Archivos de Categoría: Abogado de Nuevas Tecnologías

SEPBLAC: Puedes viajar con bitcoins sin declararlos en la frontera

Pilas de bitcoins

Pilas de bitcoins. Imagen cedida por fdecomite

Hace unos meses, volando a Isla de Pascua (Chile) a dar una ponencia sobre “Bitcoin y Derecho al Olvido“, me pregunté cómo afecta la normativa que obliga declarar los medios de pago en la frontera.

Dado que el Bitcoin fue declarado divisa virtual a efectos del Impuesto (IVA, IGIC, VAT) por el Tribunal de Justicia de la Unión Europea, me entró la curiosidad si para PBC también se le daría la consideración de divisa o de efectivo digital, como se conoce ahora las criptomonedas.

Hice la siguiente consulta al SEPBLAC:

Me dispongo a viajar fuera del EEE con bitcoins y otras criptomonedas. Actualmente el valor de los que tengo es inferior a los 10.000 euros aunque, gracias a la especulación, espero que suba y lo supere. Según la Orden EHA/1439/2006 debería declarar, a través del modelo S1 los medios de pago que superen esta cifra de euros. El TJUE ha declarado a través de su Sentencia C 264/14 que los bitcoins, como efectivo electrónico, son medios de pago y tienen naturaleza de divisa virtual. En el mismo sentido las consultas V-1028-15 y V-1029-15 de la AEAT. – ¿Debo declarar la cantidad de bitcoins u otras divisas virtuales que poseo en los mismos casos en los que es obligatorio respecto al efectivo según la Orden EHA/1439/2006?

  • En caso de que sí deba declararlos, ¿qué debo declarar? ¿La cantidad numérica de bitcoins o su equivalencia en euros?
  • En caso de que de deba declarar su equivalencia, ¿en qué instante del tiempo debo hacer el cálculo y qué valor debo tomar como referencia al no haber ninguno oficial?
Consulta SEPBLAC Bitcoin frontera

Esta imagen es solo un extracto. Descarga aquí la consulta completa

El SEPBLAC, ante la pregunta, respondió que más que sobre prevención del blanqueo de capitales, la consulta está relacionada con el movimiento de medios de pago físicos (Reglamento CE 1889/2005). En opinión del SEPBLAC, según me respondieron por escrito, no parece que el legislador en 2005 pretendiera incluir las divisas virtuales. Es más, de la descripción de dinero efectivo se desprende que está pensando más bien en elementos con un soporte físico (billetes, cheques de viaje, cheques al portador, etc.), y de ahí que se reconozca a las autoridades la facultad de controlar las personas físicas, sus equipajes y los medios de transporte.

En principio, según SEPBLAC, “es ciertamente dudoso que deban declararse los bitcoins, como tampoco tienen que declararse como dinero efectivo otros bienes o derechos que pudieran realizarse y tener un valor económico superior a los 10.000 euros (por ejemplo, un lingote de oro)“. Apunta, igualmente, que solo el Tribunal de Justicia de la Unión Europea puede interpretar con carácter auténtico el derecho comunitario, de manera que habrá que estar también a lo que el TJUE diga más adelante.

Sin duda, veremos futuros desarrollos normativos en la materia, toda vez que las divisas virtuales se han incluido en el plan de acción de la Comisión Europea recientemente aprobado. En relación con este punto, hace unos días estuve en Bruselas, Bélgica, invitado por la Comisión Europea para participar a puerta cerrada en la reunión Virtual Currencies: combating fraud and counterfeiting of non-cash Workshop means of payments con otras 19 personas de diferentes partes del mundo. La misión fue compartir los aspectos innovadores que traen las criptomonedas para analizar las formas en las que se comenten fraudes contra los titulares de las mismas para sustraérselas. Mi intervención giró sobre el polémico ataque a The DAO (ver ppt), sobre el que escribiré algo junto con mis socios de Abanlex (David Maeztu y Javier Prenafeta) y de NevTrace (Jorge Ordovás y Alberto Gómez Toribio). Si no da tiempo a escribir, organizaremos alguna reunión para comentar la situación. Será un tema de Abanlex, así que sigue los canales del bufete para estar al tanto: @Abanlex y FB-Abanlex.

Si te urge saber más, hoy lo explicaré en esta jornada de iiR sobre Prevención del Blanqueo de Capitales. Y, en octubre, en este evento de FIADI: XX Congreso Iberoamericano de Derecho e Informática. Más info sobre mis ponencias y charlas, aquí: http://www.pabloburgueno.com/ponencias/

Twitter sabe qué harás mañana, aunque no lo publiques en Twitter

¿Aún crees que puedes que decidir? Twitter sabe qué harás y ya ha preparado un set de publicidad para ti.

He analizado varias redes sociales (Twitter, Instagram, Facebook, Snapchat…) para conocer qué dicen saber de nosotros y hacen con nuestros datos. En el caso de Facebook quedé impresionado cuando vi que tienen un perfil de cada persona que no tiene perfil en Facebook. Empezaré por Twitter. Si veo que el tema interesa, compartiré también lo que descubierto en Facebook y en las demás.

Twitter_logo_blueTwitter

He analizado sus condiciones y su política de privacidad y esto es lo que he encontrado:

  • Twitter trata igual los datos de niños de 13 a 17 años y de adultos de 18 o más años
  • Autorizamos a Twitter para que transfiera nuestros datos a cualquier país del mundo con el objetivo de que pueda analizarnos.
  • El Gobierno de EE.UU. podrá tener acceso a todos nuestros datos personales y al contenido que compartamos en Twitter. De hecho, existe un acuerdo entre Twitter y la Biblioteca del Congreso de EE.UU. por el cual todos los tweets son almacenados.
  • Información que entregamos :
    • Básica: Nick, contraseña, e-mail, móvil
    • Avanzada: biografía, ubicación, imagen de perfil
    • Adicional: agenda de contactos, información remitida directamente a Twitter
    • Por conexión con cuentas en otros servicios (ejemplo: Facebook): información de registro, información de perfil, otra información
    • Información publicada: mensajes twitteados, metadatos twitteados (geolocalización, datos EXIF, tipo de terminal usado, otros), listas creadas, personas a las que sigues, tweets marcados como favoritos, tweets retwitteados y “muchas otras informaciones”.
  • Twitter geolocaliza a cada usuario para mostrarle información sobre los locales que tiene en su entorno y para sugerirle gente cercana a la que seguir. Para ello:
    • Permitimos que analice:
      • Datos enviados desde el móvil.
      • Redes wifi detectadas alrededor.
      • Torres de telefonía de las operadoras móviles (ejemplo: celdas de Movistar)
      • Dirección IP
    • Puede analizar los tweets ajenos con:
      • Fotos con metadatos (que incluyen fecha de captura y geolocalización) en las que estamos etiquetados.
      • Tweets que digan “Estoy con @usuario en #lugar”
  • Twitter une nuestro perfil con el tipo de enlaces en los que pulsamos y el número de veces que hacemos clic en cada uno de ellos.
  • Por medio de las cookies, Twitter conoce:
    • Cuál es nuestro operador de telefonía con el que accedemos a Internet
    • Nuestra configuración de colores del dispositivo que usemos
    • La versión del navegador
    • Cuánto tiempo permanecemos en Twitter
    • Qué terminal usamos
    • Cómo hemos llegado a Twitter
    • Muchas otras informaciones
  • Cada vez que vemos un widgets de Twitter estamos informando a Twitter de:
    • Qué páginas de terceros visitamos
    • Muchas otras informaciones
  • Si compramos a través de Twitter, autorizamos a Twitter para que sepa:
    • Los datos del vendedor
    • Los datos de la transacción: la fecha, la hora y el monto de la transacción.
    • Nuestros datos de facturación
    • Nuestra dirección de envío
    • Los datos de nuestra tarjeta
    • Muchas otras informaciones
  • Autorizamos a Twitter para que analice nuestros perfiles para recibir publicidad más personalizada, entre otras cosas.
  • Agencias públicas de salud, universidades y otras instituciones analizan nuestras tendencias y comentarios.

