiso del dueño, los que flashean cablemodems y los que usan tecnologías que transmiten archivos con cifrado o enmascaradas y los servicios de anonimato en internet que muchas herramientas ya incorporan, que seamos sinceros, muchos de ellos son los que realmente descargan cosas ilegales de internet obsesivamente.

En conclusión, de forma técnica el concepto de los 3-strikes es muy fragil y tiene un amplisimo margen de error para aplicarse en Mexico, que va en detrimento de la calidad del acceso a internet y de la comodidad de los usuarios. Parece más una estrategia de intimidación directo a los usuarios para que ya se porten bien, pero que esta sostenida en argumentos muy débiles, que sin embargo esta planeado el asunto para que causen un desgaste económico al usuario si se quieren defender legalmente y entonces acepten los "arreglos" como solución más atractiva.

Si tuvieramos todos IPv6 sería esto otra historia, así que mejor impulsen la transición a IPv6 e Internet2 si quieren lograr lo que quieren, todos ganamos con eso.

30 Dec, 2009 | hmier |

ACTA Resumen de Elementos Clave que están en Discusión

El Acuerdo Comercial Anti-Falsificación – Resumen de Elementos Clave que están en Discusión

** Este es un documento encontrado en el sitio web del IMPI ***
** Porque publicamos todo esto en este blog me preguntan, pues porque como dice el #manifiesto en españa "el copyright no esta por encima de los derechos y garantías más elementales" ***

Antecedente

La proliferación de los productos falsificados o pirata en el comercio internacional posee una amenaza constante para el desarrollo sustentable del mundo económico. El comercio de dichos productos también afecta al desarrollo económico sustentable en países tanto desarrollados como en desarrollo y, en algunos casos, representan un riesgo para los consumidores.

La innovación, calidad y la creatividad son los factores fundamentales para el éxito en las economías basadas en el conocimiento. La adecuada protección y observancia de los derechos de propiedad intelectual son elementos clave para alimentar dichos factores. En el año 2006, Japón y Estados Unidos lanzaron una idea de un nuevo tratado plurilateral para ayudar a la lucha contra la falsificación y piratería, el llamado: Acuerdo Comercial Anti-Falsificación (ACTA, por sus siglas en inglés). El objetivo de esta iniciativa era reunir a aquellos países, desarrollados y en desarrollo, que estén interesado en combatir la falsificación y piratería, así como negociar un acuerdo que promueva la cooperación internacional y que contenga normas internacionales eficientes para la observancia de los derechos de propiedad intelectual.

Pláticas preparatorias sobre dicho acuerdo comercial anti-piratería se llevaron a cabo durante el 2006 y el 2007 en un grupo inicial de partes interesadas (Canadá, la Comisión Europea, Japón, Suiza y Estados Unidos). Las negociaciones iniciaron en junio de 2008 con la participación de un grupo mayor de participantes (Australia, Canadá, la Unión Europea y sus 27 estados miembro, Japón, México, Marruecos, Nueva Zelanda, Corea, Singapur, Suiza y Estados Unidos).

Una variedad de grupos han demostrado su interés en obtener mayor información en la sustancia de las negociaciones y han solicitado que el texto preliminar sea publicado. Sin embargo, es una práctica aceptada que durante las negociaciones entre naciones soberanas, no se comparten los textos de negociación con el público en general, especialmente en las etapas iniciales de la negociación. Esto permite que las delegaciones intercambien sus puntos de vista con confidencialidad y facilitando la negociación y el compromiso que son necesarios para llegar a acuerdos en asuntos complejos. Actualmente, las delegaciones del ACTA están discutiendo varias propuestas sobre los diferentes elementos que, finalmente, puedan ser incluidos en el acuerdo. Aún no existe ningún texto del acuerdo que incluya un bloque de propuestas.

