Wednesday, October 26, 2016

El masivo ataque informático o crónica de un asalto anunciado



(versión en español del anterior)
Durante el último Congreso de Derecho Informático organizado por ADIAR y la Universidad Nacional del Sur, dí una conferencia sobre la Internet de las cosas, delitos informáticos y la peligrosa situación generada por la falta de regulación adecuada, tema sobre el que trata uno de mis proyectos de investigación. En ese entonces algunas personas decía que estaba hablando de algo que podía pasar en un futuro relativamente distante, contra mi visión de que la posibilidad era inminente...el masivo ataque informático de ayer mostró el escenario al que me refería ese día.
Los informes hablan de un masivo ataque de negación de servicios distribuido que tuvo lugar usando una multiplicidad de aparatos conectados a Internet, aparatos que son más vulnerables al malware por la falta de medidas de seguridad en los mismos, aparatos que forman lo que se conoce como Internet de las cosas.
Aun si olvidamos que demasiados usuarios no tienen ni siquiera programas antivirus en sus computadoras, la mayoría de los usuarios no tienen ni el conocimiento ni la capacidad de asegurar aparatos conectados a Internet, sólo la conexión en sí misma, no que no es siempre suficiente en estos casos. Entonces, cual es la respuesta de las autoridades en estos casos?
Diferentes jurisdicciones están tratando con el tema de diversas maneras, pero hay un silencio ensordecedor acerca de impulsar algún tipo de marco regulatorio sobre seguridad obligatoria dirigido a fabricantes y vendedores, y demasiadas voces sobre educar a los consumidores y esperanzas de autorregulación, y ataques como el del jueves demuestran cuan insuficientes son esos enfoques.
Como muchas cosas en la sociedad de la información, las cosas son dejadas a la suerte de la autorregulación, con las muy ideológicas bases de que la tecnología en cuestión es demasiado dinámica para ser regulada en forma apropiada y que, teniendo en cuenta la necesidad de mantener la confianza de los consumidores, las empresas harán lo que corresponde. El problema con esa idea, no siempre apoyada por los hechos como hemos visto, es que olvida que las empresas en general, incluyendo a las del sector tecnológico, están para generar ganancias y, sin importar cuanto “no hacer el mal” traten de promover, pueden tener hasta la obligación legal de asegurar las ganancias de los accionistas aun cuando signifique hacer algo de mal (como censurar sitios de Internet en ciertas jurisdicciones como China). Por lo tanto, y entendiblemente, de la misma manera los fabricantes y vendedores van a gastar en seguridad no más que lo estrictamente necesario para evitar potenciales juicios, lo que actualmente representa mucho menos que lo que constaría hacer los aparatos más seguros que hoy en día.
Uno de los argumentos para no regular la tecnología de la información ha sido la posibilidad de que la misma sofoque su desarrollo, pero puede afirmarse con confianza que es hora de dejar ese argumento atrás. El sector tecnológico y sus empresas han resultado en una de las mayores y veloces concentraciones del ingreso en tiempos recientes y nuevos multimillonarios han aparecido como hongos luego de la lluvia...es difícil de creer que una fuerte regulación obligando a las empresas a producir y vender aparatos conectados a Internet que sean seguros, vaya a desincentivar a demasiadas de esas empresas a desarrollar más de ellos, resultando -en el peor de los casos- en menos artículos de lujo vendidos a los tecnomillonarios alrededor del mundo a cambio de un ambiente digital más seguro.

Sunday, October 23, 2016

The massive cyberattack or a chronicle of a strike foretold

(Español acá)
During the last Computer Law Conference organized by ADIAR (Argentina Computer Law Association) and the Universidad Nacional de Sur, I gave a conference on the Internet of Things, cybercrime and the dangerous situation presented by the lack of proper regulation, topic in which I have one of my research projects. At the moment some people argued that I was talking about something that might happen in a relatively distant future, dissenting with my view that the possibility was imminent...yesterday massive cyberattack only showed the scenario to which I referred to that day.
Reports talk about the huge DDoS attack being conducted using multiple devices connected to Internet, devices that are more vulnerable to malware due to lack of security measures in them, devices that form what is known as the Internet of Things.
Even if we forget that too many users don't even have antivirus software in their computers, most users have no knowledge nor capabilities to secure Internet enabled devices, only the connection itself, which is not always enough in these cases. So, what is the authorities response to it?
Different jurisdictions are dealing with the issue in different manner, but there is deafening silent about putting forward some kind of compulsory security regulatory framework directed to manufacturers and vendors, and too many talks about educating consumers and hopes of self regulation, and attacks like the one on Thursday show how insufficient those approaches are.
Like many thing in the Information society, things are left to self regulation with the highly ideological basis that the technology in question is too dynamic to be properly regulated and that, taking into account the need to keep consumers' trust, the companies would do what is proper. The problem with that idea, not usually supported by facts like we've just seen, is that it forgets that companies in general, also those in the IT sector, are there to make profits and, regardless how much “do no evil” they can try to promote, they may have the legal obligation to maximize profits for shareholders even if it means doing some evil (like censoring sites in some jurisidctions like China). So, understandably, in the same way manufacturers and vendors will spend in security no more than what is strictly necessary to avoid the potential lawsuits, which currently represent quite less than what it would take to make their devices more secure than what they are today.
One of the arguments to not regulate IT has been the possibility that such a regulation would stifle its development, but it can be strongly said that it is time to leave that argument aside. IT and its companies have resulted in one of the fasted and biggest concentration of income in recent memory and new billionaires have been popping like mushrooms after the rain...it is hard to believe that strong regulation forcing companies to produce and sell secure Internet-connected devices would disincentivize too many of those companies to develop more of them, having -as worse case scenario- just fewer luxury items sold to IT-billionaires around the world in exchange of a more secure digital environment...
 

