El documento trata sobre aspectos clave de la seguridad en Internet. Explica conceptos como delito informático, protección de datos personales, spam y phishing. También analiza el servicio WHOIS y debates sobre qué datos de dominios deben publicarse para equilibrar la protección de datos y la propiedad intelectual.

1. Consulting Project Foro de Seguridad en Redes “ ASPECTOS CLAVE DE LA SEGURIDAD EN INTERNET” Dra. Mónica Abalo Laforgia Consulting Project | Directora

2. AGENDA Aspectos de la Seguridad en Internet La Protección de Datos en la Sociedad de la Información Conclusiones Preguntas “ ASPECTOS CLAVE DE LA SEGURIDAD EN INTERNET” Consulting Project

3. AGENDA Aspectos de la Seguridad en Internet Qué es la Seguridad Definición e identificación de Vulnerabilidades y Amenazas Concepto y Características del Delito Informático El Proyecto de Ley. Criterios de regulación Clases y Evolución “ ASPECTOS CLAVE DE LA SEGURIDAD EN INTERNET” Consulting Project

4. QUÉ ES LA SEGURIDAD Clases Mitos Software Infalible Escenarios simples y pocos Robo de información sólo a nivel de red Asegurar el “end-point” resuelve el problema Comportamiento del usuario es seguro SEGURIDAD DE ACCESO SEGURIDAD REACTIVA Preocupa a individuos y organizaciones Concepto relativo INFRAESTRUCTURA + DATOS = SEGURIDAD Consulting Project

5. PRINCIPIOS GENERALES DE SEGURIDAD Ponderación del Riesgo AMENAZAS VULNERABILIDADES Políticas de seguridad “customizadas” Condiciones de Éxito Utilidad Coherencia Practicable Adecuada culturalmente Obligaciones del responsable Vs. Consulting Project

6. Fuga de Datos Problemas Fraudes y Daños Informáticos SEGURIDAD COMO PROYECTO SEGURIDAD: PROBLEMAS Y SOLUCIONES Consulting Project

7. DELITO INFORMÁTICO Consulting Project Conducta Antijurídica: CONCEPTO MEDIO: utiliza recursos informáticos OBJETO: contra recursos, medios o sistemas informáticos Contra las PERSONAS Contra el HONOR Contra la INTEGRIDAD SEXUAL Contra el ESTADO CIVIL Contra la LIBERTAD Contra la PROPIEDAD Contra la SEGURIDAD PÚBLICA PORNOGRAFÍA INFANTIL INSERCIÓN DE DATOS PERSONALES FALSOS ACCESO NO AUTORIZADO A BASES DE DATOS SPAM ESTAFAS Y DEFRAUDACIONES UTILIZANDO SISTEMAS INFORMÁTICOS DAÑOS A SISTEMAS DE INFORMACIÓN FALSIFICACIÓN DE DOCUMENTOS ELECTRÓNICOS O FIRMA DIGITAL Código Penal Vigente Delitos Informáticos BIENES JURÍDICOS PROTEGIDOS Contra el ORDEN PÚBLICO Contra la SEGURIDAD DE LA NACIÓN Contra los PODERES PÚBLICOS Y ORDEN CONSTITUCIONAL Contra la ADMINISTRACIÓN PÚBLICA Contra la FE PÚBLICA

8. DELITOS INFORMÁTICOS SITUACIÓN ARGENTINA RIESGOS Consulting Project Infinidad de Proyectos presentados Cámaras del Sector y Organismos Públicos (ONTI) Nemirovsci y Otros Expte 5864-D-2006 Falta de conocimiento del funcionamiento y naturaleza de Internet Definiciones amplias que abarquen otros bienes jurídicos protegidos Proteger lo ya protegido NO HAY LEYES PERFECTAS CAPACITACIÓN INFORMACIÓN ASESORAMIENTO INTERPRETACIÓN ARMÓNICA DEL ORDENAMIENTO JURÍDICO Responsabilidad Social

9. CLASES Y EVOLUCIÓN Pérdida de Información por distintos medios (Internet, intranet, dispositivos externos) Hackers: adolescentes con conocimientos informáticos. Sin intereses económicos Crackers: anonimato limitado. Intereses económicos Phishing: redes de crimen organizado. Vishing: E-mail con número de teléfono Llamado que emula la central telefónica del banco Pharming: Manipulación de DNS del PC para desviar a páginas falsas Se utilizan gusanos y troyanos Scam: Ofrecimiento vía e-mail de trabajo desde el hogar Se utiliza para blanquear dinero Consulting Project

10. PHISHING… UNA PRÁCTICA QUE NO DESCANSA Consulting Project Entidades Atacadas 93(2006)/178(2007) U.S.A U.K España Canadá e Italia 91,4% 73% 10% 4% 3%

11. “ Spam”: correo electrónico no solicitado (Junk mail) “ Spamming”: acción de enviar mensajes de correo electrónico a varias personas con fines primariamente publicitarios DEFINICIÓN Consecuencias Año 1999 Abogados especialistas en migraciones Canter & Siegel Ofrecimiento de servicios ORIGEN Fue juzgado como una acción negativa por la sociedad Cancelación del servicio Internet Desafiliación como “ barristers ” en el Estado de Arizona Ganancias por la publicación del libro SPAM – CONCEPTOS GENERALES Consulting Project