Este texto intenta clarificar los objetivos del acuerdo propuesto y de resumir los puntos en discusión. Ofrece un panorama sobre los elementos sugeridos de los diferentes títulos y subraya los asuntos primordiales. Es importante notar que las discusiones continúan y que pueden surgir nuevos asuntos y otros podrán, finalmente, no ser incluidos en el acuerdo. Este texto no prejuzga la estructura final y el contenido del acuerdo que podrá ser distinto al que está siendo discutido en la etapa actual de negociaciones y que se describe abajo:

Objetivo del ACTA

La iniciativa del ACTA pretende establecer normas internacionales para la observancia de los derechos de propiedad intelectual a fin de tener una lucha más eficiente en contra del problema de falsificación y piratería. El ACTA pretende establecer, en particular, entre los signatarios, estándares acordados para la observancia de los derechos de propiedad intelectual que se sitúan como retos actuales a través del incremento de cooperación internacional, fortalecimiento del marco de las prácticas que contribuyen a la efectiva observancia de los derechos de propiedad intelectual, así como también el fortalecimiento de medidas relevantes de observancia. El propósito es enfocar en las actividades de falsificación y piratería que afectan significativamente los intereses comerciales, en lugar de las actividades de los ciudadanos comunes. El ACTA no pretende interferir con el respeto de los derechos fundamentales y libertades individuales de los ciudadanos de los signatarios, y será consistente con el Acuerdo sobre los Derechos de Propiedad Intelectual (Acuerdo sobre los ADPIC) de la OMC y respetará la Declaración del ADPIC y la Salud Pública.

Estructura y Contenido del ACTA

El ACTA pretende construir sobre reglas internacionales existentes, en particular el Acuerdo sobre los ADPIC, e intenta poner sobre la mesa un número de asuntos sobre observancia en donde los participantes han identificados que un marco legal internacional no existe o necesita ser fortalecido. La estructura tentativa del acuerdo como se ha discutido en esta etapa es la siguiente:

CAPÍTULO UNO
DISPOSICIONES INICIALES Y DEFINICIONES

Este capítulo se enfocará en la clarificación de asuntos que surjan dentro del acuerdo tales como Objetivo, Alcance y Definiciones. El capítulo también podrá incluir principios interpretativos.

CAPÍTULO DOS
MARCO LEGAL SOBRE OBSERVANCIA DE LOS DERECHOS DE PROPIEDAD INELECTUAL

Sección 1: Observancia en Materia Civil La observancia en material civil se refiere a la autoridad de tribunales o autoridades competentes de ordenar/tomar acciones específicas cuando se establece que una parte ha violado las leyes de propiedad intelectual, así como de las reglas de cuándo y cómo se usan dichas facultades. Los asuntos en discusión de esta sección incluyen:
- alcance de la sección – cuáles derechos de propiedad intelectual serán cubiertos en las disposiciones de esta sección;
- la definición de daños y la pregunta sobre cómo determinar el monto de daños, particularmente cuando el titular de un derecho se encuentra con la dificultad de calcular la cantidad exacta del daño en que se ha incurrido;
- la facultad de las autoridades judiciales para ordenar suspensión que requiera que una parte desista de una infracción;
- recursos, incluyendo la destrucción de bienes que hayan sido encontrados en la infracción de un derecho de propiedad intelectual y bajo qué condiciones y a qué punto materiales e implementos hayan sido utilizados en la producción o creación deberán ser destruidos o dispuesto fuera de los canales de comercio;
- medidas provisionales, tales como la facultad de las autoridades judiciales u otras autoridades competentes de ordenar, en algunos casos, la incautación de mercancía, materiales o evidencia documental sin la necesidad de oír a ambas partes; y,
- el reembolso de costos y tarifas legales razonables.

Sección 2. Medidas en Frontera Las medidas en frontera se refieren a acciones que aduanas y otras autoridades competentes deberán estar facultadas a tomar para prevenir que bienes infractores de derechos de propiedad intelectual crucen fronteras. El término también describe los procedimientos que deberán acompañar estas acciones. Los elementos en discusión de esta sección incluyen:
- alcance de la sección – qué derechos de propiedad intelectual serán cubiertos y si las medidas en frontera deberán ser aplicables a importaciones o si deberán aplicarse de igual manera para exportaciones y bienes en tránsito;
- la excepción de minimis que podrá permitir a los viajeros traer consigo bienes para uso personal;
- procedimientos para que los titulares de los derechos soliciten a las autoridades aduanales que suspendan la entrada, en frontera, de bienes que se presuma sean infractores de derechos de propiedad intelectual;
- facultad de oficio para que aduanas inicie dicha suspensión (a iniciativa propia, sin ninguna petición del titular de los derechos)
- procedimientos para que las autoridades competentes determinen si los bienes suspendidos son infractores de derechos de propiedad intelectual;
- medidas para asegurarse que los bienes infractores no son puestos en libre circulación sin el consentimiento del titular de los derechos, y excepciones posibles;
- la confiscación y destrucción de bienes que hayan sido determinados infractores de derechos de propiedad intelectual, y excepciones posibles;
- responsabilidad de almacenaje y cuotas de destrucción,
- capacidad de autoridades competentes para solicitar a los titulares de derechos que proporcionen un depósito razonable o un seguro equivalente suficiente para proteger al demandado y prevenir el abuso; y,
- facultad para difundir información clave sobre embarques infractores de derechos de titulares.

