Netflix es uno de los lanzamientos más esperados para el 2012 en Europa. Esta startup ya ha probado su éxito, con buenas y malas rachas, en territorio americano, donde tiene una buena base de usuarios y alianzas que hacen que sus contenidos sean de calidad y hayan hecho posible la apertura en otros territorios.

Como ya ha pasado con muchos otros servicios, Reino Unido es la puerta de entrada en Europa, y pese a que ya se haya anunciado el lanzamiento en otros países como España, los británicos serán los primeros en probar un producto que podría cambiar el consumo de contenidos, o al menos incentivar los nuevos medios de distribución, también en el viejo continente.

Os lo contaba hace algún tiempo, Netflix firmó un acuerdo que le permitía distribuir de forma exclusiva los contenidos de Metro Goldwyn Mayer en Reino Unido, asegurando que ellos serían el único servicio en poder ofrecer a sus usuarios películas y series de alta calidad de la distribuidora. Por si fuera poco, la startup acaba de anunciar que para el lanzamiento estarán cogidos de la mano con BBC, la cadena más importante de Reino Unido.

El trato incluye la distribución –y disfrute por los usuarios que se abonen—de series como Torchwood, Spooks o las ya clásicas Fawlty Towers y Miss Marple. De momento, poco más se sabe, ya que ninguna de las partes ha comentado los datos del acuerdo.

El caso de Carrier IQ ha sido uno de los últimos escándalos del año en cuanto a privacidad de usuarios y recogida de datos se refiere. Un claro caso de espionaje masivo en la red en el que todavía hay mucho desconocimiento, aunque lo que sí se sabe es que hay muchos implicados, y varios de ellos serían compañías de las grandes. Operadores, fabricantes…

Y eso es lo que tratarán de esclarecer las diferentes comisiones encargadas de la investigación. En Europa diversas organizaciones como la Oficina del Estado Bávaro para la Protección de Datos ha enviado una nota directamente a Apple preguntándole por su implicación y los motivos para que esta pieza de software esté incluida en iOS.

Thomas Kraning, el presidente de la oficina de protección mencionada, ha asegurado que lo más importante para ellos es que los usuarios sepan exactamente como se usan sus datos, y que si no lo saben ahí hay un gran problema de privacidad. No se han querido especificar los contenidos de la nota enviada a Apple, pero sí que la empresa de la manzana tendría un plazo de 2 semanas para especificar previas a que seguramente se tomen acciones legales. Por otra parte, la ICO, La Oficina de Comisión de Información de Reino Unido, ha anunciado que contactará con los operadores de telefonía móvil directamente para ver si Carrier IQ o algún otro software similar afecta a los usuarios del territorio.

Habrá que esperar para saber más datos, los cuales van surgiendo poco a poco, de un asunto que afecta aproximadamente a 141 millones de terminales en todo el mundo.

Hace escasamente unas horas, la que es una de las mayores legisladores de Europa, Viviane Reding, ha propuesto a la Union Europea la armonización de las reglas de privacidad vigentes de cara a que las compañías de Internet operen siempre bajo las mismas normas y leyes, y las políticas de protección de datos se conviertan en una sola y estándar. La idea es muy buena ya que permitiría a las empresas disfrutar de los mismos derechos y obligaciones independientemente del país de la Unión Europea en el que ofrezcan sus servicios, y de hecho tan sólo bastaría que uno de los países aprobara su política de protección de datos para que operase de forma legal.

Viviane Reding es la vicepresidente de la Comisión Europea, y su propuesta viene a dar una solución a las trabas que se encuentran las startups, obstáculos que tienen que sortear y que datan de unas normas de privacidad aprobadas hace casi 15 años, en 1995, cuando Internet empezaba a despegar a gran escala. Los beneficios no son sólo burocráticos sino que permitirían ahorrar dinero a la Unión Europea, con unos costes que actualmente ascienden a 2.300 millones de euros al año debido a que hay 27 agentes reguladores –cada uno de los países, vamos—.

La propuesta está encima de la mesa, pero paradójicamente y aunque previsiblemente ahorraría unos cuantos miles de euros a las arcas del organismo, no parece probable que se vaya a tener en cuenta en un futuro inmediato debido a la situación de disconformidad y de crisis económica en la que nos encontramos.

Pase lo que pase habrá que esperar al desglose del plan, que llegaría en las primeras semanas del año que viene, y tendría el claro apoyo del sector de compañías que operan en Internet, que llevan años pidiendo un cambio que les haga operar de una forma más sencilla y, en definitiva, más acorde a los tiempos en los que vivimos.

Una de las grandes fuentes de ingresos de Facebook es la publicidad en su red social, pero no una publicidad cualquiera sino una publicidad totalmente dirigida según los datos que los usuarios publican en sus perfiles, una información de gran valor para las empresas y a la que la red social de Mark Zuckerberg sabe sacarle bastante partido. Ante esta compra-venta de datos, autoridades y usuarios han mostrado su preocupación ante la indefensión que sufren ante unos datos almacenados en Estados Unidos y que escapan de su control; tanto es así que la Unión Europea presentó en enero una directiva que podría poner en jaque a Facebook e, incluso, sancionarla económicamente.

Salvo que los usuarios lo permitan de manera específica, la nueva Directiva Europea no permitirá que este tipo de venta de datos se produzca y, por tanto, esta nueva legislación podría suponer una importante barrera al modelo de negocio de Facebook y a la forma que tiene de hacer dinero (que incluso podría afectar a los rumores de salida a bolsa que apuntan a que, quizás, 2012 sea el año en el que Facebook se lance al mercado bursátil).

Según la Vicrepresidenta de la Comisión Europea, Viviane Reding, la nueva legislación europea en materia de protección de datos garantizará los derechos de los usuarios y penalizará a las empresas infractoras:

Hago un llamamiento a los proveedores de servicios, especialmente a las redes sociales, para ser más transparentes acerca de cómo funcionan y, por tanto, los usuarios conozcan qué datos son recogidos y procesados y con qué fines. […] Los consumidores en Europa debería ver sus datos fuertemente protegidos, independientemente del país de la UE en el que vivan y con independencia del país en el que las empresas que tratan sus datos personales se hayan establecido

La información procesada por Facebook no se limita a los datos facilitados en el perfil (aficiones, edad, sexo, creencias religiosas o afinidad política), sino que también se aprovechan los datos de la propia actividad del usuario (música en Spotify, los “me gusta” que marca o las relaciones familiares-amistosas que establece con otros usuarios del servicio) o las palabras clave que utiliza en las búsquedas. Según la Comisión de trabajo en Protección de Datos de la Comisión Europea, la gran mayoría de usuarios no es consciente de la cantidad de información personal que fluye a través de Facebook y cómo termina esta en manos de los anunciantes.

De todas formas, Facebook le quita hierro al asunto y llama a la calma:

Entendemos que la gente comparte un montón de información en Facebook y nos tomamos esto muy en serio. Creemos que los anuncios que son relevantes y su personalización basada en las preferencias de cada usuario los hace mucho mejores. Mostramos anuncios relevantes respetando la privacidad individual, ofreciendo a nuestros anunciantes información anónima y agregada para orientar los anuncios sin desvelar los nombres de las personas

El cambio del marco regulatorio europeo, como poco, debería forzar un cambio en la forma de actuar de Facebook, haciéndola algo más transparente en cuanto al procesado de datos personales se refiere. ¿Lo cumplirán? El tiempo nos lo dirá.

Aunque no os lo contamos, hace unas semanas Spotify, el servicio de reproducción músical vía streaming por excelencia y uno de nuestros servicios favoritos, veía la luz en un nuevo país: Dinamarca. El país escandinavo se unía así a otros como España, Suecia o Finlandia, ya que como sabéis la lista es limitada por el momento, a diferencia de Grooveshark, que está disponible a nivel mundial. Las dificultades para el lanzamiento vienen por parte de las discográficas. Hay que firmar acuerdos para asegurarse de que todo lo que podemos encontrar es legal, y un lanzamiento previo con un catálogo menor podría no ser una buena idea ya que la primera impresión es la que más cuenta.

Hoy Spotify ha confirmado el lanzamiento inminente de la plataforma en 3 países nuevos: Austria, Bélgica y Suiza. No se han dicho fechas, y tan sólo se habla de próximamente, pero en algunos sitios indican que el lanzamiento podría producirse incluso esta misma semana. Además le seguirán otros países. Hace meses el startup sueco comenzó a ofrecer puestos de trabajo en Alemania, Singapur, Hong Kong y Nueva Zelanda además de Austria, lo que indica que el lanzamiento estaría de nuevo muy próximo.

Desde aquí no puedo hacer otra cosa que alegrarme y felicitar a Spotify, ya que parece que desde que lanzaron el servicio en Estados Unidos –mediante invitaciones—el duro camino de las firmas con los sellos discográficos se les ha hecho más fácil, y poco a poco vemos como se expande por diversos territorios, especialmente Europa, su continente natal.

Teniendo en cuenta la colección de quejas y procesos que tiene Google abiertos en Europa, iba siendo hora de que la Comisión Europea comenzase a estudiar los casos y publicase un dictamen al respecto. Curiosamente, los reguladores europeos aún no lo ven tan claro que Google haya abusado de su posición dominante infringiendo las normas que regulan la competencia y, por ahora, no encuentran indicios que hagan pensar lo contrario a que Google, simplemente, domina el mercado.

