RECOPE, Fiesta Navideña y costo del trabajo.

Jugaremos hoy de abogados del diablo. Hay muchas fuentes, cito solo una donde se menciona la intención de hacer una fiesta navideña para 300 empleados de RECOPE. Esa fiesta está contemplada en el artículo 107 de la convención colectiva. Como ARESEP ya había dispuesto que los gastos de la convención colectiva no podían incluirse como parte del gasto de producción/distribución de combustibles para efecto del cálculo de tarifas, la misma ARESEP consultó con qué dinero se pretendía hacer tal fiesta. Ante esto, la fiesta fue frenada por el repudio generalizado de la ciudadanía en redes sociales.

Pero, antes de dar mis razones de abogado del diablo, hablemos un poco sobre la administración de empresas y el manejo de personal. En tiempos ya idos, se pensaba en el trabajo como un castigo dado que había que pagar para que la gente lo hiciera. La administración era tirana y tenía siempre como objetivo obtener ganancia sin importarle el bienestar de los trabajadores, a quienes les daba lo mínimo por su trabajo. Eso ya cambió, desde tiempos inmemoriales. Ahora se sabe que el trabajo es casi un segundo hogar, y que el empleado motivado y evaluado rinde mejor, que el costo de la planilla no es el único costo que se debe tomar en cuenta en el rubro de recursos humanos. Tenemos la pirámide de Maslow y otras herramientas más modernas que nos dicen que un empleado feliz y tranquilo es un empleado productivo.

Ahora, las convenciones colectivas nacieron en la época del trabajo como castigo y la opresión, son anacrónicas por decir algo. Están basadas en un falso balance entre la opresión trabajadora y el bienestar del empleado. Sin embargo, tal como la administración y la visión del trabajo han cambiado, así debe evolucionar la negociación de la convención. Hay cosas que tienen todo el sentido del mundo, pero todo. Doy algunos ejemplos: Un aporte extra a los médicos que se exponen a enfermedades contagiosas como compensación por el riesgo, el pago de taxi a maestros que tienen que ir a lugares peligrosos con poco acceso a servicio público de transporte, el pago de alojamiento a maestros que tienen que irse a lugares muy alejados de su hogar para dar clase. En estos dos últimos casos, el costo lo cubre el patrono simplemente porque es necesario para el servicio y no debería ser cubierto por el empleado.

Dicho lo anterior, creo que queda claro que no podemos ver el costo del trabajo sólo como el costo de planilla, sino que hay que hacer una inversión adicional para el recurso humano. Si tengo un grupo de trabajadores que tienen que almorzar, y la mayoría trae comida de sus casas, es lógico que el patrono moderno disponga de un comedor amueblado, incluyendo hornos de microondas, refrigerador y cafeteras. Si no lo hace, obliga a los empleados a comer en las gradas o el zacate, comida fría y hasta descompuesta, o a gastar más de la cuenta en sodas aledañas. ¿Ven? Creo que es perfectamente razonable dentro de la administración moderna el poder justificar como gasto algo que es necesario para que el trabajador cumpla con sus necesidades humanas básicas según Maslow.

Ahora, llegamos a la famosa fiesta. Es navidad, y muchas empresas tienen su convivio navideño. Se piensa en ser como una segunda familia y la inversión de ese convivio es un gasto nimio en comparación a la motivación y acercamiento de los trabajadores. ¿Hay empresas que no tiene fiesta navideña? Sí, las poco modernas, las que viven aún en tiempos de la planilla como única remuneración por el trabajo. Es por eso que la fiesta de Navidad en RECOPE yo no la veo mal. De hecho, debería haber fiesta en todas las instituciones como parte de un gobierno moderno. ¿Qué hay mucho gasto? No es nada comparado con los costos de operación, presupuestos e inversiones. Pero el pueblo, ya cansado de abusos, se saca el clavo. Se convierte en el patrono tirano para el cual el empleado no tiene derecho a tener fiesta de navidad, cual Scrooge tacaño y vengativo. Y esto no lo estoy inventando: nosotros pagamos con el costo del combustible, directa o indirectamente, la tal fiesta, y les estamos diciendo que no tienen derecho porque no nos da la gana. Si hacemos un cálculo de cuánto es lo que estamos restringiendo, nos damos cuenta que son 7 millones dividido entre la cantidad de combustible que gastamos todos los costarricenses y extranjeros de paso en una año. ¿Cuánto, un tanque lleno por persona, un litro por persona? No, menos del pellizco de una gota. Ni Scrooge es tan tacaño y despreciable, me perdonan la expresión.