Sección 3: Observancia en material Penal Esta sección relativa a casos en donde las partes deberán proporcionar procedimientos penales y penas. Los asuntos que están siendo discutidos en este título incluyen:
- clarificar la magnitud de la infracción necesaria para que califique para sanción penal en casos de falsificación de marcas y piratería de derecho de autor y derechos conexos;
- clarificar el alcance de las sanciones penales;
- en qué casos las autoridades relevantes tendrán la facultad para tomar acción en contra de los infractores por iniciativa propia (de oficio, i.e. sin querella por parte de los titulares de derechos) con respecto a actividades infractoras;
- facultad de ordenar investigaciones y/o incautaciones de bienes presuntamente infractores de derechos de propiedad intelectual, materiales e implementos usados para la infracción, evidencia documental, y activos resultantes de u obtenidos a través de la actividad infractora;
- facultad de las autoridades judiciales para ordenar la confiscación y destrucción de bienes infractores;
- facultad de las autoridades judiciales para ordenar la confiscación de activos resultantes de u obtenidos, directa o indirectamente, a través de la actividad infractora;
- facultad de las autoridades judiciales para ordenar la confiscación y/o destrucción de materiales e implementos que hayan sido usados en la fabricación de bienes infractores;
- procedimientos penales y penas en casos como camcording de películas u otras obras audiovisuales; y,
- procedimientos penales y penas en casos como el tráfico de etiquetas falsificadas.

Sección 4: Observancia de Derechos de Propiedad Intelectual en el ámbito Digital
Esta sección del acuerdo pretende tratar algunos retos especiales que las nuevas tecnologías presentan a la observancia de los derechos de propiedad intelectual, tales como el posible rol y responsabilidades de los prestadores de servicio de Internet en la disuasión de la piratería de derechos de autor y derechos conexos en la Internet. Aún no se ha desarrollado un proyecto al respecto toda vez que las discusiones están siendo enfocadas en la compilación de información sobre los diferentes regimenes nacionales a fin de desarrollar un entendimiento común que trate de la mejor manera estos asuntos.

CAPÍTULO TRES
COOPERACION INTERNACIONAL

El comercio trans-nacional de bienes falsificados y piratas es un problema mundial que generalmente involucra redes de crimen organizado. Los participantes del ACTA necesitan trabajar juntos para abordar este reto. El capítulo de cooperación internacional pretende tratar con los siguientes tipos de asuntos:
- reconocimiento de que la cooperación internacional en material de observancia es vital para realizar una efectiva y total protección de los derechos de propiedad intelectual;
- cooperación entre las autoridades competentes de las partes que estén involucradas con la observancia de derechos de propiedad intelectual, consistentes con los acuerdos internacionales existentes;
- intercambio de información relevante como datos estadísticos e información sobre mejores prácticas entre los signatarios en concordancia con reglas internacionales y relacionados con legislaciones nacionales que protejan la privacidad y confidencialidad de información; y,
- capacitación y asistencia técnica para la mejora de observancia, incluyendo a países en desarrollo del acuerdo y para terceros países, en su caso.