¿Dominar el mercado o abusar de la competencia? Bueno, el año pasado la Comisión Europea abrió una investigación después de que varias empresas competidoras (encabezadas por Microsoft) acusasen al gigante de las búsquedas de prácticas monopolísticas que, básicamente, fastidiaban al resto. Durante una conferencia en Florencia, el Comisario de la Competencia, el español Joaquín Almunia comentó algunos detalles sobre el caso:

Dentro de nuestra actual investigación, estamos intentando determinar si la compañía ostenta una posición dominante en las búsquedas de Internet. […] Google es el buscador preferido de muchos de nosotros; pero el dominio no es lo mismo que el abuso de dominio. El abuso de dominio es una conducta que protege o extiende el dominio por medios ilegítimos, y aún tenemos que concluir si ese es el caso de Google

Dicho de otra forma, parece que aún no han sido capaces de determinar si Google, simplemente, tiene éxito o, además de tenerlo, se dedica a “empujar a la cuneta” a su competencia. La gran mayoría le acusa de manipular los resultados y “bloquear” sitios web que también ofrecen servicios de búsquedas o directorio. Google siempre se ha mantenido en la misma postura y siempre se ha escudado que el servicio es suyo y, además, no cobra por usar el buscador. El Comisario también planteó este hecho durante su ponencia porque, precisamente, es uno de los puntos clave de esta investigación:

Necesitamos considerar con cuidado en nuestro análisis el hecho de que la compañía opera una plataforma con dos vertientes, donde la publicidad financia un servicio por el que los usuarios no tienen que pagar

Según planteó el Comisario, es fundamental determinar si Google realmente ostenta una posición desde la que es capaz de influir en el comportamiento y hábitos de los internautas. De cumplirse esto, la Comisión podría sancionar a Google con un 10% de su facturación anual, una cantidad nada despreciable.

Las cookies de la web nada tienen que ver con las dulces galletas y tan sólo comparten el nombre. Son trazas de información que se generan a partir de la navegación que realizamos. Aparentemente inofensivas, estas trazas son una importante fuente de información para empresas de publicidad online, aplicaciones estadísticas, para el seguimiento de la actividad de alguien, segmentar usuarios y, en casos extremos, espiar a alguien y violar su privacidad. El abuso en la utilización de las cookies está llevando, por ejemplo, a la Unión Europea y a sus países miembros a aplicar una nueva regulación mucho más dura con las empresas de contenidos y que, de verdad, garantice la privacidad de los usuarios.

Vamos a intentar ilustrar cómo funcionan estas trazas y dónde reside esta problemática que tanto preocupa a usuarios y autoridades.

¿Qué son las cookies?

Las cookies son trazas de información que se almacenan en el disco duro de un usuario y que se generan mientras navega por la web, es decir, conforme se van realizando peticiones a los servidores web y que, posteriormente, pueden ser recuperadas por los servidores en posteriores visitas.

Estas trazas fueron una idea de Lou Montulli, un antiguo empleado de Netscape Communications, que vio que el protocolo HTTP no era capaz de mantener información, por ejemplo, la página de la que venía, las credenciales de sesión de un usuario o sus preferencias, algo que obligaba que estos datos fuesen incluidos en la URL (lo cual no era nada seguro) o guardar estas preferencias en algún archivo que pudiese ser enviado al servidor cuando hiciese falta.

La idea era mantener la sesión de los usuarios (usuario-contraseña, preferencias, etc), obtener información sobre la navegación de los usuarios (páginas visitadas, tiempo de navegación, página de entrada, página de salida, etc) pero, realmente, la aplicación original era el comercio electrónico porque, así, se podía mantener en la cesta de la compra los elementos que se habían seleccionado durante la navegación por la tienda virtual.

¿Para qué sirven?

En el mundo de la web las cookies se utilizan habitualmente para segmentar muy bien a los usuarios y ofrecer una respuesta personalizada:

• Identificación de usuarios, es decir, cookies de sesión que mantienen activa la sesión en un servicio web y que, por ejemplo, permite que no tengamos que introducir nuestro usuario y contraseña cada vez que entramos en Facebook (si no hemos hecho un logout). Además, gracias a esta identificación activa, muchos sitios web pueden presentarnos un entorno personalizado o adaptado a una configuración que hemos personalizado (por ejemplo iGoogle).

• Seguimiento de usuarios, es decir, un track que sirve para analizar la navegación que realiza un usuario, por ejemplo, para un análisis estadístico. Las cookies, en general, son el fundamento para herramientas de analítica web como Piwik o Google Analytics y ofrecen información de las páginas que hemos visitado, de dónde procedemos, la resolución de nuestra pantalla, el navegador o el sistema operativo que estamos utilizando.

• La Segmentación es otro de los usos derivados de las cookies y, por ejemplo, permite a las empresas de anuncios obtener información de las preferencias, navegación realizada o los sitios web visitados. Toda esta información puede procesarse y obtener una interesante segmentación de usuarios que permita optimizar el lanzamiento de campañas de publicidad online.

Falsos mitos

Visto así, podría pensarse que las cookies son peligrosas. Realmente no lo son, sin embargo, mal utilizadas sí que pueden obtener más información de la que debieran. Quizás por desconocimiento o por el halo de mala prensa que existe alrededor de ellas, alrededor de estas trazas existen una serie de creencias y falsos mitos que habría que despejar:

• Las cookies no son ningún tipo de malware ni tampoco pueden infectar los archivos de los usuarios, comprometerlos o borrarles los datos de sus discos duros.
• Las cookies no son responsables de las ventanas emergentes o pop-ups.
• Las cookies no contienen ningún tipo de código HTML, su contenido son los datos de la navegación que hemos realizado y que se utiliza para con varios fines, tal y como ya hemos comentado.

Estos perfiles son habitualmente anónimos, es decir, no contienen información personal del usuario (nombre, dirección, etc). De hecho, no pueden contenerla a menos que el propio usuario la haya comunicado a alguno de los sitios visitados. Pero aunque anónimos, estos perfiles han sido objeto de algunas preocupaciones relativas a la privacidad.

Los riesgos de las cookies

Y es que, al contener datos de los usuarios, la preocupación de éstos es bastante lógica. De todas formas, la información que se almacena no contiene datos personales salvo, claro está, que el usuario haya comunicado alguno de estos datos a alguna de las páginas web visitadas, lo cual las coloca en el punto de mira cada vez que se habla de la privacidad de los usuarios.

Uno de los mayores problemas que surge con las cookies es el de las cookies de terceros, es decir, cuando se accede a una página web que tiene contenido almacenado en servidores de un tercero que se encuentra en un dominio distinto. Este es el caso más habitual en la publicidad online que, normalmente, proviene de un proveedor distinto al de la página que visitamos y que vende este espacio a las empresa anunciante.

Si una empresa de publicidad online, que opera en un dominio concreto, es capaz de generar una cookie en nuestro ordenador al visitar una página que nada tiene que ver con el dominio de la empresa anunciante, si está presente en múltiples páginas web, va ser capaz de detectarnos cada vez que entremos en una página que esté dentro de su ámbito de influencia. Esta capacidad para seguir lo que hacemos y “atar cabos” ha preocupado mucho a usuarios y administraciones públicas y ha propiciado la redacción de legislaciones para controlar estas actividades.

¿Y además de la privacidad qué problemas pueden entrañar las cookies?

• Las cookies identifican un usuario sobre un navegador concreto y un ordenador concreto, por tanto, la identificación de un usuario depende de estos tres factores. Si, por ejemplo, trabajamos en un ordenador compartido y no cerramos las sesiones que tenemos abiertas en servicios web (como Twitter o Facebook por ejemplo) en nuestros navegadores, si ésta no ha caducado, cualquiera podría usar nuestras sesiones abiertas, suplantarnos o cambiarnos la contraseña y perder el control de la cuenta.

• El otoño pasado, Firesheep nos puso en alerta con el robo de credenciales de sesión en redes inalámbricas de uso público y, precisamente, la gracia de esta extensión de Firefox estaba en la demostración de cómo la gran mayoría de servicios web enviaban las cookies de sesión en abierto y, por tanto, podrían ser interceptadas. Al enviarse las cookies en abierto y, además, contener datos de sesión, podían utilizarse para acceder a estos servicios desde otro ordenador y suplantar al usuario. El robo de cookies es un gran problema que no solo se da en redes inalámbricas puesto que también suele pasar en páginas web que han sido pirateadas y que se hacen con las cookies de sesión de los usuarios para procesarlas y suplantarlos.

• Aunque las cookies se almacenan en nuestro ordenador y se presupone que el usuario no las modifica, un sitio web que no controle la modificación de éstos archivos podría ser susceptible de recibir cookies modificadas que, por ejemplo, podrían alterar la actividad realizada (una compra). Estos casos son ya residuales puesto que, hoy en día, las cookies sólo incluyen un identificador unívoco y el resto de datos se almacenan en el servidor web.

