1 puntos por GN⁺ 2024-08-07 | 1 comentarios | Compartir por WhatsApp
  • Tras la caída masiva de TI, el consultor de TI David Senk creó ClownStrike, un sitio que convertía el logo de CrowdStrike en una parodia de payaso, lo que desató una controversia sobre si la solicitud de retiro apuntaba contra una expresión amparada por el uso justo
  • CSC Digital Brand Services, representante de CrowdStrike, exigió a Cloudflare retirar el logo, y Cloudflare advirtió que, si no se cumplía, podría bloquear el sitio completo
  • CrowdStrike explicó que en las últimas dos semanas emitió más de 500 solicitudes de retiro para responder a sitios maliciosos y phishing, y que el sitio de parodia no era un objetivo intencional, pero Senk respondió que sí sufrió un perjuicio real
  • Corynne McSherry, de la EFF, considera inapropiado usar la DMCA en disputas de marcas y sostiene que primero debe evaluarse si existe uso justo
  • El caso muestra que, cuanto más laxos son los procesos de gestión de reportes de los grandes proveedores de servicios, más probable es que expresiones legales en línea como la crítica y la sátira desaparezcan justo cuando más importan

Cómo nació ClownStrike

  • David Senk creó ClownStrike después de que CrowdStrike fuera señalada como responsable de una actualización de seguridad problemática que provocó una caída global de TI
  • La interrupción causó confusión prolongada en aeropuertos, hospitales y sistemas empresariales
  • Aunque Senk no fue una víctima directa, apoya la descentralización porque considera que la centralización en la industria tecnológica puede generar grandes daños colaterales
  • El sitio, publicado el 24 de julio, tenía una estructura simple: el logo de CrowdStrike se reemplazaba por un payaso caricaturesco y sonaba música de circo durante la transición
    • Durante las primeras 48 horas usó sin modificaciones el logo de Falcon, la plataforma de ciberseguridad de CrowdStrike
    • Después añadió un gorro de hélice arcoíris a la cabeza de Falcon
  • Senk dijo que al principio subió el sitio “solo por diversión” y comentó que le gustan los viejos sitios de parodia

La solicitud de retiro por DMCA y la respuesta de Cloudflare

  • El 31 de julio, Senk recibió una notificación de retiro por DMCA del equipo de confianza y seguridad de Cloudflare, que en ese momento alojaba el sitio
  • La notificación indicaba que el equipo global antifraude de CSC Digital Brand Services, en representación de CrowdStrike, exigía la eliminación inmediata del logo de CrowdStrike de ClownStrike
  • Cloudflare advirtió que, si no se retiraba el logo, todo el sitio podía quedar fuera de línea
  • Senk consideró que el sitio era una parodia evidente y que, con o sin cambios en el logo, estaba amparado por el uso justo, así que envió de inmediato una contranotificación
  • Cloudflare no confirmó la recepción de la contranotificación ni respondió, y luego volvió a enviar un correo de advertencia por presunta infracción
  • Senk trasladó el sitio a un lugar menos vulnerable a solicitudes de retiro por DMCA y finalmente usó un servidor de Hetzner en Finlandia

La explicación de CrowdStrike y la réplica de Senk

  • CrowdStrike se negó a comentar directamente sobre la solicitud de retiro de ClownStrike
  • Sin embargo, dijo que durante las últimas dos semanas sus socios antifraude emitieron más de 500 notificaciones de retiro para frenar actividades maliciosas que explotaban el “incidente actual”
    • Afirmó que el objetivo era proteger a clientes y a la industria frente a sitios de phishing y actividades maliciosas
    • Explicó que los sitios de parodia no eran el objetivo intencional, aunque podían verse afectados por descuido
    • CrowdStrike señaló que revisará sus procesos y mejorará sus actividades antifraude cuando corresponda
  • Senk criticó esto como una respuesta corporativa típica de “no asumir ninguna responsabilidad”
  • Más allá de que el sitio de parodia no hubiera sido un objetivo intencional, subrayó que su sitio sí resultó afectado en la práctica
  • En el sitio ClownStrike, al hacer clic en el logo de CSC con una peluca de payaso, puede verse la crítica de Senk a los intentos de las empresas por bajar contenido con el que no están de acuerdo

Uso justo y expresión paródica

  • Corynne McSherry, directora legal de la EFF, considera que incluso el uso de un logo sin modificar puede estar amparado por el uso justo
  • Dijo que, si el uso del logo se percibe claramente como una parodia, hay suficientes casos en los que puede ser legal, y que los tribunales lo han confirmado
  • Como el uso justo es legal por definición, sostiene que CrowdStrike debió considerar primero si aplicaba antes de afirmar que ese uso era ilegal
  • Senk argumenta que su sitio es una parodia que cualquier persona razonable puede identificar con claridad y que no hay uso comercial, productos a la venta ni generación de ingresos
  • McSherry considera que CrowdStrike puede estar justificada al apuntar a sitios maliciosos o de phishing, pero que derribar expresión legal es difícil de aceptar

