Estudio
sobre riesgos de seguridad
derivados del software de uso no autorizado
Edición: Mayo 2012
El “Estudio sobre riesgos de seguridad derivados del software de uso no autorizado” ha sido elaborado por el Instituto Nacional de Tecnologías de la Comunicación (INTECO):
Pablo Pérez San-José (dirección)
Laura García Pérez (coordinación)
Eduardo Álvarez Alonso
Susana de la Fuente Rodríguez
Cristina Gutiérrez Borge
INTECO quiere señalar el apoyo técnico en la realización de la investigación de:
La presente publicación pertenece al Instituto Nacional de Tecnologías de la Comunicación (INTECO) y está bajo una licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello está permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes:
• Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra.
• Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales.
Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.org/licenses/by-nc/3.0/es/
ÍNDICE
PUNTOS CLAVE ... 6
I. Demanda de software de uso no autorizado ... 6
II. Incidencias de seguridad asociadas a la descarga de software ... 7
III. Presencia del malware en las descargas de software no autorizado ... 8
IV. Recomendaciones para la reducción del malware y el uso de software no autorizado ... 8
1 INTRODUCCIÓN Y OBJETIVOS ... 10
1.1 Presentación ... 10
1.1.1 Instituto Nacional de Tecnologías de la Comunicación¡Error! Marcador no definido. 1.2 Estudio sobre riesgos de seguridad derivados del software de uso no autorizado 12 2 DISEÑO METODOLÓGICO ... 14
2.1 Fase 1: Búsqueda y análisis documental ... 14
2.2 Fase 2: Investigación cuantitativa ... 15
2.2.1 Muestra descargada ... 15
2.2.2 Análisis del malware ... 17
2.3 Fase 3: Encuesta a usuarios de internet ... 17
2.4 Fase 4: Investigación cualitativa ... 19
3 MARCO REGULATORIO DEL USO Y ADQUISICIÓN DEL SOFTWARE ... 22
3.1 Tipología del software según su licenciamiento ... 22
3.2 Software de uso legal ... 23
3.3 Regulación sobre la propiedad intelectual ... 23
3.3.1 Normativa sobre la propiedad intelectual en España ... 26
3.3.3 Normativa sobre propiedad intelectual en EEUU ... 29
3.4 Regulación sobre la reventa o cesión de software usado ... 30
3.5 Regulación sobre el dominio público ... 31
4 DEMANDA E IMPACTO DEL SOFTWARE DE USO NO AUTORIZADO ... 32
4.1 Presencia en Internet de contenidos que infringen los derechos de propiedad intelectual ... 32
4.1.1 Contenidos en BitTorrent ... 34
4.1.2 Contenidos en servicios de descarga directa o cyberlockers ... 36
4.1.3 Contenidos en eDonkey ... 37
4.2 Demanda de software de uso no autorizado en España ... 38
4.3 Impacto económico y consecuencias de seguridad derivadas del uso de software sin licencia ... 41
5 MALWARE EN INTERNET ... 44
5.1 ¿Qué es el malware o código malicioso? ... 44
5.2 Presencia del malware en Internet ... 47
5.3 Incidencia del malware en los equipos de hogares en España ... 50
5.4 Incidencias de seguridad asociadas a la descarga de software de uso no autorizado ... 53
6 ANÁLISIS DEL MALWARE EN LAS DESCARGAS DE SOFTWARE NO AUTORIZADO: METODOLOGÍA ... 55
6.1 El laboratorio antimalware ... 56
6.2 Fuentes de descarga ... 59
6.3 Tipo de software descargado ... 59
6.4 Dimensión, obtención y características de la muestra ... 64
7 PRESENCIA DEL MALWARE EN LAS DESCARGAS DE SOFTWARE NO AUTORIZADO: RESULTADOS DEL ANÁLISIS ... 67
7.1 Compartición de software como mecanismo de distribución de malware ... 67
7.2 Código malicioso según tipo de software descargado ... 68
7.3 La popularidad de la descarga y el malware detectado ... 69
7.4 Categorías de malware detectado ... 70
7.5 Detecciones de malware por análisis dinámico ... 73
8 CONCLUSIONES ... 76
9 RECOMENDACIONES ... 78
9.1 Recomendaciones para las empresas ... 78
9.2 Recomendaciones para los fabricantes de software ... 79
9.3 Recomendaciones para las administraciones públicas ... 80
9.4 Recomendaciones para usuarios ... 81
ÍNDICE DE GRÁFICOS ... 83
ÍNDICE DE ILUSTRACIONES ... 85
ÍNDICE DE TABLAS ... 86
PUNTOS CLAVE
El objetivo de este proyecto es conocer las implicaciones y las consecuencias, desde el punto de vista de la seguridad, de la utilización de programas informáticos no autorizados analizando la posible relación de causalidad entre las descargas de este tipo de software y las incidencias basadas en malware en los sistemas de información.
El objeto de análisis de este estudio está centrado en el software propietario con licencia de pago obtenido de manera no autorizada a través de diferentes fuentes de descarga disponibles en la Red.
Para ello se ha llevado a cabo una combinación de técnicas, tanto cuantitativas, como cualitativas. En primer lugar, tras una labor de búsqueda documental e identificación de fuentes, se ha recogido información sobre la situación actual y evolución del uso del software sin licencia, las descargas no autorizadas y su impacto en la industria del software y la economía, en general.
En segundo lugar, se ha tomado una muestra significativa y representativa de más de 100.000 ficheros de programas informáticos sin autorización de uso disponibles en sitios de intercambio de archivos y plataformas de descarga y se han analizado utilizando diferentes metodologías y herramientas de detección antivirus, para cuantificar la presencia de malware.
En tercer lugar, se ha realizado a lo largo del último trimestre de 2011, una encuesta a más de 3.000 usuarios de Internet sobre sus hábitos de adquisición de software y percepción de incidencias de seguridad.
Finalmente, se ha recabado la opinión de 31 expertos y profesionales ligados al ámbito de la seguridad TIC en relación a los riesgos y consecuencias, tanto a nivel técnico como legal, del uso del software no autorizado, así como la identificación de las principales recomendaciones y buenas prácticas para afrontarlos.
Se exponen a continuación los puntos clave del análisis: I. Demanda de software de uso no autorizado
En 2010 la industria española de contenidos digitales tuvo un crecimiento interanual de un 14,1%, llegando a los 9.630 millones de euros de facturación. No obstante, la llamada “tasa de piratería” (porcentaje de obtención y uso no autorizado de software con licencia) en España se situó en 2011 en el 43%.
Se debe tener en cuenta que la utilización de software no autorizado no sólo está considerada un delito y una violación a los derechos de autor, sino que además tiene un
impacto significativo en la economía. Concretamente, en España se estiman unas pérdidas por utilización de software ilegítimo en 2011 de 705 millones de euros.
En este sentido, cabe destacar que por regla general los usuarios españoles no tienen claro cuando la adquisición del software es legal o no. Así, un 32% opina que todo el software descargado a través de redes P2P es legítimo y un 22% cree que los programas que compra “en la calle” (top-manta) también es un producto legal.
El consumidor, ante la necesidad de obtener un programa informático, en un 66,4% de los casos recurre a Internet, aunque apenas un 26,3% lo hace en el sitio oficial del producto.
Desde el punto de vista del usuario corporativo, España se sitúa en el top 10 de países en los que el responsable de adquisición de software de la empresa recurre habitualmente a la descarga no autorizada.
Todos estos factores hacen que un gran número de países haya iniciado modificaciones legislativas para limitar y endurecer las penas contra dichas actividades delictivas que vulneran los derechos de autor y tienen un impacto negativo en la industria y la economía.
Existen múltiples fuentes de obtención y compartición de software no autorizado. Entre las más utilizadas por los internautas destacan la red BitTorrent, los servicios de descarga directa o cyberlockers (como Fileserve, Rapidshare o Megaupload) y las redes
eDonkey, debido a que obtener software a través de ellas resulta relativamente sencillo.
