Ciberocupación de nombres de dominio y su impacto en el e-banking. Por Leandro Emilio Toscano (*) Why would anybody want to buy these domains unless they are the bank themselves or a phishing scammer?1[1]

I.

Introducción.

Numerosas empresas a lo largo del mundo se ven afectadas por el registro de mala fe de nombres de domino por parte de ciberdelincuentes sin ningún tipo de interés legítimo. Según datos oficiales de la Organización Mundial de la Propiedad Intelectual, el Centro de Arbitraje y Mediación dependiente de la citada entidad ha resuelto más de 10.500 casos2[2] de ciberocupación desde 1999, año en el que entró en vigencia la política uniforme de solución de controversias en materia de nombres de domino. Las entidades bancarias no han sido la excepción y son actualmente víctimas de esta modalidad delictiva. El objetivo de este trabajo es el de dar a conocer el importante riesgo que representa la falta de una debida protección en materia de registro de nombres de dominio que puedan relacionarse o identificarse con una entidad financiera, situación similar – pero mucho más difícil de controlar – a la de las denominadas “marcas de defensa”3[3]. Dicho riesgo se traduce en la posibilidad de facilitar el accionar de ciberdelincuentes interesados en obtener beneficios económicos a través de la captura fraudulenta de datos de los usuarios de banca electrónica. A lo largo del presente describiremos las maniobras mencionadas, dando cuenta de ello a través de diversos ejemplos, para finalmente exponer una serie de conclusiones al respecto. II. Los nombres de dominio y su importancia en la sociedad de la información.

En términos sencillos, un nombre de dominio es una dirección de Internet fácil de identificar y recordar4[4]. Las computadoras tienen una dirección única en Internet, la que se denomina dirección “IP” (Internet Protocol o protocolo de internet). La misma está formada por una serie de números que no resultan sencillos de recordar5[5], por lo que el sistema de nombres de dominio (DNS – Domain Name System) es una herramienta muy útil para que los usuarios puedan navegar en Internet. El Sistema de Nombres de Dominio traduce el nombre de dominio a la dirección IP que le corresponde y lo conecta con el sitio web que desea. Asimismo, permite el funcionamiento del correo electrónico, de manera tal que los mensajes que se envían lleguen al destinatario que corresponda, y demás servicios de Internet6[6]. Debido al uso comercial de Internet y a su masividad, los nombres de dominio han pasado a ser identificadores comerciales y, en ciertos casos, hasta pueden sustituir a las propias marcas. El acceso libre al nombre de dominio permite la diferenciación de empresas que prestan servicios idénticos, similares o totalmente distintos en la red. De esta manera, se generará confianza en el usuario que accede a un sitio web identificado por un dominio y obtiene información del mismo. Dicha confianza es proporcional a la confianza y reputación del titular de ese web site7[7]. Es muy común acceder a un sitio web por asociación con marcas o signos distintivos de empresas, allí reside la importancia de registrar formando parte del nombre de dominio a los signos distintivos más característicos de empresas que desean participar de este nuevo medio digital. Al acceder a un sitio web de esta forma, el usuario sin duda alguna presume que toda la distintividad de ese signo está implícita en todo el contenido incluido en la esfera de ese nombre de dominio. La moderna sociedad de la información y del conocimiento ha modificado algunas pautas comerciales propias del ancien régime. Actualmente, las empresas cuentan con la posibilidad de llegar simultáneamente a los hogares de millones de potenciales clientes en cuestión de segundos, para ofrecerles sus productos y servicios. Las entidades financieras no resultan ajenas a esta nueva modalidad y el servicio de banca a distancia que las mismas brindan a sus clientes ha sido – y es – objeto de incontables fraudes económicos. La situación se agrava aún más cuando algún nombre de dominio relacionado con el banco es registrado y utilizado de mala fe por ciberdelincuentes sin derechos ni intereses legítimos, dando lugar a la denominada “ciberocupación”. III. Cybersquatting o ciberocupación de nombres de dominio. Los derechos en conflicto.

