Archivos de la etiqueta: Seguridad

28Abr/21

Resolución AG/RES. 2004 (XXXIV-O/04) de 8 de junio de 2004

Resolución AG/RES. 2004 (XXXIV-O/04) de 8 de junio de 2004. Adopción de una Estrategia Interamericana Integral de Seguridad Cibernética: Un enfoque multidimensional y multidisciplinario para la creación de una cultura de Seguridad Cibernética.

AG/RES. 2004 (XXXIV-O/04)

ADOPCIÓN DE UNA ESTRATEGIA INTERAMERICANA INTEGRAL PARA COMBATIR LAS AMENAZAS A LA SEGURIDAD CIBERNÉTICA:

UN ENFOQUE MULTIDIMENSIONAL Y MULTIDISCIPLINARIO PARA LA CREACIÓN DE UNA CULTURA DE SEGURIDAD CIBERNÉTICA

 (Aprobada en la cuarta sesión plenaria, celebrada el 8 de junio de 2004)

LA ASAMBLEA GENERAL,

VISTO el informe anual del Consejo Permanente a la Asamblea General (AG/doc.4265/04 add. 5 corr. 1), en particular la sección sobre los temas encomendados a la Comisión de Seguridad Hemisférica, y específicamente las recomendaciones sobre una Estrategia Interamericana Integral para Combatir las Amenazas a la Seguridad Cibernética;

RECORDANDO su resolución AG/RES. 1939 (XXXIII-O/03),Desarrollo de una estrategia interamericana para combatir las amenazas a la seguridad cibernética”;

TENIENDO PRESENTE que el Comité Interamericano contra el Terrorismo (CICTE), en su cuarto período ordinario de sesiones, celebrado en Montevideo, Uruguay, del 28 al 30 de enero de 2004, adoptó la Declaración de Montevideo (CICTE/DEC. 1/04 rev. 3), en la que declara su compromiso de identificar y combatir las amenazas terroristas emergentes, independientemente de sus origen o motivación, tales como las amenazas a la seguridad cibernética;

OBSERVANDO CON SATISFACCIÓN:

Que la Conferencia de la OEA sobre Seguridad Cibernética, celebrada en Buenos Aires, Argentina, del 28 al 29 de julio de 2003, en cumplimiento de la resolución AG/RES. 1939 (XXXIII-O/03), demostró la gravedad de las amenazas en el ámbito de seguridad cibernética a los sistemas de información esenciales, las estructuras de información esenciales y las economías en todo el mundo y subrayó que una acción eficaz para abordar este problema debe contar con cooperación intersectorial y coordinación entre una amplia gama de entidades gubernamentales y no gubernamentales;

Que el CICTE, en su cuarto período ordinario de sesiones, celebrado en Montevideo, Uruguay, del 28 al 30 de enero de 2004, consideró el documento “Marco para el establecimiento de una Red Interamericana CSIRT de vigilancia y alerta” (CICTE/INF.4/04) y decidió celebrar una reunión de expertos gubernamentales en materia de seguridad cibernética en marzo de 2004 en Ottawa, Canadá, a fin de preparar sus recomendaciones para el proyecto de Estrategia Interamericana Integral para Combatir las Amenazas a la Seguridad Cibernética, en cumplimiento de la resolución AG/RES. 1939 (XXXIII-O/03); y

Las recomendaciones formuladas por el CICTE (CICTE/REGVAC/doc.2/04), la CITEL (CPP.I-TEL/doc.427/04 rev. 2) y la Reunión de Ministros de Justicia o Ministros o Procuradores Generales de las Américas (REMJA) y su Grupo de Expertos Gubernamentales en Materia de Delito Cibernético (CIBER-III/doc.4/03);

ACOGIENDO CON BENEPLÁCITO el proyecto de Estrategia Interamericana Integral para Combatir las Amenazas a la Seguridad Cibernética: Un enfoque multidimensional y multidisciplinario para crear una cultura de seguridad cibernética, recomendado a la Asamblea General por el Consejo Permanente como un esfuerzo conjunto de los Estados Miembros y sus expertos con los conocimientos técnicos especializados del CICTE, la CITEL y el Grupo de Expertos Gubernamentales en Materia de Delito Cibernético de la REMJA (CP/doc…/04);

RECONOCIENDO:

La urgente necesidad de incrementar la seguridad de las redes y sistemas de información comúnmente denominados Internet, a fin de abordar las vulnerabilidades y proteger a los usuarios, la seguridad nacional y las infraestructuras esenciales frente a las graves y perjudiciales amenazas que representan aquellos que podrían llevar a cabo ataques en el espacio cibernético con fines maliciosos o delictivos;

La necesidad de crear una red interamericana de alerta y vigilancia para diseminar rápidamente información sobre seguridad cibernética y responder a crisis, incidentes y amenazas a la seguridad de las computadoras y recuperarse de los mismos;

La necesidad de desarrollar redes y sistemas de Internet dignos de confianza y fiables, mejorando de ese modo la confianza del usuario en dichas redes y sistemas;

REITERANDO la importancia de desarrollar una estrategia global para la protección de la infraestructura de información que adopte un enfoque integral, internacional y multidisciplinario;

CONSIDERANDO:

Las resoluciones 55/63 y 56/121 de la Asamblea General de las Naciones Unidas sobre la lucha contra la utilización de la tecnología de la información con fines delictivos, la resolución 57/239 relativa a la creación de una cultura mundial de seguridad cibernética y la resolución 58/199 sobre la creación de una cultura mundial de seguridad cibernética y la protección de las infraestructuras de información esenciales; y

Que en su XII Reunión, el Comité Directivo Permanente de la Comisión Interamericana de Telecomunicaciones (COM/CITEL), señaló que la “creación de una cultura de ciberseguridad para proteger la infraestructura de las telecomunicaciones aumentando la conciencia entre todos los participantes de las Américas en las redes y sistemas de información relacionados con el riesgo de dichos sistemas y desarrollando las medidas necesarias para hacer frente a los riesgos de seguridad respondiendo rápidamente a los ciber-incidentes” es parte de los mandatos de la CITEL,

RESUELVE:

1. Adoptar el proyecto de Estrategia Interamericana Integral de Seguridad Cibernética que se adjunta como anexo.

2. Instar a los Estados Miembros a implementar dicha Estrategia.

3. Instar a los Estados Miembros a establecer o identificar grupos nacionales de “vigilancia y alerta”, también conocidos como “Equipos de Respuesta a Incidentes de Seguridad en Computadoras” (CSIRT).

4. Dar renovado énfasis a la importancia de lograr sistemas seguros de información de Internet en todo el Hemisferio.

5. Solicitar al Consejo Permanente que, por medio de la Comisión de Seguridad Hemisférica, siga abordando esta cuestión y continúe facilitando las medidas de coordinación para implementar dicha Estrategia, en particular los esfuerzos de los expertos gubernamentales, el Comité Interamericano contra el Terrorismo (CICTE), la Comisión Interamericana de Telecomunicaciones (CITEL) y el Grupo de Expertos en Materia de Delito Cibernético de la Reunión de Ministros de Justicia o de Ministros o Procuradores Generales de las Américas (REMJA) y otros órganos pertinentes de la OEA.

6. Instar a los Estados Miembros y a los órganos, organismos y entidades de la OEA a que coordinen sus esfuerzos para incrementar la seguridad cibernética.

7. Solicitar a las Secretarías del CICTE y la CITEL y al Grupo de Expertos Gubernamentales en Materia de Delito Cibernético de la REMJA que asistan a los Estados Miembros, cuando lo soliciten, en la implementación de las respectivas partes de la Estrategia y presenten un informe conjunto al Consejo Permanente, por medio de la Comisión de Seguridad Hemisférica, sobre el cumplimiento de esta resolución, antes del trigésimo quinto período ordinario de sesiones de la Asamblea General.

8. Respaldar la celebración de la segunda Reunión de Practicantes Gubernamentales en Materia de Seguridad Cibernética que convocará el CICTE para el seguimiento oportuno de las recomendaciones sobre el Establecimiento de la Red Interamericana de Alerta y Vigilancia, que figuran en el documento CICTE/REGVAC/doc.2/04 y que forman parte de la Estrategia.

9. Estipular que esa Reunión de Practicantes Gubernamentales en Materia de Seguridad Cibernética se celebre con los recursos asignados en el programa-presupuesto de la Organización y otros recursos, y solicitar que la Secretaría General y la Secretaría del CICTE proporcionen el apoyo administrativo y técnico necesario para esta reunión.

10. Instar a los Estados Miembros a implementar, según corresponda, las recomendaciones de la Reunión Inicial del Grupo de Expertos Gubernamentales en Materia de Delito Cibernético de la REMJA (REMJA-V/doc.5/04) y las recomendaciones relativas a seguridad cibernética de la Quinta Reuníón de la REMJA (REMJA-V/doc.7/04 rev. 4) como medio de crear un marco para promulgar leyes que protejan los sistemas de información, impidan el uso de computadoras para facilitar actividades ilícitas y sancionen el delito cibernético.

11. Solicitar al Consejo Permanente que informe a la Asamblea General en su trigésimo quinto período ordinario de sesiones sobre la implementación de esta resolución.

ANEXO A. UNA ESTRATEGIA INTERAMERICANA INTEGRAL DE SEGURIDAD CIBERNÉTICA: UN ENFOQUE MULTIDIMENSIONAL Y MULTIDISCIPLINARIO  PARA LA CREACIÓN DE UNA CULTURA DE SEGURIDAD CIBERNÉTICA.

INTRODUCCIÓN

La Internet y las redes y tecnologías relacionadas se han convertido en instrumentos indispensables para los Estados Miembros de la OEA.  La Internet ha impulsado un gran crecimiento en la economía mundial y ha aumentado la eficacia, productividad y creatividad en todo el Hemisferio. Individuos, empresas y gobiernos cada vez utilizan más las redes de información que integran la Internet para hacer negocios; organizar y planificar actividades personales, empresariales y gubernamentales; transmitir comunicaciones; y realizar investigaciones. Asimismo, en la Tercera Cumbre de las Américas, en la ciudad de Quebec, Canadá, en 2001, nuestros líderes se comprometieron a seguir aumento la conectividad en las Américas.

Lamentablemente, la Internet también ha generado nuevas amenazas que ponen en peligro a toda la comunidad mundial de usuarios de Internet.  La información que transita por Internet puede ser malversada y manipulada para invadir la privacidad de los usuarios y estafar a los negocios.  La destrucción de los datos que residen en las computadoras conectadas por Internet puede obstaculizar las funciones del gobierno e interrumpir el servicio público de telecomunicaciones y otras infraestructuras críticas.  Estas amenazas a nuestros ciudadanos, economías y servicios esenciales, tales como las redes de electricidad, aeropuertos o suministro de agua, no pueden ser abordadas por un solo gobierno ni tampoco pueden combatirse utilizando una sola disciplina o práctica.  Como reconoce la Asamblea General en la resolución AG/RES. 1939 (XXXIII-O/03) (Desarrollo de una Estrategia Interamericana para Combatir las Amenazas a la Seguridad Cibernética), es necesario desarrollar una estrategia integral para la protección de las infraestructuras de información que adopte un enfoque integral, internacional y multidisciplinario. La OEA está comprometida con el desarrollo e implementación de esta estrategia de seguridad cibernética y en respaldo a esto, celebró una Conferencia sobre Seguridad Cibernética (Buenos Aires, Argentina, del 28 al 29 de julio de 2003) que demostró la gravedad de las amenazas a la seguridad cibernética para la seguridad de los sistemas de información esenciales, las insfraestructuras esenciales y las economías en todo el mundo, y que una acción eficaz para abordar este problema debe contar con la cooperación intersectorial y la coordinación entre una amplia gama de entidades gubernamentales y no gubernamentales.(1)

De forma similar, en la Conferencia Especial sobre Seguridad (Ciudad de México, México, del 28 al 20 de octubre de 2003) los Estados Miembros consideraron el tema de la seguridad cibernética y acordaron lo siguiente:

“Desarrollaremos una cultura de seguridad cibernética en las Américas adoptando medidas de prevención eficaces para prever, tratar y responder a los ataques cibernéticos, cualquiera sea su origen, luchando contra las amenazas cibernéticas y la delincuencia cibernética, tipificando los ataques contra el espacio cibernético, protegiendo la infraestructura crítica y asegurando las redes de los sistemas. Reafirmamos nuestro compromiso de desarrollar e implementar una estrategia integral de la OEA sobre seguridad cibernética, utilizando las contribuciones y recomendaciones elaboradas conjuntamente por los expertos de los Estados Miembros y por el Grupo de Expertos Gubernamentales de la REMJA en Materia de Delito Cibernético, el CICTE, la Comisión Interamericana de Telecomunicaciones (CITEL) y otros órganos apropiados, teniendo en cuenta el trabajo que desarrollan los Estados Miembros coordinado con la Comisión de Seguridad Hemisférica.”(2)

Los estados del Hemisferio, reunidos en el cuarto período ordinario de sesiones del Comité Interamericano contra el Terrorismo (CICTE) (Montevideo, Uruguay, del 28 al 30 de enero de 2004), una vez más declararon su compromiso de combatir el terrorismo, incluidas las amenazas a la seguridad cibernética, la cual identificaron como una de las amenazas terroristas emergentes.(3)  en esa ocasión, el CICTE también consideró el documento “Marco para establecer una Red Interamericana CSIRT de Vigilancia y Alerta”.(4)  en esa ocasión el CICTE también decidió celebrar, en Ottawa, Canádá, en marzo de 2004, una reunión de expertos o practicantes gubernamentales para considerar ese Marco y elaborar recomendaciones, como aporte del CICTE a la Estrategia Interamericana Integral de Seguridad Cibernética.

La Estrategia Interamericana Integral de Seguridad Cibernética se basa en los esfuerzos y conocimientos especializados del Comité Interamericano contra el Terrorismo (CICTE), la Comisión Interamericana de Telecomunicaciones  (CITEL), y la Reunión de Ministros de Justicia o Ministros o Procuradores Generales de las Américas (REMJA).  La Estrategia reconoce la necesidad de que todos los participantes en las redes y sistemas de información sean conscientes de sus funciones y responsabilidades con respecto a la seguridad a fin de crear una cultura de seguridad cibernética.

La Estrategia también reconoce que un marco eficaz para la protección de las redes y sistemas de información que integran la Internet y para responder a incidentes y recuperarse de los mismos dependerá en igual medida de que:

Se proporcione información a los usuarios y operadores para ayudarles a asegurar sus computadoras y redes contra amenazas y vulnerabilidades, y a responder ante incidentes y a recuperarse de los mismos;

Se fomenten asociaciones públicas y privadas con el objetivo de incrementar la educación y la concientización, y se trabaje con el sector privado –el cual posee y opera la mayoría de las infraestructuras de información de las que dependen las naciones—para asegurar esas infraestructuras;

Se identifiquen y evalúen normas técnicas y prácticas óptimas para asegurar la seguridad de la información transmitida por Internet y otras redes de comunicaciones, y se promueva la adopción de las mismas; y

Se promueva la adopción de políticas y legislación sobre delito cibernético que protejan a los usuarios de Internet y prevengan y disuadan el uso indebido e ilícito de computadoras y redes informáticas, respetando a su vez la privacidad de los derechos individuales de los usuarios de Internet.

Los Estados Miembros de la OEA están comprometidos, en el marco de este proyecto de Estrategia Interamericana Integral de Seguridad Cibernética, a fomentar una cultura de seguridad cibernética que disuada el uso indebido de la Internet y los sistemas de información asociados e impulse el desarrollo de redes de información que sean de confianza y fiables.  Este compromiso se llevará a cabo por medio de las acciones de los Estados Miembros y las iniciativas que emprenderán el CICTE, la CITEL, y el Grupo de Expertos Gubernamentales en Materia de Delito Cibernético de la REMJA que se describen a continuación.

CICTE: Formación de una Red Interamericana de Vigilancia y Alerta para la rápida divulgación de información sobre seguridad cibernética y la respuesta a crisis, incidentes y amenazas a la seguridad informática

Dada la rápidamente cambiante naturaleza de la tecnología, el descubrimiento diario de nuevas vulnerabilidades en el software y hardware, y el creciente número de incidentes de seguridad, la seguridad cibernética es imposible sin un suministro constante y fiable de información sobre amenazas y vulnerabilidades y sobre cómo responder ante estos incidentes y recuperarse de los mismos. Por lo tanto, en respaldo a la Estrategia Interamericana Integral de Seguridad Cibernética, el CICTE formulará planes para la creación de una red hemisférica que funcione 24 horas al día, 7 días a la semana, de Equipos de Respuesta a Incidentes de Seguridad en Computadoras (CSIRT) con la capacidad y el mandato de divulgar correcta y rápidamente información relacionada con la seguridad cibernética y proporcionar orientación y apoyo técnico en el caso de un incidente cibernético.  Estos equipos podrían empezar simplemente como puntos nacionales de contacto ubicados en cada Estado encargados de recibir información relacionada con la seguridad informática que se transformarían en CSIRT en el futuro. Las características principales de la iniciativa para crear esta red hemisférica se esbozan más abajo y se describen en detalle en el documento “Recomendaciones del Taller para Practicantes en Materia de Seguridad Cibernética del CICTE sobre la Estrategia Integral de Seguridad Cibernética de la OEA: Marco para establecer una Red Interamericana CSIRT de Vigilancia y Alerta” (CICTE/REGVAC/doc.2/04).(5) El CICTE creará, junto con los Estados Miembros, esta red hemisférica utilizando el plan de acción que se presenta en ese documento (CICTE/REGVAC/ doc.2/04, Sección IV, páginas 4-6).

Principios

Los grupos de “vigilancia y alerta” que participarán en la iniciativa del CICTE compartirán los siguientes principios comunes:

Locales – La red hemisférica debe ser manejada y controlada por los puntos nacionales de contacto en cada país participante nombrados por los gobiernos.

Sistémicos – La red hemisférica requiere un personal capacitado, la distribución periódica de información relativa a las amenazas y vulnerabilidades vigentes, una reevaluación constante, la implementación de las mejores prácticas y la apropiada interacción con las personas encargadas de formular políticas.

Permanentes – Debido a la evolución diaria inherente a la Internet, el programa deberá actualizarse y mantenerse con regularidad, y el personal deberá ser capacitado periódicamente.

Responsables – Deben entenderse y seguirse las reglas establecidas con respecto a cuestiones tales como el manejo y el suministro de la información, ya que de otra manera los usuarios perderían la confianza y los esfuerzos para proteger el sistema se verán perjudicados e incluso serán contraproducentes.

Basados en disposiciones ya existentes – Hay un número de entidades que ya existen en el Hemisferio y que proporcionan servicios de seguridad cibernética en mayor o menor medida. Un sistema nuevo deberá basarse en esas instituciones ya existentes, a fin de evitar duplicaciones y promover una participación activa.

Creación de la red hemisférica

La creación de una red hemisférica de CSIRT requerirá una serie de medidas progresivas que dependerán de la participación activa de los Estados Miembros:

Identificación de organizaciones CSIRT existentes – Debe realizarse un censo de CSIRT en el Hemisferio a fin de identificar lagunas en la cobertura de los CSIRT que actualmente existen en el Hemisferio y prevenir la duplicación de esfuerzos.

Establecimiento de un modelo de servicio – Los CSIRT nacionales deberán ser designados por sus gobiernos respectivos y será certificados y autorizados de acuerdo con las normas internacionales de la comunidad de servicios informáticos.  También deberá establecerse un conjunto mínimo de normas para la cooperación y el intercambio de información entre los CSIRT, como las que se enumeran en el documento CICTE/REGVAC/doc.2/04.

Cuestiones de confianza – Dado que gran parte de la información que tienen que intercambiar los CSIRT es de propiedad exclusiva, o es de carácter delicado por otros motivos, debe crearse confianza entre los participantes como un elemento esencial de la red hemisférica.  Para establecer relaciones de confianza, los CSIRT deberán contar con los atributos y capacidades que se describen en el documento CICTE/REGVAC/doc.2/04, los cuales incluyen una infraestructura segura para el manejo de información delicada; la capacidad para comunicarse sin riesgos con los interesados; y procedimientos de protección contra la fuga de información.  Los Estados Miembros mantendrán en todo momento el derecho a determinar el tipo de información que intercambiarían a través de sus CSIRT designados.