12. Como medio válido y lícito de marketing Como medio fraudulento y engañoso (SPAM) CLASES Bases de Datos en general: Principio “OPT-IN” Bases de Datos de Marketing: Principio “OPT-OUT” SIST. ARGENTINO CARACTERISTICAS Multiplicidad de destinatarios No fue solicitado previamente Utilizan Internet como medio de envío El envío se hace desde direcciones no válidas Contiene generalmente títulos engañosos Genera costos Medios de obtención de la direcciones (bases de datos ilegales, robots que “scannean” paginas web, etc) ENVIO MASIVO DE CORREO ELECTRONICO Consulting Project

13. DESDE EL ISP Tiempo de lectura Tiempo de conexión Realizar quejas Solicitud infructuosa de OPT-OUT DESDE EL USUARIO QUIÉN LOS ASUME? Costos operativos en RR.HH y tecnológicos: atención de reclamos saturación de redes y servidores filtrado de mails SOLUCIONES ? TÉCNICAS Y FISICAS (listas blancas y listas negras) JURIDICAS Regulación Auto -regulación SPAM – COSTOS Y SOLUCIONES Consulting Project

14. ALGUNOS NÚMEROS … El Spam sigue creciendo inmune a cualquier medida en su contra Fuente: Hispasec 22/05/06 (Estudio realizado por Ipswitch) Temáticas del Spam Variaciones 2005-2006 5% 2003-2006 12% 42% sexo y pornografía Hipotecas y Préstamos Medicamentos Software pirata Lotería y Juegos Consulting Project Año 2006 2005 … 2003 2002 Período 1º Q 4º Q … Julio Diciembre 62% 57% ... 50% 40%

15. AGENDA La Protección de Datos en la Sociedad de la Información Concepto y Características Aspectos relevantes de la Ley 25.326 Situación Argentina y resto del Mundo El Servicio WHOIS: concepto, posturas y criterios. El Debate La Protección de la Propiedad Intelectual en Internet Consulting Project “ ASPECTOS CLAVE DE LA SEGURIDAD EN INTERNET”

16. Dato = Información Flujo de información entre sus integrantes que se realiza en tiempo real Sociedad Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables (Art. 2 – Ley 25.326 Dato Personal Información Asociación en forma directa o indirecta a una persona física DATO PERSONAL Dato Personal Información Flujo Sociedad Dato Personal AUTODETERMINACION INFORMATIVA CONCEPTO Y CARACTERÍSTICAS Consulting Project

17. Artículo 19 C.N. “ Las acciones privadas de los hombres que de ningún modo ofendan al orden y la moral pública ni perjudiquen a un tercero, están reservadas a Dios y exenta de la autoridad de los magistrados …” Derecho a la Intimidad se relaciona con: Autodeterminación Informativa Anonimato Posibilidad de controlar la información referida así misma que una determinada persona quiere compartir con los otros FUNDAMENTOS Consulting Project

18. DERECHO A LA INTIMIDAD VS. PROTECCIÓN DE DATOS DO NOT DISTURB Derecho a la Intimidad Personales Protección de Datos DERECHO PERSONALÍSIMO DERECHO AUTONOMO DERECHO FUNDAMENTAL Derecho a la Intimidad Protección de Datos Consulting Project

19. Sistema “SAFE HARBOUR” Basado en la protección referida al consumo de sectores determinados Órgano de Control: FTC ESTADOS UNIDOS Argentina Leyes que regulan el tratamiento de datos personales: Chile y Paraguay Proyecto de Ley en discusión: Brasil LATINOAMERICA Sistema jurídico mixto (Consumo + Derecho Humano) Ley general con protecciones específicas Único país en Latinoamérica con adecuación internacional 1º Legislación Europea: “Convenio del Consejo de Europa de protección de las personas con respecto al tratamiento automatizado de datos de carácter personal de 1981” Directiva 95/46/CE Directiva 97/66/CE Directiva 2002/58/CE UNIÓN EUROPEA SITUACIÓN ARGENTINA Y RESTO DEL MUNDO Consulting Project

20. ASPECTOS RELEVANTES DE LA LEY 25.326 Consulting Project Ley 25.326 Decreto Reglamentario 1558/2001 OBJETO (Art. 1º) Datos personales sometidos a procesamiento Asentadas en banco de datos Destinados a “dar informes” (o que excedan el uso personal – Dec Regl.1558/01 Responsable (Base de Datos) Titular (Contenido) Usuario (Tratamiento de Datos ) Tratamiento de datos - procedimiento sistemático Datos sensibles SUJETOS Y DEFINICIONES REGULACIÓN

