México: ¿Por qué el FBI está investigando a ZOOM? anotaciones sobre privacidad y ciberseguridad en el contexto de las plataformas digitales de videoconferencia.

24 abril, 2020

Este documento consta de cuatro partes. La primera provee una introducción y síntesis sobre los hechos analizados, la segunda aborda consideraciones sobre el marco regulatorio en materia de privacidad y ciberseguridad, la tercera analiza las obligaciones contractuales y regulatorias que derivan de este modelo de negocio, finalizando con un cuarto apartado de conclusiones.

I. Introducción

La pandemia del coronavirus ha generado que se suspendan la mayoría de las labores, escuelas y prácticamente todas las reuniones presenciales de grandes y medianos grupos de personas, provocando un incremento masivo en el uso de las plataformas de comunicación a distancia, tales como lo son: Zoom, Google Meet, Microsoft Teams, Skype, entre otras.

El incremento desmesurado en las plataformas digitales colocó a varias de estas en la mira de diversas instituciones internacionales, como lo es el FBI (Federal Bureau of Investigation) por problemas relacionados con protección de datos personales, privacidad y ciberseguridad.

El Departamento de Seguridad Nacional de los Estados Unidos (U.S. Department of Homeland Security), emitió un comunicado relativo a las amenazas que se presentan ante la ciberseguridad en las plataformas de comunicación a distancia, haciendo referencia en particular a las aplicaciones de Zoom y Microsoft Teams, respectivamente.

Tras las investigaciones anteriormente mencionadas, la plataforma de Zoom comenzó a tomar medidas para la corrección de los problemas que se habían suscitado[1], tales como el “zoombombing”, que se refiere al ingreso de terceros extraños a las conferencias en la plataforma, ya sea en reuniones, clases virtuales, o en el ámbito laboral; la actualización de las políticas de privacidad, con el fin de mostrarse más claros respecto a los datos que recolecta la aplicación; así como evitar la recolección de información innecesaria de la cuenta de Facebook de los usuarios.

II. Consideraciones Normativas sobre Privacidad y Ciberseguridad

A consecuencia de la contingencia sanitaria, el memorandum que Homeland Security publicó con motivo del uso de plataformas digitales para el teletrabajo[2], advirtió los severos riesgos de seguridad que el uso de éstas contrae, identificando principlamente cuatro prácticas maliciosas: (i) phishing, (ii) distribución de malwares, (iii) cibertaques a las comunicaciones, y (iv) registro de dominios de internet con palabras relacionadas al como COVID19 y coronavirus, de uso cuestionable.

Desde un análisis a luz del derecho mexicano, cabe mencionar que toda empresa que ofrezca servicios presenciales o en línea, puede operar en México a través de personas morales constituidas en México, o bien, mediante sociedades extranjeras autorizadas para operar en nuestro país[3], en términos de la Ley de Inversión Extranjera.

Asimismo, primeramente deberán contar con los sistemas de seguridad suficientes y políticas de privacidad que aseguren al usuario de las plataformas que su información se encuentra debidamente resguardada ya que, de lo contrario, serían responsables directamente por cualquier mal uso de ésta.

El primer mecanismo de prevención de riesgos legales, es la clara comunicación de los términos y condiciones de uso de las plataformas. El caso Zoom es aleccionador, ya que todo derivó de un mal manejo de esta información, tal y como lo reconoció la misma plataforma[4].

Considerando que dichas plataformas manejan un cúmulo de información considerable y que por su contenido puede considerarse sensible y personalísima, en México estas empresas están sujetas a un régimen de obligaciones específicas, contenidas en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Dicha norma, entre diversas obligaciones que impone a quienes tratan datos personales, regula el denominado aviso de privacidad, que constituye el documento mediante el cual al usuario se le da a conocer el uso y tratamiento de su información. Dicho aviso, presume la existencia de una expectativa razonable de privacidad.

En consecuencia, si los términos y condiciones del aviso de privacidad de cualquier plataforma, falsea u omite información relativa al encriptamiento y resguardo de la información vertida en las videoconferencias sostenidas a través de la plataforma, se estaría entonces frente a una falta en materia de privacidad y tratamiento de datos personales, al omitir información en el aviso de privacidad y el vulnerar la seguridad de bases de datos, locales, programas o equipos.

Asimismo, las disposiciones a seguir en materia de ciberseguridad por parte de estas plataformas, es prioritario. Sin embargo, en México, la escasez de especialistas y regulaciónhace compleja esta labor, toda vez que el marco legal aplicable sería el establecido por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

En este sentido, cabe destacar que dicho marco regulatorio al ser insuficiente en materia de ciberseguridad, exige acudir a la regulación internacional para su debida comprensión y dimensión, como lo es el caso del Convenio sobre Ciberdelicuencia o Convenio de Budapest[5], y el Convenio Iberoamericano de Cooperación sobre Investigación y Aseguramiento de Prueba en Materia de Ciberdelincuencia de los Estados miembros de la Conferencia de Ministros de Justicia de los Países Iberoamericanos[6]. Sin embargo, desafortunadamente, a la fecha ninguno de los dos instrumentos internacionales han sido a la fecha ratificados por el Estado Mexicano.

Una de las medidas que se desprenden de los instrumentos internacionales referidos en líneas anteriores son la tipificación de ciertos delitos, a saber: (i) delitos cometidos contra la confidencialidad, integridad y disponibilidad de sistemas y datos informáticos, (ii) delitos cometidos mediante el uso de las tecnologías de la información y las telecomunicaciones (fraude y falsificación informáticos), (iii) delitos por su contenido (pornografía infantil) y (iv) delitos en materia de derecho de autor.

Con respecto a los delitos cometidos contra la confidencialidad, integridad y disponibilidad de sistemas y datos informáticos, en México encontramos que éstos, si bien no están tipificados de la misma manera, acciones delictivas similares son sancionadas en el Código Penal Federal, bajo el rubro de revelación de secretos y acceso ilícito a sistemas y equipos de informática. El ordenamiento penal prevé como delito el que una persona sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, sean propiedad del Estado o del sistema financiero nacional, o bien, que teniendo autorización para ello modifiquen o destruyan dicha información injustificadamente.

III. Implicaciones Contractuales y Corporativas del Modelo de Negocio

Derivado de lo anterior, la operación de un modelo de negocio como el de Zoom, Microsoft Teams, o cualquier plataforma similar, ya sea a través de sociedades legalmente constituidas en México o bien mediante sociedades extranjeras autorizadas para operar en nuestro país, necesariamente implica rigurosos controles contractuales y corporativos para evitar contingencias legales, que pudieran llegar a ser cuantiosas.

Primeramente, el aviso de privacidad de estas plataformas exige una redacción cuidada y detallada; así como el implemenar las medidas de seguridad respectivas para garantizar la integridad, disponibilidad y confidencialidad de la información, que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado, cuando éstas plataformas sean utilizadas por entes públicos, en términos de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

Asimismo, considerando las implicaciones que las faltas en estas materias pueden ocasionar a las empresas que desarrollen u operen dichas plataformas, éstas pueden ser causa de responsabilidad penal, debiendo en consecuencia contar con una política de integridad corporativa y un órgano de control permanente, encargado de verificar el cumplimiento de de dichas políticas encaminadas a acciones de prevención delictiva, a efecto de tener derecho a los beneficios que la misma ley establece.

Consecuentemente, contar con un oficial de cumplimiento especializado en el marco normativo ya descrito, resulta esencial (como el modelo que actualmente se está ya desarrollando para instituciones de tecnología financiera), sobre todo si consideramos el desarrollo exponencial de las tecnologías de la información y la frecuencia del aumento en el uso de éstas.

Asimismo, implementar códigos de ética dentro de estas empresas (similares a los exigidos en materia de telecomunicaciones) es una medida adicional útil y efectiva, sobre todo si mediante éste se brinda un tratamiento innovador a los servicios de comunicación digital desde la óptica de los derechos digitales[7], entendidos éstos como la prolongación de los derechos de la ciudadanía (derechos humanos), pero llevados al mundo digital, pudiendo servir en consecuencia como mecanismos de debida diligencia corporativa para contener y prevenir posibles reclamaciones judiciales por potenciales violaciones a derechos humanos.

IV. Conclusiones

Toda plataforma de servicios digitales puede operar en México, mediante una persona moral legalmente constiuida en términos de las leyes mexicanas, o bien, a través de una sociedad extranjera en términos de la Ley de Inversión Extranjera.

La falta de conciencia y cultura de prevención por parte de las Empresas, es la mayor vulnerabilidad que existe en materia de ciberseguridad, privacidad y protección de datos personales.

En consecuencia, el desarrollo de políticas de contratación claras, integrales y actuales en la prestación de servicios de interconexión digital por videollamada, resultan imprescindibles para evitar contingencias legales por violaciones a la privacidad de los usuarios, tratamiento negligente de datos personales, en su caso, y participación en la comisión de ciberdelitos.

Asimismo, el desarrollo de programas de integridad, control y cumplimiento en estas materias (privacidad y ciberseguridad), resultan herramientas indispensables para la prevención efectiva de riesgos legales asociados con el modelo de negocio de las plataformas.

Finalmente, implementar un tratamiento desde la perspectiva de derechos humanos de la privacidad y la protección de los datos personales de los usuarios o clientes de la empresa, según sea el caso, resulta indispensable para eficientar los resultados de los programas de compliance en la materia de la empresa, toda vez que las faltas en la materia, no sólo traen aparejadas responsabilidades penales, administrativas y civiles, sino también pueden ser equiparables a violaciones de derechos humanos.

ECIJA México, S.C.

[1] Zoom (2020); “A Message to Our Users”, 1 de Abril de 2020, del Blog Oficial de Zoom; Sitio web: https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/

[2] Para conocer el documento completo, acceder a la siguiente liga oficial: https://www.us-cert.gov/ncas/alerts/aa20-099a

[3] En términos del artículo 15º del Código de Comercio, aquellas” sociedades legalmente constituidas en el extranjero que se establezcan en la República, o tengan en ella alguna agencia ó sucursal, podrán ejercer el comercio, sujetándose a las prescripciones especiales de este Código en todo cuanto concierna a la creación de sus establecimientos dentro del territorio nacional, a sus operaciones mercantiles y a la jurisdicción de los tribunales de la Nación”.

[4] Zoom (2020); “The Facts Around Zoom and Encryption for Meetings/Webinars”, 1º de Abril de 2020, del Blog Oficial de Zoom; Sitio web: https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/

[5] Es el único tratado internacional vinculante en la materia y constituye una especie de acuerdo marco para que los Estados Parte implementen dentro de su ordenamiento jurídico la legislación pertinente para investigar y perseguir penalmente aquellos delitos cometidos en contra de sistemas o medios informáticos, o mediante el uso de los mismos, y faciliten la cooperación internacional.

[6] Instrumento internacional cuyo objetivo es la cooperación para adoptar medidas de aseguramiento y obtención de pruebas en la lucha contra la ciberdelincuencia.

[7] A saber: (i) acceso universal e igualitario a internet, sin discriminación de ningún tipo, (ii) libertad de expresión, información y comunicación, (iii) privacidad y protección de datos, (iv) libertad de acceso a cualquier web o plataforma social, (v) derecho al olvido, (vi) protección de niños, niñas y adolescentes, (vii) propiedad intelectual, y (viii) derecho a la desconexión digital laboral, principalmente.

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-necessary	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
PHPSESSID		Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar el ID de sesión único de un usuario con el propósito de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se borra cuando todas las ventanas del navegador se cierran.
viewed_cookie_policy	11 months	La cookie es establecida por el plugin de Consentimiento de la Cookie de RGPD y es usada para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
__stid	0	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	0	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_ls	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_svref	0	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_ga	0	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y para hacer un seguimiento del uso del sitio para el informe analítico del mismo. Las cookies almacenan información de forma anónima y asignan un número generado al azar para identificar a los visitantes únicos.
_gat	0	1 minute	Estas cookies son instaladas por Google Universal Analytics para reducir la tasa de solicitudes y limitar la recolección de datos en sitios de alto tráfico.
_gid	0	1 day	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información de cómo los visitantes utilizan un sitio web y ayuda en la creación de un informe analítico de cómo el sitio web está funcionando. Los datos recogidos incluyen el número de visitantes, la fuente de donde vienen y las páginas visitadas de forma anónima.
ad-id	1	6 months	Proporcionado por amazon-adsystem.com para el seguimiento de las acciones de los usuarios en otros sitios web para proporcionar contenido específico
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0
audience	0	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
demdex	0	5 months	Esta cookie se establece bajo el dominio demdex.net y es utilizada por Adobe Audience Manager para ayudar a identificar un visitante único a través de los dominios.
dextp	0	5 months	Cookie establecida por el gerente de audiencias de Adobe. Las cookies almacenan un nombre o ID de proveedor de datos y una marca de tiempo UTC de UNIX. El propósito de la cookie es registrar la última vez que hizo una llamada de sincronización de datos.
GPS	0	30 minutes	Esta cookie es establecida por Youtube y registra una identificación única para rastrear a los usuarios en base a su ubicación geográfica
idsync-qs	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-uuid	0
lsdStats	0	3 months
pbw	0	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	0	1 year	Cookie para recoger información con fines publicitarios
pid	0	1 year	Ayuda a los usuarios a identificarles y les permite utilizar funciones relacionadas con Twitter de la página web que están visitando.
pxcelPage_c010	0	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_cc	0		Esta cookie es establecida por Adobe Analytics. El propósito de la cookie es determinar si las cookies están habilitadas o no en un navegador.
s_fid	0	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	0	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_nr	0	4 weeks	Esta cookie es establecida por Adobe Analytics con el propósito de almacenar las fechas en que los usuarios visitan el sitio web y si el usuario es un visitante nuevo o recurrente.
s_vnum	0	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	0	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookie	0		Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	0	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	0	2 months
UIDR	0	1 year	Esta cookie se establece bu scorecardresearch.com. La cookie se utiliza para rastrear la actividad de los usuarios a través de Internet en el navegador, como la marca de tiempo de la visita, la dirección IP y las páginas web visitadas más recientemente. y puede que los datos se envíen a terceros para su análisis e informe, con el fin de ayudar a sus clientes a comprender mejor las preferencias de los usuarios.
YSC	1		Estas cookies son establecidas por Youtube y se usan para rastrear las vistas de los videos incrustados.
zc	0	9 years

Cookie	Duración	Descripción
__stid	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb_svref	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg
audience	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-qs		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
lsdStats	3 months
pbw	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	1 year	Cookie para recoger información con fines publicitarios
pxcelPage_c010	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_fid	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_vnum	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	2 months
zc	9 years

Sala de Prensa

Ricardo Chacón

Joaquín Rodríguez