Creación de conciencia pública – Los CSIRT nacionales deberán asegurar que el público sabe cómo notificar un incidente cibernético y a quién notificarlo.

Extensión de la red – Los Estados Miembros considerarán, cuando proceda, extender las capacidades de la red hemisférica, a fin de ayudar a los Estados que así lo soliciten en la elaboración de sus planes concretos, la obtención de financiamiento y la creación de proyectos de desarrollo de capacidades.

Mantenimiento de la red – El Grupo de Practicantes Gubernamentales en Materia de Seguridad Cibernética se reunirá periódicamente, en la medida necesaria y cuando lo convoque el CICTE, teniendo en cuenta los recursos disponibles.

CITEL:  Identificación y adopción de normas técnicas para una arquitectura segura de Internet

La IV Reunión del Comité Consultivo Permanente I: Normalización de las Telecomunicaciones, celebrada en Quito, Ecuador, del 16 al 19 de marzo de 2004, adoptó la Resolución adjunta CCP.I/RES.49 (IV-04)(6)Seguridad cibernética“, tras llevar a cabo un taller conjunto con la Unión Internacional de Telecomunicaciones (UIT) que abordó cuestiones clave de seguridad cibernética en lo que concierne a la CITEL. Dicha resolución, que incluye la contribución de la CITEL a la Estrategia Interamericana Integral sobre Seguridad Cibernética, se reproduce más adelante y proporciona orientación para la futura labor de la CITEL en esa área:

Una estrategia eficaz de seguridad cibernética deberá reconocer que la seguridad de la red de los sistemas de información que comprenden la Internet requiere una alianza entre el gobierno y la industria. Tanto las industrias de telecomunicaciones y de tecnología de la información como los gobiernos de los Estados Miembros de la OEA están buscando soluciones integrales de seguridad cibernética eficaces en función de costos. Las capacidades de seguridad en los productos de computación son imprescindibles como elementos de la seguridad global de la red. Sin embargo, a medida de que se produzcan más tecnologías y se las integren en las redes existentes, su compatibilidad e interoperabilidad – o la falta de estas – determinarán su eficacia. La seguridad deberá desarrollarse de una manera tal que promueva la integración de capacidades de seguridad aceptables con la arquitectura general de la red. Para lograr semejantes soluciones integradas de seguridad cibernética con base en la tecnología, deberá diseñarse la seguridad de la red alrededor de normas internacionales desarrolladas en un proceso abierto.

El desarrollo de normas para la arquitectura de seguridad en Internet requerirá un proceso de múltiples pasos para asegurar que se logre un nivel adecuado de consenso, planificación y aceptación entre las diferentes entidades gubernamentales y privadas que deberán cumplir un papel en la promulgación de semejantes normas. Aprovechando el trabajo de organizaciones de normalización como el Sector de Normalización de la Unión Internacional de Telecomunicaciones (UIT-T), la CITEL está identificando y evaluando las normas técnicas para poder recomendar su aplicabilidad a la región de las Américas, teniendo presente que el desarrollo de las redes en algunos de los Estados Miembros de la OEA ha sufrido algunos retrasos, lo que implica que, para tales países, el logro de un cierto grado de calidad para sus redes será importante para poder llevar a cabo plenamente sistemas para intercambio de información adecuadamente seguros. La CITEL está estableciendo enlaces, además, con otras entidades de normalización y foros de la industria para obtener la participación y los aportes de dichas partes.

La identificación de las normas de seguridad cibernética será un proceso de múltiples pasos. Una vez que la evaluación por la CITEL de las normas técnicas vigentes se complete, recomendará la adopción de normas especialmente importantes para la región. Además, en forma oportuna y permanente, identificará los obstáculos que impidan la aplicación de dichas normas de seguridad en las redes de la región, y la posible acción apropiada que puedan considerar los Estados Miembros.

El desarrollo de las normas técnicas no es un emprendimiento que sea igual para todos. La CITEL evaluará los enfoques regionales a la seguridad de redes, las estrategias de despliegue, el intercambio de información y la difusión a los sectores público y privado. Como parte de este esfuerzo, la CITEL identificará los recursos para las mejores prácticas en la comunicación en redes y la protección de la infraestructura con base en las tecnologías. Este proceso requerirá que la CITEL revise los objetivos, el alcance, la pericia, los marcos técnicos y los lineamientos asociados con los recursos disponibles, para poder determinar su aplicabilidad dentro de la región de las Américas, con el fin de decidir cuáles serán los más apropiados. La CITEL continuará trabajando con los Estados Miembros para asistirles para la aplicación más apropiada y eficaz.

La contribución de la CITEL a la Estrategia Interamericana Integral de Seguridad Cibernética adoptará un enfoque prospectivo y buscará fomentar el intercambio de información entre los Estados Miembros para así promover las redes seguras. Identificará y evaluará los asuntos técnicos relativos a las normas requeridas para la seguridad de las redes futuras de comunicaciones en la región, así como las existentes. Esta función aprovechará primordialmente del trabajo del UIT-T. Otras entidades de normalización existentes, a través de la CITEL, serán consideradas según sean apropiadas. en último término, la CITEL resaltará las normas de seguridad de especial importancia y recomendará que los Estados Miembros adopten dichas normas. También es importante enfatizar el papel crucial de la CITEL en la promoción de programas de aumento de la capacidad y capacitación, con el fin de llevar adelante el proceso de propagación de información técnica y práctica relacionada con los asuntos de la seguridad cibernética.

La CITEL reconoce que, aunque la primera prioridad deberá enfocarse en las políticas públicas que llevarán los beneficios de las tecnologías de las telecomunicaciones y la información a todos los ciudadanos de los Estados Miembros de la OEA, el fortalecimiento de la alianza privada- pública que redundará en la adopción amplia de un marco de normas técnicas que ayudarán a asegurar la Internet, requerirá de la comunicación y cooperación entre y dentro de las comunidades involucradas en esta asociación. La CITEL fomentará la cooperación entre los Estados Miembros en los aspectos relativos a la seguridad de redes, mediante la asistencia a las administraciones a que adopten políticas y prácticas que incentiven a los proveedores de servicios y redes a aplicar las normas técnicas para la seguridad de sus redes. La nueva edición del Libro Azul “Políticas de Telecomunicaciones para las Américas”, publicación conjunta de la CITEL y la UIT, incluirá un capítulo sobre la seguridad cibernética.  La CITEL también fomentará un diálogo dentro de las comunidades técnicas y gubernamentales pertinentes con relación al trabajo sobre la seguridad cibernética y de redes mediante seminarios conjuntos con la UIT sobre normas de seguridad. Las acciones de la CITEL podrán también incluir materias relativas a las políticas de telecomunicaciones, prácticas, regulaciones, aspectos económicos y responsabilidades de los usuarios, todo ello en el marco jurídico dentro del cual operan los servicios de telecomunicaciones, y dentro de las funciones y responsabilidades de la CITEL.

REMJA: Asegurar que los Estados Miembros de la OEA cuentan con los instrumentos jurídicos necesarios para proteger a los usuarios de Internet y las redes de información

Los delincuentes, como los “piratas informáticos”, los grupos delictivos organizados y los terroristas cada vez explotan más la Internet para fines ilícitos e ingenian nuevos métodos para utilizar la Internet como un medio para cometer y facilitar delitos.  Estas actividades ilícitas, a las que normalmente nos referimos como “delitos cibernéticos,” impiden el crecimiento y desarrollo de la Internet, fomentando el temor de que la Internet no es un medio seguro ni de confianza para realizar transacciones personales, gubernamentales o de negocios.  Por consiguiente, la contribución de la REMJA a la Estrategia Interamericana Integral de Seguridad Cibernética, por medio de las iniciativas del Grupo de Expertos Gubernamentales en Materia de Delito Cibernético (el Grupo de Expertos), se centrará en asistir a los Estados Miembros a combatir el delito cibernético, asegurando que las autoridades policiales y judiciales cuenten con los instrumentos jurídicos necesarios para investigar y enjuiciar dichos delitos. Esta decisión fue adoptada por la REMJA en su reunión celebrada del 28 al 30 de abril de 2004 en Washington, D.C., Estados Unidos.(7)

Redacción y promulgación de legislación en materia de delito cibernético y mejoramiento de la cooperación internacional en asuntos relacionados con delitos cibernéticos

Si no cuentan con leyes y reglamentos adecuados, los Estados Miembros no pueden proteger a sus ciudadanos de los delitos cibernéticos.  Además, los Estados Miembros que carecen de leyes y mecanismos de cooperación internacional en materia de delito cibernético corren el riesgo de convertirse en refugios para los delincuentes que cometen estos delitos.  Por consiguiente, el Grupo de Expertos proporcionará asistencia técnica a los Estados Miembros para la redacción y promulgación de leyes que tipifiquen el delito cibernético, protejan los sistemas de información y eviten el uso de las computadoras para facilitar actividades delictivas.  El Grupo de Expertos también promoverá mecanismos jurídicos que fomenten la cooperación en asuntos relacionados con delitos cibernéticos entre los investigadores y las autoridades policiales y judiciales que investigan y procesan casos de delitos cibernéticos.  Estas iniciativas de respaldo a la Estrategia Interamericana Integral de Seguridad Cibernética se emprenderán en el marco de las recomendaciones formuladas por el Grupo de Expertos (Tercera Reunión del Grupo de Expertos Gubernamentales en Materia de Delito Cibernético, OEA/Ser.K/XXXIV, CIBER-III/doc.4/03). (8)

Para llevar a cabo esta iniciativa, el Grupo de Expertos creará material de capacitación, proporcionará asistencia técnica y llevará a cabo talleres regionales para asistir en la formulación de políticas gubernamentales y leyes que ayuden a generar confianza en los sistemas de información y en la Internet, mediante la tipificación como delito del uso indebido de computadoras y redes informáticas.  La capacitación en colaboración que proporcionará el Grupo de Expertos a los Estados Miembros se centrará en la modernización de las leyes y reglamentos para hacer frente al desafío que representa la lucha contra el delito cibernético.  Uno de los objetivos principales de estas sesiones de capacitación será el esbozo de las leyes penales y protecciones de la privacidad que sean necesarias para ayudar a hacer más seguros sus sistemas de información y promover la confianza entre los usuarios de esos sistemas.  Específicamente, los talleres se concentrarán en la promulgación de distintas categorías de leyes:

Leyes substantivas sobre delitos cibernéticos – Todos los Estados Miembros deberán establecer prohibiciones de carácter penal y jurídico a los ataques contra la confidencialidad, integridad y seguridad de los sistemas informáticos. Comportamientos tales como el acceso a computadoras sin autorización, la intercepción ilícita de datos, la interferencia con la disponibilidad de sistemas informáticos, y el robo y sabotaje de datos deberán considerarse ilícitos de conformidad con la ley de cada Estado Miembro de la OEA.

Leyes procesales para la recopilación de pruebas electrónicas – Además, todos los países deberán contar con procedimientos claros acordes con las normas internacionales para el acceso del gobierno a las comunicaciones y los datos almacenados cuando sea necesario para la investigación de un delito. Es igualmente importante que se asegure a las empresas y consumidores que el gobierno no va a vigilar de forma injustificada sus comunicaciones, y que se asegure a los consumidores que los datos que suministran a los comerciantes no van a ser utilizados indebidamente.

Los talleres se centrarán en la necesidad de redactar dichas leyes de un manera que sea “neutral con respecto a la tecnología” (por ejemplo, dichas leyes deberán contemplar tipos de delitos o tipos de comportamiento en vez de ser redactadas solamente para contemplar un tipo particular de tecnología) para prevenir que las leyes recién promulgadas se vuelvan rápidamente obsoletas o irrelevantes.

La naturaleza sin fronteras de las redes mundiales significa que un único acto delictivo relacionado con una computadora puede afectar o dirigirse a computadoras en varios países. Durante sus talleres regionales, el Grupo de Expertos también proporcionará capacitación sobre cómo responder a estos desafíos en el marco de la cooperación internacional y facilitar el intercambio de información relativa a las investigaciones sobre casos de delitos cibernéticos.  Se pondrá especial énfasis en el establecimiento de relaciones entre los expertos en materia de delito cibernético en el Hemisferio a fin de facilitar la cooperación internacional y proporcionar un acceso fácil a los conocimientos especializados y recursos de la región para combatir el delito cibernético.

Tras la celebración de los talleres, el Grupo de Expertos asistirá nuevamente a los Estados Miembros proporcionando consultas jurídicas para respaldar a los ministerios del gobierno y legislaturas en la redacción de leyes, reglamentos y políticas.  Puede requerirse asistencia de los expertos a nivel bilateral para respaldar a los gobiernos en la formulación de leyes y políticas que consagren los conceptos centrales de las leyes en materia de delito cibernético, autoridades de investigación y privacidad.

CONCLUSIONES Y ESTRATEGIA DE SEGUIMIENTO

Cada una de las iniciativas del CICTE, la CITEL, y la REMJA que se describen arriba representa un pilar de este proyecto de Estrategia Interamericana Integral de Seguridad Cibernética. De forma conjunta, los esfuerzos multidisciplinarios concertados de estos órganos apoyarán el crecimiento, desarrollo y protección de la Internet y los sistemas de información relacionados, y protegerán a los usuarios de esas redes de información.  Estas iniciativas pueden ir cambiando con el paso del tiempo y requerir nuevos enfoques, pero su objetivo seguirá siendo el mismo: la creación y apoyo de una cultura de seguridad cibernética.  Considerando que la Estrategia es dinámica, debe emprenderse un examen periódico a fin de asegurar su continua aplicabilidad y eficacia. Esto puede lograrse a través de las siguientes acciones:

1. Coordinación y cooperación permanentes entre las Secretarías del CICTE, la CITEL y el Grupo de Expertos Gubernamentales en Materia de Delito Cibernético de la REMJA.

2. Fortalecimiento de la coordinación entre las autoridades y entidades nacionales, incluidos los CSIRT nacionales, que trabajan en cuestiones relacionadas con la seguridad cibernética.

3. Establecimiento de una sitio Web conjunto en el que pueda introducirse la información pertinente sobre seguridad cibernética generada por el CICTE, la CITEL y el Grupo de Expertos Gubernamentales en Materia de Delito Cibernético de la REMJA, a fin de permitir un fecundo intercambio de ideas y facilitar el intercambio de información.

4. Los Estados Miembros deberán llevar a cabo, junto con el CICTE, la CITEL y el Grupo de Expertos Gubernamentales de la REMJA en Materia de Delito Cibernético, un programa interamericano de concientización del público acerca de la seguridad y la ética cibernéticas en el que se destaquen: las ventajas y responsabilidades del uso de redes de información; las mejores prácticas de seguridad y protección; las posibles consecuencias negativas del uso indebido de las redes; cómo reportar un incidente cibernético y a quién; e información técnica y práctica relacionada con la seguridad cibernética.

5. Exámenes periódicos de las iniciativas y programas en materia de seguridad cibernética del CICTE, la CITEL y el Grupo de Expertos Gubernamentales de la REMJA en Materia de Delito Cibernético, y sobre la implementación de la Estrategia, que realizarán estos tres órganos, con un informe conjunto de progreso para la Asamblea General.

ANEXO I. COMITÉ INTERAMERICANO CONTRA EL TERRORISMO (CICTE)

TALLER PARA PRACTICANTES EN MATERIA DE SEGURIDAD CIBERNÉTICA 9-30 de marzo de 2004. Ottawa, Canadá                                                                                                                      

OEA/Ser.L/X.5 CICTE/REGVAC/doc.2/04 8 abril 2004. Original: inglés

RECOMENDACIONES DEL TALLER PARA PRACTICANTES EN MATERIA DE SEGURIDAD CIBERNÉTICA DEL CICTE SOBRE LA ESTRATEGIA INTEGRAL DE SEGURIDAD CIBERNÉTICA DE LA OEA: MARCO PARA ESTABLECER UNA RED INTERAMERICANA CSIRT DE VIGILANCIA Y ALERTA

I. OBJETIVOS

Crear una red hemisférica, que funcione 24 horas al día, 7 días a la semana, de puntos nacionales de contacto entre equipos de respuesta a incidentes de seguridad en computadoras (Computer Security Incident Response Teams: CSIRT) con responsabilidad nacional (CSIRT nacionales), en los Estados Miembros de la OEA, con el mandato y la capacidad de responder debida y rápidamente a las crisis, incidentes y peligros relacionados con la seguridad cibernética.

Estos equipos podrían comenzar simplemente como puntos de contacto oficiales en cada uno de los Estados y estarían a cargo de recibir información sobre seguridad cibernética. en el futuro se convertirían en un CSIRT.         

Los intrusos ahora tienen medios cada vez más complejos para lanzar ataques muy automatizados que se desplazan rápidamente a través de Internet, empleando técnicas que tienen por fin encubrir el origen de tales ataques y dificultar su rastreo. Por tanto, reviste importancia creciente la colaboración mundial y la capacidad de respuesta en tiempo real entre los equipos. Dicha colaboración debe permitir lo siguiente:

1. El establecimiento de CSIRT en cada uno de los Estados Miembros;

2. El fortalecimiento de los CSIRT hemisféricos;

3. La identificación de los puntos de contacto nacionales;

4. La identificación de los servicios críticos;

5. El diagnóstico rápido y preciso del problema;

6. El establecimiento de protocolos y procedimientos para el intercambio de información;

7. La pronta diseminación regional de advertencias sobre ataques;

8. La pronta diseminación regional de advertencias sobre vulnerabilidades genéricas;

9. La difusión de un alerta regional sobre actividades sospechosas y la colaboración para analizar y diagnosticar tales actividades;

10. El suministro de información sobre medidas para mitigar y remediar los ataques y amenazas;

11. La reducción de duplicaciones de análisis entre los equipos;

12. El fortalecimiento de la cooperación técnica y la capacitación en materia de seguridad cibernética para establecer los CSIRTs nacionales;

13. La utilización de los mecanismos subregionales existentes.

La colaboración refuerza los conocimientos técnicos existentes entre los equipos para limitar mejor los perjuicios y permitir que continúen funcionando los servicios de importancia crítica.

II. PRINCIPIOS

1. Locales – La red hemisférica debe ser manejada y controlada por los puntos nacionales de contacto en cada país participante nombrados por los gobiernos.

2. Sistémicos – La red hemisférica debe ser una operación multifacética que requiera un personal consciente y especializado, la distribución periódica de información relativa a las amenazas y vulnerabilidades vigentes, una reevaluación e implementación constantes de mejores prácticas y una interacción adecuada con las autoridades públicas.

3. Permanentes – Debido a la evolución diaria inherente a la Internet, para que tenga buen resultado todo programa deberá actualizarse y mantenerse con regularidad, y el personal deberá ser capacitado periódicamente. La seguridad en la Internet no se logrará mediante una acción única.

4. Responsables – La “seguridad” en la “ciberseguridad”. Deben entenderse y seguirse reglas establecidas respecto de cuestiones tales como el manejo y el suministro de la información, ya que de otra manera los usuarios perderían la confianza y los esfuerzos para proteger el sistema serán perjudicados e incluso serán contraproducentes.

Basados en disposiciones ya existentes – Hay un número de entidades que ya existen en el hemisferio, entre ellas, CSIRT, compañías consultoras y redes de contactos, que proporcionan servicios de seguridad cibernética en mayor o menor medida. Un sistema nuevo deberá basarse en esas instituciones ya existentes y las relaciones de confianza que ya se han establecido dentro de cada región y entre regiones, a fin de evitar duplicaciones y promover una participación activa.

III. IDENTIFICACIÓN DE ORGANIZACIONES EXISTENTES, ESTABLECIMIENTO DE UN MODELO DE SERVICIO, CUESTIONES DE CONFIANZA, FINANCIAMIENTO, CONCIENCIA PÚBLICA Y EXTENSIÓN DE LA RED

1. Identificación de organizaciones existentes

En todo el mundo hay más de cien organizaciones que usan el nombre CERT (Computer Emergency Response Team: equipo de respuesta a emergencias de computación) o CSIRT (el término genérico de significado equivalente). El Foro de Equipos de Respuesta a Incidentes y de Seguridad (Forum of Incident Response and Security Teams: FIRST), una asociación mundial voluntaria de equipos CSIRT, cuenta con 79 miembros en los Estados Miembros de la OEA, sin embargo la gran mayoría de estos actualmente existen en un Estado Miembro solamente. Dadas las lagunas en la información, llevar a cabo un censo de los CSIRT es el primer paso fundamental para la creación de una red de seguridad cibernética.

2. Establecimiento de un modelo de servicio

Si bien no hay normas internacionales acordadas sobre qué es lo que constituye un CSIRT, hay una serie de documentos y actividades que pueden servir para definir un equipo CSIRT y para la certificación y autorización de tales equipos.

El CERT/CC ha publicado varios documentos que pueden servir de ayuda para la creación de un CSIRT, entre los que se cuentan los siguientes:

Handbook for Computer Security Incident Response Teams (CSIRTs) (Manual para equipos de respuesta a incidentes de seguridad de computadoras (CSIRT)): guía actualizada sobre cuestiones genéricas que deben considerarse al formar un CSIRT;

State of the Practice of Computer Security Incident Response Teams (Estado actual de las prácticas de los equipos de respuesta a incidentes de seguridad de computadoras). Este informe contiene información recogida mediante un estudio piloto de estos equipos, la experiencia propia del CERT/CC, discusiones con otros CSIRT y observaciones de éstos, e investigación y críticas de las publicaciones actuales sobre la respuesta a incidentes; y

Creating a Computer Security Incident Response Team: A Process for Getting Started (Creación de un equipo de respuesta a incidentes de seguridad de computadoras: un método para su comienzo). Éste es un documento en el que se describen los requisitos básicos para crear un CSIRT.

Debería existir un sistema de certificación y autorización de CSIRT nacionales. Los Estados Miembros deberían considerar si la afiliación de sus CSIRT nacionales al FIRST satisfaría los requisitos de certificación y autorización.

Cuando se establece una red regional de CSIRT nacionales cooperantes, debe preverse un conjunto mínimo de normas para la cooperación y el intercambio de información entre los CSIRT, entre las que se contarían las siguientes:

i. designación del CSIRT nacional por el gobierno respectivo;

ii. convenio sobre los principios para compartir información entre los equipos cooperantes;

iii. responsabilidad por recibir información de otros CSIRT nacionales, y por diseminar dicha información entre las entidades idóneas dentro del país;

iv. participación en el intercambio de información entre los otros CSIRT nacionales en la red hemisférica;

v. autorización para diseminar información entre otros CSIRT nacionales; y

vi. prestación de asistencia a otros CSIRT nacionales para incidentes y amenazas.

3. Cuestiones de confianza

Gran parte de la información que tienen que intercambiar los CSIRT es de propiedad exclusiva, o es de carácter delicado por otros motivos, y hay pocos modelos buenos que sirvan para compartir uniformemente datos entre tales equipos. La confianza —el ingrediente esencial cuando se comparte información—, cuando existe, se desarrolla en la práctica entre individuos que se conocen y han trabajado juntos, más bien que institucionalmente entre organizaciones. Para establecer la confianza, todas las partes deben entender y seguir pautas claras sobre la forma en que la información intercambiada será usada o diseminada. Todos los CSIRT nacionales cooperantes deben convenir en las reglas para compartir información, que indiquen cómo tal información puede usarse o diseminarse.

Entre los atributos que los CSIRT requieren para promover la confianza en las comunicaciones y la cooperación respecto de asuntos delicados de seguridad figuran los siguientes:

i. una infraestructura segura para el manejo de información delicada;

ii. la capacidad para comunicarse sin riesgos con los interesados;

iii. la capacidad para reunir expertos y autoridades;

iv. una infraestructura que permita la notificación anticipada a determinadas audiencias;

v. procedimientos de protección contra fuga de información;

vi. una interfaz pública bien conocida para la diseminación de información crítica; y

vii. la capacidad para llegar rápidamente a una gran audiencia.

La creación de una capacidad CSIRT regional requiere la formación de un consenso sobre las reglas para el intercambio de información, incluso qué información puede compartirse, con quién, y cuándo.

4. Financiamiento

Los Estados Miembros considerarán los mecanismos de financiación para establecer y mantener un CSIRT nacional en cada país y participar en la red hemisférica.

5. Conciencia pública

 Los Estados Miembros deben llevar a cabo, junto con la CITEL y el Grupo de Trabajo de la REMJA, un programa interamericano de concientización del público acerca de la seguridad y la ética cibernéticas en el que se destaquen:

i.  las ventajas y responsabilidades del uso de redes de información;

ii. las mejores prácticas de seguridad y protección;

iii. las posibles consecuencias negativas del uso indebido de las redes;

iv. como reportar un incidente cibernético y a quien; y

v. información técnica y práctica relacionada con la seguridad cibernética.

El público incluye a los Estados Miembros, las entidades gubernamentales de todo nivel, el sector privado, el sector académico y la población general.

6. Extensión de la Red

Los Estados Miembros considerarán, cuando proceda, extender las capacidades de la red hemisférica, a fin de ayudar a los Estados que así lo soliciten en la elaboración de planes concretos, la obtención de financiamiento y la creación de proyectos de desarrollo de capacidades.

IV.  Plan de acción

A. Censo

Llevar a cabo un censo para identificar los CSIRT existentes, la diversidad de miembros y los servicios que proporcionan. Esto nos permitirá identificar las lagunas en la cobertura, tanto geográfica como sectorialmente, y establecerá las bases para fijar un conjunto consensual de servicios que ofrecerán los CSIRT miembros.

B. Reglas relativas al intercambio de información

 Establecer reglas relativas al intercambio de información entre los CSIRT, incluido cómo debe protegerse y difundirse la información intercambiada.

C. Establecimiento de los CSIRT nacionales

Cada Estado miembro establecerá los CSIRT nacionales. Entre sus responsabilidades figurarán la implementación de las propuestas pertinentes contenidas en el documento “Recomendaciones del Taller para Practicantes en Materia de Seguridad Cibernética del CICTE sobre la Estrategia Integral de Seguridad Cibernética de la OEA: Marco para Establecer una Red Interamericana CSIRT de Vigilancia y Alerta” (REGVAC/doc.2/04).

D. Punto nacional de contacto

Designar un punto nacional de contacto con capacidad para intercambiar información acerca de amenazas, deficiencias e incidentes, informar sobre el estado de la seguridad cibernética en su jurisdicción y brindar información oportuna a las autoridades de ésta.

E. Compendio de mejores prácticas

Producir un compendio de mejores prácticas basado en las normas y prácticas CSIRT internacionales. Éstas podrían incluir normas y protocolos para llevar a cabo monitoreo en tiempo real y un subsiguiente intercambio de información en toda la red, y podría servir de base para protocolos posteriores de asistencia técnica y pruebas.

F. Asistencia para construir y mantener los CSIRT en los Estados Miembros

Identificar los recursos y capacidades que pueden utilizarse para ayudar a los Estados Miembros a construir y mantener la capacidad de los CSIRT o mejorar las infraestructuras de los CSIRT existentes a fin de participar con eficacia en la red hemisférica y cumplir las reglas de intercambio de información. Se incluirá la asistencia técnica y capacitación de personal necesarias.

G. Conciencia pública

El CICTE, la CITEL y el Grupo de Trabajo de Expertos Gubernamentales en materia de Delito Cibernético de la REMJA trabajarán juntos para llevar a cabo una campaña de concientización a fin de alertar al público en los Estados Miembros de las cuestiones relativas a la seguridad cibernética y la necesidad de proteger sus redes cibernéticas.

H. Seguimiento

Se recomienda que el CICTE convoque de nuevo la Reunión de Expertos en Materia de Seguridad Cibernética (Taller para Practicantes en Materia de Seguridad Cibernética) para elaborar e implementar las recomendaciones formuladas en el documento “Recomendaciones del Taller para Practicantes en Materia de Seguridad Cibernética del CICTE sobre la Estrategia Integral de Seguridad Cibernética de la OEA: Marco para Establecer una Red Interamericana CSIRT de Vigilancia y Alerta” (REGVAC/doc.2/04).

Asimismo, se recomienda que el Grupo de Trabajo encargado de la Elaboración de un Proyecto de Estrategia de Seguridad Cibernética para los Estados Miembros de la OEA, de la Comisión de Seguridad Hemisférica de la OEA, transmita este documento marco a la Asamblea General para su adopción.

ANEXO II. CCP.I/RES. 49 (IV-04)(9) SEGURIDAD CIBERNÉTICA

La IV Reunión del Comité Consultivo Permanente I: Normalización de Telecomunicaciones,

RECONOCIENDO:

a) Que garantizar la seguridad de los sistemas de información en red (seguridad cibernética) es un asunto de prioridad para nuestro hemisferio;

b) Que las redes de información ubicuas y seguras desempeñan un papel importante en la infraestructura crítica de todos los Estados Miembros de la OEA, sus economías y sus sociedades;

c) Que las redes de próxima generación (NGN) que actualmente se están diseñando y normalizando podrán tomar en cuenta tecnologías y técnicas para asegurar su solidez y fortalecer su resistencia contra los ataques cibernéticos,

TENIENDO EN CONSIDERACION:

a) Que la operación segura y eficiente de la infraestructura global de telecomunicaciones es crucial para el bienestar y desarrollo de todos los sectores de la economía y, en consecuencia, de interés vital tanto para los gobiernos como para el sector privado; y

b) El número cada vez más frecuente y la naturaleza insidiosa de los ataques cibernéticos sobre las redes, instituciones y usuarios, que están produciendo todo tipo de daño, especialmente morales, económicos y financieros,

CONSIDERANDO:

a) Que la CITEL, CICTE (el Comité Interamericano contra el Terrorismo de la OEA) y REMJA (la Reunión de Ministros de Justicia o de Ministros o Procuradores Generales de las Américas) están trabajando para desarrollar una estrategia a nivel hemisférico para la seguridad cibernética, como lo determinó la Asamblea General de la OEA en la Resolución AG/RES.1939 (XXXIII-O/03);

b) El taller realizado conjuntamente por el Grupo de Trabajo sobre Servicios y Tecnologías de Redes Avanzadas y el Grupo de Trabajo sobre Coordinación de Normas acerca de la seguridad cibernética, en la IV Reunión del CCP.1 en Quito, Ecuador, trató los asuntos claves de la seguridad cibernética vinculados a la CITEL; y

c) Los importantes compromisos realizados por los Jefes del Estado y de Gobierno de la Región, planteados en la Declaración de Nuevo León, incluyendo incentivos para un acceso asequible para todos a las tecnologías de información y comunicaciones,

CONSIDERANDO ADEMÁS:

Que la CITEL, a través de sus alianzas con el sector privado sobre asuntos en sus áreas de responsabilidad, y a través de su Plan de Trabajo para temas de redes avanzadas, y en particular la seguridad cibernética y las NGN, podrá realizar un aporte importante tanto para una mayor concienciación acerca de los temas críticos que puedan tener un impacto potencial en la Región, como para perfeccionar sus planes de trabajo en dichas áreas facilitando discusiones enfocadas y la compartición de información,

RESUELVE:

1. Aprobar el aporte adjunto de la CITEL sobre la Estrategia de Seguridad Cibernética de la OEA y enviarlo al Comité sobre Seguridad Hemisférica de la OEA para su revisión y entrega a la Asamblea General de la OEA en junio de 2004.

2. Solicitar al Relator de la CITEL sobre asuntos de Seguridad Cibernética e Infraestructura Crítica que envíe una copia de esta Resolución al Grupo de Trabajo Conjunto de CICTE/CITEL/REMJA sobre la Seguridad Cibernética.

INVITA:

a)  Al Grupo de Trabajo sobre los Servicios y Tecnologías de Redes Avanzadas y al Grupo de Trabajo sobre Coordinación de Normas a que sigan trabajando en el tema de la seguridad cibernética y que informen al CCP.I acerca de sus logros en dicho tema específico.

b) Al Presidente del CCP.I a enviar una carta al Presidente del Comité sobre Seguridad Hemisférica de la OEA adjuntando una copia de esta Resolución.

ANEXO A LA RESOLUCIÓN CCP.I/RES. 49 (IV-04)

CITEL:  La identificación y adopción de normas técnicas para una arquitectura segura de Internet

Una estrategia eficaz de seguridad cibernética deberá reconocer que la seguridad de la red de los sistemas de información que comprenden la Internet requiere una alianza entre el gobierno y la industria. Tanto las industrias de telecomunicaciones y de tecnología de la información como los gobiernos de los Estados Miembros de la OEA están buscando soluciones integrales de seguridad cibernética eficaces en función de costos. Las capacidades de seguridad en los productos de computación son imprescindibles como elementos de la seguridad global de la red. Sin embargo, a medida de que se produzcan más tecnologías y se las integren en las redes existentes, su compatibilidad e interoperabilidad – o la falta de estas – determinarán su eficacia. La seguridad deberá desarrollarse de una manera tal que promueva la integración de capacidades de seguridad aceptables en la arquitectura general de la red. Para lograr semejantes soluciones integradas de seguridad cibernética con base en la tecnología, deberá diseñarse la seguridad de la red alrededor de normas internacionales desarrolladas en un proceso abierto.

El desarrollo de normas para la arquitectura de seguridad en Internet requerirá un proceso de múltiples pasos para asegurar que se logre un nivel adecuado de consenso, planificación y aceptación entre las diferentes entidades gubernamentales y privadas que deberán cumplir un papel en la promulgación de semejantes normas. Aprovechando el trabajo de organizaciones de normalización como el Sector de Normalización de la Unión Internacional de Telecomunicaciones (UIT-T), la CITEL está identificando y evaluando las normas técnicas para poder recomendar su aplicabilidad a la región de las Américas, teniendo presente que el desarrollo de las redes en algunos de los Estados Miembros de la OEA ha sufrido algunos retrasos, lo que implica que, para tales países, el logro de un cierto grado de calidad para sus redes será importante para poder llevar a cabo plenamente sistemas para intercambio de información adecuadamente seguros. Para agilizar su trabajo, la CITEL y el UIT-T organizaron un taller conjunto sobre Seguridad Cibernética en marzo del 2004. La CITEL está estableciendo enlaces, además, con otras entidades de normalización y foros de la industria para obtener la participación y los aportes de dichas partes.

La identificación de las normas de seguridad cibernética será un proceso de múltiples pasos. Una vez que la evaluación por la CITEL de las normas técnicas vigentes se complete, recomendará la adopción de normas especialmente importantes para la región. Además, en forma oportuna  y permanente, identificará los obstáculos que impidan la aplicación de dichas normas de seguridad en las redes de la región, y la posible acción apropiada que puedan considerar los Estados Miembros.

El desarrollo de las normas técnicas no es un emprendimiento que sea igual para todos. La CITEL evaluará los enfoques regionales a la seguridad de redes, las estrategias de despliegue, el intercambio de información y la difusión a los sectores público y privado. Como parte de este esfuerzo, la CITEL identificará los recursos para las mejores prácticas en la comunicación en redes y la protección de la infraestructura con base en las tecnologías. Este proceso requerirá que la CITEL revise los objetivos, alcances, pericia, marcos técnicos y lineamientos asociados con los recursos disponibles, para poder determinar su aplicabilidad dentro de la región de las Américas, con el fin de decidir cuáles serán los más apropiados. La CITEL continuará trabajando con los Estados Miembros para asistirles para la aplicación más apropiada y eficaz.

La contribución de la CITEL a la estrategia de seguridad cibernética adoptará un enfoque prospectivo y buscará fomentar el intercambio de información entre los Estados Miembros para así promover las redes seguras. Identificará y evaluará los asuntos técnicos relativos a las normas requeridas para la seguridad de las redes futuras de comunicaciones en la región, así como las existentes. Esta función aprovechará primordialmente del trabajo del UIT-T. Otras entidades de normalización existentes, a través de la CITEL, serán consideradas según sean apropiadas. en último término, la CITEL resaltará las normas de seguridad de especial importancia y recomendará que los Estados Miembros adopten dichas normas. También es importante enfatizar el papel crucial de la CITEL en la promoción de programas de aumento de la capacidad y capacitación, con el fin de llevar adelante el proceso de propagación de información técnica y práctica relacionada con los asuntos de la seguridad cibernética.

La CITEL reconoce que, aunque la primera prioridad deberá enfocarse en las políticas públicas que llevarán los beneficios de las tecnologías de las telecomunicaciones y la información a todos los ciudadanos de los Estados Miembros de la OEA, el fortalecimiento de la alianza privada / pública que redundará en la adopción amplia de un marco de normas técnicas que ayudarán a asegurar la Internet, requerirá de la comunicación y cooperación entre y dentro de las comunidades involucradas en esta asociación. La CITEL fomentará la cooperación entre los Estados Miembros en los aspectos relativos a la seguridad de redes, mediante la asistencia a las Administraciones a que adopten políticas y prácticas que incentiven a los proveedores de servicios y redes a aplicar las normas técnicas para la seguridad de sus redes. La nueva edición del Libro Azul “Políticas de Telecomunicaciones para las Américas”, publicación conjunta de la CITEL y la UIT, incluirá un capítulo sobre la seguridad cibernética.  La CITEL también fomentará un diálogo dentro de las comunidades técnicas y gubernamentales pertinentes con relación al trabajo sobre la seguridad cibernética y de redes mediante seminarios conjuntos con la UIT sobre normas de seguridad. Las acciones de la CITEL podrán también incluir materias relativas a las políticas de telecomunicaciones, prácticas, regulaciones, aspectos económicos y responsabilidades de los usuarios, todo ello en el marco jurídico dentro del cual operan los servicios de telecomunicaciones, y dentro de las funciones y responsabilidades de la CITEL.

ANEXO III. REUNIÓN DE MINISTROS DE JUSTICIA O DE MINISTROS O PROCURADORES GENERALES DE LAS AMERICAS  (REMJA)                                               

OEA/Ser.K/XXXIV. CIBER-III/doc.4/03.  24 junio de 2003. Original: español                                                                                                                                                                      

Tercera Reunión del Grupo de Expertos Gubernamentales en Materia de Delito Cibernético 23 y 24 de junio de 2003. Washington, D.C.                                    

RECOMENDACIONES  DE LA REUNIÓN INICIAL DEL GRUPO DE EXPERTOS GUBERNAMENTALES EN MATERIA DE DELITO CIBERNÉTICO*

Los expertos gubernamentales en materia de delito cibernético de los Estados Miembros de la OEA, se reunieron en la sede de esta Organización, en Washington D.C., Estados Unidos de América, durante los días 23 y 24 de junio de 2003, en cumplimiento de lo acordado en la Cuarta Reunión de Ministros de Justicia o de Ministros o Procuradores Generales de las Américas (REMJA-IV) y de la resolución de la Asamblea General de la OEA AG/RES. 1849 (XXXII-O/02).

Teniendo en cuenta el mandato que le fue asignado por la REMJA-IV, al finalizar sus deliberaciones en el marco de esta reunión inicial, el Grupo de Expertos Gubernamentales acordó formular las siguientes recomendaciones en relación con las áreas en las cuales se requieren mayores avances con el fin de fortalecer y consolidar la cooperación hemisférica en el combate contra el Delito Cibernético:

Que, de acuerdo con la recomendación formulada por este Grupo y adoptada por la REMJA-III, los Estados que aún no lo han hecho, en el menor plazo posible, identifiquen o, si fuere necesario, creen o establezcan  unidades o entidades encargadas específicamente de dirigir y desarrollar  la investigación y persecución de las diversas modalidades de delitos cibernéticos  y les asignen los  recursos humanos, financieros y técnicos necesarios para el cumplimiento de sus responsabilidades en forma eficaz, eficiente y oportuna.

Que los Estados que aún no lo hayan hecho, a la mayor brevedad posible, examinen sus sistemas jurídicos  para determinar  si éste se aplica en forma adecuada  a los delitos cibernéticos y  a la obtención y mantenimiento en custodia segura  de indicios y/o pruebas electrónicas.

Que los Estados que aún no lo hayan hecho, adopten la legislación que específicamente se requiera para tipificar las diversas modalidades de delitos cibernéticos, así como para dictar las medidas procesales que aseguren la obtención y mantenimiento en custodia segura de indicios y/o pruebas electrónicas y la investigación y persecución de tales delitos en forma efectiva, eficaz y oportuna.

Que, con el fin de asistir a los Estados en la elaboración o mejoramiento y adopción de la legislación en materia de delito cibernético,  se realicen reuniones técnicas, en el marco de la OEA, sobre redacción de legislación en este campo, en las cuales se consideren los desarrollos específicos que se deben dar, entre otras,  en las áreas substantiva, procesal y de asistencia judicial mutua, para facilitar la armonización de las legislaciones nacionales y contar con el marco jurídico que permita y garantice la efectiva, eficiente y oportuna cooperación hemisférica en el combate contra las diversas modalidades de delitos cibernéticos.

Que, con base en la información que le suministren los Estados, la Secretaría General de la OEA elabore y mantenga actualizado un directorio con los puntos de contacto de cada uno de los Estados que integran el Grupo de Expertos Gubernamentales en Materia de Delito Cibernético, así como un directorio de las autoridades responsables de la investigación y persecución del Delito Cibernético.

Que los Estados que aún no lo han hecho, adopten todas las decisiones que se requieran con el fin de vincularse, a la mayor brevedad posible, a la “Red de Emergencia de 24 horas/7 días”, habiendo tomado los pasos a que se refiere el párrafo 1, si fuere necesario.

Que, teniendo en cuenta los progresos dados a través de la página de la OEA en Internet, se avance en la consolidación de un sistema integral de información sobre los desarrollos dados en materia de combate contra el delito cibernético, con una parte pública y otra con acceso restringido para las autoridades gubernamentales con responsabilidades en este campo, en relación con información sensible. Asimismo que, con base en la información que provean los Estados, la  Secretaría General compile y publique en la página en Internet de la OEA las legislaciones en la materia e identifique las áreas temáticas comunes entre estas.

Que los Estados incorporen la formación específica en materia de delito cibernético y el manejo de pruebas electrónicas como parte de los programas de capacitación dirigidos a jueces, fiscales y autoridades de policía judicial y que para el desarrollo de éstos, los Estados Miembros de la OEA y los Observadores Permanentes ante esta Organización se presten la más amplia asistencia y cooperación técnica mutua entre ellos.

Que se continúe fortaleciendo el intercambio de información y la cooperación con otras organizaciones e instancias internacionales en materia de delito cibernético como las Naciones Unidas, el Consejo de Europa, la Unión Europea, el Foro de Cooperación Económica del Pacífico Asiático, la OCDE, el G-8 y el Commonwealth, de manera que los Estados Miembros de la OEA puedan conocer y aprovechar los desarrollos dados en dichos ámbitos.

Que el Grupo de Expertos Gubernamentales en materia de Delito Cibernético se reúna por lo menos una vez al año, en el ámbito de la OEA, y que en el marco de las próximas reuniones:

a) Examine los resultados de las reuniones técnicas a que se refiere el párrafo 4 y, teniendo en cuenta sus resultados, considere, si fuere el caso, los ajustes que se deben adoptar en futuros encuentros de esta naturaleza, así como otras acciones que se deban realizar para facilitar la adopción y aplicación de la legislación antes mencionada.

b) Prepare recomendaciones para identificar y describir los diversos tipos de delitos cibernéticos.

c) Prepare recomendaciones para identificar y describir las facultades de investigación que los Estados deben poseer para investigar los delitos cibernéticos. Estas facultades de investigación deben:

i.) Aplicarse no sólo a las investigaciones de delitos cibernéticos, sino también a la recolección y custodia segura de indicios y/o pruebas en forma electrónica de cualquier otro delito.

ii.) Asegurar un adecuado equilibrio entre el ejercicio fundado y motivado de  dichas facultades y la necesidad de garantizar las normas del debido proceso,  en el marco del respeto de los derechos humanos y las libertades fundamentales.

iii.) Ser aplicables, en la forma permitida por la legislación nacional, tanto para responder a las solicitudes internacionales de cooperación como a las investigaciones nacionales.

iv.) Permitir el rastreo de comunicaciones de presuntos delincuentes, a través de redes electrónicas que comprendan a proveedores de servicios múltiples, para determinar el curso, origen o destino de las comunicaciones.

d) Recomiende medidas para evitar la creación de “paraísos de los delitos cibernéticos”, de conformidad con la ley de cada Estado y los tratados internacionales.

e) Los Estados informen sobre las medidas que han tomado entre una y otra reunión.

Washington D.C., Estados Unidos de América, 24 de Junio de 2003.

ANEXO IV. QUINTA REUNIÓN DE MINISTROS DE JUSTICIA O DE MINISTROS O PROCURADORES GENERALES DE LAS AMÉRICAS  28 al 30 de abril de 2004. Washington, D.C.                                                                            

OEA/Ser.K/XXXIV.5. REMJA-V/doc.7/04 rev. 4. 30  abril 2004.                                                           Original: español

CONCLUSIONES Y RECOMENDACIONES DE LA REMJA V **

CONCLUSIONES Y RECOMENDACIONES DE LA REMJA V

Al finalizar los debates sobre los diferentes puntos comprendidos en su agenda, la Quinta Reunión de Ministros de Justicia o de Ministros o Procuradores Generales de las Américas (REMJA V), convocada en el marco de la OEA, adoptó las siguientes conclusiones y recomendaciones para ser transmitidas, a través del Consejo Permanente, al trigésimo cuarto período ordinario de sesiones de la Asamblea General de la OEA.

I. COOPERACIÓN HEMISFÉRICA CONTRA LA DELINCUENCIA TRANSNACIONAL ORGANIZADA Y CONTRA EL TERRORISMO

La REMJA V reafirma que el daño que infringen y la amenaza que representan las diversas manifestaciones de la criminalidad transnacional organizada y el terrorismo,  para nuestros ciudadanos, para nuestras democracias y  para el desarrollo económico y social de nuestros Estados, hacen necesario y urgente continuar fortaleciendo y perfeccionando la cooperación jurídica y judicial mutua a nivel hemisférico, así como, si no lo han hecho, adoptar  legislación, procedimientos y mecanismos nuevos que les permitan combatir de manera eficaz estos delitos.

Al respecto, destaca que, de acuerdo con la “Declaración sobre la Seguridad en las Américas”, aprobada en la Ciudad de México, el 28 de octubre de 2003, el terrorismo y la delincuencia organizada transnacional hacen parte de las nuevas amenazas, preocupaciones y otros desafíos de naturaleza diversa que afectan la seguridad de los Estados del Hemisferio y que en ella se reafirma “que las Reuniones de Ministros de Justicia o Ministros o Procuradores Generales de las Américas  (REMJA) y otras reuniones de autoridades en materia de justicia penal son foros importantes y eficaces para la promoción y el fortalecimiento del entendimiento mutuo, la confianza, el diálogo y la cooperación en la formulación de políticas en materia de justicia penal y de respuestas para hacer frente a las nuevas amenazas a la seguridad”.

Considerando que, si bien la comunidad internacional ha avanzado en la elaboración de normas para combatir estas formas de delincuencia, subsisten diferencias en la forma en que los Estados tipifican las conductas delictivas, lo cual puede crear impedimentos para una más efectiva cooperación internacional.

La REMJA V reconoce la conveniencia de que el tema de la Delincuencia Organizada Transnacional continúe siendo tratado por las diferentes entidades de la OEA que lo han venido haciendo en el marco de sus respectivas competencias, tales como la CICAD, el Comité Consultivo de la CIFTA, la CIM, el Instituto Interamericano del Niño, la REMJA y el MESICIC.

La REMJA V  reafirma que las medidas realizadas por los Estados Parte para combatir el terrorismo deberán llevarse a cabo respetando plenamente el Estado de derecho, los derechos humanos y las libertades fundamentales, sin menoscabar los derechos y las obligaciones de los Estados y las personas conforme al Derecho Internacional, el Derecho Internacional de los Derechos Humanos y el Derecho Internacional de los Refugiados.

La REMJA V expresa satisfacción ante el hecho de que en el período que siguió a la REMJA-IV, los Estados Miembros de la OEA hayan adoptado importantes medidas para reforzar la aplicación hemisférica de los instrumentos de las Naciones Unidas de lucha contra el terrorismo y la delincuencia transnacional organizada, de modo de hacer frente en forma eficaz a esos crímenes.  en especial, en el intervalo comprendido entre la REMJA-IV y la REMJA-V, numerosos Estados Miembros de la OEA se convirtieron en Partes del Convenio para la Represión de la Financiación del Terrorismo de 1999, así como de instrumentos universales anteriores de lucha contra el terrorismo.  Análogamente, numerosos Estados Miembros de la OEA se convirtieron en Partes de la Convención de las Naciones Unidas contra la Delincuencia Organizada Transnacional de 2000 y sus tres Protocolos Complementarios  o adoptaron importantes medidas encaminadas a adquirir esa condición.  La REMJA-V reconoce este notable avance en la lucha contra el terrorismo y la delincuencia transnacional organizada.

La REMJA V toma nota también con satisfacción de que se ha acelerado en gran medida la adhesión a instrumentos regionales de lucha contra el terrorismo y la delincuencia organizada.  La Convención Interamericana contra el Terrorismo de 2002 entró en vigor el 10 de julio de 2003 y ha sido ratificada por ocho (8) Estados Miembros de la OEA; y  la Convención Interamericana contra la Fabricación y el Tráfico Ilícitos de Armas de Fuego, Municiones, Explosivos y Otros Materiales Relacionados (CIFTA) ha sido ratificada por veintidós (22) Estados Miembros de la OEA.

La REMJA V expresa asimismo su satisfacción por los avances registrados con el propósito de fortalecer y consolidar la cooperación entre los Estados de las Américas para combatir el terrorismo, a través del Trabajo del Comité Interamericano contra el Terrorismo (CICTE) y de sus puntos de contacto nacionales.

Al mismo tiempo quedan tareas por hacer en cuanto a determinación de mecanismos de eficaz aplicación de normas hemisféricas y mundiales de lucha contra el terrorismo y la delincuencia organizada, y tomamos nota con alarma del incremento de los ataques terroristas a nivel mundial y las actividades de otras organizaciones criminales.  en consecuencia recomendamos:

A. COOPERACIÓN HEMISFÉRICA CONTRA LA DELINCUENCIA TRANSNACIONAL ORGANIZADA

1. Que con respecto a la lucha contra la delincuencia transnacional organizada, los Estados Miembros que aún no lo hayan hecho firmen y ratifiquen, ratifiquen, o adhieran, según sea el caso, e implementen, a la brevedad posible:

a. La Convención de las Naciones Unidas contra la Delincuencia Organizada Transnacional, el Protocolo para prevenir, reprimir y sancionar la trata de personas, especialmente mujeres y niños, y el Protocolo contra el tráfico ilícito de migrantes por tierra, mar y aire. Instamos a los Estados Miembros a completar sus procesos internos para determinar si han de suscribir y ratificar el Protocolo contra la fabricación y el tráfico ilícitos de armas de fuego, sus piezas y componentes y municiones.        

b. La Convención Interamericana contra la Fabricación y el Tráfico Ilícitos de Armas de Fuego, Municiones, Explosivos y Otros Materiales Relacionados (CIFTA) que, entre otras cosas, establece un régimen eficaz de penalización del tráfico ilícito de armas de fuego que ayudará a la lucha contra la delincuencia transnacional organizada y contra el terrorismo y que, además, crea un mecanismo de seguimiento hasta la fuente de las armas de fuego que puedan ser  objeto de tráfico ilícito.

2. Que los Estados Miembros que son Parte o signatarios de la Convención contra la Delincuencia Organizada Transnacional y sus dos protocolos en vigor trabajen conjuntamente en la Primera Conferencia de las Partes, que tendrá lugar entre el 28 de junio y el 9 de julio de 2003, para facilitar la aplicación de esos importantes instrumentos internacionales.

3. Recomendar a la Asamblea General de la OEA que convoque a un grupo de expertos que considere la posibilidad de la elaboración de un Plan de Acción Hemisférico contra la Delincuencia Transnacional Organizada, como un plan integrado que recoja el esfuerzo que cada área de la OEA viene desarrollando en los diferentes aspectos del problema, de conformidad con la Declaración sobre Seguridad en las Américas.

4. Que los Estados Miembros consideren –cuando sea apropiado- la armonización de sus respectivos ordenamientos jurídicos con las obligaciones asumidas en esta materia. A tal fin, se recomienda que la Asamblea General de la OEA encomiende al Comité Jurídico Interamericano la realización de un estudio sobre el punto antes mencionado, y que le informe a la entidad que la Asamblea General atribuya la responsabilidad de considerar la posibilidad de elaborar un Plan de Acción Hemisférico contra la Delincuencia Organizada Transnacional.

5. Que los Estados Miembros promuevan una mayor interrelación entre las autoridades de aplicación de la ley para que determinen líneas de acción comunes en la investigación y enjuiciamiento de estos delitos.

6. Instar a los Estados a la realización de seminarios y jornadas de capacitación tanto a nivel regional como nacional, referidos a los diferentes aspectos de la delincuencia transnacional organizada.

B. COOPERACIÓN HEMISFÉRICA CONTRA EL TERRORISMO

1. Que con respecto a la lucha contra el terrorismo, los Estados Miembros que aún no lo hayan hecho firmen y ratifiquen, ratifiquen, o adhieran, según sea el caso, e implementen, a la brevedad posible:

a. Las doce convenciones de las Naciones Unidas contra el terrorismo.

b. La Convención Interamericana contra el Terrorismo.

2. Que los Estados Miembros dispongan de capacidad suficiente para tomar acciones de aplicación de la ley con respecto a situaciones en las cuales aún no se ha realizado un ataque terrorista y en que una oportuna investigación y persecución pueda prevenir la realización de esos ataques, y adoptar medidas inmediatas que confieran capacidad suficiente para la persecución de dichas conductas y hacer efectiva la cooperación mutua al respecto.

3. Que cada Estado Miembro fortalezca su capacidad para facilitar el intercambio de información entre los servicios de seguridad y los organismos de aplicación de la ley para prevenir ataques y lograr el encauzamiento de terroristas, de conformidad con las leyes nacionales y los instrumentos internacionales aplicables.

4. Que, en aplicación del artículo 7 de la Convención Interamericana contra el Terrorismo, los Estados Miembros promuevan las más amplias medidas de cooperación, especialmente medidas que garanticen la eficaz colaboración entre los organismos de aplicación de la ley, los servicios de inmigración y entidades conexas y sometan a mejores controles a sus documentos de viaje y de identidad.

5. Tomar nota de la labor de la Comisión Interamericana de Derechos Humanos en la esfera del terrorismo y de los derechos humanos. Recomienda que las autoridades responsables de la elaboración de leyes contra el terrorismo sigan reuniéndose e intercambiando mutuamente prácticas modelo y experiencias nacionales sobre este tema.

6. Recomendar que la Red Hemisférica de Intercambio de Información para la Asistencia Judicial Mutua en Materia Penal comprenda información sobre legislación y, según sea apropiado, políticas antiterroristas vigentes en los Estados Miembros.

7. Recomendar que, para ayudar a la prevención de actos de terrorismo, deben tomarse medidas para evitar la discriminación contra miembros de la sociedad.

II. ASISTENCIA JUDICIAL MUTUA EN MATERIA PENAL Y EXTRADICIÓN

A. REUNIÓN DE AUTORIDADES CENTRALES Y OTROS EXPERTOS EN ASISTENCIA JUDICIAL MUTUA EN MATERIA PENAL

La REMJA V recomienda:

1. Expresar su satisfacción por la realización de la “Reunión de Autoridades Centrales y Otros Expertos en Materia de Asistencia Judicial Mutua en Materia Penal”, celebrada en cumplimiento de las recomendaciones de la REMJA IV, en Ottawa, Canadá, entre los días 30 de abril y 2 de mayo de 2003, y adoptar en su integridad las recomendaciones formuladas, las cuales se encuentran publicadas en el documento OEA/Ser.K/XXXIV.5 REMJA-V/doc.4.

2. Respaldar, conforme a la recomendación 6 de esa reunión, la continua celebración de reuniones de las Autoridades Centrales y otros Expertos sobre asistencia judicial mutua en materia penal del Hemisferio, por lo menos una vez entre una REMJA y la siguiente, con el apoyo y la coordinación del Grupo de Trabajo sobre Asistencia Judicial Mutua, y la consideración, en su siguiente reunión, del avance logrado en cuanto a la aplicación de las recomendaciones de la reunión de Ottawa e, inter alia, los temas a los que se refiere la arriba mencionada recomendación 6, conforme al orden de prioridades que definan.

3. Decide que, en la próxima reunión de autoridades centrales y otros expertos, se inicie la consideración de acciones para fortalecer la cooperación jurídica hemisférica en materia de extradición, incluyendo la extradición temporal cuando proceda de acuerdo con la legislación nacional, y proceda a la preparación de las secciones relativas a la cooperación jurídica y judicial mutua de un plan de acción hemisférico para el combate contra la delincuencia transnacional organizada y contra el terrorismo, incluyendo medidas de administración de casos por el Estado requirente  para no sobrecargar al Estado requerido.

4. Decide que la próxima reunión de autoridades centrales y otros expertos continúe fortaleciendo y haciendo más efectivos los mecanismos de asistencia judicial mutua en materia penal y la cooperación hemisférica en materia de extradición. A tal efecto la reunión de autoridades centrales y otros expertos, podrá solicitar insumos a las siguientes entidades en relación con las áreas de su competencia: CICTE, CICAD, Comité Consultivo de la CIFTA, CIM, MESICIC, Instituto Interamericano del Niño y al Comité Jurídico Interamericano.

B. RED HEMISFÉRICA DE INTERCAMBIO DE INFORMACIÓN PARA LA ASISTENCIA JUDICIAL MUTUA EN MATERIA PENAL

Considerando la utilidad e importancia de la Red Hemisférica de Intercambio de Información para la Asistencia Judicial Mutua en Materia Penal, la REMJA V formula las siguientes recomendaciones:

1. Decide adoptar la Red Hemisférica de Intercambio de Información para la Asistencia Judicial Mutua en Materia Penal e insta a todos los Estados Miembros a implementar su componente público y darle difusión entre los usuarios más interesados.

2. Establece, que como la red, bajo la orientación de un grupo formado por Argentina, Bahamas, Canadá y El Salvador y administrado por la Secretaría General de la OEA, comprende datos referentes a todos los Estados Miembros de la OEA, en el sitio público en “Internet” debe seguir publicándose información referente a asistencia judicial mutua en materia penal.

3. Que los Estados que hasta ahora no lo hayan hecho, identifiquen a una persona de contacto para que proporcione y actualice la información que se proporciona a través de la red.

4. Expresar satisfacción con respecto a la elaboración del proyecto piloto de AJM de correo electrónico seguro, y recomienda que todos los Estados adopten las medidas apropiadas para evaluarlo y que el mismo siga funcionando y se amplíe de modo de abarcar a otros Estados.

5. Examinar la posibilidad de intercambiar información, en las áreas y metodologías de mutuo interés, con la “Fiscalía Virtual de Iberoamérica”.

III. POLÍTICAS PENITENCIARIAS Y CARCELARIAS

Dada la importancia y conveniencia de continuar y consolidar el proceso de intercambio de información y de experiencias y de cooperación mutua en relación con las políticas penitenciarias y carcelarias de los Estados Miembros de la OEA, la REMJA V recomienda:

1. Expresar su satisfacción por los resultados y adoptar el informe de la Primera Reunión de Autoridades Responsables de las Políticas Penitenciarias y Carcelarias de los Estados Miembros de la OEA (documento OEA/Ser.K/XXXIV.5 REMJA-V/doc.6/04), celebrada en la sede de la OEA, durante los días 16 y 17 de Octubre de 2003, en cumplimiento de lo acordado en la REMJA-IV.

2. Respaldar la realización de reuniones periódicas de las autoridades responsables de las políticas penitenciarias y carcelarias de los Estados Miembros de la OEA y la creación de un sistema de información a través de “Internet” en relación con dichas políticas, de acuerdo con las recomendaciones formuladas en la primera reunión de tales autoridades.

3. Que los Estados, a través de su participación en las reuniones de autoridades penitenciarias y carcelarias, promuevan estrategias y políticas penitenciarias, basadas en el respeto a los derechos humanos, que contribuyan al deshacinamiento carcelario. Con este fin, los Estados incentivarán la modernización de la infraestructura carcelaria y la profundización de las funciones de rehabilitación y reinserción social del individuo, a través del mejoramiento de las condiciones de privación de la libertad y el estudio de nuevos estándares penitenciarios.

IV. DELITO CIBERNÉTICO

En relación con esta materia, la REMJA V recomienda:

1. Expresar su satisfacción por los resultados de la Reunión Inicial del Grupo de Expertos Gubernamentales en Materia de Delito Cibernético, celebrada en la sede de la OEA, durante los días 23 y 24 de junio de 2003,  en cumplimiento de lo acordado en la REMJA-IV.

2. Adoptar las recomendaciones formuladas por el Grupo de Expertos Gubernamentales (documento OEA/Ser.K/XXXIV.5 REMJA-V/doc.5/04) y solicitarle que, a través de su Presidencia, informe a la próxima REMJA sobre los avances dados en relación con las mismas.

3. Respaldar que las recomendaciones formuladas por el Grupo de Expertos Gubernamentales en su reunión inicial sirvan como la contribución de las REMJA para el desarrollo de la Estrategia Interamericana para Combatir las Amenazas a la Seguridad Cibernética a que se refiere la resolución de la Asamblea General de la OEA AG/RES. 1939 /XXXIII-O/03), así como solicitar al Grupo que, a través de su Presidencia, continúe apoyando el proceso de elaboración de dicha Estrategia.

4. Que se dispense capacitación internacional en relación con el delito cibernético a los Estados de la OEA que la soliciten, y que los Estados de la OEA en general consideren la posibilidad de asignar recursos que garanticen el suministro de esa capacitación.

5. Que los Estados Miembros participen en las reuniones técnicas del Grupo de Expertos Gubernamentales sobre Delito Cibernético, a fin de que a nivel hemisférico se logre una clara comprensión sobre los futuros desafíos.

6. Que los Estados Miembros, en el contexto del Grupo de Expertos, examinen mecanismos que faciliten una amplia y eficiente cooperación mutua para combatir el Delito Cibernético y estudien, según sea posible, el desarrollo de la capacidad técnica y jurídica para unirse a la red 24/7 establecida por el G-8 para ayudar a realizar las investigaciones sobre delitos cibernéticos.

7. Que en la medida de lo posible, los Estados Miembros dispongan lo necesario para que las diferencias en la descripción de los delitos no vayan en detrimento de la eficiencia de la cooperación a través de la asistencia jurídica y judicial mutua y la extradición.

8. Que los Estados Miembros evalúen la conveniencia de la aplicación de los principios de la Convención del Consejo de Europa sobre la Delincuencia Cibernética (2001) y que consideren la posibilidad de adherirse a dicha Convención.

9. Que los Estados Miembros examinen y, si corresponde, actualicen, la estructura y la labor de entidades u organismos internos encargados de hacer cumplir las leyes, de modo de adaptarse a las cambiantes características de los delitos cibernéticos, incluso examinando la relación entre los organismos que combaten ese tipo de delitos y los que proporcionan la asistencia policial o judicial mutua tradicional.

V. CORRUPCIÓN: SEGUIMIENTO DE LOS COMPROMISOS DE LA DECLARACIÓN DE NUEVO LEÓN

En las Declaraciones de Nuevo León y de la Ciudad de Québec, así como en anteriores REMJA, se reconoce la seriedad del problema de la corrupción en nuestras sociedades.

Tomamos nota con aprobación del hecho de que a partir de la REMJA-IV, la mayor parte de los Estados Miembros suscribieron la Convención de las Naciones Unidas contra la Corrupción y algunos Estados Miembros adicionales se convirtieron en Partes de la Convención Interamericana contra la Corrupción, pero hoy procuramos reforzar nuestros esfuerzos para promover eficazmente la lucha contra la corrupción.

En consecuencia, la REMJA-V recomienda que los Estados Miembros:

1. Que aún no lo hayan hecho, adopten a la brevedad posible las medidas necesarias para alcanzar los siguientes objetivos:

a. Firmar y ratificar, ratificar, o adherir, según sea el caso, e implementar la Convención de las Naciones Unidas contra la Corrupción de 2003.

b. Firmar y ratificar, ratificar, o adherir, según sea el caso, e implementar la Convención Interamericana contra la Corrupción de 1996.

2. Cooperen para reforzar el Mecanismo de Seguimiento de la Implementación de la Convención Interamericana contra la Corrupción, a través de medidas prácticas que lo hagan más eficaz, incluyendo lo relativo a la necesidad de incrementar los recursos económicos y perfeccionar los recursos humanos y la aceleración del proceso de evaluación en la Primera Ronda.

3. Antes de la realización de la REMJA VI, cada Estado Miembro, con apego a su legislación nacional y a las normas internacionales aplicables, adoptará medidas legales internas que nieguen acogida a funcionarios corruptos, a quienes los corrompen y a sus bienes e intercambiarán información sobre las medidas que hayan adoptado.

4. Con apego a sus legislaciones nacionales y a las normas internacionales aplicables, revisen  sus regímenes legales de extradición y suministro de asistencia judicial mutua en relación con delitos de corrupción, incluida su capacidad de disponer el decomiso o la confiscación de activos derivados de actividades criminales a pedido de otros países que tengan diferentes modalidades de realización del decomiso o  confiscación, a fin de reforzarlos.

5. Adopten, conforme a los principios fundamentales de su legislación interna, las medidas legislativas y de otro género que sean necesarias para que sus autoridades competentes puedan devolver los bienes decomisados o confiscados al Estado requirente, en caso de apropiación fraudulenta de fondos públicos o lavado de fondos públicos que hayan sido objeto de apropiación fraudulenta.

6. Apoyen los trabajos de la reunión de los Estados Parte de la Convención Interamericana contra la Corrupción que tendrá lugar en Managua, Nicaragua, en julio de 2004, la cual deberá considerar “medidas concretas adicionales para aumentar la transparencia y combatir la corrupción”.

VI. TRATA DE PERSONAS, ESPECIALMENTE MUJERES Y NIÑOS

Teniendo en cuenta que la trata de personas es un grave delito, que debe ser tipificado, prevenido y combatido, que sus víctimas se encuentran en una condición de vulnerabilidad lo cual exige una mayor atención internacional y la debida asistencia y protección, amparando sus derechos humanos y que para lograr estos fines se requiere de la cooperación integral por parte de todos los Estados.

Reconociendo que existe un importante conjunto de instrumentos internacionales para garantizar la protección de las mujeres, niños, niñas y adolescentes, como son la Convención sobre los Derechos Humanos del Niño, la Convención sobre todas las formas de Discriminación contra la Mujer, la Convención Interamericana para Prevenir, Sancionar y Erradicar la Violencia contra la Mujer, la Convención nº 182 de la OIT sobre las peores formas de trabajo infantil, el Protocolo Opcional de la Convención sobre los Derechos del Niño en relación con la venta de niños, la prostitución y la pornografía infantiles, la Convención Interamericana sobre el Tráfico Internacional de Menores y el Protocolo para Prevenir, Reprimir y Sancionar la Trata de Personas, Especialmente Mujeres y Niños.

Teniendo presente que el Protocolo para Prevenir, Reprimir y Sancionar la Trata de Personas, Especialmente Mujeres y Niños, complementario de la Convención de las Naciones Unidas contra la Delincuencia Organizada Transnacional, especifica las acciones que  configuran el delito de trata de personas.

Decididos a superar los obstáculos en la lucha contra este delito transnacional.

La REMJA V recomienda:

1. Que los Estados Miembros que aún no lo hayan hecho firmen y ratifiquen, ratifiquen, o adhieran, según sea el caso, e implementen, a la brevedad posible, el Protocolo para Prevenir, Reprimir y Sancionar la Trata de Personas, Especialmente Mujeres y Niños, que complementa la  Convención de las Naciones Unidas contra la Delincuencia Organizada Trasnacional.

2. Instar a los Estados Miembros a completar sus procesos internos para determinar si han de suscribir y ratificar:

a. El Protocolo contra el Tráfico Ilícito de Migrantes por Tierra, Mar y Aire, y

b. La Convención Interamericana sobre el Tráfico Internacional de Menores.

3. La realización de una Reunión de autoridades nacionales en esta materia, incluyendo la participación, entre otros, de la CIM, el IIN, las Naciones Unidas, la OIM y otros organismos internacionales relacionados, con el propósito de estudiar mecanismos de cooperación integral entre los Estados para asegurar la protección y asistencia a las víctimas, la prevención del delito y la persecución a sus autores. Asimismo, la reunión facilitará el intercambio de información y experiencias, el diálogo político y la cooperación entre los países de origen, tránsito y destino de la trata de personas, así como el establecimiento o mejoramiento de registros estadísticos en la materia.

4. Mantener el tema de la Trata de Personas como punto del temario en futuros debates de la REMJA.

VII. VIOLENCIA CONTRA LA MUJER

La REMJA V:

1. Insta a los Estados Miembros a completar sus procesos internos para determinar si han de suscribir y ratificar la Convención Interamericana para Prevenir, Sancionar y Erradicar la Violencia contra la Mujer (Convención de Belem do Pará).

2. Alienta a los Estados Parte de la Convención Interamericana para Prevenir, Sancionar y Erradicar la Violencia contra la Mujer (Convención de Belem do Pará) a analizar el modo más apropiado de crear un mecanismo de seguimiento de la Convención.

VIII. GÉNERO Y JUSTICIA

La REMJA V, habiendo escuchado la presentación de la CIM (Comisión Interamericana de Mujeres), toma nota de las recomendaciones sobre genero y justicia formuladas a la REMJA V por la Segunda Reunión de Ministras o Ministros o Autoridades al más alto nivel Responsables de las Políticas de las Mujeres en los Estados Miembros y las refiere a los Estados Miembros para mayor consideración.

IX. CENTRO DE ESTUDIOS DE JUSTICIA DE LAS AMÉRICAS (CEJA)

En cumplimiento de los mandatos de la Segunda y Tercera Cumbres de las Américas, de las resolución de la Asamblea General de la OEA AG/RES. 1 (XXVI-E/99) y de las conclusiones y recomendaciones de las REMJA II y III, que impulsaron la creación de un Centro de Estudios que contribuya al mejoramiento de las políticas de Justicia y al desarrollo institucional de los sistemas judiciales en la región.

Y habiendo oído el informe del Centro de Estudios de Justicia de las Américas, la REMJA-V decide:

1. Expresar su agradecimiento al Consejo Directivo y al Director Ejecutivo por la orientación e iniciativa que han puesto de manifiesto al guiar y elaborar los pasos iniciales del trabajo del Centro en la esfera de la justicia penal, y dar forma concreta a la visión de un centro regional de expertos en el sector de la justicia establecido por los Jefes de Estado y de Gobierno en Santiago de Chile.

2. Felicitar al Centro por la exitosa puesta en marcha de sitios y publicaciones en Internet que están siendo ampliamente consultados en la región, y por la elaboración de un importante estudio comparado de normas y prácticas de procedimiento penal en la región que contribuirán a mejorar el desempeño del sistema de justicia.

3. Expresar satisfacción por los esfuerzos realizados para hacer efectiva la participación de  los Estados Miembros en programas y actividades del Centro, pese a la diversidad de intereses e instituciones que intervienen y la escasez de financiamiento.

4. Solicitar al Centro que, de conformidad con los objetivos establecidos en su Estatuto, incluya en sus planes de trabajo las conclusiones y recomendaciones de la REMJA. Para este fin, los Estados Miembros proveerán los recursos que sean necesarios.

5. Solicitar al Centro que organice un grupo o proceso de trabajo, incluyendo los Estados Miembros y otros donantes, a fin de elaborar, para que sea considerado por la REMJA VI, un plan de financiamiento del Centro de acuerdo con el mandato de la Tercera Cumbre de las Américas. Este proceso debe ser desarrollado sin perjuicio de las contribuciones voluntarias que con este objeto los Estados Miembros deban entregar, de acuerdo a lo establecido en el Estatuto del Centro, aprobado por la Asamblea General de la Organización de los Estados Americanos.

6. Aprobar la renovación del mandato del Director Ejecutivo del Centro acordada por su  Consejo Directivo, de acuerdo con su Estatuto, en sesión ordinaria celebrada el 5 de enero de 2004, en Santiago de Chile.

7. Solicitar al Centro que siga apoyando los esfuerzos que se realizan para  fortalecer los sistemas de Justicia internos con miras al mejoramiento de los marcos nacionales en el ámbito de la cooperación y asistencia judicial mutua en el Hemisferio.

X. PRÓXIMA REUNIÓN

La REMJA V recomienda que la Sexta Reunión de Ministros de Justicia o de Ministros o Procuradores Generales de las Américas (REMJA VI) se realice en el año 2006 y que la Asamblea General de la OEA encargue al Consejo Permanente de la Organización de fijar la fecha y sede de la misma.

ANEXO V. CUARTO PERÍODO ORDINARIO DE SESIONES, 28-30 de enero de 2004.  Montevideo, Uruguay                             

MARCO PARA ESTABLECER UNA RED INTERAMERICANA CSIRT DE VIGILANCIA Y ALERTA (Presentado por la Embajadora Margarita Escobar, Presidenta del Grupo de Trabajo de la Comisión de Seguridad Hemisférica de la OEA, en la tercera sesión plenaria celebrada el día 29 de enero de 2004)

Objetivo: Crear una red hemisférica, que funcione 24 horas al día, 7 días a la semana, de puntos nacionales de contacto entre equipos de respuesta a incidentes de seguridad en computadoras (Computer Security Incident Response Teams: CSIRT) con responsabilidad nacional (CSIRT nacionales), en los Estados Miembros de la OEA, con la capacidad y a cargo de responder debida y rápidamente a las crisis, incidentes y peligros relacionados con la seguridad cibernética.

Dado que los intrusos emplean instrumentos de ataque cada vez más sofisticados, lanzan ataques muy automatizados que se desplazan a la velocidad de la Internet, y emplean intencionalmente técnicas de ataque que hacen difícil entender la naturaleza y origen de tales ataques, la colaboración mundial en tiempo real entre los equipos de respuesta tiene una importancia creciente. Dicha colaboración permitiría lo siguiente:

·                un diagnóstico rápido y preciso del problema;

·                la pronta diseminación mundial de advertencias sobre ataques;

·                la pronta diseminación mundial de advertencias sobre vulnerabilidades genéricas;

·                un alerta mundial sobre actividades sospechosas, y la colaboración para investigar y diagnosticar tales actividades;

·                el suministro de información sobre medidas para mitigar y remediar los ataques y amenazas; y

·                una reducción de duplicaciones de análisis entre los equipos.

La colaboración refuerza los conocimientos técnicos existentes entre los equipos para limitar los perjuicios y permitir que continúen funcionando los servicios de importancia crítica.

Principios:

Locales – El programa debe ser manejado y controlado por entidades locales de cada país participante, designadas por su Gobierno.

Sistémicos – El sistema debe ser una operación multifacética que requiere un personal consciente y especializado, una distribución regular de la información relativa a las amenazas y vulnerabilidades vigentes, una reevaluación e implementación constantes de las mejores prácticas, y una interacción adecuada con las autoridades públicas.

Permanentes – Debido a la evolución diaria inherente de la Internet, para que tenga buen resultado un programa deberá actualizarse y mantenerse con regularidad. La seguridad en la Internet no se logrará mediante una acción única.

Responsables – La “seguridad” en la ciberseguridad. Deben entenderse y seguirse reglas estrictas respecto de cuestiones tales como el manejo de la información, ya que de otra manera los usuarios perderían la confianza, y los esfuerzos para proteger el sistema serán perjudicados e incluso serán contraproducentes.

Basados en disposiciones ya existentes – Hay un número de entidades preexistentes en el hemisferio que proporcionan servicios de seguridad cibernética en mayor o menor medida. Un sistema nuevo deberá basarse en esas instituciones ya existentes a fin de evitar duplicaciones y promover una participación activa.

Identificación de organizaciones existentes

En todo el mundo, hay más de cien organizaciones que usan el nombre CERT (Computer Emergency Response Team: equipo de respuesta a emergencias de computación), o CSIRT (el término genérico de significado equivalente). Muchas de ellas, pero no todas, tienen una cierta relación con el Centro de Coordinación CERT (CERT/CC) en la Universidad de Carnegie Mellon, en donde se creó el primer “CERT”. Incluso los CSIRT relacionados con el CERT/CC tienen diferentes métodos de respuesta a los incidentes, dependiendo de diversos factores tales como la uniformidad, cuestiones geográficas y técnicas, la autoridad, los servicios suministrados, y los recursos. en los Estados Unidos, el Departamento de Seguridad de la Patria, División de Ciberseguridad Nacional, ha creado el US-CERT, para que sea el “Equipo de emergencias informáticas”, con responsabilidad nacional en los Estados Unidos. en el Canadá, la División de Ciberprotección, dentro de la organización de Seguridad Pública y Preparación para Emergencias-Canadá (PSEPC) cumple una función similar de responsabilidad nacional.

El Foro sobre Equipos de Respuesta a Incidentes (Forum on Incident Response Teams: FIRST), una asociación mundial voluntaria de equipos CSIRT, cuenta con 79 miembros en los Estados Miembros de la OEA, 68 de ellos en los EE.UU. De los restantes, seis son del Canadá, dos del Brasil, con sendos miembros en Chile, México y Perú. Además, algunas compañías, tales como ATT, Symantec, y Visa, ofrecen servicios CSIRT a sus clientes de todo el mundo, y puede haber otros CSIRT en la región, tales como Ar-CERT en la Argentina, que no forman parte de la red FIRST.

Dadas las lagunas en la información, llevar a cabo un censo de los CSIRT es el primer paso para la creación de una red de seguridad cibernética.

Establecimiento de un modelo de servicio

Si bien no hay normas internacionales acordadas sobre qué es lo que constituye un CSIRT, hay una serie de documentos y actividades que pueden servir para definir un equipo CSIRT, y que están relacionados con la certificación y autorización de tales equipos.

El CERT/CC ha publicado varios documentos que pueden servir de ayuda para la creación de un CSIRT, entre los que se cuentan los siguientes:

·                Handbook for Computer Security Incident Response Teams (CSIRTs) (Manual para equipos de respuesta a incidentes de seguridad de computadoras (CSIRT)): guía actualizada sobre cuestiones genéricas que deben considerarse al formar un CSIRT;

·                State of the Practice of Computer Security Incident Response Teams (Estado actual de las prácticas de los equipos de respuesta a incidentes de seguridad de computadoras). Este informe contiene información recogida mediante un estudio piloto de estos equipos, la experiencia propia del CERT/CC, discusiones con otros CSIRT y observaciones de éstos, e investigación y críticas de las publicaciones actuales sobre la respuesta a incidentes; y

·                Creating a Computer Security Incident Response Team:  A Process for Getting Started (Creación de un equipo de respuesta a incidentes de seguridad de computadoras: un método para su comienzo). Éste es un documento en el que se describen los requisitos básicos para crear un CSIRT.

Además, el Departamento de Defensa de los Estados Unidos (US DoD) ha creado un programa de certificación y autorización de proveedores de servicios de defensa de redes de computadoras dentro de dicho Departamento. Ese programa puede usarse de punto de partida para establecer criterios para la certificación de equipos CSIRT nacionales.

Cuando se establece una red regional de CSIRT nacionales cooperantes, debe preverse un conjunto mínimo de normas y servicios, entre los que se contarían los siguientes:

·                designación de responsabilidad por el Gobierno del CSIRT nacional;

·                convenio sobre los principios para compartir información entre los equipos cooperantes;

·                responsabilidad por recibir información de otros CSIRT nacionales, y por diseminar dicha información entre las entidades idóneas dentro del país;

·                autorización para diseminar información entre otros CSIRT nacionales; y

·                proporcionar asistencia de coordinación a otros CSIRT nacionales para incidentes y amenazas.

Cuestiones de confianza

Gran parte de la información que tienen que intercambiar los CSIRT es de propiedad exclusiva, o es de carácter delicado por otros motivos, y hay pocos modelos buenos que sirvan para compartir uniformemente datos entre tales equipos. La confianza—el ingrediente esencial cuando se comparte información—, cuando existe, se desarrolla entre individuos que se conocen y han trabajado juntos, más bien que institucionalmente entre organizaciones. Para establecer la confianza, todas las partes deben entender y seguir pautas claras sobre la forma en que la información intercambiada será usada o diseminada. Todos los CSIRT nacionales cooperantes deben convenir en los principios para compartir información que indiquen cómo tal información puede usarse o diseminarse.

Las normas de divulgación de la vulnerabilidad describen las circunstancias en las cuales se disemina información sobre tal vulnerabilidad, y entre quiénes. en tales normas debe establecerse un equilibrio entre la necesidad de diseminar información procesable entre las audiencias debidas y la necesidad de minimizar las posibilidades de que un intruso pudiera obtener tal información antes de contar con parches o soluciones improvisadas.

Entre los atributos de los CSIRT necesarios para promover la confianza en las comunicaciones y la cooperación respecto de asuntos delicados de seguridad figuran los siguientes:

·                una infraestructura segura para el manejo de información delicada;

·                la capacidad para comunicarse sin riesgos con los interesados;

·                la capacidad para reunir expertos y autoridades;

·                una infraestructura que permita la notificación anticipada a determinadas audiencias;

·                procedimientos de protección contra fugas de información;

·                una interfaz pública bien conocida para la diseminación de información crítica; y

·                la capacidad para llegar rápidamente a una gran audiencia.

La creación de una capacidad CSIRT regional requiere la formación de un consenso sobre los principios para el intercambio de información, incluso qué información puede compartirse, con quién, y cuándo.

Financiamiento

No es barato financiar los CSIRT. Además de suministrar equipos y personal especializado permanentemente, los administradores de dichos equipos tienen que proporcionar asistencia técnica periódica y organizar ejercicios regulares para mantener sus operaciones a punto. Los Estados Miembros y la Organización deberán considerar cuidadosamente los mecanismos de financiación de los CSIRT y probablemente tengan que establecer un orden de prioridades de su cobertura, o buscar fuentes estables de financiación externa.

Cabe señalar que en octubre de 2002 los líderes de la APEC pidieron la creación de una capacidad regional CSIRT 24/7 para octubre de 2003. Tanto la APEC como el Gobierno de Australia convinieron en financiar proyectos de creación de capacidad CSIRT en las economías de cuatro miembros. en su informe más reciente sobre el proyecto, funcionarios de la APEC admitieron que hay dificultades para atraer candidatos aceptables y para obtener fondos adecuados para cubrir el costo del proyecto.

Conciencia pública

El apoyo del Gobierno y la industria para los programas (y financiación) de los CSIRT está directamente relacionado con la conciencia que tiene el público del problema de la ciberseguridad y sus posibles repercusiones en objetivos sumamente deseables en materia de desarrollo. Si los sistemas de una economía interconectada no se protegen debidamente, las redes e infraestructuras de todas las economías interconectadas son vulnerables. Los participantes en una red, ya sea como creadores, propietarios, explotadores o usuarios individuales, deben tener conciencia de las amenazas a la red y de sus vulnerabilidades, y asumir la responsabilidad de su protección según la posición que ocupen y la función que cumplan. La Organización, trabajando con los Estados Miembros y los CSIRT, debe llevar a cabo un programa de concientización del público acerca de la seguridad y la ética cibernéticas en el que se destaquen:

(1) las ventajas y responsabilidades del uso de redes de información;

(2) las mejores prácticas de seguridad y protección; y

(3) las posibles consecuencias negativas del uso indebido de las redes. Existen varias organizaciones y sitios en línea con datos útiles para dicho fin, y la Organización debe hacer uso de ellos.

Extensión de la red

Si bien la conciencia del público es un elemento esencial de esta propuesta, establecer una capacidad regional de CSIRT requerirá compromisos políticos en donde éstos puedan no existir. El grupo de trabajo deberá proponer un proyecto de resolución sobre la seguridad cibernética para su aprobación por la Comisión de Seguridad Hemisférica y transmitirlo a la Asamblea General con el mismo fin, que comprometa a los Estados Miembros a establecer equipos CSIRT en sus países, y a implementar las recomendaciones que pudiera presentar el grupo y aprobar la Comisión. Así se aplicará la voluntad política de los Estados Miembros al logro de una cobertura regional de los CSIRT, y se proporcionará a la Organización el marco institucional necesario para proceder. Con esta resolución, el grupo de trabajo puede asistir a los Estados a formular planes concretos y, suponiendo una financiación adecuada, a organizar proyectos para crear capacidad en sus respectivos países. Hasta el momento, ningún Estado ha ofrecido financiar este proyecto.

Plan de acción

Acción 1: Llevar a cabo un censo para identificar los CSIRT existentes, su variedad de miembros y los servicios que proporcionan. Esto nos permitirá identificar las lagunas en la cobertura, tanto geográfica como sectorialmente, y establecerá las bases para fijar un conjunto consensual de servicios que ofrecerán los CSIRT miembros. Se adjunta un posible cuestionario de censo.

Acción 2: Establecer un consenso para un conjunto mínimo de servicios que ofrecerán todos los CSIRT miembros. Eso ayudará a formar una doctrina de operación hemisférica uniforme, y servirá de base para las actividades subsiguientes de asistencia técnica.

Acción 3: Redactar una resolución para presentarla a la Comisión de Seguridad Hemisférica y la Asamblea General, pidiendo a los Estados Miembros que creen equipos CSIRT y que implementen las otras propuestas que figuren en el informe del grupo de trabajo. De los 11 CSIRT no estadounidenses que son miembros de la red FIRST, seis son estatales, cuatro son privados, y uno es dirigido por una universidad.

Acción 4: Producir un compendio de mejores prácticas basado en los servicios y normas CSIRT consensuales, acordes con las prácticas similares en Europa y Asia. Incluiría normas y protocolos para llevar a cabo monitoreo en tiempo real y un subsiguiente intercambio de información en toda la red, y servirán de base para protocolos consiguientes de pruebas y asistencia técnica.

Acción 5: Establecer un sistema de asistencia técnica e intercambio de información permanente para los CSIRT. Algunos países necesitarán asistencia para crear capacidad, o asistencia técnica para crear una capacidad de coordinación de la protección informática, o mejorar las capacidades existentes a fin de cumplir con las normas requeridas. Será necesario obtener financiamiento.

Al finalizarse la acción 1, realizar una reunión interamericana de representantes de los CSIRT existentes, a fin de adelantar las acciones y las cuestiones de compartimiento de información, la identificación de lagunas en la cobertura y asistencia técnica, la capacidad de interfuncionamiento, y la intercomunicación. Podrían asistir representantes del Grupo de Trabajo de Seguridad Cibernética de la OEA a fin de proporcionar información normativa cuando ello sea necesario, y asegurarse de que se aborden las cuestiones descritas en el presente documento. Esa reunión también sería un paso importante para enfrentar la cuestión de la confianza y, como sería a nivel técnico, no dependería de las acciones de la Asamblea General.

————————————————————————-

(1). Informe de la Conferencia sobre Seguridad Cibernética, documento OEA/Ser.L/X.5, CICTE/CS/doc.2/03.

(2). Declaración sobre Seguridad en las Américas, documento CES/DEC.1/04 rev. 1.

(3). Declaración de Montevideo, OEA/Ser.L/X.2.4, CICTE/DEC. 1/04 rev. 3.

(4). Anexo V, documento OEA/Ser.L/X.2.4, CICTE/INF.4/04.

(5). Anexo I.

(6). Anexo II.

(7). Anexo IV, documento OEA/Ser.K/XXXIV.5/REMJA-V/doc.7/04 rev. 4.

(8). Anexo III.

(1). CCP.I-TEL/doc.427/04 rev. 2

* El presente documento fue aprobado en su integridad por el Grupo de Expertos Gubernamentales en Materia de Delito Cibernético, en la sesión celebrada el día 24 de Junio de 2003.

** Las presentes “Conclusiones y Recomendaciones de la REMJA V” fueron aprobadas por consenso en la sesión plenaria celebrada el día 30 de abril de 2004, en el marco de la Quinta Reunión de Ministros de Justicia o de Ministros o Procuradores Generales de las Américas (REMJA V) celebrada en la sede de la OEA en Washington D.C., Estados Unidos de América.

01Ene/15

Boletines de Seguridad de Microsoft. Enero de 2012

 

Se ha publicado el primer boletín de seguridad del año 2012, presentando 1 vulnerabilidad crítica y 6 importantes, así como su solución inmediata.

Las vulnerabilidades se citan a continuación, así como el enlace para descarga de la actualización que soluciona el problema.

1. Vulnerabilidades en Windows Media podrían permitir la ejecución remota de código (2636391). Gravedad: Crítica

Descarga de la actualización

2. Una vulnerabilidad en el kernel de Windows podría permitir la omisión de característica de seguridad (2644615). Gravedad: Importante

Descarga de la actualización

3. Una vulnerabilidad en Empaquetador de objetos podría permitir la ejecución remota de código (2603381) Gravedad: Importante

Descarga de la actualización

4. Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (2646524) Gravedad: Importante

Descarga de la actualización

5. Una vulnerabilidad en Microsoft Windows podría permitir la ejecución remota de código (2584146) Gravedad: Importante

Descarga de la actualización

6. Una vulnerabilidad en SSL/TLS podría permitir la divulgación de información (2643584) Gravedad: Importante

Descarga de la actualización

7. Una vulnerabilidad en la biblioteca AntiXSS podría permitir la divulgación de información 2607664) Gravedad: Importante

Descarga de la actualización

Más información en: http://technet.microsoft.com/es-es/security/bulletin/ms12-jan

Áudea Seguridad de la Información
Departamento Seguridad TIC
www.audea.com

01Ene/15

Medidas de Seguridad

Según el Real Decreto 195/2000, de 11 de Febrero por el que se establece el plazo para implantar las Medidas de Seguridad de los ficheros automatizados previstas por el Reglamento aprobado por el Real Decreto 994/1999, de 11 de Junio, los plazos de implantación de las Medidas de Seguridad acabaron en las siguientes fechas:

Nivel básico: 26 de Marzo de 2000
Nivel medio: 26 de Junio de 2000
Nivel alto: 26 de Junio de 2002

01Ene/15

Pasarela de pagos

Pasarela de pagos para la seguridad de transacciones bancarias en línea

El artículo desarrollado surge con motivo de apoyar el progreso del comercio electrónico en Cuba. Tal afirmación se refiere a la creación de un sistema de pago electrónico que permita la realización de pagos y transferencias entre tiendas electrónicas y bancos cubanos de manera segura. Estos sistemas son pasarelas de pagos que se encargan de cifrar la información confidencial que se requiere para ejecutar un pago o transferencia por las redes. En el país se utilizan pasarelas de pagos de otros países que comercializan con sus sitios de comercio electrónico pero cobran comisiones muy altas por sus servicios y no envían directamente efectivo a los bancos cubanos. Por lo tanto las pasarelas internacionales no manejan las monedas cubanas y sería provechoso contar con una propia que pueda ser utilizada por todas las tiendas electrónicas cubanas. La investigación consiste en una propuesta de pasarela de pagos que sea utilizada por sitios de comercio electrónico y bancos cubanos para realizar pagos y transferencias bancarias en tiempo real de forma segura. De esta manera se brindará el servicio online de estos procesos en dichas instituciones. El manejo de la información de estas transacciones cuenta con requisitos de seguridad que impiden el acceso no deseado por atacantes al sistema. Con el uso de las tecnologías mencionadas se apoyará a los sistemas tradicionales de cobro, facilitándose a los usuarios de internet una mayor rapidez y accesibilidad a los mismos y de forma segura.

Download the PDF file .

Descargas

01Ene/15

Apuntes sobre correo electrónico en la empresa

“Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques”

Declaración Universal de Derechos Humanos, 1948

Dice Nicholas Negroponte, gurú de la tecnología y famoso visionario, que “la intimidad en Internet carece de estado de salud, ya que ésta no existe”. Al plantearme el secreto del correo electrónico de los trabajadores como actividad monográfica, es necesario tener en cuenta que la intimidad, y todos sus derechos conexos (libertad, propia imagen, etc..) están en franco retroceso, mas aún después de la crisis del once de Septiembre. Un país, Estados Unidos, locomotora mundial de las nuevas tecnologías, está poniendo en entredicho derechos constitucionales que jamás se habían puesto en duda, al menos en los términos en los que nos los plantearemos a continuación. El secreto de un correo electrónico en una esfera laboral nace ya bastante desdibujado, y es que en el país mas avanzado del mundo, éste secreto, simplemente no existe, consecuencia de la distinta concepción de intimidad entre Europa y Norteamérica. En Europa, la intimidad es un derecho intrínseco a la persona. En Estados Unidos, la intimidad pertenece al estado. Un altísimo porcentaje de empresarios norteamericanos instalan pequeñas aplicaciones en sus redes de ordenadores para espiar no ya sólo el correo, sino toda la actividad del trabajador, sea o no sea este último consciente de ello. Pero nadie protesta: el sentimiento patriótico está por encima de mis asuntos.

Bien es cierto que no hay que ser negativos, porque nuestros dos altos tribunales, Constitucional y Supremo, siempre se han caracterizado por velar por nuestros derechos fundamentales. En cualquier caso, hay que entender estos derechos como un conjunto, es decir, en esta monografía nos plantearemos el secreto de las comunicaciones, pero también el derecho del empresario para que los trabajadores lo usen con la debida diligencia. Hasta comienzos de este año, podríamos decir que los pronunciamientos judiciales sobre esta materia favorecían, de una u otra forma, los intereses del empresario. En éste sentido, se equiparaba el e-mail a la “taquilla” del trabajador. Consecuentemente, era posible su registro para comprobar el posible mal uso, siempre que se hiciera con unas debidas protecciones y garantías. Sin embargo, a raíz de una sentencia del Tribunal Supremo francés, junto con un primer pronunciamiento y acercamiento de nuestro homólogo español, parece que se empieza a tener en cuenta y apostar más por el “secreto de las comunicaciones”.

Desde luego, y mas que nunca en este aspecto, hay que buscar un punto medio, pero encontrarlo muchas veces, es casi utópico. Especialmente por la cantidad de situaciones diversas y derechos afectados, todos de suprema importancia, que es preciso proteger. Cuando hablamos del “secreto del correo electrónico en la empresa” no nos referimos a una actividad única. Algo tan sencillo como mandar un email tiene una complejidad interna que creo que es merecedora de explicación, para luego introducirnos en las posibles responsabilidades jurídicas. No puede ser lo mismo mandar un correo electrónico con un dominio propio de la empresa en la que el trabajador presta sus servicios, que hacer esto mismo desde uno de los numerosísimos servicios gratuitos de correo que pueblan la red de redes. En el primer supuesto, el trabajador está comprometiendo el nombre y prestigio de la entidad que defiende, en el segundo solo se compromete él mismo. De la misma forma, cuando nos referimos a la acción de “espiar” el contenido del email de un trabajador, no puede ser lo mismo adentrarnos en datos poco reveladores de la intimidad personal, como puede ser el destinatario del mensaje, o el “subject”, donde solo se suelen dar datos generales, que en el cuerpo del mensaje. Idem de ídem, no es lo mismo mandar un email personal al día que hacerlo con una alta frecuencia. Lo único que podemos llegar a tener claro en esto es que el coste para el empresario es realmente despreciable: el empresario no pierde dinero -en términos de uso de la infraestructura empresarial- por el envío de uno o de cuatrocientos correos. Desde la instauración de la tarifa plana -e incluso sin que estuviera esta-, y más teniendo en cuenta las sucesivas conexiones de banda ancha que priman en las actuales estructuras empresariales, mandar un correo tiene un “coste cero” para el empresario. Obviamente, hablar en términos de falta de productividad del trabajador es hablar de la falta de horas que ha dejado de dedicárselas al empresario, y esto si tiene relación directa con el número de correos electrónicos, o la longitud de los mismos.

La complejidad del asunto nos llevará a intentar resolver el problema desde la perspectiva de la ponderación de los derechos que están en juego. Sólo aplicando la cordura, reconociendo que no hay ninguna esfera de impunidad para ninguna de las partes, y que el término “buena fe”, una vez más, va a ser imprescindible, podremos llegar buen puerto.

Junto a esto, el estado de la técnica hace que hoy en día, programas de cifrado sean totalmente accesibles para cualquier persona. Utilizando complejos algoritmos de encriptación, cualquier persona, haciendo un par de “clics”, puede hacer, literalmente, inaccesible cualquier contenido del email que quiera cifrar. Cabe preguntarse si el trabajador tiene derecho a usar este software o no lo tiene. Actualmente, no hay jurisprudencia que contemplen este extremo.

Considero que, previamente al enfrentamiento y colisión entre estos derechos, debemos de conocer perfectamente los límites de todos ellos. Nos valdremos principalmente de la doctrina del Tribunal Constitucional para saber a que nos referimos exactamente cuando citamos el derecho al honor o ponemos el límite de la “libertad de empresa” a dicho derecho. Posteriormente, los enfrentaremos para conseguir vislumbrar los límites de cada uno de ellos. Adelantamos aquí algo que parecía obvio desde un primer momento y que ya he repetido: no hay derechos absolutos.

El despido en el ámbito laboral es la consecuencia más grave derivado del uso de las llamadas “nuevas tecnologías”. Creo que merece una especial atención, apoyándonos en la jurisprudencia mas reciente. La “caja de los truenos” fue despertada por el famoso caso Deutsche Bank en Cataluña, pero ya podemos encontrar pronunciamientos de Tribunales Superiores de Justicia. A ellos nos referiremos

SEGURIDAD EN EL CORREO ELECTRÓNICO

El correo electrónico tiene una imagen sumamente moderna, pero ya cumplió 30 años. En efecto, este sistema de comunicación nació allá por 1971. A diferencia de Edison, su “progenitor” Ray Tomlison no recuerda cuál fue el primer mensaje que se envió o cuál fue su destinatario. “Solo recuerdo que estaba en mayúsculas”, dijo Tomlison. Este ingeniero de BBN Technologies diseñó un programa con 200 líneas de código que perfeccionó el software existente creando los buzones electrónicos que conocemos en la actualidad. Otro de los inventos de Tomlison fue la famosa “@”, que concibió a fin de asegurarse de que el mensaje llegaría a su destinatario. Para enviar el mensaje se utilizó ARPA Net, la red militar que precedió al Internet que conocemos en la actualidad

Los programas que gestionan el correo se suelen llamar “clientes” porque interactúan directamente con el usuario, permitiendo mandar correo electrónico, pero también leerlo, crearlo, imprimirlo y mucho más, a través de su interfaz gráfico. Los mejores tienen un equilibrio entre potencia y facilidad de uso.