Los nombres de dominio se registran bajo la modalidad “first come, first served”8[8] es decir, se concede a quien primero lo solicita, a cambio del pago de una tasa o no – dependiendo del país de registro9[9] –, generalmente sin tomar en cuenta ningún otro factor10[10]. Por lo tanto, no resulta difícil registrar un nombre de dominio. Ello ha dado lugar a que oportunistas pudieran registrar gran cantidad de dominios relacionados con marcas, compañías y personas reconocidas, principalmente con el objeto de comercializar dichos nombres de dominio con los legítimos titulares, y obtener así, una ventaja económica. Asimismo, se han presentado casos en los que el registro de mala fe tenía por finalidad el desvío de tráfico hacia otro sitio web, o simplemente ocasionar descrédito a alguna persona o corporación. Esta actividad es denominada “cybersquatting” o “ciberocupación11[11]”. Las entidades financieras no han podido escapar a esta modalidad cuasidelictual, y actualmente se han registrado casos a lo largo de todo el mundo. Entonces, “la ciberocupación es el registro anticipado y de mala fe de marcas – o nombres personales12[12] – como nombres de dominio por personas que no tienen derecho alguno sobre esos nombres”13[13]. Este fenómeno, propio de la posmodernidad, ha generado diversas consecuencias legales. Así, se han presentado innumerables situaciones abusivas que atentan contra los derechos de propiedad intelectual de los legítimos titulares, las que en una primera etapa no encontraron un mecanismo de resolución de disputas adecuado. El sistema judicial no ofrece en todos los casos una solución completa a conflictos de dimensión mundial y la vía judicial puede resultar lenta y onerosa. Ello puede generar que el titular de la marca se encuentre en una situación en la que le resulte más rápido y menos complicado comprar al ciberocupador los derechos sobre un nombre de dominio antes que intentar reclamarlos mediante un proceso judicial14[14]. Entonces, se hizo imperiosa la necesidad de crear un mecanismo de solución de controversias más sencillo y dinámico, que permitiera resolver cuestiones entre partes pertenecientes a diferentes países. Así, en 1999 la OMPI dio origen a la UDRP – Política uniforme de solución de controversias en materia de nombres de domino15[15]. IV. La Organización Mundial de la Propiedad Intelectual (OMPI) y el sistema de solución de controversias.

La UDRP brinda la posibilidad de recurrir a un mecanismo administrativo a los fines de resolver cuestiones atinentes a nombres de domino. De esta manera, los titulares de derechos marcarios o de derechos personalísimos (como el nombre) cuentan con una vía expedita para recuperar los dominios que hayan sido registrados y utilizados por un tercero de mala fe. El procedimiento es sencillo, económico y rápido. La decisión que adopte el proveedor de servicios de solución de controversias16[16] es vinculante, internacional y tiene fuerza ejecutoria. No obstante ello, la decisión es recurrible judicialmente. Sólo se determinará si el nombre de dominio es transferido o no al requirente o si dicho registro debe ser cancelado, debiéndose recurrir a la vía pertinente en caso de pretender una indemnización por los daños y perjuicios sufridos por el legítimo titular a causa del cybersquatting. Por el acuerdo de acreditación firmado con la ICANN17[17], todos los registradores de nombres de dominio de primer nivel genérico (com, .org, .net, .biz, .info, .name) convienen en observar y ejecutar la Política Uniforme. La misma tiene un alcance internacional, ya que brinda la posibilidad de resolver controversias independientemente de la ubicación geográfica del registrador, del titular del nombre de dominio demandado o del titular del derecho marcario demandante. La UDRP se aplica a controversias en materia de nombres de dominio que se ajustan a los tres criterios siguientes: i) el nombre de dominio registrado por el titular es idéntico o similar, hasta el punto de crear confusión, con respecto a una marca de productos o de servicios sobre la que el demandante tiene derechos; ii) el titular del nombre de dominio no tiene derechos o intereses legítimos respecto del nombre de dominio en cuestión; iii) el nombre de dominio ha sido registrado y se utiliza de mala fe. Si bien se trata de un procedimiento rápido y económico, tiene cierta complejidad que está dada por el específico conocimiento de las cuestiones de hecho y de derecho que deben ser planteadas para abordar el tema con mayor posibilidad de tener éxito. El Centro de Arbitraje y Mediación de la OMPI no es el único proveedor habilitado. Existen otros centros de resolución de conflictos a lo largo del mundo a los que los titulares ciberocupados pueden recurrir para recuperar sus dominios18[18].

A continuación expondremos los riesgos que la ciberocupación implican para las entidades financieras. V.

Las entidades financieras frente a la amenaza de la ciberocupación.

El cybersquatting ha cobrado víctimas a lo largo de todo el mundo19[19], y Latinoamérica no ha sido la excepción. Así, hemos encontrado casos relacionados con bancos de Argentina, Brasil, Chile, Colombia, Costa Rica y México, entre otros20[20]. La negligencia de las entidades financieras, conjuntamente con el accionar delictivo de los oportunistas ha dado lugar a una vasta casuística en la materia. Desafortunadamente los abusos continúan perpetrándose, y en la actualidad más del 73% de los ataques de phishing son llevados a cabo en conjunto con la ciberocupación de nombres de dominio de entidades bancarias, mientras que a principios de 2005 representaban el 35%21[21]. Sin embargo, la estadística referida a los casos resueltos por el panel de la OMPI es alentadora, pues en más del 90% se ha decidido la transferencia de los dominios en litigio a favor de las entidades financieras. a.

Phishing. Su vinculación con el registro de nombres de dominio.

