Tercera jornada del ciclo "Entendiendo los cambios. Ideas, libros y autores en Fundación Telefónica". Pekka Himanen: La Ética del Hacker: ¿Cuál es la nueva cultura de la creatividad necesaria para el futuro?
10 de febrero a las 12:00 horas en el Salón de Actos de Fundación Telefónica en Madrid (Gran Vía 28, planta 2).
El evento podrá seguirse en directo por Internet (ver abajo)
En esta ocasión, la periodista Mamen Mendizábal, presentadora de informativos de la cadena de televisión LaSexta, moderará el evento.
Pekka Himanen es un filósofo finlandés, doctor por la Universidad de Helsinki, que ha trabajado como investigador en Finlandia, Inglaterra y en las universidades norteamericanas de Stanford y Berkeley. Asimismo, ha sido asesor en temas sobre la sociedad de la información en los distintos gobiernos finlandeses y es muy conocido en el mundo de la cultura por sus relaciones con los artistas más vanguardistas y los medios de comunicación.
Himanen ha plasmado sus ideas en su obra más conocida, La ética del hacker y el espíritu de la era de la información (2001), en la que desarrolla los fundamentos y consecuencias de la “ética hacker”.
Se trata de una nueva ética surgida en las comunidades virtuales o cibercomunidades, y aplicada hoy en día en todo tipo de comunidades. La expresión fue acuñada en los años 80 del siglo pasado por Steven Levy, y engloba los principios morales que surgieron a finales de los años cincuenta en el Laboratorio de Inteligencia Artificial del MIT y, en general, en la cultura de los aficionados a la informática de los años sesenta y setenta. De aquellos principios, que se resumen en el acceso libre a la información y en que la informática puede mejorar la calidad de vida de las personas, es heredero y principal representante actual nuestro ponente.
La ética del trabajo para el hacker se funda en el valor de la creatividad, y consiste en combinar la pasión con la libertad. El dinero deja de ser un valor en sí mismo y el beneficio se cifra en metas como el valor social y el libre acceso, la transparencia y la franqueza.
Himanen también es autor de El Estado del bienestar y la sociedad de la información: El modelo finlandés (2002), obra que comparte en autoría con el sociólogo Manuel Castells. Recientemente ha publicado "The Culture of Creativity".
Seguir el evento onlineLa conferencia se puede seguir EN DIRECTO desde esta página y a través de nuestra cuenta de Twitter: @fundacionTef con el hastag (etiqueta): #ftHimanen
El dia del evento se habilitará el acceso a la retransmisión del evento.
http://www.fundacion.telefonica.com/es/debateyconocimiento/3ciclo/conf_Himanen.htm
Este pretende ser un espacio de reflexion y consenso acerca de los derechos de las personas en el mundo virtual, cuales son los limites, las amenazas y oportunidades, acompañenme a desarrollar nuevos puntos de vista y bases para una nueva era de ciberderechos . Gracias . El autor .-
martes, 8 de febrero de 2011
miércoles, 12 de enero de 2011
Steampunk, El siglo XIX acude al rescate de los hackers
El pasado día 23 de diciembre ha entrado en vigor la última reforma del Código Penal. Según todos los medios de información, esto implica que han pasado a ser delictivos los "ataques informáticos", el "hacking", y otras inexactitudes varias.
Resulta que ciertas formas de intrusiones informáticas ya estaban penadas desde la primera versión del Código, allá por 1995. Se trata de aquellas que iban dirigidas a vulnerar la intimidad de personas físicas concretas: obtener la contraseña de la cuenta de correo electrónico de alguien, por ejemplo, a través de técnicas de ingeniería social tipo las famosas páginas de "quien te ignora en Messenger", para acceder al contenido de sus mensajes personales. La consecuencia es pena de prisión de hasta cuatro años, que puede ser incluso más grave si el intruso obtiene información especialmente sensible como, por ejemplo, la orientación sexual de la víctima, y la usa para obtener beneficio patrimonial. En estos casos, la broma puede salir por siete años de cárcel.
Es decir, ciertos usos poco éticos de las técnicas de hacking ya estaban castigados por la ley penal. Pero faltaban por castigar otras muchas formas injustas de acceder a un sistema informático ajeno. Por ejemplo, cosas tan heavies como romper la seguridad de una gran empresa de tarjetas de crédito, y acceder a la lista de nombres de un millón de clientes, no encajaba dentro de ninguno de los delitos contemplados en nuestro Código. Sí que es cierto que había y hay un articulo, el 278, que castiga al que use técnicas intrusivas para acceder a secretos de empresa, pero la jurisprudencia del Tribunal Supremo ha restringido el termino "secretos de empresa" hasta reducirlo a aquello que otorga una ventaja competitiva significativa en el mercado, poniendo ejemplos muy concretos: las patentes y poco más. Las listas de clientes, y otros datos de ese tipo que las corporaciones custodian como oro en paño, quedan fuera de la protección del Código. Y en este caso, el nombre de esta ley es completamente apropiado al sentido que se le da en informática: lo que no está en el Código, no sirve, no se puede usar en un tribunal penal para acusar a nadie.
