Llenos de dudas sobre la posibilidad técnica de poder establecer una conexión directa entre una persona, una computadora y material ilegal en la red, decidimos entrevistar a uno de los expertos en el tema a fin de que nos ayudara a conocer en su parte técnica la propuesta de la iniciativa de ley presentada por el senador Federico Döring.
Andrés Velázquez, uno de los expertos más importantes sobre estos temas en nuestro país, accedió a compartir con nostors su conocimiento y experiencia sobre la viabilidad técnica de la iniciativa de "Ley Döring". El es Ingeniero en Cibernética y Sistemas Computacionales, egresado de la Universidad la Salle, México, y Presidente y Director de Investigaciones Digitales de MaTTica®, el primer laboratorio dedicado a las investigaciones de Delitos Informáticos en América Latina.
¿Qué es una dirección IP?
Andrés Velázquez.- Si lo vemos desde un punto de vista técnico, es una serie de octetos, los cuales definen la dirección temporal que se le asigna a un equipo de cómputo cuando está conectado a Internet, esto lo hace de una forma que permite llegar a enrutar los paquetes.
Si hacemos una analogía, una dirección IP sería como la dirección de una casa en donde tenemos una calle y un número; éste sería, por ejemplo, el primer octeto. Normalmente, las Direcciones IP tienen 4 octetos (con los cambios de direcciones IP a una nueva versión habrá más octetos), de tal manera que estamos hablando de que el primer Octeto llegaría a definir el país, el segundo el estado, el tercero la colonia y el cuarto la calle y el número.
Sin embargo, es una analogía un poco burda.
¿La dirección IP “…identifica de forma inequívoca una computadora o dispositivo…” como lo establece la iniciativa?
Andrés Velázquez.- Sí. Sin embargo, hay ciertos temas que hay que especificar. Cuando nosotros nos conectamos a Internet, es el proveedor de Internet quien tiene o en resguardo las direcciones IP. Por medio de ciertos acuerdos internacionales, se le asigna una serie de direcciones o un grupo de direcciones IP de varios miles de millones a cada una de las áreas que están conformadas a nivel mundial; en este caso, México pertenece a Lacnic, que es el área de Latinoamérica.
Una vez que un proveedor de Internet que da el servicio de conectividad solicita a este ente (Lacnic) las direcciones IP, se le asignan también una serie de direcciones para que a su vez ellos puedan llegar a asignárselas durante cierto tiempo delimitado a sus suscriptores.
¿Qué significa esto? Cuando nosotros nos conectábamos antes por medio de un módem, cada vez que nosotros iniciábamos una conexión, el proveedor nos asignaba una dirección IP. Normalmente, en el 80% de los casos, los proveedores lo asignan de una forma dinámica. ¿Qué es esto? Que nosotros vamos a tener esa dirección IP durante el tiempo en que nosotros estemos conectados, y en el momento en que nosotros nos desconectemos, esa IP se asignará a otra máquina que requiere tener acceso a internet.
Esto lo pensamos de una forma en que, como comentaba, en años anteriores donde cada dirección IP era asignada cuando nos conectábamos vía un módem telefónico, nos conectábamos media hora y nos desconectábamos. Ahora es un poquito más difícil de entenderlo, porque ahora tenemos un equipo como el DSL, que es un módem conectado todo el tiempo. Aun así, cuando se llega ir la luz, cuando llega a haber una desconexión, puede llegar a renovarse esa dirección IP.
Entonces, sí puede llegar a identificar forma inequívoca una computadora o dispositivo, sí lo puede llegar a hacer –desde una perspectiva en que encontraríamos primero el módem– únicamente en aquellos casos donde el proveedor guarde una bitácora de qué usuario está conectado y durante qué tiempo.
¿A qué voy con esto? Que muchos de los proveedores hoy por hoy en México, al no existir una legislación que diga que el proveedor debe guardar estas bitácoras, no la guardan. Entonces, cuando tenemos nosotros una causa penal, una causa civil, un proceso, vamos y solicitamos una orden judicial para que el proveedor nos entregue la información sobre qué usuario estaba haciendo uso de esa dirección IP en este día, a esta específica hora, a estos específicos minutos, y el proveedor con la mano en la cintura nos dice: “no tengo esa información porque no estoy requerido por ley de llegar a protegerla”.
Esto hace entonces que, si bien podríamos llegar a saber cuál suscriptor es el que está siendo conectado, no podríamos llegar a identificar específicamente una máquina porque, imaginemos que esto sucede en estos sitios, como está sucediendo hoy en prácticamente todo el país, donde la municipalidad o la delegación esta colocando Internet gratuito, podríamos llegar hasta el ruteador o el accespoint (sistema de WiFi) donde se conectan las máquinas, pero hasta ahí llegaríamos porque entonces habría que analizar la información contenida en ese dispositivo para ver a quién se le asignó, pero ahí es en donde se rompe la línea de investigación porque no tendríamos un elemento para poder vincularlo.
Imaginemos entonces casos como redes inalámbricas abiertas dentro de casas, lo cual haría que la investigación llegara a cierta casa, pero si alguien hizo uso de esa red inalámbrica abierta, pues podría llegar a ser enjuiciada, perseguida o multada una persona que ni siquiera sabía el delito que se cometió usando su red. Si bien es un poco contradictorio, es interesante como materia de estudio.