Sin embargo, ARESEP actúa de buena forma. El problema radica en que la fiesta está dentro de la convención colectiva (simplemente porque la administración de RECOPE NO ES MODERNA, es más bien retrógrada, solo basta leer lo que dice su presidenta Sara Salazar, y por tanto deben exigir una fiesta de navidad vía contrato). Dentro de los costos presentados por RECOPE a la ARESEP debería ir un rubro de presupuesto orientado a la inversión en el trabajador, que incluya todas las cosas que he mencionado arriba, aparte de la planilla, y la ARESEP debería considerarlas como parte de un costo racional de la gestión de recursos humanos moderna. Todas esas cosas deberían ir fuera de la convención colectiva porque esto no es un régimen de represión y porque no son privilegios. Claro está, la normativa de RECOPE debería fijar un presupuesto racional para este rubro, que sea competitivo y acorde con la realidad económica nacional. Dado esto, el resto de privilegios de las convenciones deberían desaparecer y quedar únicamente los que tengan sentido para el desempeño del trabajo de manera justa. De esta manera, la misma convención se convertiría en un detalle fundamentado de costo que la ARESEP podría aceptar.

Advierto que no terminé mi carrera en administración, pero estoy seguro de que la mayoría del pueblo ni siquiera administra su propia casa con propiedad y de fijo muchos explotan a las empleadas domésticas, seguro que no las dejan ir a casa en Navidad y no les dan pero ni a oler el queque navideño, si por la víspera se saca el día.

Termino aquí mi intervención de abogado del diablo. Aclaro que no defiendo la convención colectiva de nadie, no estoy de acuerdo con los abusos de RECOPE pero tampoco estoy de acuerdo en cerrarlo sino en transformarlo, evolucionarlo, quitarlo de la manos de los sindicalistas y administradores inútiles que ha tenido y ponerlo a trabajar como debe ser.

Reflexiones sobre el salario público de una periodista.

No puedo opinar mucho sobre la apreciación cuantitativa que ha hecho Ottón Solís sobre el salario actual de la profesional en comunicación Mishelle Mitchell, simplemente porque no estoy ni en el gremio ni en ese mercado. Sin embargo, me aventuro a realizar unas cuantas reflexiones sobre el concepto de salario y el problema que tenemos a nivel de empleados públicos.

Primero, aclaremos que un salario es, o debe ser, la paga justa por el trabajo realizado por una persona. La necesidad de ese trabajo en una empresa es un criterio que debe ser evaluado por la empresa misma y depende de muchos factores, incluyendo el tamaño, la estrategia, la misión y el mercado. El costo (yo diría inversión) que dicho trabajo representa, debe también establecerse por diferentes parámetros, que no escapan a las leyes de oferta y demanda, la calidad requerida, la cantidad de responsabilidad y los atestados de la persona. Por último, debe quedar claro que en un mercado competitivo, el sentido común indica que los costos han de ser minimizados y la ganancia maximizada, teniendo como topes justamente (en el tema de recursos humanos) la oferta y demanda de profesionales y la capacidad productiva de los mismos.

Ahora bien, teniendo lo anterior en claro, me llama mucho la atención un par de ideas presentadas en diferentes foros, como una que habla de dos grandes mundos, casi paralelos, que se rigen por reglas diferentes: el sector público y el sector privado. Es una realidad que son dos mundos y que tienen reglas diferentes, pero también es una realidad que ambos se nutren del mismo mercado de profesionales. No existen mercados aparte de profesionales públicos y privados, esto es, tenemos la misma fuente y por ende la oferta y demanda aplican por igual. En otras palabras, el sector público está en franca competencia con el sector privado por el recurso humano. Esto reduce a un absurdo la idea de que en el sector público, por ser el Estado, los salarios deben ser menores que en el privado. Esa idea ha causado diferentes problemas colaterales. Para competir, el Estado ha tenido que aprobar convenios que llenan de remiendos al salario para hacerlo competitivo. También ha provocado que los profesionales mejor calificados no estén en el gobierno (con algunas excepciones) y que el nivel de calidad obtenido sea inferior.

La otra idea que se ha puesto en práctica y es una de las más dañinas, es pensar al Estado empresario como generador de empleo y no como competidor de mercado. Con esta idea, las instituciones del Estado que tienen competencia, han olvidado que para competir hay que minimizar costos. En su lugar, se centran en generar la mayor cantidad de empleo, incluso puestos innecesarios, que no llevan a la institución a la quiebra pero tampoco la hacen competitiva. Esto es una táctica absurda dado que el nivel de desempleo no se resuelve así, y más bien hieren de muerte a la institución.

Con este panorama, la idea de Ottón de eliminar puestos superfluos es de aplaudir, pero el pensar que el Estado debe minimizar el salario sin tomar en cuenta el mercado es ignorancia pura. Ahora, de las declaraciones de Ottón no puedo asumir que él piense de esta manera, pero sí acuso que ha sido intempestivo en sus declaraciones y ha dejado a la opinión la posibilidad de que está tomando decisiones a la ligera, más con el hígado que con la razón.

Para poder eliminar puestos superfluos, hay que hacer un estudio que nos diga cuáles son las necesidades de la empresa reales, qué perfiles deben llevar a cabo tales tareas y determinar si las personas que están encargadas tienen dichos perfiles o si hay otros que puedan realizar tales tareas sin caer en sobrecargas. Un reacomodo de funciones no puede darse pasando tareas a cualquier persona.

Por otro lado, para poder bajar un salario, se debe partir del análisis anterior de perfiles requeridos, revisar el mercado, ver el costo de tales profesionales, analizar el nivel de productividad esperado, ver si nos da positivo y hacer presupuesto. La idea de llegar y decir que el salario más alto es tal y todos por debajo, sin tomar en cuenta el mercado, lo que logrará es una productividad menor, menor calidad y experiencia, o inopia.

Son los profesionales de comunicación colectiva y el sector bancario los que nos puede decir si el salario de la periodista, dados sus atestados, su experiencia, el tamaño de la empresa, el puesto y sus tareas, está acorde con el mercado. No podemos fijar montos antojadizos, ni ignorar los requerimientos. Si Ottón dice que el puesto de Mishelle está sobrevalorado y es innecesario, sugiero que lo pruebe con estudios de mercado que digan que ningún otro banco de ese tamaño tiene puesto o tareas similares o si las tiene están todas por debajo del salario de marras. Si la reforma se ha de hacer, debe hacerse correctamente. Cualquier otra opinión es hablar sin tener propiedad, cualquier acción precipitada basada en apreciaciones personales es irresponsable. Es así de simple.

Validación Periodística y el uso de Expertos

Quisiera referirme, a raíz del último ir y venir entre el periodista Juan Fernando Lara y el Banco Nacional sobre los problemas de seguridad de Java, a un tema tangencial de vital importancia para la labor periodística: el uso de los expertos.

Apenas leí el artículo del estimado periodista, descubrí que tenía algunos errores de concepto sobre la amenaza misma y sobre cómo dicha amenaza afectaba a los usuarios. En redes sociales pude encontrar a muchas personas que malentendieron la amenaza y temían ser víctimas de fraudes bancarios. Fue por eso que contacté inmediatamente al periodista para explicarle cuáles habían sido los errores. Me atendió de manera muy amable, como ha sido con la totalidad de periodistas que he tratado, y luego de entender me agradeció las aclaraciones. Lastimosamente dichas aclaraciones no fueron publicadas, lo cual podría entender que sea por cuestiones de espacio en el diario. El punto es que, a pesar de haber entrevistado expertos, el texto salió con errores conceptuales que afectan el mensaje y la veracidad del mismo.

¿Ha sucedido anteriormente? Si, muchas veces. Yo mismo he sido entrevistado para artículos en revistas, diarios y programas televisivos locales e internacionales, desde publicaciones especializadas como InfoWorld hasta programas de corte familiar como Buen Día. En éste último, precisamente, hablé sobre la seguridad bancaria en particular, y sobre la seguridad en internet en general. Una nota bien lograda y de mucha importancia para la culturalización de la seguridad informática, pero que lamentablemente salió con un error: dieron una recomendación mía al revés, indicando que debían hacer caso a algo cuando hay que hacer todo lo contrario. A pesar de una nota que envié con la aclaración, no tuve respuesta y el error quedó sin aclararse al aire. Sin embargo, el problema no es la falta de aclaración.

Hablemos de metodologías para una entrevista. He conocido varias, desde el asalto en el pasillo de un hotel de Las Vegas, esa en la que el estereotipado periodista saca de repente, del bolsillo del abrigo,  saca una grabadora y comienza a hacerme preguntas; hasta el famoso quizz por correo con 10 preguntas que respondo y devuelvo a la revista. Pero la más profesional ha sido la del conocido programa In Focus, de la CNN, que recientemente nos entrevistó para un documental sobre la Arquitectura de Tecnologías de Información. En calidad de presidente de la Asociación de Arquitectos de T.I. de Costa Rica, fui invitado a participar. Nos dieron un bosquejo del guión, con las preguntas. Hicieron varias tomas y luego armaron la nota y la transcribieron, incluyen la voz en off, la presentación y las intervenciones de los diferentes entrevistados. Dicha transcripción nos la envían de vuelta antes de la edición para que revisemos y hagamos aclaraciones o comentarios. Algunos de los entrevistados deben pasar eso a su departamento legal para que aprueben la salida al aire. Incluso enviarán el video ya editado para una revisión final. ¿Diferencia? Sí, yo diría que abismal.

Pero la parte más importante que quiero rescatar es que es muy probable  que un periodista, en un tema que no es su campo, malentienda o redacte una nota con errores de concepto. Y no digo que sea su culpa, es algo que es esperable. El uso de un experto para la elaboración inicial de la nota es imprescindible, pero no es suficiente. Se requiere que un experto, incluso uno que no haya participado en la nota, la revise para detectar errores. La calidad de la nota se incrementaría. Y según entiendo no hay ningún costo: al menos yo no he cobrado un cinco por ninguna de las entrevistas dadas, y no soy el único que sabe de un tema en el país.