Así que, siguiendo patrones marcados por la Unión Europea y el Consejo de Europa (que no son lo mismo, al igual que no son lo mismo Debian y Ubuntu), en España hemos tenido que reformar ese Código Penal, para poder hacer frente a las amenazas que representan el mal uso de la informática y las redes telemáticas como Internet, hoy en día.
El problema es que, como casi siempre en estos últimos tiempos, nuestro legislador se ha pasado de frenada, y ha dado la siguiente redacción al artículo 197, apartado 3º, de nuestro Código (atención, lenguaje jurídico, no apto para todos los públicos):
3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.
Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en este artículo, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b a g del apartado 7 del artículo 33.
Bien, si atendemos a la redacción del nuevo párrafo, no se distingue entre hacking ético y otras formas menos simpáticas de este arte. Así que hay una cuestión que me preocupa sobremanera, y es la de los expertos en seguridad informática, que hacen investigación de campo por los infinitos caminos de la Red y luego se lo explican a los responsables de los sistemas inseguros que han encontrado, o al común de los mortales, en sus blogs. En este momento, estoy pensando en conocidos autores de bitácoras, como "Un informático en el lado del mal", "Conexión inversa" o "Security by default", y ello sólo parándome a mencionar algunas de las que tengo en mi lector de feeds RSS. Sí, hay fiscales que usan cosas de esas.
Estas personas hacen una labor fundamental, intentando que la sociedad esté, si es posible, un paso por delante de los delincuentes. Sin los avisos y alertas de esta comunidad, las vulnerabidades descubiertas por ellos podrían haber sido encontradas y explotadas por personas con fines fraudulentos, causando grave daño a la seguridad de las telecomunicaciones, el comercio electrónico, y lo que damos en llamar la Sociedad Red. Y con esta redacción, sus investigaciones "freelance" quedan fuera de la Ley.
Algunos de mis compañeros del Servicio de Criminalidad Informática de la Fiscalía General del Estado opinan que me preocupo en exceso, pues este delito no es operativo sin que el perjudicado, el propietario del sistema vulnerado, denuncie los hechos ante la policía o los juzgados. A diferencia de la mayoría de delitos, llamados "públicos", porque el sistema judicial actúa en cuanto se tiene conocimiento de los hechos por cualquier medio, en estos otros, llamados "semiprivados", hace falta que la "víctima" tome la iniciativa, interponiendo una denuncia. A mí, esto no me supone gran consuelo, la verdad. A ver quien es el listo que sigue realizando test de intrusión si, al avisar al responsable del sistema, se arriesga a una denuncia que puede dar con sus huesos en la cárcel, o al menos con un feo antecedente penal en su historial. Además, existe una peligrosa excepción al principio de necesidad de denuncia: que la intrusión afecte a una pluralidad indeterminada de personas o al interés general. Por ejemplo, el caso de que el afectado por el "hackeo" sea una gran empresa que pueda ver comprometida su base de datos de clientes. O un sistema informático que forme parte del Esquema Nacional de Seguridad. Aquí, el mecanismo represor del Estado tendría que ponerse en marcha de oficio, sea cual sea la intención de la persona que comprometió el sistema informático.
Ni que decir tiene que esto me parece una solución catastrófica, que pone directamente al otro lado de la raya de la legalidad a un colectivo indispensable, el de los expertos en seguridad informática. Por ello, llevo bastante tiempo dándole vueltas a la sesera, intentando encontrar algún mecanismo jurídico, entre nuestra abigarrada legislación, que permita actuar como salvoconducto para aquellas personas que testean la seguridad de un sistema o dispositivo informático, descubren una vulnerabilidad y lo ponen en conocimiento del afectado. Y creo que lo he descubierto.
Está en nuestro Código Civil desde finales del siglo XIX, en sus artículos 1888 a 1894, y se llama "cuasicontrato de gestión de negocios ajenos". ¿Que demonios significa esto?
Imaginemos que estamos en nuestro domicilio, en un bloque de pisos de cualquier ciudad. De repente, una mancha de humedad aparece en el techo, y al poco comienza a gotear. El vecino del piso superior se ha ido de vacaciones al extranjero, está ilocalizable y tiene un escape de agua. ¿Que hacer?
