Cómo funciona MEGA, el nuevo Megaupload

Este fin de semana se lanza MEGA, la nueva apuesta del fundador de Megaupload, en la que pretende superar todos los obstáculos que tendría una versión funcionalmente idéntica a la anterior.

Los elementos clave de la nueva versión son los siguientes:

1. Documentos privados

El nuevo MEGA presenta como factor innovador un sistema de aseguramiento de la privacidad que no exige instalar software dedicado, ya que cifra y descifra los datos de forma transparente en el navegador del usuario a partir de una clave pública de 2.048 bits. El usuario es el único que tiene la clave de acceso a sus contenidos, alojados de forma cifrada en la nube de MEGA.

La estrategia de MEGA consiste en trasladar al usuario la responsabilidad de los contenidos almacenados en su nube, alegando que estos contenidos están cifrados y que, aunque quisiera, MEGA no podría conocer su nivel de legalidad, ya que no tiene acceso a ellos.

2. Fragmentación y dispersión

El sistema de almacenamiento de MEGA es multicéntrico, es decir, está distribuido en una larga serie de servidores en todo el mundo, que no son de su propiedad. Los contenidos que se alojen en la nube privada de cad usuario serán inmediatamente cifrados, fragmentados y distribuidos por todo el mundo. Ello significará que, a diferencia del P2P, un servidor nunca tendrá el fichero completo, ni siquiera un fragmento reconocible del fichero. Cada servidor tendrá una porción ininteligible que sólo podrá ser unido al resto del fichero a través de la plataforma de MEGA y con la clave del usuario.

Se trata del sistema de ofuscación que Google y otros proveedores de cloud computing ya utilizan para cumplir las exigencias de sus clientes en materia de confidencialidad de la información y protección de datos personales.

Según MEGA, el usuario tendrá el control absoluto sobre las personas que podrán acceder de forma cifrada y confidencial a sus carpetas compartidas, de manera que ningún otro usuario, incluido MEGA, podrá participar en las comunicaciones confidenciales ni acceder a los contenidos cifrados. Ello eliminaría la posibilidad de que MEGA pudiese supervisar dichos contenidos o atender requerimientos judiciales para acceder a ellos. Estos requerimientos deberían dirigirse al usuario.

Las dudas que surgen sobre la eficacia de este sistema tienen que ver con las páginas de enlaces que basan sus ingresos en la publicidad y, por lo tanto, en la afluencia masiva de visitantes. Se espera que MEGA aporte la solución definitiva para evitar la trazabilidad de las descargas directas, pero todo parece indicar que el nuevo sistema va dirigido a la creación de redes de confianza y al intercambio de ficheros entre conocidos.

En el momento en que un fichero privado se haga público para permitir la descarga directa de desconocidos, además de dejar de ser privado, se abrirá la posibilidad de conocer el contenido del fichero, el identificador del fichero en el sistema y el identificador del propietario o administrador del mismo. Se entiende que, en su afán de legalidad, y teniendo en cuenta su ubicación en Nueva Zelanda, MEGA deberá disponer de un servicio de atención de reclamaciones y de retirada de contenidos. Será interesante conocer la aplicación práctica del protocolo que MEGA ha diseñado para atender estos requerimientos y desviarlos hacia el usuario, o bien resolver los eventuales conflictos generados entre la entidad que reclame la retirada y el usuario que haya subido el fichero, suponiendo que éste haya permitido, en algún momento, desvelar su existencia y permitir un acceso al mismo.

Respecto a la posible responsabilidad de MEGA sobre los contenidos publicados en la plataforma, hay materia para dedicar un artículo específico. Cabe reflexionar sobre la aplicación de las siguientes figuras:

– El régimen de responsabilidad de los ISP.
– La ceguera intencional utilizada en el blanqueo de capitales.
– La inducción y la cooperación necesaria.

Todo ello sin descartar el triunfo de la ingeniería jurídica diseñada por Kim Dotcom para eludir la ley.

ACTUALIZACIÓN

Protocolo que seguirá MEGA en el caso de que reciba una denuncia de infracción de los derechos de autor

Formulario de denuncia de infracciones de los derechos de autor en MEGA

¿Cómo se cierra un sitio web de descargas directas?

Al análisis crítico que esta semana ha tenido la "Comisión-anti-sitios-web-de-descargas" prevista en el Anteproyecto de Ley de Economía Sostenible, debe sumarse un argumento meramente práctico: la escasa utilidad de dicha comisión para conseguir el cierre de una página de descargas.

Debemos tener en cuenta la progresiva migración que se está produciendo desde los tradicionales sistemas de intercambio de ficheros P2P como BitTorrent y eMule hacia los grandes servidores de alojamiento de ficheros como Rapidshare, Megaupload, Uploading, Depositfiles, Easy-share, Filebox, Freakshare, Gigasize, Hotfile y un largo etcétera.

La gran ventaja de estos servidores es que permiten la descarga directa. Con una cuenta premium se puede descargar una película ripeada en calidad DVDRip, BDRip o BRRip en menos de 15 minutos.

La dinámica actual de un proveedor de películas, series, música, software, ebooks, y cualquier otra obra protegida copiada sin autorización y ofrecida mediante descarga directa es parecida a la siguiente:

  1. Se crea o se obtiene de otra fuente la copia no autorizada.
  2. Se contrata una cuenta premium en Rapidshare, Megaupload o cualquier otro de los cientos de servicios de alojamiento de ficheros con descarga directa
  3. Al abrir esa cuenta, el único dato real y traceable es, generalmente, el medio de pago utilizado.
  4. Se sube el fichero a dicho servidor.
  5. Se crea un blog en un proveedor extranjero de alojamiento gratuito de blogs.
  6. Se publica un post con un enlace al fichero que previamente se ha subido al servidor de descarga directa. El enlace también puede apuntar a un fichero subido por un tercero.
  7. El post debe cumplir los estándares requeridos por los usuarios más exigentes, es decir, debe incluir un resumen del argumento, la carátula o portada de la obra, el formato del fichero, el nivel de calidad, lo que pesa el fichero, etc. En el caso de películas, el idioma, los subtítulos y algunas capturas de pantalla para que se vea la calidad de la imagen, entre otros muchos datos que convierten el post en un servicio excelente para el usuario cansado de encontrar fakes, formatos no deseados, versiones con mala calidad y problemas con los códecs.
  8. También se acostumbran a utilizar sistemas de ocultación. 
  9. Por ejemplo, el nombre del fichero no contiene el nombre de la obra. No lo necesita porque el post describe claramente su contenido.
  10. Además, el fichero va con una clave que se suministra en el post. De esta manera es más dificil identificar su contenido desde el servidor de descargas.
  11. Y entre el post y el servidor de descargas se interpone otro servidor que redirecciona al usuario hasta el servidor de descargas. De esta manera se impide conocer los blogs que contienen enlaces apuntando a ese fichero desde el servidor de descargas.
  12. También se puede utilizar un archivo .dlc cifrado para ocultar el enlace, pero al final el ordenador del usuario tiene que pedir la URL del servidor donde reside la obra a descargar. Se puede llegar a conocer la URL oculta del archivo DLC mediante un sniffer que monitorice el proceso de descarga, o mediante un programa que permita descifrar el archivo DLC, como por ejemplo DLC Decrypter.

Conociendo esta operativa, es evidente que la Comisión prevista en el Anteproyecto de Ley de Economía Sostenible sólo podría gestionar, con la debida tutela judicial, cierres de repositorios de enlaces ubicados en España. También podría requerir judicialmente a los ISP españoles para que restringieran el tráfico IP a sitios extranjeros a nivel de DNS, servidor neutro o mediante cualquier filtro de paquetes IP. Sin embargo, ese camino exige un esfuerzo importante, y tras el cierre o bloqueo de un sitio de enlaces, su autor puede crear otro idéntico en menos de 24 horas.

Un referencia interesante es la lucha contra el phishing. Las entidades financieras están consiguiendo la colaboración de ISPs nacionales y extranjeros y ello permite el cierre o bloqueo de un sitio web en cuestión de minutos. En ese caso es fácil comprobar la ilegalidad del sitio web, ya que usurpa la personalidad y la imagen corporativa de la entidad financiera con el único fin de estafar a sus clientes.

Algo parecido se está haciendo con los servidores de descargas directas. Algunos titulares de derechos han renunciado a ir contra los repositorios de enlaces y se limitan a comunicar a Rapidshare, Megaupload, o cualquier otro servidor que aloje el fichero, la existencia de una eventual infracción. El administrador del servidor lo comprueba y tras confirmarlo, borra el fichero. Está habilitado para ello por las CGC (Condiciones Generales de Contratación) que el cliente firma al contratar la cuenta premium para alojar ficheros en ese servidor. Además, el prestador de ese servicio debe borrar el fichero para enervar su responsabilidad como host.

Veamos un ejemplo simplificado relativo a la película 2012:

  1. El investigador introduce +2012 +dvdrip +español -latino +rapidshare en Google.
  2. Analiza los resultados de la búsqueda y localiza un post con un enlace a la película 2012, en calidad DVDrip y en español no latino que se encuentra alojada en Rapidshare.
  3. Anota la clave del fichero.
  4. Hace clic en el enlace y ve como pasa por otro servidor que lo redirecciona a Rapidshare.
  5. Descarga el fichero, lo abre y comprueba que es la película.
  6. Evidentemente, ni el creador del enlace ni Rapidshare tienen licencia para distribuir ni comunicar públicamente la película.
  7. El investigador comunica a Rapidshare el nombre, la ubicación y la clave del fichero.
  8. Rapidshare lo comprueba y aplicando las CGC aceptadas por el cliente, borra el fichero.

Como es natural, alguien abrirá otra cuenta y subirá de nuevo la película con otro nombre al cabo de un rato. Por eso el investigador tiene que prestar un servicio de vigilancia y notificación permanente, que escapa a la operativa de cualquier comisión ministerial. Pensemos que un buen investigador puede realizar más de 100 notificaciones a ISPs en un día. La clave de su éxito está en utilizar una metodología constante y basada en la aceptación de las CGC por el que ha subido el fichero al servidor.

La siguiente fase son los servidores de descarga directa situados en países donde el prestador del servicio puede escapar a su responsabilidad como host y permitirse el lujo de no tener CGC ni disclaimers. Pero esa es otra historia y la dejo para otro post, más extenso si cabe, que éste.

Las conclusiones a las que puede llegarse tras el análisis de los sistemas de investigación y eventual borrado de un contenido que infringe los derechos de autor, son las siguientes:

  1. El contenido ilícito puede ser borrado por el ISP (p.e. Rapidshare) de acuerdo con las CGC aceptadas por el cliente.
  2. La eliminación del fichero puede ser solicitada por el titular de los derechos.
  3. La comprobación de la infracción puede ser realizada de forma fácil por el ISP.
  4. La respuesta del ISP acostumbra a ser rápida y efectiva.
  5. Para dicha eliminación no es necesaria la tutela judicial, ya que el ISP cuenta con el consentimiento del cliente.
  6. Este sistema es más efectivo que el cierre del sitio web que contiene los enlaces a los ficheros.
  7. Un sitio web con enlaces puede contener información adicional que no infrinja la ley.
  8. El cierre de un sitio web de enlaces debería contar con la debida tutela judicial.
  9. La actividad de investigación y envío de solicitudes de eliminación de ficheros corresponde al titular de los derechos.
  10. La asignación de esta función a una comisión ministerial es una medida ineficiente y desproporcionada.

La administración Obama mantiene a España bajo vigilancia por el P2P

La semana pasada se publicó el Special 301 Report correspondiente a 2009. Este informe anual analiza el nivel de protección de la propiedad intelectual en todo el mundo e incluye a los países que no ofrecen suficientes garantías en dos listas:

– La Priority Watch List, en la que se incluyen los países con menor protección.
– La Watch List, en la que figuran los países que todavía no han alcanzado un nivel pleno de protección y deben abordar una mejora legislativa o judicial en determinadas áreas.


La inclusión en estas listas sirve a las empresas americanas para conocer los países a los que deben aplicar las restricciones legales establecidas para la transferencia de tecnología, limitar el comercio de productos protegidos por la propiedad intelectual y, eventualmente, las inversiones.

España figura en la Watch List de este año junto a países como Tajikistán, Turquía, Turkmenistán, Ucrania, Uzbequistán o Vietnam.

Los motivos que hacen que España permanezca en la Watch List son los siguientes:
  1. El Gobierno Español ha realizado un esfuerzo mínimo para cambiar la percepción errónea y generalizada de que es legal compartir ficheros a través del P2P de forma no autorizada.
  2. Los fiscales han fracasado en la persecución de las infracciones de la propiedad intelectual. 
  3. Los jueces no han conseguido dictar sentencias suficientemente disuasorias para los infractores.
  4. Los titulares de los derechos no tienen acceso a importantes herramientas legales necesarias para dar sentido a la reclamación de las infracciones en sede civil. 
Entre las mejoras que debe acometer España, el informe resalta:
  1. Una urgente respuesta del Gobierno Español para tratar el serio problema de la piratería en Internet.
  2. Una acción urgente para dejar claro que es ilegal compartir ficheros a través del P2P de forma no autorizada.
  3. La anulación de la Circular de la Fiscalía General del Estado de Mayo de 2006, que parece legitimar dicha actividad ilícita.  
El informe concluye con la intención de la administración Obama de trabajar estrechamente con España para tratar los asuntos referidos durante este año.

La sentencia del caso The Pirate Bay

Con la triple dosis de prudencia que exige analizar una sentencia que no es firme, dictada con arreglo a la normativa sueca y traducida de forma automática e imperfecta del sueco al español, todo parece indicar que se ha aplicado la figura del cómplice a los gestores de torrents y de enlaces P2P.

La acusación solicitaba que los acusados fuesen tratados como autores de un delito contra la propiedad intelectual y condenados a penas superiores a las que finalmente contempla la sentencia de ayer. El tribunal no apreció la autoría, pero reconoció que la actividad de los acusados había facilitado el acceso a obras protegidas por la propiedad intelectual. 

El tribunal considera que concurre ánimo de lucro porque los acusados financiaban su actividad con los ingresos conseguidos a través de las inserciones de publicidad de distintos anunciantes. En la sentencia se afirma que la explotación del portal exigía una labor de organización y un funcionamiento específico que lo convertía en una actividad comercial.

También se reconoce la existencia de intencionalidad, ya que los acusados conocían que, gracias a su trabajo, los usuarios de su portal accederían a obras protegidas por la propiedad intelectual. Esta puesta a disposición, de acuerdo con la sentencia, estaba organizada como un auténtico negocio orientado a ayudar a otros usuarios a la comisión de un delito, motivo por el cual el tribunal aprecia la complicidad.

Pido disculpas por la penosa traducción de la sentencia, realizada a través de una plataforma online. El texto resultante es de difícil lectura pero se entiende bien el sentido de cada párrafo. No hace falta advertir, por ejemplo, que cuando en la sentencia se habla de los heridos que comparecieron en el acto del juicio se refiere a los perjudicados.

Conclusiones de la comparativa

Las conclusiones que extraigo de la comparativa que hago en mi post anterior entre el procedimiento que cualquier perjudicado puede iniciar en la actualidad para solicitar a un ISP el bloqueo del acceso a contenidos que pueden infringir sus derechos de propiedad intelectual y el previsto en el Anteproyecto remitido al Consejo Asesor de las Telecomunicaciones y de la Sociedad de la Información, son las siguientes:

1. El nuevo procedimiento no difiere, en lo esencial, del que se aplica en la actualidad.
2. Los ISP no quedan obligados a bloquear los contenidos.
3. La aprobación del texto propuesto en el Anteproyecto puede originar confusiones.
4. Los ISP pueden llegar a entender que sólo las entidades y asociaciones legitimadas pueden solicitar el bloqueo de contenidos ilícitos.