CAPÍTULO CUATRO
PRÁCTICAS DE OBSERVANCIA

En cuanto el capítulo dos se enfoca en las leyes que deberán ser puestas para promover una mejor observancia de los derechos de propiedad intelectual, este capítulo pretende enfocarse en los métodos usados por las autoridades para la aplicación de dichas leyes.. Las áreas que las prácticas de observancia pueden contemplar incluyen:
- promover la especialidad en la material entre las autoridad competentes a fin de asegurar una efectiva observancia de los derechos de propiedad intelectual;
- compilación y análisis de datos estadísticos y otra información relevantes tal como mejores prácticas relativas a la infracción de derechos de propiedad intelectual;
- coordinación interna entre autoridades competentes relacionadas con la observancia de los derechos de propiedad intelectual, incluyendo grupos de asesoría público/privados tanto informales como formales;
- medidas que permitan a las autoridades aduanales una mejor identificación de cargamentos que presuntamente contengan bienes falsificados y piratas;
- publicación de información sobre procedimientos concernientes a la observancia de los derechos de propiedad intelectual; y,
- promoción de la concientización al público de los efectos dañinos de las infracciones de los derechos de propiedad intelectual..
Las obligaciones o recomendaciones en este capítulo sobre prácticas de observancia y el intercambio de información con el público deberá considerar y ser consistente con acuerdos internacionales existentes y la necesidad de proteger técnicas de investigación, legislación sobre confidencialidad en información de observancia y derechos de privacidad.

CAPÍTULO CINCO
ASUNTOS INSTITUCIONALES

Este capitulo incluirá todas las disposiciones necesarias para establecer la administración, incluyendo preguntas relacionadas con la implementación del acuerdo, cómo y cuándo se llevarán a cabo las reuniones de las partes y otros detalles administrativos del acuerdo.

CAPÍTULO SEIS
DISPOSICIONES FINALES

Las disposiciones finales del acuerdo incluyen detalles de cómo funcionará el acuerdo, tales como el convertirse en parte del acuerdo, cómo renunciar al mismo y cómo reformar el acuerdo en un futuro.

05 Dec, 2009 | hmier |

ACTA: tercer documento filtrado al público

Las negociaciones secretas del ACTA cada día estan dejando al público más información y revelan poco a poco detalles que confirman en gran medida todo lo que las personas interesadas (publico consumidor como nosotros) nos preocupa muchisimo.

En esta ocasión, se filtra un documento de circulación interna de los parlamentos europeos que reflejan la opinión de la Unión Europea sobre la propuesta americana del ACTA, la conclusión es muy sencilla: todos los dados estan cargados a un solo lado.

Por que el secreto de estado o de seguridad nacional? no hay terroristas, ni narcos ni nada que ponga en peligro vida de ciudadano alguno en este tema del ACTA. Solo en mi mente queda una sola explicación: total y completa conspiración, de quien? pues de quienes salen ganando más con esto, la elite de las megacorporaciones.

Es ya de caracter critico el exigir a nuestra autoridad que presente ante la sociedad cual es estado de la participación de México en ACTA y que sobre todo, nos aseguren que nuestras garantías se respeten y que prueben definitivamente en que nos beneficia a la sociedad.

En el twitter ando preguntando a ver quién sabe quienes son los representantes de Mexico en las negociaciones del ACTA. De seguro cuando sepamos sus nombres nos vamos a llevar sorpresas.

30 Nov, 2009 | hmier |

ACTA: el misterioso secreto de estado

Ya pasaron casi 2 años desde que escuchamos por primera ocasión sonre el Anti Counterfeit Trade Agreement, que plantea la creacion de un marco regulatorio internacional para combatir la pirateria de productos y violaciones de propiedad intelectual de todo tipo.

Nadie argumenta en contra de la necesidad de un marco asi, sin embargo, lo que ha levantado una enorme cantidad de criticas y preocupacion es la forma y fondo que esta tomando la creacion de este pacto internacional.

El misterio:

1.- Solo forman parte de las negociaciones los principales paises que producen obras con propiedad intelectual y los paises que principalmente crean y consumen pirateria. Mexico incluido mas que nada en este ultimo concepto.

2.- Las agencias, organizaciones y personas de cada pais que forman parte de estas negociaciones se mantienen listadas bajo secreto, solo se conocen algunas cuantas.

3.- La negociacion en general, reuniones y minutas se mantienen bajo el concepto de SECRETO DE SEGURIDAD NACIONAL en todos los paises que participan. Que necesidad hay?

4.- Los acuerdos y estado actual del borrador del tratado sigue siendo un secreto, ni siquiera las solicitudes a traves de acceso a la informacion publica les es permitido conocer los datos. Conocemos un borrador inicial y hasta hace un par de dias se revelo una parte mas.

5.- Si a una persona se le solicita su opinion, le hacen firmar un severo contrato de no divulgacion.

6.- Hasta donde se sabe, no se permiten opiniones de parte de otros interesados si no estan ya en el grupo de negociacion.


