¿Qué es la Ley de fraude y abuso informático?

La Ley de Abuso y Fraude Informático (CFAA) ha existido durante más de tres décadas, aunque se ha modificado a lo largo de los años. Sigue siendo la ley estadounidense más importante para prevenir el delito cibernético, y se ha utilizado en muchos y variados casos en todo el país..

La ley está diseñada principalmente para atacar a los piratas informáticos que acceden a las computadoras para robar información. Sin embargo, se ha utilizado en otras situaciones. Es una ley enormemente controvertida que ha sido objeto de escrutinio por estar abierta a la interpretación y aplicar sanciones injustas..

En esta publicación, explicamos el CFAA, para qué se utiliza y los problemas con su implementación. También proporcionaremos ejemplos de casos reales en los que la ley se ha utilizado para enjuiciar a cibercriminales.

Los orígenes de la Ley de Abuso y Fraude Informático

La esencia del CFAA es que prohíbe acceder a una computadora sin autorización, o en exceso de la autorización. Además de situaciones obvias como piratear la cuenta de alguien, también criminaliza ciertos actos relacionados con la computadora, como los ataques de denegación de servicio y la distribución de malware.

La primera ley real establecida para abordar el delito informático fue la Sección 1030 de la Ley de Control Integral del Delito de 1984. Según los informes, esta ley se produjo como reacción a la película WarGames y otras exageraciones y preocupaciones sobre delitos relacionados con la informática en ese momento. En la película, un joven accidentalmente comienza la Tercera Guerra Mundial accediendo a una supercomputadora militar estadounidense. En su informe, el Comité de la Cámara consideró esto “una representación realista de las capacidades de marcación automática y acceso de la computadora personal”.

Como el primero de su tipo, la ley original tenía un alcance limitado, y solo abordó el uso limitado de computadoras en ese momento, de ahí la necesidad de enmiendas posteriores. La Ley de Fraude y Abuso de Computadoras de EE. UU. (CFAA) se implementó en 1986 como una enmienda a la Sección 1030 original. Desde su implementación, la CFAA se ha modificado varias veces, pero todavía tiene muchos problemas y sufre muchas críticas.

Problemas con el CFAA

La CFAA ha sido objeto de mucho escrutinio a lo largo de los años, en parte porque es muy vaga y también por las penas casi ilimitadas que enfrentan los perpetradores..

Lenguaje vago

El principal problema radica en el lenguaje utilizado en la ley, que es ssujeto a una interpretación amplia. Prohíbe acceder a una computadora “sin autorización” o “excediendo el acceso autorizado”, pero no define qué es “autorización”.

Además, la ley gobierna las “computadoras protegidas”, que se describen como “computadoras usadas en el comercio interestatal o extranjero y computadoras usadas por el gobierno federal y las instituciones financieras”. Básicamente, todas las computadoras podrían caer en una de estas categorías, con el derecho interpretación.

Además, se trata de “obtener información”, que podría cubrir cualquier cosa, desde cargar una página web hasta acceder a documentos de alto secreto.

Según Tor Ekeland, un abogado defensor, “es un estatuto mal escrito que no define efectivamente lo principal que busca prohibir. Hay ambigüedades en torno a esa definición que permiten a los fiscales tener amplia libertad para presentar cargos bajo teorías que conmocionan a los informáticos de la comunidad infosec ”. Continúa comparando la paranoia sobre los hackers con la histeria sobre la brujería..

Criminalizando las actividades cotidianas

Debido a que está tan abierto a la interpretación, cualquiera de nosotros podría estar violando la ley a diario. Por ejemplo, se ha debatido si usar o no Facebook en el trabajo (cuando está en contra de la política de la compañía) es una violación de la CFAA. Incluso mentir sobre su edad en un sitio web que tiene una restricción de edad podría considerarse un delito punible. De hecho, hacer cualquier cosa que esté en contra de los términos del servicio en línea podría considerarse una violación. Esto significa que, según la ley, teóricamente podrías enfrentar multas y penas de prisión por estos supuestos delitos..

Aparte de criminalizando algunas acciones cotidianas del público en general, la ley dificulta que muchas personas hagan su trabajo. Por ejemplo, los investigadores de seguridad podrían arriesgarse a ser acusados ​​bajo el CFAA por probar la seguridad de la contraseña e investigar fallas de seguridad.

Enormes penas

Una violación del CFAA puede considerarse un delito grave, con multas y una pena de prisión de hasta diez años. Pero, por ejemplo, viola los términos de servicio de un sitio web y accede a él en numerosas ocasiones. Esto podría verse como múltiples violaciones de la ley, cada una con un plazo máximo separado. Si bien parece poco probable, ha habido casos en que los fiscales han utilizado esto para solicitar grandes sanciones contra las personas que infringen la ley.

Ley de Aaron

Uno de los casos más destacados relacionados con la CFAA fue el de Aaron Swartz, un destacado programador informático, empresario y hacktivista. Fue acusado en 2011 bajo la CFAA y otras leyes. Su crimen? Descarga masiva de artículos de revistas de JSTOR (una base de datos académica), utilizando una computadora oculta en un armario del MIT. Se enfrentó a una posible sentencia de prisión de 35 años y fuertes multas. Desafortunadamente, murió por suicidio en 2013 mientras intentaba llegar a un acuerdo de culpabilidad..

Aaron Schwartz (Fuente: Wikimedia)

Este caso llamó mucho la atención debido a la pena potencial aparentemente muy injusta. Además, no está claro exactamente qué planeaba hacer con los casi 5 millones de artículos que descargó. Cualquiera sea la intención, los críticos del caso argumentan que el crimen no se ajustaba a la pena.

Como resultado de su caso, la Ley de Aaron fue propuesta para enmendar el CFAA, específicamente la sección que se relaciona con las infracciones de los términos de servicio. Sin embargo, a pesar de que la enmienda tiene muchos defensores, se ha estancado varias veces y no ha sido aprobada..

Otros ejemplos de casos relacionados con el CFAA

Como se mencionó, esta ley se ha utilizado en muchos casos para enjuiciar a los cibercriminales. Estos son solo algunos ejemplos:

• El gusano Morris: El primer gusano conocido que causó estragos en las computadoras conectadas a Internet fue el gusano Morris, desarrollado por un estudiante de posgrado “curioso”, Robert Morris. Fue una de las primeras personas en ser condenadas en virtud de la CFAA. Fue acusado de un delito grave, pero logró evitar una sentencia de prisión..
• Pirata informático TJX: Albert González no tuvo tanta suerte y terminó con una sentencia de prisión de 20 años emitida en 2010. Su intención resultó ser mucho más maliciosa, ya que dirigió una pandilla de ladrones cibernéticos que robaron más de 90 millones de números de tarjetas de débito y crédito de varios minoristas, incluido TJX.
• Periodista de Reuters: Matthew Keys recibió una sentencia de prisión de dos años en 2016 después de ser condenado en virtud de la CFAA. Fue acusado de compartir credenciales que llevaron a otra parte a desfigurar un titular en el sitio web del LA Times. Esto resultó en pérdidas financieras para la empresa matriz, Tribune Media. Aunque su sentencia terminó siendo de dos años, el máximo que enfrentó fue de 25 años. Este largo plazo máximo destaca uno de los principales problemas con la ley..
• Cuenta falsa de Myspace: Lori Drew fue declarada culpable en virtud de la CFAA después de que ella acosara cibernéticamente a uno de los enemigos de su hija adolescente. La niña intimidada se suicidó después de que Drew usó una cuenta falsa de Myspace para contactarla. Esto violó los términos de servicio de la compañía, lo que permitió a los fiscales acusarla bajo la CFAA. Si bien la condena finalmente fue anulada, muestra cuán abierta a la interpretación es.

Como puede ver, esta no es una ley sobre la que se debe criticar, y con los fiscales interpretándola como lo deseen, podría significar un gran problema para cualquiera que esté del lado equivocado..

Ver también:
Estadísticas de cibercrimen

Credito de imagen: “Blogging“Licenciado bajo CC BY 2.0