Thursday, October 20, 2016

Historias de misticos y cruzados en el pseudodebate por el voto electronico



Han pasado algunos años desde que escribí algo relativamente elaborado en este blog y han habido muchas ocasiones en las que consideré que era justificado volver a dedicar el tiempo y esfuerzo que mantener un blog actualizado requiere. La justificación no se encuentra en la inexistente importancia de mi pensamiento, sino en la necesidad individual de plasmarlo por una mezcla de acción catártica y ordenamiento de ideas.
Así han pasado cuestiones importantes como el erradísimo fallo de la Corte Europea de Derechos Humanos con respecto a la privacidad de los correos electrónicos de los empleados, toda la saga de los whistleblowers como Snowden y Assange, demasiadas instancias que demuestran la necesidad de implementar un programa de educación en cuestiones de navegación segura en la currícula primaria y secundaria y una larga lista de eventos relevantes para cualquiera que se dedique a estudiar el derecho informático, la propiedad intelectual y los aspectos regulatorios de la sociedad de la información, tanto en su faz privada como pública. Como en casi todos los fenómenos complejos la explicación es necesariamente compleja, para el horror de quienes sostienen que las únicas explicaciones válidas son las simples y piensan que ser filósofo es conocer un buen número de frases hechas, proverbios y aforismos o están convencidos que son suficientes 140 caracteres para expresar ideas profundas. En este caso, quizás la razón principal, entre tantas otras también importantes, se encuentre la increíble dedicación que requiere el desarrollo de una nueva carrera de Abogacía que sea moderna y pertinente a la par de seguir intentando hacer ciencia jurídica referida a la sociedad de la información en un ambiente en el que el conservadurismo y la protección de intereses creados hace que a los innovadores, buenos o no, seamos perseguidos (aun inventando y sosteniendo causas judiciales).
El motivo que me lleva a buscar la continuidad a este blog que en algún momento logró algo de trascendencia, es el pseudo debate que se está llevando a cabo por la reforma electoral en general y el llamado voto electrónico en particular, tema que espero tratar esta única vez para luego retomar la vieja costumbre de comentar cuestiones casi diariamente.
Se puede argumentar que el debate no es tal sino aparente porque se han formado facciones cuyo objetivo es ganar la discusión, por los motivos que sean, más allá de la veracidad o validez de sus argumentos. Están los que presentan el voto electrónico como la panacea y la solución a todos los problemas conocidos del sistema de votación actual y están los que se han embarcado en una cruzada que niega en forma absoluta la posibilidad de que se use esa tecnología para el ejercicio de voto, convirtiéndolo casi en una cuestión de fe. El problema que esta cuestión suscita es que siendo el voto el método mediante el cual el pueblo elige a sus representantes, la adopción de posturas tanto mágicas como talibanescas permiten vislumbrar que el resultado va a ser uno que todos, no importa el bando que hayan elegido o no hayamos elegido, vamos a lamentar.
Desde la postura mágica la actividad se enfoca más en lo institucional. Siendo que algunos de quienes sostienen esta visión creen que la ley de reforma electoral, tal como fue presentada, es el medio para llevarlo a cabo, el esfuerzo se concentra en los acuerdos políticos que logren la sanción del proyecto de ley. Todo hace pensar que, obviando las muchas críticas y problemas que la redacción del proyecto de ley tiene, siguiendo con actitudes muy cuestionables para convencer a todos que con la tecnología se terminan los problemas del sistema electoral argentina y en parte por la autoexclusión del debate del grupo que convirtió su oposición en una cruzada, este grupo está logrando que la ley sea sancionada.
Los que han decidido que el voto electrónico “es peor ataque al sistema democrático desde 1983” han convertido su idea en una cruzada, y como en toda cruzada, la fe empieza a tomar el lugar de los argumentos sólidos y razonables, y las tergiversaciones y las falacias de todo tipo van ganándole a los hechos, lo que implica una radicalización creciente de quienes sostiene esta postura y una situación en la que los que deciden, naturalmente, cada vez los tienen menos en cuenta. Esto es particularmente lamentable porque es justamente en ese grupo donde se encuentran muchos de los que más podrían aportar a un debate serio, que hoy no existe.
Cualquier discusión necesita que las partes tengan un universo discursivo compartido, esto es, que estén de acuerdo en el significado de ciertas cosas. En mi caso, aunque no sería parte de tal discusión, me resultaría difícil siquiera empezar a debatir con alguien que sinceramente cree que un proyecto de ley que los representantes del pueblo pueden votar o no es el peor ataque al sistema democrático desde 1983, olvidando, sólo como ejemplo, que en el año 1989 una conjunción de intereses económicos y políticos operaron clandestinamente para forzar la salida anticipada de un presidente democrático, que en el mismo año 1989 integrantes del Movimiento Todos por la Patria tomaron el cuartel de La Tablada con un saldo final de 39 muertos, que en el año 1990 fue el último de los varios levantamientos carapintadas contra los gobiernos democráticos, el que dejó 14 muertos y que en el año 2008 un grupo de gente del campo creyó que su reclamo, justo o no, estaba por encima de lo que decidieran las autoridades electas del país. Usualmente, cualquier intento de discusión terminaría automáticamente aquí por la abismal disparidad sobre lo que un ataque al sistema democrático significa. Sin embargo, como no soy parte de ese debate, que además no existe, me puedo permitir ir más allá y seguir analizando los argumentos y ver cuales no serían conducentes para lograr que el proyecto de ley no incluya cuestiones que pongan en peligro la integridad del sistema electoral argentino (tomándonos la libertad de asumir que el sistema actual tiene algo de integridad).
