La regulación del P2P en España puede estar próxima
Por ivan - Sociedad y Tecnología - 4/may/2009
El País publica hoy un interesante artículo sobre el estado del proceso de regulación de las descargas de Internet que se vive en nuestro país. Las negociaciones entre los operadores de telecomunicaciones (Redtel) y las empresas relacionadas con la producción audiovisual (agrupadas en la Coalición de Creadores e Industrias de Contenido) no han dado su fruto y están, según se dice, bloqueadas. En este contexto, es el Gobierno el que deberá decidir el contenido de la futura ley que regule el intercambio peer to peer, tarea que se presenta complicada, habida cuenta de que las descargas son legales incluso cuando se trate de material protegido por derechos de autor, y de que cualquier regulación que otorgue derechos para sancionar el uso del P2P requerirá modificar la LSSI (Ley de Servicios de la Sociedad de la Información).
La aprobación del Tribunal Constitucional también puede ser problemática, ya que una medida que otorgue privilegios sancionadores (corte de conexión) a empresas privadas (sean estas los operadores de telecomunicaciones o las organizaciones gestoras de los derechos de Propiedad Intelectual) podría estar vulnerando derechos constitucionales básicos (como la presunción de inocencia).
Las operadoras, por su parte, no son partidarias de medidas tan drásticas, puesto que podrían verse desbordadas por un aluvión de demandas de usuarios a los que se les haya aplicado el “corte” sin que realmente estén haciendo un uso “ilegal” de su conexión a Internet. Demostrar que cierta IP ha sido usada por cierto usuario en el momento en que fue registrada una descarga de contenido protegido puede ser una pesadilla, si tenemos en cuenta el uso creciente de la asignación dinámica de direcciones, los proxys y las redes que facilitan el anonimato. Tras identificar una IP como asignada a un cliente, aún existiría la posibilidad de que no estuviera siendo usada por él, sino por un troyano que ha infectado su ordenador.
La articulación definitiva de la Ley deberá prever medios suficientes para tramitar los procesos inherentes a las sanciones y a los recursos que pudieran derivarse de ellas. Y todo esto, elevado a su máxima expresión, teniendo en cuenta el crecimiento del uso del P2P, y su evidente penetración en la sociedad: la descarga y compartición de archivos no es ya un fenómeno marginal y reservado a una minoría de adictos a la Red, sino un hecho cotidiano.
Lo más procupante es que entre tantos intereses contrapuestos, la Unión Europea votará en breve un cambio legislativo en la dirección marcada por Sarkozy y su ley de los 3 avisos. La nueva regulación dejará a cada país el control sobre Internet, y eliminará las referencias anteriores a la necesidad de que exista un mandato judicial para cortar el acceso. Ver para creer.
Privacidad en el intercambio P2P
Por ivan - Seguridad y Privacidad - 4/may/2009
Transmission: lista de peers conectados
Tras instalar y configurar el programa P2P Transmission, decidí seleccionar la opción “Prefer encrypted peers” (que traducido al español sería algo así como “Utilizar preferentemente peers cifrados”), para ver hasta qué punto esto podía añadir cierta privacidad al proceso de descarga de archivos. Ingenuo de mí, acaba de cometer un error básico: confundir confidencialidad con privacidad.
Ciertamente, la comunicación con peers que soporten mecanismos de cifrado hace que el chorro de bits que fluyen entre mi PC y el peer al que estoy conectado sea un amasijo indescifrable de ceros y unos, es decir, un mensaje cifrado. De ser interceptado por terceras partes (el famoso man in the middle), sería ilegible. Pero no, eso no aporta privacidad.
La privacidad es algo totalmente diferente. Está relacionada con la imposiblidad de obtener de una persona información sobre sí misma que ella no quiere revelar. Un ejemplo habitual es el relacionado con las compras on-line, en las que es necesario que se garantice la privacidad de las transacciones: la entidad que gestiona el pago por internet no debe conocer el objeto de la transacción.
La privacidad en las redes P2P es, simplemente, nula. Basta con observar la ventana de Transmission que me da la información de los peers a los que estoy conectado para descargar el openSuse (por poner un ejemplo). Podemos ver la larga lista de direcciones IP, que identifican a los equipos que están descargando o compartiendo ese mismo fichero. Y podemos ver también el cliente BitTorrent que utilizan y su versión.
Podríamos pensar que la dirección IP no es suficiente para identificar unívocamente con quién nos estamos conectando, puesto que puede tratarse de la dirección de un proxy, o bien puede ser una dirección IP asignada mediante DHCP (y que por tanto cambia dinámicamente). Esto es cierto, pero también lo es que, en virtud de la LSSI (Ley de Servicios de la Sociedad de la Información), los opeardores están obligados a guardar ficheros de log donde se registre para cada comunicación los datos necesarios para identificar a las partes.
La revelación de la información almacenada por los operadores de telecomunicaciones sólo es por mandato judicial, lo que podría hacernos pensar que estamos protegidos. Esto es así en lo que se referiere a poder determinar nuestra identidad a partir de una dirección IP. Pero a veces no hace falta saber quién está detras de una dirección IP, basta con saber que ha vuelto a conectarse. Con técnicas de data-mining es factible establecer patrones y hábitos de descarga a partir del tráfico P2P, y determinar, por ejemplo, qué IPs comparten películas de Disney o cuáles son aficionadas a la música de los Beatles. El resto, forma parte de la historia reciente de Amazon o Google, expertos en el marketing personalizado.
Esa misma información podría utlizarse, por cierto, para emprender acciones legales contra quienes se descargan archivos de redes P2P, suponiendo que esto fuera ilegal (que no lo es). Pero esta es ya otra historia, de la que hablaremos más adelante.
La híper-velocidad en el año 1994
Por ivan - Retro-informática - 1/may/2009
Módem Microcom Deskporte de 28.800 bps
Rebuscando entre viejos clasificadores y archivos, he encontrado un recorte de un artículo publicado en junio de 1994, en la revista PC Actual. Bajo el título “Un gigante veloz”, el artículo describe las novedosas características del módem Microcom Deskporte ES, de 28.800 BPS.
En el año 1994 lo más parecido a Internet eran los servicios de BBS (Bulletin Board System). Una BBS era, en esencia, un ordenador ejecutando un software específico para ofrecer servicios telemáticos a otros ordenadores que se conectaran con él. La conexión era normalmente punto a punto a través de la línea telefónica, y para establecerla se utilizaban unos dispositivos encargados de modular y demodular la señal analógica: los módems.
Todo esto puede sonar raro hoy en día. Internet ha cambiado todos los paradigmas de aquella comunicación de forma radical. La conexión ya no es punto a punto. Tampoco es dial-up, sino que es permanente, y aunque seguimos haciendo uso de la línea telefónica, existen ahora otras formas muy extendidas de conexión, entre ellas el cable y la banda ancha de telefonía móvil. El módem es ahora un router ADSL, y las BBSs han sido sustituidas por cientos de servicios (web, correo electrónico, chat, news, mensajería instantánea…).
Pero lo que más sorprende es lo lejos que estábamos en el año 1994 de comprender el cambio radical que se avecinaba. Bajo el título del artículo de PC Actual, podemos leer:
No hace mucho tiempo la posesión de un módem de 2.400 bps era todo un adelanto. Actualmente quien más y quien menos tiene instalado un 14.400 bps y dentro de poco, tiempo al tiempo, daremos el salto a los 28.800 bps. La reducción a la mitad del gasto telefónico y la seguridad en la comunicación son los principales argumentos.
Es evidente que pasar de 14.400 bps a 28.800 bps es un salto importante, pero en términos absolutos, no es más que doblar la velocidad de conexión. Hoy pasamos de las líneas de 1 mega a las de 20 megas de conexión ADSL, de los 320 Gb de tamaño de almacenamiento en el disco duro al tera, y de velocidades de CPU de 1 GHz a los quad core de 3 GHz y cuatro CPUs en un solo chip. Damos saltos enormes. La distancia que nos separa con la informática de hace 15 años es un abismo cuyo tamaño aumenta de forma no lineal. No quiero imaginar cómo será el día de mañana.
Aún me queda por comentar otro detalle significativo que puedo leer en el artículo de PC Actual: el maravilloso módem Microcom se vendía al precio de 80.000 pesetas del año 1994. Hoy por 30 euros compramos un router ADSL. Probablemente, el verdadero detonante de la revolución informática haya sido la conversión de su tecnología a artículos de consumo masivo dirigidos a toda la población.
La resolución de conflictos según PayPal
Por ivan - Seguridad y Privacidad - 30/abr/2009
Banner de paypalsucks.com
Mi última experiencia en eBay no hizo sino confirmar lo que antes había podido leer en varios foros: PayPal sucks. Y este es precisamente el lema (y dominio) de una página web dedicada a mostrar las “bondades” de PayPal, con pelos y señales. Pero no es la única. Bajo el título de PayPal – Horror Stories, Lawsuits, PayPal Problems & Information, el sitio AboutPayPal desgrana cientos de malas y muy malas experiencias con el medio de pago más conocido de Internet.
Mi historia es como la de muchos otros: vendo un artículo en eBay (una memoria de PC, concretamente), la envío por correo ordinario (tal y como se indicaba en el anuncio), y Correos pierde el paquete (eufemismo para decir que el paquete se lo queda alguien, porque le pareció que aquello podía serle útil).
Al no recibir el artículo, el comprador decidió abrir una disputa en el Centro de Resolución de Conflictos de PayPal. Antes habíamos intercambiado ya varios correos electrónicos, en los que le expliqué que debía haber elegido una modalidad de envío certificada si consideraba que el importe de la venta lo justificaba. No sirvió de nada.
El Centro de Resolución de Disputas congela el importe de la transacción inmediatamente (obsérvese la confianza que tiene PayPal en sus vendedores, que al fin y al cabo son los que le pagan las comisiones que constituyen su negocio). A la vez, facilita que comprador y vendedor se intercambien mensajes para aclarar las cosas (algo inútil, naturalmente, dado que el comprador ha abierto una disputa).
Terminado el turno de los mensajes, PayPal ofrece al vendedor 3 opciones para resolver el conflicto:
- Devolver el importe al comprador sin más (es decir, reonocer que no se ha realizado el envío)
- Probar que ya se ha devuelto el importe (más de lo mismo)
- Demostrar que efectivamente se ha realizado el envío.
Eligiendo una de las dos primeras opciones, el comprador tiene que asumir que es un estafador. No existe, por ejemplo, una opción para indicar que no se tiene nada que ver con esa transacción, y que es un error de alguien que ha puesto mal la dirección de correo electrónico del vendedor (cosa que también me sucedió en otra ocasión).
La opción 3 te lleva a un formulario donde hay que introducir, ineludiblemente, el código de seguimiento del envío. Si no existe tal código, no hay forma de continuar. De esta forma, si el envío se ha realizado por correo ordinario sin certificar, o el artículo se ha entregado en mano, no existe forma de justificarlo usando el Centro de Resolución de Disputas. Y no hay alternativa.
El fin de la histora es que PayPal resuelve que el comprador tiene razón (aún sigo preguntándome cómo el compardor pudo demostrar que no había recibido el artículo). Por alguna razón misteriosa, la transacción estaba cubierta por cierta garantía de PayPal, lo que hizo que yo no tuviera que devolver el importe. PayPal se lo reintegró el comprador (o al menos eso es lo que se indicaba en el último email que recibí).
Moraleja: si vendes algo en eBay y admites PayPal, el envío siempre certificado. O mejor aún: si vendes algo en eBay, no uses PayPal.
La inseguridad por defecto
Por ivan - Seguridad y Privacidad - 29/abr/2009
Firewall del Leopard en mi PC
Ayer estuve un rato en modo paranoico, debido a lo que supongo fue sólo un cuelgue de mi router. El caso es que, de pronto, no había forma de cargar ninguna página en el navegador. Pero a la vez, tenía al Cyberduck (mi cliente FTP) dando caña, descargando en mi PC el blog desde elcodigo.com (tenía ganas de investigar un poco).
Me pareció extraño y pensé por un momento que algo iba mal, que igual había sido infectado por alguna clase de troyano maligno que no me dejaba navegar por Inernet, pero que sí me dejaba conectar con el servidor FTP de mi proveedor de hosting. Así que me puse a revisar las reglas del firewall del PC y las del firewall del router. Curiosamente, la web de administración del router no indicaba por ningún lado que el cortafuegos estuviera habilitado. Así que decidí hacer una prueba desde las páginas de PC Flank, un sitio web que proporciona diversas herramientas para verificar hasta que punto nuestro PC está siendo protegido. Y fue cuando me llevé la sorpresa.
Los chicos de la empresa con la que tengo contratado el ADSL son muy eficientes a la hora de proporcionar un router que se configure sólo, y en el que no haya que tocar absolutamente nada para comenzar a navegar desde el primer día. Son partidarios, como otros muchos proveedores, de la simplicidad, y por tanto, la web de administración del dispositivo ofrece las mínimas opciones de configuración. Pero al parecer, también son partidarios de la inseguridad por defecto. Así, mi router tiene abiertos dos puertos que se consideran extremadamente peligrosos, desde el punto de vista de la seguridad: el puerto 80 (HTTP) y el puerto 23 (TELNET).
El TELNET es una reliquia del pasado, cuyo historial de brechas de seguridad hace que sea el primer servicio a desactivar, y el primer puerto a bloquear, en toda máquina conectada a Internet que se desee tenga una vida feliz y tranquila. No está justificado que haya puertos abiertos en mi router, salvo los imprescindibles para la resolución de incidencias y la configuración remota. Y aún así, incluso éstos se podrían habilitar bajo demanada, desde la interfaz web (si esa opción de configuración no estuviera capada, claro).
Así las cosas, tengo un dispositivo configurado de forma insegura y que no puedo reconfigurar. Supongo que es mejor así, ya que de esta forma, tampoco lo puedo configurar mal. Pero sinceramente, prefiero ser yo el que rompa las cosas, a que me las rompan los demás.
Entender el concepto de la Copia Privada
Por ivan - Sociedad y Tecnología - 28/abr/2009
Uno de mis mayores deseos en los tiempos que corren es entender el concepto jurídico de la Propiedad Intelectual. Más aún cuando la descarga de contenidos con copyright de las redes P2P está en el ojo del huracán, y el aluvión de noticias sobre futuras leyes intervencionistas para frenar la “piratería” de obras protegidas por los Derechos de la Propiedad Intelectual es constante.
Me resulta difícil posicionarme sin profundizar en el derecho que unos dicen reclamar, otros dicen no vulnerar, y la mayoría simplemente no conoce (y yo me incluyo entre estos últimos). He realizado un firme propósito de enmienda, comenzado por la Wikipedia, que explica en su artículo dedicado al Derecho de la Copia Privada el significado de copiar una obra protegida con copyright, y la legalidad de dicha copia bajo los supuestos que recoge la legislación actual.
La Wikipedia me ha llevado, sin embargo, a la lectura del magistral libro de David Bravo titulado “Copia este libro” y publicado bajo licencia Creative Commons, para dar ejemplo. Recomiendo encarecidamente el libro a quién tenga aún dudas sobre la legalidad de bajarse canciones o películas de las redes peer to peer. El libro de David Bravo ha conseguido que reflexione profundamente sobre el significado de la cultura, la Propiedad Privada y el Derecho de la Propiedad Intelectual. Es además una lectura amena, exhaustivamente documentada y llena de explicaciones sencillas y comprensibles para los mortales que no entendemos nada de leyes.
Entre lo aprendido, lo que más preocupa hoy a quién escucha los mensajes alarmistas de los medios de comunicación: ¿es ilegal bajarse archivos musicales o películas de Internet? Respuesta: no. La copia privada es legal y las descargas P2P entran en el ámbito de su definición según la actual legislación. Además, existe un canon que grava este derecho, que por otra parte tiene un objetivo claramente definido, y es contribuir a la difusión de la cultura. Amén, y gracias David.