En la denominada “sociedad de la información” en la que vivimos los datos han cobrado un valor trascendental. Quien posea mayor información, obtendrá mayores beneficios. La actividad bancaria no ha podido escapar a esta realidad, y menos aún en materia de e-banking. Así, con el aumento de la popularidad de Internet, las estafas informáticas se han reproducido de manera difícil de imaginar hace apenas una década. Entre los fraudes informáticos a entidades financieras se destaca el phishing22[22], que tiene por finalidad engañar a los usuarios para conseguir datos confidenciales como ser, las claves de acceso a sus cuentas bancarias por Internet. Para ello, el estafador envía miles de correos electrónicos falsos que parecen provenir de sitios web de entidades financieras. A través del mismo se notifica al cliente la necesidad de que confirme cierta información relacionada con su cuenta bancaria, alegando excusas de toda clase como, por ejemplo, modificaciones en el sistema de seguridad, avisos de cancelación de las cuentas si no se procede a la actualización y confirmación de los datos en un corto plazo de tiempo, personalización de cuentas, etc. Es lo que se conoce como ingeniería social23[23].

Los mensajes suelen contener el logotipo de la entidad bancaria y demás signos distintivos para aumentar la confusión del cliente, junto con un link a un sitio web, que en apariencia es el de la entidad de la cual es cliente, pero que en realidad conduce a un sitio falso24[24]. Una vez que el usuario ingresa en el sitio falso, le es requerido que ingrese su información personal sin saber que se transmitirá directamente al ciberdelincuente, quien la utilizará para transferir el dinero a su cuenta, realizar pagos, etc. El riesgo aumenta aún más cuando las entidades no han registrado debidamente los nombres de dominio que puedan tener mayor relación con las marcas de las que son titulares25[25]. El ciberdelincuente intentará por todos los medios generar una falsa confianza en el cliente bancario, para así obtener un mayor beneficio fraudulento. Si quien recibe un email de una entidad financiera, lo hace desde una dirección cuyo dominio pueda ser emparentado con el verdadero nombre del banco, su grado de desconfianza será mucho menor que el de quien lo recibe desde una dirección que nada tiene que ver con la entidad26[26]. Asimismo, quien a través de un email “phishing” invita al usuario a visitar el sitio web de una supuesta entidad bancaria, y la dirección de ese web site es idéntica o confundible con la verdadera del banco, aumentará la chance de timar al confiado cliente. Estadísticas elaboradas por distintos organismos y compañías indican que durante el año 2006 más del 75% de los casos de phishing se dieron en entidades financieras.27[27] b. Algunos fundamentos adoptados en casos de ciberocupación y phishing. Resulta muy ilustrativo hacer un breve comentario de los fundamentos generales adoptados por el panel de la OMPI en diversos casos, a los fines de lograr una mayor comprensión del riesgo que implica la ciberocupación con fines fraudulentos, y tener una idea aproximada de las posibilidades de éxito en el reclamo administrativo. En líneas generales, los ciberocupadores registran nombres de dominio vinculados a entidades financieras con el objeto de alojar un sitio web de características similares al del banco, utilizando sin ningún tipo de autorización la marca y el logotipo de la entidad, a los efectos de crear confusión en los clientes y generar en ellos la idea de estar visitando el sitio oficial de la entidad28[28]. De esta manera, utilizando técnicas disuasivas y fraudulentas (phishing) consiguen capturar los datos de los clientes (usuario y password, entre otros) para efectuar sustracciones de dinero de sus cuentas29[29].

Las entidades financieras cuentan con numerosos registros marcarios en diversas regiones del mundo, por lo general, anteriores al registro del dominio en cuestión. Asimismo, suelen contar con una serie de nombres de dominio registrados debidamente, lo que presupone un legítimo derecho a recuperar el dominio en litigio. El panel de la OMPI ha considerado que: i) el nombre de dominio era similar y confundible con la marca de la entidad bancaria; ii) el demandado no tenía interés o derecho legítimo alguno para utilizar el dominio, pues estaba haciendo uso no autorizado de una marca registrada.; y iii) existía mala fe en el registro y uso del dominio, pues su única intención era la de obtener datos de los clientes de la entidad, mediante técnicas de phishing30[30]. En base a los fundamentos enunciados, podemos considerar que, contándose con los adecuados elementos, las probabilidades de éxito en un reclamo ante el panel de la OMPI son óptimas. c. Concientización y prevención, el primer paso frente al fraude informático. Frente a cualquier riesgo, siempre es preferible prevenir que curar. En materia de registro abusivo de nombres de dominio muchas veces resulta difícil lograr una efectiva prevención. El problema del phishing y su relación con el cybersquatting ha generado alertas a nivel mundial. Algunas entidades registradoras han comenzado a adoptar políticas preventivas en materia de registros abusivos de nombres de dominio. Así, por ejemplo, han incluido en sus términos y condiciones la posibilidad de cancelar o suspender un dominio si consideran que el mismo fue registrado para ser utilizado en ataques de phishing u otra actividad ilegal de cualquier tipo31[31]. Otro caso para destacar es el de la JPRS – Japan Registry Services, entidad japonesa responsable del registro y administración de los dominios “.jp”. Entre sus políticas se encuentra la de prohibir la utilización en nombres de dominio de caracteres confundibles visualmente correspondientes a las escrituras kanji, hiragana y katakana32[32], a los fines de evitar registros fraudulentos33[33]. Cabe también hacer mención aquí a otro gran riesgo difícil de controlar: la compraventa de dominios ofrecidos por sitios web dedicados a la comercialización de los mismos34[34]. En dichos sitios se han registrado numerosas transacciones

de dominios relacionados con entidades financieras, adquiridos por personas distintas a los legítimos titulares de derechos. En Argentina, las principales entidades financieras han fijado pautas de seguridad para sus clientes en materia de transacciones electrónicas. De esta manera, al ingresar al sitio web de cualquiera de ellas encontraremos uno o varios enlaces referidos a temas de seguridad informática35[35]. Entre otros consejos, se advierte a los clientes de la siguiente manera: - Desconfíe y no responda todo mensaje que solicite datos confidenciales como ser nombres de usuario, contraseñas, número de cuentas y/o tarjetas de crédito, etc. Es importante aclararle que Banco Galicia nunca le solicitará tal información por correo electrónico y por tal motivo, absténgase de contestar o seguir las instrucciones inscritas en él y comuníquese inmediatamente o envíe un correo electrónico a [email protected] - No utilice links para acceder a sitios web con información confidencial, como ser su Banco, y menos aún si proceden de correos electrónicos o sitios no confiables. En su lugar, se recomienda escribir en el navegador la dirección correspondiente. - Antes de ingresar información confidencial, verifique que se encuentra en un sitio seguro. Para ello constate: o que la URL comience con https:// , o que en la barra de estado inferior del navegador aparezca un candado cerrado o la validez del certificado de seguridad haciendo clic sobre el candado cerrado. - Mantenga puntualmente actualizada su PC con los parches que emiten los fabricantes, especialmente el navegador que utilice para operar electrónicamente. - Cuente con una solución antivirus actualizada, dado que proliferan virus con funciones especialmente diseñadas para obtener información residente en su PC36[36]. Destacamos la intención de los bancos para mantener alerta e informados a sus clientes, pero sostenemos que estamos frente a un mecanismo delictual muy difícil de controlar, y que el problema resulta ser más profundo. Una cuestión aún no resuelta en Argentina es el de la ausencia de mecanismos de solución de controversias extrajudiciales en materia de nombres de dominio. Nuestro país no adopta actualmente la Polítcia Uniforme y dichas cuestiones deben ser planteadas ante los tribunales, resultando competente la justicia civil y comercial federal. Ello trae aparejado como consecuencia que el procedimiento no sea lo suficientemente ágil y dinámico, ocasionando los pertinentes perjuicios a los legítimos titulares de los derechos sobre el nombre de dominio en litigio. d.

Los bancos, ¿son responsables?

La pregunta que resulta a todas luces clave es ¿SON RESPONSABLES LOS BANCOS? Es decir, si un cliente resulta estafado por un ciberdelincuente que,

haciendo uso de la ingeniería social, lo engaña y persuade para que ingrese sus datos personales y claves en un sitio web falso – similar o idéntico al de la entidad financiera – ¿existe responsabilidad por parte de la entidad bancaria si el usuario resulta damnificado económicamente por el accionar de un phisher? ¿el banco debe indemnizarlo? En Argentina, el art. 42 de la Constitución Nacional, incorporado por la reforma del año 1994, consagra el deber de informar con veracidad a los consumidores y usuarios, eslabón más débil de la cadena productiva. La Ley 24.240 de Defensa del Consumidor expresamente enuncia el deber de información en su art. 4°. Partiendo de las premisas que los bancos se han convertido en entidades de interés público al servicio de la sociedad, en gran medida debido a su función crediticia; y que, existen sectores más expuestos frente a los nuevos comportamientos de los bancos, en especial en lo referido a la comercialización de servicios y los riesgos que ello implica37[37]; podemos concluir que la Ley de Defensa del Consumidor, así como el principio contenido en la Carta Magna argentina, son plenamente aplicables a la actividad bancaria. La información que el proveedor debe al usuario es obligatoria en todos los supuestos de relación de consumo, puesto que el objeto de este principio es que el consumidor sepa debidamente qué es lo que va adquirir, para qué se utiliza, cómo funciona, para poder tomar una razonable decisión. Esta información debe ser cierta, objetiva, veraz, detallada y suficiente38[38]. En el caso de las entidades bancarias, y teniendo en cuenta la complejidad de la actividad, el deber se amplía, pues el cliente deberá contar con todos los datos necesarios para contratar libremente. En la actualidad, los bancos cuentan con múltiples canales para poder cumplir con este deber: publicidad a través de folletos, avisos televisivos, sitio web, etc., razón por la cual, es mayor su responsabilidad de cumplirlo. Por otro lado, es menester hacer referencia al otro deber significativo en la relación banco-cliente: el deber de seguridad. La obligación de seguridad puede considerarse como “aquella en virtud de la cual una de las partes del contrato se compromete a devolver al otro contratante, ya sea en su persona o en sus bienes, sanos y salvos a la expiración del contrato, pudiendo ser asumida tal obligación en forma expresa por las partes, ser impuesta por la ley, o bien surgir tácitamente del contenido del contrato a través de su integración sobre la base del principio de buena fe”39[39]. Una vez más hay que resaltar la mayor necesidad de cumplir con esta obligación por parte de la banca moderna, pues con la incorporación de la alta tecnología, se ha incrementado el riesgo para los usuarios. El banco en su calidad de profesional y por poseer una mayor especialización e información, debe ser responsable por los medios tecnológicos que pone a disposición de sus clientes.

Recientemente hemos sido testigos de una decisión adoptada por una entidad irlandesa que puede convertirse en un precedente significativo. El Bank of Irland40[40] decidió reintegrar a una serie de clientes que habían sido estafados mediante técnicas de phishing por valores aproximados a los € 160.000. La entidad no hizo públicos los fundamentos de su decisión, prefirió responder económicamente y evitar los litigios judiciales que se avecinaban. El panorama, entonces, se presenta confuso. Por un lado, las entidades bancarias cargan con el peso de una responsabilidad profesional a la que se añaden los deberes de información y seguridad frente a sus clientes, sobre todo en materia de e-banking. Pero, por otra parte, resulta poco lógico pretender que se logre una situación de indemnidad absoluta registrando la totalidad de los dominios que puedan tener algún tipo de vínculo con la entidad y así evitar el registro abusivo por parte de phishers. Por lo expuesto, consideramos que la cuestión está abierta al debate y que no tardarán en aparecer los primeros casos jurisprudenciales, los que esperamos fijen pautas justas y equitativas para todas las partes intervinientes. VI.

Conclusiones.

A lo largo del presente hemos expuesto las principales cuestiones relacionadas con la ciberocupación de nombres de dominio cuyos legítimos titulares son entidades financieras, conjuntamente con los riesgos que ello genera y su vinculación con el fraude informático. Como corolario, podemos decir que: a) La ciberocupación de nombres de dominio es una práctica frecuente que se manifiesta a lo largo de todo el mundo. b) Las entidades financieras son víctimas de esta modalidad delictiva. c) El cybersquatting en combinación con el phishing, o cualquier otro método de obtención de datos de manera fraudulenta, es un riesgo que los bancos deben intentar mitigar. d) El sistema administrativo de resolución de conflictos es una herramienta ágil y eficaz para recuperar un nombre de dominio registrado abusivamente. e) La prevención y la capacitación son armas fundamentales para combatir a los ciberdelincuentes. f) Las entidades bancarias están sujetas al régimen de defensa del consumidor y obligadas a cumplir con los deberes de información y de seguridad. g) En caso de que un cliente sea estafado por phishers que utilizan para ello un sitio web identificado con un nombre de dominio vinculado a la entidad financiera, entendemos que los bancos podrían llegar a ser condenados como responsables si no han actuado con la diligencia propia de un profesional.

41[1] Entrevista a un miembro de F-Secure, firma finlandesa especialista en seguridad informática – Domain resale market a “haven” for phishers – The Register – http://www.theregister.co.uk/2006/10/31/domain_resale_market/print.html 42[2] http://www.wipo.int/amc/es/domains/statistics/cumulative/results.html 43[3] Se trata de marcas que no serán utilizadas, pero que actúan como una defensa de las que sí lo son. Se las denomina de esta manera por la función que cumplen (conf. OTAMENDI, JORGE – Derecho de marcas, 5° ed., Buenos Aires, Abeledo Perrot, 2003, pág. 229).44[4] GUIA DE LA OMPI SOBRE LA SOLUCION DE CONTROVERSIAS EN MATERIA DE NOMBRES DE DOMINIO http://arbiter.wipo.int/center/publications/s892.pdf 45[5] Por ejemplo, 192.0.34.163 es la dirección IP del sitio web www.icann.org. 46[6] http://www.icann.org/tr/spanish.html 47[7] SALGUEIRO, JOSE OVIDIO - Defensa de nombres de dominio ciberocupados - http://www.iberolatino.org.ar/download.php?select=23 48[8] SALGUEIRO, JOSE OVIDIO – Op. cit. 49[9] A modo de ejemplo, actualmente el registro en Argentina de nombres de domino com.ar, gov.ar, int.ar, org.ar, mil.ar y net.ar es gratuito (ver http://www.nic.ar).50[10] Una excepción, entre otras, la configura España. El sitio web del NIC.es dispone que: “Desde cualquier parte del mundo usted puede solicitar los siguientes dominios “.es”, teniendo en cuenta que debe mantener vínculos con España: - Las personas físicas o jurídicas y las entidades sin personalidad que mantengan vínculos con España, pueden solicitar cualquier dominio “.es” y/o “.com.es”. - Podrán solicitar, los dominios “.nom.es” las personas físicas y jurídicas que mantengan vínculos con España. - Las entidades, instituciones o colectivos con o sin personalidad jurídica y sin ánimo de lucro que mantengan vínculos con España, podrán registrar los dominios “.org.es”. La Entidad Pública Empresarial Red.es, considera que el significado de “intereses” o “vínculos con España” cubre, entre otras, las siguientes situaciones: - Personas físicas o jurídicas establecidas en España

- Personas físicas o jurídicas que quieran dirigir total o parcialmente sus servicios al mercado español - Personas físicas o jurídicas que quieran ofrecer información, servicios y/o productos, que estén vinculados cultural, histórica o socialmente con España”. Para mayor información recomendamos visitar https://www.nic.es/tus_dominios/quien.html 51[11] La ciberocupación es la acción y efecto de registrar un nombre de dominio, a sabiendas de que otro ostenta mejor título a él, con el propósito de extorsionarlo para que lo compre o bien simplemente para desviar el tráfico web hacia un sitio competidor o de cualquier otra índole. (conf. WIKIPEDIA http://es.wikipedia.org/wiki/Ciberocupaci%C3%B3n).52[12] El destacado me pertenece. 53[13] GUIA DE LA OMPI – Op. cit. 54[14] GUIA DE LA OMPI – Op. cit. 55[15] Aprobada por la ICANN el 26/08/1999. 56[16] Por ejemplo, el Centro de Arbitraje y Mediación de la OMPI. 57[17] Internet Corporation for Assigned Names and Numbers (ICANN) es una organización sin fines de lucro que opera a nivel internacional, responsable de asignar espacio de direcciones numéricas de protocolo de Internet (IP), identificadores de protocolo y de las funciones de gestión [o administración] del sistema de nombres de dominio de primer nivel genéricos (gTLD) y de códigos de países (ccTLD), así como de la administración del sistema de servidores raíz (http://www.icann.org/tr/spanish.html).58[18] Entre ellos citamos: - Asian Domain Name Dispute Resolution Centre - http://www.adndrc.org/ - The National Arbitration Forum - http://domains.adrforum.com/ Asimismo, existen centros para la resolución de conflictos sobre ccTLDs (Country Code Top Level Domain). Es el caso de España, donde pueden tramitarse y resolverse extrajudicialmente los conflictos sobre el registro de cualquier nombre de dominio “.es”. Los proveedores habilitados a tal efecto son: - (AECEM), Asociación Española de Comercio Electrónico y Marketing relacional http://www.aecem.org/ - (Autocontrol), Asociación para la Autorregulación de la Comunicación Comercial http://www.autocontrol.es/ - Consejo Superior de Cámaras de Comercio, Industria y Navegación de España https://www.camaras.org/publicado/juridico/ResConflictos_1399.html 59[19] Para mayor información ingresar en http://www.wipo.int/cgibin/domains/search/legalindex?lang=es&cmd=search&media=15150, en donde se

detallan todas las resoluciones de los Grupos de Expertos de la OMPI relativos a la categoría Banca y Finanzas. Entre los años 2000 y 2006 se han resuelto más de 450 casos en esta categoría. 60[20] Numerosas entidades financieras han tenido que recurrir al citado procedimiento, entre ellas: - BANCO RIO DE LA PLATA S.A. V. ALEJANDRO RAZZOTTI – Caso N° D20010173 – 02/04/2001 – http://arbiter.wipo.int/domains/decisions/html/2001/d20010173.html - BBVA BANCO FRANCÉS, S.A. V. BANCOFRANCES.COM, INC. – Caso N° D2003-0814 – 21/12/2003 – http://arbiter.wipo.int/domains/decisions/html/2003/d2003-0814.html - BANCO BAC SAN JOSÉ S. A. V. MARIANO CASTILLO BOLAÑOS - Caso N° D2004-0884 06/12/2004 http://arbiter.wipo.int/domains/decisions/html/2004/d2004-0884.html - BANCO BANEX, S.A. V. MARIANO CASTILLO - Caso N° D 2003-0573 08/09/2003 - http://arbiter.wipo.int/domains/decisions/html/2003/d2003-0573.html - BANCO CAJA SOCIAL, S.A. V. IVAN MARTINEZ IBARRA - Caso N° D20010569 - 11/06/2001 - http://arbiter.wipo.int/domains/decisions/html/2001/d20010569.html - BANCO DE CHILE S.A. V. ERIC S. BORD, ESQ. - Caso N° D2001-0695 14/08/2001 - http://arbiter.wipo.int/domains/decisions/html/2001/d2001-0695.html - BANCO DE BOGOTÁ S.A., V. FERNANDO DÍAZ BUENO - Caso N° D2004-1093 - 02/03/2005 - http://arbiter.wipo.int/domains/decisions/html/2004/d2004-1093.html - BANCO DE OCCIDENTE S.A. V. FERNANDO DÍAZ BUENO - Esreal.com Inc. Caso N° D2004-1108 23/02/2005 http://arbiter.wipo.int/domains/decisions/html/2004/d2004-1108.html - BANCO SANTIAGO V. JLB - Caso N° D2000-1351 - 26/1 2/2000 http://arbiter.wipo.int/domains/decisions/html/2000/d2000-1351.html - BANCO MERCANTIL DEL NORTE, S.A., V. SERVICIOS DE COMUNICACIÓN EN LINEA Caso N° D2000-1215 23/11/2000 http://arbiter.wipo.int/domains/decisions/html/2000/d2000-1215.html - BANCO ITAÚ S.A. V. F. NAZAR - Caso N° D2003-0454 - 25/08/2003 http://arbiter.wipo.int/domains/decisions/html/2003/d2003-0454.html - SANTANDER INVESTMENT BANK LIMITED Y BANCA SERFÍN, S.A. GRUPO FINANCIERO V. DIVISAS MEXICANAS, S.A. DE C.V. - Caso N° D2004-0475 30/08/2004 - http://arbiter.wipo.int/domains/decisions/html/2004/d2004-0475.html - UNIBANCO – UNIÃO DE BANCOS BRASILEIROS S.A. V. VENDO DOMAIN SALE Caso N° D2000-0671 31/08/2000 http://arbiter.wipo.int/domains/decisions/html/2000/d2000-0671.html 61[21] Domain-Based Phishing Attacks on the Rise – Banks Systems & Technologies – http://www.banktech.com/news/showArticle.jhtml?articleID=190500617

