El convenio de Budapest y la Ciberseguridad en Colombia

   

      Pero... ¿Que és Ciberseguridad?

La definición que quiero presentarles es acuerdo a UIT-T:

“Es el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno. Los activos de la organización y los usuarios son los dispositivos informáticos conectados, los usuarios, los servicios/aplicaciones, los sistemas de comunicaciones, las comunicaciones multimedios, y la totalidad de la información transmitida y/o almacenada en el ciberentorno. La ciberseguridad garantiza que se alcancen y mantengan las propiedades de seguridad de los activos de la organización y los usuarios contra los riesgos de seguridad correspondientes en el ciberentorno”[1]

En mi concepto, además de todos los equipos, protocolos y herramientas que puedan existir, el elemento más importante y complementario son los usuarios mismos. En el libro de Kevin Mindnick, The Art of Intrusion, se relata como a través de la ingeniería social, se logran alcanzar elementos y equipos en la seguridad, como cualquier tipo de ataque por las redes, para poder adentrarse en el funcionamiento de maquinas de apostar y centrales telefónicas entre otros.

2.   Políticas existentes en Colombia que promuevan la seguridad digital:

Las mas importantes son el Conpes 3701 de 2011:

“Este documento busca generar lineamientos de política en ciberseguridad1 y ciberdefensa2 orientados a desarrollar una estrategia nacional que contrarreste el incremento de las amenazas informáticas que afectan significativamente al país. Adicionalmente, recoge los antecedentes nacionales e internacionales, así como la normatividad del país en torno al tema.” [2]

En ese momento, no existía una estrategia nacional para enfrentar las amenazas informáticas, cuyo resultado más importante, fue la necesidad de crear:

1.    El Grupo de Respuesta a Emergencias Cibernéticas de Colombia – colCERT.

2.    El Centro Cibernético Policial – CCP.

3.    Comando Conjunto Cibernético – CCOC.

4.    La colaboración intersectorial al Mindefensa y Mintic.

Posteriormente el Conpes 3854, propone la Política Nacional de Seguridad Digital:

“…la política nacional de seguridad digital, objeto de este documento, cambia el enfoque tradicional al incluir la gestión de riesgo como uno de los elementos más importantes para abordar la seguridad digital. Esto lo hace bajo cuatro principios fundamentales y cinco dimensiones estratégicas, que rigen el desarrollo de esta política. De los primeros destaca que la política nacional de seguridad digital debe involucrar activamente a todas las partes interesadas, y asegurar una responsabilidad compartida entre las mismas. Principios que se reflejan en las dimensiones en las que esta política actuará, las cuales determinan las estrategias para alcanzar su objetivo principal: fortalecer las capacidades de las múltiples partes interesadas, para identificar, gestionar, tratar y mitigar los riesgos de seguridad digital en sus actividades socioeconómicas en el entorno digital. Para lograrlo, se implementarán acciones en torno a cinco ejes de trabajo.”[3]

Con este conpes, se busca incluir la gestión del riesgo, dentro de las políticas de seguridad digital, adoptando estándar OCDE para tal fin, a fin de que los usuarios, conozcan y gestionen los riesgos asociados en su interactuar con la economía digital. Para lograrlo, se desea implementación en cinco frentes de acción:

• Establecer un marco institucional claro en torno a la seguridad digital, basado en  la gestión de riesgos.
• Crear las condiciones para que las múltiples partes interesadas gestionen el  riesgo de seguridad digital en sus actividades socio-económicas y se genere      confianza en el uso del entorno digital.
• Fortalecer la seguridad de los individuos y del Estado en el entorno digital, a nivel nacional y transnacional, con un enfoque de gestión de riesgos.
• Fortalecer la defensa y soberanía nacional en el entorno digital con un enfoque de gestión de riesgos.
• Impulsar la cooperación, colaboración y asistencia en materia de seguridad digital, a nivel nacional e internacional.

3.    Incidentes en materia de seguridad digital

Recientemente se han presentado eventos masivos de secuestro de archivos, a través del denominado Ransomware, programa informático malintencionado que restringe al acceso a la totalidad o parcialidad de archivos de un sistema infectado, deshabilitando funcionalidades importantes del sistema o encriptando los archivos infectados, pidiendo rescate o retribución económica a cambio de quitar la restricción o desencriptar los archivos requeridos.[4]

Los incidentes ransomware cada vez se hacen más frecuentes,  en los cuales podemos mencionar: Reyptson[5], XData[6] que usando la herramienta Mimikatz extrae credenciales de administrador y las utiliza ejecutando copia  de sí mismo en todos los computadores interconectados, WannaCry, Petya y NotPetya, entre miles.

Valga a pena mencionar los nuevos modelos de negocio de Hackers, mencionados en el portal Cisco[7]:

“En 2016, el hacking se volvió más "corporativo". Los cambios dinámicos en el panorama de la tecnología, liderados por la digitalización, están creando oportunidades para los cibercriminales. Mientras que los atacantes siguen aprovechando las técnicas probadas por el tiempo, también emplean nuevos enfoques que reflejan la estructura de "administración intermedia" de sus objetivos corporativos.