En teoría, si entramos en su domicilio, estamos cometiendo un allanamiento de morada. Pero no es así, ya que no buscamos un fin ilegitimo, y tenemos una ley que nos ampara: el cuasicontrato de gestión de negocios ajenos nos autoriza, por ejemplo, a llamar a un cerrajero y a un fontanero, entrar en el piso afectado por el escape de agua, hacer que lo arreglen, y no sólo no ser acusados de nada, sino que le podemos pasar la factura al propietario.
Pues bien, hoy en día, una vulnerabilidad en un sistema informático es al menos tan potencialmente dañina como un escape de agua. Así que la aplicación mesurada del cuasicontrato de gestión de negocios ajenos nos puede permitir separar el grano de la paja, y dejar a los expertos en seguridad informática fuera del campo de acción de esta contundente norma penal que es el nuevo párrafo tercero del articulo 197 del Código Penal.
A veces, una norma tan vieja como esta puede servir para solucionar un problema completamente nuevo. Al fin y al cabo, el articulo 3 del Código Civil ordena interpretar las normas conforme a la realidad social del tiempo en que han de ser aplicadas. Se que se trata de una solución un tanto simplista, y estoy seguro de que los abogados especializados en nuevas tecnologías podrán sacar mil y un matices. Pero al fin y al cabo, mi labor es acusar, así que, con todas mis limitaciones, me doy por contento si he dado con el extremo del hilo con el que, tirando, tirando, llegar al ovillo de una solución.
source
Artículo cortesía de: Jorge Bermúdez, fiscal especialista en delitos informáticos
Resulta que ciertas formas de intrusiones informáticas ya estaban penadas desde la primera versión del Código, allá por 1995. Se trata de aquellas que iban dirigidas a vulnerar la intimidad de personas físicas concretas: obtener la contraseña de la cuenta de correo electrónico de alguien, por ejemplo, a través de técnicas de ingeniería social tipo las famosas páginas de "quien te ignora en Messenger", para acceder al contenido de sus mensajes personales. La consecuencia es pena de prisión de hasta cuatro años, que puede ser incluso más grave si el intruso obtiene información especialmente sensible como, por ejemplo, la orientación sexual de la víctima, y la usa para obtener beneficio patrimonial. En estos casos, la broma puede salir por siete años de cárcel.
Es decir, ciertos usos poco éticos de las técnicas de hacking ya estaban castigados por la ley penal. Pero faltaban por castigar otras muchas formas injustas de acceder a un sistema informático ajeno. Por ejemplo, cosas tan heavies como romper la seguridad de una gran empresa de tarjetas de crédito, y acceder a la lista de nombres de un millón de clientes, no encajaba dentro de ninguno de los delitos contemplados en nuestro Código. Sí que es cierto que había y hay un articulo, el 278, que castiga al que use técnicas intrusivas para acceder a secretos de empresa, pero la jurisprudencia del Tribunal Supremo ha restringido el termino "secretos de empresa" hasta reducirlo a aquello que otorga una ventaja competitiva significativa en el mercado, poniendo ejemplos muy concretos: las patentes y poco más. Las listas de clientes, y otros datos de ese tipo que las corporaciones custodian como oro en paño, quedan fuera de la protección del Código. Y en este caso, el nombre de esta ley es completamente apropiado al sentido que se le da en informática: lo que no está en el Código, no sirve, no se puede usar en un tribunal penal para acusar a nadie.
Así que, siguiendo patrones marcados por la Unión Europea y el Consejo de Europa (que no son lo mismo, al igual que no son lo mismo Debian y Ubuntu), en España hemos tenido que reformar ese Código Penal, para poder hacer frente a las amenazas que representan el mal uso de la informática y las redes telemáticas como Internet, hoy en día.
El problema es que, como casi siempre en estos últimos tiempos, nuestro legislador se ha pasado de frenada, y ha dado la siguiente redacción al artículo 197, apartado 3º, de nuestro Código (atención, lenguaje jurídico, no apto para todos los públicos):
3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.
Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en este artículo, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b a g del apartado 7 del artículo 33.
Bien, si atendemos a la redacción del nuevo párrafo, no se distingue entre hacking ético y otras formas menos simpáticas de este arte. Así que hay una cuestión que me preocupa sobremanera, y es la de los expertos en seguridad informática, que hacen investigación de campo por los infinitos caminos de la Red y luego se lo explican a los responsables de los sistemas inseguros que han encontrado, o al común de los mortales, en sus blogs. En este momento, estoy pensando en conocidos autores de bitácoras, como "Un informático en el lado del mal", "Conexión inversa" o "Security by default", y ello sólo parándome a mencionar algunas de las que tengo en mi lector de feeds RSS. Sí, hay fiscales que usan cosas de esas.