Pensaba yo que era un rumor eso de que Twitter podía hacer lo que quisiera con lo que subiéramos a la red. Y, sin embargo, parece que no se trata de un rumor sino de algo bien cierto. Twitter podrá hacer lo que quiera con nuestros tweets, ahora o en el futuro y de forma gratuita. La autorización incluye a las imágenes y los vídeos que subimos.

Cláusula 5 Condiciones: “Usted concede a Twitter una licencia mundial, no-exclusiva y gratuita (así como el derecho de sub-licenciar) sobre el uso, la copia, la reproducción, el procesamiento, la adaptación, modificación, publicación, transmisión, exposición y distribución de tal Contenido a través de cualquier medio o método de distribución presente o futuro”.

Aceptamos no ser avisados en caso de que Twitter cambie las condiciones. Dicen, en la cláusula 12 de las condiciones, que “si la revisión, según nuestro único entender, es relevante, se lo notificaremos”.

Nos sometemos a la normativa del Estado de California, EE.UU., además de a la española. Nos sometemos a los tribunales de California, EE.UU.

Y eso es todo, amigos. Curiosamente, Twitter te conoce mejor que tú a ti mismo.

La criptografía esconde aquello que en ella quieras encontrar

death-164761_640

La moneda virtual es perfecta para la creatividad legal, pero también para el comercio ilícito y el fraude. Imagen en CC0 tomada de Pixabay.

El Bitcoin también tiene un lado oscuro, como todo. Hablé con un periodista de El País que me preguntó por las posibilidades de blanqueo de capitales usando Bitcoin en el sector del juego online para redactar esta noticia: La lavadora del trío de ases. Mi respuesta por teléfono fue esta:

Ninguna de las casas de juego online que aceptan Bitcoins (lista) coincide con las que tienen licencia en España (lista). Esto es relevante, porque la posibilidad de blanqueo se realiza fuera de las fronteras de España y de forma anónima.

En España, si algún operador aceptase Bitcoins, tendría que identificar al usuario y aceptar un máximo de 2.500€ por persona en Bitcoins (noticia), porque el Bitcoin se considera un sistema de pago no controlado (noticia y respuesta de la DGOJ). Tiene sentido que se asemeje más al traspaso de efectivo que a la transferencia bancaria porque, al fin y al cabo, los pagos realizados con Bitcoins tienen una entidad similar a la de los pagos con trozos de metal (monedas) o pedazos de papel (billetes).

La DGOJ no dice que el Bitcoin sea dinero, sino que la norma que afecta al dinero también afecta al Bitcoin (post). El problema es que no hay nadie que regule el precio del Bitcoin, por lo que se usará el precio ponderado de las principales casas de cambio (BTC-eBitstamp). Es interesante que Hacienda haya pedido al Confidencial que ponga el titular “Hacienda reconoce por primera vez el valor económico del ‘Bitcoin'” en su último artículo, en lugar de “Hacienda reconoce por primera vez el ‘bitcoin’ como una moneda” para dejar claro que no es una moneda de curso legal (como lo es el Euro), pero sí algo que puede ser usado como moneda digital privada.

Lo magnífico del juego online con criptomonedas (como DarkCoin) es que puede ser totalmente anónimo (Anonibet) y el jugador puede usar programas gratuitos sencillos (DarkWallet) para enviar, mantener y recibir Bitcoin y que no quede rastro de las transferencias.

Luego el Bitcoin puede ser usado como medio de pago de productos y servicios legales (La Calle Bitcoin) e ilegales (armas). No hay que certificar de dónde se han obtenido los Bitcoin, porque se pueden haber creado (minería), por lo que luego se pueden vender legalmente por moneda de curso legal en España en prestadores de cambio online (lista), servicios p2p de cambio anónimo (Coinffeine, sociedad española con capital social solo en Bitcoins) y en la calle (LocalBitcoins).

El Bitcoin se usa cada vez más en el sector del juego online (noticia) y los únicos que lo ofrecen son prestadores de fuera de España (o ilegales dentro de España). Si alguien quisiese usar el sistema del gambling para blanquear dinero de forma extraordinariamente rápida, sencilla y anónima (lista de las mejores casas online que aceptan Bitcoins), usaría Bitcoin o algunas de las otras cientos de criptomonedas (lista).

La cadena de bloques Bitcoin se puede usar como alternativa al Registro de la Propiedad Intelectual del Ministerio de Cultura (post). Se puede utilizar la criptomoneda para comprar (noticia) o para constituir sociedades (post). También como medio para aportar recursos en un sistema de crowdfunding (Swarm). O para apostar de forma legal (post). Así que el Bitcoin, como toda tecnología, puede ser usada para la creación o para otros fines más…

Productos comprados con Bitcoin entran en el Congreso (España)

2014-03-06 20.10.44 - copia

Los diputados prefieron las galletas de dulce de leche. Dejaron las de chocolate. Fueron comidas en el Congreso de los Diputados el 6/3/2014. Las galletas se compraron con Bitcoin.

Ayer, 6 diputados del Congreso (España) comieron galletas compradas con Bitcoin, como parte de un experimento con seres humanos que realicé.

Además de ser llamativa, la noticia es relevante: Productos adquiridos con bitcóins entran en el Congreso de los Diputados, junto con la nota de transferencia; varios diputados prueban los productos; y se hace patente que el sistema Bitcoin existe y se usa en España.

Llevé estos productos al Congreso como parte de una investigación, que se basa en demostrar que la tecnología que hay detrás de la anécdota del Bitcoin construye un sistema que hace imposible borrar los contenidos subidos a la red. Excelente para la propiedad intelectual; peligroso para la privacidad.

La sesión, en la que estuvimos ayer varios abogados con diputados de la Subcomisión de Redes Sociales, fue “a puerta cerrada”, no para mantenerla en secreto, sino para que pudiésemos sentirnos más libres a la hora de dar información sensible (nunca confidencial) y privada de nuestra actividad.

Accedimos al Congreso tras pasar por varios controles de seguridad. Una persona nos acompañó hasta la sala (Sala Lázaro Dou), ovalada y con una gran mesa en el centro. Jorge, Alfonso, Alejandro y yo (Pablo) nos sentamos en un lado; los diputados en el otro; y una invitada en una silla apartada.

Comenzaron las exposiciones: aquí está la mía (un poco troll, dicen); la de Jorge puede leerse aquí. En mi exposición, repartí galletas entre los diputados, junto a una nota imborrable que publiqué en la transmisión de bitcóins. Los diputados mostaron interés extremo en la situación del presente.

Los diputados hicieron preguntas sobre las exposiciones. Apunté el guión de mis respuestas:

1.- Intimidad en Internet

Por ahora, cierto grado de intimidad existe en Internet, porque contamos con mecanismos de control.

2.- Derecho al Olvido

Tendrá un alcance limitado y será ineficaz en muchos casos. Me centre en las cuestiones básicas (punto 2).

La informática es vulnerable y está abocada a fallar por casusas técnicas, humanas o por ataques externos. Hay que contar con el fallo seguro.

Sugiero:

  • Asumir que nuestros datos personales van a ser publicados, con mayor o menor alcance.
  • Crear sistemas digitales y, sobre todo, analógicos de respuesta inmediata.

3.- Cookies

Sugerí dos cosas: que se mantengan la protección y el límite en los usos como obligaciones para los prestadores; y que se eliminase la necesidad de informar sobre las cookies en el aviso legal y en banners.

Destaco en mi memoria que uno de los diputados de la Subcomisión de Redes Sociales tuvo que preguntar qué es un cookie.

4.- Regulación vinculante

Las normativas estatales se agotan en las fronteras; las de los prestadores son eficientes en todo el mundo.

Destaqué en mi intervención una frase dicha por un diputado en esa sesión: “[Tal y como habéis presentado la situación de Internet,] no hay nada que hacer desde el punto de vista de la legislación del estado”.

Indiqué un motivo de que la ley siempre vaya detrás de la tecnología: la lentitud en su creación.

Aporté una solución muy básica y que rompe los esquemas del sistema de estados:

  • Normativa española: mínima para proteger completamente los derechos fundamentales de los ciudadanos españoles.
  • Normativa para el mundo digital: Es necesario hacerla con los que controlan la Red.