Por ello, en la última década han aumentado las descargas de software no autorizado. II. Incidencias de seguridad asociadas a la descarga de software
El software obtenido a través de estas fuentes, en su mayor parte, corresponde a programas informáticos que no están sometidos a un control estricto de distribución ni a ningún otro mecanismo que garantice la autenticidad e integridad de la descarga realizada en relación con el producto original. En ocasiones, bajo la apariencia de contenidos atractivos para los usuarios se camufla código malicioso facilitando la diseminación del mismo.
Concretamente, las experiencias relatadas por los internautas confirman que la descarga del software ilegítimo tiene un alto riesgo y que la compartición de este tipo de programas a través de la Red constituye un mecanismo para la distribución de malware. Así, 1 de cada 2 usuarios afirma que ha encontrado software malicioso en alguna de las descargas realizadas.
Es por esto que se hace necesario observar y medir estadísticamente, aplicando una metodología científica, en qué grado está presente el malware en las descargas de software propietario sin licencia de uso.
III. Presencia del malware en las descargas de software no autorizado
Los resultados del análisis han puesto de manifiesto que 3 de cada 10 programas de uso no autorizado que se descargan de fuentes de compartición de archivos contienen malware, siendo este porcentaje mucho mayor en las redes eDonkey/kad (46%) y también en el caso de programas de edición de vídeo y sonido (44,9% y 39,9% respectivamente). La popularidad de las descargas es asimismo un factor determinante, siendo aquellos contenidos más populares los que presentan mayor probabilidad de estar infectados.
En cuanto al código malicioso detectado, principalmente se encuentra en archivos comprimidos y ficheros relativamente pequeños (entre 1MB y 10MB). La tipología mayoritaria (81,9%) son los troyanos.
Adicionalmente al malware detectado con los motores antivirus, mediante un posterior análisis dinámico basado en el comportamiento durante y tras el proceso de instalación de la muestra de archivos ejecutables obtenido, se observa que un 34,1% de los ficheros se conectan a Internet en su primera ejecución y se redirigen a destinos incluidos en “listas negras” de webs sospechosas.
Así pues, de la comparación entre los resultados del análisis dinámico con los resultados del filtrado antimalware se concluye que un 35,4% corresponde a nuevas detecciones de código malicioso que había pasado desapercibido en el primer análisis.
IV. Recomendaciones para la reducción del malware y el uso de software no autorizado
Recomendaciones para las empresas
• Realizar un control de los privilegios de administración de los equipos junto con la concienciación y formación de los usuarios.
• Impulsar la creación de listas blancas de software legal.
• Realizar un control de administración y gestión de productos, inventarios y servidores de licencias.
Recomendaciones para los fabricantes de software
• Otorgar más importancia a las opciones SaaS (Software as a Service) en modalidades de servicios ubicados en la nube o tarificando por uso del mismo. • Evaluar e implementar elementos de protección y seguridad en los programas. • Utilizar sistemas de gestión de los derechos digitales (DRM).
Recomendaciones para las Administraciones Públicas
• Llevar a cabo campañas de formación y sensibilización a los usuarios.
• Aumentar el nivel de protección de la industria del software en cuanto a las descargas no autorizadas.
• Desarrollar iniciativas para investigar tendencias en la llamada “piratería informática”.
• Realizar programas educativos que ayuden al consumidor y al canal de distribución.
• Establecer un entorno legal adecuado para la defensa de las marcas.
• Llevar a cabo actividades coordinadas con otras entidades, ya sean los Cuerpos y Fuerzas de Seguridad del Estado o asociaciones de la industria.
Recomendaciones a los usuarios
• Llevar a cabo la protección de todos los dispositivos y la realización de actualizaciones de software de forma activa.
• Instalar programas de fuentes fiables para mitigar los riesgos de usar software no autorizado.
• Comprobar la integridad de los programas descargados para asegurarse de que éstos no han sido modificados desde su creación.
1
INTRODUCCIÓN Y OBJETIVOS
1.1 PRESENTACIÓNEl Instituto Nacional de Tecnologías de la Comunicación, S.A. (INTECO), es una sociedad estatal adscrita al Ministerio de Industria, Energía y Turismo a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información.
INTECO es un centro de desarrollo de carácter innovador y de interés público de ámbito nacional que se orienta a la aportación de valor, a la industria y a los usuarios, y a la difusión de las nuevas tecnologías de la información y la comunicación (TIC) en España, en clara sintonía con Europa.
Su objetivo fundamental es servir como instrumento para desarrollar la Sociedad de la Información, con actividades propias en el ámbito de la innovación y el desarrollo de proyectos asociados a las TIC, basándose en tres pilares fundamentales: la investigación aplicada, la prestación de servicios y la formación.
La misión de INTECO es aportar valor e innovación a los ciudadanos, a las PYMES, a las Administraciones Públicas y al sector de las tecnologías de la información, a través del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Información en nuestro país, promoviendo además una línea de participación internacional.
Para ello, INTECO desarrolla actuaciones en las siguientes líneas:
• Seguridad tecnológica: INTECO está comprometido con la promoción de servicios de la Sociedad de la Información cada vez más seguros, que protejan los datos personales de los interesados, su intimidad, la integridad de su información y eviten ataques que pongan en riesgo los servicios prestados. Y, por supuesto, que garanticen un cumplimiento estricto de la normativa legal en materia de TIC. Para ello coordina distintas iniciativas públicas en torno a la seguridad de las TIC, que se materializan en la prestación de servicios por parte del Observatorio de la Seguridad de la Información, el Centro de Respuesta a Incidentes de Seguridad en Tecnologías de la Información (INTECO-CERT), con su Catálogo de Empresas y Soluciones de Seguridad TIC, y la Oficina de Seguridad del Internauta (OSI), de los que se benefician ciudadanos, pymes, Administraciones Públicas y el sector tecnológico.
• Accesibilidad: INTECO promueve servicios de la Sociedad de la Información más accesibles, que supriman las barreras de exclusión, cualquiera que sea la dificultad o carencia técnica, formativa, etc., incluso discapacidad, que tengan sus usuarios. Y que faciliten la integración progresiva de todos los colectivos de
usuarios, de modo que todos ellos puedan beneficiarse de las oportunidades que ofrece la Sociedad de la Información. En particular, INTECO dispone de amplia experiencia en el desarrollo de proyectos en el ámbito de la accesibilidad para la televisión digital, así como de aquellos orientados a garantizar los derechos de los ciudadanos a relacionarse con las administraciones públicas por medios electrónicos, reconocidos en la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos
• Calidad TIC: INTECO promueve unos servicios de la Sociedad de la Información que cada vez sean de mayor calidad, que garanticen unos adecuados niveles de servicio, lo cual se traduce en una mayor robustez de aplicaciones y sistemas, un compromiso en la disponibilidad y los tiempos de respuesta, un adecuado soporte para los usuarios, una información precisa y clara sobre la evolución de las funcionalidades de los servicios, y en resumen, servicios cada vez mejores. En esta línea impulsa la competitividad de la industria del Software a través de la promoción de la mejora de la calidad y la certificación de las empresas y profesionales de la ingeniería del software, a través del Laboratorio Nacional de Calidad del Software.
• Formación: la formación es un factor determinante para la atracción de talento y para la mejora de la competitividad de las empresas. Por ello, INTECO impulsa la formación de universitarios y profesionales en las tecnologías más demandadas por la industria.
Es uno de los objetivos del Instituto describir de manera detallada y sistemática el nivel de seguridad, privacidad y confianza en la Sociedad de la Información y de generar conocimiento especializado en la materia. De este modo, se encuentra al servicio de los ciudadanos, las empresas y las administraciones públicas españolas para describir, analizar, asesorar y difundir la cultura de la seguridad de la información, la privacidad y la e-confianza.
INTECO ha diseñado un Plan de Actividades y Estudios con el objeto de producir conocimiento especializado y útil en materia de seguridad y privacidad, así como de elaborar recomendaciones y propuestas que definan tendencias válidas para la toma de decisiones futuras por parte de los poderes públicos.
Dentro de este plan de acción se realizan labores de investigación, análisis, estudio, asesoramiento y divulgación que atenderán, entre otras, a las siguientes estrategias:
• Elaboración de estudios e informes propios en materia de seguridad de las Tecnologías de la Información y la Comunicación, con especial énfasis en la Seguridad y privacidad en Internet.
• Seguimiento de los principales indicadores y políticas públicas relacionadas con la seguridad de la información y la confianza en el ámbito nacional e internacional.
• Generación de una base de datos que permita el análisis y evaluación de la seguridad y la confianza con una perspectiva temporal.
• Impulso de proyectos de investigación en materia de seguridad TIC.
• Difusión de estudios e informes publicados por otras entidades y organismos nacionales e internacionales, así como de información sobre la actualidad nacional y europea en materia de la seguridad y confianza en la Sociedad de la Información.
• Asesoramiento a las Administraciones Públicas en materia de seguridad de la información y confianza, así como el apoyo a la elaboración, seguimiento y evaluación de políticas públicas en este ámbito.
1.2 ESTUDIO SOBRE RIESGOS DE SEGURIDAD DERIVADOS DEL SOFTWARE DE USO NO AUTORIZADO
Hipótesis de partida y objetivos del estudio
Este proyecto ha nacido con la finalidad de conocer las implicaciones y las repercusiones en materia de seguridad debidas a la utilización de software propietario con licencia de pago obtenido de manera no autorizada1 a través de diferentes fuentes de descarga disponibles en la Red. Para ello se ha analizado la posible relación de causalidad entre dicho software y el malware.
Este objetivo general se ha concretado en otros cuatro objetivos específicos:
• Identificar las circunstancias que rodean la utilización de software no autorizado por usuarios y empresas.
• Identificar los posibles problemas más relevantes en materia de seguridad debidos a la utilización de software no autorizado.
• Realizar recomendaciones generales sobre seguridad de la información.
1
A efectos de este estudio y con el fin de dar fluidez al discurso, se utilizarán diferentes terminologías para referirse al software propietario con licencia de pago obtenido de manera no autorizada, tales software no legítimo, software no autorizado, software propietario sin licencia de uso, etc.
• Realizar recomendaciones para empresas, fabricantes de software, Administraciones Públicas y usuarios, con el fin de mejorar los niveles de implantación del software legítimo.
Para cumplir con este propósito se ha llevado a cabo la recogida de una muestra significativa y representativa de más de 100.000 archivos de software sin licencia de uso procedente de diferentes plataformas y sitios de compartición de ficheros para posteriormente ser estudiada con distintas herramientas y metodologías de análisis; una encuesta a más de 3.000 usuarios de Internet sobre su hábitos de adquisición de software y percepción de incidencias de seguridad; una consulta a 31 expertos en la materia y un análisis documental de fuentes secundarias.
2
DISEÑO METODOLÓGICO
Para la realización de este estudio se ha utilizado una combinación de técnicas de análisis cualitativo y cuantitativo, estructurando el proyecto en varias fases:
• Fase 1: Búsqueda y análisis documental (fuentes secundarias).
• Fase 2: Investigación cuantitativa analizando una muestra de software de uso no autorizado recogida mediante diferentes fuentes de compartición de archivos. • Fase 3: Investigación cuantitativa realizando entrevistas a usuarios de Internet. • Fase 4: Investigación cualitativa con la colaboración de expertos en seguridad de
la información pertenecientes a diferentes ámbitos. 2.1 FASE 1: BÚSQUEDA Y ANÁLISIS DOCUMENTAL
El objetivo de esta primera fase ha sido recoger información sobre la situación actual y evolución del uso del software propietario sin licencia de uso, las descargas no autorizadas y su impacto en la industria del software y la economía, en general.
Se han utilizado informes, white papers, estudios y notas de prensa de múltiples fuentes como herramientas para llevar a cabo la investigación documental. La procedencia de estas fuentes ha sido:
• Organizaciones de software dirigidas a la lucha contra las descargas no autorizadas.
• Observatorios, empresas de investigación independientes. • Organizaciones de prensa y de divulgación técnica.
• Empresas relacionadas con la detección y eliminación de malware. • Organizaciones para la protección de la propiedad intelectual. • Organizaciones que facilitan las descargas no autorizadas. • Otras organizaciones independientes.
En el ANEXO I: BIBLIOGRAFÍA se pueden encontrar las fuentes de los documentos clave utilizados. De la misma manera, se citan al pie de los gráficos y las tablas las fuentes de origen de la información.
2.2 FASE 2: INVESTIGACIÓN CUANTITATIVA
El objetivo de esta fase ha sido cuantificar la cantidad de malware existente, y su tipología, en el software de uso no autorizado. Para ello se ha obtenido una muestra significativa de programas informáticos descargados sin licencia y se han analizado utilizando diferentes metodologías y herramientas de detección de malware. El Estudio
sobre riesgos de seguridad derivados del software de uso no autorizado ha buscado
utilizar una metodología rigurosa diseñada con objeto de ser consistente y garantizar resultados claros, buscando la máxima fiabilidad y reflejo de la realidad actual.
Para ello se han seleccionado las fuentes de descarga: BitTorrent, eDonkey y los sitios web Filestube y Daleya para obtener enlaces de descarga directa de archivos alojados en servidores como Megaupload y Fileserve.
A través de estas fuentes y sitios web se ha obtenido diferente tipología de software. Es difícil establecer categorías genéricas significativas para todas las aplicaciones del software, que cada día se vuelven más complejas y con mayores funcionalidades, no obstante, en este estudio se han contemplado las siguientes:
• Software de sistema operativo • Actualizaciones.
• Software de crackeo. • Software de desarrollo. • Software de diseño.
• Software de gestión empresarial. • Software de modificación/retoque
de imágenes.
• Software de entretenimiento o videojuegos.
• Software de oficina u ofimática. • Software de seguridad
informática.
• Software de sonido. • Software de vídeo. • Otro tipo de software de
utilidades informáticas
2.2.1 Muestra descargada
El estudio ha contemplado un total de 3.286 descargas de aplicaciones de software, lo que supone un volumen de 110.671 archivos o ficheros con un peso total de 1,7 TB2. Además de la clasificación antes mencionada, la muestra ha sido segmentada a su vez en dos grandes grupos, en función de la “popularidad” de cada descarga con el fin de dar respuesta a la siguiente cuestión: ¿son menos propensas al malware las descargas
2
realizadas por la mayoría de los usuarios o es menos arriesgado seleccionar una fuente aislada o minoritaria?
De esta forma, para cada una de las categorías y fuentes seleccionadas, la muestra ha sido obtenida tanto a través de una selección aleatoria (“RANDOM”), como utilizando el criterio de descargas más populares entre los usuarios (“TOP10”).
Tabla 1: Descargas realizadas por tipo de software
Categorías de SW Descarga directa eDonkey BitTorrent Total
TOP 10 RANDOM TOP 10 RANDOM TOP 10 RANDOM
Sistemas Operativos 59 31 58 24 60 56 288 Actualizaciones 24 1 45 23 33 18 144 Cracks 23 0 40 78 40 41 222 Desarrollo 40 43 40 39 39 30 231 Diseño 40 40 40 33 40 41 234 Gestión Empresarial 25 9 34 6 4 0 78 Imagen 50 45 50 20 43 41 249 Videojuegos 94 83 99 86 100 71 533 Ofimática 70 79 65 43 62 51 370 Seguridad 69 45 50 27 65 51 307 Sonido 32 27 35 23 40 31 188 Video 61 15 63 31 61 41 272 Utilidades 30 17 31 31 30 31 170 Total 617 435 650 464 617 503 3.286 Fuente: INTECO Hay que destacar que el número de descargas es inferior al número de archivos analizados posteriormente. Esto se debe a que una única descarga puede tratarse de una carpeta con diferentes archivos o un fichero comprimido. Las diferentes herramientas que se han utilizado para la detección del malware disponen de la capacidad de acceder a los archivos comprimidos y analizar los contenidos.