La postura posterior de Cloudflare y las fallas del proceso

  • Aunque Cloudflare no respondió a varias solicitudes de comentario, después envió un mensaje a Senk
  • Cloudflare dijo que no había recibido la contranotificación de Senk, lo que resulta problemático porque limita a 72 horas el plazo para impugnar la notificación de retiro
  • A medida que las noticias sobre la solicitud de retiro relacionada con ClownStrike se difundieron en línea, el tráfico del sitio pasó de unos cientos de vistas a más de 80 mil visitantes únicos
  • Cloudflare señaló, a través de reportes públicos, que entendía que Senk podía presentar una impugnación válida basándose en la naturaleza paródica del sitio web
  • Dijo que, si Senk volvía a alojar el sitio con Cloudflare y presentaba una contranotificación válida sobre su carácter paródico, no tomaría medidas de retiro de contenido solo por un reporte de abuso de marca
  • Senk dijo que no planea devolver ClownStrike a Cloudflare
    • Confirmación de recepción de contranotificaciones
    • Un portal web para rastrear reportes abusivos
    • Revocación de la facultad de denuncia a CSC por haber enviado una solicitud de retiro injustificada
    • Esas tres medidas fueron las que propuso a Cloudflare

El riesgo de sobreeliminación que generan las grandes plataformas

  • McSherry considera que grandes proveedores de servicios como Cloudflare pueden convertirse en un cuello de botella para el contenido en línea
  • Cuando una plataforma crece demasiado y recibe demasiados reportes, se vuelve difícil hacer un tratamiento preciso sin importar la intención, y el discurso legal puede terminar siendo retirado
  • Señala que es un problema real que unas pocas grandes empresas tengan un poder excesivo sobre qué contenido puede verse en internet
  • La solicitud de retiro de CrowdStrike llegó en el momento en que ClownStrike era más relevante como comentario sobre las consecuencias de la caída de TI
  • El plazo de hasta dos semanas para restaurar contenido tras una contranotificación bajo la DMCA puede hacer que un sitio de parodia permanezca fuera de línea precisamente cuando la crítica es más intensa
  • McSherry evaluó el caso como un ejemplo de grandes empresas usando grandes procesos sin la suficiente cautela, y lo consideró inaceptable
  • Sostiene que los procesos de gestión de abuso de Cloudflare deben considerar claramente el uso justo y que, especialmente en la expresión en línea, mantener el discurso legal debería ser la opción predeterminada

El límite entre la DMCA y las disputas de marcas

  • McSherry señaló que el mayor problema de que CrowdStrike haya apuntado “por descuido” a un sitio de parodia es que la DMCA no es un procedimiento para disputas por infracción marcaria
  • Aunque la DMCA se usa ampliamente porque permite bajar contenido con rapidez, en origen no es un procedimiento adecuado para quejas de marcas
  • Añadió que la explicación de que fue un descuido también implica que no se tuvo el suficiente cuidado antes de usar este procedimiento
  • Senk dijo que no planea emprender acciones legales contra CrowdStrike por la notificación de retiro injustificada
  • Bromeó con que estaría 100% satisfecho si CrowdStrike ofreciera una disculpa pública, y que sería aún mejor si el CEO de CrowdStrike, George Kurtz, grabara un video de disculpa vestido de payaso

1 comentarios

 
GN⁺ 2024-08-07
Opiniones de Hacker News
  • Hice un sitio hace unos 20 años, y ahora está en https://whatisbifidusregularis.org/. En ese entonces Dannon / Danone me amenazó con demandarme, y tuve que ceder el primer dominio por temas de marca registrada, pero antes configuré una redirección 301 para que Google siguiera el cambio.
    Eran tiempos más inocentes, antes de la DMCA, cuando las empresas todavía no sabían bien cómo contactar a los ISP sin abogados para lograr que bloquearan algo, y disfruté de un intercambio de correos bastante largo con el abogado de Danone, probablemente carísimo.
    Originalmente, me molestó tanto lo ridículo que era que en los anuncios llamaran a su bacteria increíble “Bifidus Digestivum” que hice un sitio en bifidusdigestivum.com, investigué todo lo posible y escribí textos bien optimizados para búsquedas, para que quien lo buscara encontrara mi sitio. Desde entonces tuvo alrededor de 1.5 millones de visitas, y todavía recibe entre 400 y 500 visitas al mes, cosa que me da risa cuando me acuerdo.

    • La sección de comentarios da una fuerte impresión de astroturfing, sobre todo por la forma en que empezó y se detuvo de golpe alrededor de 2014.
      Aunque los comentarios negativos también se detuvieron al mismo tiempo, así que quizá hace 10 años la gente era más apasionada por el yogur.
  • Senk sintió de inmediato que la solicitud de eliminación era absurda, y consideró que, como el sitio era claramente una parodia, el uso modificado del logo de CrowdStrike debía ser uso justo. Presentó una objeción ante Cloudflare de inmediato, pero Cloudflare ni siquiera confirmó haber recibido la contranotificación y solo envió un segundo correo de advertencia por infracción.
    En general me gusta Cloudflare y creo que es un buen actor, pero esto definitivamente tiene que arreglarse. El sistema de la DMCA ya está inclinado en contra de los pequeños, y lo mínimo que deberían hacer proveedores de hosting como Cloudflare es escuchar a ambas partes. Idealmente, deberían actuar como mediadores neutrales.
    Uso mucho Cloudflare y gasto bastante cada mes, pero esto me hace dudar de si conviene alojar contenido real en CF. Nunca recibí personalmente una solicitud de baja por DMCA, pero conozco a personas a quienes les abusaron ese proceso, y le puede pasar a cualquiera.
    No quiero que Cloudflare sea parte del problema. Durante mucho tiempo ha defendido una web más abierta, una web que también puedan operar individuos pequeños, y ha sido una de las mejores empresas en hacer posibles a esos creadores, así que no debería ayudar ni habilitar a los abusadores de la DMCA.

    • Es curioso cómo las empresas transmiten rapidísimo las notificaciones de baja de otras empresas, mientras que se demoran o “se olvidan” de transmitir las contranotificaciones, que también son obligatorias según la DMCA.
      Además, que yo sepa, nunca he visto a una empresa enfrentar cargos penales por presentar una notificación de baja DMCA falsa, probablemente porque habría que probar la intención. La ley está ridículamente inclinada contra los pequeños.
    • No entiendo en qué sentido Cloudflare fue un defensor de la web abierta. Desde que empecé a prestarle atención, Cloudflare siempre ha sido una amenaza para la web abierta.
    • Cloudflare renunció a la neutralidad cuando dio de baja a Daily Stormer. Antes de eso, incluso se discutía si tenía la capacidad técnica de cerrar un solo sitio, porque se decía que en un almacenamiento distribuido era difícil eliminar contenido.
      Mientras más acciones políticas tome, mayor será el daño para Cloudflare.
    • Cuando intenté dar de baja un sitio fraudulento clonado que usaba un dominio “.shop”, Cloudflare fue completamente inútil, y al final tuve que ir directamente al registrador para que lo eliminaran.
      Además, los pedidos repetidos de CAPTCHA de Cloudflare son tremendamente molestos, y esta práctica debería llamarse una forma de abuso.
  • Me pregunto si se podrá aprender derecho lo suficientemente barato como para pelear contra avisos DMCA absurdos. En el mundo de la emulación se ve con frecuencia que, aunque el producto en sí sea técnicamente legal, los proyectos terminan cerrando porque quienes los alojan saben que los costos de defensa los llevarían a la quiebra
    Estaría bueno poder dar vuelta el tablero y decirle a lugares como N: “Bueno, sigan. Quemen una montaña de dinero con su equipo legal”

