México, D.F., 28 de enero de 2016. Versión estenográfica del Panel 1: Robo de identidad: Uso Indebido de los Datos Personales, dentro del marco del Día Internacional de Protección de Datos Personales 2016, efectuada en Auditorio Jaime Torres Bodet del Museo Nacional de Antropología. Presentador: Damos inicio al Panel número 1, denominado Robo de Identidad: Uso indebido de los datos personales. Modera este panel la Comisionada del INAI y Coordinadora de la Comisión de Normatividad de Datos Personales, Areli Cano Guadiana. Adelante, Comisionada. Comisionada Areli Cano Guadiana: Gracias, muy buenos días. Bienvenidos de nueva cuenta a esta conmemoración del Día Internacional de Protección de Datos Personales y a nuestro primer panel del día de hoy, con el título de Robo de Identidad: Uso indebido de los datos personales, que tendrá como objetivo reflexionar sobre los daños económicos, de reputación y de seguridad que puede causar el robo de identidad, así como acciones para prevenirlo. Doy la bienvenida, a nombre del INAI y del InfoDF a los expositores que nos acompañan en esta ocasión, al licenciado Mario Alberto Di Constanzo Armenta, Presidente de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros, CONDUSEF. Bienvenido, licenciado. El Comisario General de la División Científica de la Comisión Nacional de Seguridad, el doctor Ciro Humberto Ortiz Estrada. Bienvenido. El maestro Miguel Julio Rodríguez Villafañe, Presidente de la Asociación Iberoamericana de Derecho de la Información y de la Comunicación de Argentina.

Bienvenido a nuestro país. Y Daniel Korn, Director de Relaciones Internacionales de Microsoft Latinoamérica. Bienvenido. La identidad se constituye como una de las características y datos que nos dotan de individualidad. Por ejemplo, nuestro nombre, nuestra firma, nuestro correo electrónico, fecha de nacimiento, también documentos como la CURP o el RFC. Incluso la información biométrica, como nuestras huellas digitales, el escaneo de retina e iris, los rasgos faciales, entre otros datos que hacen identificable a una persona. Esta información tiene un valor intrínseco, por lo que su protección se ha reconocido a nivel internacional como un derecho humano. Lo que es importante hoy en día, si bien los grandes avances tecnológicos, han traído ventajas a la vida en sociedad, como por ejemplo, facilitar la comunicación, agilizar el comercio, impulsar la socialización con personas de diversas partes del mundo y simplificar el pago de impuestos entre otras posibilidades. También es cierto que al usar estas herramientas, las cuales requieren muchas veces de datos personales colocan a éstos en el centro de un flujo constante de información, lo que puede ponerlos en riesgo. Al respecto han proliferado las fuentes de fácil acceso y ricas en información. Un ejemplo de esto son las redes sociales, de las que es posible obtener datos sobre las personas, lo que eventualmente puede convertirse en una oportunidad para usarlos de manera ilegal, a efecto de suplantar la identidad del titular de los datos y obtener beneficios a su nombre. Ello puede generar daños directos a las víctimas desde económicos y legales, hasta las relaciones de su reputación y honra.

La Organización para la Cooperación y el Desarrollo Económicos ha identificado varias formas de llevar a cabo el robo. Una de ellas categorizada como tradicional, es la revisión de basura, a fin de obtener copias de cheques, estados de cuenta u otros registros que contengan información personal. También están aquellas formas que se realizan con el apoyo de las nuevas tecnologías, por ejemplo, la clonación de tarjetas de crédito o bien, mediante el uso de internet, los programas maliciosas para infiltrarse en una computadora y sustraer información. Sobre este último punto, un informe elaborado por la empresa Alquir, representa a Microsoft, indica que el segundo semestre de 2015, se detectó que en México el 22.2 por ciento de equipos de cómputo tenían presencia de algún tipo de programa malicioso, lo que colocó a nuestro país en el tercer lugar a nivel internacional, y esto cobra mayor visibilidad si se considera que hay poco más de 46 millones de usuarios en internet, quienes en su mayoría no conocen las políticas de privacidad de los sitios de internet que visitan. Si bien es cierto las cifras anteriores muestran un panorama amplio en cuanto a las posibilidades que existen de que se presenten casos de robo de identidad, también es que el riesgo no radica sólo en los individuos y en sus computadoras, sino también en las grandes empresas e instituciones que recopilan y almacenan enormes cantidades de información de clientes y usuarios, los cuales pueden ser blanco de ataques orientados a robar datos para fines de lucro ilícito. Para dimensionar lo anterior, basta señalar dos ejemplos del sector público. El Instituto Nacional Electoral maneja más de 85 millones de registros de datos personales. El IMSS y el ISSSTE alrededor de 73 millones de derechohabientes, mientras que en el ámbito privado, al cierre de 2014 se reportaban más de 105 millones de telefonía móvil, las cuales se vinculan a los datos personales de sus usuarios. De igual manera, es relevante mencionar que de acuerdo con datos de la Policía Federal, concretamente del Centro Nacional de Respuesta a Incidentes Cibernéticos, en diciembre de 2012 a enero de 2015, se presentaron más de 59 mil incidentes relacionados con ataques

cibernéticos, cuyas principales afectaciones fueron la suplantación y robo de identidad, 68 por ciento; fraude cibernético, 17 por ciento y ataques a sitios web, 15 por ciento. Ante panoramas como el descrito es clara la necesidad de generar mayor consciencia en torno al adecuado manejo de los datos personales y su protección, tanto en el ámbito individual como institucional, sin importar si este se da en forma física o tecnológica. Por ello el INAI puso a disposición de la ciudadanía una guía para prevenir el robo de identidad en el cual se detallan recomendaciones para evitar ser víctimas de este delito, detectarlo y saber qué hacer en caso de haber sido víctimas de esta práctica ilegal. Cabe mencionar que la guía puede ser obtenida sin costo alguno en nuestro respectivo sitio de internet. Adicional a este esfuerzo espacios como el que hoy nos reúne permite poner a discusión los elementos necesarios para comprender de mejor manera la usurpación de la identidad y por ende lograr condiciones más óptimas para prevenirla y combatirla. Sin más daré paso a la exposición de nuestros especialistas que nos acompañan el día de hoy. En principio me voy a permitir hacer una muy breve síntesis del licenciado Mario Alberto Di Constanzo. Es Presidente de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros, cargo que desempeña desde 2013; estudió Economía en el Instituto Tecnológico Autónomo de México; fue funcionario público en la Secretarías de Hacienda y Crédito Público, de Relaciones Exteriores y de Turismo, así como Lotería Nacional; en la Cámara de Diputados fue asesor del grupo parlamentario del PRD, de la Comisión de Vigilancia y de la Comisión de Hacienda en diversas legislaturas. En el 2000 fue designado Secretario Técnico de la Comisión Legislativa para Investigar el Rescate Bancario en México y fue

Diputado Federal y formó parte de las comisiones de Hacienda y Crédito Público. Muchas gracias licenciado por acompañarnos. Lic. Mario Alberto Di Constanzo Armenta: Muy buenos días a todos. Quiero agradecer a los organizadores de este evento, al INAI, a la comisionada, al comisionado que también hemos trabajado, la invitación a hablar de este importante tema. ¿Por qué es importante? Bueno, ya han definido qué es lo que son los Datos Personales. Para la CONDUSEF cuando existe este delito, porque es un delito, que consiste cuando una persona obtiene de manera indebida los Datos Personales de otra persona y los utiliza para hacer operaciones financieras, los puede utilizar para muchas cosas y la CONDUSEF se ha percatado a través de diversos estudios, análisis y seguimiento que venimos haciendo fundamentalmente desde finales de 2013, principios de 2014, que esta usurpación de identidad para llevar a cabo operaciones financieras ha venido creciendo a través del tiempo. Nada más para ubicarnos, en 2011, en el primer semestre de 2011 las reclamaciones totales a la banca que generaron un impacto monetario fueron 1.9 millones de reclamaciones. Aquellas que pudieron haber tenido su origen en un posible fraude, que le llamamos fraude al robo o extravío de una tarjeta de crédito, a la clonación de la banda magnética, al robo de identidad ascendieron a 1.2 millones. Las relacionadas directamente con el robo de identidad fueron cuatro mil 564. Para el primer semestre de 2015 estas reclamaciones relacionadas con el robo de identidad de manera directa ya sumaban 28 mil 258, y muy probablemente al cerrar 2015, es decir, a lo largo de 2015 las reclamaciones relacionadas directamente con un posible robo de identidad superarán las 50 mil reclamaciones.

Ahora bien, ¿cómo distingue la CONDUSEF o cómo llega a estas cifras? Es importante precisarlo. Hay causas por las que se quejan los usuarios que van directamente relacionadas con este delito. Un ejemplo de esto es la contratación de un producto que no reconoce el usuario. Si de repente nos aparece ahí un crédito simple, una tarjeta de crédito, un seguro, un producto financiero que no reconocemos y que no recordamos, incluso, haber contratado, pues esto es algo que en la CONDUSEF enciende unos focos amarillos ¿por qué? Porque pudieron haber contratado, obtenido un producto robando la identidad del usuario. Ya lo decía la Comisionada, que existen bandas o delincuentes revisando hasta en la basura de las personas si no rompimos bien una tarjeta de crédito, si tiramos el talonario de la chequera, cualquier cosa que sirva para robar la identidad. En la mayoría de los casos los ladrones de identidad roban la información de mil maneras, todas ellas engañando, en este caso, al usuario de servicios financieros. Puede ser desde las técnicas relacionadas con el llamado phishing” que es lanzar una serie de correos electrónicos muchas veces, y ya nos lo ampliará el Comisionado de la Policía Cibernética. Desde IP’s, incluso fuera del país, aprovechando una circunstancia especial en ese momento. Tocamos madera todos, pero el fin de semana estuvo circulando una de Banamex, que decía que teníamos detenida una transferencia de 140 mil pesos. Si alguien no tiene cuenta en Banamex y le llega este correo no se preocupa. Pero si de casualidad alguien tiene cuenta en Banamex, que es uno de los bancos más grandes del país, pues se va a preocupar. Lo ligan y le piden que entren a una página de internet, que es una página “feik”, y el usuario empieza a dar todos sus datos sus datos personales. Esa es una modalidad. Esta la modalidad de las llamadas telefónicas, en general varias maneras de robar la identidad.

Estas denuncias que si bien es cierto alguien podría decir, 28 mil denuncias dentro de 1.6 millones de quejas, por un posible fraude, pues a lo mejor no pinta. Lo que nos llama la atención es el tremendo crecimiento o el vertiginoso crecimiento que se ha dado durante los últimos años, o particularmente durante el último año. Ahora ¿qué hemos venido haciendo en CONDUSEF, cuando hemos visto crecer este tipo de quejas? El año pasado emitimos una serie de recomendaciones a través de la creación de un micrositio, a través de la emisión de un tríptico de qué podemos hacer para prevenir el robo de identidad y qué debemos hacer en el caso de que hayamos sido víctimas de un robo de identidad. Dentro de las recomendaciones principales, porque también es cierto que en este caso los productos financieros, la Banca, han emigrado más hacia el uso de la tecnología, la Banca remota, la Banca por Internet, qué debemos de cuidar. Hay personas que todavía realizan operaciones de Banca por Internet, desde un café internet, exponiendo sus claves, sus NIP’s, sus datos personales. Eso es lo que no debemos hacer. Debemos de tener NIP’s no tan simples, muchas veces ponemos el nombre de nuestro hijo, el año en que nacimos, etcétera, claves que son fáciles. Debemos de cambiar periódicamente nuestros NIP’s, debemos de evitar tirar estados de cuenta, los tenemos que destruir, es decir, se han tomado una serie de medidas y un protocolo que se ha diseñado en CONDUSEF para evitar este robo de identidad. ¿Cuál es la mejor manera en que un usuario en este momento puede prevenir este delito o monitorear? Debemos de verificar periódicamente nuestros estados de cuenta, nuestras operaciones bancarias y nuestro buró de crédito.

El buró de crédito es el mecanismo hoy más eficiente para detectar a tiempo un posible robo de identidad. Si alguien solicita su buró de crédito, que no es anuncio, pero en la CONDUSEF se otorga de manera gratuita y las veces que se solicite, y se da cuenta que tiene productos no reconocidos, créditos que no se han solicitado, pues lo más probable es que haya sido víctima de un robo de identidad. Esto le va a permitir conocer esta situación y llevar a cabo las acciones conducentes. Es un delito que requiere una denuncia, a pesar de que no existe una legislación federal, sino que existen algunas legislaciones locales, por ejemplo, el robo de identidad solamente está tipificado en el Estado de México y en el Distrito Federal; en Tabasco existe la utilización de documentos apócrifos; en Colima existe la usurpación de identidad, pero un delito federal o una legislación federal que clarifique que establezca el robo de identidad, no lo existe, por eso hace mucho más complicado, muchas veces, los procesos de conciliación, los procesos de aclaración de este tipo de fraudes sobre los usuarios de servicios financieros. Por tanto, al día de hoy la mejor manera de prevenir este delito está en manos del usuario de servicios financieros, tomando esta serie de prevenciones y de precauciones. Son delitos que al mes de junio, de acuerdo con los reportes de la CONDUSEF han ocasionado daños a los usuarios de servicios financieros por más de 150 millones de pesos, que los procesos de conciliación si bien es cierto, que en la mayoría de los casos son exitosos, en cuanto a la defensa del usuario, también es cierto que son procesos muy largos, son molestos para el usuario porque implica atender conciliaciones, implica atender reuniones, implica denunciar hechos que lo hacen perder tiempo valioso para el usuario, distraerlo de sus actividades cotidianas y también decirlo, son procesos que estresan al usuario porque van directamente sobre su bolsillo. Creo que a nadie le gusta despertar un día y saber que tiene siete créditos de auto que él no ha solicitado, y que muchas veces estos créditos se obtienen con identificaciones oficiales que han sido

alteradas, que han sido suplantadas o información que le han despojado o de la que ha sido despojado a través de técnicas cibernéticas, o incluso de llamadas telefónicas, y se ve esto a todos los niveles. En CONDUSEF hemos tenido muchos casos de éstos. Hemos tenido casos, no solamente que relacionan directamente a las entidades financieras. En el mes de noviembre, por ejemplo, tuvimos un caso de autos que se anunciaban en esta página web de Mercado libre, se anunciaba un carro muy bonito, muy barato, hablaba la persona, no contestaban, se ponían en contacto con la persona, le hacían una serie de cuestionamientos, le pedían casi casi en garantía que diera algunos números de su tarjeta de crédito. Esta persona los daba, al final les pedían que transfiriera un SPEI, a nombre de una empresa de reconocido prestigio, la persona se iba engañada porque creía que el SPEI se estaba transfiriendo a esta empresa de reconocido prestigio y, todos sabemos, o más bien, lo que esta persona no sabía es que para un SPEI se guían por el número de cuenta, no por el nombre del beneficiario. Entonces, cuando esta persona hacía la transferencia, iba a la empresa y le decían, “pues aquí no estamos vendiendo nada”. Y ya lo habían despojado de sus números confidenciales de su tarjeta de crédito, del dinero para separar el pago y resulta que el carro no existió. Luego entonces es un delito, que si bien es cierto es un delito relativamente nuevo en el país, porque estas quejas en CONDUSEF no las habíamos observado o registrado en tal magnitud en años anteriores, sí es un delito que las cifras muestran su tasa de crecimiento. Ahora bien, esa es una expresión del robo de identidad. Existe otra que es cuando nos roban la identidad para abrir una cuenta de depósito o para abrir una cuenta de ahorro o para comprar un pagaré con rendimiento liquidado al vencimiento y el usuario no se entera. No se entera hasta que el Servicio de Administración Tributaria

le hace una auditoría y le pregunta: ¿Por qué no declaró equis número de cuenta y le finca un crédito fiscal? Es decir, el robo de identidad se traduce en la contratación de productos y servicios financieros, tanto en operaciones activas o pasivas, con las consecuencias para el usuario ya sea de deber, de deberle a alguna entidad financiera o de deberle al fisco. Por eso es que el propio Secretario de Hacienda ha anunciado que el próximo día 2 de febrero se firmarán estas bases de operación de cooperación entre los entes supervisores para evitar, limitar o reducir el robo de identidad. Creo sin temor a equivocarme que es un delito en el que para su prevención tenemos que participar autoridades, supervisores, las propias entidades financieras y los usuarios de servicios financieros. Si no hay esta colaboración entre estas tres partes, la detección, limitación y combate, es verdaderamente complicado. Las cifras ahí están, creo que son importantes, son alarmantes. Los productos en los que más se da este robo de identidad, es sobre todo tarjetas de crédito, créditos de auto, créditos simples y es un delito que exige muchas veces o que cometen muchas veces no una persona sola, son bandas de delincuentes. El año pasado emitimos un video en donde se muestra claramente cómo hacen los delincuentes para despojar a una persona de su tarjeta de débito, por ejemplo. Entra uno, dañan el cajero, se acerca una persona bien vestida y le dice: “Que su tarjeta está sucia. Que si se la presta para limpiarla”. Se la presta uno, se la limpia –por eso le decíamos tallado- y nos la cambia. Nos devuelve una tarjeta de débito que no es nuestra, la metemos al cajero, tecleamos nuestro NIP, hay otro cómplice atrás que ve el NIP y al final de la operación están afuera los dos delincuentes con nuestra tarjeta de débito y con nuestro NIP haciendo cualquier tipo de operaciones pudiendo incluso ir al banco para complementar o para solicitar sus datos, pide una revisión de datos, se

los entregan y somos despojados no solamente de nuestra tarjeta de débito, sino de nuestra dirección, teléfono, etcétera. Luego entonces, es importante señalar que las medidas de prevención no solamente las que ha difundido la CONDUSEF, sino las que difunde el IFAI y las que difunden las demás entidades gubernamentales es muy importante para todos los usuarios seguir estas medidas de prevención, difundirlas, no olvidarlas y estar muy atentos, recordar que los banco nunca nos pedirán o no nos pueden pedir información personal ni por teléfono, ni por internet. No hacer caso de estos correos. Si requerimos modificar algún dato de nuestras cuentas o algún dato de nuestras cuentas bancarias o financieras acudir a las sucursales. Muchas veces la mejor tecnología es la que sabemos utilizar. Muchas gracias. Comisionada Areli Cano Guadiana: Agradecemos mucho las consideraciones, reflexiones que nos deja el licenciado Mario Alberto Di Constanzo, que estos datos son de ocupación y preocupación también para tomar acciones preventivas, como correctivas cuando ya se ha combinado ésta o son víctimas las personas de este robo de identidad. Y algo que toca muy importante, me parece, es esta falta de regulación que existe a nivel federal, y que hay algunos estados que ya lo regulan, pero inclusive con diferente nombre, y luego tienen sus respectivas modalidades esta tipificación de delito. Necesaria la colaboración institucional que sugiere, que propone, dada todas las instancias que tenemos algo que ver con la protección de datos, con la vigilancia sobre instituciones financieras, etcétera. Entonces creo que son importantes estas reflexiones que nos deja y trabajaremos de parte del INAI con colaborar siempre en este asesoramiento de protección de datos, y de manera preventiva.

Enseguida daremos el uso de la voz al doctor Ciro Humberto Ortiz Estrada, Comisario General de la División Científica de la Policía Federal. Él es doctor y maestro en Ciencias de Ingeniería Química. En el sector académico se ha desempeñado en diversas funciones en instituciones como la Universidad Iberoamericana, en el Instituto Politécnico Nacional, la Escuela Superior de Ingeniería química e Industrias extractivas y el Instituto Mexicano del Petróleo, por mencionar algunas. Desde 2006 es miembro del Sistema Nacional de Investigadores. Bienvenido doctor Ciro Humberto. Muchas gracias. Comisario Ciro Humberto Ortiz Estrada: Buen día a todos. A nombre del Comisionado Nacional de Seguridad, el maestro Renato Sales Heredia; de nuestro Comisionado General de la Policía Federal, el maestro Enrique Francisco Galindo Ceballos, por mi conducto agradece al INAI la invitación que nos han hecho, Comisionada, para participar y compartir con ustedes lo que ha realizado la Policía Federal referente en especial a los ciberdelitos, y en particular a la suplantación de identidad. Quisiera compartir con ustedes una serie de estadísticas que tenemos a partir de esta administración, diciembre de 2012 a diciembre de 2015. Algunas recomendaciones, acciones que realizan la Policía Federal, recomendaciones y algunas reflexiones. La intención es invitar al cuestionamiento por parte del público, que agradezco, que se encuentran aquí presentes. La primera parte que quiero exponerles es cuando queremos ver o contextualizar el riesgo que implica el uso del Internet en términos responsables, tenemos que ver la magnitud en la que nos encontramos actualmente. En México somos 53.9 millones de cibernautas, esto es estadística de la Asociación Mexicana de Internet, de los cuales el 61 por ciento de

los adultos ha sido víctima de algún tipo de acción ciberdelincuencial o alguna conducta antisocial. El licenciado Mario Di Constanzo comenta que en muchas de estas acciones delincuenciales en el Internet, no están tipificadas; por lo tanto se podrían señalar como conductas antisociales, por la falta de la tipificación. El 84 por ciento utiliza el Internet en el hogar, actual, todavía se utiliza el hogar como parte del sitio de uso del internet; seis horas prácticamente un usuario se la pasa navegando o utilizando los medios, servicios que ofrece el Internet y entre ellos los tres primeros usos que se le da al Internet es redes sociales, por primera ocasión las redes sociales, la número uno, el correo electrónico y la búsqueda de información. Nueve de cada 10 usuarios utilizan las redes sociales, 10 mil millones de dólares de comercio electrónico a nivel nacional, 30 millones de usuarios acceden a la banca en línea, y la tendencia es que cada vez más utilizan los servicios, como el comercio electrónico o la banca en línea, a través de las redes sociales. Es una forma que los proveedores de los servicios le dan al cliente para estar más cercano a él. Estos son los riesgos en la ciberseguridad, como consecuencia de lo que acabamos de observar, es en el caso de la ciudadanía, es el robo de identidad y de la información, como lo hemos comentado, tema justamente de esta reunión; fraudes electrónicos, robo a usuario en banca en línea a través de suplantación de páginas web, phishing, como se conoce. En el caso de los sectores económicos y productivos, suplantación de identidad también, sustracción de base de datos de clientes, secuestro de sistemas informáticos, robo de secretos industriales y ataques cibernéticos en general. Estas son las estadísticas que la policía federal a través de la división científica, de su unidad cibernética, conocida como la policía federal cibernética, hemos atendido durante esta presente Administración,