He publicado la aclaración de conceptos para el artículo de Java y otros en medios sociales. Y en la medida de lo posible he contactado a los periodistas para hacerles ver el error detectado, porque probablemente estén muy seguros de lo que escribieron. Y lo seguiré haciendo, porque justamente es mi deber como experto en mi campo. Pero le pido a los periodistas ayuda: por favor, validen sus notas con expertos después de la redacción y edición pero antes de la publicación. ¿Se puede?

Por último, hago un llamado a los lectores: validen las informaciones, contacten a conocedores, lean las referencias, siempre busquen una segunda opinión.

Quedo a sus órdenes.

Los secretos, el estado y lo que se quiere esconder.

Ante la pregunta de si el Estado Costarricense debe tener secretos (presentada como tema sugerido en “¿Debería el Estado Costarricense tener Secretos?“), es para mí obvio que la respuesta no puede ser otra que sí. Es imposible trabajar a nivel internacional si tener informaciones o trabajos que no deban ser conocidos por otros gobiernos o grupos (mafias por ejemplo), sea esto de forma temporal o sempiterna. Información sobre seguridad nacional, diplomacia y similares no pueden estar siempre abiertas a cualquier ojo.

Claro, esta idea del secreto es tentadora, puesto que el mal pensado tiende a buscar esta excusa para ocultar información indigna. Ante esto, nuestra constitución más bien es ejemplar: en su artículo 30 dice que “Se garantiza el libre acceso a los departamentos administrativos con propósitos de información sobre asuntos de interés público. Quedan a salvo los secretos de Estado”. Esto es, el secreto de estado es la excepción, fuera de ahí todo debe ser transparente. Es más, tampoco es válido pensar que cualquier cosa puede ser secreto de estado ni que su categorización es implícita. Pueden existir informaciones concernientes a la lucha contra el narcotráfico o negociaciones con otros países que no son secreto de estado. Lo pasan a ser en el momento en que se declara. Si dicha información es hecha pública antes de la declaración, entonces pierde sentido y responsabilidad. Es claro.

Alquien comete delito si, a sabiendas que hay una información declarada secreto de estado, urga para encontrarla y leerla (Espionaje, 288 Código Penal) ¡aunque no lo logre! Y si lo logra y encima la divulga, entonces es peor (286, Código Penal). Pero para que se pueda aplicar esto, la información ya debe estar declarada secreto de estado.

Ahora, dirán que la frase en los artículos 288 y  286 no dice explícitamente Secreto de Estado, sino Secretos Políticos. Pues tienen razón, esos secretos no existen. Pueden entenderse como secretos de estado. La ley debiera ser reescrita con las palabras correctas. Si dicha ley estuviera hablando de otro tipo de información y no sobre secretos de estado, entonces sería inconstitucional por el mismo artículo 30 de la constitución, que sólo hace una excepción a la transparencia. Así de simple es.

Por tanto, los secretos de estado si son necesarios, pero estos no pueden ser cualquier cosa. Sin embargo, hay que tener cuidado, porque si lo que se divulga es, digamos, la correspondencia entre dos ministros, que aunque diga cosas atroces, es una correspondencia privada, entonces nos estamos metiendo en problemas pero con el artículo 196 del código penal.

Cuidado.

Delitos Informáticos: Análisis de los Ajustes al Código Penal

Ha sido firmada por la presidencia una ley (9048) que busca la reforma de varios artículos y modificación de la sección VIII (Delitos Informáticos) del título VII del Código Penal. ¿Qué cambian? La idea es modernizar la legislación para tipificar el uso de tecnología de forma indebida como  un hecho agravador del delito. Esto es, muchos de los cambios incrementan las penas si estas involucran el uso malicioso de tecnología. Ahora bien, la idea está genial, pero hay una preocupación general por dichos cambios, siendo el gremio periodístico el que más ha alzado la voz, particularmente porque se está ajustando la legislación en lo referente a su materia prima: la información.

Es común que el temor se apodere de los profesionales cuando les tocan su machete de trabajo o su plantación,  y también es común escuchar afirmaciones que puede no tengan mucho asidero si se leen las leyes tal cual son, para bien o para mal. Es por eso que me gusta leer dichas leyes y compartir lo que entiendo. No soy abogado, pero se leer, y las palabras usadas de forma literal es lo que trato de confirmar. En este post revisaré los cambios uno por uno y presentaré mi opinión sobre los mismos, según lo que entiendo a como está escrito. Veamos.
Artículo 167. Corrupción. Este es uno de los más publicitados. He leído que se firma esta ley para proteger a nuestros niños de la corrupción a la que son objeto por seres indeseables. Pues bien, el 167 original pone pena de 3 a 8 años a quien promueve o mantenga en corrupción a menores, a menos que el delito sea más grave. El nuevo 167 dice casi lo mismo, pero incluye una sanción de 4 a 10 años si se utilizan medios informáticos para el hecho (como buscar o promocionar encuentros). Ahora, el problema es que la nueva versión elimina lo de “siempre que no constituya un delito más grave”, cosa que podría en cierto caso evitar penas mayores. Habría que consultar porqué eliminaron tal frase. Otra cosa que me extraña es que no se haya incluido ajuste a los artículos 173 y 174 que se refieren a la producción, tenencia y divulgación de pornografía infantil.  Los dos artículos son bien amplios y cubren el caso de usar medios informáticos para esos delitos, pero como dije muchos de los ajustes tienden a endurecer las penas si el hecho se da con tecnología informática, y aquí no se da ese agravante.
Artículo 196.  Este artículo busca evitar que mi correspondencia privada (entiéndase algo que yo envío o comunico a otra persona explícitamente), sea vista o apropiada por un tercero que no tenga vela en el entierro. El 196bis original también da penas diferentes si esto se hace violentando la información en medios de soporte informáticos (las suaviza), pero si son los encargados de dicho soporte las mantiene. Ahora, el nuevo 196 cambia varias cosas. Ajusta las penas, en el caso de las comunicaciones. En el 196bis Reforma el texto para que no se refiera a una comunicación, sino a la información en general contenida o recolectada en cualquier medio (datos personales dice el título, pero no aclara qué puede contarse como tal, así que se puede asumir cualquier dato). Es decir, puede ser información que yo guarde en cualquier contenedor. Si es usada sin mi permiso o para un fin diferente para la cual fue recolectada, hay cárcel. Ahora, esto se complica porque esto incluye a las redes sociales de forma explícita. Igual, las penas se agravan si quien comete el hecho es el encargado de la parte informática, pero también como dice el inciso b), si los datos están contenidos en bases de datos públicas y son de carácter público. Este inciso es muy problemático, porque entonces cualquier acceso a información que esté pública en redes sociales que pueda poner en “peligro la intimidad o privacidad y sin autorización de un tercero” da pena de cárcel. ¡En redes sociales es lo que más pasa! Siendo extremos, compartir un comentario de alguien o una foto que pueda ser “peligrosa” implica de 4 a 8 años de cárcel.

Artículo 214. Extorsión. Se incrementan las penas si la extorsión se realiza por medios informáticos. Bien.

Artículo 217bis. Fraude Informático. Ahora ya se pasaría a llamar “Estafa Informática”. Queda más explícita la tipificación. Si alguien causa perjuicio a otro en beneficio propio o de un tercero haciendo funcionar mal un sistema, va para la cárcel, pero con penas un poco más bajas. Eso sí, si el daño es contra lo público o bancos, la pena es más alta, sin importar si es externo o interno a la institución atacada. En este punto en lo personal hubiera incrementado la pena aun más si el trabajo es interno, porque es mucho más sencillo y es de los más típicos.

Artículo 229bis. Alteración de datos y sabotaje informático. Ahora se llama “Daño Informático”.  Es cuando alguien sin permiso echa a perder información de un sistema. Suaviza las penas de que antes eran de 1 a 4 años, pasando a ser de 1 a 3 años. Antes, si por esa echada a perder de los datos, el sistema se inutilizaba o se entorpecía, podía ir a la cárcel por 6 años. Esta figura se elimina, y solo se pondrá esa pena si los datos son insustituibles o irrecuperables. Esto podría calificarse de retroceso, porque ataques como los de negación de servicio quedan entonces con penas menores si se dan por la vía de modificación de datos. Sin embargo, esta parte de sabotaje se contempla en el 229ter, que expande el concepto a cosas como si el ataque es por saturación, donde los datos no son modificados, donde dichos ataques sí quedan contemplados.

Artículo 288. Espionaje. Este es otro de los artículos que la prensa está catalogando como malo para el gremio. En la versión original se establece penas para el que “procurare u obtuviere indebidamente informaciones secretas políticas o de seguridad”. El término “informaciones secretas políticas” es usado exactamente igual en el nuevo artículo 288, por tanto las lecturas sobre introducción de un nuevo tipo de delito que amordaza la prensa basadas en tal término no caben. El nuevo artículo si incrementa la pena si esto se realiza por medios informáticos. Aquí lo malo es que no arreglaron el término. No existen informaciones secretas políticas, la constitución habla de secretos de estado. Este artículo quiere defender informaciones críticas de gobierno y seguridad que deben mantenerse en secreto, y cuya divulgación beneficiaría a delincuentes o produciría daños a los procesos gubernamentales (como publicar la carta de respuesta a la Haya antes de que se conozca, y dar ventaja al país contrario por ejemplo). Pero eso no se tipifica bien, porque eso no es político, el término no es el correcto.

Artículo 299. Se le agrega el inciso 6) que incluye cuando el daño agravado se da contra la parte informática.

Ahora, viene un grueso del cambio, y es la reescritura de la sección VIII del título VII que ahora será: Delitos Informáticos y Conexos.