21. ASPECTOS RELEVANTES DE LA LEY 25.326 Consulting Project Principios Generales PRESUNCION DE LEGITIMIDAD CALIDAD DE LOS DATOS CONSENTIMIENTO INFORMADO DEBER DE CONFIDENCIALIDAD REGLAS Datos Sensibles: No pueden ser objeto de tratamiento. Excepción: Fines estadísticos o científicos o autorización legal Condición: Disociación de los datos Prohibición de formar banco de datos que revelen datos sensibles Datos que contengan información que revelen: origen racial y ético, convicciones políticas y religiosas, orientación política o sindical, salud e identidad sexual DATOS SENSIBLES

22. ASPECTOS RELEVANTES DE LA LEY 25.326 Consulting Project OBJETO Y RESPONSABILIDADES REQUISITOS Consentimiento informado sobre el objeto de la cesión y la identidad del cesionario Revocable en cualquier momento Excepciones del Art. 5º inc 2 Disposición legal Entre dependencias del Estado EXCEPCIONES CESIÓN Para el cumplimiento de los fines entre cedente y cesionario Responsabilidad solidaria: responden por inobservancias legales y reglamentarias Cuando se hayan disociado los datos antes de la cesión Datos de salud por razones de salud pública, emergencia, etc)

23. ASPECTOS RELEVANTES DE LA LEY 25.326 Consulting Project DERECHOS DE LOS TITULARES CONTENIDO DE LA INFORMACIÓN (Art. 15) DERECHO DE RECTIFICACIÓN, ACTUALIZACIÓN O SUSPENSIÓN (Art. 16) DERECHO DE BLOQUEO (Art. 27) DERECHO DE ACCESO (Art. 14) Administrativas Penales (Art. 117 Bis y 157 Bis Código Penal) SANCIONES ORGANO DE CONTROL

24. ELEMENTOS DEL “DATO PERSONAL” Referido a personas identificadas o identificables Comprende información de carácter numérico Tratamiento de datos Dirección IP: información numérica Entidad tratante Relacionarla con una persona física DATO PERSONAL LA DIRECCIÓN IP COMO DATO PESONAL Consulting Project

25. EL SERVICIO WHOIS DEFINCIÓN: Servicio de informar datos sobre un nombre de dominio Polémica Qu é datos se debe pedir al solicitante Qué d atos se deben poner a disposición del público y como hacerlo Grupo de Trabajo del Art. 29 Dictamen 2/2003 Consulting Project ICANN Solicitante Empresa vs. Particular Publicación del nombre vs. Principio de Oposición Publicación de “domicilio” y “teléfono” vs. Derecho de aparición en Guía Actuación del Proveedor de Servicio como intermediario Aplicación de las Directivas sobre Protección de Datos Limitación del acceso masivo con fines de marketing directo Preocupación del WHOIS = Guía inversa POSIBILIDAD DE REGISTRAR NOMBRES DE DOMINIO SIN PUBLICACIÓN DE DATOS PERSONALES Desde 1999, ICANN fue la encargada de fijar las Políticas para el Whois. Solicitante de un nombre de dominio debe proveer información exacta, actualizada y accesible Grupo de Trabajo de WHOIS de ICANN definió 2 posturas Sony, eBay, etc y el Grupo de Incumbencia de Propiedad Intelectual votaron la postura amplia El el Consejo General sobre Nombres de Dominio de ICANN recomendó (al 12 de noviembre de 2006) la adhesión a la postura restringida

26. EL SERVICIO WHOIS Consulting Project

27. EL SERVICIO WHOIS PREGUNTAS A REALIZAR PARA DEFINIR UNA POLÍTICA DE WHOIS Consulting Project Los datos solicitados por el Registro requieren del consentimiento informado de su titular ? Es el titular de los datos informado adecuadamente sobre la finalidad de los datos recabados ? Excede el tratamiento de esos datos la finalidad para la cual fueron recabados ? Es el Registro una base de dato de acceso público irrestricto ? Qué datos NO requieren el consentimiento informado de su titular ? (Art. 5º Ley 25.326: Nombre, DNI, Identificación tributaria o previsional, Ocupación, Domicilio y Fecha de Nacimiento) Le cabe al Registro como responsable del banco de datos aplicar las medidas de seguridad ? Es el número de teléfono un dato que requiera el consentimiento de su titular para ser incluido en una base de datos ?

28. AGENDA Aspectos de la Seguridad en Internet La Protección de Datos y de la Propiedad Intelectual en la Sociedad de la Información Conclusiones Preguntas “ ASPECTOS CLAVE DE LA SEGURIDAD EN INTERNET” Consulting Project

29. CONCLUSIONES Y PROPUESTAS CONCLUSIONES Mesura y racionalidad al imponer obligaciones a los proveedores de servicios de información y telecomunicación para la protección eficaz de los usuarios. Consulting Project El principio de autodeterminación informativa es un elemento esencial de la protección a la intimidad. Una política de seguridad debe considerar tanto la infraestructura como la información. Delitos informáticos son actividades profesionalizadas Es importante repensar cuál es el objetivo que se quiere para el WHOIS

30. ¡ Muchas Gracias ! Consulting Project Consultas: [email_address] url: www.consultingproject.com.ar