Siguiendo un orden que no es cronológico ni lógico, solo azaroso, podríamos empezar con la cuestión de la seguridad de los sistemas de voto electrónico. No hace falta ser un especialista para saber que todos los sistemas informáticos son, por lo menos en teoría, “hackeables”.  Esto es verdad cuando hablamos de los sistemas electorales, de los sistemas que hacen volar y de hecho pilotean a los casi 12.000 aviones que están volando alrededor del mundo en este momento (si esto se lee mientras es de día en los Estados Unidos) representando un estimado de 2.000.000 de personas en el aire, de los sistemas que manejan a los miles de drones armados que vuelan por el mundo constantemente y del sistema que lleva en un maletín esa persona que usualmente va unos pasos detrás del presidente de los Estados Unidos de América, el que permite iniciar un ataque nuclear y usar armas que actualmente se calcula tienen el poder de destruir toda la vida del planeta siete veces y dejarlo inhabitable por miles de años. Entonces la cuestión no es si un sistema es hackeable o no, sino cuan probable es que sea hackeado (lo que incluiría analizar tanto la facilidad como la propensión), cuan asegurable es el mismo (cuanto se puede reducir la probabilidad y a qué costo) y si es posible, como nos han hecho creer a los ignorantes, que el sistema avise cuando fue hackeado y qué cosa fue cambiada. Una vez establecidas esas cuestiones, recién ahí se puede discutir la seguridad de un sistema electoral informático vis a vis un sistema en papel, porque lo que algunos se olvidan de mencionar es que la urna de cartón o madera que se usa en las elecciones tradicionales, es también hackeable y, un tema que será recurrente en esta disquisición escrita, por no especialistas. Para hackear un sistema informático hay que tener ciertos conocimientos sobre el tema, disponer del tiempo y disponer del acceso al mismo durante todo el tiempo necesario para realizar la operación, en cambio para “hackear” una urna tradicional sólo es necesario estar frente a ella y no hace falta ni siquiera saber leer y escribir. Con sólo introducir en el sobre que me dan las autoridades de mesa un envoltorio con algún tipo de ácido que corroa primero el plástico (cuyo tiempo se puede calcular con cierta precisión para que si voto cerca del cierre de la elección el daño lo haga en algún momento cercano al cierre) y luego se esparza por el resto de la urna arruinando todos los votos, puedo dañar todas las urnas que quiera en secciones electorales donde sé que los resultados no me favorecen. Porque el tema es que nadie puede legalmente revisarme antes de entrar al cuarto oscuro y tampoco se puede observar el voto si mi sobre es por demás abultado, ya que cualquier votante puede anular su voto incluyendo, por ejemplo, un poster de Arjona (lo que además conllevaría la descompostura de los miembros de la mesa al ver el poster).
Nótese que en este ejercicio teórico no se ha hecho referencia a las situaciones reales y conocidas de quema de urnas, cambio de urnas y urnas que empiezan el día electoral con los votos ya “cargados”, que se han dado histórica y recientemente en Argentina, todas formas de “hackear” el sistema electoral actual. Uno de los muchos problemas que plantea la argumentación de los cruzados es que pareciera basarse principalmente en ejercicios teóricos, que los llevan a decir que la inseguridad del voto en papel permite cambiar de a unidades o decenas y la del voto electrónico de a miles (aunque eso no sea cierto ni siquiera teóricamente porque para hackear las casi 100.000 urnas electrónicas que una elección nacional implicaría haría falta un esfuerzo técnico y humano muy difícil de realizar durante el tiempo disponible para hacerlo), sin ver que en muchos casos, muchísimos, el cambiar algunos votos en papel o los de alguna región es suficiente (les suena por cuanto ganó el NO en Colombia, la elección de gobernador de Río Negro en 1995, y una larguísima lista de ejemplos de elecciones decididas por la cantidad de votos hackeables en papel?). Sólo teniendo en cuenta la “hackeabilidad” del sistema electoral con urnas y voto en papel en cualquiera de sus modalidades se puede realmente evaluar la probabilidad de hackeo en uno u otro sistema, cuan asegurable es uno u otro sistema y finalmente si es posible que el sistema avise que fue hackeado y qué fue cambiado, y entonces sí argumentar que tal sistema es más seguro que tal otro, pero la cruzada del No al voto electrónico asume que las condiciones ideales de laboratorio, oficina o del lugar en que se escriben las diatribas son las existentes en la realidad, lo que los lleva a asegurar que el voto electrónico es “fácilmente hackeable” y el voto papel hackeado no tiene incidencia sistémica. Una pequeña nota con respecto a la realidad y lo falaces de algunos argumentos: aun un no especialista como yo entiende la contradicción en afirmar que un sistema que está conectado sólo unos minutos para enviar información es hackeable y también afirmar que no se puede hacer una auditoría seria y confiable de una urna en particular durante las horas que dura una elección, algunas de las contradicciones a las que llevan las cruzadas. Pero la ausencia del verdadero análisis comparativo entre una tecnología, el papel, y la otra, la informática, se puede rastrear a otras características comunes a las cruzadas en general: la creencia de quienes se embarcan en ellas de que conocen todo mejor que los otros y son los únicos especialistas, siendo los otros tildados en el mejor de los casos de ignorantes si no están de acuerdo con ellos; a la actitud condescendiente y paternalista que lleva a estos especialistas usualmente no elegidos por nadie a pensar que conocen qué es mejor para los otros más que los otros mismos; y el convencimiento que las condiciones prevalecientes en su usualmente reducido ámbito de actuación son las condiciones generales del resto de los ámbitos y del resto de la gente, tema que también será recurrente en estas líneas. En un artículo académico esto sería una nota al pie, pero es interesante hacer notar, cómo ejemplo de la conexión con la realidad que excede su ámbito inmediato de cierta gente, que en el Messenger de Facebook, en la categoría “Working” de los stickers que uno puede enviar dentro 28 motivos seleccionados al azar, 26 de 40 stickers  son gente frente a una computadora, ninguno incluye a gente trabajando en el campo o una fábrica y el único trabajo manual presentado es un animalito cortando el césped, siendo que según la OCDE el porcentaje de gente que trabaja en el sector de TICs sobre el total de los trabajan en el sector privado es, en promedio de los países de la OCDE, del 3,7%. O sea, un especialista que trabaja en ese 3,7% le parece correcto que cuando uno haga referencia a “trabajo” el 65% de las imágenes tienen que ser de ese sector.
Otra de las cuestiones que merecen un resumidísimo análisis, es la cuestión de la especialidad y el ser escuchados o no. Es importante empezar diciendo que hay que felicitar a los miembros del Congreso por siquiera haber invitado a gente que los tilda de ignorantes, les asigna trabajos sexuales a sus madres o los llama lisa y llanamente orangutanes. Es difícil encontrar un ejemplo más antidemocrático y fascista que el llamar ignorante, simio e insultar a la madre de un representante elegido democráticamente, sólo porque ese representante no está de acuerdo con alguien que sin haber sido elegido y con una legitimidad autoproclamada se arroga el derecho de imponer su pensamiento a los otros (y si alguien cree que la popularidad en redes sociales da legitimidad, es un ignorante que no conoce que todo en informática puede ser hackeado). El presumir que estos representantes del pueblo están comprados, sin demostrar que de hecho lo están, nos lleva a las peores épocas de nuestra historia en donde uno era aprendido y hasta desaparecido porque alguien no elegido había decidido que, como no estaba de acuerdo con él, seguro era un delincuente. Además, sobre cuán especialistas son los especialistas, uno empieza a oler mal cuando en vez de presentar argumentos sólidos algunos repiten pertenecer a instituciones que tienen a los que más saben sobre un tema en todo un continente, siendo que cualquier listado internacional que haga referencia a ese tema ni siquiera los nombra. La falacia se completa con la afirmación de que no hay escritos de especialistas a favor del voto electrónico. Eso es mentira y aunque fuera verdad la falacia estaría en asumir que porque no hay escritos de especialistas a favor de algo significa que todos están en contra (se ve que la parte de falacias de generalización se les fue de la especialidad). Más allá de que hay múltiples escritos de especialistas a nivel global que sostienen la conveniencia del voto electrónico, si no hubiera no significa nada más que eso. Uno podría imaginar muchos motivos por los cuales un especialista no quiere publicar lo que piensa o sabe, en un ambiente donde existe un grupo muy poco democrático pero muy ruidoso que por pensar diferente lo llamaría ignorante.
