Ataques cibernéticos como prácticas monopólicas relativas y una propuesta a las autoridades de competencia
En nuestra entrada anterior, señalamos que las prácticas monopólicas relativas son prácticas anticompetitivas prohibidas por la Ley Federal de Competencia Económica (LFCE) por sus efectos adversos ya identificados, las cuales han sido investigadas y en diversos casos sancionadas por la Comisión Federal de Competencia Económica y el Instituto Federal de Telecomunicaciones en diversos comportamientos de los agentes económicos, con excepción de uno y con esta excepción me refiero a los ataques cibernéticos, por lo que es necesario introducirnos al tema.
Amenazas cibernéticas y ataques
Una amenaza cibernética puede ser definida como cualquier circunstancia, situación, hecho, acción, omisión, incidente, evento y cualquier otra violación a políticas en materia de ciberseguridad con el potencial de dañar, perturbar, vulnerar, comprometer o poner en riesgo, al menos:
La disponibilidad, continuidad y confiabilidad de las actividades de los agentes económicos, que en todo o en parte hagan uso de las tecnologías de la información y comunicación;
La integridad, confidencialidad, disponibilidad, autenticidad y no repudio de la información en posesión de los agentes económicos;
La protección, funcionamiento, confiabilidad, rendimiento y disponibilidad de las tecnologías de la información y comunicación de los agentes económicos;
La seguridad del personal de los agentes económicos, de sus clientes y proveedores, cuya información esté en posesión de los agentes económicos;
La confianza del personal de los agentes económicos, de sus clientes y proveedores, cuya información esté en posesión de los agentes económicos, y
La percepción de confianza y seguridad de clientes potenciales.
Mientras que un ataque cibernético en términos prácticos es la materialización de una amenaza cibernética.
Como ejemplos de amenazas cibernéticas tenemos: amenazas avanzadas persistentes (APT), malware (virus, troyanos, gusanos, botnets, ransomware, spyware, cryptojacking, etc.), ataques de denegación de servicios distribuidos, phishing, spear phishing, ataques de día cero, ataques vía web, ataques a aplicaciones web, amenazas internas, etc.
Las amenazas cibernéticas son herramientas que pueden ser utilizadas por agentes económicos para dañar a sus competidores y obtener ventajas competitivas ilegales, comportamientos prohibidos en México por la LFCE.
¿Ataque cibernético como práctica monopólica relativa en la LFCE?
Sí, un rotundo sí, que nunca se haya investigado en toda la historia de México (corríjanme y rectifico con gusto) un ataque cibernético como práctica anticompetitiva, en específico, como práctica monopólica relativa, no quiere decir que no encuadre en uno de los supuestos previstos en la LFCE.
Esta consideración tiene sustento en el artículo 54 de la LFCE que señala:
Artículo 54. Se consideran prácticas monopólicas relativas, las consistentes en cualquier acto, contrato, convenio, procedimiento o combinación que:
I. Encuadre en alguno de los supuestos a que se refiere el artículo 56 de esta Ley;
II. Lleve a cabo uno o más Agentes Económicos que individual o conjuntamente tengan poder sustancial en el mismo mercado relevante en que se realiza la práctica, y
III. Tenga o pueda tener como objeto o efecto, en el mercado relevante o en algún mercado relacionado, desplazar indebidamente a otros Agentes Económicos, impedirles sustancialmente su acceso o establecer ventajas exclusivas en favor de uno o varios Agentes Económicos.
Del artículo 54 el elemento clave es “cualquier acto”, de un agente económico que tenga poder sustancial, que tenga o pueda tener como objeto o efecto, en el mercado relevante o en algún mercado relacionado, desplazar indebidamente a otros agentes económicos, impedirles sustancialmente su acceso o establecer ventajas exclusivas en favor de uno o varios agentes económicos.
Ahora bien, el supuesto normativo que encuadraría en un ataque cibernético sería el previsto en el artículo 56, fracción XI, de la LFCE que señala:
Artículo 56. Los supuestos a los que se refiere la fracción I del artículo 54 de esta Ley, consisten en cualquiera de los siguientes:
[…]
XI. La acción de uno o varios agentes económicos cuyo objeto o efecto, directo o indirecto, sea incrementar los costos u obstaculizar el proceso productivo o reducir la demanda que enfrentan otro u otros agentes económicos;
Del artículo 56, fracción XI, en cita el elemento clave es “la acción”. ¿Acción de qué tipo? la LFCE no la describe, constituyendo en la práctica una de las conductas “abiertas” en cuanto a tipo de conductas prohibidas, por lo que, un ataque cibernético o conducta similar a un agente económico encuadra en una “acción”, cuyo objeto o efecto, directo o indirecto, sea incrementar los costos u obstaculizar el proceso productivo o reducir la demanda que enfrentan otro u otros agentes económicos. Acción que tenga o pueda tener como objeto o efecto desplazarlo indebidamente del mercado, impedirle sustancialmente su acceso o establecer ventajas exclusivas en favor de uno o varios agentes económicos.
Un ejemplo que abordo en mi libro es el caso de la manufactura, procesos de producción que en todo o en parte utilizan tecnologías de la información.
Un ataque cibernético de un agente económico a su competidor de manufactura tendría por objeto o efecto una interrupción operativa o daño en las tecnologías digitales empleadas para funciones informativas y/u operativas introducidas en un sistema de producción, sea por el acceso, uso, divulgación, interrupción, modificación, secuestro o destrucción no autorizados de sus sistemas de producción.
Una acción de las anteriores claramente obstaculizaría el proceso productivo del agente económico atacado e incrementaría sus costos, ya que no produciría sus productos como lo hacía y tendría que destinar inversiones para recuperarse del ataque y sus daños, con lo cual estaría siendo desplazado indebidamente del mercado, le impediría sustancialmente su acceso o establecería ventajas exclusivas en favor de uno o varios agentes económicos, dependerá del caso en particular.
¿Realmente un agente económico ejecutaría ataques cibernéticos para desplazar indebidamente del mercado a sus competidores, impedirles sustancialmente su acceso o establecer ventajas exclusivas en favor de uno o varios agentes económicos? veamos el caso de Ticketmaster.
Ticketmaster y los accesos ilegales a los sistemas de un competidor
Ticketmaster L.L.C. es un competidor grande y, por ende, fuerte en el mercado de venta y distribución de boletos para eventos y conciertos, y es subsidiaria de Live Nation Entertainment, Inc., con oficinas en diversas ciudades del mundo, incluyendo México.
Hace apenas unos días, el 30 de diciembre de 2020, el Departamento de Justicia de los Estados Unidos publicó en un comunicado que Ticketmaster L.L.C. reconoció que usó en múltiples ocasiones contraseñas retenidas ilegalmente por un ex empleado de un competidor para acceder a sus sistemas informáticos, en un plan consistente en dañar el negocio de preventa de boletos de la compañía víctima y acordó pagar una multa de 10 millones de dólares por la intrusión informática.
El competidor fue la compañía CrowdSurge que posteriormente se fusionó con Songkick y en 2016 fue declarado en bancarrota. Se dedicaba a la preventa de boletos y como ventaja competitiva ofrecía a los artistas la posibilidad de vender de forma directa sus boletos antes de la venta general de entradas, en una plataforma de venta de boletos en línea, personalizada para cada artista y proporcionaba una caja de herramientas, aplicación protegida con contraseña que brindaba datos en tiempo real sobre entradas vendidas e información como dónde se compraban las entradas, la cantidad de entradas vendidas en cada lugar, información sobre las entradas vendidas en fechas particulares y direcciones de correo electrónico recopiladas de los compradores de entradas que luego podrían agregarse a las listas de correo de los artistas.
El ex empleado trabajó para el competidor víctima, primero como consultor en marzo de 2010 y después como Vicepresidente Senior de Operaciones Globales y Gerente General para América del Norte de mayo de 2010 a julio de 2012 aproximadamente. En agosto de 2013 se unió a TicketWeb, una subsidiaria de Live Nation Entertainment, Inc., y en enero de 2015 fue promovido a Director de Relaciones con Clientes de la División de Servicios para Artistas de TicketMaster con su respectivo aumento salarial. Fue despedido en octubre de 2017.
El ex empleado y un segundo empleado accedieron a los sistemas informáticos del competidor víctima —desde los sistemas informáticos de Live Nation y TicketMaster— en reiteradas ocasiones entre agosto de 2013 y diciembre de 2015. La información obtenida fue utilizada, entre otras cuestiones, para elaborar presentaciones para ejecutivos de Live Nation y TicketMaster, quienes hacían benchmarking de productos y servicios de los competidores, incluidos los ofrecidos por el competidor víctima. Incluso celebraron la “Artist Services Summit”, evento en el que se accedió a los sistemas de la víctima y se realizó una presentación a los asistentes. El ex empleado también proporcionó documentos financieros internos y confidenciales que había retenido de su anterior empleo.
Expuesto lo anterior, considero no queda duda sobre si un agente económico puede ejecutar ataques cibernéticos en la modalidad de acceso a sistemas de sus competidores para desplazarlos indebidamente del mercado, impedirles sustancialmente su acceso o establecer ventajas exclusivas en favor de uno o varios agentes económicos.
El caso anterior es un ejemplo del comportamiento de un competidor grande que ejecutó una amenaza cibernética que, entre otros aspectos, afectó la confidencialidad de la información y sistemas del competidor víctima, competidor de menor tamaño.
La nueva generación de comportamientos anticompetitivos
Las investigaciones en materia de competencia económica son por naturaleza complejas y los comportamientos anticompetitivos de los agentes económicos son cada vez más difíciles de acreditar.
La nueva generación de comportamientos anticompetitivos se identifica y se identificará por el uso del ciberespacio y de las tecnologías para desplazar agentes económicos indebidamente del mercado, impedirles sustancialmente su acceso o establecer ventajas exclusivas en favor de uno o varios agentes económicos.
Por lo que, dado el alto riesgo que implica realizar una conducta anticompetitiva “convencional”, que se investigue y se acredite su comisión, los ataques cibernéticos y conductas similares serán la opción para obtener ventajas competitivas ilegales, dado, por un lado, el anonimato que brinda el ciberespacio y, por el otro, la ausencia de capacidades en ciberseguridad por parte de las autoridades de competencia y de los agentes económicos.
La nueva generación de comportamientos anticompetitivos requiere una nueva generación de personal con conocimientos y capacidades en materia de ciberseguridad. Ya lo decía la OCDE: “[...] considerando la rápida evolución de la economía digital, las autoridades de competencia deberían pensar en contratar personal con perfiles forenses, digitales y tecnológicos.”
¿Las autoridades de competencia en México, COFECE-IFT, se prepararán al respecto? ¿los agentes económicos tendrán las capacidades y conocimientos para poder denunciar ataques cibernéticos como prácticas monopólicas relativas a las autoridades investigadoras de COFECE e IFT? Y las preguntas sobran.
Propuesta
Propongo a COFECE e IFT la creación de áreas técnicas-especializadas de investigación de ataques cibernéticos como prácticas monopólicas relativas en las autoridades investigadoras. No es un asunto cualquiera, pero dará inicio al desarrollo de conocimientos y capacidades en el tema. Si lo hacen, colateralmente podrán ser un referente para la procuración de justicia en México en materia de investigaciones de delincuencia cibernética.
La propuesta se alinea con la Estrategia Digital de COFECE y la Hoja de Ruta para el periodo 2021-2025 del IFT.
México podría ser pionero en el tema y el momento —tecnológico— es oportuno o ¿por qué no?
Por Jonathan López Torres
Me interesa la mejora continua
Fuentes:
Ley Federal de Competencia Económica. Disponible en: http://www.diputados.gob.mx/LeyesBiblio/pdf/LFCE_270117.pdf
Ticketmaster Pays $10 Million Criminal Fine for Intrusions into Competitor’s Computer Systems. Comunicado del Departamento de Justicia de los Estados Unidos del 30 de diciembre de 2020. Disponible en: https://www.justice.gov/usao-edny/pr/ticketmaster-pays-10-million-criminal-fine-intrusions-competitor-s-computer-systems-0
Ticketmaster Will Pay $10 Million Fine to Settle Federal Charges It Hacked Rival’s System. Tod Spangler. Variety. Disponible en: https://variety.com/2020/digital/news/ticketmaster-10-million-fine-hack-songkick-competitor-1234877108/
Exámenes Inter-Pares de la OCDE sobre el Derecho y Política de Competencia: México 2020. Disponible en: http://www.oecd.org/daf/competition/Mexico-Peer-Reviews-of-Competition-Law-and-Policy-es.pdf
López Torres, Jonathan. Ciberespacio & Ciberseguridad. Elementos Esenciales. Tirant lo Blanch, México, 2020.
*La imagen utilizada en esta entrada es de Anja de Pixabay.
**El contenido de esta publicación está protegido por derechos de autor. Se autoriza el uso parcial o total siempre que se cite el nombre completo del autor Jonathan López Torres y se cite la fuente.
“No escribes porque quieres decir algo,
escribes porque tienes algo que decir”.
F. Scott Fitzgerald