Lo que se sabe:

- Se quiere crear una organizacion tipo Interpol para combatir a los grupos organizados que trafican bienes piratas. De acuerdo con eso hasta ahorita, sin embargo, dentro de la consideracion de grupos organizados se trata por igual a bandas de criminales asi como redes de intercambio de archivos en las escuelas.

- Se busca que todos los paises miembros definan una rama judicial para perseguir de oficio a los piratas de todo tipo. Antes los consorcios afectados tenian que levantar denuncias y usar sus propios recursos para perseguir a los infractores. Quiere decir que el combate a la pirateria se haga con dinero del estado ahora.

- Se quiere implementar una extensa red legal para identificar y consignar a infractores en la internet, esto quiere decir que todo tipo de organizaciones con acceso a internet tienen que tener implementados mecanismos de vigilancia para detectar y remover material con propiedad intelectual y revelar datos sobre la identidad de los infractores.

- Los proveedores de acceso a internet estarán obligados a conservar registros detallados de la actividad de sus subscriptores bajo el pretexto de prevenir la pirateria. No hay necesidad de esto en realidad.

- Se quieren eliminar barreras legales que usualmente estan garantizadas por derechos constitucionales, como las auditorias, raids, y "subpoenas". Normalmente cuando alguien te quiere demandar o por ejemplo la BSA hacerte una auditoria, tiene que obtener una orden de un juez, lo que se quiere ahora es que cualquier hijo del vecino si sospecha que estas violando sus derechos intelectuales pueda hacerte una auditoria y revisiones con menos trabas legales, sin importar si encuentre o no pruebas de infraccion.

- Establecer sanciones mas severeas, que incluyen prision y la infame regla de los 3 strikes, es decir que tres denuncias por pirateria y quedas legalmente prohibido de conectarte a internet o usar una computadora, o que un ISP te corte el servicio sin previo aviso y sin derecho a compensacion.

- REvolver desde sus cimientos y redefinir el concepto legal del "fair use". Por ejemplo, si compras un disco de musica original, no puedes sacarles copias de respaldo o hacerlos mp3 para meterlos al ipod, tendrias que comprar otra copia del disco. Otro ejemplo es que si tienes un disco de musica original y lo quieres vender porque ya no lo usas, no podrias y la persona que quiera comprar no pueda adquirir materiales "usados", todo nuevo siempre.

- La obligatoriedad de usar sistemas DRM (administracion de derechos digitales) que restrinjan arbitrariemente el uso de las cosas segun criterios del vendedor.

- De lo mas peligroso, busquedas sin justificacion ni consentimiento de computadoras, ipods, memorias, etc, en aeropuertos, aduanas y fronteras en busqueda de material apocrifo sin necesidad de orden del juez y sin tener la menor prueba de sospecha.

- La capacidad del supuesto afectado para confiscar equipo de computo en busqueda de materiales y la libertad para destruirlo con la menor prueba de infraccion. No importa si tiene algo mas almacenado.

- Establecer un marco legal para crear responsabilidad legal en terceros que se vean involuntariamente o circunstancialmente ligados a violaciones de propiedad intelectual. Asi se quedan todos coarcionados a participar activamente en la busqueda y remocion de materiales infractorios en sus areas de influencia como sus trabajos o escuelas.

- Establecer un criterio legalmente aceptado para determinar que una tecnologia o herramienta es legalmente prohibida porque puede usarse para violar los derechos de propiedad intelectual. Quiere decir que no importa para que se hizo un sistema o producto, si puede usarse para copiar algo, entonces debe de quedar prohibido y el autor/creador de ese producto pueda ser demandado.

- Completamente integrar el delito del hacking, cracking, e ingenieria en reversa si es que alguno de ellos afecta de cualquier manera a un consorcio.

- Darle una revision y establecer patrones nuevos de las patentes. Esto es bueno pero en la practica se ha viciado mucho y es otro debate y discusion completa y complicada, como el caso de las patentes en medicinas y las patentes de software.

Este tema es importantisimo para todos nosotros, hay que estar muy pendientes.

http://www.eff.org/deeplinks/2009/11/leaked-acta-internet-provisions-three-strikes-and-
http://www.michaelgeist.ca/content/view/4510/125/
http://wikileaks.org/wiki/Proposed_US_ACTA_multi-lateral_intellectual_property_trade_agreement_%282007%29


04 Nov, 2009 | hmier |