jueves, 10 de julio de 2008

RELACIONES PUBLICAS en Internet. Escribe Gustavo Averbuj (papá de Camila) para el Proyecto PAPá de CTS.

RRPP no es repartir tarjetas para boliches, sino ayudar a que una organización (por ejemplo: una empresa, una Organización no gubernamental o una escuela) se comunique con gente que le interesa (con un target). En argentina trabajamos para marcas como Hilton Buenos Aires, Nokia, Cadbury, Rexona o Ala, entre otras.
Una de las maneras de hacer mas conocida una marca o empresa o sus productos es es a través de la prensa. Pero en los últimos años ha crecido exponencialmente una nueva manera: Social Media

¿Qué es social media?

Son medios de comunicación creados por los propios consumidores, pacientes, individuos, expertos (y, a veces, periodistas) que utilizan como via internet.
Blogs, foros, sites, vienen a sumarse a la canasta de medios de comunicación pero con una mirada distinta. Aprovechan el bajo costo de distribución para generar contenidos accesibles a todos. Hoy 3 de cada 10 interacciones con la red son de social media (incluyendo fotologs, myspace, etc.)
Hoy cualquiera produce información y noticias. La democracia de Internet todo lo iguala y, cuando googleamos una palabra, un nombre o una marca, por debajo de la cita en Infobae profesional aparece (con igual peso) la de mi blog personal que solo lee mi familia.
En algunos temas, como salud, esto puede ser sumamente peligroso. Si buscas en internet informacion acerca del Cancer, junto a importantes sitios de pacientes o de sociedades medicas del mundo te van a aparecer curas milagrosas y estafadores que juegan con la fe de la gente.

Comunicaciones tradicionales vs. Internet

Hay un diferencia fundamental en el manejo de las comunicaciones en ambos mundos, el real y el virtual: Las reglas de juego son distintas .

En internet…
· No hay derecho a réplica (ni obligación alguna de otorgarlo)
· No hay reglas uniformes ( no se requieren dos fuentes para publicar una noticia)
· La opinión es tan fuerte como los hechos (nadie pide a un blogger saber cuanto es cierto y cuanto no y de hecho se valora extremadamente la subjetividad)
· El emisor no tiene porque ser conocido ni creíble , de hecho, muchos son solo conocidos por sus apodos como “El Enmascarado” de primiciasya.com.ar
· Sobrevive para siempre (no hay manera de borrar algo de Internet).

Nosotros en Ketchum , desde hace ya tiempo hemos creado una división que se encarga de ayudar a las empresas en este tipo de comunicaciones y entiende cómo defenderse de ataques de este tipo. En principio incorporamos gente de este mundo (ex bloggers, gamers, gente web 2.0) como Alejo Zagalsky (gamer, editor de themagictutor.com.ar un sitio para jugadores de Magic). Con ellos desarrollamos estrategias de respuesta a complejos problemas como , por ejemplo, los mitos urbanos que circulan en Internet. Uno de los cuales siembra la falsa idea que Nokia, uno de nuestros clientes, regalará celulares si se envía una cantidad de mails a alguna dirección. Pero hay muchos mas como el robo de órganos, los pedidos para chicos (de hecho red solidaria había creado un sitio solo para verificar la veracidad de los pedidos hechos en su nombre) o los artículos de consumo habitual que producirían cáncer o tienen efectos secundarios “escondidos” por las compañías que los producen.
Es importante tratar de respetar el código y los medios originarios. Esto es, a primera vista, si algún rumor circula por Internet es imprescindible que, al menos Internet, haya una fiable y concreta respuesta al mismo. Lo que no quita que una compañía decida, al igual que alguna vez hizo Tylenol, tener una sobre-reacción y aprovechar un oportunidad de comunicación para reforzar sus mensajes. Habran visto los avisos televisivos de Pancho Ibáñez para Actimel.
Hoy, no se puede pensar en comunicación sin integrar Internet. Pero no solo con un discurso publicitario (esto es tengamos una web para que la gente nos conozca) sino también estar abiertos al diálogo y mantener el radar abierto para conocer lo que se dice acerca de nosotros y poder contestarlo.


Gustavo Averbuj
CEO
Ketchum Argentina

Muchas Gracias!!!
CMT

martes, 1 de julio de 2008

LA NUEVA LEY 26.388, DE DELITOS INFORMATICOS. Escribe el Dr. Heriberto Simón Hocsman (papá de Jessica), para el Proyecto PAPá de CTS.