El número total de archivos que se han descargado, así como su tamaño según las fuentes, son:
Tabla 2: Archivos descargados por fuente y tamaño
Fuente Archivos Tamaño [GB]
BitTorrent 85.563 888 GB
eDonkey 23.986 221 GB
Descarga directa 1.122 614 GB
Total 110.671 1.723 GB
2.2.2 Análisis del malware
La búsqueda del malware se ha realizado utilizando tanto mecanismos de detección basados en firma, como mecanismos heurísticos, para llevar a cabo la detección de código malicioso de forma más precisa.
Mediante la utilización de diferentes motores antivirus se ha analizado la muestra identificándose el volumen de código malicioso contenido en las descargas. Las soluciones antivirus utilizados han sido:
• Symantec Endpoint Protection 12.1 • AVG Internet Security
• Panda Antivirus Pro 2012
• ESET NOD32 Antivirus Standard • McAfee VirusScan Enterprise
Se han clasificado como malware aquellas descargas en las que, como mínimo, un solo producto antivirus haya detectado algún contenido malicioso, en caso contrario la descarga se considera sin código malicioso con ficheros limpios o legítimos.
En paralelo, y como parte del estudio cuantitativo, se ha ejecutado un análisis dinámico del comportamiento del equipo una vez instalado el software, comprobando el tráfico de red que genera un determinado ejecutable procedente de las descargas con licencia de uso no autorizado.
2.3 FASE 3: ENCUESTA A USUARIOS DE INTERNET
Con el fin de evaluar desde diferentes ópticas las circunstancias que rodean la utilización de software no autorizado e identificar los problemas más relevantes de seguridad, se ha recogido de forma abierta los comentarios, la opinión y las pautas de comportamiento de 3.050 usuarios de Internet frente a diferentes preguntas relacionadas con el uso y descarga (legal e ilegal) de software protegido por licencia.
Universo
Usuarios españoles de Internet de 15 y más años con acceso frecuente a Internet desde el hogar. Para delimitar con mayor precisión el concepto de usuario, se exige una conexión a Internet desde el hogar de, al menos, una vez al mes. El universo objeto de el estudio está formado por 18.343.941 usuarios3.
Trabajo de campo
El trabajo de campo se ha llevado a cabo entre el 1 de septiembre y el 24 de octubre de 2011.
Tamaño y distribución muestral
El tamaño muestral es de 3.050 individuos.
Se ha realizado un muestreo por cuotas, donde se incluyen cuotas con afijación proporcional al peso real de la población objeto, obteniendo estos datos del Instituto Nacional de Estadística, en el período más actualizado.
Las variables elegidas son las que mejor caracterizan al universo objeto, para así obtener la mejor representatividad posible.
Las variables utilizadas como cuotas son: geográficas (Comunidad Autónoma y hábitat) y sociodemográficas (sexo, edad, nivel de estudios y ocupación), además de éstas se han fijado otras variables, que no han formado parte de las cuotas, éstas son el tamaño del hogar y su composición, y la clase social del hogar (ésta última se obtiene de los estudios y ocupación del sustentador principal).
La muestra se distribuye por sexo y edad como muestra la siguiente tabla:
Tabla 3: Distribución de la muestra por sexo y edad (%)
Edad Sexo entrevistado Total
Mujer Hombre 15-24 años 10,3 8,8 19,2 25-34 años 14,3 13,0 27,3 35-44 años 12,4 12,6 25,0 45-54 años 7,6 10,5 18,1 Más de 55 años 3,0 7,4 10,4 Total 47,6 52,4 100,0 Fuente: INTECO 3
Error muestral
El error para la muestra total (n=3.050) es de ± 1,26. Este error muestral está calculado para un nivel de confianza del 95,5%, y siendo p=q=0,50.
2.4 FASE 4: INVESTIGACIÓN CUALITATIVA
El propósito de la investigación cualitativa ha sido recabar la opinión de expertos profesionales y expertos ligados al ámbito de la seguridad TIC en relación a las amenazas, riesgos e implicaciones, tanto a nivel técnico como legal del uso del software no autorizado, así como la posible identificación de las principales recomendaciones para mitigar estos riesgos.
También, han aportado su visión y experiencias en la materia para obtener indicadores y pautas claras.
La relación de expertos participantes en el presente estudio es la siguiente: 1. Alberto Cuesta (Global Legal Data)
2. Alonso Hurtado (LexTic) 3. Antonio Fontiveros (Abertis)
4. Antonio Ramos (Presidente ISACA Madrid)
5. Centro de Excelencia de Código Libre de Castilla-La Mancha. 6. César Grasa (GCI)
7. Cristina Martínez (Rocabert & Grau) 8. Eduard Chaveli (Audedatos)
9. Elena Calderón (GMV) 10. Elia Florio (Symantec) 11. Esther Rus (Allianz)
12. Ignacio Alamillo (Astrea La Infopista Jurídica) 13. Isidro Labrador (GMV)
14. Jaume Ayerbe (HP-Fortify) 15. Jordi Bacaria (Legal Data)
16. Jordi Solà (Caixa del Penedès) 17. Lexsi Group
18. Marcos Gómez (Instituto Nacional de Tecnologías de la Comunicación) 19. Mariano J. Benito (GMV)
20. Mario Maawad (Mobey Forum)
21. Miguel Ángel Amutio (Ministerio de Presidencia) 22. Miguel Cebrián (Symantec)
23. Miguel Villa (Junta de Castilla y León)
24. Pablo Pérez (Instituto Nacional de Tecnologías de la Comunicación) 25. Paloma Llaneza (Razona LegalTech)
26. Pedro P. López (Razona LegalTech)
27. Ramon Miralles (Autoridad Catalana de Protección de Datos) 28. Raúl Siles (Taddong)
29. Salvador Silvestre (Rocabert & Grau) 30. Sergio de los Santos (Hispasec Sistemas) 31. Xavier Serrano (Banc de Sabadell)
Para la realización de la investigación cualitativa se ha llevado a cabo un método DELPHI4 en dos rondas. Asimismo, las aportaciones de los expertos se han agrupado en las siguientes categorías, en función de su perfil:
• Expertos en seguridad: profesionales con amplia experiencia del sector de la seguridad de la información y malware, con certificaciones de prestigio a nivel internacional, trabajando en empresas de referencia tanto en el sector público, como en el privado.
• Responsables de seguridad (CISO): gerentes de seguridad de la información de más alto nivel dentro de las organizaciones, responsables de establecer y
4
Linstone & Turoff (2002): The Delphi Method: Techniques and Application. New Jersey Institute of Technology (http://is.njit.edu/pubs/delphibook/delphibook.pdf)
mantener la visión de la empresa, estrategia y programas para asegurar que los activos de información estén adecuadamente protegidos. El CISO dirige al personal en la identificación, desarrollo, implementación y mantenimiento de los procesos en toda la organización para reducir los riesgos en las tecnologías de la información (TI), dar respuesta a los incidentes, establecer normas y controles apropiados, y dirigir el establecer la aplicación de políticas y procedimientos. • Juristas y expertos en Derecho de las TIC y sobre propiedad intelectual:
profesionales del ámbito legal y técnico, especialmente expertos en asesoría sobre legalidad vigente en materia de seguridad TIC.
• Industria del software: profesionales de empresas nacionales e internacionales que están relacionadas con las descargas de software no autorizado, ya sea de forma directa trabajando en la defensa del software, o de forma indirecta que se ven perjudicadas por la vulneración de los derechos de autor.
3
MARCO REGULATORIO DEL USO Y ADQUISICIÓN
DEL SOFTWARE
3.1 TIPOLOGÍA DEL SOFTWARE SEGÚN SU LICENCIAMIENTO
Las licencias de distribución de software se pueden clasificar según los derechos que cada autor se reserve sobre su obra.
Una licencia es aquella autorización formal con carácter contractual que un autor de un software otorga a un interesado para ejercer "actos de explotación legales". Normalmente se clasifican como:
• Software libre (free software). Se denomina libre por la libertad de los usuarios para ejecutar, copiar, distribuir, estudiar, modificar el software y distribuirlo modificado. En 1985 se creó la Fundación para el software libre (FSF)5, fundada por Richard Stallman, con el propósito de difundir esta modalidad. Hay diferentes niveles de libertad recogidas según el tipo de licencia libre.
Tabla 4: Niveles de libertad según tipo de licencia libre
Libertad Descripción
0 La libertad de usar el programa, con cualquier propósito.
1 La libertad de estudiar cómo funciona el programa y modificarlo, adaptándolo a las necesidades de cada usuario.
2 La libertad de distribuir copias del programa, con lo cual se puede ayudar al prójimo. 3 La libertad de mejorar el programa y hacer públicas esas mejoras a los demás, de
modo que toda la comunidad se beneficie.
Fuente: GNU.org • Software propietario (también llamado privativo, de código cerrado o software no libre): Es aquel software que se protege contra la copia, modificación o redistribución (con o sin modificaciones), ya sea a través de su limitación a través de la licencia de software, o en su caso mediante la utilización de sistemas de protección de copia. Habitualmente, la utilización de este tipo de software requiere el abono por parte del usuario de una cantidad económica determinada.
No obstante, otro tipo de software propietario es el software gratuito. Normalmente conocido como freeware, en ocasiones es confundido con el software libre (al traducir la palabra inglesa free). Sin embargo, este tipo de software, aunque no se cobre por su uso sí está bajo licencia propietaria, no pudiendo asemejarse al concepto de software libre anteriormente referenciado.
5
Así pues, el objeto de análisis de este estudio está centrado en el software propietario con licencia de pago por uso obtenido de manera no autorizada a través de diferentes las fuentes de descarga disponibles en la Red.
3.2 SOFTWARE DE USO LEGAL
La frontera entre la legalidad y la ilegalidad de las descargas de software no autorizado es un tema sujeto actualmente a debate. Los países intentan frenar una actividad considerada ilegal en la mayoría de ellos, en tanto supone una violación a los derechos de autor y con un impacto significativo en la economía del país, introduciendo regulaciones que limitan y sancionan dichas actividades6.
Este capítulo tiene como finalidad presentar el marco regulatorio actual de la adquisición y uso del software en España. A los efectos del presente estudio, se han tomado como bases para la definición de qué software se entiende como autorizado y como no autorizado el estado de la legislación vigente o con fecha de vigencia cercana que se detalla en este capítulo. La ubicación temporal de la Legislación Aplicable se ha considerado un factor crítico en el estudio, en tanto que era un aspecto que ha evolucionado con la reciente promulgación de diversas iniciativas legislativas.
3.3 REGULACIÓN SOBRE LA PROPIEDAD INTELECTUAL
El concepto de propiedad intelectual hace referencia a todas las creaciones de la mente humana7. Este concepto se divide en dos categorías:
• El derecho de autor y los derechos conexos. Comprende los derechos sobre las obras escritas, las obras musicales, las obras artísticas, las obras dramáticas y coreográficas (los derechos de los artistas intérpretes o ejecutantes sobre sus interpretaciones o ejecuciones), sobre las películas y productos multimedia, los programas informáticos (lenguajes de programación informática de tipo humano – código fuente- o por máquina –código objeto-), y sobre las grabaciones y organismos de radiodifusión (programas de radio o televisión) de los productores de fonogramas.
6
En España (así como en el ámbito de la UE), desde hace años, la descarga y reproducción de cualquier contenido protegido con derechos de propiedad intelectual es un acto ilegal por ser contrario a la normativa de Propiedad Intelectual. Ahora bien, su ilegalidad lo es desde el punto de vista civil, pero no desde el punto de vista penal. Si bien la mayoría de las
Majors utilizan la jurisdicción penal para reclamar sus derechos (por ser una vía más rápida que la civil y menos costosa al
ser gratuita su fase probatoria), por otro lado prácticamente la totalidad de jueces y tribunales no están estimando la vía penal como posible para considerar la vulneración de derechos de propiedad intelectual al no apreciar la existencia de ánimo de lucro en la mayoría de las plataformas P2P, basándose, entre otras en la Circular 1/2006, de la Fiscalía General del Estado, sobre los Delitos contra la Propiedad Intelectual e Industrial tras la reforma de la Ley Orgánica 15/2003. Por tanto, las descargas son ilegales actualmente en España, pero son ilegales civilmente y no constitutivas de delito.
7
• La propiedad industrial. En ésta quedan comprendidas: las patentes de invención, las marcas, los diseños industriales, los circuitos integrados y las indicaciones geográficas.
No obstante, en el caso concreto del software es necesario hacer una serie de precisiones. Mientras que en EEUU o Japón la normativa sobre propiedad intelectual (Property Rights) sí considera ambos aspectos –derechos de autor y propiedad industrial– en el ámbito de la UE (y por tanto en España) no se protege la propiedad industrial del software, con la excepción de que se haya patentado la proyección técnica del mismo8.
Como se ha señalado, frente al concepto anglosajón, en Europa el software únicamente puede ser protegido por derechos de propiedad intelectual. Sin embargo ese "únicamente" puede llegar a ser relativo, ya que en la UE sí sería posible registrar patentes de software siempre y cuando dicho software esté integrado en un hardware concreto. Por ejemplo, una solución anti-spam, cuya propiedad industrial no estaría protegida mediante patente por sí sola, una vez instalada en un servidor appliance sí sería patentable. Otra alternativa –la más utilizada por parte de las principales compañías creadoras de software (Microsoft, Google, Amazon, Facebook) es hacer una “patente de procesos”. A fin de cuentas, un programa informático no es más que una secuencia de procesos concatenados entre sí e interrelacionados. De hecho, son muchas las patentes concedidas en la actualidad por esta vía y aunque en ningún momento indican que se trata de software, sin embargo lo son.
Los derechos de propiedad intelectual permiten a los creadores -o a los titulares de patentes, de marcas o de obras protegidas por derecho de autor- obtener provecho de su obra o de su inversión en la creación. Estos derechos se exponen en el artículo 27 de la Declaración Universal de Derechos Humanos9, que contempla el derecho de toda persona a la protección de los intereses morales y materiales que se derivan de la autoría de las producciones científicas, literarias o artísticas.
A diferencia de los derechos de propiedad industrial, la protección por derechos de propiedad intelectual se adquiere con la mera creación de la obra, sin necesidad de registro, siendo requisito imprescindible para ello que la obra objeto de la protección sea original. Esto significa que una obra no puede ser una simple copia de otra.
En 1886 fue aprobado el Convenio de Berna para la Protección de las Obras Literarias y Artísticas, también conocido como el Tratado de Berna, con la finalidad de reducir las
8 Directiva 2001/29/CE del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonización de
determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la Sociedad de la Información. Disponible en: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:167:0010:0019:ES:PDF 9
diferencias en los derechos de los diferentes países. Este tratado ha sido completado y revisado varias veces, siendo reformado por última vez el 28 de septiembre de 1979. Actualmente un total de 164 estados han ratificado este convenio, observándose un importante crecimiento desde la década de los años 90 hasta la actualidad.
Gráfico 1: Estados miembros del Convenio de Berna
0 20 40 60 80 100 120 140 160 180 1970 1980 1990 2000 2011 Estados miembros
Fuente: WIPO (World Intellectual Property Organization) Según el Convenio de Berna, las obras no tienen que estar obligatoriamente registradas para estar protegidas por el derecho de autor. La protección por el derecho de autor es automática a partir del momento de creación de la obra y dura como mínimo la vida del autor más 50 años tras la muerte del mismo, sin perjuicio de que en algunos estados el número de años de protección es superior.
En 1970, se constituyó la Organización Mundial de la Propiedad Intelectual (OMPI) con el mandato, derivado de sus estados miembros, de fomentar la propiedad intelectual en todo el mundo impulsando la cooperación entre los distintos Estados y la colaboración con otras organizaciones internacionales. En 1974 pasó a ser un organismo especializado del sistema de las Naciones Unidas y actualmente está integrada por 184 estados miembros (más del 90% de todos los países del mundo).
El objetivo de la OMPI es desarrollar un sistema de propiedad intelectual equilibrado y sencillo que incentive la creatividad, fomente la innovación y contribuya al desarrollo económico sin dejar de velar por el interés público.
3.3.1 Normativa sobre la propiedad intelectual en España
Actualmente España es miembro de 22 tratados de la OMPI y su cumplimiento es competencia del Ministerio de Educación, Cultura y Deporte10. En la OMPI, se recoge la Colección de Leyes para Acceso Electrónico (CLEA)11 que legisla sobre los derechos de autor en España.
Obviamente, como en el resto de países de la Unión Europea, la legislación española también debe seguir las directivas marcadas desde el Parlamento Europeo en el ámbito de protección de la propiedad intelectual y los derechos de autor.
La Directiva sobre la protección jurídica de programas de ordenador está actualmente recogida, en la Ley de Propiedad Intelectual12 española, en los artículos 95 y siguientes, donde se protege a los programas de ordenador a través de los derechos de autor como obras literarias en el sentido recogido en el Convenio de Berna.
La nueva Ley 2/2011, de 4 de marzo, de Economía Sostenible (LES), introduce en el sistema de protección de derechos de propiedad intelectual regulaciones que hacen referencia a la protección de los derechos de autor, hasta ahora recogidas en las siguientes leyes:
• Ley de Servicios de la Sociedad de la Información (LSSI)13 . • Ley de Propiedad Intelectual14.
• Ley Reguladora de la Jurisdicción Contencioso-Administrativa15.
El objetivo de la LES es introducir en el sistema de protección de los derechos de autor, una herramienta que permita al Gobierno, y concretamente al Ministerio de Educación, Cultura y Deporte, combatir las descargas y el intercambio de links para descargar contenidos protegidos por derechos de propiedad intelectual, incluido el software, sin autorización por parte de sus legítimos propietarios. A partir de la LES, se crea la Comisión de Propiedad Intelectual, que tiene entre sus objetivos:
10
Sección “Propiedad Intelectual” dentro del Ministerio de Educación, Cultura y Deporte. Disponible en: http://www.mcu.es/propiedadInt/index.html
11Colección de Leyes para Acceso Electrónico (http://www.wipo.int/wipolex/es/profile.jsp?code=ES). 12
Texto Refundido de la Ley de Propiedad Intelectual, aprobado por Real Decreto Legislativo 1/1996 (http://www.mcu.es/propiedadInt/docs/RDLegislativo_1_1996.pdf).
13
Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (http://www.lssi.es).
14
Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia (http://www.boe.es/aeboe/consultas/bases_datos/act.php?id=BOE-A-1996-8930)
15
Ley 29/1998, de 13 de julio, reguladora de la jurisdicción Contencioso-Administrativa. ( http://www.boe.es/aeboe/consultas/enlaces/documentos/leyes_procesales/ley_jurisdiccion_cont_adva.pdf)
• Ejercer las funciones de mediación y arbitraje definidas en la propia ley.
• Salvaguardar los derechos de la propiedad intelectual frente a su vulneración por los responsables de servicios de la Sociedad de la Información. Para ello, podrá adoptar las medidas necesarias para que se interrumpa la prestación de un servicio o para retirar los contenidos que vulneren la propiedad intelectual por parte de un prestador con ánimo de lucro, directo o indirecto, o de quien pretenda causar daño patrimonial. De todas maneras, corresponde a los Juzgados Centrales ejecutar las resoluciones adoptadas por la Comisión.
En este sentido, el Real Decreto 1889/2011, de 30 de diciembre, en vigor desde el 1 de marzo de 2012, regula el funcionamiento de la referida Comisión de Propiedad Intelectual. El procedimiento regulado en el citado Real Decreto contempla, como principal novedad, la posibilidad de que los autores y propietarios de derechos de propiedad intelectual puedan solicitar a la Comisión la retirada e incluso el cese de la actividad de todos aquellos sitios web respecto de los que existan indicios razonables de que están vulnerando sus derechos de propiedad intelectual, existiendo ánimo de lucro – directo o indirecto – en dicha actividad.16
3.3.2 Normativa sobre propiedad intelectual de la Unión Europea
El llamado “Paquete Telecom” (COM (2007) 69717, COD/2007/024718), está compuesto por una serie de Directivas de la Unión Europea que tienen como objetivo la reforma y actualización de la normativa comunitaria sobre telecomunicaciones de 2002 y la unificación del mercado europeo para los 27 estados miembros de la UE. Este paquete entró en vigor en diciembre de 2009, y los estados miembros han tenido 18 meses para aplicar sus disposiciones en la legislación nacional.
En virtud del mismo se crea un nuevo organismo denominado Organismo de Reguladores Europeos de Comunicaciones Electrónicas (BEREC)19 para la supervisión de la regulación de las telecomunicaciones en los estados miembros.
Esta norma autoriza a los estados miembros la potestad de desconectar a los usuarios de Internet en caso de que estos estén llevando a cabo una descarga no autorizada de material protegido por derechos de autor. Para realizar esta desconexión, previamente, debe existir un procedimiento, justo e imparcial y bajo la tutela judicial. Además, otorga a
16
La Disposición Adicional 4ª, párrafo 5º de la Ley Jurisdicción Contencioso-Administrativa ha sido actualizada para incluir la posibilidad de recurrir las resoluciones de la Comisión de Propiedad Intelectual, directamente, en única instancia, ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.
17
COM (2007) 697: Propuesta de Directiva del Parlamento Europeo y del Consejo (http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=en&DosId=196418)
18
COD/2007/0247: Common regulatory framework for networks and services, access, interconnection and authorization.(http://www.europarl.europa.eu/oeil/FindByProcnum.do?lang=en&procnum=COD/2007/0247)
19
los consumidores el derecho a cambiar de operador telefónico en un solo día manteniendo su número, el derecho a firmar contratos de 12 meses, y el derecho a ser notificado en caso de ciertas violaciones a la privacidad de sus datos.
La Comisión Europea ha aprobado recientemente la Directiva 2009/24/CE20 del Parlamento Europeo y del Consejo, de 23 de abril de 2009, sobre la protección jurídica de los programas de ordenador. Esta directiva recoge que todos los estados miembros deben proteger mediante los derechos de autor los programas de ordenador, considerándolos como obras literarias, tal y como se define en el Convenio de Berna. Esta protección se aplica a:
• Cualquier forma de expresión de un programa de ordenador. Las ideas y principios en los que esté basado no están incluidos en la protección.
• Un programa original.
• Los programas creados con anterioridad al 1 de enero de 1993, sin perjuicio de los actos y de derechos adquiridos antes de dicha fecha.
Se considera titular/autor del programa de ordenador a la persona física o al grupo de personas físicas que lo haya creado, y en el caso de la legislación lo permita, a la persona jurídica. En el caso de que el programa se cree de manera conjunta por varias personas, los derechos exclusivos serán de propiedad común.
En el caso de que un trabajador cree un programa de ordenador siguiendo instrucciones de su empresario, el titular de los derechos será exclusivamente éste último.
El titular de los derechos de autor puede efectuar o autorizar: • La reproducción total o parcial del programa.
• La traducción, adaptación, arreglo y cualquier transformación del programa. • La distribución del programa.