Nuevos métodos de ataque modelan jerarquías empresariales: ciertas campañas de publicidad malversada empleaban corredores (o "puertas") que actúan como gerentes intermedios, enmascarando actividades maliciosas. Los adversarios pueden entonces moverse con mayor velocidad, mantener su espacio operacional y evadir la detección.

Oportunidad y riesgo en la nube: Veintisiete por ciento de las aplicaciones de nube de terceros introducidas por los empleados, destinadas a abrir nuevas oportunidades de negocio y aumentar la eficiencia, fueron categorizadas como de alto riesgo y crearon importantes problemas de seguridad.

El adware pasado de moda - software que descarga publicidad sin permiso del usuario - siguió siendo exitoso, infectando al 75 por ciento de las organizaciones investigadas.

Un punto brillante surgió con una caída en el uso de grandes kits de exploits como Angler, Nuclear y Neutrino, cuyos dueños fueron derribados en 2016, pero jugadores más pequeños se apresuraron a llenar el vacío.”[8]

Colombia y el Convenio de Budapest

De acuerdo a la noticia de día de hoy 15 de Agosto de 2017, publicada en el portal de MINTIC, se radicó un proyecto de ley que busca que Colombia se adhiera al convenio de Budapest [9]. Con esto se garantiza la cooperacion internacional para combatir los delitos informaticos y en Internet.

"El Gobierno Nacional, en cabeza de la Cancillería y los Ministerios de Justicia, Defensa y Tecnologías de la Información y las Comunicaciones (TIC), presentó al Congreso de la República un Proyecto de Ley para que Colombia se adhiera al Convenio de Budapest, que busca construir una política mundial común contra la ciberdelincuencia.

Afirma el portal mencionado: "El Proyecto de Ley comenzará su trámite legislativo en la Comisión Segunda del Senado y una vez cursados los cuatro debates en el Congreso, pasará a revisión de la Corte Constitucional y posteriormente a sanción presidencial. Luego, la Cancillería hará oficial la adhesión al convenio, que le permitirá a Colombia no solo avanzar en temas de cooperación internacional contra delitos informáticos, sino también fortalecer las leyes y regulaciones nacionales contra el ciberdelito en todos los niveles" 

El Convenio de Budapest se suscribió el 23 de junio de 2001, para aplicar de forma prioritaria “una política penal común con objeto de proteger a la sociedad frente a la ciberdelincuencia, en particular mediante la adopción de una legislación adecuada y la mejora de la cooperación internacional”

Al respecto de la importancia para Colombia de su adhesion a este convenio, considero importante retormar lo que para el Instituto Español de Estudios Estratégicos (ieee.es) significa dicho documento, el cual se ha ratificado en varias naciones:

“El Convenio de Budapest es, sin duda, universalmente y trasatlánticamente el documento más importante respecto a la ciberdelincuencia, y hasta ahora el único cibertratado que tiene por objeto la armonización universal de la normativa del derecho penal nacional y la persecución penal de los delitos relacionados con internet”.  

Valga la pena resaltar la variada tipología de delitos que ya se han incluido en el código penal colombiano, como un primer acercamiento. Sin embargo, falta aún por incluir las variaciones concomitantes con el avance que han tenido las distintas aplicaciones, dispositivos y tecnologías, y de igual manera, las modalidades nuevas como el secuestro de archivos, para el que actualmente el Código penal Colombiano[10]  se queda corto en tipificar y castigar. 

Para leer más del Convenio puedes visitar este enlace: 

http://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/185 

---

[1] PORTAL DE LA UIT-T. Recomendación UIT–T X.1205. Ciberseguridad [en linea] Disponible en: http://www.itu.int/net/itunews/issues/2010/09/20-es.aspx [Consultado el 22 de Julio de 2017]

[2] PORTAL DE MINTIC. Conpes 3701 de 2011 [en linea] Disponible en:  http://www.mintic.gov.co/portal/604/articles-3510_documento.pdf [Consultado el 22 de Julio de 2017]

[3] PORTAL DNP. Conpes 3854 [en linea] Disponible en: https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3854.pdf [Consultado el 22 de Julio de 2017]

[4] Portal de Mcafee. Update: McAfee: Cyber criminals using Android malware and ransomware the most [en linea] Disponible en: http://www.infoworld.com/article/2614854/security/update--mcafee--cyber-criminals-using-android-malware-and-ransomware-the-most.html [Consultado el 22 de Julio de 2017]

[5]PORTAL REDESZONE. JIMENEZ, Javier   [en linea] Disponible en: https://www.redeszone.net/2017/07/18/reyptson-nuevo-ransomware-esta-atacando-usuarios-espanoles [Consultado el 22 de Julio de 2017]

[6] PORTAL Alta Densidad.  [en linea] Disponible en: http://altadensidad.com/?p=99458 [Consultado el 22 de Julio de 2017]

[7] PORTAL CISCO. Traducción Propia [en linea] Disponible en:  https://newsroom.cisco.com/press-release-content?articleId=1818259 [Consultado el 22 de Julio de 2017]

[8] Ibidem.

