Matrix Legal

Proteja lo más valioso de su empresa, su propiedad intelectual!  

Por Joel A. Gómez Treviño

El mundo virtual de la Matrix, se convierte en el campo de batalla donde Neo tendrá que combatir contra los agentes de Matrix, que son unos programas en forma humana capaces de poseer a cualquier habitante de Matrix que la resistencia no haya liberado, y en particular contra el temible Agente Smith. Éstos intentan impedir que los rebeldes rescaten a las personas que están conectadas, ya que están programados para capturar a cualquier intruso que altere la realidad de Matrix. En este mundo virtual, los seres humanos que son conscientes de la verdadera esencia de lo que les rodea, son capaces de desafiar parcialmente las leyes físicas y realizar hazañas asombrosas (Wikipedia).

Recuerdan esta famosa Trilogía que revolucionó la industria del cine de ciencia ficción en 1999 y 2003? Los que la vieron, tal vez de lo menos que recuerden sea el hecho de que era una verdadera confusión y revoltijo lo que pasaba en el mundo de “La Matrix”. Hackers rebeldes luchaban contra agentes de la Matrix, quienes buscaban la inalterabilidad de su mundo virtual. Hoy en día, si su empresa no está preparada para enfrentar los retos y peligros que la tecnología y los delincuentes cibernéticos representan, sin duda podrían entrar en una compleja “matrix legal”.

En el mundo de la propiedad intelectual aplicado a una empresa de TI hay muchos conceptos que ameritan protección legal: marcas, derechos de autor (software y bases de datos), nombres de dominio, información confidencial (know-how), secretos industriales, etc. Para hacer del presente artículo algo más práctico y menos teórico, utilizaré ejemplos de casos concretos que han ocurrido (y con frecuencia) en la vida real.

Nombres de Dominio y Marcas

Hace poco llevé un caso de una empresa que a su vez contrató a otra para que le desarrollara y administrara su sitio web, entre otras cosas. A los pocos meses se dieron cuenta de que las cosas no estaban funcionando y decidieron dar por terminada la relación. Poco tiempo después les empiezan a llegar algunos anónimos por correo electrónico, alertándolos de que “ya les habían robado sus nombres de dominio… y ni cuenta se habían dado”.

Como sus portales funcionaban sin problema, era evidente que nunca pensaron estar metidos en un lío. Al verificar las bases de datos Whois de la empresa donde registraron varios nombres de dominio gTLD (.com) se percataron de que en efecto, no les “robaron” uno ni dos, sino DIEZ nombres de dominio! ¿Cómo sucedió? Pues no están muy seguros, pero aparentemente el ex-proveedor había registrado por su cuenta dichos nombres de dominio, a petición de mi cliente desde luego. Cuando terminaron la relación, probablemente nadie se acordó que el proveedor tenía no solo acceso, sino el control de los nombres de dominio en cuestión.

Afortunadamente, NIC México (ccTLD) tiene dos procedimientos de resolución de disputas de nombres de dominio, por propiedad intelectual y por titularidad. El procedimiento de disputas por titularidad se debe llevar a cabo cuando una persona considera que le corresponde la titularidad de un Nombre de Dominio y cuenta con pruebas de su dicho, siempre que no esté relacionado con temas de propiedad intelectual. En pocas palabras, este procedimiento está pensado en este tipo de disputas, en donde un proveedor o desarrollador web (persona física o moral) “secuestra” un nombre de dominio por diferencias con el cliente, venganza o cualquier otra razón similar. Es un procedimiento expedito y simple, en donde en menos de 15 días el legítimo titular puede recuperar su nombre de dominio, de haber sido exitoso en demostrar con pruebas su mejor derecho.

Desafortunadamente para mi cliente, los dominios robados son gTLD (.com), cuyo registrar no tiene el mismo mecanismo de solución de disputas por titularidad, solo el mundialmente conocido mecanismo de “resolución de disputas de nombres de dominio por propiedad intelectual” (UDRP). “Que no panda el cúnico”, les comenté. Por favor entréguenme una copia de todas las marcas registradas o reservas de derechos que amparen los respectivos nombres de dominio para iniciar el proceso de disputa UDRP ante la Organización Mundial de la Propiedad Intelectual (OMPI). “Ehhh… pues, no tenemos todas, solo unas cuantas”. Al ver la lista de sus marcas, me percaté de que ninguna de ellas coincidía al 100% con ninguno de los nombres de dominio robados.

El mecanismo de disputas UDRP está pensado en que el demandante busque recuperar un nombre de dominio bajo el principal argumento de que tiene una marca registrada (o derecho de propiedad intelectual similar) idéntica o similar en grado de confusión al nombre de dominio en disputa.

En resumen, los problemas informático-legales de esta empresa fueron: (1) no haber tomado la precaución de verificar que los nombres de dominio estuvieren registrados a su nombre, (2) no haberse cerciorado de que ellos tuvieran el control informático del registro (username y password en el registrar), o al menos “legal” (un contrato o documento que estableciere que giraban la instrucción al proveedor para que le registrara los nombres de dominio a su nombre), (3) no tener respaldados los nombres de dominio con una marca registrada (idéntica o similar en grado de confusión al nombre de dominio), para poder “pelearlos” en caso de controversias como esta.