El Congreso de la Nación después de un largo trabajo ha respondido a los innumerables reclamos de la sociedad respecto al vacío en que se encontraba nuestra legislación Penal en materia de delitos Informáticos, dictando la Ley 23.688 que fue publicada el Miércoles 25 de Junio del corriente año 2008 en el Boletín Oficial Nro: 31.433.-

Así lo expresé en muchísimas oportunidades y en especial en cuatro artículos que se publicaron en Infobae Profesional en Internet: “Vacío Legal en normas de Seguridad Informática” 30/03/06."Reclaman leyes expresas que tipifiquen los delitos informáticos", publicado el 17/05/06. "Preocupa Ignorancia de Abogados sobre Delitos informáticos" publicado el 8/05/06 y “Reclaman la tipificación de los delitos informáticos”, publicado el 18/05/06.

La situación en Argentina era insostenible, nos encontrábamos totalmente desprotegidos y en la manos de los ciberdelicuentes.
Es muy importante destacar que nuestro sistema Penal se basa fundamentalmente en que las conductas criminales “Delitos” deben ser expresadas en la ley y que esta tiene que estar vigente y ser conocida por todos (Publicación en el Boletín Oficial) en fecha anterior a la comisión de dicha conducta.-
Esto quiere decir que nadie puede ser acusado por un delito que no surge como tal por una ley de fecha anterior a la comisión de esa conducta.-
Por otra parte nuestro Derecho Penal no permite la aplicación de criterios analógicos, ni deductivos ni inductivos en la interpretación de la ley por parte de los Jueces.
Esto quiere decir que la descripción de la conducta criminal a la que llamamos Tipo Penal debe ser expreso y claro por ejemplo “el que matare a otro……..-
Nuestro Código Penal se desarrolla con Tipos Penales cerrados sin que exista la posibilidad de encontrar tipos abiertos, esto garantiza la seguridad del acusado de que la conducta que se le imputa debe coincidir exactamente con el tipo penal que es la descripción de la conducta criminal.-

Para que no quede ninguna duda, nuestro Código Penal antes de esta ley de Delitos informáticos en su Art. 153 del C.P. se refería a violación de correspondencia pero no decía nada de comunicación electrónica como dice ahora: “o se apoderare indebidamente de una comunicación electrónica, una carta, un pliego, un despacho u otro papel privado, aunque no esté cerrado; o indebidamente suprimiere o desviare de su destino una correspondencia o una comunicación electrónica que no le esté dirigida”.

Con la ausencia de esa expresión en la redacción de la ley, todos los delincuentes que cometían ese delito no podían ser sancionados y esto era lo que hacía imprescindible la sanción de una nueva ley que completara nuestra legislación Penal.-

Esto es lo que se intento realizar con la Ley 23.688 que a mi criterio es una respuesta insuficiente a las necesidades actuales, pero es un principio de solución que seguramente se verá completada en un futuro cercano por otras leyes.-

Es importante para analizar este tema recordar los principios de aplicación de las leyes, del Derecho Penal y del Derecho Civil.-

En materia de aplicación de las leyes nuestro Código Civil Art. 3, no permite en principio la retroactividad de la aplicación de las leyes y el Código Penal en su Art. 2 dispone que siempre se debe aplicar la ley mas benigna esto significa que si al tiempo de realizarse la conducta criminal existiere una ley y luego se modificara por una mas benigna siempre se aplicara la ley mas benigna.-
Todas estas disposiciones se derivan de la Constitución Nacional en su art. 18 que dice: “ningún habitante de la Nación puede ser penado sin juicio previo fundado en ley anterior al hecho del proceso……………..”-

En mi trabajo denominado “MÉTODOS PARA PROTEGER OPERACIONES COMERCIALES EN INTERNET” publicado 06-10-2006, sostenía que hay varios sistemas que se desarrollaron para combatir los problemas de inseguridad en las redes abiertas y que previenen infracciones informáticas así los clasificaba en distintas áreas a saber:.
Sistemas de análisis de vulnerabilidades (penetration test).
Sistemas de protección a la privacidad de la información (Pretty good privacy).
Sistemas de protección a la integridad de la información (Criptografía).
Ingeniería social (información a los contratantes de los sistemas de protección implementados).