prácticamente 37 mil denuncias ciudadanas, de las cuales en su distribución el 52 por ciento es delitos por medios electrónicos, principalmente fraude electrónico y amenazas electrónicas. En el caso de delitos contra la seguridad informática, el 42 por ciento es malware phishing, en sus principales afectaciones y contra menores, el 6.6 por ciento principalmente pornografía infantil y amenazas a menores. En la Policía Federal la afectación al menor de edad es una de las estrategias más importantes, y por ello tenemos un Centro Especializado en Atención a Delitos Contra Menores, entre ellos básicamente pornografía infantil o trata de personas para fines de explotación sexual. En incidentes cibernéticos, a través del Centro Especializado en Respuesta de Incidentes Cibernéticos, conocido como el CERT MX, atendimos casi 92 mil incidentes cibernéticos, de los cuales el principal es Código malicioso, virus, troyanos, etcétera, y el segundo es phishing, que es la suplantación de identidad. Uno diría, de estos ataques cibernéticos, qué relación guardan con la afectación a las empresas o al ciudadano en cuestión del robo de información. Mucho de este tipo de ataques buscan a través de vulnerar los sistemas, es tomar ventaja de la información que de ahí se puede sustraer. Entonces, prácticamente cada uno de estos delitos, incidentes cibernéticos, está asociado de alguna manera al robo de información o de identidad, en sus diferentes modalidades de forma de operar de los ciberdelincuentes. En el caso de las acciones de la Policía Federal hemos desactivado 9 mil 620 sitios apócrifos y eso ha mitigado en un estimado, dos mil millones de pesos que hemos reducido al bajar los sitios de internet. Cabe señalar que la Policía Federal no tiene la atribución de bajar los sitios de internet, como podría interpretarse. Tenemos la atribución de

la denuncia, por ser una autoridad de Seguridad Pública y también la autoridad al proveedor del servicio del sitio, que se baje el sitio porque está afectando al ciudadano o a las empresas. Y obviamente los medios probatorios para hacerlo. Y realizamos otras acciones de investigación adicionales a la baja o desactivación del sitio. La estrategia que estaba usando el Gobierno Federal para atender los delitos cibernéticos, básicamente están enfocados en una serie de acciones de manera muy sintética. Uno es la detección y atención oportuna de los delitos cibernéticos. Obviamente está asociado con las atenciones ciudadanas que acabo de reportar. El esquema de seguridad cibernética para el desarrollo de la economía digital. Sabemos que cada día estamos utilizando los medios electrónicos para realizar actividades lucrativas o de incentivar la economía a través del uso de este tipo de medios que facilitan mucho el acercamiento con el ciudadano. Lo he comentado en otros foros, es una regla desafortunadamente, donde va el ciudadano va el delincuente, donde va el dinero va el delincuente, y si el ciudadano se encuentra en los medios electrónicos, en las redes sociales, en la computadora, en el celular, en los diferentes dispositivos móviles y transacciona ahí o utiliza medios de servicios a través de los aplicativos, ahí va a estar el ciberdelincuente tratando de vulnerar o tomando ventajas de los sistemas tecnológicos o de las debilidades de la propia ciudadanía al no tomar acciones preventivas. Tenemos un fortalecimiento de la seguridad en la infraestructura tecnológica del país, una política de Estado en materia de seguridad cibernética. Estamos promoviendo la investigación científica y tecnológica en temas cibernéticos, en temas informáticos. Firmamos un convenio de colaboración con el Consejo Nacional de Ciencia y Tecnología para el tema e impulsar la cultura de la prevención, el uso responsable de internet, esencialmente entre los

menores de edad y los jóvenes que son los que más dinamismo se encuentra en las redes sociales. Y si desde ahí nosotros generamos una cultura de prevención estamos generando una política futura de que ellos cuando sean adultos tengan justamente esa cultura responsable del uso de los medios electrónicos. Estos son algunos de los errores comunes que cometemos los ciudadanos o las instituciones en cuanto a vulnerar nosotros el proveer de información a diferentes medios electrónicos. Dejar abiertas las sesiones, uso de contraseñas muy débiles, a veces inclusive no cambiamos la contraseña, usamos la que viene de marca 1, 2, 3, 4, 5, 6, pasword que son los comunes o se cambian por contraseñas muy débiles, el nombre del hijo o la fecha de nacimiento, no se utilizan caracteres alfanuméricos que fortalecen justamente y dificultan el robo de esta información. Preguntas de seguridad muy fáciles de adivinar, nula configuración en la privacidad, uso de redes inalámbricas no cifradas. ¿Cuántos de nosotros utilizamos las redes Wi Fi gratuitas o las redes Wi Fi del lugar donde se encuentra uno en un restaurant, en un hotel e inmediatamente suministramos información, nos conectamos para suministrar información básicamente o comunicarnos y una navegación de sitios web apócrifos que justamente es una de las grandes debilidades que tenemos? La mayoría de la gente piensa que cuando quiere tener acceso a su banco o a un servicio o comercio electrónico, simplemente uno confía en el buscador de su predilección, pone el nombre de lo que anda uno buscando y se piensa –espero que me equivoque- pero se piensa que la primera página que aparece en el buscador es el sitio oficial. No necesariamente y no se tiene la previsión de checar la dirección llamada la URL que se encuentra en la parte superior y si se tiene un medio de protección que es el HTTP final S que es el que da un poco la certificación de que el sitio es original. Y además tampoco se confirma vía telefónica o por otro medio, si están ofreciendo esos servicios la empresa a la cual están ustedes accediendo a ese servicio.

Quizá la mayoría de los riesgos está en nosotros mismos. Es un cuestionamiento. En robo de en tendencias identificadas, existe el acceso y apropiación no autorizada de información, creación de cuentas o perfiles apócrifos, falsos, sustracción de datos contenidos en los dispositivos electrónicos, obtención y utilización de nombres de usuarios y contraseñas y uso de códigos maliciosos, es parte de esas tendencias identificadas. ¿Para qué? Básicamente para vulnerar la privacidad de las personas, atentar contra la reputación de las personas también, comercializar los datos personales y el uso indebido de la identidad digital. Todo eso con fines de tomar una ventaja, puede ser una acción fraudulenta, puede ser una extorsión, puede ser una amenaza o puede ser con fines de obtener imágenes, fotografías de la personas para después ser comercializadas o estar sujeta a una acción de extorsión o una acción indebida. Esto comúnmente pasa con los menores de edad desafortunadamente. Algunas medidas de prevención que la Policía Federal ha estado en diversos boletines anunciando, a veces los boletines los dirigimos hacia el ciudadano que utiliza el comercio electrónico, la banca en línea, a veces lo dirigimos a los menores de edad cuando vemos que ya comienzan a incrementarse algunos riesgos, constantemente lo estamos haciendo. Ahorita le comentaba yo a la Comisionada que sería importante que todas instituciones en una alianza estratégica de prevención homologáramos, inclusive, los mensajes que queremos darles al ciudadano y a las empresas. Básicamente es utilizar sistemas de protección antispam, antivirus actualizados. A veces se bajan los gratuitos y en los gratuitos vienen códigos maliciosos. Remitir correos de contactos conocidos a través de copias ocultas, para que no se generen cadenas de spam, luego se obtiene de ahí información, spam, si se tienen correos electrónicos se comienzan a mandar información a través de spam.

Recibir correos electrónicos desconocidos, de dudosa procedencia, eso es común que sucede, que a veces la bandeja de entrada no los manda a spam, sino están ahí activos y los abrimos y a veces hay asociado al correo un archivo ejecutable, que es motivo de infectar a la computadora para robar información. Verificar la dirección de correo, que había yo comentado, y procurar contraseñas complicadas, normalmente alfanuméricas y constantemente cambiarlas y no utilizar la misma contraseña para todos los servicios que ustedes están utilizando como redes sociales, correo electrónico, etcétera. Usualmente usamos la misma contraseña. Obviamente lo entendemos usar la misma contraseña porque difícilmente puede uno aprenderse de memoria, de entrada ya debemos de aprender de memoria mucha información, y ahora contraseñas, pues eso dificulta mucho todo eso. Si va a realizar transacciones bancarias procure ingresar a la página del sistema bancario. Cerrar las sesiones de las cuentas electrónicas y redes sociales, comúnmente no se cierran las sesiones, siempre están abiertas. No publicar información, menos las contraseñas, no revelen nombre, no utilice bolsas de trabajo o de acceso, que son de poca confianza. Por mi parte es todo, y quisiera nada más puntualizar lo que el licenciado Mario Di Constanzo comenta. Los sitios apócrifos es uno de los modos operandi de la delincuencia, de los ciberdelincuentes, suplantando la identidad de empresas, instituciones bancarias, con fines de fraude o con fines de robo de información y efectivamente ponen una página que es muy similar a la original para la venta de maquinaria, de autos y la persona se engancha, por eso se llama phising, porque es más barato el ofrecimiento de lo que hay en el mercado; pensando que es una gran oportunidad y al final es una acción fraudulenta. Muchas gracias por estar aquí. Comisionada Areli Cano Guadiana: Agradecemos las palabras del Comisionado Ortiz Estrada.

Realmente siempre nos ilustran estos temas de estadística, porque nos hacen dimensionar la complejidad del problema, pero también vienen acompañados con la política del gobierno federal a través de acciones preventivas. Enseguida daremos el uso de la voz al doctor Miguel Julio Rodríguez Villafañe. Él es doctor en derecho y ciencias sociales de la Universidad Nacional de Córdova. Es Presidente de la Asociación Iberoamericana de Derecho de la Información y de la Comunicación en Argentina, y profesor y conferencista en la materia. Como abogado litigante, encabezó varios casos estratégicos en Argentina, logrando que la Corte Suprema de ese país, declarara inconstitucional diversas disposiciones de la Ley de Radiodifusión y también la de algunas resoluciones del Comité Federal de Radiodifusión. Asimismo, consiguió el reconocimiento judicial del derecho de las televidentes a defender el acceso a la televisión como un derecho humano progresivo. Doctor Julio Rodríguez, bienvenido. Gracias. Dr. Miguel Julio Rodríguez Villafañe: Antes que nada, es un privilegio estar acá en México y en esta invitación tan generosa del INAI, en estos temas que son foros y digamos focos de atención del mundo y de América Latina particularmente. Quisiera trabajar el tema jugando con otras perspectivas, digamos, dado el enriquecimiento que se le viene dando al tema. El primer problema son datos de la realidad. Veo que aquí está el representante de Microsoft, causalmente Bill Gate ha dicho que vivimos la cultura de la no privacidad. O sea, nosotros partimos desde el supuesto de defender la privacidad y en realidad estamos viviendo la cultura de la no privacidad.

Quiere decir que el primer problema que tenemos, es un problema cultural, que está por sobre los mecanismos que luego pudiéramos ir analizando. Este tema tiene que ver con lo que se suele llamar también el pensamiento complejo, en donde es necesario que las sociedades y las personas y los pueblos y los estados, todos esos sujetos que son fundamentales, nos empecemos a pensar ante los problemas que nos traen las nuevas tecnologías, y cómo eso va a estar acorde con la lógica de derechos humanos que tenemos que proteger. Para el colmo, con particularidad de que son muy novedosas, que son propias de este siglo, que todavía no tiene nombre. Sabemos que somos postmodernismo, pero todavía no sabemos qué somos y en esa lógica hay dos componentes novedosos de la realidad, que lo dan particularmente la tecnología, que es el cambio como un contenido de la realidad. O sea, generalmente el cambio era un accidente de la realidad, porque había un “amesetamiento”, y en algún momento había un cambio, de lo que fuera: entro a la universidad, me caso, hago cosas por el estilo. Pero en realidad había una lógica de amesetamiento y se podía diferenciar de lo que sería lo cotidiano de lo que cambia. En cambio, nosotros estamos viviendo un cambio, precisamente en lo tecnológico constante, pero además a altísima velocidad, y eso nos hace que si no nos empezamos a pensar a veces, cuando llegamos con soluciones son tardías, o sea terminamos arreglando relojes a cuerda cuando los relojes son a cuarzo y después serán atómicos y tantas otras cosas. Ese punto de vista, creo que no solamente tenemos que estar alertas, sino abiertos a ir pensando las consecuencias naturales que nos va dando la tecnología. Doy un ejemplo. Tenemos toda una generación formado en lo escueto, con la lógica del mensaje telefónico de 16 caracteres o los twitt de 14

caracteres. Todo lo que implique leer más de 16 caracteres o 14 caracteres no entra en la lógica de la nueva generación. Detrás de eso vienen consecuencias graves en lo jurídico, porque alguna vez en algunas universidades que me ha tocado dar conferencia en América Latina, especialmente a jóvenes, les pido que levanten la mano quienes usa un sistema gratuito de internet por ejemplo Yahoo, Gmail o Hotmail, etcétera. Prácticamente el 100 por ciento levanta la mano, y a la segunda pregunta que les hago, si alguna vez le ha ido las condiciones bajo las cuales asumen ese servicio y el 100 por ciento dice que nadie la leyó. Conclusión, ni si quiera saben a quién se están entregando, a quién se lo están entregando y cómo se lo están entregando. Por eso a veces resulta difícil, yo recién lo asentía al Comisario, realmente la ilustración me pareció acabada, pero por otro lado debemos de tener un público dispuesto a escuchar esa advertencia, leerlas. Este es el problema cultural que nosotros debemos de tener en cuenta que hay detrás de esto. Hay cosas muy interesantes que se están haciendo como recién decía el conferencista que inauguró el tema de Tratamiento automatizado de datos personales, algunos filtros, pero lo cierto es que cuando hablamos de datos personales, hablamos del uso de un derecho humano que es de la autodeterminación de los datos personales. Y aquí nos encontramos con esta cuestión cultural, de que en general el propio usuario el que a veces no adopta los recaudos, a veces aunque malo sea, porque le ofrecen un premio que nadie sabe si sí es cierto o si se lo van a dar, dan datos personales con mucha facilidad, Aún más, siempre digo que en internet cuando un producto es gratis, el verdadero producto es uno mismo. Y eso hay que tenerlo en cuenta, nadie da nada gratis y si lo da en algún lugar hasta el precio. Y el precio es nuestros datos.

Esto es un dato importante, porque el internet, gran parte de internet funciona con lógica de gratuidad. Y uno pregunta: ¿Y quién paga esto, salvo que el precio seamos nosotros? Fíjense que Hang Bun Chuk, este nombre tan difícil de pronunciar, es tan interesante, él trabaja al desnudo, sin ningún tipo de coacción, ni de prescripción. Subimos a la red todo tipo de datos de información sin saber a qué, ni qué, ni cuándo, ni en qué lugar se sabe de nosotros. Este descontrol representa una crisis de la libertad que se va de tomar y que hay que tomarla en serio en vista de la cantidad y el tipo de información que de forma voluntaria se lanza a las redes indiscriminadamente, el concepto de Protección de Datos se vuelve obsoleto. Fíjense, nos están casi adelantando que es una lucha imposible. Yo no creo que haya lucha imposible, pero debemos de tener en claro que acá nosotros estamos luchando con una mentalidad que tenemos que trabajar y que tenemos que revertir. Bien se decía acá, continuamente nosotros estamos recibiendo cookies, pero por ahí vienen y te dicen: Bueno si la cookie lo que hace es darte más velocidad e ingreso a determinados lados y con ese cebo en última instancia nos están sacando información personal importante. El otro problema es que también el ciudadano común lo ponen verdaderamente en crisis, porque en realidad después de que uno escucha todo lo que ha escuchado se da cuenta que desde una persona es muy difícil poder tener todos los controles sobre su información personal. Un ejemplo lo he tenido hace poco, en Estados Unidos con el caso de la Empresa Sony en diciembre de 2014, que con motivo de un ataque de hacker, teniendo en cuenta la película “La Loca Entrevista”, en