No se puede no mencionar la cuestión de las “auditorías independientes” mezcladas en las diatribas contra el voto electrónico. Me ha tocado participar, opinar y escribir brevemente en la defensa del hacker inglés Gary McKinnon allá por 2009 y entiendo la cultura de los llamados hackers éticos que pululan por el éter, pero una cosa es entender lo que hacen y otro es cometer el infantilismo, solamente creíble por jueces que deciden sin tener mucho en cuenta el derecho, de intentar decir que el acceso ilegal, tipificado por el Código Penal en su artículo 153 bis, el que fuera incorporado por la Ley 26.388, es hacer “una auditoría independiente”. Conozco perfectamente, en carne propia y en estos mismos momentos, lo que significa ser perseguido judicialmente por aquellos que intentan desacreditarnos para tapar sus actos impropios y de corrupción, pero este no es uno de esos casos. El que accede a un sistema de acceso restringido sin autorización en forma dolosa comete un delito y eso no cambia porque lo haga creyéndose con el poder y la autoridad para decidir por sí sólo qué partes de las leyes se le aplican y cuáles no. En este caso es particularmente grave porque quienes lo hacen lo hacen en nombre de la democracia, derechos humanos y demás, de la misma manera que quienes hace un poco más de cuarenta años decidieron, sin que nadie los haya elegido para tal tarea, que eran los elegidos para “salvar a la patria” y eso justificaba ignorar al sistema democrático y republicano basado en leyes y los derechos humanos de quienes se les oponían, a quienes terminaron torturando, matando, desapareciendo o exilando. En esto hay que ser terminante. Uno puede entender que, atendiendo a la importancia que quienes creen en esta cruzada le asignan al tema, traten de defender ciertas acciones y minimizar las consecuencias de la acción con todo tipo de atenuantes, pero una cosa es tratar de proteger a quien cometió el acto sabiendo que era un delito y otra es la increíble tergiversación de que en realidad no es un delito sino una “auditoría independiente”. Es tan ridículo como pretender que si mi vecino deja siempre la puerta de su casa abierta y eso potencialmente facilita que un hipotético ladrón entre a mi casa, luego de avisarle varias veces, yo entre cuando no esté, le revise todos los cajones y cierre su puerta con llave, para luego aducir que no fue una invasión a su privacidad, fue “concientización forzada”. O más aún, teniendo en cuenta que varios de los miembros de esta cruzada reciben ingresos a través de ONGs, las que por supuesto todo me hace pensar que tienen todos sus ingresos perfectamente justificados, yo decida que las presentaciones a las respectivas inspecciones de justicia de las ONGs y ante la AFIP de esos miembros para mí no son suficiente y decida hackear sus cuentas de banco, sus tarjetas de crédito, las de sus parientes, y luego diga que decidí hacer una “auditoría independiente” de los ingresos de gente que voluntariamente se involucró en asuntos de interés público, usando por analogía los principios establecidos por la Corte Interamericana de Derechos Humanos en el caso Kimel. Alguien podría pensar que la seguridad de mi casa, afectada potencialmente por la negligencia de mi vecino, no se compara con la seguridad de un sistema de votación, de la misma manera que tampoco lo hacen las finanzas de los miembros de una ONG, pero desde mi punto de vista no es así, y lo que los principios antidemocráticos y antirepublicanos que sostienen no les permiten ver, es el hecho que nadie eligió, como nadie me eligió a mí aunque el daño potencial en mi caso es más cierto y tangible, al hacker en cuestión o a ellos para decidir qué parte del sistema legal se aplica cuando a ellos se les ocurre y cual no. Sin embargo no es así; nada me da derecho a ingresar a la casa de mi vecino para que aprenda a cerrar con llave su puerta ni a hackear todas las cuentas de los miembros de ONG alguna, porque el concepto de “auditoría independiente” de ninguna forma se aplica al ingreso no autorizado a un sistema restringido, sea con el fin que sea. Si alguna persona o institución quiere realizar una auditoría independiente, sobre todo en casos como este que el interés público es evidente, deberá solicitarlo como es debido y de ser negado, atendiendo a que aunque la dueña del sistema sea una empresa privada actúa en ejercicio de una potestad del Estado, solicitarlo judicialmente hasta la instancia que haga falta. Y si agotadas todas las instancias la autorización sigue siendo negada, significa que dentro de nuestro sistema esa auditoría independiente en particular quedará sin hacer (como cientos de veces tenemos que conformarnos con que no se satisfaga lo que nosotros pensamos que es correcto y necesario). Si no fuera por lo autoritario y antirrepublicano que implica, la pretensión de que un hacker no elegido por nadie tiene el derecho autoasignado de decidir personalmente cuando el interés general justifica que viole la ley, sería graciosa.
Eso nos lleva necesariamente a la falaz afirmación que el proyecto de ley, como fuera presentado originalmente, busca criminalizar a quienes desnuden fallas en el sistema. Así dicho eso no es verdad y requiere una interpretación maliciosa y ajena a los principios de derecho penal que rigen en Argentina. 
El proyecto de ley dice [con mis comentarios]:
“Artículo 139. – Otros delitos. Se penará con prisión de UNO (1) a TRES (3) años a quien:
a) Con violencia o intimidación impidiere ejercer un cargo electoral o el derecho al sufragio [no dejar votar o ser autoridad de mesa];
b) Compeliere a un elector a votar de manera determinada [mediante fuerza o intimidación hacer que alguien vote como uno quiere];
c) Privare a otro de la libertad, antes o durante las horas señaladas para la elección, para imposibilitarle el ejercicio de un cargo electoral o el sufragio [”secuestrar” a alguien para que no vote];
d) Suplantare a un sufragante o votare más de una vez en la misma elección o de cualquier otra manera emitiere su voto sin derecho [más claro echale agua];
e) Sustrajere, destruyere o sustituyere urnas utilizadas en una elección antes de realizarse el escrutinio [cristalino];