Estos métodos se originaron a partir de ciertos hechos técnicos informáticos que han logrado la reacción de la ciencia jurídica, estableciendo reglas claras sobre los derechos y deberes de las partes. El primer impulso fue dado con la sanción de la ley 25.506 sobre firma digital, que regula todo lo atinente a la criptografía.
Amenazas al sistema y su protección
Las redes abiertas generan un ambiente propicio para estimular los ataques y amenazas de terceros. Una amenaza podría definirse como “una condición del entorno del sistema de información (persona, máquina, suceso o idea) que, dada una oportunidad, podría lugar a que se produjese una violación de la seguridad (confidencialidad, integridad, disponibilidad o uso ilegítimo)”[2].
La Ley de delitos Informáticos dá una nueva interpretación obligatoria a ciertos términos:
Artículo 77 del Código Penal: El término “documento” comprende toda representación de actos o hechos, con independencia del soporte utilizado para su fijación, almacenamiento, archivo o transmisión.Los términos “firma” y “suscripción” comprenden la firma digital, la creación de una firma digital o firmar digitalmente.Los términos “instrumento privado” y “certificado” comprenden el documento digital firmado digitalmente.
Las amenazas a los sistemas de información afectan a cada uno de los elementos esenciales de la seguridad, configurándose cuatro categorías de ataques:
· a) Interrupción: esa amenaza ataca a la disponibilidad, destruyendo un recurso o volviéndolo indisponible. Ejemplos de esto son la destrucción del disco duro, coarta la comunicación o afectar el acceso a cierta información.
Art. 153 del Cod.Penal: “o se apoderare indebidamente de una comunicación electrónica, una carta, un pliego, un despacho u otro papel privado, aunque no esté cerrado; o indebidamente suprimiere o desviare de su destino una correspondencia o una comunicación electrónica que no le esté dirigida”.
· Art. 183 del Cod. Penal En la misma pena incurrirá el que alterare, destruyere o inutilizare datos, documentos, programas o sistemas informáticos; o vendiere, distribuyere, hiciere circular o introdujere en un sistema informático, cualquier programa destinado a causar daños.
· Artículo 184 Cod. Penal: La pena será de tres (3) meses a cuatro (4) años de prisión, si mediare cualquiera de las circunstancias siguientes:………
· 5. Ejecutarlo en archivos, registros, bibliotecas, museos o en puentes, caminos, paseos u otros bienes de uso público; o en tumbas, signos conmemorativos, monumentos, estatuas, cuadros u otros objetos de arte colocados en edificios o lugares públicos; o en datos, documentos, programas o sistemas informáticos públicos;
· 6. Ejecutarlo en sistemas informáticos destinados a la prestación de servicios de salud, de comunicaciones, de provisión o transporte de energía, de medios de transporte u otro servicio público.
·
· b) Intercepción: este ataque afecta la confidencialidad., ya que se produce mediante el acceso al sistema por una entidad no autorizada. Puede darse tanto por una interceptación ilícita de datos, como la copia ilícita de un programa, o mediante la interceptación de una identidad.
Art. 153 del C.P. se refería a violación de correspondencia pero no decía nada de comunicación electrónica como dice ahora: “o se apoderare indebidamente de una comunicación electrónica, una carta, un pliego, un despacho u otro papel privado, aunque no esté cerrado; o indebidamente suprimiere o desviare de su destino una correspondencia o una comunicación electrónica que no le esté dirigida”.
· Artículo 197: Será reprimido con prisión de seis (6) meses a dos (2) años, el que interrumpiere o entorpeciere la comunicación telegráfica, telefónica o de otra naturaleza o resistiere violentamente el restablecimiento de la comunicación interrumpida.

· c) Modificación: esta amenaza incide en la integridad de la información, ya que se accede a la información y se la manipula. Verbigracia, el cambio de valores o del contenido de una base de datos o de un mensaje.

· Artículo 183 del Código Penal, el siguiente:En la misma pena incurrirá el que alterare, destruyere o inutilizare datos, documentos, programas o sistemas informáticos; o vendiere, distribuyere, hiciere circular o introdujere en un sistema informático, cualquier programa destinado a causar daños.
· Artículo 184: La pena será de tres (3) meses a cuatro (4) años de prisión, si mediare cualquiera de las circunstancias siguientes:
· 5. Ejecutarlo en archivos, registros, bibliotecas, museos o en puentes, caminos, paseos u otros bienes de uso público; o en tumbas, signos conmemorativos, monumentos, estatuas, cuadros u otros objetos de arte colocados en edificios o lugares públicos; o en datos, documentos, programas o sistemas informáticos públicos;6. Ejecutarlo en sistemas informáticos destinados a la prestación de servicios de salud, de comunicaciones, de provisión o transporte de energía, de medios de transporte u otro servicio público.
·
· d) Fabricación: en este tipo de ataque se afecta la autenticidad de los datos, mediante la introducción de objetos falsificados en el sistema.
· Esto se encuentra protegido por los arts. 183, 184 antes mencionados y 292 y subsiguientes y concordantes.-

Por ende, los sistemas de seguridad desarrollados buscan proteger a los sistemas informáticos de las amenazas básicas que deben enfrentar. Desde otra visión, “las amenazas pueden clasificarse en cuatro categorías básicas:
Pérdida de integridad de los datos.
Pérdida de la privacidad de los datos.
Pérdida de servicio.
Pérdida de control". [3]
La pérdida de integridad de los datos se vincula con el acceso de terceros al sistema con la intención de crear, modificar o eliminar información contenida en el software de la computadora. La pérdida de la privacidad de los datos se vincula con el acceso al sistema de personas no autorizadas. La pérdida de servicio se relaciona con la interrupción del servicio por las acciones de los hackers. La pérdida de control ya implica un acceso de personas no autorizadas que utilizan los servicios sin ningún tipo de control.
Estas amenazas pueden tener distintos objetivos y utilizar distintos métodos. Si clasificamos a estos métodos por el objetivo que persiguen, se pueden diferenciar amenazas que sólo buscan dañar el sistema y otras que buscan la obtención de información confidencial.
En ciertas circunstancias, la única intención del hacker es producir un daño en el sistema. Uno de los modos de producir este daño es mediante la implementación de un procedimiento denominado “denial of sevice”, que impide el acceso a los usuarios autorizados, atacando las aplicaciones o los sistema operativos, bloqueando las condiciones de operación. En otras ocasiones, el objetivo del hacker es obtener información confidencial de las partes mediante el monitoreo de las comunicaciones. Así, es posible obtener información confidencial y claves de las partes. También se puede obtener información confidencial mediante el robo del software o hardware.

Estas amenazas pueden producirse mediante la utilización de diferentes armas [4]:
· a) Virus: son fragmentos de código que se multiplican para ingresar en un programa o que lo modifican.
· b) Gusanos: son programas independientes que pasan de una computadora a otra.
· c) Troyanos: son fragmentos de código que se ocultan en los programas y desempeñan funciones no deseadas.
· d) Bombas lógicas: tipo de troyano que suelta un virus o un gusano.
· e) Bombas de EMP: destrucción de los componentes electrónicos de todas las computadoras mediante la detonación nuclear y no nuclear.
· f) Jamming: entorpecimiento de la comunicación del enemigo mediante la emisión de ruidos electrónicos.
· g) Chipping: reemplazo de los chips estándar por troyanos.
· h) Falsificación: e-mails y paquetes de TCP/IP falsificadas que violan las firewalls y otras medidas de seguridad.
· i) Nano máquinas: pequeños robots que atacan el hardware del enemigo.
· j) Puertas traseras: mecanismos que permiten a los atacantes ingresar en un sistema sin que los detecten los ámbitos de seguridad.
· k) Ingeniería social: adopción de una falsa identidad para obtener información por teléfono, fax o e-mail.

Las armas mencionadas arriba son utilizadas en lo que se denomina “guerra de la información”. El blanco de estos ataques pueden ser: personas físicas, personas jurídicas, organismos gubernamentales y hasta estructuras globales. Estos ataques han llevado al desarrollo de métodos para protegerse y defenderse de dichos ataques[5] :
· a) Contraseñas: los sistemas informáticos de empresas deben contener contraseñas complejas, difíciles de violar, y realizar auditorías y cambios frecuentemente.
· b) Red: si se detectan vulnerabilidades en el sistema se debe realizar una nueva configuración de la misma, complementado con auditorías periódicas.
· c) Parches: se debe tomar precauciones como suscribirse a las listas de correo electrónico que informan sobre seguridad e informarse sobre las nuevas fallas que presenta el sistema.
· d) Auditoría: los sistemas y archivos de registro deben ser verificados regularmente.
Los medios más frecuentes de protecciónHay varios sistemas que se han desarrollado para combatir los problemas de inseguridad que se generan en las redes abiertas y que ayudan a prevenir la comisión de infracciones informáticas. James Whitcom Riley [6] desarrolla los cuatro medios principales utilizados:

FirewallEste sistema fue creado para prevenir el acceso no autorizado desde o hacia una red privada, y es considerado el primer mecanismo de defensa en la protección de información privada, aunque para lograr un mayor grado de seguridad sea necesario recurrir a la encriptación. Su uso más frecuente es prevenir que usuarios de Internet que no se encuentran autorizados puedan acceder a redes privada de Intranet. De esta manera, todos los mensajes que salen o entran de la red Intranet deben pasar por el firewall (o "pared de fuego"), que examina el mensaje y bloque aquellos que no cumplen con su estándar de seguridad. El sistema firewall puede ser instalado en el hardware, en el software o en ambos.
Las principales técnicas de firewall utilizadas son:
· 1) Packet filter: examina cada "paquete de información" que entra o sale de la red y los acepta o rechaza basandose en las reglas de usuario establecidas. Si bien este sistema resulta bastante efectivo y transaparente para los usuarios, presenta dificultades en su configuración.
· 2) Application Gateway: proporciona mecanismos de seguridad a ciertas aplicaciones específicas, como FTP o Telnet. Si bien es un sistema eficiente, puede degradar el funcionamiento del sistema.
· 3) Circuit-level gateway: proporciona mecanismos de seguridad para el establecimiento de conexiones TCP o UDP. Una vez que la conexión se encuentra terminada, los "paquetes de información" pueden ir de un servidor al otro sin corroboraciones posteriores.
· 4) Proxy-server: intercepta todos los mensajes que entran y salen de la red, ocultando las direcciones originales. En muchas ocasiones dos o más de estas técnicas son utilizadas. Se debe resaltar que para lograr una mayor seguridad es preferible utilizar otros medios.
PGPEste es un programa que permite dotar de privacidad al correo electrónico, mediante el mecanismo de encriptar el mensaje posibilitando que sólo el destinatario pueda leerlo. También se puede utilizar este sistema para firma digitalmente sin encriptar el mensaje, como en el caso que no se desea ocultar la información pero quiere que los demás sepan de quien proviene el mensaje. Si se crea una firma digital, es imposible modificar el mensaje o la firma sin que el hecho se pueda detectar. Si bien el sistema PGP parece encriptado, no lo está en realidad, y cualquier persona podría recuperar el texto original. En cambio en sistemas que utilizan la encriptación, como la firma digital, sólo el que posee la clave privada puede recuperar el texto original.

IPSECEste es un protocolo desarrollado por la IETF para asegurar el intercambio seguro de "paquetes de información" en la faja IP. Se ha desarrollado principalmente para implementar el VPN (Virtual Private Networks). El IPSEC utiliza dos métodos de encriptación: Transport y Tunnel. El método Transport encripta solamente la porción de información del paquete, pero no el "header". Por otro lado, el método Tunnel encripta ambos, la información y el "header". Del otro lado, el dispositivo IPSEC desencripta el "paquete de información" enviado. Para que el sistema funcione, ambos dispositivos, el de envío y el de recepción, deben compartir la misma clave pública. Esto se acompaña por un protocolo conocido como ISAKMP/Oakley (Internet Security Association and Key Management Protocol/Oakley) que permite que el receptor obtenga la clave pública y autentique al que lo envía utilizando un certificado digital.

PKIEl sistema del Public Key Infrastructure (Infraestructura de Clave Pública) se compone de Autoridades de Certificación, que emiten certificados digitales, y otras autoridades de registro que verifican y autentican la identidad de las partes que realizan sus transacciones por Internet. Este es el sistema de seguridad más seguro de los desarrollados hasta el momento.Heriberto S. Hocsman es director de Hocsman Abogados http://www.hocsman.com/ y autor del libro "Negocios en Internet".

Notas:
[1] Hance Oliver. Leyes y negocios en Internet. Editorial Mc Graw-Hill.
[2] Clasificación y tipos de ataques contra sistemas de información.http://www.delitosinformaticos.com/
[3] Amor, Daniel. La (R)evolucion E-Business. Editorial Prentice Hall
[4] Utilizando las definiciones de Daniel Amor en “La (R)evolucion E-Business”. Editorial Prentice Hall
[5] Siguiendo la clasificación de Daniel Amor en “La (R)evolucion E-Business”. Editorial Prentice Hall
[6] James Whitcom Riley. http://www.howthtech.com/

Dr. Heriberto Simón Hocsman

Muchas Gracias!!!
CMT