5.- Normas que son un desastre

El tiempo era limitado. Solo destaqué:

  • Código Penal (arts. 401, 270, 720)
  • Ley de Propiedad Intelectual. Incluí la desastrosa reforma propuesta.
  • Ley Orgánica de Protección de Datos: Solicité la rebaja de exigencias y que no sea necesaria la notificación de ficheros
  • Registro de Empresas de Venta a Distancia: Solicité su supresión

Mis compañeros, en sus turnos, solicitaron cambios en la normativa de Retención de Datos. La idea es que sea posible identificar a una persona a través de la IP para delitos inferiores a los graves.

6.- Regular con los prestadores

España debe participar en las creaciones de normas privadas internacionalmente vinculantes, que son las que elaboran los prestadores (los de uso mayoritario). De esta forma, se crean costumbres basadas en criterios españoles en ciudadanos de países extranjeros y logramos armonizar y normalizar el uso de Internet a nuestra conveniencia. Este efecto sobre el ciudadano del mundo, permite a España obligar indirectamente y de forma velada a los legisladores extranjeros a modificar sus normas y elevar los criterios de protección de los derechos fundamentales de los usuarios.

7.- Protección de la propiedad intelectual

La propiedad intelectual debe ser protegida. Para ello sugiero:

  • La introducción del Fair Use en la normativa española de forma inmediata.
  • La consideración del lucro indirecto como ánimo de lucro a efectos penales.
  • La creación de una Agencia Española de Propiedad Intelectual.

La propuesta de reforma de la Ley de Propiedad Intelectual, actualmente siendo debatida en el Congreso, no debe progresar. Destaqué esta consideración: la actividad de los agregadores debe seguir siendo legal y estar exenta de obligación de pago alguno.

En cuanto las soluciones del protocolo se hagan más patentes (10 años vista), debe considerarse el uso libre de la propiedad intelectual cuando el fin sea sin ánimo de lucro. Aunque lo circunscribí a una derivación del fair use, para que sea posible y no dañe en exceso los derechos de los autores y los creadores.

8.- Otras propuestas normativas y tecnológicas

Mi preferencia sería que se devolviese el sistema a la creación de reglas y principios, por medio del estudio de casos. Pero que no se trate de regular los casos en sí, ni establecer un exceso de obligaciones.

Sugerí la aprobación inmediata de una norma que impida al software tomar la decisión de matar o no a un humano. Ya existen programas capaces de identificar situaciones de riesgo, controlar un dron con un arma y llevarlo a su destino para que dispare a la amenaza. Es una situación que España debe regular para lo que suceda dentro de sus fronteras. La acción de disparar debe seguir siendo realizada por medio de una acción física de un humano. Asimimo, sugerí la creación de un registro internacional de identificadores de drones y de elementos no humanos con capacidad de movimiento autónoma.

En relación con lo sugerido (norma anti-bit_balas) recordé a los diputados que el Prof. Kevin Warwick ha logrado que un coche sea dirigido de forma “inteligente” por una neurona; y ha movido en Londres partes mecánicas de su cuerpo estando él en EE.UU. por medio del envío de impulsos nerviosos a través de Internet. Es el presente.

Destaqué la labor de el GDT y sugerí que se les facilitasen los recursos para la creación de un complemento para los principales navegadores que permita a los usuarios registrar de forma certificada el contenido de una página y enviarlo, junto con su IP, a una dirección del GDT.

En relación con las redes sociales, sugerí la posibilidad de convenir con los miembros de las mismas que crean sus propias normas privadas, la creación de un botón de denuncia por posible comisión de delito, integrado en la plataforma, con un canal abierto con el GDT que envíe de forma automática los datos de las personas o contenidos denunciados, junto con una captura cifrada de los contenidos o la IP datos y datos del denunciado (y, si el denunciante lo permite, también la suya), solo cuando la IP del denunciante sea española o haya configurado su cuenta para designarse como español.

Por último, destaqué la importancia de que España dé un paso al frente y participe sin miedo en la creación de la normativa privada internacional, que es la realmente eficiente en el mundo. España debe enviar a una persona para que participe en la creación de normativa, con sugerencias, para que la normativa sea la que España quiere. Y, si el prestador presenta reticencias o rechazos, España debe cambiar su sistema de acercamiento y apoyo.

Los dueños de un mundo parcelado eran los estados. Los del mundo, son las empresas y sus usuarios.

Diputados: con Bitcoin, digan adiós al derecho al olvido.

2463525895_e87aa0bbab

Congreso (España). Imagen tomada por Rodney.

Estoy en el Congreso, junto a Carrascosa, Campanillas y Touriño. Espero que después de que escuchen lo que les voy a decir, los diputados no me nominen. 

En esta ocasión acudo porque me ha convocado la Subcomisión de Estudio sobre las Redes Sociales. Varios diputados (aquí listados) quieren que les cuente mi experiencia y conocimiento sobre “ciberseguridad en la red, en las transacciones comerciales electrónicas, protección de las personas más vulnerables y protección en el ejercicio de derechos fundamentales que pudieran verse afectados”.

Supongo que quieren que les hable sobre mi experiencia en TOR (un momento, ¿he usado TOR? ¬¬); mis batallas para que un blog personal pueda tener publicidad sin pagar por ello; mi lucha sin cuartel contra la tontería de las cookies y su imposible ley; las posibles medidas para evitar la suplantación de identidad; los peligros de las redes sociales; o los riegos de la minería de datos. Pero… no. No voy a hablar de nada de esto.

Los diputados no saben, aún, que no voy a contarles nada de lo que creen que quieren oír.

Ayer me llegó una comunicación del Congreso en la que me ruegan “encarecidamente […] la extrema conveniencia de aportar alguna documentación”. Les voy a dar la URI de este post, porque en papel aún es complicado hacer clic en los enlaces.

El Congreso me ha concedido un máximo de 5 minutos. A minuto por punto, esto contaré:

  1. Galletas compradas con Bitcoin para los diputados

Este martes compré 8 galletas caseras. El truco es que no las he pagado con dinero, sino que se las he cambiado al restaurante Do Eat! por 0,02434 BTC (bitcóins).

Llevaré las galletas a los diputados para demostrarles que el Bitcoin existe y se usa. Se las llevaré para que sean conscientes de que hay centenares de negocios que las aceptan y que es muy sencillo adquirir productos y contratar servicios con los Bitcoin.

Se las llevaré para que comprueben que el comercio electrónico cuenta desde 2009 con un sistema internacional y alternativo de pagos. Con uno no, ¡con cientos! Crecen como la espuma los ataques informáticos centrados en el ataque a ostentadores de claves que controlan los Bitcoin. Hay inseguridad. ¿Qué cuesta que España diga que “no es dinero” sino un bien?

Quiero que se percaten de que son ellos (el Estado) los que están creando inseguridad jurídica en España. Están minando nuestra confianza. Lo que sea necesario para que Hacienda conteste la consulta vinculante que les planteamos, que lo pongan ya. Es imprescindible que España deje de estar a la cola del mundo en eCommerce.

Por cierto, ¿por qué he elegí las “galletas”? Por la absurda ley de cookies y la más absurda reforma propuesta. La ley de cookies es la mejor forma de empapelar a los empresarios; y la mejor para indicar a los usuarios que España asusta.

2014-03-04 18.31.33

En este restaurante puedes consumir lo que quieras a cambio de bitcóins. Do Eat! (Madrid, España)

2.- Nota incluida en la transferencia de bitcóins

En la transferencia realizada para comprar los Bitcoin he incluido esta nota (sin tildes):

Galletas compradas por @Pablofb (de Abanlex) en Do Eat! (Madrid) para la Subcomision de Estudio de las Redes Sociales (Congreso Diputados, Spain) como parte de una investigacion realizada por @Pablofb y que sera mostrada a la Subcomision el 6/3/14

Actualización (10/03/2014): Esta nota sí se puede borrar porque es un mero valor añadido del servicio blockchain.info y no un dato anexado a mi transferencia en sentido propio (ver aquí). Lo que no se podría borrar es el hash de un documento convertido en dirección Bitcoin una vez hubiera hecho una transmisión de satoshis a la misma. No obstante, se está trabajando en un registro de notas unido a las transferencias por medio de la modificación del protocolo, por lo que será posible incluir notas a las transferencias a través de sistemas similares al actual.

Captura de pantalla 2014-03-05 17.45.50

Nota: “Galletas compradas por @Pablofb (de Abanlex) en Do Eat! (Madrid) para la Subcomision de Estudio de las Redes Sociales (Congreso Diputados, Spain) como parte de una investigacion realizada por @Pablofb y que sera mostrada a la Subcomision el 6/3/14” [Ver aquí]. No he ofuscado las direcciones y podréis rastrear las transferencias que haga desde esa cuenta… a menos que, a partir de ahora, las haga en modo compartido y use una nueva dirección para las futuras recepciones.

3.- Hola, Registro Internacional de… la Propiedad Intelectual (¿InteCoin?)

Presunción iuris tantum.

Algo muy similar a lo que se consigue por medio del registro privado de propiedad intelectual, se consigue gracias a las soluciones iniciadas por Satoshi Nakamoto.

Las posibilidades de registro que presenta el sistema de bloques son fastuosas. ¿Qué podemos registrar? Texto, música, copias resumen (hash)… matrículas, ecuaciones, manuales… Un registro internacional de lo que sea que queramos. Y si lo quieres cifrado, métele un PGP.

Si el Estado halla la forma de controlar un protocolo (y lo crea), tendrá el monopolio sobre su gestión y contenido. Una criptomoneda controlada por un estado o por varios o por el FMI, es posible. Un registro internacional de carácter científico (de tipos de árboles, por ejemplo) controlada por una universidad, es posible. Un registro, controlado por el mundo, de diseños de armas para crearlas en impresoras 3D caseras, es posible. Tanto lo bueno como lo malo, es posible; que llegue a suceder todo, es probable; que ya sucede, está (personalmente) probado.

Aquí podría hablar de los criptocontratos, sobre los que Ethereum ya está trabajando (Jorge Vallet). Será interesante observar la creación de leyes internacionales de ejecución automática.

Se puede crear un registro privado de propiedad intelectual con un puñado de bitcóins. No se usarían como existencias, sino como inmovilizados inmateriales. Los bitcóins serían herramientas de trabajo. Por ejemplo: una empresa, con dos direcciones, destina una de ellas al envío de satoshis con elementos a registrar y, dejada la huella imborrable (que puede ir cifrada), devuelve los bienes digitales a su cuenta de origen. Coste cero. Potencial inmenso.

Actualización (10/03/2014): Es posible crear un registro de propiedad intelectual con tecnología del Bitcoin. Para poder llevarlo a cabo habría que crear una dirección Bitcoin a partir del hash de una obra. A esta dirección se le debe enviar algún satoshi, para convertirla en imborrable e inalterable. Al término, se tendrá un registro internacional de PI con presunción iuris tantum. Ya han propuesto algo parecido los compañeros de Dogecoin. El texto tachado en este post es la consecuencia de mi error.

4.- Leyes nacionales que se extinguen en la frontera. Normas privadas que controlan Internet

La soberanía de los estados es indiscutible. Dentro de sus lindes políticas toda actividad debe regirse por lo establecido en las disposiciones en vigor que el poder público haya promulgado. O así era hasta que surgió con fuerza la Red de Redes.

España no puede detener Internet en sus fronteras.

Pondré tres ejemplos:

  • Si el responsable de un sitio incumple una ley nacional en su web, ¿cuánto tardaríamos en cerrar la web a través de los tribunales? ¿Cuánto tardaría Google en banearla de su directorio?
  • Si un usuario difama anónimamente a un menor a través de Twitter, ¿cuánto tardaríamos en localizar al usuario a través de los tribunales? Es más, ¡¿no lo permite la ley actual?! (la respuesta es “no”, por cierto: acoso a menores y suplantación de identidad). ¿Cuánto tardaría Twitter en bloquear el perfil y entregar su datos de usuario (IP, correo, exif -si los guarda- de las imágenes, horas de actividad, enlaces en los que haya pulsado, tipo de dispositivo usado, colores que se muestran en su pantalla…)?
  • Si localizamos una foto de contenido muy inadecuado en Facebook, ¿cuánto tardaríamos en actuar por medio de los tribunales españoles (ojo a la pregunta 12)? ¿Cuánto tardaría Facebook?

Veo la siguiente situación:

  1. Las leyes nacionales son eficaces dentro de las fronteras, pero ineficaces fuera.
  2. Las normas privadas de los prestadores son eficientes siempre, en el mundo.

Consecuencias:

  1. Deben tenerse más en cuenta las normas privadas de los prestadores.
  2. España debe participar en la creación de estas normas.
  3. La normativa aplicable a los prestadores nacionales debe ser mínima.
8651931765_548970a1a7

Hasta la frontera llega la normativa del estado sobre Internet. Foto: CBP (CC BY SA 2.0)

5.- Sé dónde estás, menor

Con puros fines científicos y de investigación, he streakeado a un diputado. No, es broma. No uso Streak por motivos éticos (No estoy hablando del streaking ^_^). Pero, lo cierto es que es tan fácil y hay tantos sistemas en el mundo que permiten realizar este rastreo de forma sencilla, que nada empece a que se pueda enviar un e-mail o similar a un menor y saber dónde está en ese instante.

A mí ya me ha intentado streakear un empresario de UK, pero no ha podido lograr su objetivo porque implementé medidas para evitar que me hagan eso. ¿Un menor conoce estas medidas? ¿Sus padres las conocen? ¿La concienciación ciudadana serviría? Mi respuesta es “no”, a las tres preguntas. Es necesaria la seguridad por defecto (Yago Jesús, de Security By Default) y la implantación de medidas preventivas y reactivas (Luis Delgado). Y es necesario saber que este mundo existe, asumirlo y tratar de gestionarlo.

En cuanto a la identificación de menores, la firma electrónica no es eficiente. Con el DNIe de los menores, se puede intentar. Pero, ¿quiénes serán los obligados? Los menores no, evidentemente. ¿Los padres? ¿Reconoceremos a los obligados por la IP? Habrá que darse a Spotflux (y compañía), gratuito, compatible con el móvil y adecuado para ver Netflix en España, por cierto. Imagino que se querrá poner la mira en los gigantes estadounidenses para obligarles a cumplir la ley de un estado europeo. Mientras que los asiáticos y africanos no traduzcan sus soluciones… amainamos el temporal. Pero, ¿realmente queremos que Baidú recopile los datos de nuestros menores para permitirles o negarles el acceso? ¿Queremos que cualquier red social tenga acceso a esta información? Puede que con un simple identificador reconocido de “soy mayor” o “soy menor” baste, basándonos en la edad mínima para ser mayor tanto de España como del país del prestador. Es más, ¿tenemos un listado cerrado de los prestadores de servicios de la sociedad de la información en el mundo? Y, si lo tuviéramos, ¿podríamos obligarles allá en el país en el que estén?

La identificación de los menores requiere otra vía. El Derecho emanado del poder público es ineficaz para ordenar Internet. El destino del Derecho público es el de regular las relaciones entre personas y empresas con los órganos que conforman la Administración Pública. El destino del Derecho que inventan los prestadores está enfocado a crear un único marco jurídico internacional que establezca algo de orden a lo que sucede en la Red. Por tanto, se debe centrar el foco en los grandes prestadores para que España tome partido en la creación de esta normativa internacional realmente vinculante.

Que la ley que afecta a los españoles en España es el código civil, cierto. La que afecta a los españoles en Internet no lo es siempre y cada vez lo será menos. No se trata de hacer convenios internacionales llenos de propósitos y vacíos de acciones, en los que siempre faltan firmas y ratificaciones. Se trata de continuar la creación de una única normativa internacional con el apoyo de las empresas que controlan Internet.

¿Dudas?

Al finalizar la exposición, los diputados hicieron preguntas. Las respuestas están aquí.