Por cierto, ya está usted enterado de los recientes cambios en las Políticas Generales de NIC México? Las modificaciones realizadas a dichas políticas involucran principalmente lo relacionado con:

• El Esquema de Titularidad de los Nombres de Dominio .MX: a través de la incorporación del Registrante, el cual obtendrá la Titularidad absoluta del Nombre de Domino .MX.
• Registrars: Incorporación de la figura del Registrar a los nombres de dominio .MX, como administrador y prestador de servicios.
• Disputas de Titularidad a través de Registrars: Las disputas de Titularidad por un nombre de dominio serán resueltas por el Registrar que administra el nombre de domino en disputa.
• Transferencias: Se incorpora la operación de transferencia de la administración de un nombre de dominio de un Registrar a otro.
• Disputas por Propiedad Intelectual (LDRP): Modificaciones menores en la administración de este proceso.

Tal vez lo más relevante para que usted debe conocer es el cambio en el esquema de titularidad de los nombres de dominio, pues ahora solo el contacto Registrante tendrá la titularidad absoluta del nombre de dominio, a diferencia de antes que se “compartía” la titularidad entre el Contacto Administrativo y el de Pago. Le invito a que visite la página de NIC México para que verifique quién es realmente el titular de SUS nombres de dominio.

Evidencia Digital en el Robo de Información Confidencial

Hace algunos años un cliente llegó muy consternado al despacho de abogados donde trabajaba. Se trataba de una reconocida empresa de consultores de negocios. “Renunciaron muchas personas de un área de consultoría y se nos fueron con la competencia… estamos seguros de que se robaron información confidencial!” nos dijeron. Me pusieron en contacto con su responsable de “seguridad informática”. Le pregunté que qué evidencia tenían y me dijo que no mucha, pero que “seguían buscando pistas”.

Un día llegó a mi oficina con 5 laptops y 10 DVDs… “aquí está la evidencia”, me dijo. Me sorprendió el hecho de que llegara con DVDs en lugar de 15 laptops, le cuestioné, donde están las otras 10 laptops? “Ah pues ya les formateamos el disco duro porque las reasignamos a otras personas en la empresa”. Ya no sabía si reír o llorar. Era como si en una investigación de homicidio quemaran al difunto y presentaran fotografías como prueba!

A ver ingeniero, estas laptops ¿de quién son? “No pues de 5 individuos traidores que se fueron con la competencia!” contestó. ¿Y cómo sabe usted que pertenecían a esos 5 consultores? “Pues porque yo se lo estoy diciendo! Ahí están sus usernames y passwords!” ¿Tiene usted alguna constancia o documento firmado por ellos, donde se plasme la entrega y devolución de los equipos (marca, modelo, número de serie)? “Ah caray, pues… creo que no”. Y cómo cree que voy a demostrarle a un ministerio público y a un juez que esas laptops efectivamente pertenecían y fueron usadas por esos consultores? “Ah pues no se apure, yo le firmo un papelito en donde diga que yo se que eran de ellos!”.

Cada vez mi frustración crecía. Ingeniero, ¿ya buscó usted información que pudiera llevarnos a concluir que se robaron información confidencial de su empresa? “Si, claro!” ¿Cómo lo hizo? “No pues prendí las laptops y con mi cuenta de administrador entre a buscar en el disco duro y sus correos”. La información había sido ya comprometida. ¿Y qué encontró? No pues la verdad nada Licenciado, nada relevante.

Al hacer una revisión simple de los contenidos de los DVDs y las laptops me percaté de que en la memoria caché del Internet Explorer estaban guardados varios “screenshots” de correos electrónicos personales (Hotmail en su mayoría) de los ex empleados de la firma, en donde efectivamente se veía el proceso de negociación y contratación con la empresa de la competencia, y el envío de ciertos documentos, que si bien no pudieron ser abiertos, se presumió era información confidencial por el título de los mismos. Para colmo, el encargado de seguridad informática, nunca buscó en la memoria cache de las laptops, solo se concretó a buscar en sus correos electrónicos corporativos y el clásico “My Documents” del disco duro.

Sin embargo, los problemas para armar una denuncia de delito informático eran muy diversos: 1) la empresa había formateado los discos duros (borrando así toda evidencia legítima) de la mayoría de los empleados, 2) las pocas laptops que conservaron fueron “tocadas” por la gente de sistemas, comprometiendo la integridad de la información, 3) mi cliente no tenía actas o constancias de entrega y recepción de los equipos, que pudiere generar evidencia de la probable responsabilidad de un individuo por el contenido (información) de dichos equipos, y 4) la firma no conservaba los logs de correo electrónico corporativo mas que durante 15 días, mientras que los hechos habían sucedido hace más de 6 meses.

Para poder ser exitosos en presentar un caso de delito informático el nombre del juego se llama “evidencia”. Si su empresa no tiene los controles adecuados, los respaldos y una buena estrategia forense de reacción ante un ataque informático (preservar la información), será muy difícil poder armar un caso ante el Ministerio Público. Recuerde que la principal labor de su área de informática será llevar “de la mano” al Ministerio Público y sus peritos para que sea posible probar fehacientemente los elementos constitutivos del delito informático: que alguien sin autorización haya modificado, destruido o provocado pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad.