CONCEPTO 509812 DE 2020
(mayo 11)
<Fuente: Archivo interno entidad emisora>
COMISIÓN DE REGULACIÓN DE COMUNICACIONES
XXXXXXXXXXXXXXX
REF. | SU COMUNICACIÓN CON EL ASUNTO “CONSULTA SOBRE ATAQUES PHISHING VÍA MENSAJES DE TEXTO CORTOS SMS.” |
La Comisión de Regulación de Comunicaciones-CRC- ha recibido su comunicación, radicada internamente bajo el número 2020802796, en la que nos consulta sobre (...) qué mecanismos podrían implementarse dentro del marco normativo vigente para que los PRST podamos actuar inmediatamente ante los casos debidamente probados del uso indebido de los códigos cortos y se permita el bloqueo oportuno de los mismos, protegiendo así el interés de nuestros usuarios y por ende de sus derechos”.
Lo anterior, por cuanto, a su juicio, la medida del Artículo 4.1.7.5 de la Resolución CRC 5050 de 2016, resulta ineficiente para proteger los derechos de los usuarios ante los ataques de phishing que se presentan a través de códigos cortos.
I. Alcance del presente pronunciamiento.
Antes de referirnos a su consulta, debe aclararse que la CRC, al rendir conceptos, lo hace de conformidad con lo dispuesto en el Artículo 28 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo, y según las competencias y facultades que le han sido otorgadas por el ordenamiento jurídico vigente, en particular, lo previsto en la Ley 1341 de 2009, modificada por la Ley 1978 de 2019 y la legislación complementaria. De este modo, el alcance del pronunciamiento solicitado tendrá las consecuencias que la normatividad le otorga a los conceptos rendidos por las autoridades administrativas.
II. Marco regulatorio aplicable
En relación con los códigos cortos, resulta necesario recordar que recientemente, la CRC expidió la Resolución CRC 5968 de 2020[1], compilada en la Resolución CRC 5050 de 2016; en la que en el proceso de elaboración participaron a través de comentarios, diferentes empresas, incluida COLOMBIA MÓVIL S.A. E.S.P.
Así, dicha Resolución incluyó, entre otros, el procedimiento para la asignación, los criterios de uso eficiente y recuperación de los códigos cortos[2], estableciendo que los códigos que se asignen no sólo deben ser implementados por los asignatarios dentro de los seis (6) meses siguientes a la fecha de la asignación[3], sino que deben utilizarse para los fines especificados en la respectiva resolución de asignación, no deben reportar ausencia de tráfico en periodos consecutivos iguales o superiores a doce (12) meses, ni tráfico para un único usuario por un periodo superior a tres (3) meses, so pena de recuperación.
De manera que, si la Comisión advierte que, entre otras, los códigos cortos presentan un uso diferente a aquél para el que fueron asignados, o existen razones de interés general o seguridad nacional, puede proceder con su recuperación siempre que se agote el procedimiento establecido para tal fin, el cual se lleva a cabo teniendo en cuenta los términos establecidos en el Código de Procedimiento Administrativo y de lo Contencioso Administrativo - CPACA - para las actuaciones administrativas[4].
Es importante aclarar que la CRC no puede promover prácticas de bloqueo automático, sin garantizar el debido proceso y de contradicción del asignatario - el cual es imperioso y constitucional-.
En complemento de ello, con ocasión de la expedición de la Resolución CRC 5968 de 2020, se incluyó una condición según la cual, el Proveedor de Contenidos y Aplicaciones no será asignatario de nuevos códigos si dentro de los seis (6) meses anteriores a la solicitud, esta Comisión ha efectuado la recuperación de los códigos cortos haciendo uso de la causal dispuesta en su artículo 6.4.3.2.2, esto es, “Cuando los códigos cortos asignados presenten un uso diferente a aquél para el que fueron asignados”.
Ahora bien, consideramos pertinente señalar que con ocasión a la expedición de la Resolución CRC 3501 de 2011[5], compilada en el Capítulo 2 del Título IV de la Resolución CRC 5050 de 2016, específicamente en respuesta a los comentarios a la propuesta regulatoria[6], y frente a “sugerencia de prohibir la estipulación de sanciones o multas por parte del PRST a los PCA”, se estableció que los PRST y los PCA o Integradores Tecnológicos pueden establecer de mutuo acuerdo apremios conforme a los criterios de proporcionalidad y razonabilidad, tal y como consta en el artículo 4.2.2.2.4. de la Resolución CRC 5050 de 2016.
En su momento se explicó que “de acuerdo con el régimen de acceso previsto en la Resolución CRC 3101 de 2011, dichos mecanismos pueden ser acordados por las partes, como un apremio o incentivo al cumplimiento de lo pactado en los acuerdos. Lo anterior conforme al principio de buena fe, éstos deben regirse por principios de razonabilidad y proporcionalidad de manera que no se constituyan en barreras para lograr un acuerdo de acceso, y cumplan con la finalidad que les es propia conforme a su naturaleza, esto es, estar llamadas a cumplimiento de las obligaciones recíprocas de las partes. En esa medida, se ajustarán los artículos 4 y 5 del proyecto regulatorio, haciendo expresa la misma obligación tanto para los PRST como para los PCA, en los siguientes términos: “Establecer de mutuo acuerdo apremios conforme a los criterios de proporcionalidad y razonabilidad.” (NSFT).
