Inteligencia Competitiva; posibles problemas jurídicos en cuanto a la utilización de herramientas informáticas y acciones de vigilancia e inteligencia.

Este post fue publicado y adaptado por 400 kilometros. (El periodico de los navarros en Madrid)

Un acercamiento a lo que se puede y no hacer; y a posibles problemas debidos al usos de procedimientio automatizados de colecta.

No conozco la jurisprudencia al respecto, sólo conozco un caso de una célula de vigilancia acusada de, debido a un crawl automático de una herramienta, provocar un problema en una página Web de la competencia. El veredicto fue: « inocente », y la acusación de “Ataque de denegación se servicio”, anulada.

Probablemente cualquier experto jurista podrá dar apreciaciones más profundas y apropiadas. En ningún caso estamos versados en leyes ni veredictos, pero podemos imaginarnos cómo podría ser, desde el sentido común, aunque no sea el más común de los sentidos.

Desde luego podemos indicar las precauciones básicas que se deben tomar al establecer protocolos de colecta de información tecnológica (vigilancia tecnológica), de la competencia (inteligencia competitiva) o sobre marcas (e-reputación). Son interpretaciones nuestras provenientes del conocimiento del funcionamiento de las herramientas, de las metodologías de inteligencia y de las necesidades de nuestros clientes en cuanto a información. No hacen sino denotar nuestra forma de trabajar, indican nuestro código deontológico y sirven a nuestros clientes y prospecciones para saber sin les convenimos o no.

Nociones de perjuicios a un sistema debido a negligencias o desconocimiento de las herramientas de Vigilancia.

Toda empresa empleando un sistema de colecta automatizada de información deberá tener cuidado de mantener en buen estado de funcionamiento el sistema que está vigilando. Primero porque si se generan perjuicios a la fuente de información ya no habrá información que colectar, segundo porque es ilegal y se puede asimilar a un ataque DOSping flood y demás inventos de cibercriminalidad que NO son parte de la Inteligencia Competitiva y tercero porque el sistema puede prevenir nuevos ataques similares, bloquear entradas y aumentar la seguridad, de

  forma que será más difícil encontrar información. No olvidemos que la Inteligencia obtiene la información de formLEGAL y a través de lo que dejan otras personas de forma libre y  (más o menos) consciente.

En ningún caso, repito, en ningún caso se obtiene información de forma fraudulenta: ni hackeando, ni por ingeniería social ni nada similar. Se obtiene y estructura información existente en la red que se analiza y pone en perspectiva. PUNTO.

Esto tiene una buena razón de ser: supongamos que, buscando en la red, y mediante una query tipo: Site:www.idinteligencia.com +”confidencial” filetype:pptx encuentro un PowerPoint llamado “Plan Estratégico confidencial de la repanocha EADS”. Ya veo al analista que lo ha encontrado salir corriendo con el pen drive en el que ha guardado el documento entre algodones gritando “¡Lo tengo, lo tengo!”.

Bien, eso nos ha pasado a todos, creo. Pero, ¿Quién dice que ese documento emanante del dominio de www.idinteligencia.com colgado en algún lugar de la red es REALMENTE la versión definitiva del documento “Plan Estratégico confidencial de la repanocha EADS”?, o que no es un gambito inventado por nuestra mente perversa? o mil otras razones que invitan a no fiarse de semejante documento…

La información confidencial, o “negra”, según la terminología militar, no sirve para nada porque no es trazable. Cuando se obtiene información en internet, se verifican y documentan las fuentes para poder verificar en todo momento su proveniencia, pertinencia y fiabilidad. Si una información no es trazable u obsoleta, cualquier analista de Inteligencia Económica que se precie hará con ella un logrado lanzamiento helicoidal a la papelera más cercana. O dicho de otro modo: clasificación vertical.

La información confidencial NO SE DEBE USAR JAMÁS. Porque es ilegal, porque induce a errores si no es cierta y porque genera un problema de stockaje, de accesos confidenciales y de riesgo de fuga o compromisión para la organización que lo guarda como oro en paño (por ejemplo, el día en que un empleado cabreado lo cuelgue en scribd).

Si la gente supiera este axioma de la IC, no asociaría esta disciplina al Espionaje Industrial tan alegremente como en el artículo  que cito a continuación:

Artículo de José Aguado en la Razón: “Los espías se esconden en el trabajo”

Creo que este tipo de noticia proviene más del desconocimiento que de la mala fe. Con un poco de divulgación, se acabarán los prejuicios así y el complejo “Universal Exports” tan querido por los James Bond de este mundo.