62[22] Phishing es un término utilizado en informática con el cual se denomina el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta, como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria. El estafador, mejor conocido como phisher se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas. (conf. WIKIPEDIA - http://es.wikipedia.org/wiki/Phishing).63[23] En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente y llevarla a revelar información sensible, o bien a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra, antes que aprovechar agujeros de seguridad en los sistemas informáticos. (conf. WIKIPEDIA http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_%28seguridad_inform%C3 %A1tica%29).64[24] Se denomina SITIO SPOOF al que imita o copia el sitio de una compañía reconocida para hacerle revelar información confidencial. Para lograr que parezca legítimo se utilizan los logos, gráficos, nombres, e incluso el código del sitio de la verdadera empresa. También se da el caso de la simulación de la dirección que aparece en el campo de la parte superior del navegador de Internet, y el candado que aparece en la esquina inferior derecha. 65[25] A modo de ejemplo podemos citar los conflictos suscitados en relación a nombres de dominio tales como bancorio.com, citibankonline.biz, abnamrobank.org, bancoitau.info, bbvaespana.com, hsbctheworldslocalbank.com, bayshoretrust.net, fifth-third-bank.com, lacaixaonline.net, online-bancaintesa.com, bancroma.com, entre muchos otros. 66[26] El estudio denominado “Why Phishing Works”, elaborado por investigadores de Harvard University y de la University of California Berkley reveló que el 36% de los participantes confiaron principalmente en el nombre de dominio, conjuntamente con el contenido del sitio web, para determinar la legitimidad del mismo. El 90% de los sujetos encuestados resultaron engañados por un sitio web falso, sin poder distinguirlo de uno legítimo. Asimismo, el 23% de los participantes se guió únicamente por el contenido del sitio, sin tomar en cuenta las medidas de seguridad exhibidas (http://people.deas.harvard.edu/~rachna/papers/why_phishing_works.pdf).67[27] http://www.netydea.com/nweb/webv2/spinformacion/informacion_imp.asp?idinformacion=14955

68[28] - FIFTH THIRD BANCORP. V. DOMAIN ACTIVE PTY. LTD. - Caso N. D2003-0884 26/12/2003 http://www.wipo.int/amc/en/domains/decisions/html/2003/d2003-0884.html - FIFTH THIRD BANCORP V. DOMAIN ADMINISTRATION LIMITED - Caso N° D2006-1207 24/11/2006 http://www.wipo.int/amc/en/domains/decisions/html/2006/d2006-1207.html 69[29] - BAYSHORE BANK & TRUST (BARBADOS) CORPORATION V. MOTSCHH IVAN Caso N° D2005-0011 21/02/2005 http://www.wipo.int/amc/en/domains/decisions/html/2005/d2005-0011.html - LA CAIXA D’ESTALVIS I PENSIONS DE BARCELONA V. N/A - Caso N° D20050601 06/03/2006 http://www.wipo.int/amc/en/domains/decisions/html/2005/d2005-0601.html - BANCO BILBAO VIZCAYA ARGENTARIA, S.A. V. X COMPANY - Caso N° D2005-0289 18/05/2005 http://www.wipo.int/amc/en/domains/decisions/html/2005/d2005-0289.html 70[30] - BANCA INTESA S.P.A. V. MOSHE TAL - Caso N° D2006-0228 21/04/2006 http://www.wipo.int/amc/en/domains/decisions/html/2006/d20060228.html - BAYSHORE BANK & TRUST (BARBADOS) CORPORATION V. MOTSCHH IVAN Caso N° D2005-0011 21/02/2005 http://www.wipo.int/amc/en/domains/decisions/html/2005/d2005-0011.html - LA CAIXA D’ESTALVIS I PENSIONS DE BARCELONA V. N/A - Caso N° D20050601 06/03/2006 http://www.wipo.int/amc/en/domains/decisions/html/2005/d2005-0601.html - BANCA DI ROMA S.P.A. V. OVERLORD DESIGNS INC. - Caso N° D2006-0123 - 13/03/2006 - http://www.wipo.int/amc/en/domains/decisions/html/2006/d20060123.html 71[31] CentralNic's Policy On Phishing and Fraud: Subclauses (f) and (h) of Clause 13 of CentralNic's Terms and Conditions state that CentralNic may cancel the registration or suspend registration of a domain name: (f) if CentralNic believes that the domain name was registered for use in a "phishing" attack or other illegal activity of any kind. (h) if inaccurate or false contact details are provided. Further to these conditions, CentralNic has instituted a new policy regarding suspected "phishing" domain names: If we have a reasonable suspicion that a domain name registered at CentralNic is being used in a phishing attack, or otherwise being used for other illegal activities, we will place the domain name "On Hold" and under a Registry Lock. We will then notify the current Billing Contact (ie registrar/ reseller) for the domain name. If the Billing Contact can provide confirmation that the domain name was

registered in "good faith" by the registrant, then CentralNic will immediately unlock the domain name and place it on the "Live" status. If no confirmation is received, or the Billing Contact agrees that the domain name was registered in "bad faith", the domain name will be placed onto "Pending Deletion", and will be fully deleted from the database after 45 days. This policy was announced to all accredited resellers and registrars on May 5, 2006. (http://www.centralnic.com/support/abuse).72[32] Los kanji son los caracteres de origen chino, de la época de la dinastía Han, que se utilizan en la escritura japonesa junto con los silabarios katakana e hiragama (Conf. WIKIPEDIA – http://es.wikipedia.org/wiki/Kanji).73[33] JPRS, Japan Registry Services – About Recent Articles Regarding Phishing Using Homographs among IDNs – Countermeasures Already in Place, and .JP Follows Them On 8 June 2006, the following descriptions are added for clarification: - Visually confusable characters other than Kanji, Hiragana, Katakana and LDH cannot be used in Japanese JP domain names. - In Japanese JP domain names, visually similar characters within Japanese scripts are not restricted for usability, and disputes arising out of the similarity can be resolved by JP-DRP (http://jprs.co.jp/en/topics/050214.html).74[34] Sedo.com (http://www.sedo.com), BuyDomains.com(http://www.buydomains.com/), GoDaddy.com (http://www.godaddy.com), entre otros. 75[35] Al respecto se recomienda ver: BANCO GALICIA http://www.egalicia.com.ar/portal/site/eGalicia/menuitem.5036500d5db3129c9ebe9581222011c a BANCO RIO http://www.bancorio.com.ar/common/demos/seguridad/contenido3.htm CITIBANK ARGENTINA https://www.latam.citibank.com/argentina/laar/spanish/service/general/learn.htm BBVA BANCO FRANCES http://www.bancofrances.com.ar/html/individuos/servicios/seguridad/indi_serv_seg uridad.htm BANCO DE LA NACION ARGENTINA http://www.bna.com.ar/institucional/consejos_seguridad.asp 76[36] http://www.egalicia.com.ar/portal/site/eGalicia/menuitem.5036500d5db3129c9ebe9581222011c a 77[37] BARBIER, EDUARDO ANTONIO - Contratación Bancaria, Tomo I, Consumidores y usuarios, Pág. 42, Ed. Astrea, 2° Ed ición, Buenos Aires 2002.

78[38]

Conforme surge del art. 4° de la Ley 24.240. BARBIER, EDUARDO ANTONIO - Op. citado, Pág. 592. 80[40] The Register – BoI to refund phishing victims http://www.theregister.co.uk/2006/09/06/boi_refunds_phishing_victims/

79[39]

–

(*) Abogado (U.B.A. 2003). Carrera de Abogado Especialista en Derecho de la Alta Tecnología (U.C.A. 2006). Miembro del Instituto de Informática Jurídica del Colegio Público de Abogados de la Capital Federal. Cofundador y Subdirector del sitio web DerechoyBanca.com – www.derechoybanca.com – dirigido por el Dr. Alfredo H. Dubini. Primera publicación de argentina en Internet especializada en Derecho Bancario. Secretario de Redacción del Suplemento de Derecho de la Alta Tecnología de elDial.com, dirigido por el Dr. Horacio R. Granero – www.eldial.com. Miembro de la Comunidad ALFA-REDI - Revista de Derecho Informático www.alfa-redi.org . Miembro de la Red Derecho TICs - Red de especialistas en Derecho de las Nuevas Tecnologías de la Información y Comunicación www.derechotics.com. Miembro de Internet Society - www.isoc.org. Miembro del grupo CIBERDERECHO. Miembro del Estudio Dubini & Asociados. Autor de diversas publicaciones. Colaborador de La Ley, elDial.com, Societario.com, DerechoyBanca.com, entre otros. [email protected]

http://www.eldial.com/suplementos/dat/tcdNP.asp?fecha=14/03/2007&id_publicar=7396& numero_edicion=2243&camara=Doctrina&id=2798&vengode=suple 14/03/2007