f) Sustrajere, destruyere o sustituyere boletas electrónicas desde que éstas fueron depositadas por los electores hasta la terminación del escrutinio [esto sólo es posible durante el período de votación y después que el votante haya depositado su boleta en la urna];
g) Antes de la emisión del voto, sustrajere boletas electrónicas, las destruyere, sustituyere,  adulterare u ocultare [poco claro no muy bien redactado, parecería implicar desde la emisión por la máquina hasta el depósito en la urna, sino sería todo eso referido al papel no impreso y o a modificar la boleta en el sistema];
h) Imprimiera, ofreciera, entregara o dispusiera de boletas electrónicas apócrifas o utilizara boletas electrónicas  oficiales para cualquier otro uso o destino que no sea la emisión del voto de cada elector o a los fines de la capacitación [clarito];
i) Sustrajere, dañare, destruyere, o sustituyere las máquinas de votación [hurto, hachazo o similar de máquina de votación];
j) Falsificare, en todo o en parte, o usare falsificada, sustrajere, destruyere, adulterare u ocultare una lista de sufragios o acta de escrutinio, o por cualquier medio hiciere imposible o defectuoso el escrutinio de una elección [orientado a penar la obstaculización del “conteo” de votos]:
k) Falseare o indujera al falseamiento del resultado del escrutinio [cambiar el resultado de la elección una vez que se votó].
l) Alterare, sustrajere, dañase, o destruyere insumos o dispositivos informáticos que se utilicen durante el día de la elección. [parecido a “i”]”.
 ARTÍCULO 60.- Incorpórase como artículo 139 bis al Código Electoral Nacional (Ley N° 19.945, t.o. por Decreto N° 2135/83 y sus modificatorias), el siguiente:
 “Artículo 139 bis. Delitos informáticos-electorales. Enumeración. Se penará con prisión de DOS (2) a SEIS  (6) años a quien:
a) Se introdujera en los sistemas informáticos de manera previa, durante o después de la jornada electoral con el propósito de causar daños mediante la alteración de la información, la sustracción de la misma o la filtración de programas informáticos que modifiquen los resultados electorales [acceso con dolo directo y específico de causar daño, sustraer información o “filtración” –a quién se lo ocurrió usar esta palabra??- de software para cambiar el resultado de la elección…hasta acá auditar se puede];
b) Diseñara, instalara, o transmitiera, sin mediar autorización, programas informáticos que tengan como finalidad bloquear sistemas informáticos utilizados durante la jornada electoral y/o para la transmisión de los resultados electorales [otra vez la intención específica de “bloquear”, con lo cual auditar es totalmente legal];
c) Utilizara o alterara indebidamente códigos de accesos, o bien de control de los dispositivos informáticos utilizados durante la jornada electoral [este es menos claro, ya que parecería penar el sólo acceso, pero ese sería un análisis muy lineal. Dejando de lado que los auditores independientes deberían solicitar, y acá sí la ley les debería garantizar que sean dados, los códigos de acceso, aun cuando el acceso no sea autorizado eso ya está penado por el art. 153 bis en forma agravada, pero siguiendo una larga lista de principios de derecho penal, se podría argumentar que este artículo puede ser usado, lex specialis, para despenalizar el acceso no autorizado cuando, por la cuestión del interés público en cuestión, y siempre que el objetivo no sea dañar ni entorpecer sino sólo auditar, se considere que el acceso no es autorizado pero debido]
d) Entregare de manera indebida códigos de acceso de votación [sólo hay que pedirlos y que la entrega sea debida o si se niegan arbitrariamente lo debido “puede” ser tomarlos…muy discutible, pero de todas maneras no afecta al auditor sino al que está en posesión legal de los códigos];
e) Generara de manera dolosa la apertura y cierre de un sistema informático fuera de los plazos establecidos por las normas electorales [este inciso, así como está escrito, es inaplicable. Usa “dolosa” casi correctamente como sinónimo de ilegal o indebida siguiendo su etimología y uso, pero en realidad dice que a cualquiera, empleado, juez, ministro que lo abra “a propósito” fuera de los plazos establecidos también cometería el delito. Debería ser escrito en forma más clara para que el delito consista en abrir o cerrar el sistema fuera de los plazos electorales para modificar el posible resultado de una elección, abrirlo antes para agregar votos o cambiar el programa que los cuenta, delito aparte, o cerrarlo antes para que gente que todavía no votó no pueda votar, también ya tipificado. Abrirlo y cerrarlo per se no parece justificado como delito];
 f) Utilizara o modificara, sin autorización debida, cualquier elemento criptográfico de los sistemas de votación electrónica a utilizarse durante la jornada electoral [se aplica lo mismo que en “c”];
g) Afectara por cualquier medio informático la transmisión y/o publicación de los resultados electorales [la palabra afectara no parece muy afortunada, ya que un “especialista” podría interceptar la transmisión para asegurarse que ningún otro “especialista” la cambie y causar una demora de microsegundos en la llegada de la misma, lo cual sería ridículo tipificar como delito. Aunque se entiende el sentido de impedir, necesitaría una redacción más específica que evite incertidumbre, aunque está bastante claro que no busca penalizar a quien solamente audita];
h) Engañara o indujere intencionalmente en ocasión de su intervención en el acto eleccionario ostentando conocimientos informáticos,  a autoridades de comicio o electores  a cometer errores en su desempeño.” [clarito y sin relación con la auditoría].
Entonces, ¿en dónde están los tan mentados delitos creados para criminalizar a aquellos que denuncien fallas? Quienes constantemente repiten en publicaciones nacionales y extranjeras sobre la supuesta criminalización de conductas a las que el proyecto de ley no se refiere, o sea no dicen la verdad, y generan comentarios nacionales y extranjeros que incluyen la entrada de Argentina en una dictadura, comentarios que no corrigen, ¿realmente piensan que están haciendo un aporte a la vigencia de los derechos humanos en la red? ¿Realmente piensan que están apuntando hacia arriba?
Teóricamente apuntan hacia arriba cuando se refieren a la cantidad de países que usan el voto electrónico como uno de los argumentos fuertes contra el mismo. Este tema sólo necesitaría varios blogs, pero mantengo la idea de hacer uno sólo para dejar el tema atrás, aun cuando sea uno de los temas que más desnuda el ánimo de tergiversar y en el camino dañar la reputación de otras instituciones.
Primero estuvo la cuestión de cuantos países, lo que fue generando modificaciones diarias, empezando porque solamente eran Brasil e India, para luego agregar a la olvidada Venezuela, en algunos casos Filipinas y finalmente agregar a los Estados Unidos, aunque parcialmente, Como eso no era suficiente, se le agregó que de los 20 países que lideran el ranking de Desarrollo Humano de la ONU, sólo Estados Unidos utiliza parcialmente alguna forma de voto electrónico, lo cual, así enunciado, es mentira, para lo cual hubo que modificarlo nuevamente y agregar “en elecciones nacionales”, pero sólo cuando algunos de los ignorantes les demostraba que eso no era verdad. El argumento, uno de los caballitos de batalla de la cruzada, así presentado hace agua por todos lados.  Quizás podríamos empezar con parte de la conclusión y aclarar que el hecho que los usen muchos o pocos países no es necesariamente relevante, pero es mejor ir por partes.