donde había problemas, aparentemente a Corea del Norte no le gustaba cómo era la película, etcétera. Pero yo quiero rescatar de eso que entre las cosas que robaron, robaron información personal de todos los empleados de Sony, o sea, esos empleos que no tenían nada que ver con la decisión de la empresa de sacar una película que pudiera ofender a Corea del Norte, etcétera. Sin embargo, quedaron víctimas de la posibilidad de que toda su información personal sea subida a la web, incluso los hackers en ese momento dijeron que una de las amenazas era que iban a subir toda la información a la web. Eso trae como consecuencia, yo me lo planteo a veces como profesional, como abogado, ¿cómo hago yo para garantizarle estrictamente a mi cliente el secreto profesional? Si bien tomo recaudos, pero no se me puede pedir a mí que tenga un sistema de bloqueos de altísima complejidad, pero aun así uno no sabe si está trabajando escritos en temas delicados. A mí me pasó una vez que vino un médico con un problema de que había colegas que estaban usando un medicamento de laboratorios internacionales sin consentimiento de los pacientes, incluso con un sistema de doble ciego, y apenas yo empecé a trabajar en esa denuncia, casualmente mi antivirus me decía que estaban tratando de entrar y que trataban de entrar a mi computadora a cada rato para averiguarme información. Hoy en día en realidad uno tiene que volver casi con lógica troglodita, yo le digo a muchos periodistas que asesoro, que cuando trabajan temas delicados directamente no lo trabajen on line, que lo suban a la computadora y después lo saquen en un “pen dain”, ni siquiera lo dejen en el disco duro. Fíjese lo que esto que ha beneficiado en algún aspecto se ha complejizado en otro, y en eso el ejemplo también lo tuvo Sony, que hasta que no tenía un sistema seguro podía manejarse con el soporte

papel para la información interna, porque no confiaban en su propio sistema de computación interna. A esto tenemos que sumarle lo que bien maneja el filósofo Zygmunt Bauman, lo que se llama la “Realidad líquida”. Esta realidad líquida, dice estamos viviendo un mundo en donde ya no hay cosas sólidas que uno pueda contener en algo que le da forma. Lo liquido toma la forma del envase que lo tiene, y acaso nosotros también tenemos que preguntarnos ¿qué identidad es la que defendemos? Porque hoy en día la realidad líquida hace que una persona en muchas situaciones, puede tener muchísimas identidades, identidad bancaria, identidad profesional, identidad social e incluso avatares o alias que también operan como identidad en determinados lugares. Uno se empieza a plantear ¿cuáles son las identidades que tenemos que defender? Tenemos que defender la identidad de avatar, que se usa en algunos sistemas de internet, los alias o las identidades respecto del ámbito que uno se maneja, el financiero, el social, etcétera. La particularidad es que vivimos un momento tan paradojal que hay un grupo que puede tener muchas identidades y otros directamente ni existen. Y esto vale para personas y pueblos, y eso también es grave. Esta persona y pueblo que ni siquiera pueden decir que les roban la identidad, porque directamente ni se la dan. Y lo estamos viendo en un mundo que rechaza inmigrantes de la peor forma. ¿Quiénes son los que van sobre el tren que pasa por México para Estados Unidos? ¿Quiénes son? Con la gravedad que se empieza a ser un marginado social en esas identidades. Pasa en muchos lugares en donde si uno no tiene tarjeta de crédito no le dan determinado servicio aunque lo pagara. Entonces uno dice: ¿cómo eso? La identidad la termina dando un banco, y si hay un banco que no me da, mi identidad social, la que me

da el Estado ni siquiera me sirve, porque automáticamente si no tengo tarjeta de crédito no acceso a servicio alguno. Y la otra paradoja es que al revés, si a su vez yo tengo una muy buena identidad financiera y el banco me tiene en muy bien conceptuado, soy el mejor blanco para ser víctima de la sustitución de identidad. Nadie va a sustituir en la entidad de una persona morosa, que ha tenido muchos problemas con los bancos. O sea, fíjese en la otra paradoja. Cuando uno tiene una identidad que se correspondería con la buena fe es la mejor identidad para ser sustraída respecto de otras identidades. Un problema central lo tenemos con los jóvenes, y particularmente en internet, porque ahora ellos que no son como gran parte de nosotros inmigrantes digitales, son nativos digitales; su vida es internet, todo es internet. Empiezan a tener otras presiones en las cuales si nos designan privacidad, no pertenecen al mundo, que es la base muchas veces de los bullying y de tantas otras cosas negativas y sabemos que hay, pero otro aspecto tiene que ver con la pertenencia social. Si ellos no tienen eso y resignan su privacidad, no existen. Miren, les cuento algunas cosas que son importantes tenerlas en cuenta. Cuando yo fui a sacar mi celular, la empresa del celular me da un escrito en donde yo me dirijo a la empresa, entre otras cosas dice que yo, en el caso de que Argentina cayera en una hecatombe, resignó la autoridad de los jueces, a los jueces de Nueva York, que a su vez no puedo usar ni el derecho a la lesión, ni al estado de necesidad, si cayera la moneda tenemos que pagar en dólares todo eso. Cuando llega el final, el único lugar para firmar era el mío. Y le digo: “Mire que hay contrato de adhesión pero por lo menos alguien pone la firma”.

Era una sevicia moral, porque decía abajo: “Si usted recibe la primera factura del celular, eso significa que nosotros hemos aceptado sus condiciones”. O sea, yo me autoimponía someterme a los Tribunales de Nueva York. Ahora el problema era que si yo no quería tener el celular de esa empresa, todas las empresas tenían el mismo sistema. Por lo tanto, o yo tenía celular y participaba del mundo tecnológico, o directamente no podía tener celular, que esas son cosas que también nosotros tenemos que controlar en base a las condiciones, bajo las cuales se obliga a las personas a aceptar determinado programa. En este momento usted saca el celular y para bajar algunas cosas y algunas prestaciones, le obliga a que digan su clave de Facebook o su clave de Gmail. O sea, usted necesariamente los lleva a que tengan que estar asociados a Facebook y a Gmail, para poder tener una prestación del celular por el cual usted paga. Esto Juliana Azans, lo significa muy bien, cuando dice que cada vez más la web tiene informaciones nuestras, tiene una forma tremenda, sin que nosotros realmente lo sepamos. Y acá empieza a haber otros temas que no son menores en el robo de identidad, que son los estereotipos que se están fijando. Esto lo digo yo y no comprometo al INAI, pero realmente es inaceptable que Donald Trump esté determinando la identidad del mexicano y latinoamericano como que necesariamente somos narcotraficantes y migrantes ilegales y delincuentes. Eso es una grave violación a la identidad de pueblos y personas. Y fíjense que esto no lo digo de coyuntura, ni me estoy postulando a ningún cargo público acá. La preocupación mía no es que Donald Trump diga eso, que por supuesto es para preocuparnos, la preocupación es que cuando más lo dice más aumenta en su intencionalidad de votos.

Esto está hablando de una enfermedad social, un Estado Unidos que le debe tanto a América Latina y a México, particularmente, que hacen cosas que ni ellos se animan a hacer para el bien común. Es inaceptable que nos impongan un estereotipo que necesariamente, hubo razones, esto viene directamente de Trump. Discúlpenme que me tome un minuto, pero esto hay que decirlo, esto no puede quedar así en una contestación que legítimamente ha hecho México por eso. Tenía que ser la sociedad, las cadenas sociales las que repudiemos esto, porque esto también tiene mucho que ver con otras identidades personales graves, que si uno es musulmán necesariamente es terrorista, o a veces que necesariamente la pobreza es un presupuesto dela delincuencia. Ni hablar cuando se discrimina a los gordos, porque se es gordo, o cuando los buscadores de internet se ocupan de seleccionar las páginas conforme a unos intereses que no están claros. Cuando está en juego intereses de grandes potencias o algunas empresas y uno pregunta sobre algún tema delicado, las primeras 60 o 70 páginas de las cuales nos dirigen, no son las que hablan mal de eso, cuando indudablemente a lo mejor hay miles que están hablando mal de ese proceder, de esa empresa, una empresa de agroquímicos, que nosotros sufrimos en Argentina, acá con las fumigaciones indiscriminadas, etcétera. Y muchos sectores que nos encuentran información necesaria. A su vez nos quieren trabajar una cultura del miedo, que desde el miedo se nos dice que es la única forma de resignar libertades de las personas en aras de supuestas protecciones de terrorismo, mafias y otras cosas. Lamentablemente estamos viviendo una sociedad de la vigilancia y el control usurpante, del cual no se habla con la firmeza que se tendría que hablar.

En su momento Julian Assange, había dicho claramente que en el caso de Google, a pesar de haber sido descubierta ofreciendo “pentabite” de datos personales a la comunidad de servicio de inteligencia de Estados Unidos, a través del programa Prince, no tuvo ningún tipo de réplica ni haber cambiado el concepto social de su accionar. Aún más, un programa en que la Agencia de Seguridad Nacional, NCA de Estados Unidos, tenía lo que se denominaba recopilación directamente de los proveedores de servicios de internet de Estados Unidos: Microsoft, Yahoo, Google, Facebook, Paitax, AOL, SKY, Youtube y Apple. Y agrega Assange, que es el fundador de Wikileaks, en importante participación de Google en la Agencia de Seguridad Nacional de Estados Unidos, explicó que Google actúa como un cebo para los usuarios mediante su servicio, a partir de ahí forma perfiles a partir de los cuales pueden predecir comportamientos con lo que se extrae una jugosa información de los ciudadanos. Creo que hoy más que nunca y en especial América Latina, tenemos que buscar autonomía en el manejo de esta tecnología, desarrollando contra fuegos, desarrollando redes y buscadores propios y encriptando la información necesaria para nuestras personas, nuestros pueblos y para con la verdad histórica. Creo que este es el desafío y ojalá de acá salgan inquietudes para que los datos personales, los datos de quienes se ignoran que ni siquiera tienen datos personales y de los pueblos sean respetados para el bien de todos. Muchas gracias. Comisionada Areli Cano Guadiana: Agradecemos mucho a don Julio Rodríguez estas reflexiones también. En seguida daré el uso de la voz al doctor Danie Korn. Es Director de Relaciones Institucionales de Microsoft Latinoamérica, encargado de los asuntos gubernamentales de Microsoft en 46 países

de la región; comenzó su carrera en el Grupo Global de Políticas de Propiedad Intelectual de esta empresa. Bienvenido Daniel. Dr. Daniel Korn: Buenos días a todos. Muchas gracias por esta honrosa invitación. Es siempre un placer regresar a México y más aun teniendo la oportunidad de saludad a la Comisionada Presidente del INAI, Ximena Puente de la Mora, al Comisionado Presidente del InfoDF, Mucio Israel Hernández Guerrero; a la Comisionada del INAI, Areli Cano Guadiana y a los distinguidos integrantes de este panel. Aprovecho para congratular al INAI y al InfoDF la organización de este importante evento en ocasión del Día Internacional de Protección de Datos Personales, especialmente en esta acogedora y bella sede del Museo Nacional de Antropología, reconocido como uno de los museos más bellos e importantes de todas las américas. Voy a dedicar estos minutos para hablar de quizás uno de los temas más importantes de nuestra era y de nuestra industria, la seguridad cibernética. De hecho, si miran la historia de la computación o la historia de todas las tecnologías de la información, comenzando desde cuándo empezamos a guardar, transmitir y comunicar datos, siempre hemos tenido ataques a la confianza. Con la llegada del correo vino la estafa por correo, con el telégrafo vino la estafa electrónica y ahora con el internet tenemos el crimen cibernético. Y cada vez que nos hemos enfrentado a esto nos hemos unido como individuos, compañías y gobiernos para responder y utilizar la misma tecnología para hacer frente al problema. Eso es precisamente lo que estamos haciendo con la seguridad cibernética.

Hoy voy a hablarles de la contribución de Microsoft, de la posición de Microsoft. Para empezar somos optimistas hacia el futuro sobre cómo la tecnología digital puede desempeñar un papel positivo en cada aspecto de la vida, en cada sector de la economía y para servir a la comunidad. No hay ningún aspecto de nuestra vida de cómo nos entretenemos, de cómo hacemos negocios, de cómo educamos a nuestros niños y niñas. No existe ninguna parte de nuestra economía, desde las ventas minoristas hasta el cuidado de la salud y hasta los temas de energía que no estén utilizando la tecnología digital hoy en día para impulsar la innovación y transformarse a sí mismos. Así que la tecnología digital se ha convertido en un aspecto fundamental no sólo de la industria de tecnología, sino de todas las industrias. Pero la gente no va a utilizar esta tecnología si no puede confiar en la tecnología, y por eso la confianza es para nosotros fundamental en nuestra misión de empoderar a todas las personas y organizaciones en el planeta a hacer más y lograr más. En este sentido son cuatro los pilares de nuestro compromiso para asegurar que nuestros clientes puedan confiar en la tecnología digital que usan. El primer pilar es la privacidad. Aseguraremos de que sus datos sean privados y estén bajo su control. El segundo es el cumplimiento. Manejaremos sus datos de acuerdo a las leyes y normas aplicables. En tercero es la transparencia. Seremos transparentes respecto a la colección y uso de datos. Y el cuarto pilar, es la seguridad. Aseguraremos que sus actos estén seguros. Hoy quiero enfocarme en seguridad y ciberseguridad para un mundo cada vez más conectado, con computación cada vez ubicua. Por ende por un mundo donde los ataques cibernéticos pueden venir de

cualquier lugar y en cualquier momento. Con atacantes que son cada vez más sofisticados y organizados. De hecho el año 2015 ha sido un año duro acerca de la ciberseguridad. Con sólo ocho de los ataques más grandes a la seguridad de la información 160 millones de registros se han visto comprometidos. De hecho uno de los mayores retos que enfrentamos es el tiempo que toma detectar la intrusión. En promedio pasan algo así como 229 días entre el momento en que ha ocurrido una intrusión y el momento en que lo sabes y pueden comenzar a responder. El costo de esto en términos de pérdida de productividad y crecimiento se estima en alrededor de tres trillones de dólares, en una economía global, cuyo desafío es el crecimiento, y esto representa un problema colectivo de todos nosotros. Así que ahora la pregunta es ¿qué hace Microsoft como respuesta a este desafío? ¿Cómo lo enfrentamos? Creemos que el punto de partida es tener una postura permanente, frente a la seguridad operacional. Como dice Satya Nadella, el CIO de Microsoft es como ir al gimnasio cada mañana. Hay que estar preparado cada hora del día y eso significa que hay que ejercitar esa postura de seguridad operacional en forma continua. El marco de proteger, detectar y responder, ha estado con nosotros por muchos años. De hecho, hace 14 años, Bill Gates escribió sobre la computación confiable como una prioridad para Microsoft. Ahora con este ambiente en constante cambio, actualizamos este marco constantemente. Hoy en día no se trata solamente del código y del modelo de amenazas y de las pruebas, sino de la postura frente a la seguridad operacional en este ambiente en constante evolución, en este ambiente que está constantemente bajo ataque.

Ahora invertimos más de 1 mil millones de dólares cada año en iniciativas de seguridad, incluso adquisiciones, porque la postura de seguridad operacional es integral en nuestros productos y servicios. Ahora no sólo protegemos los terminales de computación, ahora es todo, son las terminales de computación, son las aplicaciones que pueden estar al interior de sus instalaciones, son los servicios en nube que está utilizando, están todos los censores, y en la infraestructura del centro de datos. Así que todo, desde los censores hasta el centro de datos, forma parte de su entorno que hay que proteger. Cuando hablamos de detección ya no se trata solamente, por ejemplo, de esperar detectar un ataque y luego pensar en una respuesta e implementar un remedio. Ahora nos hemos movido cada vez más a detectar con base en el comportamiento de un vector de ataque. Es un poco como cuando recibe una llamada para confirmar transacciones a sus tarjetas de crédito, detectando un comportamiento anormal, piensan que algo pudiera estar pasando sin su conocimiento. Es la misma idea, pero aplicada a la identidad y la seguridad de la información. Y a la hora de responder, ésta es quizás el área que más se ha transformado en términos de la manera como respondemos. Como nuevo fundamento estamos usando la transformación del software como servicio; pensamos en Windows como un servicio, de manera que podamos asegurar la compatibilidad y la seguridad de las terminales de Windows en forma continua. Office Fix It Five, como un servicio, significa que ya no se trata solamente de entregarle las herramientas al cliente, sino que se trata también de asegurar la seguridad de sus datos como inquilino de un servicio.