_

Cómo espiar gratis usando GMail + Streak

Captura de pantalla 2014-02-13 00.44.47

Descubre la ubicación de los receptores de tus correos

Es posible rastrear los e-mails que envías, saber si los han abierto, cuántas veces, en qué minuto exacto del día y dónde estaba la persona cuando lo abrió.

Es posible, ¡y es gratis! pero… ¿es legal?

Antes de aportar mi criterio he de decir que me enteré de la existencia de Streak gracias a El Confidencial, con el que colaboré ayer en la investigación sobre los aspectos legales aplicables. El resultado: Cualquiera puede saber dónde estás con un simple correo (El Confidencial).

Ayer instalé Streak en mi GMail personal, de forma gratuita y en menos de 30 segundos. Streak permite monitorizar la apertura de los correos electrónicos que envío, de manera que pueda saber incluso dónde estaba la persona que abrió el e-mail.

Me envié un correo electrónico a mi cuenta profesional, para comprobar el efecto… y, al abrir el correo desde el móvil, recibí un aviso en mi GMail personal en el que se me informaba de todo lo que puedes ver en la imagen de la izquierda.

Básicamente, “Un extraño puede saber dónde estás haciendo que abras un e-mail” (english).

Esto lo podemos hacer -y, de hecho, lo hacemos- sin necesidad de complementos. Cuando recibo determinadas consultas en Abanlex y considero que otra legislación es aplicable, examino la IP del emisor y le redirijo a un abogado cercano al lugar de remisión, sin necesidad de preguntar al cliente su localización. Pero el hecho de que ahora Streak nos lo dé tan fácil… genera un interés incluso excesivo. ¿Y si tengo instalado Streak en la empresa? ¿Valdría como prueba de que un e-mail ha sido abierto? ¡¿Lo podemos usar para marketing?! … ¿Puedo usarlo para espiar a mi mujer?

Aquí mi criterio:

  1. Datos personales: La dirección IP, los datos de geolocalización y la confirmación de una imagen concreta, son datos de carácter personal. El destinatario de esta infomación la relacionará con un correo electrónico determinado, que también es un dato de carácter personal. (art. 3 LOPD)
  2. Supuestos:
    1. Las personas físicas pueden usar esta información sin apenas restricciones o límites legales, siempre que el correo electrónico, que se use para obtenerla, sea parte de una conversación exclusivamente personal o doméstica (art 2 LOPD). El uso debe ser acorde a los requisitos marcados por la LO 1/82 y jamás puede interferir o vulnerar el los límites o las expectativas razonables de privacidad. Los usos y costumbres pueden ser vitales en este punto.
    2. En el resto de casos (empresas, autónomos, partidos políticos…), sí hay restricciones más claras:
      1. Restricciones:
        1. Consentimiento previo del afectado: Los datos solo podrán ser tratados legalmente después de que el usuario haya dado su consentimiento informado (art. 6 LOPD) para que sean obtenidos y usados con un fin determinado por la persona o entidad que sea (art. 5 LOPD). Es decir, el receptor del e-mail tiene que saber, antes de abrir el correo, que su información de geolocalización y apertura del e-mail va a ser conocida por una determinada persona o entidad y va a ser consecuentemente tratada.
        2. Prohibición de la obtención excesiva: Además, del consentimiento referido, solo se podrán recoger para su tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido (art. 4 LOPD).
      2. Permisión:
        1. Comercio electrónico: Las empresas que vendan por Internet sí podrán usar estos datos solo si antes se lo ha consentido el usuario (por medio del contrato, por ejemplo) y solo si el uso es adecuado, pertinente y no excesivo en relación con la venta realizada. Es el caso, por ejemplo, del envío del acuse de recibo, que el vendedor está obligado a remitir al comprador después de que este haya aceptado la oferta. La oferta no puede contener este gif de rastreo, como regla general, porque no lo ha consentido previamente el usuario.
        2. Comunicaciones comerciales por vía electrónica: Solo si el usuario lo ha aceptado previamente, se le podrá rastrear y geolocalizar (art. 21 LSSI). El usuario tiene que saber y haber aceptado que se le monitorice de esta forma, antes de que el comercial envíe la comunicación.
      3. Prohibición: En el resto de casos, su uso está prohibido. No me refiero a que no pueda tratase el dato, sino a que el mero uso y obtención de estos datos está prohibido.
        1. Motivos de la prohibición: o no se obtuvo el consentimiento previo; o, habiéndose obtenido, el tratamiento que se va hacer es inadecuado, no pertinente y excesivo en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
        2. Ejemplos de casos prohibidos:
          1. Spam con rastreo de aperturas
          2. Ofertas promocionales sin permiso del usuario para hacer este seguimiento
          3. Rastreo no permitido previamente por el usuario
          4. Rastreo inadecuado, no pertinente o excesivo.
      4. Excepciones: siempre hay excepciones a las excepciones.
Puedes estar seguro de que alguien te está streakeando si, en el original del mail recibido, encuentras unas líneas similares a las siguientes:
 
1
2
3
4
[div hspace=3D"streak-pt-mark" style=3D"max-height:1px"][img style=3D"width=
:0px; max-height:0px;" src=3D"https://mailfoogae.appspot.com/t?sender=3Dno=
mbre%40gmail.com&type=3Dzerocontent&guid=ristra-de-numbers=
76sd9s9"][font color=3D"#ffffff" size=3D"1"]=R5=00=E9[/font][/div]
Una forma sencilla de prevenir ser streakeado es deshabilitar la visualización automática de imágenes, desde el área de configuración de tu cuenta de correo. En GMail: configuración / deshabilitar imágenes.
 
La tecnología es legal. Y dan ganas de usarla. El problema es cómo se use. Si la ley no lo permite, aunque la tecnología exista, su uso está prohibido.
 
¿A que apetece usarlo?
 
Actualización (6 de marzo de 2014): Mis compañeros de Navaja Negra (@NN2ed_s4ur0n) me han enviado un script escrito en Python que busca en el texto plano de cada mensaje las cadenas “streak-pt-mark” o “https://mailfoogae.appspot.com”, que son las que usa el Streak, y avisa del “remitente” que te lo ha mandado. Lo hace en texto plano, ya que en Gmail aparece ofuscado por el javascript que usa. [Disculpa el “copy+paste”, pero lo has explicado muy bien en pocas palabras]
 
Aún tengo que probarlo, pero viniendo de ellos, funciona. El script (antisetreak.py) es este:
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
#!/usr/bin/env/python
#By s4ur0n (@NN2ed_s4ur0n)
 
import imaplib
 
mail = imaplib.IMAP4_SSL('imap.gmail.com')
mail.login('username@gmail.com', 'Your-password-here')
mail.select()   # Or mail.select('INBOX')
#result, data = mail.search(None, '(X-GM-RAW "Search term... I.e. 1x1.gif"')
result, data = mail.search(None, 'ALL')
 
id_list = data[0].split()
for id in reversed(range(0, len(id_list))):
    email_id = id_list[id]
    result, data = mail.fetch(email_id, '(RFC822)')
    raw_email = data[0][1]
    if ('streak-pt-mark' or 'https://mailfoogae.appspot.com/') in raw_email:
        print raw_email
        print '\r\nWarning!\r\nTraced by: '
        print raw_email[raw_email.rfind('sender=3D')+9:raw_email.find('&amp')].replace('%40','@')
        raw_input('Press ENTER to continue...')
 
mail.logout()

Informe de EEUU sobre la regulación del Bitcoin en 40 países

Captura de pantalla 2014-02-07 17.58.32El informe que escribí para Abanlex sobre los Bitcoin está ahora en manos del Congreso de los Estados Unidos.