-Las partes de un mensaje

Es de sobra conocido por todos que un correo electrónico se compone principalmente de la dirección del remitente, un asunto o “subject” y el cuerpo del mismo. Este mensaje discurre desde el ordenador cliente hasta su destinatario usando distintos protocolos de comunicación, y “saltando” de máquina en máquina. Jurídicamente, no es lo mismo entrar en el contenido del mensaje que quedarnos en la simple presentación, que realizan los programas clientes (o los correos de tipo webmail) sobre el envío, o recepción (o “cola de envío”) de los mensajes. Consecuentemente, para comprobar si un mensaje es idóneo dentro del fin social del empresario, bastaría, en la mayoría de las ocasiones, con mirar el destinatario o el asunto del correo. Obviamente, la entrada en el cuerpo del mensaje es alcanzar un límite que quizás no se debería sobrepasar, si ya se tienen pruebas suficientes sobre el destino del correo en cuestión. Lo contrario, podría suponer una vulneración de los Derechos antes explicados, sobre todo si no se hacen con las garantías suficientes. Desgraciadamente, no demasiados de los pronunciamientos jurisprudenciales que repasaré posteriormente, tienen en cuenta este aspecto

-Dominio de la empresa o dominio genérico

Tema capital, que también determinará un diferente grado de gravedad. Podemos distinguir dos situaciones: si la empresa ha contratado un dominio propio, y ésta permite que sus empleados se valgan de dicho dominio, o si se utiliza uno gratuito o, igualmente, no tiene un nombre relacionado con la entidad. En el primer caso, la gravedad es mayor, porque se puede poner en entredicho a la entidad a la cual el trabajador presta sus servicios. En el segundo, al utilizarse un correo propio -contratado por el trabajador- quien se compromete es la persona en cuestión. En general, si el trabajador tiene una dirección de correo electrónico cuyo nombre de dominio se parezca, o acaso sea, idéntica a la empresa a la que presta sus servicios y ha hecho un mal uso de el, tiene un ámbito de gravedad mas amplio que aquel que ha usado un correo gratuito (tipo hotmail). En primer lugar, el trabajador en el primer caso está usando mas infraestructura empresarial que en el segundo: la contratación de un dominio de Internet es algo que no es gratuito, por contra en el segundo caso si lo es. En segundo lugar, el nombre de la empresa aparece en el primer caso, no así en el segundo. La consecuencia es clara: el trabajador puede incluso contratar productos con cargo a la empresa con fines ilegales o al menos no apropiados. Otro elemento mas a ponderar para determinar la gravedad de los hechos.

-Estructura de red corporativa

Las estructuras de redes empresariales suelen ser bastante complejas, según el siguiente esquema:

Los ordenadores “clientes” se conectan mediante la red entre ellos, y obtienen las aplicaciones necesarias de servidores de ficheros, se conectan a Internet mediante un router, usan servicios web mediante el servidor y se protegen con diversos firewalls. Pero todo esto está controlado desde la posición del administrador, que es una persona con unos privilegios exclusivos para el mantenimiento de toda la red. La consecuencia es que un ordenador cliente envía el correo electrónico desde su máquina y pasa al servidor, para enlazar, mediante el router, con la red de redes. El administrador es consciente, o puede ser consciente, del contenido del correo en cualquier momento: da igual que el correo no se haya mandado, o que se encuentre en el servidor. Y es la persona que tiene mas facilidades -además de formación técnica- para que esto se produzca. Además, los correos mandados siempre dejan rastros, en forma de archivos “logs” que se pueden encontrar en los ordenadores clientes y en el servidor. La intimidad aquí también puede verse empañada, y ahora no estamos hablando del empresario, si no de los exorbitantes poderes que puede tener esta figura, a la que no se le ha dado la suficiente importancia. No he encontrado referencias jurisprudenciales que aborden esta problemática. En mi opinión, puede no haber vulneración si el administrador hace un trabajo equitativo y los datos a los que accede son estrictamente necesarios para la consecución de su trabajo.

-Cifrado

La función inmediata del cifrado es el suministro del servicio de confidencialidad sea de los datos o del flujo de tráfico, pero además es una pieza fundamental para el logro de otros varios servicios. Este mecanismo supone procedimientos y técnicas de gestión de claves, capaces de generarlas y distribuirlas de manera segura a lo largo de la red.

Resulta curioso comprobar como toda la problemática que se plantea podría verse reducida a la nada si el trabajador en cuestión usara herramientas de encriptación (cifrado) para que resultara imposible la lectura de los correos electrónicos que el envía. Con los algoritmos que se usan hoy en día (hasta 512 bits), resultaría virtualmente imposible acceder a un determinado tipo de información con el simple uso de un software, como PGP (http://www.pgp.com).

Básicamente hablando, PGP funciona como un algoritmo del tipo de clave pública o asimétrica. En un sistema de clave pública, cada usuario crea una privada y otra pública. Se puede cifrar un mensaje con la pública y descifrarlo con la privada (no se puede cifrar y descifrar con la misma clave). El usuario difunde la pública, poniéndola a disposición de cualquiera que quiera enviarle un mensaje. Una vez que el mensaje ha sido recibido por el usuario, éste podrá descifrarlo con su clave privada. Es evidente que la privada debe ser mantenida en secreto por el propietario.

El esquema se puede considerar como si fuese un buzón con dos llaves, una para abrir y otra para cerrar. Cualquiera puede introducir un mensaje en el buzón y cerrarlo, pero solamente el propietario podrá abrirlo. Una gran ventaja de éste esquema criptográfico es que, al contrario que los sistemas tradicionales donde la clave de cifrado y descifrado coinciden, no es necesario encontrar un procedimiento seguro para enviarla al recipiente del mensaje.

También permite la opción de “firmar” un mensaje con una firma digital que nadie, ni siquiera el receptor, puede falsificar. Esto resulta especialmente útil, aunque no se cifre el mensaje en sí, porque actúa como certificación de autenticidad, ya que permite comprobar si el mensaje ha sido alterado durante la transmisión. También permite al receptor confirmar que el mensaje ha sido enviado realmente por el remitente (resulta demasiado fácil trucar los encabezamientos de los mensajes de correo electrónico).

PGP es un software gratuito, y la obtención de claves para su uso también. Significa eso que cualquiera tiene acceso a el, y significa también que la “inviolabilidad de hecho” para los mensajes de correo electrónico de los trabajadores es muy fácil de conseguir. La falta de información sobre el correcto funcionamiento del correo electrónico provoca el poco uso de este y otros programas parecidos. En la actualidad, no hay ningún pronunciamiento sobre la legalidad o no del uso por parte de un trabajador de mecanismos de cifrado en sus mensajes de correo electrónico.

-Firma electrónica y certificados digitales

Este mecanismo comprende dos procesos: primero la firma del mensaje y segundo la verificación de la misma. La primera se consigue a partir del propio mensaje, o una transformación precisa del mismo, a firmar, de modo que si éste cambia también lo hace la firma, y de una información privada sólo conocida por el signatario.

El segundo proceso se consigue aplicando a la firma a comprobar una información pública, que aunque es una función matemática de la citada información privada es computacionalmente imposible de obtener de ésta última. Finalmente, el resultado de este proceso se coteja con el mensaje, o la transformación citada del mismo.

Pero para proporcionar plena seguridad jurídica a este mecanismo se precisa hacer intervenir en la comunicación una tercera parte confiable entre los sistemas terminales, la cual garantiza que las claves usadas en la firma digital son efectivamente de aquel que se dice su propietario. Este tercero de confianza se denomina “Autoridad de certificación”

El uso de la firma electrónica, conjuntamente con certificados digitales expedidos por autoridades de certificación competentes, consiguen un alto grado de autentificación en los mensajes de correo electrónico. Recordemos que “La firma electrónica avanzada, siempre que esté basada en un certificado reconocido y que haya sido producida por un dispositivo seguro de creación de firma, tendrá, respecto de los datos consignados en forma electrónica, el mismo valor jurídico que la firma manuscrita en relación con los consignados en papel y los documentos que la incorporen serán admisibles como prueba en juicio, valorándose éstos, según los criterios de apreciación establecidos en las normas procesales”

En el seno de una empresa, puede estar asentado perfectamente el uso de esta tecnología. Sin embargo, en el ámbito que nos interesa ahora mismo, debemos contemplarlo como un elemento de prueba a la hora de identificar al emisor de mensajes. Los programas-cliente de correo actuales, o las cuentas web-mail ya proporcionan suficiente información al respecto para averiguar el destino, uso, fecha, y muchos mas detalles como para razonar el debido o indebido uso de una persona de los medios informáticos de una empresa, sin la necesidad de usar mecanismos como el que estamos contemplando ahora mismo. Aunque por supuesto, ello provocaría un refuerzo cuasi inapelable sobre la autoría del envío de los e-mails. De nuevo, no tenemos constancia de pronunciamientos en sentencias sobre el caso planteado, y es que, a pesar de su gratuidad, se trata de técnicas bastante desconocidas para un usuario medio de la red de redes.

-Soluciones que vulneran la intimidad

Paralelamente a las aplicaciones que protegen la intimidad de un usuario, la parcela contraria contiene programas que la vulneran. Programas como “spector” por ejemplo, generan automáticamente decenas de “snapshots” (imágenes) del pc del empleado para “vislumbrar” cómo trabaja. Por supuesto, permite la lectura de los correos desde la empresa, pero no sólo éso: prácticamente cualquier cosa queda al descubierto. Ideal para “jefes sin escrúpulos”. Resulta curioso comprobar como la licencia de uso de éste software queda constreñida a que el adquiriente avise a todas las personas que van a ser “observadas” mientras trabajan. Estamos ante el número 1 en ventas en Estados Unidos, país donde derechos como la intimidad están, francamente, por los suelos.

Y es que son las empresas norteamericanas las que más a menudo recurren a este tipo de soluciones informáticas para asegurar el correcto uso de los medios que ponen a disposición de sus empleados.

Hasta un 55% de las mismas , según los últimos estudios, tienen instalados sistemas de rastreo del correo electrónico, capaces de interceptar y eliminar mensajes que contengan determinadas palabras o expresiones “prohibidas “; marcas competidoras, nombres de directivos de otras compañías, términos escatológicos, sexistas u obscenos, etc.

Las empresas son conscientes de que la utilización del e-mail y de Internet, trae consigo grandes beneficios, que repercuten en un aumento de la productividad, pero que utilizados de forma descontrolada o indebida producen un efecto contrario, no deseado.

Una vez más se manifiesta el choque entre los intereses de las empresas y el derecho a la intimidad en sus comunicaciones de los empleados a su cargo.

De igual forma, hay que señalar que en una red privada -configuración usual en el seno de una empresa de tamaño medio- la privacidad también se ve atenuada por la propia estructura de la red. En ella, la figura del administrador de la red, puede poseer facultades exorbitantes e incluso desconocidas para los trabajadores. Entre ellas, puede estar el acceso a los cuerpos de los mensajes del correo electrónico, si no están protegidos con contraseñas o por cualquier otro mecanismo.

PROTECCION DE DATOS

Con relación a la normativa de protección de datos (tanto la ley como el reglamento de seguridad), el correo electrónico puede plantear una gran cantidad de cuestiones diversas. El empresario es susceptible de realizar ficheros que contengan la dirección electrónica de sus trabajadores, puede venderlos o cederlos. Una empresa recibe una gran cantidad de correos electrónicos con currículums solicitando establecer una relación de trabajo con el empresario. ¿Qué ocurre en este caso?

Precisamente, una de las consultas mas interesantes que se realizó a la Agencia de Protección de datos se refería a si la venta o cesión de un fichero que contenía direcciones de correo electrónico debía ser considerada cesión de datos a los efectos de la ley, lo que exigía analizar si dichas direcciones tenían la consideración de datos de carácter personal.

Apreció la Agencia que la dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos generalmente por su titular, con la única limitación de que dicha dirección no coincida con la de otra persona. Esta combinación puede tener significado en sí misma o carecer de él pudiendo incluso, en principio, coincidir con el nombre de otra persona distinta al titular.

Por lo anterior, la Agencia analizó distintos supuestos atendiendo al grado de identificación de la dirección del correo con el titular de la cuenta de dicho correo. Si la dirección contiene información acerca de su titular, pudiendo esta información referirse a su nombre, apellidos, empresa…aparezcan o no estos extremos en la denominación utilizada, la dirección identifica al titular por lo que debe considerarse dato de carácter personal. Si la dirección no parece mostrar datos relacionados con la persona titular de la cuenta (por referirse, por ejemplo, el código de la cuenta de correo a una dirección abstracta o a una simple combinación alfanumérica sin significado alguno), en principio, no sería un dato de carácter personal. Sin embargo, incluso en este supuesto, la dirección de correo electrónico aparecerá necesariamente referenciada a un dominio concreto de tal forma que podrá procederse a la identificación de su titular mediante la consulta del servidor en que se gestione dicho dominio sin necesidad de un esfuerzo desproporcionado por parte de quien lleve a cabo dicha identificación. Concluye la Agencia que también en este caso la dirección se encuentra amparada en el régimen de la ley. Se concluye que la cesión de un listado de direcciones está sujeta al artículo 11 en materia de cesiones, sin que la mera publicación en Internet de un directorio de correo electrónico puede ser considerada como circunstancia que convierte los datos en accesibles al público toda vez que dicha inclusión supone un tratamiento que deba haber sido efectuado recabando el consentimiento de los afectados.

La conclusión final es que se considera a todos los efectos una dirección de correo electrónico como “dato” dentro de la L.O.P.D., lo que implica que, si existe un fichero que contengan dichos datos, el empresario está obligado a realizar muchas tareas: debe darlo de alta, debe establecer las medidas de seguridad oportunas según el reglamento de medidas de seguridad, a la vez que respetar los principios de la ley.

Contenido del derecho al honor, intimidad y propia imagen

Nuestra Carta Magna habla de tres derechos distintos. Vamos a intentar ahondar en ellos, a través de la doctrina mas autorizada al efecto: la del Tribunal Constitucional.

En la sentencia 231/1988, caso Paquirri, se afirma que “Los derechos a la imagen y a la intimidad personal y familiar reconocidos en el art. 18 de la C.E. aparecen como derechos fundamentales estrictamente vinculados a la propia personalidad, derivados sin duda de la “dignidad de la persona”, que reconoce el art. 10 de la C.E., y que implican la existencia de un ámbito propio y reservado frente a la acción y conocimiento de los demás, necesario -según las pautas de nuestra cultura- para mantener una calidad mínima de la vida humana. Se muestran así esos derechos como personalísimos y ligados a la misma existencia del individuo.”

La Constitución Española garantiza en su Título I éste derecho junto a los de intimidad personal y familiar hacia todos los ciudadanos sin excepción.

El honor es aquel derecho que tiene toda persona a su buena imagen, nombre y reputación, de tal forma que todos tenemos derecho a que se nos respete, dentro de nuestra esfera personal cualquiera que sea nuestra trayectoria vital, siendo un derecho único e irrenunciable propio de todo ser humano.

Sobre el contenido al derecho a la intimidad, en cuanto derivación de la dignidad de la persona, implica “la existencia de un ámbito propio y reservado frente a la acción y el conocimiento de los demás, necesario, según las pautas de nuestra cultura, para mantener una calidad mínima de la vida humana “. Además, el derecho a la intimidad no es absoluto, “como no lo es ninguno de los derechos fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho “.

La intimidad es la esfera personal de cada uno, en donde residen los valores humanos y personales, siendo un derecho fundamental para el desarrollo de la persona y de la familia además de ser un ámbito reservado a la curiosidad de los demás contra intromisiones e indiscreciones ajenas. La intimidad se ha protegido siempre de forma limitada. Por ejemplo, la violación de la intimidad domiciliaria, se centrará en aquellos casos en los que se produzcan registros no permitidos y vejaciones injustas ocasionados por los mismos. No sólo se centrará dentro de este ámbito sino que además también afecta a otros campos como son las violaciones de la correspondencia y comunicaciones personales, intimidad laboral, obtención de datos relativos a la intimidad personal, familiar, o de terceros pertenecientes a la esfera de la familia. De tal forma que la intimidad es aquella esfera personal y privada que contienen comportamientos, acciones y expresiones que el sujeto desea que no lleguen al conocimiento público. Todo lo expuesto anteriormente requiere una protección jurídica con el fin de que se respete la vida privada y familiar garantizando a la persona esa esfera o zona reservada en donde transcurren las circunstancias de la vida personal, nacimiento de hijos, embarazos, enfermedades, desengaños amorosos, aspectos profesionales, en definitiva, cosas que ocurren en la vida de toda persona. En el caso de los personajes públicos, esta intimidad debe de estar mayormente protegida, al estar dentro del panorama de personajes conocidos mas o menos por el resto de la sociedad, porque comentarios o noticias realizadas de forma injuriosa pueden gravemente perjudicar su imagen pública creando una imagen irreal y distorsionada de la realidad reflejada desde un punto de vista subjetivo. Puede ocurrir que lo publicado sea totalmente verídico pero no por ello se puede permitir la intromisión de cualquier persona pues violaría la intimidad que todo ser humano tiene y necesita que respeten los demás.

Por último, el derecho a la propia imagen, consagrado en el art. 18.1 CE junto con los derechos a la intimidad personal y familiar y al honor, contribuye a preservar la dignidad de la persona (art. 10.1 CE), salvaguardando una esfera de propia reserva personal, frente a intromisiones ilegítimas provenientes de terceros. Sólo adquiere así su pleno sentido cuando se le enmarca en la salvaguardia de “un ámbito propio y reservado frente a la acción y conocimiento de los demás, necesario, según las pautas de nuestra cultura, para mantener una calidad mínima de la vida humana “. Y en esta línea, la Ley Orgánica 1/1982 (art. 2 en conexión con el 7, aps. 5 y 6, y art. 8.2) estructura los límites del derecho a la propia imagen en torno a dos ejes: la esfera reservada que la propia persona haya salvaguardado para sí y su familia conforme a los usos sociales; y, de otra parte, la relevancia o el interés público de la persona cuya imagen se reproduce o de los hechos en que ésta participa, como protagonista o como elemento accesorio, siendo ésta una excepción a la regla general citada en primer lugar, que hace correr paralelo el derecho a la propia imagen con la esfera privada guardada para sí por su titular.

El secreto de las comunicaciones

Los pronunciamientos judiciales que veremos mas adelante equiparan el correo electrónico a una especie de “taquilla virtual”, a la que, cumpliéndose ciertas garantías, se puede acceder. Sin embargo, parece que últimamente se va a empezar a asimilar éste a la de un sobre cerrado o carta, con todo lo que ello conlleva. Así, en un caso de narcotráfico (con pronunciamiento de 7 de Abril del 2002), el Tribunal pidió una reforma legislativa. Se reclamó que la legislación se adapte para incorporar los avances de las nuevas tecnologías y que se amplíe el concepto jurídico de “carta” con el fin de proteger el derecho al secreto de las comunicaciones. Así “los avances tecnológicos que en los últimos tiempos se han producido en el ámbito de las telecomunicaciones, especialmente en conexión con el uso de la informática, hacen necesario un nuevo entendimiento del concepto de comunicación y del objeto de protección del derecho fundamental, que extienda la protección a esos nuevos ámbitos”. Esto va a provocar un vuelco total en la concepción que tenemos de “secreto del correo electrónico”, ya que sólo mediante las garantías judiciales que hoy en día se aplican a las escuchas telefónicas -por poner un ejemplo- se podrá saber el contenido de un e-mail. Pero meses antes, en Octubre del 2001, ya había tenido ocasión de pronunciarse el Tribunal Supremo francés: “Un empresario no puede tener conocimiento de los mensajes personales enviados por un trabajador y recibidos por éste a través de un útil informático puesto a su disposición para su trabajo” sin violar el secreto de correspondencia, aunque el patrón “haya prohibido la utilización no profesional del ordenador”.

En esta sentencia se refiere al caso que enfrenta a la empresa Nikon France con uno de sus antiguos trabajadores, despedido en Junio de 1995 por una falta grave por pasar gran parte de su tiempo laboral realizando asuntos propios y utilizando para ello los métodos informáticos puestos a su disposición sólo para fines laborales.
Nikon presentó, como prueba, los múltiples ficheros que aparecían en el dossier “Personal” que este ingeniero había abierto en su ordenador.
El caso llegó hasta el Supremo, después de que en Marzo de 1999 el Tribunal de Apelaciones de París confirmara el despido del trabajador. Ya digo que estos dos primeros pronunciamientos altos tribunales europeos cambiarán, y de hecho ya lo están haciendo, la doctrina sobre el secreto del correo electrónico en el trabajo. En las próximas líneas, hago un repaso sobre lo que implica el secreto de las comunicaciones.

La Constitución, al reconocer y proteger el secreto de las comunicaciones está consagrando implícitamente la libertad de las mismas. Libertad que se erige así como bien constitucional protegido y que se ve conculcada tanto por la interceptación del mensaje, en sentido estricto, como por el simple conocimiento antijurídico del mismo, y cuya protección no se limita sólo al contenido de la comunicación.
La norma constitucional se dirige a garantizar la impermeabilidad de la comunicación frente a terceros ajenos a la misma, sea cual sea su contenido. El concepto de secreto que maneja el texto constitucional es, pues, formal. Se presume que el contenido de la comunicación es secreto para todos aquellos que no participan en la misma. No ocurre así con los interlocutores a quienes no se extiende la imposición absoluta e indiferenciada del secreto. A aquellos cabe exigir un deber de reserva.