• Otro caso residual, que ocurría en navegadores poco seguros, era el intercambio de cookies entre sitios conocido como cross-site cooking y que consistía en la posibilidad de que un sitio web modificase las cookies de otro sitio web distinto, haciendo que un sitio web usase las cookies de otro sitio distinto (lo cual no puede permitirse).

La legislación europea

En Europa, la Comisión Europea no ha prohibido el uso de las cookies, como se ha dicho en algún que otro sitio, sino que pone el control del uso en manos de los usuarios. Los sitios web deberán pedir permiso a los usuarios para poder utilizar cookies y almacenarlas, salvo aquellas que sean absolutamente imprescindibles para el normal uso de un sitio web en el que el usuario se haya registrado.

Muchos sitios web se quejaron porque tener que aceptar o denegar la generación de cookies podría empañar la navegación por un sitio web, sin embargo, según la Comisión Europea, no hay tal molestia si los navegadores se adaptan a esta legislación y almacenan los sitios web en los que se permite usar cookies y los que no (algo que la gran mayoría ya incluye). La Comisión quiere garantizar la privacidad de la navegación de los usuarios y cortar el abuso que se ha hecho con respecto a la información que se ha extraído de ellas y que, la gran mayoría de usuarios desconocían por completo, sobre todo con las cookies de terceros. Otro detalle importante es que, tras la entrada en vigor de esta regulación, los sitios web deberán informar de manera clara y sencilla de lo que van a hacer con las cookies e indicarlo claramente en el momento de pedir autorización.

¿Y dónde se recoge esto? En las directrices definidas en la directiva europea 2009/136/CE sobre la privacidad en materia de telecomunicaciones:

3. Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario.

¿El problema? Que esta regulación tendría que haber entrado en vigor en el mes de mayo y en 20 de los países de la Unión Europea aún no se ha realizado la transposición de esta directiva y, por tanto, aún no se ha aplicado la norma.

Algunos consejos para mejorar nuestra privacidad

La “directiva de las cookies” sólo tiene aplicación a nivel europeo, en el resto de países, los usuarios pueden seguir algunas pautas que eviten que algunos sitios web obtengan mucha más información de la que deberían y, además, nos pueda ahorrar algún que otro disgusto:

• Es importante leer las políticas de privacidad de los sitios web que recopilan datos personales. Nuestros datos son nuestros y, por tanto, debemos velar por un buen uso de éstos. Quizás pueda resultar aburrido o repetitivo pero es importante conocer qué hace una página web con los datos que recopila.

• No facilitar datos personales o aceptar cookies de páginas web que carezcan de una política de privacidad clara.

• Si estamos en un ordenador de uso compartido, es importante cerrar las sesiones abiertas en páginas web (logout) o, en su defecto, utilizar los métodos de navegación privada que, precisamente, al cerrar la ventana eliminan cualquier rastro de la navegación (cookies incluidas).

• Revisar la configuración de nuestro navegador y ser algo más conscientes de la información que estamos “regalando”. Por ejemplo, en Chrome (En el apartado avanzado de las opciones, en privacidad) podemos configurar el comportamiento del navegador ante las cookies y, en dicho lugar, podremos definir una lista negra de páginas a las que bloquearemos las cookies, otras a las que sí se las aceptaremos y, finalmente, aquellas que se borrarán al cerrar la sesión del navegador. En Firefox podemos encontrarlo, dentro de opciones, en privacidad y ahí podremos definir nuestra lista negra (o blanca) e indicar si aceptamos cookies de terceros, al igual que en Internet Explorer.

Convertirse en un gigante de Internet tiene sus riesgos y las demandas e investigaciones están entre ellos. Google, al igual que pasó con Microsoft en su tiempo, está siendo mirada con lupa, tanto en Estados Unidos como en Europa, por supuestas prácticas monopolísticas que estarían desplazando a su competencia. En Estados Unidos, la FTC inició una investigación que se sumó a la que abrió el Senado de dicho país; en Europa, tanto algunos países como la Comisión Europea investigan a Google por monopolio, investigaciones que, según ha trascendido, sumarían ya nueve procesos en la Comisión.

Poniéndonos un poco en situación, la Comisión Europea abrió una investigación a Google en noviembre del año pasado a raíz de la acusación de tres compañías que afirmaban que Google perjudicaba a sus sitios web en los resultados de su buscador, básicamente, porque ofrecían servicios rivales a Google. La situación empeoró cuando Microsoft, en marzo, entró en escena y también se sumó a la acusación de que Google perjudicaba en los resultados a las empresas rivales.

Según parece, nueve serían ya las quejas que Google sumaría ya en Europa y que estarían siendo investigadas por la Comisión Europea, todas ellas por monopolio. Lo curioso de todo esto es que la cifra viene dada por un par de filtraciones porque, hasta la fecha, oficialmente la Comisión habría confirmado la existencia de solamente cuatro procesos. De confirmarse estos datos que se han filtrado, según parece, por dos fuentes distintas, Google estaría en una complicada situación que le obligaría a pactar con los reguladores europeos una salida que satisficiese a todas las partes o enfrentarse a una sanción económica bastante elevada. La Comisión Europea no ha confirmado nada al respecto, sin embargo, una de estas fuentes (que permanece en el anonimato) señaló que:

La Comisión tiene nueve quejas formales en la actualidad. Las nuevas quejas proceden de compañías pequeñas

La segunda fuente de las filtraciones, que tampoco ha salido del anonimato, precisó que de estas cinco nuevas quejas, tres procederían de reguladores nacionales (que habrían trasladado el caso a la Comisión) y las otras dos sí que serían totalmente nuevas.

¿Y en qué podría derivar todo este proceso? La Comisión Europea puede imponer sanciones a las compañías que infringen las normas comunitarias sobre competencia con hasta un 10% de sus resultados globales, una cantidad nada despreciable, sobre todo, si tenemos en cuenta los ingresos de Google.

El HTML5 es ya la quinta revisión del lenguaje HTML que se encuentra en modo experimental y que va ya por su borrador número doce. Este borrador está abierto para que cualquier organismo (o usuario) que lo desee pueda aportar sus comentarios hasta su cierre en el día de hoy y, precisamente, el ENISA, la Agencia Europea de Seguridad, preocupada por la seguridad del nuevo estándar ha identificado cincuenta amenazas que ha detallado en un informe para que sean tenidas en cuenta en las correcciones del actual borrador del estándar.

El informe, de sesenta y una páginas, detalla algunos problemas que podrían corregirse ajustando las especificaciones del estándar y otros que implican mucho mayor riesgo y que, por tanto, implican el lanzamiento de alertas a los usuarios para que estén atentos. Entre los riesgos de seguridad encontrados estarían:

• Acceso sin protección a información confidencial
• Posibilidad de incluir el botón para enviar formularios en cualquier parte de la página, haciendo que sea complicado distinguir entre un botón malicioso y otro real.
• Problemas en la especificación y la aplicación de las políticas de seguridad
• Desajustes con la gestión de los permisos del sistema operativo
• Características que aún no tienen cerradas sus especificaciones, que pueden conducir a conflictos al aplicarse o conducir a errores
• Nuevas de saltarse los mecanismos que evitan el click-jacking

El ENISA no quiere demonizar el HTML, sino que buscan la mejora de éste, al menos eso quiso dejar claro Giles Hogben:

Creo que este informe es interesante porque es la primera vez que alguien analiza un conjunto de especificaciones de un estándar desde el punto de vista de la seguridad. […] El HTML5 beneficiará mucho a los desarrolladores, no estamos sugiriendo que el W3C lo cambie todo a raíz de este informe, simplemente, los usuarios deben ser conscientes de los riesgos que a los que se enfrentarán

Según Marnix Dekker, co-autor del estudio:

Una conclusión importante de este estudio es que hemos encontrado muchos menos problemas de seguridad que en las versiones anteriores. Esto demuestra el valor de las revisiones que se han hecho y, lógicamente, las que se harán en próximos borradores

Además, en su informe, el ENISA también realizó recomendaciones relativas a cómo deben comportarse los navegadores. Según el profesor Udo Helmbrecht, director ejecutivo del ENISA:

El navegador web es ahora uno de los componentes más críticos para la seguridad en esta nueva estructura, un objetivo cada vez más lucrativo para los ciber-atacantes

Supongo que es de esperar que para el próximo borrador, muchas de estas recomendaciones sean tenidas en cuenta.

Llevábamos tiempo sin oír hablar de la Ley Sinde pero, aunque no se comente nada, ésta sigue con sus trámites. La Ley Sinde gira en torno a la Comisión de Propiedad Intelectual, un órgano cuyos miembros son propuestos por el Gobierno, que se presuponen “expertos” en la materia y que se eligen por libre designación (sin control alguno por parte del Congreso). El caso es que, pasados tres meses tras la publicación del Real Decreto que regulaba el funcionamiento de esta Comisión, ni la Comisión Europea ni los países miembros de la Unión han presentado observaciones o dictámenes en contra del Decreto, así que la maquinaria de la Ley Sinde seguirá su curso hasta que sea publicado en el Boletín Oficial del Estado.

Con la luz verde de Bruselas, que aspira a redactar una Ley inspirada en la Ley Sinde, el decreto que regula el funcionamiento de las dos secciones de la Comisión de Propiedad Intelectual podría llegar en otoño. Recordando un poco el funcionamiento, la Sección Primera de la Comisión se ocupará del arbitraje y las denuncias que se presenten ante la Comisión y, la Segunda, que tras los períodos de alegaciones, solicitaría la interrupción del servicio de una página web o la retirada de los contenidos objeto de la denuncia. En caso que no se cumpliese esta solicitud, la Sección Segunda enviaría el caso al Juzgado de lo Contencioso-Administrativo.

Este funcionamiento, contrasta un poco con la nota oficial del Ministerio en el que indican que:

Con carácter general, potencia la solución dialogada, extrajudicial y voluntaria de conflictos y protege los derechos tanto de los creadores como los del resto de los ciudadanos a que exista una oferta legal, diversa y asequible de productos culturales.

¿Solución dialogada y extrajudicial? Si se puede considerar diálogo que todo el proceso esté controlado por “expertos del gremio”, pues “el diálogo” sigue su curso.

Sobre la Neutralidad de la Red hemos hablado en más de una ocasión y, salvo contadas ocasiones, hemos asistido al afán de los operadores por imponer sus peajes a los proveedores de contenidos casi siempre con el beneplácito de los gobiernos. El caso de España es bastante extraño porque constantemente está cambiando su postura, por un lado, el Ministro de Industria apoya a los operadores y, por otro, el Secretario de Estado de Telecomunicaciones dice lo contrario. Con tanto vaivén político uno ya no sabe cuál es la postura oficial del gobierno, pero es que ya ni siquiera sabemos cuál es la postura del partido gobernante.

En mayo se aprobó el nuevo proyecto de Ley General de Telecomunicaciones que, ahora, ha pasado al Congreso (lo cual nos ha costado una sanción de la Comisión Europea por no tenerla lista en el plazo marcado) y claro, uno se extraña mucho al leer que el Grupo Parlamentario Socialista (el del partido del Gobierno) va a añadir enmiendas que garanticen la neutralidad de la red. La portavoz del Grupo Socialista en el Congreso para estos asuntos, Lourdes Muñoz indicó que estas medidas eran necesarias tras el apoyo tácito de la Comisión Europea a la neutralidad. La enmienda quiere introducir el derecho a que:

el tráfico individualizado de datos recibido o generado en el servicio de acceso a internet, no sea modificado, bloqueado, desviado, priorizado o retrasado, en función del tipo de contenido, del origen del mismo, del protocolo o de la aplicación utilizada

Que quieran agregar esta enmienda, personalmente, me parece estupendo pero, realmente, choca mucho que el mismo partido que gobierna añada enmiendas a una ley redactada por ellos; es un hecho que me parece bastante paradójico y que deja patente la disparidad de opiniones internas del propio Gobierno.

Según Muñoz, la Neutralidad de la Red es el status quo actual de Internet pero es necesario consolidarlo en un texto legal para garantizar a los ciudadanos un derecho en un momento en el que los operadores se están uniendo para modificarlo.

Ojalá España siga los pasos de Holanda y garantice la neutralidad de la red a los ciudadanos para que éstos accedan a un Internet libre y, sobre todo, que ofrezca una igualdad de oportunidades a todos los servicios. En el fondo, los operadores le cobran a los usuarios el acceso y también se lo cobran a los proveedores de contenidos (que también están conectados a la red), son un carrier y no deben pretender ir más allá fiscalizando aquello que transportan y penalizando lo que no les interesa (o no les reporta un beneficio extra).

De todas formas, un texto legal que necesita esta enmienda dice mucho del que lo propone, es decir, que cuando en un Ministerio se producen estas divergencias de declaraciones (entre Ministro y Secretario de Estado) y se presenta al Congreso una Ley que acaba corrigiendo tu propio grupo parlamentario, creo que es un indicativo de que, quizás, no se están defendiendo los intereses de los ciudadanos y se estén primando los de los operadores.

Especialmente significativas, sobre estos vaivenes, me parecen las palabras de Juan Junquera, el Secretario de Estado de Telecomunicaciones:

Debemos dejar de estar obsesionados, porque siempre habrá un acceso totalmente abierto a internet, en el que no puede haber interferencias, haya o no congestión en la red. En caso contrario, las autoridades europeas y españolas tendrían que regularlo. Otra cosa, puntualizó, es que las empresas de telecomunicaciones ofrezcan servicios especializados y ahí gestionen el tráfico como quieran

Entonces, si como bien dice Junquera, hace falta regular el mercado para garantizar una red libre de interferencias, ¿cómo salió de su departamento un texto legal que no contemplaba la Neutralidad de la Red?

En fin, a estas alturas y después de todos estos cambios de opinión, con que se apruebe la enmienda yo ya me conformo.

Llevaba rondando algún tiempo por la Unión Europea la idea de establecer un firewall común que evitase el acceso a contenidos “no recomendables”, en un principio, para combatir la pornografía infantil y con la posibilidad de extenderlo a la descarga de contenidos (a nivel de ISP). El filtrado de contenidos parece ser un denominador común en los países europeos y, al final, ha terminado llegando al Comité de Libertades Civiles del Parlamento Europeo donde, de manera unánime, se ha rechazado el mandato de bloqueo de páginas web generalizado y, únicamente, se podrían admitir aquellas relacionadas con la pornografía infantil.

Originalmente, la Comisión Europea quería forzar a todos los Estados a bloquear, a nivel general, contenidos ilegales y que las autoridades nacionales desarrollasen códigos de conducta y normas que lograsen que los ISPs aplicasen estos controles. Al conocerse este hecho, los grupos de defensa de Derechos Civiles comenzaron a presionar y hacer ruido para evitar la imposición de un muro que cubriese a toda Europa y dejase a los ciudadanos de la Unión detrás de un muro controlado por los Estados.

El nuevo texto, que tiene como objetivo el bloqueo de la pornografía infantil, elimina la obligatoriedad del filtrado de páginas por parte de los Estados miembros y los emplaza a que deberían implementar medidas que eviten el acceso a los mismos. Además, cualquier medida que se implante para bloquear el acceso a estos contenidos deberá garantizar el cumplimiento de la Convención Europea de Derechos Humanos, concretamente los derechos a la comunicación y la privacidad. Según comentó Joe McName, del grupo de Defensa de Derechos Humanos EDRi:

Este cambio implica un control mucho más fuerte que el que existe en varios países de la UE que, por el momento, se habían quedado fuera de la ley de bloqueo, como Suecia y Dinamarca

Aunque el texto se haya “descafeinado” un poco, sigue teniendo algunos aspectos ambiguos y algo preocupantes. Bajo este nuevo texto, el bloqueo debe ceñirse a lo que sea “necesario y proporcionado” y los usuarios deben ser informados de la razón de cualquier restricción; pero claro, si nadie define lo que significa necesario y proporcionado, podemos estar ante un cheque en blanco para los gobiernos.

El texto final se pasará al pleno del Parlamento para su aprobación.

Hace un par de años que sabemos que la Comisión Europea quiere garantizar la privacidad de los ciudadanos de la unión, cambiar el funcionamiento de las cookies y eliminar el rastreo de la navegación realizada sin el consentimiento del usuario. Esta medida estaba, conocida como la “Directiva de las Cookies”, formaba parte del último paquete de medidas sobre Telecomunicaciones que entró en vigor el mes pasado, así que Neelie Kroes, la responsable de la Agenda Digital Europea, ha sido bastante clara con las empresas de Internet y les ha lanzado un desafío: garantizar la privacidad de los usuarios a mediados de 2012 o volverá e impondrá nuevas reglas.

La “Directiva de las Cookies” tendría que estar en vigor en todos los países miembros de la Unión Europea desde hace un mes, sin embargo, la mayoría de los países no han cumplido plazos y no han sido capaces de transponer esta directiva dentro de sus legislaciones nacionales. La idea es simple, los usuarios deberán dar su consentimiento explícito para que una página web pueda almacenar las cookies y rastrear la navegación, eso sí, tendrá que informar al usuario qué datos se van a recoger y su finalidad.

Kroes le ha pedido a la industria que sea capaz de desarrollar un nuevo estándar para las cookies que sea respetuosa con la privacidad del usuario y, además, se adapte a estas reglas del juego. Por tanto, si la industria no es capaz de unirse y buscar un estándar viable, tanto la industria como el consumidor final se verán afectados.

Estoy preocupada por lo que está pasando: filtraciones de datos que afectan no a miles si no a millones de personas, redes sociales que desarrollan nuevas funcionalidades pero que tienen una configuración por defecto que expone a los usuarios, robos de identidad… Uno de los objetivos de la Agenda Digital es conseguir que el 50% de los europeos realice compras a través de Internet para el año 2015. Jamás podremos alcanzar esas cotas sin aumentar la confianza en la red.

Los borradores de estas nuevas cookies que no rastrean (DNT, do-not-track) ya existen y asociaciones de publicidad como EASA y el IAB han adoptado una serie de buenas prácticas y un marco que estandarice la forma de actuar de los anunciantes. Esta aproximación consiste en la instalación de un icono que permita activar, o desactivar, la publicidad y el rastreo. Pero la privacidad no sólo se ve amenazada por las cookies, las extensiones, o el rastro que dejan las configuraciones de los navegadores, también dejan datos que el usuario no es capaz de controlar.

Este es el motivo por el que hay que dar un enfoque algo más amplio a la tecnología DNT. El DNT ya se implementa en algunos navegadores y algunas empresas de la red indican que funciona. Sin embargo, esto no es suficiente porque existe una gran diferencia entre el compromiso de no almacenar el rastro que dejan los usuarios y el compromiso de no utilizarlo

Filtrar o no filtrar la conexión a Internet es una de las cuestiones que más debate está generando en el ámbito de la Unión Europea. En el seno de las instituciones parece que se apuesta por filtrar, ya sea de manera global o instando a los operadores a hacerlo. La medida no está exenta de polémica porque aunque los Estados y legisladores parecen estar a favor, el ámbito de la justicia no lo tiene tan claro. El último país en plantearse la posibilidad de filtrar las descargas ha sido Francia, bueno, realmente lleva cierto tiempo planteándoselo sin embargo el Consejo Nacional Digital ha emitido una recomendación que no daría luz verde al proyecto y solicita una revisión del mismo.

La idea de Francia es la de bloquear las descargas de sus ciudadanos de “manera preventiva”, es decir, evitar que puedan descargar contenidos o aplicar “bloqueos de emergencia” sin mandato judicial y mediante un procedimiento administrativo. Este artículo 18 de la Ley sobre Medidas de Fomento de la Economía Digital (LCEN) lleva dando vueltas desde el año 2007 y aún no ha sido capaz, afortunadamente, de aprobarse, básicamente porque el Consejo Nacional Digital de Francia ve en él demasiada ambigüedad (si bien cuenta con el apoyo sin reservas de las entidades gestoras de derechos de autor del país galo).

Poco a poco, hemos ido conociendo los planes de cada uno de los Estados miembros de la UE y su posición con respecto a las descargas de contenidos. Llama la atención la disparidad de soluciones aplicadas en los distintos países y, en algunos casos, las posturas encontradas pero, si cabe, lo que más sorprende es que los países parecen no aprender de sus vecinos. Si una medida resulta fallida en un país y deciden cambiar el modelo, al poco tiempo, el país vecino opta por la misma opción fallida y, al final, acaba fallando también.

Veamos una foto de cuál es el Estado de algunos países miembros de la UE con respecto al filtrado de contenidos y descargas:

Italia

Italia es uno de los países que está a favor de filtrar los contenidos en la red, de hecho, lo aplica para evitar el acceso a la pornografía infantil y a los juegos de azar. Sin embargo, la aprobación de un Decreto, no hace mucho, podría hacer extensivo este filtrado a la descarga de contenidos y al tráfico P2P. Por un lado, según la legislación Italiana, los ISP son los responsables de las descargas de sus usuarios y, por tanto, deben tomar las medidas oportunas para que no circulen contenidos sujetos a derechos de autor de manera ilegal. Lógicamente, con un caldo de cultivo así, no es descabellado pensar que los proveedores de acceso a Internet comiencen a filtrar los contenidos de los usuarios. Por otro lado, a principios de año, el organismo encargado de la regulación de las comunicaciones consideró que YouTube, Dailymotion o Vimeo eran canales de TV convencional, es decir, debían filtrar contenidos en horario infantil, al igual que las TV convencionales.

España

El caso de España es uno de los más paradójicos de Europa. Con un sistema judicial que en más de una ocasión a apostado por la libertad de la red y ha sobreseído alguna que otra causa, el ejecutivo español se empeñó en lanzar la infame Ley Sinde que tras ser rechazada en el Congreso volvió al Senado, con algunas enmiendas, para ser aprobada. ¿Y qué trae esta Ley? La potestad para poder cerrar páginas web por parte de la Comisión de Propiedad Intelectual.

Bélgica

En Bélgica andan en pleno cambio de modelo. Recientemente, el parlamento aprobó la adopción de un modelo de respuesta gradual, como la Ley HADOPI de Francia, para buscar la concienciación del usuario antes de tener que aplicar medidas punitivas. De todas formas, Bélgica no está libre de filtrar los contenidos a los usuarios, de hecho, la asociación de proveedores de servicios de Internet del país y los departamentos de Justicia y Telecomunicaciones del gobierno han adoptado acuerdos para bloquear contenidos ilegales previa intervención judicial. Sin embargo la necesidad de un juez se disipa con el acuerdo que firmó la asociación de ISP con representantes de la industria musical; un acuerdo que permitiría el acceso a determinados sitios web que fuesen solicitados por la industria musical para preservar su negocio. Conocidas son las tarifas “planas” con límite de descarga que se ofrecen en este país o el caso de Sabam, que es la SGAE de Bélgica, contra Scarlet Extended.

Alemania

Alemania es otro país que está en proceso de adopción de nuevas medidas. En 2009 adoptaron un modelo de bloqueo (que en su origen estaba pensado para luchar contra la pornografía infantil) y que, poco a poco, se convirtió en una enorme lista negra, controlada por la policía federal, en la que, incluso, terminaban páginas que no debían ser filtradas. Al final, han terminado por abandonar este modelo y aplicar dos medidas. Por un lado, tienen en proyecto desarrollar su propia Ley de respuesta gradual, es decir, al estilo de HADOPI y, por otro lado, intentar luchar contra la piratería en origen, es decir, intentar cerrar los sitios que fomenten enlaces de descargas (aunque no queda claro cómo lo harán).

Reino Unido

El Reino Unido, actualmente, es uno de los países que está reflexionando sobre qué hacer. En 2008 bloquearon el acceso a toda la Wikipedia porque ésta tenía publicada en una página la portada del disco Virgin Killer del grupo Scorpions y, poco a poco, la intención de filtrar los contenidos a los ciudadanos ha ido perdiendo fuerza (sobre todo por el cambio del ejecutivo). La Ley de Economía Digital, que permite al gobierno definir actuaciones para poder filtrar la conexión a Internet de sus ciudadanos, se ha dejado de lado desde que David Cameron accedió al cargo con el apoyo de Nick Clegg. Actualmente los proveedores de servicios están negociando un acuerdo con las entidades gestoras de derechos de autor para articular los bloqueos. Los ISP consideran que tras un bloqueo debe existir la petición de un juez, sin embargo, las entidades de gestión consideran que existiendo una denuncia debería aplicarse el bloqueo “de manera preventiva”.

Francia

El caso de Francia es bastante curioso desde mi punto de vista. El país presenta un modelo de respuesta gradual regulado en la Ley HADOPI (que tras un ataque ha tenido que suspenderse su aplicación) y que llegó a avisar a más de 100.000 usuarios. Además, quieren complementarlo con un “bloqueo preventivo” de las descargas, si bien esta propuesta no cuenta con informe favorable del órgano consultivo sobre Internet del país galo, por lo que intentarían localizar usuarios y, además, cortar las fuentes de las descargas que se verían sustituidas por un mercado de descargas legales incentivado por el propio Estado.

Holanda

Holanda, un país con una visión muy interesante de esta cuestión y que, además, apoya la neutralidad de la red, llegó a la misma conclusión que Alemania sobre el bloqueo de contenidos. Los proveedores de servicios de Internet, en una carta dirigida al Ministerio de Justicia, comentaron que:

El bloqueo de sitios web que contengan pornografía infantil si se basa, únicamente, en una lista negra no se puede considerar un método fiable y eficiente en la lucha contra la pornografía infantil en la red. No es un método eficaz al 100%.

La disparidad de Europa

Así que, en definitiva, Europa está dividida entre los que apoyan el filtrado, los que se lo piensan y los que les dejan “la patata caliente” a los proveedores de contenidos. Esta disparidad de visiones entre los países miembros también se traslada a las instituciones Europeas, por ejemplo, el Abogado General del Tribunal de Justicia Europeo, el español Pedro Cruz Villalón, considera que este tipo de actuaciones son incompatibles con los derechos fundamentales recogidos en la legislación Europea; sin embargo, Robert Madelin, Director General para la Sociedad de la Información, pedía a los ISP que filtrasen los contenidos para preservar los valores fundamentales.

¿Es Internet un campo que necesita ser acotado por un muro? ¿Deben actuar los operadores como puestos fronterizos que dejen pasar, únicamente, lo que algunos consideran oportuno? Internet es libertad y no creo que los Estados (o los organismos supranacionales) deban decidir lo que debo o no debo ver en la red, ya lo dijo la ONU, las leyes contra las descargas violan los derechos humanos.

Si hay algo que, por desgracia, está extendido en casi todos los países europeos es el canon que se aplica a todo soporte digital susceptible de albergar o realizar copias de contenidos sujetos a derechos de autor, el canon por copia privada. Bajo este gravamen tenemos los CDs, DVDs, memorias USB, escáneres o, en el caso de Francia, los tablets. Precisamente, Francia parece haber dado un pequeño paso en esto del canon digital y, el viernes, el Consejo de Estado, que además de ser un órgano consultivo puede resolver recursos interpuestos contra las decisiones de una autoridad pública, anuló la aplicación del canon por copia privada a las empresas.

El Consejo de Estado estima que si una empresa adquiere un dispositivo con fines profesionales no debe asumir el pago de una tasa por una copia privada que no va a realizar. La situación en la que estaban las empresas Francesas, básicamente, era la misma que sufren las empresas de España, Bélgica, Italia, es decir, se aplicaba el canon de manera horizontal a todos los consumidores, independientemente de si eran empresas o particulares. Así que, con este movimiento, Francia estaría en consonancia con la decisión del Tribunal de Justicia Europeo que no consideraba lógico aplicar, de manera indiscriminada, el canon digital a todos los consumidores, incluyendo a las empresas.

Esta anulación, que no tiene carácter retroactivo, tiene un plazo de seis meses para ser aplicada, tiene su origen en la apelación que interpusieron varias empresas, entre ellas Rue Du Commerce que, tras conocer la decisión, declaró:

Esta decisión permitirá a todas las empresas francesas, incluidas las pequeñas empresas y microempresas, no tengan que pagar una indemnización que no les concierne. Esta decisión también evitará la distorsión de los precios en la distribución de productos a profesionales.

Tras esto, la comisión que regula en Francia las tasas a aplicar tendrá que recalcular las tasas que se aplicarán a los consumidores, para que las gestoras de derechos de autor no vean mermados sus ingresos, por tanto, al consumidor francés le va a tocar pagar aún más. Así que, al final, esta decisión tiene cierto sabor agridulce porque si bien las empresas se libran de una tasa injusta, los consumidores van a pagar el pato y van a tener que rascarse, aún más, el bolsillo.

Como ciudadano de europa, los vaivenes de la Unión Europea me desconciertan bastante: por un lado, la UE apuesta por la neutralidad de la red pero también quieren imponer un firewall que no permita que los ciudadanos accedan a contenidos “no recomendables”. En esta ocasión, las declaraciones de un alto cargo de la UE, Robert Madelin, Director General para la Sociedad de la Información, no están haciendo otra cosa que añadir más leña al debate sobre el bloqueo o penalización de las descargas y los proveedores de acceso a Internet. Madelin ha comentado que los proveedores de servicios de Internet deberían sentirse más responsables y colaborar en la salvaguarda de los valores públicos.

¿Valores públicos? Concretamente, Robert Madelin declaró que:

Los ISP necesitan para sentirse más responsable de que hoy en día no sólo para la aplicación de la ley, sino también para la preservación de los valores.

Los grupos de defensa de los derechos civiles están que trinan con estas declaraciones que no hacen más que avivar el fuego sobre la legitimidad de los proveedores de acceso a bloquear determinados servicios, puesto que con esta tesis, se estaría pidiendo a los ISP a que retirasen contenidos que hospedan “por el bien de los ciudadanos”. Y aunque Madelin afirmó que el ISP no debía actuar como juez y jurado, comentó que:

Creo que los ISP deberían dedicar sus recursos para conseguir que ciertos contenidos puedan ser eliminados con cierta rapidez, algo que necesita una búsqueda proactiva por parte de los proveedores. Y teniendo en cuenta esto, no tiene sentido decir que el ISP no tiene responsabilidad en caso de que se infrinjan los derechos de autor.

Según los grupos de defensa, esta tesis está muy bien para luchar contra la pornografía infantil o el tráfico de datos personales en la red, sin embargo, la línea que separa esto de, por ejemplo, perseguir las descargas de los usuarios es demasiado delgada.

Vivimos en Europa, no en California. Creo que existe una visión extrema sobre California, que me parece una caricatura, y en el que la gente parece creer que Internet es una especie de universo paralelo y un paraíso libertario donde todo vale porque, de lo contrario, si no es abierto, no es gratis. Creo, francamente, que este modelo no es sostenible. Internet no es un universo paralelo en que la gente navegue y piense que va a tener los mismos derechos, responsabilidades y seguridad que experimentan en el mundo real.

En fin, cada vez que leo algunas de las declaraciones de los reguladores de la red, o bueno, los reguladores del “universo paralelo de Internet”, me queda claro que intentan regular algo que no conocen y que, ni siquiera, se molestan por conocer.

Imagen: Nivel

En esta época tan convulsa en la que, prácticamente, cada semana nos enteremos de algún tipo de ataque que roba datos altamente sensibles o tumba algún servicio, los Estados miembros de la Unión Europea han decidido plantearse algunas medidas para protegerse. Por un lado, la Unión Europea quiere poner en marcha, en el plazo de un año, su propio Cibercomando que sirva de centro de coordinación para los distintos centros de respuesta que los Estados miembros tienen activos. Pero, por otro lado, el Parlamento Europeo tiene sobre su mesa una propuesta con la que disuadir a aquellos que quieran atentar contra sus intereses: imponer sanciones y castigos más severos a los ciberdelincuentes.

Estas nuevas normas, que aún deben tener el visto bueno del Parlamento Europeo, establecería una serie de penas mínimas para los ciberataques contra cualquier sistema de información. De hecho, no sólo se estaría buscando endurecer los castigos para los autores de ciberataques sino que, también, se castigaría el desarollo de herramientas, el establecimiento de redes de bots o la interceptación de comunicaciones y datos. La idea es que un endurecimiento de los castigos combinado con un centro de coordinación y respuesta ante los ciberataques minimicen el efecto de cualquier ataque o, en algunos casos, puedan disuadir a los potenciales atacantes.

El borrador que se maneja distinguiría entre tres tipos de condenas mínimas en base a la severidad y alcance del ataque, recogería lo siguiente:

• En términos generales, la ciberdelincuencia tendría una pena mínima de dos años de prisión

• Se impondrían, como mínimo, tres años de prisión, si el ataque se produce contra un “número significativo” de sistemas de información, por ejemplo, utilizando una red de bots

• Si el origen del ataque proviniese de un grupo criminal organizado que hubiese provado grandes daños a los sistemas de información de algún país miembro o hubiesen lanzado un ataque contra un sistema crítico, los culpables podrían enfrentarse a una pena mínima de cinco años de prisión.

Pensar en penas de prisión es, posiblemente, la parte más sencilla de todo esto ya que identificar a los culpables, de manera feaciente, es lo más complejo, sobre todo, sin cometer errores que evidencien el sistema. Casos como el del viernes en España con la detención de la “cúpula” de Anonymous son un claro ejemplo de que identificar no es tan fácil como parece y que, endureciendo las penas, se corre un alto riesgo de condenar a “cabezas de turco”.

Según la propia UE:

Estas nuevas condiciones agracantes, y sus castigos, nos permiten abordar las nuevas amenazas que plantean los ciberataques a gran escala que, cada vez, son más habituales en Europa y tienen el potencial de dañar gravemente los intereses públicos de los países miembros

El jaque a la piratería por el que apuestan los gobiernos, Ley Sinde incluida, está derivando, en el caso de la Unión Europea, hacia el bloqueo sistemático de páginas web y contenidos. Esto no es nuevo porque, precisamente, es uno de los principios de la Ley Sinde, sin embargo, el problema está en que este modelo se exporte hacia todo el territorio europeo y acabemos cercados por un gran firewall que controle a lo que podemos tener acceso y a lo que no. El caso es que la idea de “un gran firewall para controlarlos a todos” va tomando cuerpo y, según una filtración publicada por Reuters de la que se han hecho eco algunos medios, la Comisión Europea estaría barajando que los operadores controlasen, en origen, la piratería, es decir, que pongan medidas de vigilancia para controlar esta actividad.

Esta tesis la verdad que choca un poco con el apoyo de la Comisión a la neutralidad de la red y, dentro del seno de la Unión Europea, alguna que otra voz, como la del abogado general del Tribunal de Justicia Europeo, ha comentado que el bloqueo de páginas viola el secreto de las comunicaciones y la protección de datos personales.

El caso es que en una reunión mantenida el pasado 13 de abril, la Comisión acordó que:

La Comisión propondrá enmiendas a la Directiva de Aplicación para crear un marco que permita, en particular, combatir las infracciones de propiedad intelectual a través de Internet de forma más efectiva. Estas enmiendas deberían abordar las infracciones en su fuente y, para tal fin, fomentar la cooperación de intermediarios, como los proveedores de servicio de Internet

Algunos expertos en propiedad intelectual no tienen tan claro que este tipo de medidas puedan aplicarse y que los operadores puedan controlar el tráfico de los usuarios. Según el abogado Alain Strowel, especialista en derechos de propiedad intelectual en la firma Covington & Burling de Bruselas:

El término ‘en su fuente’ no tiene significado legal y está un poco vacío

Por otro lado, parece ser que la Comisión Europea quiere entrar a regular el asunto del canon digital y, al menos, nombrar un mediador que ponga de acuerdo a la industria tecnológica y las entidades de gestión a nivel europeo en la aplicación de esta tasa, sobre todo en qué dispositivos y con cuánto gravamen. De todas formas, los expertos, también en este caso, son algo escépticos:

No está claro que un mediador semejante sea capaz de hacer avanzar las cosas, pero es bueno intentarlo. Como se sabe, el asunto de los cánones está sobre la mesa desde 2002, pero sin ningún resultado concreto hasta ahora

Imagen: Telegraph

Según el periódico Norrländska Socialdemokraten, Suecia habría sido elegido por Facebook para abrir su cuartel general, al menos en cuanto a data center y servidores centrales se refiere ya que parece ser que el gigantesco parque de servidores que se esta construyendo en las afueras de la ciudad sueca de Luleå habría sido encargado por la red social.

El parque, que se encuentra en plena construcción y cuyos trabajos avanzan rápidamente, contará con tres grandes salas de 30.000 metros cuadrados cada una y con un gasto estimado de electricidad similar al que generan 16.000 viviendas unifamiliares: casi 500 millones de coronas suecas, equivalentes a unos 55 millones de euros.

Si bien ninguna de las dos partes ha querido confirmar nada al respecto, todo apunta a que la red social habría querido que la noticia se mantuviera en secreto para hacer un gran anuncio, que previsiblemente y debido al creciente número de rumores y periodistas interesados, se producirá durante las próximas semanas.

Algunos políticos como Kark Petersen o Matz Engman, encargado del parque de las ciencias donde se construye el nuevo complejo, han indicado que la empresa detrás del asunto estaría esperando a tener todas las licencias necesarias respecto a cuestiones medioambientales y polución, algo con lo que los suecos son muy respetuosos y las leyes muy agresivas.

De confirmarse la noticia, ¿cambiará algo la política de privacidad y protección de datos de la empresa estadounidense?

La publicidad en red es un negocio en auge. Cuando las publicaciones en papel van perdiendo fuerza y tirada, las editoriales digitales ven cómo su nicho de mercado en publicidad se amplía. Actualmente aquella empresa que no está en red casi se podría decir que no existe o está condenada a desaparecer. La especialización y segmentación del mercado puede hace que la publicidad dirigida y personalizada sea fundamental.

Esto es algo que sólo la prensa digital se puede permitir. En papel todos los anuncios son iguales y, aunque se pueden dirigir en cierto modo, nunca alcanzarán la personalización de los banners de un PC. El motivo, precisamente, es que en nuestro PC se guardan rastros de nuestros pasos de navegación, como las “cookies” que son utilizadas por los programas de publicidad para mostrar uno u otro contenido.

Pues bien, gracias a una nueva norma Europea, todas las web que hagan uso de estas “galletitas” tendrán que pedir nuestra autorización expresa. La medida ha causado cierto revuelo y las empresas de publicidad ya han pedido un margen de un mes para poder adaptar sus modelos de negocio y software a la nueva ley.

La nueva norma exige que los anunciantes creen un icono llamado “AdChoice” que permitirá a los usuarios cambiar sus perfiles de privacidad en todos los portales que quieran hacer uso de publicidad y, por tanto, puedan escoger si se crean o no (y de que modo) perfiles sobre él y sus hábitos con finalidad publicitaria.

Los grandes como Yahoo!, Microsoft, Google o AOL ya han acordado acatar las normas y utilizar dichos iconos en sus anuncios Europeos.

Parece que la legislación Europea, aunque tarde, va actualizándose un poco para poder alcanzar a un mundo digital que parece avanzar más rápido que ellos. Eso si, esperemos que evolucionen en la dirección correcta y no se conviertan en marionetas de empresas, intereses y dinero.

Vía: ITEspresso

El 25 de mayo llegará una nueva normativa en Europa, hablo del aumento en la privacidad que tendrá el usuario cuando navegue por la web. Los gobiernos de la Unión Europea han tenido tres años para averiguar el impacto que tendrá, sus usos y aplicaciones, así como los cambios y mejoras que debían implementarse.

A partir de ese 25 de mayo, la forma en la que la publicidad nos llega a cada uno de nosotros, los usuarios, cambiará y las cookies deberán ser consentidas por cada individuo particular para poder ser rastreados. En otras palabras, cambia el modelo de negocio para las empresas, quienes ya no podrán estudiar el comportamiento de los usuarios a través de sus actividades en la red y por lo tanto no podrán realizar la llamada publicidad de comportamiento. Solamente en el caso de las compras digitales se permitirá la excepción del registro del “carrito de compra”.

Pero, ¿está preparada Europa para la llegada de la nueva norma? Desde la BBC han analizado la situación actual a tres meses de la regulación, y los resultados indican que no. Los gobiernos han comentado que permitirán un período de adaptación a todas la empresas para que se adapten, pero ninguna ha modificado directiva alguna sobre los nuevos derechos a la intimidad y su cumplimiento.

Los navegadores han sido los únicos que se han mostrado activos ante el cambio. Firefox, Explorer o Chrome llevan tiempo adaptando la denominada función de do not track desde la que el usuario podrá añadir o no las cookies de un alojamiento.

Mientras tanto existen muchas voces críticas en cuanto a la implementación de esta nueva regulación. Una de las más claras es aquella que hace referencia a los alojamientos fuera de Europa. Pensemos que esta medida, al menos en principio y mientras no cambie, será un desventaja de las pequeñas empresas europeas frente a las estadounidenses.

Mientras el usuario no permite la entrada de rastreo a la industria europea, por contra, con el resto de países fuera de Europa, todo seguirá igual, por lo que serán libres de ofrecer esa publicidad de comportamiento que se trata de regular. Veremos como se soluciona porque ahora mismo es un auténtico despropósito.

Hoy, 8 de febrero, es el Safer Internet Day, el día por un Internet más seguro, una jornada que se dedica a la sensibilización de los ciudadanos para que sean más precavidos a la hora de navegar por la red, pues si para los ciudadanos dedicamos el día de hoy, los gobiernos tuvieron sus jornadas durante el pasado fin de semana, la Conferencia de Seguridad de Munich, un congreso de alto nivel (con representantes de gobiernos, la ONU, la OTAN o la Unión Europea, entre otros asistentes) sobre políticas de seguridad. Y entre tanto jefe de estado y altos cargos, había un tema común que preocupaba a todos: los ciberataques.

Y es que desde el incidente de la central nuclear de Irán, ningún gobierno es ajeno al nuevo campo de batalla del siglo XXI ni a las ciberguerras. Tal es la preocupación, que en otoño la Unión Europea coordinó unas cibermaniobras con los estados miembros y Estados Unidos puso en marcha su cibercomando. Aún así, gobiernos como el de Alemania o el de Reino Unido piensan que queda mucho camino por recorrer y que, aún, no estamos seguros ni libres de cualquier tipo de ataque.

Durante las jornadas de la Conferencia de Seguridad de Munich, tanto la canciller alemana, Angela Merkel, como el ministro de Asuntos Exteriores británico, William Hague, en sus intervenciones, han dejado claro que esto es un problema real que necesita de esfuerzos y alianzas.

Angela Merkel, durante su intervención en una mesa redonda relativa a los riesgos asociados a la ciberdelincuencia, declaró que:

[Los ciberataques] son un reto para el que no tenemos respuestas definitivas y tendremos que aprender juntos cómo afrontarlo. El concepto de defensa nacional frente a los ciberataques no sirve y hacen falta respuestas internacionales y nuevos acuerdos. Ya no tenemos las clásicas amenazas militares

De hecho, el propio gabinete de Merkel lo tiene bastante claro. El ministro alemán de Interior, Thomas de Maizière, comentó que la Unión Europea debía liderar este asunto y buscar una respuesta conjunta dentro de los países miembros, de tal manera que luego fuese consensuada con el G8 para elaborar un plan común de respuesta, además indicó que:

Cada día, el gobierno alemán sifre entre 4 y 5 ataques informáticos.

Durante las jornadas, también estuvo presente el corte de Internet realizado en Egipto, asunto sobre cual el ministro de Exteriores británico apuntó:

Creemos que hay una necesidad de un diálogo más integral y estructurado para crear consenso entre países de ideas afines y para asentar las bases para un acuerdo para fijar los parámetros según los cuales deberían actuar los países en el ciberespacio. Nuestro país está preparado para albergar una conferencia internacional este año con el objetivo de discutir las normas de un comportamiento aceptable en el ciberespacio, que ha abierto nuevos canales que permiten a los gobiernos no democráticos violar los Derechos Humanos de los ciudadanos

Bueno, parece que en Europa se están tomando en serio la seguridad de sus sistemas de información; por ejemplo, Reino Unido destinará 770 millones de euros, unos 1.046 millones de dólares, en su programa nacional de ciberseguridad. La verdad es que la propuesta alemana me parece interesante, la coordinación entre los estados miembros de la UE es fundamental para poder ofrecer una respuesta inmediata que salvaguarde los servicios públicos, además de dejar patente el propio espíritu de cooperación entre estados que es el motor la Unión Europea.

¿Llegan tarde los gobiernos?, yo diría que algo tarde sí que llegan, es decir, han tenido que ver el peligro en Irán para darse cuenta que las amenazas son reales, aunque llevemos bastante tiempo asistiendo a este tipo de acciones, como por ejemplo los conocidos casos de China o Rusia. En cualquier caso, mientras no acaben creando un Skynet o similar, creo que el trabajo conjunto es todo un acierto; eso sí, mientras sea un trabajo y esfuerzo conjunto de verdad y sin medias tintas, aunque mucho me temo que en el juego de la politica, va a ser bastante complicado.

Vía: PortalTIC.es | Imágenes: Hazna y Daily Telegraph

A principios de mes nos llegó el rumor de que Netflix, el servicio de videoclub digital, estaba realizando estudios de mercado previos a un posible lanzamiento del servicio en Europa y Latinoamérica. La verdad es que la noticia fue una alegría porque Netflix es la prueba que demuestra que el sector audiovisual puede convivir con Internet y, sobre todo, reinventarse (o al menos, así ha sido en Estados Unidos donde este servicio de alquiler de películas está pegando con bastante fuerza).

Pues si ansiosos estábamos por la llegada, los compañeros de ALT1040 nos ponen los dientes aún más largos ya que, según AdWeek, una publicación centrada en el mundo de la publicidad, Netflix estaría negociando con varias agencias de publicidad para preparar su entrada en el mercado europeo y asiático, lo cual es una grata noticia para los que estamos deseosos de probar este servicio.

Pero la cosa no se queda aquí, además de la llegada de Netflix a Europa y Asia, según los datos que manejan los compañeros de ALT1040, el servicio también se implantaría en América Latina.

Bueno, genial la noticia pero, ¿cuándo llegará el servicio?, pues la fecha es aún todo un misterio, sabemos que será en este 2011 que estrenamos en poco más de un día, pero no sabemos si será en primer semestre o el segundo.

Ojalá llegue pronto para que nuestros legisladores, Ministra Sinde incluída, puedan ver cómo en otros países la industria audiovisual se ha adaptado a los nuevos tiempos.

Vía: ALT1040

Los ciudadanos y las empresas usuarias de Internet adheridas a este texto manifestamos:

1. Que Internet es una Red Neutral por diseño, desde su creación hasta su actual implementación, en la que la información fluye de manera libre, sin discriminación alguna en función de origen, destino, protocolo o contenido.
2. Que las empresas, emprendedores y usuarios de Internet han podido crear servicios y productos en esa Red Neutral sin necesidad de autorizaciones ni acuerdos previos, dando lugar a una barrera de entrada prácticamente inexistente que ha permitido la explosión creativa, de innovación y de servicios que define el estado de la red actual.
3. Que todos los usuarios, emprendedores y empresas de Internet han podido definir y ofrecer sus servicios en condiciones de igualdad llevando el concepto de la libre competencia hasta extremos nunca antes conocidos.
4. Que Internet es el vehículo de libre expresión, libre información y desarrollo social más importante con el que cuentan ciudadanos y empresas. Su naturaleza no debe ser puesta en riesgo bajo ningún concepto.
5. Que para posibilitar esa Red Neutral las operadoras deben transportar paquetes de datos de manera neutral sin erigirse en “aduaneros” del tráfico y sin favorecer o perjudicar a unos contenidos por encima de otros.
6. Que la gestión del tráfico en situaciones puntuales y excepcionales de saturación de las redes debe acometerse de forma transparente, de acuerdo a criterios homogéneos de interés público y no discriminatorios ni comerciales.
7. Que dicha restricción excepcional del tráfico por parte de las operadoras no puede convertirse en una alternativa sostenida a la inversión en redes.
8. Que dicha Red Neutral se ve amenazada por operadoras interesadas en llegar a acuerdos comerciales por los que se privilegie o degrade el contenido según su relación comercial con la operadora.
9. Que algunos operadores del mercado quieren “redefinir” la Red Neutral para manejarla de acuerdo con sus intereses, y esa pretensión debe ser evitada; la definición de las reglas fundamentales del funcionamiento de Internet debe basarse en el interés de quienes la usan, no de quienes la proveen.
10. Que la respuesta ante esta amenaza para la red no puede ser la inacción: no hacer nada equivale a permitir que intereses privados puedan de facto llevar a cabo prácticas que afectan a las libertades fundamentales de los ciudadanos y la capacidad de las empresas para competir en igualdad de condiciones.
11. Que es preciso y urgente instar al Gobierno a proteger de manera clara e inequívoca la Red Neutral, con el fin de proteger el valor de Internet de cara al desarrollo de una economía más productiva, moderna, eficiente y libre de injerencias e intromisiones indebidas. Para ello es preciso que cualquier moción que se apruebe vincule de manera indisoluble la definición de Red Neutral en el contenido de la futura ley que se promueve, y no condicione su aplicación a cuestiones que poco tienen que ver con ésta.

La Red Neutral es un concepto claro y definido en el ámbito académico, donde no suscita debate: los ciudadanos y las empresas tienen derecho a que el tráfico de datos recibido o generado no sea manipulado, tergiversado, impedido, desviado, priorizado o retrasado en función del tipo de contenido, del protocolo o aplicación utilizado, del origen o destino de la comunicación ni de cualquier otra consideración ajena a la de su propia voluntad. Ese tráfico se tratará como una comunicación privada y exclusivamente bajo mandato judicial podrá ser espiado, trazado, archivado o analizado en su contenido, como correspondencia privada que es en realidad.

Europa, y España en particular, se encuentran en medio de una crisis económica tan importante que obligará al cambio radical de su modelo productivo, y a un mejor aprovechamiento de la creatividad de sus ciudadanos. La Red Neutral es crucial a la hora de preservar un ecosistema que favorezca la competencia e innovación para la creación de los innumerables productos y servicios que quedan por inventar y descubrir. La capacidad de trabajar en red, de manera colaborativa, y en mercados conectados, afectará a todos los sectores y todas las empresas de nuestro país, lo que convierte a Internet en un factor clave actual y futuro en nuestro desarrollo económico y social, determinando en gran medida el nivel de competitividad del país. De ahí nuestra profunda preocupación por la preservación de la Red Neutral. Por eso instamos con urgencia al Gobierno español a ser proactivo en el contexto europeo y a legislar de manera clara e inequívoca en ese sentido.

Si te sientes representado por este manifiesto te pedimos encarecidamente que lo copies y lo publiques en tu blog o que lo menciones en tu cuenta de Twitter o en Facebook usando el hashtag #redneutral. ¡Muchas gracias!

Durante estos días, expertos en seguridad informática de la Unión Europea se han congregado en una especie de cibermaniobras conjuntas en las que pretenden probar mecanismos de respuesta ante ataques a los sistemas de información de los países miembros de la unión. Estas maniobras, denominadas Cyber Europe 2010, consisten, entre otras actividades, en la realización de ataques simulados a los sistemas vitales de varios países europeos, con la intención de paralizarlos, y que deben ser contrarrestados por los expertos en seguridad. El objetivo del ensayo es analizar qué ocurriría si, por causa de un ataque, se perdiese la conectividad a sistemas de información esenciales, impidiendo el acceso a servicios básicos y fundamentales a los ciudadanos, empresas o instituciones.

Si bien ensayar las medidas para contrarrestar los ataques era uno de los objetivos de estas maniobras, había un objetivo mucho más importante, al menos para mí; la cooperación entre los estados miembros para evitar un colapso total de la red. Neelie Kroes, Vicepresidenta de la Comisión Europea responsable de la Agenda Digital, en su visita al centro de ciberataques del Reino Unido, afirmó que:

Este ejercicio con el que se somete a prueba el nivel de preparación de Europa contra los ciberataques constituye un primer paso importante en el trabajo que hemos de realizar juntos para combatir las amenazas electrónicas potenciales contra nuestras infraestructuras esenciales y garantizar que los ciudadanos y las empresas se sientan seguros y protegidos en línea

Este nuevo frente de acción, el de los ataques informáticos, preocupa cada vez más a los gobiernos de todo el mundo y la verdad es que no es para menos; según los rumores, fuimos testigos de ello en el caso del virus de SCADA y la central nuclear iraní. Este será un tema cada vez más recurrente en los medios de comunicación y en las agendas de todos los países, el ciberterrorismo es un hecho que no puede ser ignorado, por lo que cada vez más estados están tomando conciencia y están creando departamentos o grupos encargados de preparar planes de defensa en este nuevo campo de batalla.

En este caso, el evento ha sido organizado por la Comisión Europea, la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) y del Centro Común de Investigación (JRC), además de contar con la participación de Islandia, Noruega y Suiza.

Dentro de los ejercicios a llevar cabo, se simulará un ataque dirigido a servicios fundamentales que produzca una degradación del servicio de acceso a Internet de los países europeos hasta que todas las grandes conexiones intraeuropeas dejen de funcionar. Durante esta simulación, se irán perdiendo servicios básicos, como por ejemplo el acceso a servicios de administración electrónica, mientras los expertos buscan la manera de desviar el tráfico de las conexiones afectadas hacia otras rutas. El objetivo es simple, ensayar las medidas y metodologías que cada país ha desarrollado, ponerlas en común y, sobre todo, ejecutar acciones de manera conjunta y coordinada entre los distintos países, además de poner a prueba los canales de comunicación y coordinación en caso de emergencia.

No sé si los resultados de estas pruebas se harán públicos, supongo que no, para no dar pistas a algún atacante ni tampoco desanimar a los ciudadanos si resultan ser un desastre. Si ya es complicada la coordinación de las administraciones dentro de un país, la heterogeneidad de organismos entre los distintos países miembros y la imperante burocracia de las administraciones pueden ser dos factores de riesgo que sí que deben ser probados en este tipo de simulacros. Por la cuenta que me trae, espero que sobre este cibercomando europeo podamos decir que la unión hace la fuerza.

Vía: Comisión Europea | Imagen: DefenseTech