La cuestión del número de países es uno de los ejemplos de la manipulación de hechos y derecho que ha estado realizando el grupo que, lamentablemente, ha convertido sus legítimas objeciones en una cruzada. Decir que sólo Brasil, India, Filipinas, Venezuela y Estados Unidos, aunque sea parcialmente, usan voto electrónico, y luego cuando agregan que de los 20 países que lideran el ranking de Desarrollo Humano de la ONU, sólo Estados Unidos utiliza parcialmente alguna forma de voto electrónico, es incorrecto y en esta tergiversación los cruzados arrastraron la reputación de chequeados.com, ya que esta organización al “chequear” la veracidad de la afirmación agregó sin justificación alguna “nacionales “ a una afirmación que no la tenía, a no ser que sean parte de la cruzada y querían encontrar que lo dicho era verdad aunque no lo fuera, sumado al hecho de que su “chequeo” consistió en ver lo que decía el sitio de una organización regional española, asumiendo, muy extrañamente, que esa información era correcta. Si así es como “chequean” la información, citando a otros, su “chequeo” es muy poco confiable. Un simple ejemplo sobre otro tema, sólo para explicar resumidamente la necesidad de ir a las fuentes (en este sentido sería ir a las autoridades electorales de cada país): en varias publicaciones y libros se afirma que la Argentina está adherida a la Convención de Budapest sobre cibercriminalidad, y todos se citan mutuamente como fuente de autoridad (el método “Chequeados”), al no encontrar la cita exacta sobre cómo y cuándo el país se adhirió a tal instrumento internacional para incluirlo en una publicación me comuniqué con el Consejo de Europa que administra la Convención y me dijo que no tenían registros de tal adhesión.
Chequear correctamente la afirmación sobre los países, y descubrir que era falsa, primero implicaba no agregar “en elecciones nacionales” a una afirmación que no tenía, aun cuando la información siguiera siendo falsa con el agregado. Cómo aun alguien no versado puede imaginar, no se utilizan equipos de buceo en la cima del Aconcagua ni de andinismo en las playas de Puerto Madryn, ¿es por lo tanto correcto decir que no se utilizan esos elementos en Argentina? ¿O es correcto afirmar, como lo ha afirmado el panel de la Organización Mundial del Comercio en el caso "Estados Unidos — Medidas que afectan al suministro transfronterizo de servicios de juegos de azar y apuestas", que, atendiendo las diferentes formas de organización de los Estados, es correcto decir que cuando algo está permitido o sucede en una parte de un país esa cosa está permitida o sucede en ese país? O sea, cuando uno afirma que de los 20 países que lideran el ranking de Desarrollo Humano de la ONU, sólo Estados Unidos utiliza parcialmente alguna forma de voto electrónico, eso es falso. Como correctamente señalan varios cruzados y Chequeados.com, los veinte países en cuestión son: Noruega, Australia, Suiza, Dinamarca, Holanda, Alemania, Irlanda, Estados Unidos, Canadá, Nueva Zelanda, Singapur, Hong Kong (China), Liechtenstein, Suecia, Reino Unido, Islandia, Corea del Sur, Israel, Luxemburgo y Japón, en el orden que aparecen en el ranking. Veamos: en Australia se vota electrónicamente en varios estados y hay un movimiento a favor de implementarlo a nivel nacional (dicho sea de paso eso también desmiente la afirmación de que la tendencia es la opuesta); en Suiza los residentes en el exterior votan para las elecciones, oh horror, nacionales en forma electrónica y lo mismo sucede en los cantones de Ginebra y Neuchâtel; en Estados Unidos más de la mitad de los estados usan voto electrónico; en Canadá se vota electrónicamente en varios municipios; en Hong Kong no hay elecciones nacionales, con lo cual la inclusión en la lista excede los límites del ánimo de no chequear y de tergiversación de la información (ya que estamos, Hong Kong no es un país sino que es una región especial administrativa de la República Popular China y el “Chief Executive” es de hecho elegido por el gobierno de China) y para las elecciones parlamentarias, asesora el parlamento más que decide, hay una propuesta seria de introducir el voto electrónico en su forma online; en  Liechtenstein...no mejor esto lo dejamos para más tarde; en Suecia hay una propuesta para introducir el voto electrónico a partir del 2018 (otros ignorantes yendo contra la tendencia mundial); Islandia ha desarrollado un sistema electrónico de votación para referendums (a veces deciden cosas más importantes que las autoridades electas); en Corea del Sur los votos se cuentan electrónicamente (¿no es hackeable la máquina que cuenta?), Israel está trabajando en la implementación del voto electrónico; y finalmente en Japón la ley permite el voto electrónico, aunque en la actualidad se usa en un solo municipio. En otras palabras, la realidad no "está en línea con" que “de los 20 países...sólo Estados Unidos utiliza parcialmente alguna forma de voto electrónico”, ni siquiera si intentamos hacer trampa y le agregamos “en elecciones nacionales”. Pero no termina ahí porque, aunque fuera verdad lo dicho (que no lo es), ¿que significaría? Vamos por partes.
“En elecciones nacionales”...¿significaría que los cruzados aceptan que se vote electrónicamente en elecciones provinciales y municipales? Sino la inclusión de “en elecciones nacionales” sólo tiene la clara intención de artificialmente reducir el número de jurisdicciones que efectivamente usan voto electrónico, más allá de que igual es mentira (no olvidemos que, al igual que en el caso de Hong Kong, la cruzada parece obviar, desconozco si ignoran, los sistemas electorales de los países de los que hablan, ya que nunca mencionan a Estonia, donde se vota online para el parlamento y son los parlamentarios los que eligen al presidente).
Sigamos con las otras partes de la afirmación, ¿es válida la comparación con esos países? ¿La referencia significa que los miembros de esta cruzada piensan que el voto tiene que ser optativo como en 18 de los países nombrados? ¿Sirve de algo la referencia a un país como Liechtenstein que tiene poco más de 36.000 habitantes y un ingreso per cápita de cerca de 150.000 dólares anuales, en el que además las mujeres no podían votar hasta hace treinta años o sea el año 1986 -sí, exactamente, MIL NOVECIENTOS OCHENTA Y SEIS? ¿No sabían los cruzados que Hong Kong no es un país y no hay elecciones nacionales como tales? ¿Implica la comparación y el “apuntar hacia arriba” que hay que instaurar la pena de muerte en Argentina como en 5 de los 20 países nombrados (todo esto obviando que 9 de esos países pertenecen a la Unión Europea significando que de las 12 jurisdicciones representadas 5 de ellas tienen pena de muerte, o sea el 42%)?
Siendo uno de los adalides de la necesidad de usar estándares internacionales y derecho comparado (quizás por el hecho de que todos mis estudios formales en derecho son del exterior y en Argentina estudié justamente Relaciones Internacionales) me corresponde sin embargo hacer notar que para comparar peras con manzanas uno tiene que elegir cuidadosamente qué cosas son comparables (los niveles de fructosa por ejemplo) y la gran dificultad de comparar peras con latas de paté, como han estado intentando hacer de una manera falaz para sumar apoyo a los argumentos contra el voto electrónico. Si siguiéramos la lógica de “porque (no) lo hacen otros”, ¿sería correcto decir que los países que de hecho ya usan o van a usar voto electrónico, Argentina, Australia, Brasil, Emiratos Arabes Unidos, Estados Unidos, Estonia, Filipinas, India, Japón, Suiza, Venezuela,  representan casi un cuarto de la población mundial?, lo que cambia un poco la perspectiva. Esa lógica, no usable para todos los casos y éste es uno de ellos, también nos habría hecho no aprobar la ley de Matrimonio Igualitario, que en el momento de su aprobación representaba una innovación muy grande aún dentro de los países llamados “desarrollados” y existían sólo 7 países en el mundo que lo reconocían. En el caso del voto electrónico, la cuestión es que el número de países que lo usan no es el que dicen y que lo hagan o no, no es necesariamente relevante.
La cuestión de la comparación nos lleva ineludiblemente a la super tergiversada y falseada resolución de la Corte Suprema de Alemania, falsedades que llevan a cuestionar seriamente la buena fe de algunos miembros de la cruzada contra el voto electrónico. Se ha dicho reiteradamente que en Alemania el voto electrónico está prohibido, lo que es simplemente mentira. En otra ocasión me dedicaré a analizar los párrafos cuestionables del fallo, pero ahora me limito a decir que está hecho, como demasiados fallos, en suntuosas cámaras judiciales en las que los jueces piensan, en coincidencia con los cruzados, que toda la población tiene sus recursos y conocimientos, lo que los lleva a creer sinceramente que las elecciones que usan voto en papel son auditables por cualquiera que sabe leer y escribir. La longitud de este escrito ya ha testeado al límite la paciencia del lector, por lo que me limitaré simplemente a aclarar lo que el fallo sí dice y que puede significar para Argentina, dejando de lado la cantidad de falsedades que se han dicho al respecto. Al contrario de lo que se sostiene, el fallo de la Corte Constitucional Alemana 2BvC 3/07, 2 BvC 4/07 dice, exactamente que el legislador no está impedido de utilizar aparatos electorales en elecciones, si se ha asegurado la posibilidad constitucional de un control de corrección confiable.
Especialmente son imaginables aparatos electorales en el que los votos se registren, no sólo en la memoria electrónica. Esto es posible por ejemplo, en aparatos electrónicos que además del registro electrónico del voto imprimen un protocolo de papel visible, que puede ser controlado antes de la emisión del voto definitivo y que es recolectado para posibilitar una verificación”
También dice que el “control resulta por ejemplo posible en aquellos aparatos electorales electrónicos, que registran los votos no sólo electrónicamente en el aparato electoral, sino que también al mismo tiempo de manera independiente”
Va más allá y sigue diciendo, “[n]o se encuentra frente a escrúpulos de derecho constitucional, que el § 35 Párr. 1 BWG permita aparatos electorales “en lugar de boletas electorales y urnas electorales”. Porque el § 35 Abs. 1 BWG no excluye con esta formulación el permiso y la utilización de aparatos electorales con dispositivos de control, que registren los votos suplementariamente de manera controlable por el elector, con el registro (electrónico) en el aparato electoral”
Lo que sí dice es que “[l]a utilización de los aparatos electorales electrónicos de la empresa Nedap del Tipo ESD 1 Versión Hardware 01.02, 01.03 y 01.04 así como el tipo ESD2 Hardware-Version 01.01 lesiona el principio de la publicidad de la elección (Art. 38 en relación a Art. 20 Párr. 1 y Párr. 2 Constitución Alemana), porque estos aparatos electorales no posibilitan un control efectivo de los actos electorales, ni una verificación confiable del resultado electoral”
Agregando “el permiso y la utilización de los aparatos electorales, pese a insuficiente conformación de las bases jurídicas no llevan, como tales, a influenciar el resultado electoral.”
O sea, lo que se declaró inconstitucional es el uso de un modelo de máquina en particular, se recomendó el uso de máquinas que impriman la boleta, como las que se han usado en Argentina y, por lo tanto, es una soberana mentira, que pone en tela de juicio la supuesta especialidad y la reputación de quienes lo afirman, que la Corte Constitucional Alemana haya prohibido de manera alguna el voto electrónico como tal o lo haya declarado inconstitucional.
La misma tergiversación se hace, y en este caso su resultado es potencialmente mucho más grave, del significado del artículo 37 de la Constitución Nacional Argentina. Se le hace decir al artículo en cuestión que la igualdad que establece en el voto se refiere a que todos los electores deben votar con las mismas condiciones y que el que voten con distintos medios tecnológicos no cumple con ese requisito. Eso contraviene el significado que se le ha dado al requisito de "igual" en fallos de la Suprema Corte de Justicia, en la Corte Interamericana de Derecho Humanos y el en la jurisprudencia comparada de casi todas las jurisdicciones que incorporan de alguna forma u otra la cuestión de "igual" como derecho electoral, en donde han dejado claro que la igualdad del voto se refiere a que todos los habitantes deben tener la posibilidad del votar por igual y también implica la prohibición de imponer el voto calificado en cualquiera de sus formas. Si en haras de ganar una discusión a cualquier precio, esta cruzada lograra convencer a jueces que "igualdad" implica "misma tecnología", el desprecio al sistema democrático habría llegado a tal punto que abrirían las puertas al voto calificado en la Argentina y a que se les prohiba votar, por ejemplo, a detenidos sin condena (que es en donde más se insistido en el concepto de igualdad tanto a nivel CSJN como en la CIDH).
Lamentablemente, el proyecto de ley presentado, como todo proyecto, tiene muchas falencias, pero el grupo de gente que quizás más podría haber aportado al debate tomó una posición fundamentalista en contra del “voto electrónico” como tal, en todas sus formas, y se sumió en una continua serie de agresiones antidemocráticas, afirmaciones falsas, tergiversadas y de falacias, sobre todo, de generalización, generando una esperada y entendible marginalización de tal grupo por parte de quienes debían decidir. Sería de esperar, aunque difícil de lograr, que, una vez aprobada la ley, utilicen sus recursos y especialidad para asegurar la integridad del sistema votado y no, como algunos han anunciado, a demostrar que tenían razón haciéndolo fracasar con el consiguiente costo para la salud de la democracia en Argentina.

Friday, October 17, 2014

Informatization of judiciaries/informatización de los poderes judiciales

In today's class of Legal Aspects of E-Government (and optional modules in the Law degree) we are dealing with the informatization of judiciaries in Argentina. For those of us that have been dealing with E-things for more than fifteen years, it results still strange that this topic comes up as “news”...it is good though, so we can publish a book chapter on it.
El la clase de hoy de Aspectos Legales del Gobierno Electrónico (una materia optativa de la carrera de Abogacía) tratamos el tema de la informatización de los poderes judiciales en Argentina. Para aquellos de nosotros que hemos estado tratando con cosas electrónicas por más de quince años, todavía resulta extraño que este tópico se presente como “noticia”...sin embargo es bueno, así podemos escribir un capítulo de un libro sobre eso.

VIII Cogreso de Derecho Informático


VIII Computer Law Conference/VIII Congreso de Derecho Informático

Jointly organized by the Law Programme of the Universidad Nacional de Rio Negro and ADIAR, Asociacion de Derecho Informatico de Argentina (Argentine Computer Law Association), the VIII Conference of Computer Law will take place in Viedma on this coming 30 and 31 of October. There will be speakers from different parts of Argentina and Brasil, and programme will be available shortly.
Corganizado por la carrera de Abogacía de la Universidad Nacional de Río Negro y ADIAR, Asociación de Derecho Informático de Argentina, el VIII Congreso de Derecho Informático tendrá lugar en Viedma los días 30 y 31 de octubre de este año. Habrá ponentes de diferentes partes de Argentina y Brasil y el programa estará disponible en breve.

Thursday, October 16, 2014

Winter's end/El fin del invierno

Winter's end El fin del invierno
After two long years without posting here and like a cicada that sings after a long time underground, it is time to return to blogging. I hope that as the trees grow stronger after the winter storms break apart their unhealthy branches, the many things that happened in the last two years allow my ideas and writing to bloom like in Spring. This time I plan to keep a bilingual blog, that allows Spanish speaking readers to access what is happening on the cyberlaw field in the Anglophone area and, in the same way, permits English speaking fellows to peak into the legal aspects of ICT on the lands that follow the words of Quixote.
Luego de dos largos años sin escribir nada acá y como una cigarra que canta luego de un largo período bajo la tierra, es tiempo de volver a bloguear. Espero que al igual que los arboles que crecen más fuertes luego de que las tormentas invernales rompen sus ramas mustias, las muchas cosas que han pasado en los últimos dos años permitan que mis ideas y mis escritos florezcan como en primavera. Esta vez planeo mantener un blog bilingue, que permita a los hispanohablantes acceder a lo que esta pasando en el campo del ciberderecho en el área anglófona y, de la misma manera, permita a los amigos que hablan inglés husmear en los aspectos legales del las TICs en las tierras que siguen las palabras del Quijote.

Monday, August 27, 2012

SID 2012

We are at SID 2012 (Argentine Symposyum on Law and Informatics) of which I am one of the co-chairs. After more than seven hours the day is resisting to end and we still have two more presentations to go.
The day has had a little of everything, but all interesting and current. The program is here at page 71 (I think) of the whole thing...

Estamos en el SID 2012 (Simposio de Informatica y Derecho) del cual soy uno de los co-chairs. Luego de siete horas el dia se resiste a terminar y todavia tenemos dos presentaciones mas.
El dia tuvo un poco de todo, pero todo interesante y actual. El programa esta aca en la pagina 71 (creo) del mamotreto...

Monday, August 13, 2012

The Return of Electromate/El Regreso de Electromate

After exactly two years without posting on this blog, I think that is time to return to it and to post the same sort of things as before but with more of a bilingual touch so to write in English things that happen in the Spanish speaking world and viceversa...if the force so allows me.

Luego de exactamente dos años sin escribir en este blog, pienso que es hora de regresar al mismo y escribir el mismo tipo de cosas que antes pero con un toque más bilingue, escribiendo en inglés cosas que pasan en el mundo hispánico y vicerversa...si la fuerza me lo permite