Estas personas hacen una labor fundamental, intentando que la sociedad esté, si es posible, un paso por delante de los delincuentes. Sin los avisos y alertas de esta comunidad, las vulnerabidades descubiertas por ellos podrían haber sido encontradas y explotadas por personas con fines fraudulentos, causando grave daño a la seguridad de las telecomunicaciones, el comercio electrónico, y lo que damos en llamar la Sociedad Red. Y con esta redacción, sus investigaciones "freelance" quedan fuera de la Ley.
Algunos de mis compañeros del Servicio de Criminalidad Informática de la Fiscalía General del Estado opinan que me preocupo en exceso, pues este delito no es operativo sin que el perjudicado, el propietario del sistema vulnerado, denuncie los hechos ante la policía o los juzgados. A diferencia de la mayoría de delitos, llamados "públicos", porque el sistema judicial actúa en cuanto se tiene conocimiento de los hechos por cualquier medio, en estos otros, llamados "semiprivados", hace falta que la "víctima" tome la iniciativa, interponiendo una denuncia. A mí, esto no me supone gran consuelo, la verdad. A ver quien es el listo que sigue realizando test de intrusión si, al avisar al responsable del sistema, se arriesga a una denuncia que puede dar con sus huesos en la cárcel, o al menos con un feo antecedente penal en su historial. Además, existe una peligrosa excepción al principio de necesidad de denuncia: que la intrusión afecte a una pluralidad indeterminada de personas o al interés general. Por ejemplo, el caso de que el afectado por el "hackeo" sea una gran empresa que pueda ver comprometida su base de datos de clientes. O un sistema informático que forme parte del Esquema Nacional de Seguridad. Aquí, el mecanismo represor del Estado tendría que ponerse en marcha de oficio, sea cual sea la intención de la persona que comprometió el sistema informático.
Ni que decir tiene que esto me parece una solución catastrófica, que pone directamente al otro lado de la raya de la legalidad a un colectivo indispensable, el de los expertos en seguridad informática. Por ello, llevo bastante tiempo dándole vueltas a la sesera, intentando encontrar algún mecanismo jurídico, entre nuestra abigarrada legislación, que permita actuar como salvoconducto para aquellas personas que testean la seguridad de un sistema o dispositivo informático, descubren una vulnerabilidad y lo ponen en conocimiento del afectado. Y creo que lo he descubierto.
Está en nuestro Código Civil desde finales del siglo XIX, en sus artículos 1888 a 1894, y se llama "cuasicontrato de gestión de negocios ajenos". ¿Que demonios significa esto?
Imaginemos que estamos en nuestro domicilio, en un bloque de pisos de cualquier ciudad. De repente, una mancha de humedad aparece en el techo, y al poco comienza a gotear. El vecino del piso superior se ha ido de vacaciones al extranjero, está ilocalizable y tiene un escape de agua. ¿Que hacer?
En teoría, si entramos en su domicilio, estamos cometiendo un allanamiento de morada. Pero no es así, ya que no buscamos un fin ilegitimo, y tenemos una ley que nos ampara: el cuasicontrato de gestión de negocios ajenos nos autoriza, por ejemplo, a llamar a un cerrajero y a un fontanero, entrar en el piso afectado por el escape de agua, hacer que lo arreglen, y no sólo no ser acusados de nada, sino que le podemos pasar la factura al propietario.
Pues bien, hoy en día, una vulnerabilidad en un sistema informático es al menos tan potencialmente dañina como un escape de agua. Así que la aplicación mesurada del cuasicontrato de gestión de negocios ajenos nos puede permitir separar el grano de la paja, y dejar a los expertos en seguridad informática fuera del campo de acción de esta contundente norma penal que es el nuevo párrafo tercero del articulo 197 del Código Penal.
A veces, una norma tan vieja como esta puede servir para solucionar un problema completamente nuevo. Al fin y al cabo, el articulo 3 del Código Civil ordena interpretar las normas conforme a la realidad social del tiempo en que han de ser aplicadas. Se que se trata de una solución un tanto simplista, y estoy seguro de que los abogados especializados en nuevas tecnologías podrán sacar mil y un matices. Pero al fin y al cabo, mi labor es acusar, así que, con todas mis limitaciones, me doy por contento si he dado con el extremo del hilo con el que, tirando, tirando, llegar al ovillo de una solución.
source
Artículo cortesía de: Jorge Bermúdez, fiscal especialista en delitos informáticos
Etiquetas:
ciencia ficcion,
hackers,
leyes,
seguridad informatica,
steampunk
Suscribirse a:
Entradas (Atom)