    • Se puede, pero el mayor inconveniente de responder legalmente a un DMCA falso es que tienes que revelar tu información personal al denunciante
      Si tu identidad ya es pública, una vez aprendido el procedimiento no hay muchas desventajas
    • Para responder legalmente, en la práctica tienes que revelar tu identidad, y aun haciéndolo todo por tu cuenta cuesta dinero
      La ley, por naturaleza, favorece a las empresas. La gente común en EE. UU. no tiene ni abogados, mucho menos un equipo legal, mientras que las empresas tienen recursos prácticamente ilimitados para alargar el proceso probatorio hasta que la otra parte se rinda o se quede sin dinero, aunque estén equivocadas
      Como dice el autor, buena parte del sistema legal estadounidense está diseñada de forma bastante descarada para las empresas
    • En este caso, parece que, fuera válido o no el aviso DMCA, como Cloudflare no ayudó, CrowdStrike pudo bajar el sitio a través de Cloudflare sin pasar por un proceso legal
      Si ClownStrike no se hubiera vuelto noticia, quizá CrowdStrike habría seguido intentando la misma triquiñuela con el DMCA también con Hetzner
    • No hay mucha diferencia. Los proveedores de hosting son o guerreros ideológicos de la libertad de expresión a los que no les importa nada el DMCA, o lugares que sí se preocupan por las bajas pero no por las restauraciones
      Los primeros serían, por ejemplo, sitios como njalla, y cuestan de 5 a 10 veces más, así que normalmente no se usan; los que sí se usan mucho, como Hetzner o Cloudflare, se parecen más a los segundos
    • Enviar al proveedor de servicios una contranotificación DMCA en sí no es difícil [1]
      Para que sea válida, se necesita la firma física o electrónica del suscriptor; identificar el material eliminado o cuyo acceso fue bloqueado y su ubicación anterior; una declaración, bajo pena de perjurio, de que se cree de buena fe que fue eliminado por error o identificación equivocada; nombre, dirección y teléfono; consentimiento a la jurisdicción del tribunal federal correspondiente y declaración de aceptación de notificaciones judiciales, entre otros requisitos
      Sin embargo, para que el proveedor de servicios entre en la exención de responsabilidad del DMCA, debe mantener el contenido fuera de línea al menos 10 días y como máximo 14 días después de recibir la contranotificación. Si el denunciante original envía una notificación adicional diciendo que presentó una demanda por infracción, el contenido sigue caído hasta que se resuelva el caso
      En muchos casos, una interrupción de 10 a 14 días ya es demasiado larga, y quizá no quieras darle tu información de identidad al denunciante o al proveedor. También puede ser una carga declarar tu creencia de buena fe bajo pena de perjurio
      Si el denunciante original está dispuesto a ir a tribunales, te espera un camino difícil; si solo envía DMCA masivos y no hace seguimiento, quizá no pase nada. A la inversa, si yo intento llevarlos a ellos a tribunales, también será un camino difícil
      También podrías convencer al proveedor de que la notificación original no es estructuralmente una notificación DMCA válida, pero para eso necesitas un proveedor cooperativo. A juzgar solo por el resumen, este caso parece un posible ejemplo de alegar infracción de marca mediante el DMCA; pero el DMCA no trata marcas registradas, así que estructuralmente no es válido. El proveedor no tiene obligación de procesarlo, y procesarlo tampoco le otorga exención de responsabilidad. Puede tener obligaciones de actuar ante reclamos de marca, pero esas obligaciones no nacen del DMCA
      [1] https://www.law.cornell.edu/uscode/text/17/512 sección (g)(3)
  • Todo funcionario judicial que firme un aviso DMCA absurdo está violando su juramento y queda sujeto a sanciones disciplinarias. En algunos estados, parece que también podría constituir el ilícito civil llamado barratry

    • No veo que un aviso DMCA requiera un funcionario judicial
    • Al menos en Illinois, la barratry es un delito penal
    • Es interesante, pero no sé si alguien puede citar siquiera un caso en el que un abusador que presentó un aviso DMCA absurdo haya recibido una sanción realmente significativa
  • Normalmente estas historias derivan en que el proveedor de hosting tiene la obligación legal de responder lo más rápido posible a las solicitudes de baja DMCA, así que dejen de indignarse
    Pero esta vez Cloudflare afirmó no haber recibido las 2 contranotificaciones enviadas por el operador del sitio de parodia y, después de que él movió el servicio y surgió atención negativa, envió una respuesta débil cercana a “habríamos ayudado”. La arruinaron por completo

  • Intentar hacer cumplir marcas registradas mediante la Digital Millennium Copyright Act es ridículo, y por la respuesta parece que usaron la misma jugada contra otros 500 sitios web sin ninguna sanción
    Odio que las empresas vean la reacción ante las solicitudes de baja DMCA y traten de meterlo todo como solicitudes de baja DMCA. Ya era suficientemente malo que se usara para esquivar las normas anticircunvención, pero las marcas registradas pertenecen a un ámbito legal completamente distinto

    • ¿Las solicitudes DMCA sin fundamento no son un delito?
  • No entiendo por qué las empresas siempre tienen que aprender en carne propia el efecto Streisand
    Este sitio de parodia de bajo esfuerzo normalmente ni habría sabido que existía y, aunque lo hubiera conocido, no lo habría compartido por su baja calidad
    Pero ahora me interesa apoyarlo al 100% y difundirlo. Claramente parece que tocó una fibra sensible

  • La discusión de entonces tenía 1221 puntos y 229 comentarios hace 5 días https://news.ycombinator.com/item?id=41133917

  • La frase “[Senk] told Ars he is "a proponent of decentralization."” suena graciosa hablando de alguien que puso el sitio en Cloudflare

    • No se puede ser ideológicamente perfecto en cada decisión. Vivimos en un mundo desordenado
      En este caso, se puede entender si quería usar tecnología existente para publicar el sitio de forma rápida y estable, o si realmente creía que Cloudflare defendería con fuerza su sitio basándose en su conducta pasada
    • Apoyar una idea no significa que personalmente tengas que comprometerte por completo con esa forma de hacer las cosas. ¿Todos los que apoyan la descentralización tienen que vivir fuera de la red eléctrica y fabricar sus propias computadoras extrayendo silicio a mano?
  • La parte de “Apparently, Cloudflare never received” es un problema mucho mayor que cualquier otra cosa alrededor de este caso