[9] PORTAL DE MINTIC. Gobierno radicó Proyecto de Ley para adherirse al Convenio de Budapest contra la ciberdelincuenci  [en linea] Disponible en: http://www.mintic.gov.co/portal/604/w3-article-56316.html  [Consultado el 15 de Agosto de 2017]

[10] PORTAL DE LA ALCALDIA MAYOR DE BOGOTA. Ley 1273 de 2009[en linea] Disponible en: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34492   [Consultado el 15 de Agosto de 2017]

Fintech vs. Banca Móvil, nuevo reto regulatorio.

Imagen: https://upload.wikimedia.org/wikipedia/commons/f/f5/Geefunding_crowdfunding.png

Para abordar el tema, debo considerar primero, que el numeral 2.3.4.11 BANCA MÓVIL, Capítulo I, Título II de la Parte I de la Circular Externa 029 de 2014[1], define la banca móvil como:”Entendido como el canal en el cual el dispositivo móvil es utilizado para realizar operaciones y su número de línea es asociado al servicio. Los servicios que se presten a través de dispositivos móviles y utilicen navegadores Web, son considerados banca por internet. (…).”[2]

 La prestación de servicios a través de banca móvil deben dar cumplimiento a los criterios de seguridad y calidad de la información, que incluye en la norma mencionada requerimientos tales como: mecanismos de autenticación de 2 factores para la realización de operaciones monetarias y no monetarias, la implementación de mecanismos de cifrado fuerte de un extremo a otro en operaciones monetarias ya sean individuales o que acumuladas mensualmente por el cliente superen los 2 SMMLV para envío y recepción de información confidencial de las operaciones realizadas, tal como: clave, número de cuenta, número de tarjeta, etc. con la condición de que esta información, en ningún caso, puede ser conocida por los PRST ni por entidad diferente a la entidad financiera que presta el servicio a través de este canal de banca móvil, entre otras condiciones y criterios específicos a cumplir.

Estas condiciones, en últimas, además de buscar generar mayor confianza en los usuarios, también pretenden garantizar los derechos de los mismos. Pero para el usuario tradicional, es en la confianza donde puede radicar la diferencia al momento de elegir, si hace uso de una aplicación FinTech o de banca Móvil, pero también el acceso a nuevos modelos de negocios y a mecanismos más inmediatos e innovadores, que están asociados con la disrupción tecnológica y la economía digital

Fintech cubre varios sectores que cubren servicios tradicionales y nuevos. Para mencionar en los tradicionales servicios que compiten en sustitución de servicios están los pagos, cuyo principal actor es la propia banca que mediante apps ofrecerían este tradicional servicio, vinculando la confianza de la banca, y la innovación en FinTech.

Pero también los nuevos servicios, donde en muchos casos la banca tradicional no puede competir en igualdad de condiciones, por las restricciones que le impone la regulación, tales como Préstamos y créditos en los famosos proyectos tipo crowdfunding y crowdlending (préstamos P2P: entre particulares y compañías)[3].

Es deber del estado, como se menciona en el Artículo 334, propender por una economía saludable para el desarrollo de la nación. En este sentido se han hecho algunos avances, Ley 1793 de 2016, por ejemplo, dicta normas en materia de costos de los servicios financieros, en un tema tan importante para los clientes de las entidades autorizadas para captar recursos del público quienes podrán disponer de la totalidad del dinero depositado en sus cuentas de ahorro y también en sus depósitos electrónicos.

Sin embargo, nadie es ajeno a la economía digital, por lo cual, la banca y la regulación deberán adaptarse a la disrupción digital, o como en el caso de la telefonía fija en el mundo de las telecomunicaciones, ver como sus ingresos y clientes se extinguen mientras quienes se adapten adecuadamente al cambio pueden lograr una fuerte diferencia competitiva en un mercado de por sí ya globalizante, que genera desafíos para las entidades tradicionales en la entrega de productos y servicios más rápidos, eficientes y accesibles.

Finalmente, con base en lo expuesto, se hace necesario en mi concepto que la regulación esté orientada a mejorar la competencia, para lograr como fines:

•          Disminuir los costos de procesamiento bancario local y entre plazas.
•          Agilizar el uso del almacenamiento, transacciones y operaciones bancarias
•          Promover el uso estandarizado de nuevas formas de identificar a los clientes.
•      Estandarizar nuevas formas de determinar  la capacidad de crédito de los clientes, acordes con la disrupción digital.

---

[1] CAPÍTULO. I – CANALES, MEDIOS, SEGURIDAD Y CALIDAD EN EL MANEJO DE INFORMACIÓN EN LA PRESTACIÓN DE SERVICIOS FINANCIEROS. TÍTULO II PRESTACIÓN DE LOS SERVICIOS FINANCIEROS. PARTE I - INSTRUCCIONES GENERALES APLICABLES A LAS ENTIDADES VIGILADAS. Portal de la Superfinanciera en Internet. [en línea] Disponible en: https://www.superfinanciera.gov.co/descargas?com=institucional&name=pubFile1009805&downloadname=P1%20Tit%20II%20Cap%20I%20-%20Canales%20medios%20y%20seguridad.docx [Consultado el 10 de Agosto de 2017]

[2] Ibídem.

[3] APLICACIONES FINTECH, EL NUEVO MERCADO FINANCIERO ONLINE. PORTAL DE INTERNET EL ANDROIDE LIBRE. ZAMORA, José Ángel.  [en línea] Disponible en: https://elandroidelibre.elespanol.com/2016/06/aplicaciones-fintech.html [Consultado el 10 de Agosto de 2017]

THE NATIONAL ANTHEM: Una mirada a nuestra sociedad actual.

“Podemos conseguir otro ministro pero no otra princesa”: Dilema entre la vida de un político y la de una estrella monárquica en la televisión.

Comentarios presentados a la Dra. Alexandra Falla - Maestría en Derecho de Estado con Énfasis en Regulación y Gestión de Telecomunicaciones

Aunque el delito planteado, se basa en un secuestro claramente tipificado, el absurdo se basa en la realidad diaria de la necesidad del público de “mantenerse informado” apalancado en un mal uso de la tecnología representada en las redes sociales y plataformas de video. YouTube es un desarrollo que bien ha funcionado desde cursos de cocina, o YouTubers, a una herramienta política. Es un hilo conductor con la opinión pública a través de su influencia e impacto que ha colindado y permeado a los medios de comunicación llegando así a la política, mediante la fenómenos como la viralización de videos, y el acceso que se tiene a esta plataforma para ver y  publicar videos. 

Estos videos prácticamente son limitados únicamente por las políticas autoregulatorias de la plataforma[1], y en algunos casos por prohibición de los países donde se difunde. Efectivamente entonces la pluralidad informativa generada con estas plataformas de videos, y redes sociales, ha avasallado todos los records en la historia, por encima de cualquier otro medio de comunicación[2].

Sumada a una visión noticiosa de amplio cubrimiento relacionada con el terrorismo reciente, viralizada a través de una plataforma de video, como otro factor determinante se encuentra factiblemente la pobre seguridad informática o ciberseguridad, que incluso este año fue nuevamente puesta a prueba a gran escala hace unas pocas semanas, con el virus de secuestro de archivos WannaCry Ransomware[3], por ello todo esto suma credibilidad a la aproximación a la realidad de este capítulo de Black Mirror.

Sin embargo genera un mayor impacto, la situación creíble que se plantea al gobierno, a los entes de regulación, y a la sociedad, pasando de la ciencia ficción y el drama a una crónica casi predecible.

En primer lugar el impacto de la “Princesa Susana” al gobierno, con las particularidades de la monarquía británica, donde se aprecia a la realeza, que a través de muchos años, se ha mantenido bajo la lupa de las noticias de farándula británica, y por obvias razones, en la política misma también. A este perfil se ve enfrentado el Primer Ministro, quien a través del video difundido, se ve obligado a decidir, al estar supuestamente en riesgo la vida de la Princesa Susana, por su carrera política y la imagen del gobierno y de la realeza, debiendo dejar de lado su familia.  A partir de allí, en mi consideración, se ahonda en abordar la solución en cuatro aspectos.

·         En el primer aspecto, se contrata a un experto en efectos especiales y a un actor, para generar un falso video, a fin de transmitirlo, evitando al primer Ministro el ejecutar la tarea solicitada.

·         En un segundo aspecto, se ve como el manejo de la información se realiza en los medios de comunicación, evitando usar palabras o lenguaje inapropiado, para “acondicionar” la realidad a lo que están acostumbrados los televidentes a ver en pantalla.

·         Como tercer aspecto, una experta determinando el tamaño del video y la hora de descarga y carga del mismo, descubre las direcciones lógicas IP filtradas que probablemente han subido el video. Con ello conduce a un campus abandonado a donde después enviarán a los equipos de seguridad de policía, y en el afán de cubrir la noticia, una reportera termina siendo baleada.

·         Como cuarto aspecto, se refleja la difusión cada vez mayor, de la noticia a través de los dispositivos personales móviles, haciendo imparable el interés del mismo en los usuarios, consumidores ávidos y habituales de escándalos políticos y de farándula.

En segundo lugar se impacta la regulación, cuando llega el supuesto dedo amputado de la princesa y ante el poco tiempo ya disponible, deciden hacer el video y transmitirlo, porque finalmente ante la sin salida, optan por generar una legislación o norma que declare ilegal tener imágenes y videos del evento, y que durante la transmisión,  se genere un sonido que genere nauseas.

Al final, ante el suceso grotesco y difusión del mismo, tiempo después quien queda más afectada es la esposa del primer ministro. El por su parte ya ha superado el evento, al igual que la princesa Susana.

En tercer lugar a la sociedad, que ha sido cultivada por décadas, para saciar su  curiosidad a través de la televisión, en ninguno de los casos se observa que decidieran apagar el televisor, por el contrario, se reúnen en Pubs a ver la transmisión, muy seguramente acostumbrados al manejo que hacen los medios de comunicación, y entonces aceptando concupiscentemente  que sin estar preparados, desean ver las imágenes de una violación de la libertad y honor del Primer Ministro. En esto, el manejo de las imágenes y lenguaje que hacían los medios se ve cortado, por las instrucciones enviadas por el secuestrador, mostrando crudeza e inhumanidad con ello.

Finalmente, aunque la prueba apunta al Primer Ministro, midiendo su capacidad de realizar un acto grotesco con el fin de salvar una vida, también fue puesta a prueba en este caso, una cantidad significativa de ciudadanos televidentes de la sociedad inglesa, que poseían total libertad de apagar el televisor, y decidió no apagar el televisor, como si se tratara de una final de la “Premiership”.

Ese es el reto a la regulación a la pluralidad informativa, que plantea la revolución tecnológica respecto a los valores, la ética y el diario transcurrir de la sociedad, en un entorno de consumo creciente y mediático.

---

[1] YOUTUBE. Policy Center [en línea] Disponible en: https://www.youtube.com/yt/policyandsafety/policy.html [Consultado el 04 de Junio de 2017]

[2] YOUTUBE. Portal de Estadísticas de YouTube. YouTube cuenta con cerca de un billón de usuarios, casi la tercera parte de usuarios de internet en el mundo, y  a esto se suma la convergencia en terminales, teniendo en cuenta que más de la mitad de visitas en YouTube, proviene de dispositivos móviles. [en línea] Disponible en:  https://www.youtube.com/yt/press/statistics.html [Consultado el 04 de Junio de 2017]

[3] YHE NEW YORK TIMES. What We Know and Don’t Know About the International Cyberattack. GOLDMAN Rusell. [en línea] Disponible en: https://www.nytimes.com/2017/05/12/world/europe/international-cyberattack-ransomware.html?_r=0 [Consultado el 04 de Junio de 2017]

¿Que elementos debe tener un regulador convergente?

Fuente:    https://upload.wikimedia.org/wikipedia/commons/e/e3/TIC.jpg

Andrés Pavón Mediano, Consultor de Regulación y Master en Regulación de London School of Economics and Political Science, en su columna de opinión en el portal www.elmostrador.cl devela que los elementos necesarios para un regulador convergente, son de un enfoque más técnico y financiero que legal. En esa misma vía, se puede tomar como ejemplo, la implementación de la Manifestación de Impacto Regulatorio, expuesta en la sesión 3 del Taller de Capacitación por Eduardo Esteban Romero Fong para la elaboración y análisis de Impacto Regulatorio[1], en ella se describe la relación de la regulación económica con actividades donde se presente “concentración de mercados e industrias de redes”[2].

Esta manifestación conlleva la aplicación del Principio de racionalidad económica basado en la evaluación de Análisis de Impacto Regulatorio, que se puede concretar a través de tres ejes que se articulan unos a otros: Análisis de cargas administrativas, Análisis de acciones regulatorias y Análisis costo-beneficio.

En este sentido, la Ley 20.416 de Chile, en su Artículo 5º fija normatividad especial para  empresas de menor tamaño, con ello sentó precedente al solicitar a los órganos de la Administración del Estado un análisis de Impacto regulatorio de tipo social y económico: “(…) Los antecedentes deben contener una estimación simple del impacto social y económico que la nueva regulación generará en las empresas de menor tamaño y podrán ser elaborados por la propia Administración (…)”. De esta manera, cumple la regulación económica con sus tres principales objetivos: 

• Interviene en las decisiones de mercado imponiendo restricciones a la empresa regulada en materia de precios, cantidades, servicios y barreras a la entrada, salida o movilidad.
• Busca el mejoramiento de la eficiencia de los mercados, aumentando así el bienestar social.  
• Busca remplazar los monopolios con mercados competitivos y dinámicos que pueden satisfacer las necesidades de los consumidores y expandir el mercado global”[3].

La formalización de metodologías de supervisión, tales como la supervisión basada en riesgos. En Chile buena parte de nuestros reguladores declaran utilizar este método, aunque pocos lo explican en detalle a sus regulados;

La creación de mecanismos de control y contabilidad que garanticen la observancia del mandato legislativo entregado a los reguladores y potencien la legitimidad de sus accionar entre ellos, la consulta pública obligatoria durante el diseño de normas regulatorias, incorporación de indicadores de gestión que sean monitoreados por la autoridad democrática, y la difusión de políticas regulatorias.

En resumidas cuentas, el regulador convergente debe poseer como mínimo  tres elementos:

1.    Jurídico: Seguridad jurídica, basada en la reserva de ley para su creación, y para asumir las funciones de los entes reguladores actuales.

2.    Técnico Especializado: que tenga la posibilidad de autonomía en su organización interna, para ajustarse a las dinámicas cambiantes de la tecnología en los mercados convergentes.

3.    Financiero: La posibilidad de tener su propio presupuesto y patrimonio, con independencia del gobierno, para su nómina, proyectos e innovación.

4.    Regulatorio: Que determine los lineamientos de regulación, a seguir, conforme a las dinámicas y fallas del mercado.

¿Porque se ha dado la necesidad de un regulador convergente?

La ley 1507 de 2012 contemplo medidas regulatorias ex – ante, para dos entidades diferentes, la CRC y la ANTV.

Mientras a la CRC compete determinar medidas regulatorias que promuevan la competencia en los mercados audiovisuales, a la ANTV corresponde adoptar medidas en relación con fijación de contraprestaciones por la prestación de servicios audiovisuales , las habilitaciones y y para las cuales la definición de los mercados y la situación de competencia en los mismos revisten sin lugar a dudas un carácter estratégico y necesario para el ejercicio de ese tipo de funciones.

En el documento sobre “El futuro del sector audiovisual en Colombia: Necesidad de política pública y reformas normativas”[4].

en el marco de la convergencia tecnológica y las tendencias del mercado se requiere:

•          Flexibilizar las cargas regulatorias a los operadores
•          Flexibilize las cargas económicas actuales
•          Permita la innovación y contenidos en nuevas plataformas tecnológicas
•          Enfrentar la integración vertical y consolidación del sector, y los servicios                        empaquetados convergentes.

·          

Modelo ideal de un organismo convergente, ventajas y desventajas

El modelo ideal que debe tener un regulador convergente, debe tener en cuenta la realidad de cada país:

1.    En el primer caso, se tiene un modelo de regulador convergente en países desarrollados de altos ingresos, en cuyos modelos regulatorios se mantiene la premisa de la convergencia, en ese Top 10 descrito en el Capítulo 1.1 del reciente informe de los países de altos ingresos conformado por el sudeste asiático (Singapur y Japón), países europeos (Finlandia, Suecia, Noruega, Holanda, Suiza, Luxemburgo y el Reino Unido) como también los Estados Unidos de Norteamérica[5].

2.    En el segundo caso, tenemos a CHILE, el primer país suramericano que forma parte de la OCDE, y que a su vez, siendo un país del tercer mundo, posee diversas entidades de regulación, como lo es La SUBTEL, Subsecretaría de Telecomunicaciones y el SERNAC, Servicio Nacional de Consumidor.

Estos dos puntos básicos refieren más a la estructura orgánica, que finalmente es aceptada en ambos casos, por ejemplo,  para pertenecer a la OCDE. Esto sucede en razón a que la diferencia que existe entre los países, de acuerdo a la etapa de convergencia regulatoria en que están es grande. Inclusive en Colombia se puede observar que aún no se han llegado a producir las reformas legislativas suficientes, para que el sector TIC pueda llegar a tener un desarrollo adecuado para la introducción de nuevas tecnologías, como Internet de las Cosas.

Pero más allá de una recomendación de la OCDE, la necesidad de un órgano regulador convergente que cuente con vigilancia reforzada y  que genere confianza por su transparencia, nace de la convergencia de los servicios, la infortunada experiencia en la descoordinación de las entidades regulatorias por sectores (audiovisual, aplicaciones/contenidos, telecomunicaciones) y el arribo de la universalidad de los contenidos.  Dicha convergencia ha traído consigo aspectos relevantes como describe BUSTILLO: “la sostenibilidad y la escalabilidad de las redes y servicios prestados por los operadores, la gestión de la innovación, la nueva dinámica competitiva, la seguridad de la red, la coherencia en la regulación y la protección de los consumidores”[6].

Por lo anterior, los requisitos necesarios para un regulador convergente ideal podrían ser:

·  Derogatoria de leyes anteriores, con creación de nueva institucionalidad para el ente convergente, como un único regulador de TIC convergente (CRC) Creando nueva Unidad Administrativa especial, una entidad descentralizada con personería jurídica, autonomía administrativa, patrimonial, presupuestal y técnica, como Agencia Nacional Estatal de Naturaleza Especial, del Orden Nacional, que asuma las funciones de la CRC, ANE Y ANTV, y lo relacionado a inspección vigilancia y control del Ministerio TIC.

·       Debe contar con competencias exclusivas y asignadas por ley, distribuidas por delegaturas ó Burós  frente a temas que tengan relación con el interés económico general, la concentración de mercado, derechos de los usuarios o que  pertenezcan a industrias de redes, en aspectos tales como contenidos,  derechos de autor, y todo lo relacionado con espectro,  para lograr esto se requiere:

o   Generando nombramiento pluralista de cargos, que tenga reserva de ley su composición, en la cual no haya ningún representante ni delegado del ministerio TIC o del DNP. Estos comisionados de titulación mínima de maestría, estarán distribuidos asi: uno en representación de la una asociación de operadores de TV, uno en representación  de una asociación de PRST, Uno en representación de una asociación de consumidores y cuatro comisionados de tiempo completo y dedicación exclusiva, para un periodo fijo de tres años.  De los comisionados de tiempo completo dos de ellos deberá ser ingeniero y uno deberá ser economista.  Estos comisionados deben ser nombrados por un plazo fijo durante el cual sean inamovibles excepto por faltas graves que determine la ley.

o   Debe estar libre de influencia política.

o   Debe ser independiente de los proveedores de servicios de telecomunicaciones e imparcial en sus decisiones y actos.

o Nuevo esquema financiación convergente de cargas económicas asociadas para los agentes del mercado convergente.

Ventajas

Dentro de las ventajas mencionadas están:

• Permite los operadores y los usuarios obtener todos los beneficios de la tecnología directamente sin restricciones regulatorias.
• Un regulador convergente estaría en mejor posición promoviendo que el mercado aproveche la convergencia, con el fin de incrementar sus niveles de eficiencia.
• Alienta el desarrollo de tecnologías y servicios cada vez más eficientes.
• Deriva reducción de costos en la expedición de resoluciones.
• Permite el desarrollo de paquetes de servicios convergentes personalizados para satisfacer las necesidades de los usuarios.
• Cambia el énfasis de la responsabilidad regulatoria de la regulación de servicios hacia la regulación de mercados.
• Mayor coordinación en la expedición de normatividad.
• Mayor efectividad en la solución de fallas del mercado.
• Un solo regulador está en mejores condiciones de evaluar los costos y beneficios de diferentes propuestas de asignación de espectro.

Desventajas

•         Incremento del riesgo de captura del regulador, al ser un ente único, ó posible parálisis del regulador, por saturación de trámites y personal insuficiente.
•    Exceso de concentración de poder un una sola entidad, esto requiere de que el regulador convergente sea sujeto de mayores controles de las entidades estatales encargadas de dicha función.

---

[1] OECD. Taller de Capacitación para la elaboración y análisis de Impacto Regulatorio. [en línea] Disponible en: https://www.oecd.org/gov/regulatory-policy/MIR-en-Me%CC%81xico.pdf [consultado el 30 de Abril de 2004]

[2] Ibídem.

[3] Ibidem.

[4] Departamento Nacional de Planeación.  El futuro del sector audiovisual en Colombia: Necesidad de política pública y reformas normativas en el marco de la convergencia tecnológica y las tendencias del mercado [en Línea] Disponible en: https://colaboracion.dnp.gov.co/CDT/Prensa/Publicaciones/Informe%20convergencia%20dyd%20rev_STEL%2018-01-2017CEVC.pdf [consultado el 05 de Mayo de 2017]

[5] WORLD ECONOMIC FORUM. The Global Information Technology Report 2016

Innovating in the Digital Economy. [en línea] Disponible en: http://www3.weforum.org/docs/GITR2016/WEF_GITR_Full_Report.pdf [consultado el 30/04/2017]

[6] BUSTILLO René. CEPAL. Un modelo institucional para la regulación en materia de convergencia tecnológica en América Latina [en línea] Disponible en: http://repositorio.cepal.org/bitstream/handle/11362/3916/S2011096.pdf;jsessionid=FC2F7CC2590FA30928C106C8EA8C5B28?sequence=1 [consultado el 05/05/2017]

Racionalidad Imperfecta como fuente de error en la formación de la decisión de consumo en los usuarios de servicios de comunicaciones en Colombia y herramientas para reducir la asimetría de la información respecto a los PRST.

Fuente Flickr                https://farm8.staticflickr.com/7033/6680856001_061a9b449f_b.jpg

Tradicionalmente se cree que por la asimetría de información por falta o ausencia de esta para el consumidor, se toman decisiones incorrectas por parte de los consumidores, frente a lo cual la decisión del regulador en Colombia ha sido imponer obligaciones al proveedor, relacionadas con el deber de entrega al usuario de información  “clara, transparente, necesaria, veraz, anterior, simultánea y de todas maneras oportuna, suficiente y comprobable, precisa, cierta, completa y gratuita, que no induzca error para que los usuarios tomen decisiones informadas, respecto del servicio ofrecido o prestado”.[1] y [2]

Existe en el sector de las telecomunicaciones en Colombia, la legislación y regulación mínimos y razonables, entre otros el Estatuto del consumidor Ley 1480 de 2001, el Régimen de Protección a usuarios Resolucion CRC 3066 de 2011 y el que está próximo a entrar en vigencia CRC 5111 de 2017, COMO TAMBIÉN EL Principio contenido en la ley 1341 de 2009 El derecho a la comunicación, la información y la educación y los servicios básicos de las TIC,  que obligan a los proveedores a informar debidamente al usuario o consumidor respecto de los servicios que le son entregados.

Sin embargo no necesariamente el consumidor hace uso de la información provista por el proveedor, por lo cual en  muchos casos no  es que haga falta información para el consumidor, sino que, en cambio  existen errores del consumidor en el uso del producto, es decir, que el consumidor, no  discrimina el real uso y función del producto, incurriendo en gastos innecesarios y disminuyendo así su eficiencia económica incurriendo en la denominada racionalidad imperfecta.

Los errores de formación de la decisión de consumo, a diferencia de la teoría entonces pueden ser más próximos y atribuibles al consumidor mismo por una causa imputable a este, la denominada racionalidad imperfecta. Al respecto de esta, el filósofo noruego Jon Elster (1989) recurre a la metáfora de Ulises en la cual el héroe homérico Ulises, opta por ordenar a sus marineros que lo amarren para no caer frente hechizados los cantos de las sirenas[3], para explicar que incluso la persona más racional puede utilizar técnicas de autorrestricción para lograr más de lo que podría conseguir si lo hiciera de otro modo (Elster, 2002, p. 311). También significa la metáfora que no necesariamente el ímpetu de formación de decisión, es meramente informativo y compromete la racionalidad humana que puede ser errónea por su concepción misma. Es así que la flaqueza de voluntad de Ulises, la compensa atándose a sí mismo, como un modo planeado de alcanzar la racionalidad por medios imperfectos.