Artículo 230. Suplantación de Identidad. Este pena a los que crean cuentas diciendo que son otras personas existentes o incluso que hackean las cuentas reales para postear contenido. ¡Esto incluso cuando no se haga daño a terceros!  Ahora, este artículo también afectaría, según dicen, a los anónimos que usan cuentas falsa o inexistente, pero la pena será sólo si se causa daño a terceros. Esto es delicado porque hay muchos bloqueros y twiteros con este tipo de identidades y tendrán que cuidarse de lo que dicen, quedan muy vulnerables.

Artículo 231. Espionaje Informático. Básicamente hacking para obtener información y lucrar con ella será penado con cárcel.

Artículo 232.  Básicamente está penando todo lo relacionado con malware, desde la producción hasta la distribución y la ingeniería social. Todo me parece bien a excepción del inciso d), que pena la distribución de programas para crear malware. Los que llevamos cursos de Ethical Hacking para seguridad, recibimos este tipo de programas como parte del conocimiento para atacarlo. Este inciso puede afectar tales cursos y mejor es consultarlo.

Artículo 233. Este pena la suplantación de sitios. Cuando me hago pasar por el sitio de un banco por ejemplo, siempre en perjuicio de terceros. Claro, este no aplica para los defacements, cuando atacan un sitio legítimo para cambiarle “la cara” como ha pasado ya varias veces.

Artículo 234. Pena a quien facilite la ejecución de un delito, como prestar la red  o la compu o cosas de esas.

Artículo 235. Este duplica la pena del delito si este obstaculiza la lucha contra el narcotráfico. Esto tiene conflicto con el 288, dado que ahí se indica que se da de 4 a 8 años si afecta la lucha, así que no queda claro si serían 8 a 16 o si este no aplica para el 235.

Artículo 236. Difusión de Información Falsa. Este último pena la difusión de falsedades, pero cuando dichos hechos pueden causar daño a la seguridad, a la estabilidad del sistema financiero, etc.

Vistos todos los cambios, la ley es robusta pero mejorable. Se ha incluido penas para la mayoría de las acciones ilícitas de hackers. Sin embargo, quedan por fuera faltas por responsabilidad en la implementación de medidas de seguridad. Por ejemplo, si por negligencia un banco provee acceso poco seguro a la información confidencial o financiera y por eso el cliente sufre un daño, no se contempla pena para el primero. No estoy seguro si una figura así aplica.
Saludos.

Sobre el Colegio de Artistas y otras tonteras

Hay un proyecto de ley, el 18208, que propone la creación de un colegio federado de artistas. De buenas a primeras, este proyecto promete ser otra tontera mas de los diputados, ya que restringe de la manera mas discriminatoria, a “ejercer” el arte a solo los colegiados. Esto implicaría adios a muchas manifestaciones artísticas que son realmente el alma de nuestra tierra. En fin, una buena reflexion hecha por José Solano se puede leer en La Nacion: http://www.nacion.com/2012-04-05/Opinion/ni-pies-ni-cabeza-ni-sentido-comun.aspx

Ahora, Leyendo el texto del proyecto, me encuentro que el artículo de integración, (2) de dicha ley también incluye aquellos “con grados universitarios reconocidos o que, sin contar con los estudios formales, posean un grado artístico, de conformidad con la Ley N.º 8555, Integración del Régimen Artístico al Estatuto de Servicio Civil, Ley N.º 1581, mediante la adición de un título IV.”

En esta ley (http://www.pgr.go.cr/scij/Busqueda/Normativa/Normas/nrm_texto_completo.asp?param2=&nValor1=1&nValor2=58418&nValor3=0&nValor4=NO), se indica:

“Artículo 212.—Servidores artísticos. Para los efectos del presente título, son servidores artísticos los servidores del arte que han adquirido la destreza para realizar e interpretar obras artísticas, haciéndolo de manera permanente o habitual y en forma remunerada o con derecho a retribución económica y así conste por nombramiento de la institución o del órgano respectivo.” O sea, vuelve a incluir a los “no profesionales”, siempre y cuando se logre obtener remuneración y se haya adquirido destreza. PERO… para eso hay que demostrarlo y ser calificado. Los grados propuestos son: a) Artista iniciativo. b) Artista acrecentante. c) Artista posicionado. d) Artista consolidado.e) Artista emérito.

Como se podrá ver, no hay escape a ser sometido a una evaluación para obtener un grado y ser tomado como artista.

Yo soy cuentacuentos, pero como no hay carrera universitaria ni me gano la vida con esa actividad ni lo hago regulamente, no soy profesional. De querer cobrar, tendría que certificarme, sea con el registro civil o con alguna otra instutición garante de poder decir “si, este chavalo es un cuentacuentos por esto y esto”.

Ahora, hay otros artículos nefastos como la negativa a ejercer si no se pertenece al colegio, incluso de forma privada. Tan estúpido es que entonces ningún productor podría traer a Shakira si esta no se colegia primero. Pero eso son otros 100 pesos.

Los parámetros para llamarme “profesional” son similares en muchos lados: Laborar (remuneradamente) en mi oficio, que dicho oficio tenga un cuerpo de conocimiento aceptado mundialmente y que haya una manera de evaluar que yo ciertamente conozco del mismo. La idea de un grupo que habra espacios es interesando, pero si hay que afinar el resto de tonteras que indica la ley sobre pertenencia y permisos de ejercer. Por dicaha dicen que se engavetará, pero si es importante tomar en cuenta que falta por mejorar en lo que respecta al quehacer cultural y artístico, y leyes que ayuden son bienvenidas, pero que sean hechas por personas que entiendan que no es tomar cualquier ley de algo mas y hacer un reemplazo de términos en word.

Sobre condones, niñas y milenios

Leyendo los artículos de la estudiante Mónica Chaves (¿Niñas con Condones? Nación 09/05/2011) respuesta de la comunicadora Shirley Malespín (“No tapemos el sol con un dedo” Nación 12/05/2011) me deja un sinsabor que ambas hablen de cosas diferentes, que la segunda descalifique a la primera con ya reconsabidos estereotipos moralistas y que no nos detengamos a discutir el verdadero problema que tenemos entre manos. A pesar que puedo detenerme a criticar la respuesta de doña Shirley, creo que lo más importante es la discusión que menciono y por ende el resto de esta opinión aclarará un poco el problema.
Si, los números de la Encuesta Nacional de Salud Reproductiva no mienten. Tenemos un problema entre manos debido al inicio prematuro de las relaciones sexuales de nuestros niños. Pero el número no me dice nada. No nos dice si esos inicios son ilegales (con una persona mayor de edad), el grado de escolaridad, la etnia, la distribución geográfica, la cultura. Muchos factores pueden inducir el fenómeno, y para atacarlo (el del inicio de relaciones sexuales) se debe conocer las causas. En otros estudios, se ha llegado a encontrar que la baja escolaridad y la extrema pobreza influyen montones, más si los menores se inician para traer comida al hogar.

Ahora, otro problema es el del embarazo adolescente (ojo, no es lo mismo). Igualmente, el reporte del 2010 de la ONU del avance mundial en las Metas de Desarrollo del Milenio (MDM), al cual ambas articulistas nombrar confusamente como la Declaración del Milenio, Meta 5b, Mejoramiento de la Salud Materna, reporta un estancamiento en la reducción del embarazo en adolescentes. En Latinoamérica pasó del 91/1000 (nacimientos por cada 1000 mujeres entre 15 y 19 años) en 1990, a 80/1000 en el 2000 hasta 74/1000 en el 2007. Los datos de Costa Rica no los tengo porque la página web de la ONU local está fuera de servicio, pero si en el año 2008 hubo 74 284 nacimientos de los cuales 14 856 son de adolescentes y teníamos, digamos, 2 millones de mujeres, estaríamos en 37/1000 en total y tan solo 7.5/1000 en adolescentes. Este mismo reporte indica que los embarazos en adolescentes aumentan el riesgo para la madre. También indica otra vez que la pobreza y falta de educación (general) favorecen este hecho.

Ahora, la misma Meta 5b incluye una submeta sobre el porcentaje de uso de anticonceptivos en la mujer (prevalencia). La idea que es que la mujer tenga el derecho de usarlo con el objetivo de planificar. En Latinoamérica el reporte indica un 72% de mujeres (15-49 años casadas o en unión) con acceso y uso de anticonceptivos. El total para países en regiones desarrolladas esta en 71%. En Costa Rica, la Encuesta de Salud Reproductiva indica una prevalencia del 82.1% en general (sin tomar en cuenta el estado civil). Además de (comparativamente) parecer que estamos bien en ese rubro, lo interesante es el detalle. La esterilización femenina ha aumentado en un 8.9% desde 1999, mientras que el uso del condón masculino disminuye en un 6.8%. El condón masculino aún no ha calado como método anticonceptivo usado por la mujer (se solicita su uso al hombre), y si este no quiere, la mujer pierde esa “capacidad” de acceso al  anticonceptivo y debe optar por otros tipos, si puede.

Todo lo anterior me dice que realmente tenemos problemas que resolver, pero me queda la duda si estamos tan atrasados en la meta 5 del MDM (Mejorar la salud materna). Que tal en las otras? 1: Erradicar la pobreza extrema y el hambre, 2: Lograr la enseñanza primaria universal, 3: Promover la igualdad entre los géneros y la autonomía de la mujer, 4: Reducir la mortalidad infantil, 6: Combatir el VIH/SIDA, el paludismo y otras enfermedades, 7: Garantizar la sostenibilidad del medio ambiente, 8: Fomentar una asociación mundial para el desarrollo.