En definitiva, cuando alguien graba una conversación ajena vulnera el derecho. Si lo hace uno de los comunicantes no vulnera, por esta sola conducta, el citado precepto. En este orden de cosas, la única intervención legítima de las comunicaciones ha de ser autorizada por resolución judicial. Resolución que, en todo caso, ha de ser específica y razonada y que, en cuanto supone una injerencia sustancial en el ámbito de la esfera personal, ha de otorgarse conforme al principio de legalidad y al principio de proporcionalidad. Bien, esto hoy en día no se hace y no se aplica al envío de correos electrónicos por parte de un trabajador. La doctrina ha ido construyendo una serie de garantías -que examinaremos más adelante- para acceder al contenido de estos correos, sin una resolución judicial. Se han ido matizando los derechos al entrar en contacto con otros, para que el empresario pueda acceder a esos correos, y toda la jurisprudencia que mas adelante tocaremos así lo corrobora. En un ámbito laboral, tus comunicaciones pueden ser perfectamente violadas sin antes haber acudido a un juez a que te permita dicho acceso. Además, como veremos a continuación, tenemos un delito perfectamente tipificado en el Código Penal que no tiene aplicación en el trabajo, al menos hasta el momento. La pregunta que cabe hacerse es: ¿está justificado que, con la excusa del ámbito laboral, el empresario, aún con las garantías que se construyan, pueda acceder al contenido sustantivo de un correo electrónico? Y por supuesto, la otra: ¿Puede un trabajador, amparado en el “secreto de las comunicaciones” y en el delito tipificado en el Código Penal mandar cuantos correos quiera ya que le protege este derecho fundamental? Obviamente, tendremos que proceder a hallar un punto intermedio. Eso quedará examinado al final. Pasamos ahora a seguir desglosando la doctrina mas autorizada sobre el “secreto de las comunicaciones”.

El Titulo X del Libro II, bajo la rúbrica “Delitos contra la intimidad”, el derecho a la propia imagen y la inviolabilidad del domicilio trata en el primer capitulo, arts. 197 a 201, “Del descubrimiento y revelación de secretos”, y en el segundo, arts. 202 a 204, “Del allanamiento de morada, domicilio de personas jurídicas y establecimientos abiertos al publico”.

Por secreto podemos entender todo lo que una persona o grupo reducido cuidadosamente tiene reservado y oculto, en tanto la intimidad, como señala Bajo, y en el mismo sentido Jorge Barreiro, es el “ámbito personal donde cada uno, preservado del mundo exterior, encuentra las posibilidades de desarrollo y fomento de su personalidad”, estando considerada como derecho fundamental en el articulo 18.1 de la Constitución. En relación con tal intimidad, los secretos protegidos son los de tipo personal, salvo el supuesto del art. 200, excluyéndose los secretos de empresa, a que se refieren los arts. 278 a 280. En el apartado 1 del art. 197, en que se refunden, con modernizado contenido, los arts. 497 y 497 bis del Código anterior, se describe el tipo básico, en que es castigado, con penas de prisión y multa, “El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, mensajes de correo electrónico..etc, etc”.

El derecho del empresario: la libertad de empresa del artículo 38 de la Constitución Española.

El principio de la libre empresa reflejado en el 38 de la Constitución es fundamental, ya que a éste principio le es connatural el principio de la libre competencia. La libertad de empresa es uno de los principios neocapitalistas. Conjuntamente existen otros: derecho a la libre elección de profesión, derecho de la propiedad privada y medios de producción y derecho de fundación y asociación para la realización y explotación de actividades económicas.

El principio de la libertad de empresa supone una doble vertiente:

1. Los empresarios son libres de crear y dirigir las condiciones de desarrollo de su actividad pudiendo utilizar todos los medios oportunos para afirmarse en el mercado: libertad de adquirir factores de producción, etc. Pero con un límite impuesto que se sobrepasa si el ejercicio de este derecho supusiere una infracción en el fin social. Esto también tiene su aspecto negativo, pues haciendo uso de su libertad el empresario puede ocasionar un daño a un competidor.

2. Los poderes públicos deben garantizar que es el mercado el que regula la ley de oferta y demanda, quien mediante la fuerza de las dos magnitudes regula y fija los precios y otras condiciones de los bienes y servicios. Una vez más se impone un límite, que será el respeto a lo establecido en la Constitución.

Límites de la libertad de empresa.

1. Reserva al sector público: el Estado, por ley, puede reservarse determinadas materias siempre que sean esenciales e indemnizando del perjuicio que ocasione esta reserva por parte del Estado. Se podrá hacer cuando se cumpla un fin social de interés general. Por ejemplo Telefónica.

2. Expropiación: el Estado puede privar a los empresarios de la titularidad de sus empresas con el requisito de que se indemnice a los propietarios y siempre que así lo exija el interés social general .

3. Intervención de empresas: parecido a la expropiación. No se produce modificación ni pérdida de la titularidad por parte del empresario, sino que el Estado pasa a tener poder de control sobre el órgano de decisión de la empresa, que se encuentra en una situación crítica, para poder reflotarla. Por ejemplo Banesto.

El despido por uso de correo electrónico e Internet

Podemos hablar de dos motivos por los que se podría legitimar el despido por uso del correo electrónico e Internet: la trasgresión de la buena fe y el abuso de confianza, además de la indisciplina y desobediencia. Ambos extremos están recogidos en los artículos 54.2 d) y b) del Estatuto de los Trabajadores, respectivamente. Existen seis causas pero son esas dos las que se acercan mas a los supuestos de esta monografía. El resultado es que el empresario puede acogerse a cualquiera de las dos.

Así, si el empresario ha emitido órdenes por medio de comunicaciones hacia los trabajadores, advirtiéndoles que los equipos informáticos sólo pueden ser utilizados para trabajar y no para uso particular y estos desobedecieran, estarían incurriendo en causa de despido.

Vamos a tratar la extraordinariamente amplia jurisprudencia que hay sobre el tema, no sobre el correo electrónico en sí, pero si en cuanto a cuestiones conexas. Intentaremos establecer, al mismo tiempo, paralelismos sobre otras casos para luego extrapolarlos al tema que estamos estudiando. Adelantamos algo a continuación:

Por ejemplo, es motivo de indisciplina que el trabajador se negare al registro y por ello podría ser causa de despido procedente, según la sentencia del Tribunal Supremo de 28 de Junio de 1990

También por motivo de indisciplina es considerado el despido procedente de un trabajador que usó el correo electrónico, a pesar de que habían sido todos advertidos por la empresa que no estaba autorizado el uso para motivos ajenos a la empresa. El Tribunal dice que tal advertencia era innecesaria porque el trabajador debe cumplir sus obligaciones de acuerdo con la buena fe, lo que excluye actividades ajenas al puesto de trabajo. Esta sentencia del Tribunal superior de Justicia de Cataluña de 5 de Julio de 2000 la examinaremos más adelante a propósito del correo electrónico.

Los “logs” de acceso del ordenador pueden servir de prueba para esclarecer los hechos enjuiciados. Ello es deducible del pronunciamiento de el Tribunal Superior de Justicia de Madrid, en sentencia de 16 de Octubre de 1998 . Como prueba documental es perfectamente esgrimible: fue el caso por el que un trabajador usó internet en horas de trabajo para asuntos “poco procedentes” con su trabajo, como compras de material pornográfico.

En muchas ocasiones, el hecho de que un trabajador de una determinada empresa tenga como misión específica el “rastreo” de la red para búsqueda -como dice el pronunciamiento al que ahora nos referimos- de nuevos “productos y tendencias”, no cambia lo anteriormente estipulado. En Sentencia del Tribunal Superior de Justicia de Cataluña, de fecha 29 de Enero de 2001 , se declara despido procedente a la afectada una trabajadora que tenía encomendada dicha misión. La trabajadora accedía a páginas de ocio.

Además, si ya no sólo el trabajador se dedica a navegar sino que pasa a tener una conducta mas o menos activa en la red, pasamos ya a un nivel superior: el abuso de la confianza. En sentido parecido se pronunció la sentencia del Tribunal Superior de Justicia de Murcia de 15 de Junio de 1999 en que un trabajador utilizó los servicios informáticos de la Empresa para cuestiones particulares e incluso poniendo en Internet una dirección de correo que correspondía al ordenador de la oficina comercial de la empresa.

Podríamos hacer un paralelismo sobre el uso particular y abusivo del teléfono fijo y el móvil, que podríamos denominar similar, pues se utiliza aprovechando medios de la empresa y durante el tiempo de trabajo, para asuntos particulares.

Por ello la similitud de la escena hace que puedan ser aplicables al caso de navegación por la red. Veamos algunas sentencias al efecto:

Sentencias como: Tribunal Superior de Justicia de Galicia de 26 de Septiembre de 2000 o la del Tribunal Superior de Justicia de Cataluña de 11 de Marzo de 1999 . En la primera, se califica de procedente el despido del trabajador que en 22 días hizo 48 llamadas particulares a otra empresa, de la que era administrador y que era competidora de la actual, por trasgresión de la buena fe contractual y abuso de confianza. En la segunda, se califica de procedente el despido del trabajador que había hecho 388 llamadas en 10 meses y había sido advertido por escrito, y además la empresa comunicó a los trabajadores la política de reducción de costes, entre ellos el teléfono, y transcurrido un tiempo reincide en el uso abusivo del mismo
Hemos examinado jurisprudencia del uso abusivo de Internet y de las llamadas telefónicas. Examinemos ahora el caso concreto del correo electrónico.

Se pronunció el Tribunal Superior de Justicia de Cataluña en sentencia de 5 de Julio de 2000 en el que en un caso dos trabajadores fueron despedidos por enviar correos electrónicos, durante un mes y medio, a dos compañeras. Dichos correos eran claramente obscenos, y en esta empresa se había comunicado a los trabajadores que no estaba autorizado el uso de los medios informáticos para asuntos ajenos a la empresa. Es decir, había ese aviso previo que antes he señalado, en el sentido de que refuerza la culpabilidad del trabajador. Aunque claro está, esto no es concluyente. Precísamente en esta sentencia, el Tribunal considera innecesario la advertencia de la empresa de no poder usar particularmente el sistema informático, pues de acuerdo con el art. 5 a) ET, obliga a los trabajadores a cumplir con sus obligaciones, entre los que está excluida la realización de actividades ajenas al puesto de trabajo en el horario laboral. La sentencia no considera acoso sexual, ni comportamiento obsceno y depreciativo tales correos, pero sí son motivo de transgresión de la buena fe y abuso de confianza, por realizar actividades ajenas en el puesto de trabajo y por desobedecer las órdenes de la empresa de no usar los medios informáticos para uso particular. Por tales motivos los despidos son procedentes.

Pero ha sido la sentencia del Tribunal Superior de Justicia de Cataluña de 14 de Noviembre de 2000 la que salió por primera vez a los medios de comunicación. La examinaremos con detenimiento.

En éste supuesto el despedido, afiliado a sindicato, con 30 años de antigüedad, envió 140 correos electrónicos a 298 destinatarios, en un mes y medio, mediante los ordenadores de la empresa, con mensajes humorísticos, sexistas e incluso obscenos, con coste económico escaso de tales envíos. Los fundamentos principales de este pronunciamiento son los siguientes: “…dichos mensajes, ajenos a la prestación de servicios (de naturaleza obscena, sexista y humorística), se remitieron en horario laboral; cuando es así que la empresa demandada sólo permite utilizar el referido sistema de comunicación por motivos de trabajo. Concurre así un acreditado incumplimiento laboral del trabajador sancionado, que tanto por su contenido como por su reiteración en el tiempo, resulta expresivo de una entidad disciplinaria suficiente como para revestir de razonabilidad a la reacción empresarial; no pudiendo, por ello enmarcarse su decisión en motivaciones ajenas a las propias que disciplinan la relación de trabajo. Nuestra doctrina jurisprudencial ha venido señalando [en aplicación del art. 54.2 d) ET] cómo esta causa de despido comprende, dentro de la rúbrica general de transgresión de la buena fe contractual, todas las violaciones de los deberes de conducta y cumplimiento de la buena fe que el contrato de trabajo impone al trabajador (STS 27 Octubre 1982), lo que abarca todo el sistema de derechos y obligaciones que disciplina la conducta del hombre en sus relaciones jurídicas con los demás y supone, en definitiva, obrar de acuerdo con las reglas naturales y de rectitud conforme a los criterios morales y sociales imperantes en cada momento histórico (STS 8 Mayo 1984); debiendo estarse para la valoración de la conducta que la empresa considera contraria a este deber, a la entidad del cargo de la persona que cometió la falta y sus circunstancias personales (STS 20 Octubre 1983); pero sin que se requiera para justificar el despido que el trabajador haya conseguido un lucro personal, ni ser exigible que tenga una determinada entidad el perjuicio sufrido por el empleador, pues simplemente basta que el operario, con intención dolosa o culpable y plena consciencia, quebrante de forma grave y relevante los deberes de fidelidad implícitos en toda prestación de servicios, que debe observar con celo y probidad para no defraudar los intereses de la empresa y la confianza en él depositada (STS 16 Mayo 1985). En el presente supuesto, la naturaleza y características del ilícito proceder descrito suponen una clara infracción del deber de lealtad laboral que justifica la decisión empresarial de extinguir el contrato de trabajo con base en el citado art. 54.2 d), al haber utilizado el trabajador los medios informáticos con que cuenta la empresa, en gran número de ocasiones, para fines ajenos a los laborales (contraviniendo así con independencia de su concreto coste económico temporal un deber básico que, además de inherente a las reglas de buena fe y diligencia que han de presidir las relaciones de trabajo ex art. 5 a), parece explicitado en el hecho 11) y comprometiendo la actividad laboral de otros productores. Como señala la STSJ de Murcia 15 Junio 1999 (…) por razones elementales de orden lógico y de buena fe, un trabajador no puede introducir datos ajenos a la empresa en un ordenador de la misma, sin expresa autorización de ésta, pues todos los instrumentos están puestos a su exclusivo servicio…”.

El Correo electrónico para usos sindicales

¿Qué ocurre cuando se usa el correo electrónico sin tanta desproporción? ¿Y qué ocurre cuando se usa para asuntos sindicales? El pronunciamiento de la Audiencia Nacional de 6 de Febrero de 2001 intenta aclarar el supuesto. Se había notificado a los trabajadores que el uso particular del correo electrónico era “inapropiado y podría configurar falta laboral”. Y advertía del uso masivo de correos que podía ser sancionable. Pero también por la empresa se estimulaba el uso del correo electrónico, para evitar las cartas y el teléfono, con lo que tenemos un elemento que de alguna forma puede contrarrestar la mala fe de los empleados. Finalmente, la sentencia reconoce a los trabajadores su derecho a transmitir noticias de interés sindical para sus afiliados, pero siempre dentro de los cauces de la normalidad. Precisamente porque el uso de internet, entre otros factores, está plenamente extendido en la empresa, y porque supone prácticamente un “coste cero” para el empresario.

Sin embargo, cuando la mala fe en el uso del correo sindical está acreditada, las cosas se vuelven distintas. Para muestra, la sentencia del Juzgado de lo Social nº 25 de Madrid en sentencia de 13 de Octubre de 2000 : “…la evolución tecnológica permite el empleo de medios más sofisticados, rápidos, útiles y directos, que el tradicional tablón o la no menos habitual hoja informativa expuesta en el mismo y/o entregada en mano, de tal manera que en aras a satisfacer ese derecho, no pueden existir impedimentos legales para utilizar otros medios que busquen esa misma finalidad y con las características ya expuestas, aunque, lógicamente, su empleo deba adaptarse a sus particularidades y condiciones, en este caso el correo electrónico. Sin ánimo de ser exhaustivo entendemos que ese uso ha de tener en cuenta los siguientes parámetros:

1. Deben tener acceso los mismos que normalmente ejercitan tal derecho en los tablones de anuncios, es decir los representantes unitarios, sindicales y grupos de trabajadores que tengan cierta cohesión. Por tanto, no puede estar limitado su ejercicio al Presidente de la representación unitaria, como alega la empresa.

2. Respecto a la libertad de expresión y a su vez a las limitaciones que tiene ese derecho en el ámbito laboral.

3. Tampoco, en principio, pueden establecerse restricciones en orden a su difusión, ya sea geográfica, ya de otro tipo, con la excusa de su falta de interés para ciertos trabajadores, pues como toda información, es el destinatario el que voluntariamente ha de discriminarla. Sin embargo, no se debe sobrepasar el marco de lo que es la empresa, pues, también en principio, esa información es ajena a terceros, problemas que no se pueden dar en la empresa hoy demandada al ser interno su correo electrónico.

4. Las comunicaciones deben salvaguardar el sigilo profesional que establece el art. 65.2 ET.

5. En aquellos supuestos en los que su utilización deba compatibilizarse con lo que es la actividad empresarial propiamente dicha, como es el supuesto que nos ocupa, debe subordinarse a la misma, en situaciones especialmente conflictiva y en las que estén en juego derechos fundamentales, como por ejemplo el de huelga, aunque han de evitarse interpretaciones abusivas sobre tal subordinación y que en la práctica impidan su ejercicio.

Se ha de rechazar que la utilización sindical del correo electrónico deba configurarse como responsabilidad privativa del que nominativamente lo insta, y más si se tiene en cuenta que el origen de todo lo actuado es una decisión de la Sección Sindical de CC.OO., que además tiene importante representación en el Comité de Empresa de esta Comunidad, siendo, por tanto, el demandante mero ejecutor de lo allí previamente acordado. En ese mismo sentido, se ha de recordar todo lo expuesto en el anterior fundamento de derecho, sobre la posibilidad que han de tener los representantes unitarios y/o sindicales para utilizar ciertos medios que sirven para informar a sus representados, por lo que se rechaza cualquier utilización patrimonial y particular de este sistema electrónico de comunicación.

No obstante lo anterior, ello no es óbice para que se reconozca que, con todas las atenuantes que se quiera, la actuación del actor es ilícita desde el punto de vista laboral, ya que una vez que solicita permiso para utilizar el correo electrónico y mientras no le sea dado, lo lógico sería esperar a una contestación definitiva, o extender su reivindicación a niveles más altos, y, en último caso, utilizar los medios legales que a su alcance tiene, aunque en este último supuesto tampoco se ha de olvidar que existe cierta premura a la hora de informar de algunos temas a los trabajadores. Pero, con todo, lo que no tiene justificación es que engañe a dos subencargados para conseguir ésta finalidad, aunque en principio sea lícita y esto es lo que aquí exclusivamente se debe sancionar.

En consecuencia y utilizando el cauce disciplinario que la propia empresa enuncia, se ha de considerar que su actuación no puede ir más allá de una falta leve, vistas las circunstancias reiteradamente invocadas, de tal manera que en consonancia al art. 68.1, la suspensión de empleo que se autoriza a imponerle no puede superar los tres días”.

01Ene/14

Curso online de Seguridad en el comercio electrónico CEFORA

Curso online de Seguridad en el comercio electrónico CEFORA 2012

Dirigido a

Personas interesadas en conocer la seguridad online.

Temario

  1. Seguridad y protección de datos
  2. Aspectos jurídicos en el comercio electrónico
  3. Seguridad en los medios de pago on-line
  4. Pagos y tributación

Centro

CEFORA Formación, nuevas tecnologías y nuevas profesiones. En Cefora como proyecto educativo nos hemos planteado la misión de facilitar la profesionalización de los vecinos y empleados de municipios del Sur de Madrid en el conocimiento de las nuevas tecnologías y nuevas profesiones. Cefora es un proyecto empresarial joven, que tiene detrás un grupo de profesionales con más de 10 años de experiencia

Calle Camara de Industria, 16

Persona de contacto

Carlos Guijarro Esteban
[email protected]
Tel. 916465306
Técnico en Seguridad de Redes
http://www.cefora.es/