Herramienta: Zero Rating

Entre las herramientas que se podrían usar, se encuentra el Zero Rating[4], oferta mediante la cual se le puede entregar a todos los usuarios de servicios de telecomunicaciones información relevante no solo a las facilidades de los servicios de voz y datos brindados por las redes 3G, 4G LTE ó 5G, sino además, información sobre el uso y aplicación de cada una de estas tecnologías como VoLTE[5] o VoIP, la diferencia entre ellas[6].

También a través de Zero Rating se puede entregar información sobre uso de nuevas aplicaciones que actúen sobre los factores críticos que condicionan el despliegue de la economía digital en lo relacionado con la construcción de capacidades y habilidades[7] como factor clave de la reducción de la pobreza y el desarrollo económico[8], enmarcado  en políticas gubernamentales de regulación positiva, para que a través de la inversión en infraestructura que se ha venido llevando a cabo por parte del gobierno y los proveedores, se permita el empoderamiento de nuevas tecnologías a los usuarios de telecomunicaciones, difundiendo e impactando en la población de analfabetas digitales,(que incluye en las zonas urbanas analfabetas tecnológicos de escuelas primarias y secundarias[9])   mediante aplicaciones o páginas web de acceso gratuito las ventajas del uso de la banda ancha residencial y en el comercio, o que les permita a los usuarios aportar en el desarrollo de la industria del software y aplicaciones.

“Pero cambiando de enfoque, igualmente se debe considerar que el uso de Zero Rating desde el estado, como lo hace actualmente a través del portal de Reparación Integral de Víctimas, es también recomendable como una herramienta que puede ser utilizada en la mejora del empoderamiento y nivel de uso de las TIC, lo cual aportaría al índice establecido IDI para Colombia.”[10]

---

[1] CRC. Portal de la Alcaldía Mayor de Bogotá. Art. 11,  Resolución 3066 de 2011. [en línea] Disponible en: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=42871 [Consultado el 16 de Abril de 2017].

[2] CRC. Portal de la Comisión de Regulación de Comunicaciones. Art. 2.1.1.2.4, Resolución 5111 DE 2017 [en línea] Disponible en: https://www.crcom.gov.co/resoluciones/00005111.pdf [Consultado el 16 de Abril de 2017].

[3] El texto de Homero mencionado hace parte de La Odisea de Homero, ubicado en entre los versos 155 y 165, canto XII: “Pero atadme con más fuertes lazos de pie y arrimado a la parte inferior del mástil para que me esté allí sin moverme. Y en el caso de que os ruegue o mande que me soltéis, atadme con más lazos todavía”.

[4] CRC. Portal de WHAT WILL WE DO. ¿Qué es la oferta Zero Rating? [en línea] Disponible en: https://wwwdo.gov.co/2016/05/16/que-es-la-oferta-zero-rating [Consultado el 16 de Abril de 2017].

[5] HERNANDEZ, Miguel Angel. EL TIEMPO. Voz sobre LTE, el siguiente 'campo de batalla' en Colombia. [en línea] Disponible en: http://www.eltiempo.com/archivo/documento/CMS-15428972 [Consultado el 16 de Abril de 2017].

[6] POOLE, Ian. Portal de Radio-Electronics. Current VoLTE Development and Deployment. [en línea] Disponible en:http://www.radio-electronics.com/articles/cellular-telecoms/current-volte-development-and-deployment-29[Consultado el 16 de Abril de 2017].

[7]CEPAL. PROPUESTA DE AGENDA DIGITAL PARA AMÉRICA LATINA Y EL CARIBE (eLAC2018) [en línea] Disponible en: https://www.agesic.gub.uy/innovaportal/file/4855/1/propuesta_de_agenda_digital_para_america_latina_y_el_caribe_.pdf  [Consultado el 16 de Abril de 2017].

[8] CEPAL. Libros y Documentos Institucionales. Economía digital para el cambio estructural y la igualdad. [en línea] Disponible en: http://repositorio.cepal.org/bitstream/handle/11362/35408/1/S2013186_es.pdf [Consultado el 16 de Abril de 2017]

[9] PERIODICO EL COLOMBIANO. El 0,8 % de los estudiantes son analfabetas digitales [en línea] Disponible en:  http://www.elcolombiano.com/antioquia/el-0-8-de-los-estudiantes-son-analfabetas-digitales-DM4608014 [Consultado el 16 de Abril de 2017]

[10] OCHOA GAMBOA, Ricardo. Zero Rating bajo el Derecho de Competencia y como propuesta de aplicación en Colombia [en línea] Disponible en:  http://regulaciontic.blogspot.com.co/2017/04/zero-rating-bajo-el-derecho-de.html [Consultado el 16 de Abril de 2017]