Lo que si es cierto, es que el MDM no dice en ningún momento que se debe promover el aborto. Dice que en los países en los que es legal, se debe dar de forma segura. En los que es ilegal, como Costa Rica, se debe evitar que se dé de forma insegura (clandestina). Esto compromete Costa Rica a trabajar fuertemente en los otros compromisos o sugerencias que sí están ahí: Proveer atención profesional pre, durante y post-embarazo, proveer acceso a los anti-conceptivos, a la educación y evitar la pobreza y mejorar salud en general de la mujer. Evitar el acoso y coacción a los jóvenes para que inicien sexualmente. El texto al que se refiere Mónica es parte de una campaña de la IPP, no de la ONU.

Por último, quiero mencionar que en los resultados de un estudio de la British Medical Journal, sobre patrones de consulta y provisionamiento de anticonceptivos previo al embarazo adolecente (BMJ 321, 08/2000), muestra que el dar información y anticonceptivos de manera indiscriminada a la población adolescente para “protegerlos” del embarazo no es suficiente. La mayoría de las jóvenes embarazadas consultaron al médico (se cae la teoría de la vergüenza o tabú como barrera), y también solicitaron anticonceptivos. De las que abortaron, había más con píldora de emergencia que con pastillas normales, y más usaron condón que las que usaron píldora. El estudio concluye que dar información y anticonceptivos no es suficiente, si no se da un seguimiento profesional por sicólogos y médicos.

Y no, la pomada canaria no se llama condón.

Banca, fraudes, jurisprudencia y acción

Publicado en La Nacion (08 Oct 2008)

Don Pablo Ureña (Dos Sentencias Preocupantes) analiza las posibles consecuencias del fallo contra el “Banco del Estado”, dictado hace algunas semanas. Hay ciertos puntos en los que no estoy muy de acuerdo. (Advierto que mi campo no son las leyes, sino la tecnología de la información).

Discrepo sobre la aplicabilidad general del fallo. Por lo poco que entiendo, la responsabilidad objetiva se aplica en este caso debido a que el servicio ofrecido por el banco creó un riesgo significativo que fue explotado por los culpables, con el agravante de que ese riesgo ya había era conocido internacionalmente (un solo nivel de autenticación no es suficiente). No estoy seguro entonces de que se pueda, o deba, aplicar igual para todos los demás casos, actuales o futuros, porque depende de si el riesgo (que sería equivalente al nivel de seguridad) presentado en el momento de la transacción es igual de significativo o agravado.

Visión de seguridad. También discrepo de la visión de seguridad. Esta nunca es completa. La seguridad de un sistema es igual a la del componente más débil. Desde el punto de vista informático, un sistema no solo es el computador central, sino todos los componentes, internos o externos, que lo conforman.

El Internet Banking, inherentemente, incluye como componente a la plataforma Internet, los navegadores de los clientes y las páginas creadas por el banco para que se realicen transacciones. Siendo así, no es cierto que el sistemas es seguro, porque su componente más débil es la interfaz web.

Puede ser que la jurisprudencia atraiga las mafias internacionales, pero estas no vendrán atraídas solo por este fallo. Vendrán por las facilidades brindadas aquí por usuarios ignorantes, un país atrasado tecnológicamente y una banca sin planteamientos serios.

Mi apreciación es que estamos tapando fallas con parches sin un análisis adecuado. ¿Ejemplos? Para incrementar su tope de transferencia obligan al cliente a enviar por internet todos los datos vitales de la tarjeta de crédito, ¡negándose a hacerlo por ventanilla! Hace años que no se practican ataques de fuerza bruta para obtener contraseñas, por lo que la práctica de cambiarlas cada 30 días es obsoleta.

No estamos preparados. Ya nadie imagina usar solo la contraseña como autenticación, por eso ya hay otras maneras de fraude más complejas que el robo de contraseñas y nosotros apenas comenzamos a atacarlo. Incluso el phish- ing ha dado paso a ataques más sofisticados, como el pharming (y este ya lleva tiempo en México). Es decir, no estamos preparados.

¿Seguros? La solución de la tarjeta de códigos es inoperante ante un ataque de “intermediario” con algo de paciencia. Lo mismo para el teclado virtual, que es solo efectivo contra keyloggers . Incluso el famoso token cae ante este ataque. La falta de fraude luego de estas “soluciones” no es prueba de seguridad. El colmo es que, para usar dichas soluciones, se obliga al usuario a renunciar a su derecho de reclamo. (Véanse condiciones obligatorias para activar las soluciones).

¿Que hacer? La lista es simple: El intermediario se anula con certificados de cliente, como los de la firma digital estancada hace meses. Los usuarios que verifiquen el emisor del certificado del banco (clic doble en el candado del navegador) y bancos publicando su numero de serie de certificado en prensa. Obvio: los usuarios deben saber qué es un certificado digital, pero, primordialmente, todas la entidades involucradas (Banca, Gobierno y usuarios), deben analizar los peligros y proponer una solución integral de defensa.