Aun así, toda persona con derecho a utilizar el programa podrá realizar una copia si resulta necesaria para dicho uso. Dicha persona podrá observar, estudiar y verificar el funcionamiento del programa sin el consentimiento implícito del titular de los derechos. Además, no será necesaria la autorización del titular del derecho cuando la reproducción del código y la traducción sean indispensables para obtener la información necesaria
20
para la interoperabilidad con otros programas creados de manera independiente, siempre que se cumplan los siguientes requisitos:
• Sea realizado por el licenciatario o por una persona facultada para usar una copia del programa.
• La información no esté previamente disponible de una manera fácil.
• Que se limite estrictamente a las partes del programa que sean necesarias para conseguir la interoperabilidad.
Además, los estados miembros adoptarán medidas contra las personas que cometan alguno de los siguientes actos:
• Puesta en circulación de una copia ilegítima de un programa de ordenador. • Tenencia con fines comerciales de una copia.
• Puesta en circulación con fines comerciales de cualquier medio cuyo único objetivo sea suprimir cualquier dispositivo técnico de protección.
Por último, remarcar que las copias ilegítimas de programas de ordenador podrán ser confiscadas por las autoridades competentes.
3.3.3 Normativa sobre propiedad intelectual en EEUU
Estados Unidos es un miembro de la OMPI y ha firmado el Convenio de Berna para la protección de la propiedad intelectual. En este contexto, ha creado la Digital Millenium
Copyright Act (DMCA)21 que implementa los tratados de la Organización Mundial de la Propiedad Intelectual. La DMCA se ocupa no sólo de la infracción de los derechos de reproducción, sino también de la creación y distribución de tecnología que permita sortear las medidas de protección utilizadas.
El objetivo de la sección 1201 de la DMCA es penalizar como infractores de los derechos de autor a todos aquellas personas que faciliten los medios o métodos para evitar las protecciones anti-copia.
Basándose en esta protección, se ha utilizado el DMCA para bloquear la competencia. Además, esta protección convierte un acto no ajustado a derecho que el usuario haga una copia de un DVD de su propiedad para reproducirlo en un reproductor portátil. Esta protección incluye el software destinado a hacer copias de seguridad de DVD.
21
En octubre de 2011 se ha presentado el proyecto de la ley conocido como Stop Online
Piracy Act (Ley de cese de la piratería online), o ley SOPA por sus siglas en inglés. La
norma, que todavía se encuentra en fase de debate y por tanto no está en vigor en el momento de publicación del presente estudio, tiene como objetivo combatir el tráfico online de contenidos y productos protegidos, ya sea por derechos de autor o de propiedad intelectual. El proyecto de ley originalmente propuesto permitiría que los autores propietarios de los derechos vulnerados y el Departamento de Justicia de los Estados Unidos, puedan obtener órdenes judiciales ágiles contra los sitios de Internet que permitan o faciliten la vulneración de los derechos de autor.
3.4 REGULACIÓN SOBRE LA REVENTA O CESIÓN DE SOFTWARE USADO22 La Directiva 2001/29/CE23 recoge el “principio de agotamiento”, según el cual, el derecho de distribución se agotará en el ámbito de la Unión Europea cuando se realice la primera venta u otro título de transmisión de la propiedad del original de una obra o de copias de la misma por el propio titular del derecho o con su consentimiento24. Este derecho no se agota cuando se aplica al original o a sus copias vendidas por el titular del derecho o con su consentimiento fuera de la Comunidad.
En virtud de ese principio, la patente confiere así un monopolio sobre la invención (es decir, los conocimientos tecno-prácticos) y no sobre los productos que resultan legítimamente de esa invención. El titular de la patente conserva el derecho exclusivo de fabricar el producto patentado y ponerlo en el mercado, pero desde ese momento no posee ningún derecho ulterior sobre el producto en sí. Por lo tanto pierde el monopolio de importación y venta.
Así, en el caso del software, en principio, una vez comercializada la licencia concreta por parte del propietario, no podría limitarse la reventa de la misma licencia por parte de terceros, sin perjuicio de que se trata de una cuestión extraordinariamente controvertida que actualmente está siendo analizada por parte de la Comisión Nacional de la Competencia25 (CNC).
La propia Ley de Propiedad Intelectual dice en su art 19.1 que se entiende por distribución la puesta a disposición del público del original o de las copias de la obra, en
22
Software usado (http://www.usedsoft.com/landingpage/es/index.php?task=faq).
23Directiva 2001/29/CE (http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CONSLEG:2001L0029:20010622:ES:HTM). 24
Que posteriormente ha sido traspuesta por la Ley 23/2006, de 7 de julio, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril. Disponible en: http://www.boe.es/boe/dias/2006/07/08/pdfs/A25561-25572.pdf
25
Referencia al expediente S/0322/11 de la Comisión Nacional de la Competencia -actualmente en tramitación- por posible vulneración de los artículos 1 y 2 de la Ley de Defensa de la Competencia y los artículos 101 y 103 del Tratado de Funcionamiento de la Unión Europea (TFUE). Disponibles desde el siguiente link: http://www.cncompetencia.es/Inicio/Expedientes/tabid/116/Default.aspx?sTipoBusqueda=3&PrPag=1&PagSel=1&Numero= S%2f0322%2f11&Ambito=Conductas
un soporte tangible. Por ello, el problema del agotamiento no se plantea en el caso de los servicios y en particular de los servicios en línea: y lo mismo cabe aplicar al alquiler y préstamo del original y de las copias de las obras o prestaciones que por su naturaleza constituyen servicios26.
El principio de agotamiento según lo descrito en la Directiva Europea se introduce en la legislación española mediante la modificación del artículo 19.2 de la Ley de Propiedad Intelectual27 el cual establece que “cuando la distribución se efectúe mediante venta, en el ámbito de la Unión Europea, este derecho se extingue con la primera y, únicamente, respecto a las ventas sucesivas que se realicen en dicho ámbito por el titular del mismo o con su consentimiento”.
Este principio de agotamiento tiene dos excepciones, en el caso de la reproducción y la comunicación en el dominio público. Es decir, siempre es necesario el permiso del autor para la reproducción de una obra en público.
3.5 REGULACIÓN SOBRE EL DOMINIO PÚBLICO
El dominio público lo constituyen todas las obras que no están protegidas por el derecho de autor y que por tanto pueden ser utilizadas sin permiso o en su caso, sin tener que abonar cantidad alguna al propietario de la misma. Es decir, las obras de dominio público pueden ser copiadas, distribuidas, adaptadas, interpretadas y exhibidas en público gratuitamente, como si perteneciesen a todos, siempre y cuando se respete la autoría e integridad de la obra28. El software de dominio público no dispone de ningún tipo de licencia.
Una obra entra en el dominio público cuando:
• Termina el período de vigencia de su protección por el derecho de autor. • La obra se ha donado a la humanidad.
• No cumple las condiciones de protección del derecho de autor.
El que una obra esté disponible en Internet, no significa que sea de dominio público y por tanto que pueda ser usada libremente por cualquier persona.
26
A diferencia del CD-ROM o CD-I, en los que la propiedad intelectual está incorporada a un soporte material, esto es, una mercancía, cada servicio en línea es, de hecho, un acto que debe quedar sujeto a autorización cuando así lo exijan los derechos de autor o derechos afines a los derechos de autor.
27Ley 23/2006, de 7 de julio, por la que se modifica el Texto Refundido de la Ley de Propiedad Intelectual. Disponible en: http://www.boe.es/boe/dias/2006/07/08/pdfs/A25561-25572.pdf
28
Real Decreto Legislativo 1/1996 de 12, de abril por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual. Disponible en: http://www.mcu.es/propiedadInt/docs/RDLegislativo_1_1996.pdf
4
DEMANDA E IMPACTO DEL SOFTWARE DE USO NO
AUTORIZADO
4.1 PRESENCIA EN INTERNET DE CONTENIDOS QUE INFRINGEN LOS DERECHOS DE PROPIEDAD INTELECTUAL
Para ver el peso que tiene la obtención de contenidos a través de Internet, basta observar el volumen de tráfico en Internet asociado a la compartición y/o descarga de archivos. Así, de todo el tráfico de datos generado en la Red a nivel mundial, el 31% se realiza a través de sitios de intercambio de información de diferente índole.
Todas ellas se pueden clasificar según las diferentes tecnologías de descarga y compartición de ficheros que utilizan: como el protocolo BitTorrent, los servicios online de descarga directa o cyberlockers29, eDonkey, Gnutella y otros programas P2P30 (peer to peer, o red de “punto a punto” entre iguales).
A nivel europeo, y partiendo de los resultados que ofrece Internet Observatory31, para octubre de 2011, se obtienen ligeras variaciones del uso del ancho de banda respecto a los totales mundiales32. Puede observarse que el 16,1% del total de tráfico de datos europeo se realiza exclusivamente entre sitios de intercambio de archivos. Analizándolo en detalle, resulta que casi dos terceras partes del tráfico este tipo de sitios web corresponden a BitTorrent y un tercio a eDonkey (11,4% y 4,3% del total respectivamente).
29
A efectos de este estudio se utilizarán los conceptos cyberlockers o servicios online de descarga directa indistintamente.
30
Las redes P2P (peer to peer) están constituidas por equipos conectados entre sí con el fin de compartir información entre ellos. El intercambio de esta información se realiza mediante una comunicación directa entre los equipos (cada equipo es a la vez cliente y servidor).
31
Internet Observatory (http://www.internetobservatory.net/).
32
No obstante, en este escenario europeo no se desglosa la descarga directa o cyberlockers, por lo que debe considerarse incluida dentro del tráfico “Web”.
Gráfico 2: Uso del tráfico mundial/europeo de Internet
Fuente: Envisional e Internet Observatory ¿Qué parte de dicho tráfico de datos se dedica a la descarga de contenidos que infringen los derechos de propiedad intelectual? A partir de los diferentes estudios del uso y tráfico de datos en Internet y del análisis en detalle de los contenidos disponibles en la Red, puede afirmarse que 23,8% de todo su ancho de banda a nivel mundial está dedicado a la transferencia de archivos con contenidos que vulneran los derechos de autor.
Gráfico 3: Análisis del tráfico mundial que infringe la propiedad intelectual
Fuente: Envisional A continuación se detalla para diferentes sitios de compartición de archivos – BitTorrent,
servicios de descarga directa, eDonkey – el volumen del tráfico en Internet generado por
cada una de ellas y el porcentaje de contenidos que vulneran los derechos de autor alojados en las mismas.
4.1.1
Contenidos en BitTorrent
BitTorrent es uno de los protocolos más comunes de intercambio de
ficheros. Es utilizado para distribuir grandes cantidades de datos a través de Internet. Existen muchos clientes BitTorrent disponibles para diferentes plataformas informáticas.
El protocolo BitTorrent es utilizado para reducir el impacto en el servidor y la red de distribución de archivos grandes. En lugar de realizar las descargas desde un único servidor fuente, el protocolo BitTorrent permite a los usuarios unirse a un "enjambre" de clientes para cargar y descargar al mismo tiempo de forma bilateral.
El protocolo puede trabajar a través de redes con bajo ancho de banda permitiendo que muchos equipos pequeños, como teléfonos móviles, sean capaces de distribuir eficientemente los contenidos a varios destinatarios.
El 54% de los Torrents (datos indexados preparados para descargar) se encuentra centralizado en 3 servidores, preparados para realizar búsquedas de contenidos33.
33 ISOHUNT (http://www.ca.isohunt.com/stats.php?mode=btSites) 23,8% 1,4% 11,4% 5,1% 1,6% 1,6% 1,8% 0,9% 100,0% 26,5% 17,9% 7,0% 2,3% 2,0% 1,8% 0,9% 100% 80% 60% 40% 20% 0% 20% 40% 60% 80% 100% Total Video streaming BitTorrent Cyberlockers Gnutella Other P2P eDonkey Usenet
Gráfico 4: Servidores con más Torrents indexados 0 200.000 400.000 600.000 800.000 1.000.000 1.200.000 1.400.000 1.600.000 Fuente: ISOHUNT Como ya se ha visto anteriormente (ver Gráfico 2), el intercambio de datos e información a través del protocolo BitTorrent supone el 17,9% del tráfico mundial de Internet. Mediante el análisis de una muestra de los 10.000 top torrents, se estima que, tras descartar los contenidos de pornografía, cerca de dos tercios (63,7%) vulneran los derechos de la propiedad intelectual. Esto supone un 11,4% del tráfico mundial de Internet. En el siguiente gráfico se recoge el análisis del tráfico BitTorrent y su relación con las descargas protegidas por los derechos de autor.
Gráfico 5: Análisis del tráfico de BitTorrent (a nivel mundial)
63,7% 35,8% 0,01%
0,48%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Contenidos que vulneran los derechos de autor Pornografía
Contenidos que no vulneran los derechos de autor Contenidos desconocidos
4.1.2 Contenidos en servicios de descarga directa o cyberlockers
Los cyberlockers son sitios web donde los usuarios comparten temporalmente ficheros. Son un método de descarga utilizado por los usuarios que poseen una pobre conexión de Internet, o que por diversos motivos, no pueden utilizar programas peer to peer (P2P), ya que, a través de ellos se pueden descargar los ficheros utilizando únicamente un navegador.
Las descargas directas son el segundo34 mecanismo más utilizado de descarga de software no autorizado a nivel mundial.
Existen una gran variedad de servidores que comparten los datos, con diferentes modalidades de suscripción o uso, y en cada país hay diferentes preferencias de descarga.
Como se ha visto anteriormente (ver Gráfico 2), el 7% del tráfico total de Internet a nivel mundial corresponde a descargas directas o cyberlockers. De este porcentaje, tras analizar una muestra de 2.000 links de descarga y descartar los contenidos de pornografía, aproximadamente el 73,2% corresponde a contenidos protegidos por derechos de propiedad intelectual. Esto supone un 5,1% del tráfico mundial de Internet.
Gráfico 6: Análisis del tráfico de cyberlockers (a nivel mundial)
Fuente: Envisional
Alexa. Web Information Company (http://www.alexa.com)
73,2% 20,1% 6,8%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Contenidos que vulneran los derechos de autor Pornografía
4.1.3 Contenidos en eDonkey
A través de eDonkey los internautas se pueden descargar diferentes fragmentos de un solo archivo de otros usuarios. eDonkey utiliza el ancho de banda combinado de todos los usuarios en lugar de estar limitado al ancho de banda de un único servidor.
Existen varios clientes que soportan este tipo de red, pero el cliente de eDonkey más utilizado es eMule, que también permite la conexión a la red KAD35.
En el caso de las redes eDonkey, que suponen un 1,84% del tráfico mundial de Internet, también se ha detectado un elevado volumen de contenidos que infringen los derechos de propiedad intelectual.
Concretamente, tras el análisis de 82.229 resultados obtenidos para 200 búsquedas, un 98,8% están protegidos por los derechos de autor. Esto implica que el 1,82% del tráfico mundial corresponde a tráfico eDonkey que viola la propiedad intelectual.
Gráfico 7: Análisis36 del tráfico de eDonkey (a nivel mundial)
Fuente: Envisional
35
La red KAD es un sistema que realiza la transferencia de archivos utilizando el protocolo UDP. Mediante KAD los clientes se conectan directamente (utilizando el estándar de red IP pública) y obtienen la información en función del nombre y hash de los ficheros. Esto permite encontrar mayor número de software, ya que no solo se utilizan los repositorios de los servidores, sino también los ficheros compartidos por otros usuarios.
36
Nótese que en este caso no se han cogido ficheros al azar, sino que se ha buscado concretamente 200 contenidos. De ahí que el gráfico no represente contenidos pornográficos.
98,8% 1,2%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%