Lo que debería llegar a existir en este caso, lo que estamos proponiendo como especialistas, es, por un lado, que existan registros por parte de los proveedores, y que también exista cierta responsabilidad respecto a dejar abiertas las redes dentro de la casa o del trabajo, porque eso permitiría que alguien cometiera un delito. Ahí tendría que deslindar la responsabilidad aquel que dejó abierto ese acceso.
¿Una dirección IP permite identificar a una persona que sube o baja información de la red y el momento en que realiza esas actividades?
Andrés Velázquez.- Es una mezcla. Lo que se puede llegar a hacer es: se identifica una dirección IP, no una persona, y es que ése es el tema más difícil. Cuando hablamos de delitos informáticos, nosotros como peritos podemos llegar a decir el usuario tal estaba asignado a esta persona por medio de un contrato, por medio de una carta de asignación de equipo de cómputo. Si no se tiene algo como un contrato como dato, es muy difícil decir qué persona cometió el delito.
¿Es posible distinguir quién sube qué a la red, especialmente en los sitios de almacenamiento virtual como fileserve o megaupload o en los sitios de intercambio P2P?
Andrés Velázquez.- Sí es posible, y hay que verlo de cada uno de los lados. Cuando alguien sube información a estos sitios de discos duros virtuales, pues tiene una dirección IP, la cual puede llegar a direccionar hacia dónde hay que seguir la investigación para poder llegar a determinar el usuario.
Sin embargo, no es nada más el tema de la IP, y ése es el gran problema, porque una vez reconociendo la IP, hay que identificar cuántos equipos hay ahí, porque podría haber mil equipos, y buscar entonces la bitácora correspondiente para poder vincular cuál fue la máquina desde donde se subió.
También se puede llegar a hacer un análisis sobre las máquinas para identificar quién tuvo acceso a ese sitio y quién subió la información, es decir, la forma contraria: a partir de un equipo, nosotros como especialistas podríamos llegar a decir “sí desde esta máquina se conectaron a este servicio y subieron este archivo”. Lo cual nos permitiría a llegar a vincular qué usuario estaba haciendo uso de esa máquina, qué fue lo que hizo el usuario además de subir el archivo, y que efectivamente subió el archivo, lo cual redondea el hecho.
La iniciativa propuesta señala que el titular de derechos de autor, al presentar su queja, deberá incluir, entre otros datos, la ubicación en las redes o servicios del proveedor de las obras posiblemente infringidas, dirección IP del presunto infractor, y la información del Proveedor de servicio de Internet. ¿Esta información es pública y de fácil acceso?
Andrés Velázquez.- Sí. Sin embargo, posiblemente no tenga que ver directamente con una única persona.
¿Qué tendrían que hacer los titulares de derechos de autor para obtenerla?
Andrés Velázquez.- Ese es un tema muy interesante, ya que muchas veces quien tenga ese problema estaría infringiendo las mismas reglas, estaría cayendo en la misma situación. Por ejemplo, para llegar a saber que alguien subió el contenido que está protegido con derechos de autor, tendría que acceder, bajarlo y verlo, por lo tanto estaría teniendo ciertos elementos muy similares a quien estaría cometiendo el delito.
Ese es uno de los temas más complicados: cómo y quién debería hacer este tipo de cuestiones, y más aún, para poder llegar a saber dónde está, muchas veces tendrían que estar filtrando mucho del contenido, hacer pesquisas y demás, lo cual es un tema que ha dejado mucho de qué hablar.
En una entrevista con Rosario Carmona en W Radio señalas que la Ley Döring implica la intervención de comunicaciones y estar capturando el tráfico que está pasando por la red ¿Por qué?
Andrés Velázquez.- Por la forma cómo han estado explicando la ley, es lo que se entiende. Este es un tema que lleva al hecho de que si yo nada más denuncio sobre aquello que conozco, podría llegar a ver ciertas tendencias, a castigar a ciertos grupos y demás. Para poder llegar a saber quién está subiendo información, para poder llegar a saber desde dónde están subiendo información, es necesario intervenir la comunicación completa, y es ahí donde hay un tema de intervención de comunicación y no hay un libre acceso. Aún así, es un tema que técnicamente muy difícil de hacer.
¿Cuál consideras tú que sea la forma más adecuada de perseguir las infracciones a los derechos de autor en la red?
Andrés Velázquez.- Hay muchas formas. Yo creo que si bien uno de los grandes problemas es el tema de la piratería en Internet, creo que hay cosas mucho más básicas que no se han podido llegar a legislar. Por ejemplo, México fue observador del convenio de Budapest, convenio internacional propuesto por la comunidad europea al cual no se suscribió, donde se establece el poder llegar a legislar respecto de ciberdelitos con elementos como el hecho de que se guarden bitácoras de los proveedores de Internet.
Aun así, en este caso, de aprobarse una ley como la Ley Döring, con la cual no estoy de acuerdo, el proveedor de Internet se puede voltear y decir: “no tengo esos datos”. Hay muchas cosas todavía de fondo que se tienen que atacar de primera instancia. Un punto importante sería que, efectivamente, cuando hablamos de piratería, de derechos de autor, sí exista una forma de investigarlo a partir de ciertos mecanismos que permitan llegar a seguirlo, mas no filtrar el contenido, no ir más allá.
Yo creo que ése es el tema más importante. Si México llega a firmar el convenio de Budapest, creo que se podría lograr mejores resultados.
Andrés, agradecemos mucho que hayas compartido esta valiosa información con nosotros y nuestros lectores y esperamos una nueva oportunidad para que nos sigas esclareciendo otros importantes aspectos sobre este tema.
www.miabogadoenlinea.net