¿Sabes lo que es el Bitcoin? Empecé a adentrarme en su funcionamiento en 2010 y en 2011 recibí mis primeros bitcóin. Desde entonces, en Abanlex aceptamos Bitcoin como medio de pago, cosa que interesó recientemente a Expansión. Ahora nuestras facturas muestran el total en euros y en BTC. Una universidad (una de estas) ya ha estudiado la manera de pagarme las clases que doy con Bitcoin. En ICEMD / ESIC explico los sistemas de pago con Bitcoin en mis clases de Derecho del eCommerce. He cambiado mis BTCs por un gorro de ASOS, a través de Bitfash. He usado varios exchangers para adquirir LiteCoin, PPCoin, Bitcoin, Novacoin… e incluso he estado tentado de comprarle a Joaquín Muñoz alguna JoaCoin. En Abanlex asesoro con Joaquín a empresas que comercian con Bitcoin, con la ayuda de mis compañeros de Igualada&Cots y Diké Abogados. Uno de los clientes que tenemos en Abanlex ha presentado una consulta vinculante a Hacienda sobre qué impuestos que debe aplicar al Bitcoin; esta consulta se la hemos preparado Abanlex y Martínez-Echevarría de forma conjunta y ha sido noticia en El Confidencial. La consulta se presenta para un proyecto en el que estamos trabajando (solo desde el punto de vista legal): cajeros automáticos de Bitcoin en España.

Y, entre tanto, publiqué este post: 12 cosas que deberías saber antes de usar bitcoins (La Ley y el Bitcoin)

Parece que Joaquín y yo hemos dado en el clavo: La Biblioteca de Derecho del Congreso de los Estados Unidos (The Law Library of Congress) ha emitido un informe sobre Normativa del Bitcoin en Jurisdicciones Seleccionadas (Report for Congress nº 2014-010233 bajo el título Regulation of Bitcoin in Selected JurisdictionsDescargar en pdf) y nos dedica este párrafo sobre regulación en España:

Spain
Bitcoins have not yet been regulated in Spain and are not considered to be legal currency since they are not issued by the government’s monetary authority. However, they may be considered digital goods or things under the Civil Code [arts. 335, 337 & 345] and transactions with bitcoins may be governed by the rules of barter contained in the Civil Code [art. 1538] according to the analysis of one Spanish law firm [Pablo Fernández Burgueño, 12 Cosas que Deberías Saber Antes de Usar Bitcoins (La Ley y el Bitcoin) [Twelve Things You Should Know Before Using Bitcoins (The Law and Bitcoin)], ABANLEX ABOGADOS (Nov. 27, 2013)]. Merchants who accept bitcoins are required to issue an invoice with value-added tax in euros [Abanlex Abogados].

Participaré en unas charlas sobre el Bitcoin. El título del encuentro es Mesa Redonda sobre el sistema Bitcoin: una alternativa disruptiva, descentralizada y criptográfica frente a las monedas tradicionales. Tendrá lugar en Madrid, el sábado 22/02/14.

Mis compañeros de cartel son de categoría. Espero aprender lo suficiente en estos días para tratar de ponerme a su nivel. Ponenetes: Víctor Escudero Rubio, Ricardo Pérez Marco, Antonio Andrés y Pablo Fernández Burgueño (este soy yo). Asistir al encuentro cuesta 22€ o su equivalente en Bitcoin.

Aquí los datos sobre Mesa Redonda sobre el sistema Bitcoin::

  • FECHA: Sábado 22/02/14
  • HORARIO: 10:00 a 14:30
  • LUGAR: Centro de Negocios Lagasca – Calle Lagasca, 95. Madrid
  • Web para inscripciones

Si alguno va para allá, me encantará saludarle personalmente.

Cómo hacer una auditoría de cookies (Paradoja Epicel)

paradoja_epicel

La Paradoja Epicel se centra en la imposibilidad de obtener un único resultado cierto al tratar de evaluar todos los elementos de un conjunto indeterminado y cambiante. Por @Pablofb

En este artículo trataré de explicar qué se necesita para hacer una auditoría de cookies (Ley de cookies) y cómo se auditan las cookies de una web.

También explicaré por qué creo que la Agencia Española de Protección de Datos ha decidido malinterpretar la Ley, para no sancionar por actos que la propia Ley dice que son merecedores de sanción. (Propuesta de sanción & Sanción)

Y todo ello con mi mayor respeto y afecto al legislador, al que saludo en su propia lengua: Gâkh Golug narku gimbubut lat!

1.- Explicación de la imagen superior

La imagen que ilustra este artículo (arriba) muestra una ecuación matemática cuya incógnita, que es el resultado, solo es posible hallar cuando el número de factores alcanza el infinito. Al no ser posible llegar al infinito, debemos parar en algún momento: Si no comenzamos la operación, obtenemos un 0 absoluto; si paramos tras un +1, obtenemos un 1; si paramos tras un -1, volvemos al 0. Por tanto, debemos asumir que el resultado más certero que podemos dar a la ecuación es un 1/2. Es decir, la incógnita resultante es la mitad de un entero.

Las auditorías de cookies son similares a la ecuación: solo es posible llevar a cabo una auditoría de cookies completa cuando realizas el análisis de todas las cookies de la web, lo cual es imposible. Una web está compuesta por el contenido propio y por todo el ajeno enlazado o integrado: el contenido propio puede estar compuesto de plugins, widgets, iframes, invocadores… y puede estar creado sobre un CMS de actualización automática; y el externo está absolutamente fuera de nuestro control. La instalación de cookies es constante, cambiante y descontrolada. Si no hacemos una auditoría, obtendremos un cero absoluto, lo que implica un incumplimiento flagrante de la Ley. Si hacemos una auditoría perfecta, el resultado puede ser un +1… o un -1, lo cual es un 0 relativo. La consecuencia de la Paradoja de Epicel es sencilla: toda auditoría de cookies resultará en un cumplimiento parcial de la Ley.

2.- ¿Qué es la Paradoja Epicel?

EPICEL es el acrónimo de las palabras “Es Prácticamente Imposible Cumplir Esta Ley”. La Paradoja Epicel demuestra como una auditoría de cookies correctamente realizada solo permite cumplir la ley a medias. Es imposible tener la certeza de haber localizado y descrito todas las cookies que el sitio crea, está preparado para crear o permite crear a otros.

El nombre EPICEL (Paradoja Epicel) es inventado, por supuesto. Publicar aquí lo que deseo es mi voluntad; dárselo a quien quiero es mi privilegio.

3.- Un ejemplo de la Paradoja de Epicel: la invocación

Los contenidos invocados, que aderezan la mayor parte de los sitios empresariales, arrastran cookies de las páginas fuente. Al auditar (una vez más) la web de mi despacho, advertí que una de las páginas instala una cookie técnica (wptouch-pro-cache-state) enviada precisamente desde mi blog: para evitar la subida de una imagen específica que ya estaba publicada aquí, introduje en el post de Abanlex un sencillo código de invocación, de manera que el contenido del blog personal se arrastrase a la web corporativa con cada nueva visita. Sin embargo, además del contenido se arrastra también una cookie.

Los códigos de invocación más comunes son los que copiamos desde los sitios YouTube y Google Analytics, para embeber vídeos y para monitorizar la navegación de los usuarios, respectivamente. En el lateral de este mismo blog podéis ver, en vista HTML, al menos 7 códigos de invocación, que muestran cuadros de Twitter, Facebook y Grooveshark, entre otros.

Captura de pantalla 2014-02-06 18.06.12

Es recomendable usar las opciones de “Mejora de la privacidad” en YouTube, que sustituyen el código de invocación originario por otro que no llama a las cookies

4.- Otro ejemplo de la Paradoja de Epicel: Los iFrames

Los iFrames son marcos a través de los cuales se ve y se puede interactuar con una página diferente, de manera que se te instalan las mismas cookies que se te instalarían visitando esa otra directamente.

A principios de siglo los programadores usábamos bastante los iFrames para salvar obstáculos: mostrar publicidad, presentar un listado de artículos, introducir contenido ajeno… Facebook y Twitter los siguen usando.

A continuación muestro el código de un iFrame que permitiría ver una página de la Wikipedia. Si lo tuviese aquí activado, Wikipedia ya te habría instalado sus tres cookies. Justo debajo pongo el código para crear el iFrame en el que se muestra a Nyan (si quieres disfrutar de Nyan.Cat con música, pulsa aquí).

Opinión: ¿Vamos a obligar a Wikipedia a cumplir una ley española para poder poner su contenido en un iFrame? No podemos, a menos que afirmemos que ofrece un servicio especialmente dirigido a los usuarios españoles o que las cookies que instala son instrumentos tecnológicos ubicados en territorio español. ¿Las webs de España tienen prohibido ahora usar iFrames de prestadores que incumplan la ley de cookies española? Sí, como norma general. ¡Pero qué absurdo!

1
2
3
4
[iframe src="http://es.wikipedia.org/wiki/Iframe"
height="400" width="600"
frameborder="1" scrolling="auto"]
[/iframe]
1
2
3
4
[iframe src="http://www.nyan.cat/cats/original.gif"
height="600" width="100"
frameborder="1" scrolling="auto"]
[/iframe]

5.- ¿Cuánto tiempo lleva una auditoría de cookies?

Las auditorías de cookies pueden parecer sencillas, pero no lo son. Estos son los tiempos dedicados:

  • Sitios web pequeños sin apenas cookies: entre 10 y 20 minutos de análisis.
  • Sitios web complejos con años a la espalda: entre 15 y 25 horas de análisis.

En el caso de la auditoría a una universidad, tardé 12 horas. También es cierto que ahora ya sé las finalidades de muchas de las cookies analizadas, así que la próxima espero tardar menos.

6.- ¿Cómo es posible que una auditoría requiera tanto tiempo?

Una auditoría de cookies es compleja por los deberes que para el auditor conlleva:

  • Debes localizar las cookies: las cookies no se instalan al visitar la home, sino al visualizar una determinada página o realizar una acción específica. Para ello, debes rastrear todas las páginas del sitio principal y todas las de los sitios secundarios. En cada página, debes accionar todos los mecanismos puestos a disposición del usuario.
  • Debes acceder hasta al lugar más recóndito de la web: Es posible que se instale una cookie al publicar un comentario, llenar el carrito, solicitar información, suscribirse al boletín, acceder al correo o revisar la documentación de un curso. Debes tener acceso completo a todo el sitio web… y utilizarlo.
  • Debes averiguar la finalidad de cada cookie: Cada cookie tiene un propósito. No debes inventártelo, sino averiguarlo. En ocasiones, encontrarás este propósito en la página de cookies del dominio del que se instala. También puedes probar en la web del responsable, en la web del titular del dominio, en webs de hackers, en foros de debate o en buscadores. Los desarrolladores informáticos del sitio que auditas deben cooperar contigo y darte esta información, si la tienen. Puedes preguntar al responsable de la aplicación que genera la instalación. Y, si no se localiza la finalidad, debes requerir la supresión inmediata de la solución que la genera.
  • Debes anotar los detalles de las cookies: cada página mostrará unas cookies concretas y potencialmente diferentes a las que se mostrarán en la siguiente página que visites. Debes anotar los detalles de todas las que se muestren y, en particular, los siguientes:
    • Nombre de la cookie
    • Dominio del que se descarga
    • Finalidad de la cookie
    • Vigencia hasta su expiración
    • URI de su localización, a efectos de verificación de la existencia de la cookie
  • Debes visitar el sitio en todas sus versiones: Un sitio con diseño adaptable (en inglés, responsive web design) cambia su comportamiento en función del dispositivo que se use para visualizarlo. Es posible que cambie incluso el dominio y presente una página completamente diferente. Deberás hacer una auditoría específica por cada adaptación significante de la que te advierta el cliente o que tú detectes. Ten en cuenta que hay versiones para escritorio, móviles, tabletas, videoconsolas y, dentro de poco, relojes y gafas.
  • Debes auditar el sitio desde diferentes navegadores: Algunos sitios web se presentan de forma diferente en función del navegador (o de la versión del navegador) que el visitante use. Las etiquetas se encuentran bien indicadas en el HTML de cada página. Es posible que la instrucción sea común para todo el sitio o que sea específica para páginas con contenido enriquecido.
  • Debes hacer la auditoría sobre todos los dispositivos de almacenamiento y recuperación de datos: Además de las cookies, también puede haber píxeles de seguimiento, web beacons, etiquetas ETag y ciertas librerías, que están regulados por la misma norma que regula las cookies. En este caso, requerirás de la ayuda del equipo técnico que ha desarrollado la página.
  • Debes auditar todos los sitios web del cliente: Es posible que el cliente tenga un sitio web principal, pero también un blog en WordPress.com, un perfil de empresa con noticias propias en Twitter y una galería de productos a la venta alojada en Facebook con enlaces de compra en el pie de cada imagen. En estos casos, deberás, al menos, conocer el funcionamiento de la tecnología de los terceros empleada para alojar páginas de empresa y perfiles profesionales. Además, deberás auditar los complementos y herramientas instaladas debido a que suelen hacer uso de cookies analíticas, publicitarias y de rastreo.

 7.- ¿Qué herramientas necesito para hacer una auditoría de cookies?

Debes tener varios navegadores limpios, preparados para este trabajo.

Cada auditor tiene sus preferencias en cuanto a navegadores. A mí me gusta usar para este trabajo Firefox Portable y Google Chrome, ambos con Firebug instalado. Suelo emplear ventanas de navegación privada. También trabajo con el Firefox clásico.

Para tener una primera idea de lo que voy a encontrar, a veces uso otras herramientas, como Attacat Cookie Audit Tool en Chrome o Cookie Monster en Firefox. Son útiles, pero no 100% confiables.

Es importante que sepas interpretar HTML. Es básico que sepas leer inglés avanzado. Es imprescindible que tengas interés por descubrir y originalidad para encontrar soluciones.

 8.- ¿Qué pasos he de dar para hacer una auditoría?

 Los pasos para hacer una auditoría de cookies son los siguientes:

  1. Genera una lista con todos los sitios a analizar, incluidos los subdominios y los blogs desvinculados.
  2. Obtén información sobre el CMS usado en cada sitio y sobre la política de actualización de plugins.
  3. Visita todas las páginas de un mismo sitio, haciendo uso de una ventana de navegación privada, usando un compilador de cookies. Obtendrás así una primera impresión. ¡Naturalmente, has de navegar sin estar logueado en redes sociales!
  4. Usa una ventana de navegación privada, en Firefox limpio solo con Firebug instalado, para visitar todas las páginas de un mismo sitio. Si por error visitas una página que esté fuera del dominio, deberás empezar de cero. Sugiero que utilices Firefox Portable para que puedas usar una instalación nueva en cada auditoría.
  5. Recopila toda la información concerniente a las cookies que localices en cada una de las páginas visitadas: nombre de la cookie; dominio del que se descarga; finalidad de la cookie, vigencia hasta su expiración; y URI de su localización, a efectos de verificación posterior de la existencia de la cookie.
  6. En caso de que desconozcas la finalidad de una cookie, averíguala. Es posible encontrar casi todas las finalidades de las cookies en este buscador, en la Cookiepedia o en páginas de hackers como Stackoverflow. Algunas empresas responsables también publican información sobre sus cookies en sus propios avisos legales y otras facilitan correos electrónicos de contacto para que se lo puedas preguntar.

Una vez finalices la auditoría de cookies, debes informar en el aviso legal sobre las cookies que has descubierto y generar un sistema de bloqueo de las cookies no técnicas hasta que el usuario haya dado su consentimiento para la instalación. Recuerda que si alguna cookie se usa para tratar datos personales, deberás aplicar, además, la LOPD. He escrito algunos post que pueden servir sobre cómo cumplir la ley de cookies, sobre la propuesta de sanción por incumplir y sobre las primeras multas por no cumplir la Ley de cookies.

La verdad es que no sé cómo hay empresas que venden auditorías de cookies por 200€. Supongo que será lo siguiente que investigue.

Hasta aquí hemos visto la parte sencilla de una auditoría de cookies. Pero lo cierto es que es bastante más complicada. En una auditoría, que he concluido hoy he tenido que analizar, además del sitio web principal, 6 subdominios, 5 áreas privadas, 2 secciones de venta, 4 blogs externos (uno de ellos en Tumblr, otro en WordPress.com, uno en Blogger y un último en un servidor propio con WordPress como CMS instalado), página de empresa en Foursquare, LinkedIn y Facebook y perfil en Twitter y Pinterest. El perfil en Facebook tiene complementos de terceros instalados; en uno de los blogs integraba vídeos y textos de proveedores como Scribd y Slidshare; el blog en servidor propio cuenta con un CMS que se actualiza automáticamente y con más de 20 plugins de proveedores externos, que instalan cookies como si estuvieran repartiendo frutas escarchadas sobre un roscón; y el sitio web principal tiene instaladas soluciones de publicidad inteligente y herramientas que permiten compartir noticias y posts. ¡El número de cookies localizado es de 93! 32 de ellas son publicitarias y 28 envían información personal del usuario a empresas que mi cliente desconoce… o desconocía. 2 se instalan unas veces y otras no. Y hay 4 de las que apenas tenemos información.

El problema es el siguiente: los prestadores pueden estar cambiando las cookies que instalan ahora mismo.

9.- Consecuencias de la Paradoja de EPICEL

Es prácticamente imposible cumplir esta ley de cookies. Por este motivo, la AEPD hace una interpretación interesadamente errónea, pero agradecida, de los artículos 22.2 y 38.4.g de la LSSI, concluyendo que la información debe ser entregada antes de la instalación de cookies pero que el incumplimiento de esta obligación de información previa no es sancionable.

El art. 22.2 LSSI obliga a los prestadores a ofrecer información completa, clara y previa a la instalación de cookies. El 38.4.g prevé una sanción por el incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el artículo 22.2.

Si la AEPD se ciñese a la literalidad de la Ley, tendría que sancionar a las empresas que tienen página de empresa en Facebook o cuenta en Twitter, por haber elegido una tecnología que brea a sus usuarios con cookies de terceros sin ofrecerles información previa.

Afortunadamente, la AEPD ha decidido malinterpretar la Ley afirmando en su resolución que ofrecer información de forma incorrecta (es decir, solo en un aviso legal después de haber instalado todas las cookies posibles al usuario) es ilegal pero no es sancionable. La AEPD basa su interpretación en la imposibilidad de sancionar la falta de consentimiento, obviando que lo que debe sancionar es la falta de información previa, clara y completa.

En conclusión: La AEPD, órgano sancionador, ha decidido (según interpreto leyendo el literal de su resolución) que es posible incumplir la Ley, en relación con las cookies no técnicas, de estas formas:

  • Es ilegal, pero no sancionable, no ofrecer información previa a la instalación de cookies, siempre que se ofrezca después de la instalación de forma clara y completa.
  • Es ilegal, pero no sancionable, tener página o perfil en redes sociales y plataformas de terceros, como WordPress.com, que instalen cookies sin avisar, pero tengan un buen aviso informativo de cookies que el usuario pueda ver después.
  • Es ilegal, pero no sancionable, no obtener el consentimiento del usuario antes de instalarle cookies.
  • Es ilegal, pero no sancionable, instalar al usuario todas las cookies que consideres, manteniendo escondida en la web toda la información completa y clara sobre las mismas.

Este asunto lo explico con más detalle en el post “Primeras multas por vulnerar la Ley de Cookies“.

Esta norma de cookies es la mayor estulticia que el legislador ha podido sacarse de la manga. ¿Tiene sentido que exista una norma tan absurda como esta? ¿Una norma creada solo para sancionar? ¿Una norma injusta con los ciudadanos y con las empresas?

Si el legislador desea solucionar este asunto de las cookies, puede optar por soluciones más sensatas. Por ejemplo, podría obligar a los prestadores con su sitio en un servidor propio a usar tecnologías similares a Do Not Track; podría recomendar a los navegadores que incluyan en sus nuevas versiones un sistema específico que permita a los usuarios navegar sin ser rastreados; podría obligar a ofrecer información clara y completa (pero no previa) sobre las cookies propias que se instalan, no sobre las ajenas. Podría dejar de intentar controlar la tecnología, asumir que existe, entender que Internet es una ventana al Mundo y empezar a desarrollar normas que se adapten al estado de la ciencia. Necesitamos legisladores sensatos que ayuden a potenciar el comercio electrónico.

10.- Reformas propuestas a la Ley de Cookies:

Está en proceso una reforma de la ley de cookies, que implicaría la supresión de la expresión “siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto” del párrafo 2º del artículo 22.2, lo cual es una chorrada. El párrafo quedaría como sigue:

“Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones”.

El legislador, ¿qué pretende con este párrafo? ¡¿Intenta dejar sin contenido el primero del 22.2?! Creo que no se da cuenta de que este párrafo obliga al desarrollador de sitios web a crear una tecnología que discrimine navegadores, instalando o no cookies en aquellos que cuenten con un área de configuración de cookies y no instalándolas en aquellos simples que no permitan la configuración, como Browser Lite, para iPhone y otros tantos. Esta revisión no cambia el hecho de que cumplir la ley es imposible, con o sin esa expresión que ahora quieren suprimir. Esta modificación de la Ley se merecerá una oda más a la ineptitud legislativa.

<

p>Mi recomendación al legislador está al final de esta secuencia.

España está preparada para recibir su primer cajero de bitcoins

10563200143_bd5e7e2155

El primer cajero de bitcoins del mundo, instalado en Vancouver, Canadá. Fotografía cedida por Marc van der Chijs

En el sitio web del bufete Abanlex, he publicado un artículo sobre la normativa española aplicable a los cajeros de bitcoins.

Por cierto, acabo de comprobar que ¡podría comprarme una obra de arte de más de 900€ con el bitcoin que compré hace un mes por 200€! Por cierto, escribí también este otro artículo: Compra arte con bitcoins, en la Revista de Arte – Logopress.

Estimo que el valor del bitcoin seguirá creciendo. Pero no lo sé con seguridad. Si dentro de un año nadie quiere comprarme el bitcoin, tendré en mi poder un objeto digital sin valor; si me lo quieren comprar por 900€ habré ganado 700€ y recuperaré mis 200 iniciales. Quien sabe…

Si quisiera arriesgarme a comprar más bitcoins, tendría que hacer transferencias bancarias internacionales. Hay más métodos, pero este es el más sencillo y, aún así, es complicado. Desde que decido comprar algunos satoshis hasta que los veo en mi wallet, pueden pasar 4 o 5 días. ¡Qué fácil sería si hubiera cajeros automáticos de bitcoins!

Podría haber una tienda en la que pudiera comprar y vender bitcoins. O una máquina a través de la cual se haga lo propio. Y, para convertirla en algo mediático, podríamos llamarla ATM de bitcoins.

A través del Ayuntamiento de Madrid colaboré en el estudio de las implicaciones legales de una máquina expendedora de oro. Por aquello, publiqué un artículo con algunas conclusiones que servirían para cualquier máquina de vending. Este caso es similar, solo que un poco más complicado.

¿Cómo instalar un cajero de bitcoins en España? Esta vez publico la respuesta en Abanlex.

Quizá te interese consultar otros artículos que he escrito sobre los bitcoins:

Hace un par de meses fui ponente en una mesa de la CON Navaja Negra. El día anterior a mi mesa, pankace (@trufae) dio una charla magnífica sobre los aspectos técnicos de los bitcoins. Aquí, su vídeo:

<

p>

Hablando de Bitcoin…

En el sitio web del bufete Abanlex, he publicado un artículo sobre la normativa española aplicable a los bitcoins. He titulado el artículo 12 cosas que deberías saber antes de usar bitcoins.

En el artículo indico qué es el bitcoin, según el ordenamiento jurídico español, y qué normas le son de aplicación. He dividido el artículo en 12 apartados para hacerlo más visual y sencillo de seguir: desde qué es el bitcoin hasta sus efectos contables y financieros. Termino el artículo exponiendo mis opiniones sobre esta virtual currency, según la llamó el Banco Central Europeo en su Informe Virtual Currency Schemes.

Espero que os interesen estos temas de los bitcoins. En unos días, publicaré en este mismo blog un artículo, que ya tengo escrito, sobre otro aspecto interesante de los bitcoins.

Un bonus: dando una clase para la Conferencia Española de Religiosos me sacaron una foto con el gorro de ASOS que adquirí por bitcoins. ¡Y lo tuitearon! ;P