Por otro lado, en el mismo documento, y frente a la propuesta de “establecer responsabilidades por parte del PCA por daños o perjuicios causados por el PRST o terceros y exoneran de manera anticipada de responsabilidad a los PRST por fallas en la prestación de sus redes y servicios y que afecten la prestación de servicios, aplicaciones y contenidos por parte de proveedores de contenidos y aplicaciones”,[7] se incluye el resultado del análisis que la Comisión realizó en ese momento, según el cual en el ordenamiento jurídico se establecía “un marco suficiente para determinar las responsabilidades que le competen a los distintos agentes, por tanto no se hacía necesario que se incluy[era] en la regulación disposiciones que reiteren las regias establecidas en el régimen de responsabilidad ya sea en el ámbito contractual o extracontractual”". (SFT).
De esta manera, es evidente que, a la fecha, los operadores no solo tienen la opción de establecer directamente con los PCA o los Integradores Tecnológicos en sus contratos o acuerdos, y éstos a su vez con aquellos, instrumentos o medidas para contrarrestar cualquier situación que pueda resultar contraria al ordenamiento jurídico, sino de perseguir a través del régimen de responsabilidad contractual o extracontractual cualquier perjuicio o daño causado por los PCA.
Con todo lo anterior, debe tenerse presente que, aunque el Artículo 4.1.7.5. de la Sección 7[8] del Capítulo 1 del Título IV la Resolución CRC 5050 de 2016[9] establece que ninguna controversia, conflicto o incumplimiento de los acuerdos de acceso y/o de interconexión, da lugar a la desconexión, salvo que la CRC así lo autorice, -con lo cual los PRST no tienen la posibilidad de bloquear el uso de códigos cortos sin autorización previa de esta Comisión-, sí existen mecanismos para apremiar el cumplimento de la normas o regulación vigente, o para mitigar situaciones que se puedan presentar en el marco de la relación de acceso -como puede ser la posibilidad de presentación de casos de fraude a través del envío de SMS-.
Lo anterior, no sólo en virtud de lo que las partes PRST- PCA e Integradores Tecnológicos acuerden en el contrato o acuerdos que suscriba, sino a través de las reglas de responsabilidad contractual y extracontractual dispuestas en nuestro ordenamiento jurídico, así como, de las denuncias o quejas correspondientes, ante las autoridades competentes, léase Fiscalía General de la Nación y CRC, respectivamente.
En todo caso, debe aclararse que cualquier tipo de fraude que se ejecute haciendo uso de las redes y servicios de comunicaciones y del cual la CRC tenga conocimiento, es remitido de manera inmediata por esta Comisión a la Fiscalía General de la Nación, para lo de su competencia, pues la CRC rechaza cualquier tipo de situación que sea contraria a la Ley.
Si bien ninguna de las disposiciones legales que definen el alcance del actuar de la CRC o establecen sus funciones, incluye alguna relacionada con la prevención o acción frente al delito, esto no significa que esta Comisión a través de su regulación, no busque minimizar los riesgos a los delitos que se presentan sobre las redes y servicios de comunicaciones.
De esta manera, se deben adelantar los análisis pertinentes que permitan identificar nuevos mecanismos que busquen contrarrestar cualquier situación ilícita, sin embargo, esto se debe realizar atendiendo los procedimientos establecidos para el efecto, lo cual implica agotar las diferentes etapas de la metodología de Análisis de Impacto Normativo (AIN), en consonancia con el contenido de la Agenda Regulatoria vigente.
Para esta Comisión es clara la necesidad de aunar esfuerzos para disminuir cualquier riesgo que pueda presentarse sobre las redes y servicios de comunicaciones, y en protección de los usuarios correspondientes.
En los anteriores términos damos respuesta de fondo a su comunicación y quedamos atentos a inquietud sobre el particular.
Cordial Saludo,
MARIANA SARMIENTO ARGÜELLO
Coordinadora de Relacionamiento con Agentes
3. Artículo 6.4.3.1.2. de la Resolución CRC 5050 de 2016.
4. https://www.crcom.gov.co/uploads/images/files/200420%20DocumentoRespuestasSC.pdf
5. Definió, entre otras, las condiciones de acceso a las redes de telecomunicaciones por parte de proveedores de contenidos y aplicaciones a través de mensajes cortos de texto (SMS) y USSD sobre redes de telecomunicaciones de servicios móviles, así como, la estructura de la numeración de códigos cortos para la provisión de contenidos y aplicaciones a través de SMS /USSD. En el año 2014, la CRC consideró necesario extender el ámbito de la Resolución CRC 3501 de 2011, modificando su objeto de aplicación y las demás disposiciones contenidas en dicho acto, de modo que resulten igualmente aplicables a los servicios basados en la utilización de USSD. Asimismo, debido a la poca demanda histórica del servicio de mensajería MMS (Multimedia Message Service), se consideró pertinente retirar de la regulación las obligaciones relacionadas con este tipo de mensajería móvil que se encuentran incluidas en el Título 1, el Capítulo 1 del Título 2 y el Capítulo 4 del Título 4 de la Resolución CRC 5050 de 2016.
6. https://crcom.gov.co/recursosuser/Actividades%20Regulatiorias/Acceso%20Redes%20Contenidos%20Aplicaciones/Doc umentoRespuestas Doc19-11.pdf
7. Ibidem.
8. Aplicación de las obligaciones derivadas del acceso y/o interconexión.
9. “ARTÍCULO 4.1.7.5. PROHIBICIÓN DE DESCONEXIÓN. Ninguna controversia, conflicto o incumplimiento de los acuerdos de acceso y/o de interconexión, podrá dar lugar a la desconexión de los proveedores, salvo que la CRC así lo autorice, en cuyo caso deberá dictar las medidas previas que se aplicarán con la finalidad de minimizar los efectos para los usuarios. Mientras no se produzca esta autorización, las condiciones del acceso y/o la interconexión deben mantenerse y, por lo tanto, no puede limitarse, suspenderse o terminarse, so pena de que quién ejecutó motivó o patrocinó la conducta, incurra en las sanciones previstas para el efecto en las normas correspondientes."