Y no se limita sólo a los servicios que ofrecemos nosotros; de hecho, el conocimiento que obtenemos es algo que compartimos ampliamente con la industria y con los gobiernos y con los clientes, porque todos tenemos que juntarnos para compartir esto. Así que el enfoque que hemos tomado, se compone de tres elementos nuevos: el primero es la plataforma per sé; el segundo es la inteligencia; y el tercero es de asociarse ampliamente. Empecemos por nuestra plataforma de tecnologías para proteger contra el robo de identidad. Para proteger contra ataques relacionados a los password o contraseñas, que son el primer foco de amenaza en relación al robo de identidad, ya que los password débiles son una causa muy común de intercepción de datos. Con Windows stand, ya se evita la necesidad de utilizar un password, utilizando en su lugar el reconocimiento facial, de la voz o de una huella digital. Simplemente si quien está frente al equipo no es su dueño, el equipo no se inicia. Microsoft está trabajando para habilitar esta tecnología como un estándar de la industria. Estamos trabajando con el apoyo de otras compañías como American Express e Intel, para poder tener todas las plataformas con este tipo de tecnología en el futuro. En este sentido, habrán visto la noticia de hace unos días, que los nuevos teléfonos móviles Lumia 950 que corren Windows 10 móvil, ya son capaces de escanear el iris del ojo del usuario como método de autenticación, en lugar de un password o un NIP. Como dijo el jefe de Seguridad Informática de Microsoft, Bred Arsenot: “MI meta dentro de la compañía es terminar con los passwords”.

Para proteger contra pérdidas accidentales o intencionales de datos, lo que para las empresas que permiten el uso de dispositivos y aplicaciones personales en el trabajo, es un tema de seguridad informática muy grande. Habilitamos por medio de un producto que se llama entune, el acceso condicional de tales dispositivos a los sistemas de la empresa. Con este acceso condicional, la empresa puede controlar el flujo de correos electrónicos y otros archivos corporativos que estén en cualquier dispositivo, sea Windows, Appel o Android, de esa manera se evita que cualquier dato sea sustraído de forma no autorizada. Y para proteger contra los ataques provenientes del malware, es decir software que causa daño intencionalmente, Windows defender provee protección preinstalada a los usuarios de Windows stand, para prevenir la instalación de malware en sus dispositivos. Efectivamente, este es el servicio de antimalware y antivirus más grande del mundo, como parte de Windows. A la vez, Office 365, Advance fred protection, protege contra descargas e instalación inadvertida del malware que llega en links o archivos adjuntos en el e-mail. Así que estamos incorporando toda esta rica tecnología en los productos fundamentales, y eso es lo que hacemos como plataforma. El segundo aspecto de nuestro enfoque es el aspecto de inteligencia, porque no se trata sólo de la tecnología que entregamos, sino de la plataforma tecnológica con la inteligencia. Estamos desarrollando una gráfica de seguridad inteligente. En ese sentido, contamos con el Centro contra el Cibercrimen, y por sus siglas en inglés, conocido como DCU, que ha trabajado con los Gobiernos y el sector privado. En México, por ejemplo, con la Policía Cibernética, en la lucha contra la delincuencia informática y protegiendo a las poblaciones más vulnerables, los niños y las personas mayores, cuando se trata del crimen cibernético.

El Centro contra el Cibercrimen de Microsoft, produce por ejemplo, este mapa del malware en México. Como resultado de su ofensiva contra el Cibercrimen, el DCU recaba información del malware a lo largo del mundo, que luego compartimos con las policías cibernéticas tales como la de México, que se han sumado al Programa de Inteligencia Sobre Amenazas Cibernéticas y por sus siglas en inglés conocido como CITIP. Esta información es proveída en tiempo real y fortalece los esfuerzos de los gobiernos para remediar la situación de malware en el país y proteger a sus ciudadanos de los cibercriminales. Asimismo, esta información se incorpora en nuestros servicios para que nuestros clientes puedan estar alerta y tener la posibilidad de tomar acciones ante el software malicioso que pudiera estar tratando de ingresar en su sistema. Aquí ven algunos de los mismos malware que mostramos en el mapa anterior ahora señalados en el sistema de un cliente, con indicación específica de un dispositivo Windows, Apple, Android o Lanix que trae el malware, casi siempre sin el conocimiento del dueño del dispositivo afectado. Estamos incluso juntando a la gente de seguridad operacional de la compañía de todos los productos y servicios para trabajar en un nuevo centro de operaciones de Microsoft llamado “Centro de Operaciones de Defensa Cibernética” Ahí están colaborando para tener visibilidad en tiempo real a cerca de todo lo que está pasando a través de estos servicios. El resultado de esa colaboración es una gráfica de inteligencia cibernética que estamos usando para fortalecer la seguridad de todos nuestros productos y compartimos esa inteligencia ampliamente con nuestros clientes y con nuestros socios.

El tercer aspecto de nuestro enfoque es la asociación, un tema clave en todo lo que estamos haciendo, porque no se trata sólo de Microsoft, se trata de trabajar juntos como un ecosistema. Es más, tanto en nuestro centro contra el cibercrimen, como en nuestro Centro de Operaciones de Defensa Cibernética utilizamos mucha tecnología de terceros para defender nuestros propios activos. Y por lo tanto, queremos interoperar con todas las herramientas, queremos poder beneficiarnos de lo que trae cada uno de estos socios, de manera que podamos asegurar colectivamente nuestro ambiente. No vivimos aislados, estamos interconectados y esa interconexión requiere que trabajemos juntos con el resto de la industria DTI para dar soluciones a la gente. Así que cierro donde empecé. Somos optimistas con respecto al papel positivo que puede tener la tecnología digital en cada aspecto de la vida para todas las industrias y para la comunidad en general. Por lo tanto, cuando hablamos de empoderar a cada persona y cada organización del planeta se convierte en algo aún más primordial, construir confianza en la tecnología. A eso nos dedicamos y para eso nos asociaremos con todos. De hecho los clientes nos dicen que lo que quieren es maximizar la capacidad de la nueva tecnología digital a la vez que se preserven los valores fundamentales que todos compartimos. Esa es nuestra misión y nos dedicamos a lograrlo. Muchísimas gracias a todos. Comisionada Areli Cano Guadiana: Daniel, muchas gracias por estas aportaciones y estos enfoques que compartes sobre la empresa

y esta consideración muy específica de interconexión con otros sectores. La verdad que terminamos de lujo esta mesa. Muchas gracias a todos nuestros invitados. Una disculpa por el desahogo de las preguntas, andamos ya apremiados por el tiempo, pero aceptamos aquí una sugerencia del licenciado Di Constanzo. La verdad fue una mesa, diría yo, muy exitosa porque provocó el interés de todos ustedes con muchas preguntas, y él compartir también con los compañeros de panel se compromete a desahogar las respuestas, las pondremos en nuestro sitio de internet para quienes solicitaron alguna interrogante o una preocupación sobre el tema. Muchísimas gracias a ustedes por su asistencia. Y evidentemente a nombre del INAI y del Info, a nuestros panelistas. Permítanme entregar unos reconocimientos a nombre de ambas instituciones. Muchas gracias.

---oo0oo---