Pero volvamos al caso de la herramienta de colecta; si está mal configurada puede sobre  solicitar la Web vigilada, ejecutando crawls simultáneos demasiado profundos o con una frecuencia excesiva y provocar una disfunción del sistema.

  • Es posible disminuir el número de crawls simultáneos en las opciones del programa y el número de conexiones simultaneas por servisor HTTP.
  • Se puede aumentar el lapso de tiempo entre descargas sucesivas de dos páginas del mismo servidor. Esto limita el impacto negativo y aumenta la furtividad (si la creemos necesaria), el software pareciéndose más a un internauta que a un autómata.
  • Se puede configurar, en la mayoría de los casos, en las opciones, no descargar las fotografías del portal vigilado, en la medida en que las fotos suelen ser lo más pesado y lo que más impacta en el sistema si se solicitan muchas descargas.

La furtividad, si bien no me parece obligatoria, y en algunos casos hasta contraproducente, permite evitar que el competidor no detecte el crawler si existe perjuicio menor en el sistema, o que bloquee el programa si no se usan IP anónimas.

No creo necesaria la furtividad porque creo que es sano saber que los competidores nos interesamos los unos por los otros; incluso sirve de “caricia psicológica” que halaga, si se entiende que “soy lo suficientemente importante como para que alguien se moleste en configurar un programa y seguir mis devaneos”, o incluso de disuasión estratégica, si el competidor sabe que yo sé. Pura teoría de los juegos en entorno de información completa.

Y la falta de furtividad permite al que lo detecta tener una visión de la estrategia del competidor si se observan búsquedas complejas tipo “(nuevas marcas AND nuevos partners) OR (deslocalizaciones OR contrataciones OR “concurso público”) NOT (NEWS)”. Está claro, en este caso, qué preocupa al que vigila…

También la falta de furtividad permite al gestor del Sistema de Información detectar los fallos de su plataforma, porque detecta por dónde se le están colando y le pone remedio.

Otra cuestión es el acuerdo tácito entre los editores del sistema y el usuario a través de la Declaración de Derechos y Responsabilidades, inherente a cada sistema en al que accede mediante contraseña y en el que se puede cargar contenido propio. Como decía, casi todos los sistemas de este tipo cuentan con Declaraciones similares: (Ejemplo de Facebook)

Punto 2. No recopilarás contenido o información de otros usuarios, ni accederás de otro modo a Facebook, utilizando medios automáticos (como harvesting bots, robots, arañas o scrapers) sin nuestro permiso.

Punto 11. No realizarás ninguna acción que pudiera inhabilitar, sobrecargar o afectar al funcionamiento correcto de Facebook, como, por ejemplo, un ataque de denegación de servicio.

En este tipo de declaración, no se verifica que TODAS las partes están plenamente informadas y no hay un contrato firmado, luego es probable que jurídicamente no se pueda llevar ante la ley, aunque sí es posible, más bien seguro, que uno se vea expulsado. Uno, y todos aquellos que puedan implicar un riesgo. Justos y pecadores fuera de Facebook y de aquellos sites que tengan Declaración de Derechos y Responsabilidades.

De todas formas, furtividad o no, Declaración o no, por código deontológico y por legalidad, un analista de IC es responsable directo del impacto de su actividad en los sistemas que crawlea, así como de colectar información acorde a la ley, a la protección de datos y a la protección de la intimidad.

El tema es tener una definición concreta de lo que cada uno de los conceptos antes citados es. Cosa que por el momento no hay, o si la hay, depende de interpretaciones propias o ajenas que las convierten en un vacío legal.

Los derechos de uno mismo acaban donde empiezan los de los demás.

Hugo Zunzarren

Director Técnico id Inteligencia

hzunzarren@idinteligencia.com

2 respuestas a Inteligencia Competitiva; posibles problemas jurídicos en cuanto a la utilización de herramientas informáticas y acciones de vigilancia e inteligencia.

  1. publicidad comportamental dice:
    01/22/2013 en 2:17 pm

    [...] a disposición de cualquiera una herramienta de gestión de sus datos privados.publicidad [...]

    Responder
  2. inteligencia económica dice:
    01/22/2013 en 4:35 pm

    [...] pasándose por el “Arco del Triunfo” cierta noción de privacidad y algo de intrusismo. Todo perfectamente legal, eso sí. Mediante Dataminig se obtendrán tendencias, preferencias de cliente objetivo, a partir de datos [...]

    Responder

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Cancelar

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 106 seguidores

%d bloggers like this: