Ley de Abuso y Fraude Informático

La Ley de Abuso y Fraude Informático de 1986 (CFAA) es un proyecto de ley de ciberseguridad de los Estados Unidos que se promulgó en 1986 como una enmienda a la ley de fraude informático existente (18 U.S.C. § 1030), que se había incluido en la Ley de control integral del delito de 1984. Antes de las leyes penales específicas de la informática, los delitos informáticos se procesaban como fraude postal y electrónico, pero la ley aplicable a menudo era insuficiente.

El proyecto de ley original de 1984 se promulgó en respuesta a la preocupación de que los delitos informáticos pudieran quedar impunes. El Informe del Comité de la Cámara sobre el proyecto de ley original sobre delitos informáticos caracterizó la película de tecno-thriller WarGames de 1983, en la que un joven adolescente (interpretado por Matthew Broderick) de Seattle irrumpe en una supercomputadora militar estadounidense programada para predecir posibles resultados. de la guerra nuclear e, involuntariamente, casi da comienzo a la Tercera Guerra Mundial, como "una representación realista de las capacidades de acceso y marcación automática de la computadora personal".

La CFAA se redactó para extender la ley de responsabilidad civil existente a la propiedad intangible, mientras que, en teoría, limita la jurisdicción federal a los casos "con un interés federal apremiante", es decir, donde están involucradas las computadoras del gobierno federal o ciertas instituciones financieras. o cuando el delito en sí es de naturaleza interestatal", pero sus definiciones amplias se han extendido al derecho contractual (consulte "Computadora protegida", a continuación). Además de enmendar una serie de disposiciones en la sección 1030 original, la CFAA también penalizó otros actos relacionados con la informática. Las disposiciones abordaron la distribución de códigos maliciosos y los ataques de denegación de servicio. El Congreso también incluyó en la CFAA una disposición que penaliza el tráfico de contraseñas y artículos similares.

Desde entonces, la Ley ha sido enmendada varias veces: en 1989, 1994, 1996, en 2001 por la Ley USA PATRIOT, en 2002 y en 2008 por la Ley de restitución y cumplimiento del robo de identidad. Con cada reforma de la ley, se ampliaron los tipos de conducta que caían dentro de su alcance.

En enero de 2015, el presidente Barack Obama propuso expandir la CFAA y la Ley RICO en su propuesta Modernización de las autoridades encargadas de hacer cumplir la ley para combatir el delito cibernético. El organizador de DEF CON e investigador de Cloudflare, Marc Rogers, el senador Ron Wyden y la representante Zoe Lofgren se opusieron a esto con el argumento de que convertiría en ilegales muchas actividades regulares de Internet y se alejarían más de lo que estaban tratando de lograr con Aaron's. Ley.

Ordenadores protegidos

En teoría, los únicos equipos cubiertos por la CFAA se definen como "equipos protegidos". Se definen en la sección 18 U.S.C. § 1030(e)(2) para referirse a una computadora:

• exclusivamente para el uso de una institución financiera o el Gobierno de los Estados Unidos, o cualquier computadora, cuando la conducta que constituye el delito afecta el uso de la computadora por o para la institución financiera o el gobierno; o
• que se utiliza en comercio o comunicación interestatal o extranjera, incluyendo una computadora ubicada fuera de los Estados Unidos que se utiliza de una manera que afecta el comercio interestatal o exterior o la comunicación de los Estados Unidos...

In practice, any ordinary computer has come under the jurisdiction of the law, including cell phones, due to the interstate nature of most Internet communication.

Delitos penales en virtud de la Ley

(a) Cualquiera—

1) haber accedido deliberadamente a una computadora sin autorización ni acceso autorizado, y por medio de dicha conducta habiendo obtenido información determinada por el Gobierno de los Estados Unidos de acuerdo con una orden ejecutiva o estatuto para exigir protección contra la divulgación no autorizada por motivos de defensa nacional o relaciones exteriores, o cualquier dato restringido, según se define en el párrafo y del artículo 11 de la Ley de Energía Atómica de 1954, con razón para creer que dicha información se pueda comunicar al daño de los Estados Unidos,

(2) accede intencionadamente a una computadora sin autorización o excede el acceso autorizado, y por lo tanto obtiene—

(A) information contained in a financial record of a financial institution, or of a card issuer as defined in section 1602 (n) [1] of title 15, or contained in a file of a consumer reporting agency on a consumer, as such terms are defined in the Fair Credit Reporting Act (15 U.S.C. 1681 et seq.);

(B) information from any department or agency of the United States; or

(C) information from any protected computer;

(3) intentionally, without authorization to access any nonpublic computer of a department or agency of the United States, accesses such a computer of that department or agency that is solely for the use of the Government of the United States or, in the case of a computer not solely for such use, is used by or for the Government of the United States and such conduct affects that use by or for the Government of the United States;

4) A sabiendas y con intención defraudar, accede a una computadora protegida sin autorización, o excede el acceso autorizado, y por medio de dicha conducta aumenta el fraude previsto y obtiene cualquier cosa de valor, a menos que el objeto del fraude y la cosa obtenida consiste sólo en el uso de la computadora y el valor de dicho uso no supere los 5.000 dólares en cualquier período de 1 año;

5)

(A) Knowly causes the transmission of a program, information, code, or command, and as a result of such conduct, intentionally causes damage without authorization, to a protected computer;

(B) intentionally accesses a un ordenador protegido sin autorización, and as a result of such conduct, recklessly causes damage; or

(C) intentionally accesses a un ordenador protegido sin autorización, and as a result of such conduct, causes damage and loss.

6) A sabiendas y con intención de defraudar los tráficos (como se define en la sección 1029) en cualquier contraseña o información similar a través de la cual se pueda acceder un ordenador sin autorización, si

(A) such trafficking affects interstate or foreign commerce; or

(B) such computer is used by or for the Government of the United States;

(7) with intent to extort from any person any money or other thing of value, transmits in interstate or foreign commerce any communication containing any—

(A) threat to cause damage to a protected computer;

(B) threat to obtain information from a protected computer without authorization or in excess of authorization or to impair the confidentiality of information obtained from a protected computer without authorization or by exceeding authorized access; or

(C) demand or request for money or other thing of value in relation to damage to a protected computer, where such damage was caused to facilitate the extortion

Secciones específicas

• 18 U.S.C. § 1030(a)(1)- Espionaje de computadora. Esta sección toma gran parte de su lenguaje de la Ley de Espionaje de 1917, con la notable adición de que también abarca información relacionada con " Relaciones Exteriores", no simplemente "Defensa Nacional" como la Ley de Espionaje.
• 18 U.S.C. § 1030(a)(2): Incumplimiento de la computadora, y toma información gubernamental, financiera o comercial
• 18 U.S.C. § 1030(a)(3): Intrusión informática en un ordenador del gobierno
• 18 U.S.C. § 1030(a)(4): Compromiso de fraude con la computadora
• 18 U.S.C. § 1030(a)(5): Daño a un ordenador protegido (incluidos virus, gusanos)
• 18 U.S.C. § 1030(a)(6): Trata de contraseñas de una computadora gubernamental o comercial
• 18 U.S.C. § 1030(a)(7): Amenaza con dañar un ordenador protegido
• 18 U.S.C. § 1030(b): Conspiración para violar (a)
• 18 U.S.C. § 1030(c): Sanciones

Casos destacados y sentencias referentes a la Ley

La Ley de Abuso y Fraude Informático es tanto una ley penal como un estatuto que crea un derecho de acción privado, que permite la compensación y medidas cautelares u otras medidas equitativas para cualquier persona perjudicada por una violación de esta ley. Estas disposiciones han permitido a las empresas privadas demandar a los empleados desleales por daños y perjuicios por la apropiación indebida de información confidencial (secretos comerciales).

Casos penales

• United States v. Morris (1991), 928 F.2d 504 (2d Cir. 1991), decidido 7 de marzo de 1991. Después de la liberación del gusano Morris, un gusano de computadora temprano, su creador fue condenado bajo la ley por causar daños y obtener acceso no autorizado a computadoras de "interés federal". En 1996 se enmendó la Ley, en parte, para aclarar el texto cuyo significado se discutió en el caso.
• United States v. Lori Drew, 2009. El caso de cyberbullying que implica el suicidio de una chica acosada en MySpace. Los cargos eran menores de 18 USC 1030(a)(2)(c) y b)(2)(c). Magistrado Wu decidió usar 18 U.S.C. § 1030(a)(2)(C) contra alguien que viola un acuerdo de servicio haría que la ley fuera demasiado amplia. 259 F.R.D. 449
• United States v. Rodriguez, 2010. El 11° Tribunal de Apelaciones dictaminó que un empleado de la Administración de Seguridad Social había violado el CFAA cuando utilizó una base de datos del SSA para buscar información sobre personas que conocía personalmente.
• United States v. Collins et al, 2011. Un grupo de hombres y mujeres conectados al colectivo Anonymous firmó un acuerdo de plea a cargos de conspiración para interrumpir el acceso al sitio web de pago PayPal en respuesta al cierre del pago a WikiLeaks sobre la Fundación Wau Holland que formaba parte de una campaña anónimo más amplia, Operación Payback. Posteriormente se dieron a conocer bajo el nombre de PayPal 14.
• Estados Unidos contra Aaron Swartz, 2011. Aaron Swartz al parecer entró en un armario de cableado MIT y estableció un portátil para descargar artículos de JSTOR. He allegedly avoided various attempts by JSTOR and MIT to stop this, such as MAC address spoofing. He was indicted for violating CFAA provisions (a)(2), (a)(4), (c)(2)(B)(iii), (a)(5)(B), and (c)(4)(A)(i)(I),(VI). The case was dismissed after Swartz committed suicide in January 2013.
• Estados Unidos c. Nosal, 2011. Nosal y otros habrían accedido a un ordenador protegido para tomar una base de datos de contactos de su empleador anterior para su uso en su propio negocio, violando 1030(a)(4). Este fue un caso complejo con múltiples viajes al Noveno Circuito, que dictaminó que violar los términos de uso de un sitio web no es una violación del CFAA. Fue condenado en 2013. En 2016, el Noveno Circuito resolvió que había actuado "sin autorización" cuando utilizó el nombre de usuario y la contraseña de un empleado actual con su consentimiento y afirmó su convicción. El Tribunal Supremo se negó a escuchar el caso.
• Estados Unidos contra Peter Alfred-Adekeye 2011. Adekeye allegedly violated (a)(2), when he allegedly downloaded CISCO IOS, allegedly something that the CISCO employee who gave him an access password did not permit. Adekeye era CEO de Multiven y había acusado a CISCO de prácticas anticompetitivas.
• United States v Sergey Aleynikov, 2011. Aleynikov was a programmer at Goldman Sachs accused of copying code, like high-frequency trading code, allegedly in violation of 1030(a)(2)(c) and 1030(c)(2)(B)i–iii and 2. Este cargo fue retirado más tarde, y fue acusado de robo de secretos comerciales y transporte de bienes robados.
• Estados Unidos v Nada Nadim Prouty, c.2010. Prouty era un agente del FBI y de la CIA que fue procesado por tener un matrimonio fraudulento para obtener la residencia de EE.UU. Afirma que fue perseguida por un abogado estadounidense que estaba tratando de obtener cobertura mediática llamando a su agente terrorista y se hizo ascender a una judicatura federal.
• Estados Unidos contra Neil Scott Kramer, 2011. Kramer fue un caso judicial en el que se utilizó un teléfono celular para coaccionar a un menor en sexo con un adulto. Central al caso era si un teléfono celular constituía un dispositivo informático. En última instancia, el Tribunal de Apelaciones de los Estados Unidos para el Octavo Circuito encontró que un teléfono celular puede ser considerado un ordenador si "el teléfono cumple funciones aritméticas, lógicas y de almacenamiento", allanando el camino para consecuencias más duras para los delincuentes que participan con menores en teléfonos celulares.
• Estados Unidos contra Kane, 2011. Explorar un error de software en una máquina de póquer no constituye piratería porque la máquina de póquer en cuestión no pudo constituir un "computador protegido" bajo el estatuto (como la máquina de póquer en cuestión no demostró una relación tangencial con el comercio interestatal) y porque la secuencia de pulsaciones de botones que desencadenaron el fallo se consideró que tenían "no exceder su acceso autorizado". Hasta noviembre de 2013 el acusado sigue enfrentando un cargo regular de fraude de alambre.
• Estados Unidos c. Valle, 2015. The Second Circuit Court of Appeals overturned a conviction against a police officer who had used a police database to look up information about women he knew personally.
• Van Buren v. Estados Unidos2020. A police officer in Georgia was caught in an FBI sting operation using his authorized access to a license plate database to check the identity of a person for cash payment, an "improper purpose". The officer was convicted and sentenced to 18 months under CFAA §1030(a)(2). Aunque apeló su convicción sobre la base de que el "propósito de propiedad" no estaba "excediendo el acceso autorizado", el 11o Circuito confirmó la convicción basada en el precedente. El Tribunal Supremo dictaminó en junio de 2021 que bajo CFAA, una persona "excede el acceso autorizado" de un sistema informático que de otro modo tienen acceso a los archivos y otros contenidos que están fuera de límites a las porciones del sistema informático que fueron autorizados para acceder. Su opinión restringió al CFAA la aplicación a los casos en que una persona obtiene información de las áreas a las que tiene acceso autorizado, pero utiliza esa información por razones inadecuadas.

Casos civiles

• Theofel v. Farey Jones, 2003 U.S. App. Lexis 17963, decidió el 28 de agosto de 2003 (U.S. Court of Appeals for the Noveth Circuit), sosteniendo que el uso de una citación civil "patentemente ilegal", "de mala fe", o "al menos grave negligencia" para obtener acceso al correo electrónico almacenado es una violación tanto de la CFAA como de la Ley de comunicaciones almacenadas.
• International Airport Centers, L.L.C. v. Citrin, 2006, 18 U.S.C. § 1030(a)(5)(A)(i), en el que el Tribunal del Séptimo Circuito de Apelaciones dictaminó que Jacob Citrin había violado el CFAA cuando borró archivos de su computadora de la compañía antes de dejar de fumar, para ocultar supuesta mala conducta mientras era un empleado.
• LVRC Holdings v. Brekka, 2009 1030(a)(2), 1030(a)(4), in which LVRC sued Brekka for allegedly taking information about clients and using it to start his own competition business. El Noveno Circuito dictaminó que un empleado accede a un ordenador de la empresa para recopilar información con sus propios fines no viola el CFAA simplemente porque ese uso personal era adverso a los intereses del empleador.
• Craigslist v. 3Taps, 2012. 3Taps fue acusado por Craigslist de violar CFAA al eludir un bloque IP para acceder al sitio web de Craigslist y raspar sus anuncios clasificados sin consentimiento. En agosto de 2013, el juez federal estadounidense encontró que las acciones de 3Taps violaron el CFAA y que se enfrenta a daños civiles por "acceso no autorizado". El juez Breyer escribió en su decisión que "la persona promedio no utiliza "proxies anónimos" para evitar un bloque de IP establecido para hacer cumplir una prohibición comunicada a través de carta de cese y desistimiento dirigida personalmente". También señaló "El Congreso aparentemente sabía cómo restringir el alcance del CFAA a sólo ciertos tipos de información, y apreciaba la distinción pública v. no pública, pero [la sección pertinente] no contiene tales restricciones o modificadores".
• Lee v. PMSI, Inc., 2011. PMSI, Inc. sued former employee Lee por violar el CFAA navegando por Facebook y comprobando correo electrónico personal en violación de la política de uso aceptable de la empresa. El tribunal determinó que violar la política de uso aceptable de un empleador no era "acceso no autorizado" bajo el acto y, por lo tanto, no violó el CFAA.
• Sony Computer Entertainment America v. George Hotz y Hotz v. SCEA, 2011. SCEA demandó a "Geohot" y otros por irrumpir el sistema PlayStation 3. The lawsuit alleged, among other things, that Hotz violated 18 U.S.C. § 1030(a)(2)(c) ([por] tomando información de cualquier ordenador protegido). Hotz negó la responsabilidad y rechazó el ejercicio de jurisdicción personal de la Corte sobre él. Las partes se establecieron fuera del tribunal. El acuerdo causó que Geohot no pudiera hackear legalmente el sistema PlayStation 3.
• Pulte Homes, Inc. v. Laborers' International Union 2011. Pulte Homes trajo una demanda contra la Unión Internacional de Trabajadores de América del Norte (LIUNA). Después de que Pulte despidió a un empleado representado por el sindicato, LIUNA instó a los miembros a llamar y enviar correo electrónico a la empresa, expresando sus opiniones. Como resultado del aumento del tráfico, el sistema de correo electrónico de la empresa se estrelló.
• Facebook v. Power Ventures y Vachani2016. El Juzgado de Apelaciones del Noveno Circuito dictaminó que el CFAA fue violado cuando los servidores de Facebook fueron accedidos a pesar de un bloqueo IP y cese y orden desistimiento.
• HiQ Labs v. Linked In, 2019. El Tribunal de Apelaciones del Noveno Circuito dictaminó que raspar un sitio web público sin la aprobación del propietario del sitio web no es una violación del CFAA. Queda pendiente una apelación ante el Tribunal Supremo.
• Sandvig v. Barr2020. El Tribunal Federal de Distrito de D.C. dictaminó que el CFAA no penaliza la violación de las condiciones de servicio de un sitio web.

Crítica

Ha habido condenas penales por infracciones de la CFAA en el contexto del derecho civil, por incumplimiento de contrato o infracciones de las condiciones de servicio. Muchos actos en línea comunes e insignificantes, como compartir contraseñas e infringir los derechos de autor, pueden transformar un delito menor de la CFAA en un delito grave. Los castigos son severos, similares a las sentencias por vender o importar drogas, y pueden ser desproporcionados. Los fiscales han utilizado la CFAA para proteger los intereses comerciales privados y para intimidar a los activistas de la cultura libre, disuadiendo conductas indeseables pero legales.

Un ejemplo relacionado con la dureza de la ley se mostró en Estados Unidos contra Tyler King, donde King rechazó las ofertas iniciales del gobierno por participar en una conspiración para "obtener acceso no autorizado" a un sistema informático para una pequeña empresa en la que trabajaba una exnovia de King. Su papel, aunque no estuvo directamente involucrado, resultó en 6,5 años de prisión. No se estableció ningún motivo económico. Se inició una organización sin fines de lucro para abogar contra una mayor dureza contra otras personas a las que se dirige la ley general.

Tim Wu llamó a la CFAA "la peor ley en tecnología".

El profesor de derecho Ric Simmons señala que muchas disposiciones de la CFAA simplemente combinan un lenguaje idéntico a las leyes federales preexistentes con "el elemento de "acceder a una computadora protegida sin autorización, o [por] exceder[ ing] acceso autorizado," lo que significa que "la CFAA simplemente proporciona un cargo adicional para que los fiscales presenten si el acusado usó una computadora mientras cometía el delito". El profesor Joseph Olivenbaum ha criticado de manera similar el 'enfoque específico de la computadora' de la CFAA's. tomando nota tanto del riesgo de redundancia como de los problemas de definición resultantes.

La CFAA presenta cada vez más obstáculos reales para los periodistas que informan historias importantes para el interés del público. A medida que el periodismo de datos se convierte cada vez más en "una buena manera de llegar a la verdad de las cosas... en esta era de la posverdad", como dijo un periodista de datos a Google, aumenta la necesidad de una mayor claridad en torno a la CFAA.

Según Star Kashman, experto en leyes de seguridad cibernética, la CFAA presenta algunos desafíos en casos relacionados con la piratería informática en motores de búsqueda (también conocida como Google Dorking). Aunque Kashman afirma que el acceso a la información disponible públicamente es legal en virtud de la CFAA, también señala que, en muchos casos, el pirateo de motores de búsqueda se procesa en última instancia en virtud de la CFAA. Kashman cree que procesar casos de Google Dorking bajo la CFAA podría anular la CFAA por vaguedad al hacer que sea ilegal acceder a información disponible públicamente.

Aarón Swartz

A raíz del enjuiciamiento y posterior suicidio de Aaron Swartz (quien usó un script para descargar artículos de investigación académica por encima de lo que permitían los términos de servicio de JSTOR), los legisladores propusieron enmendar la Ley de Abuso y Fraude Informático. La representante Zoe Lofgren redactó un proyecto de ley que ayudaría a "prevenir que lo que le sucedió a Aaron le suceda a otros usuarios de Internet". La Ley de Aaron (H.R. 2454, S. 1196) excluiría las violaciones de los términos de servicio de la Ley de Abuso y Fraude Informático de 1984 y del estatuto de fraude electrónico.

Además de los esfuerzos de Lofgren, los representantes Darrell Issa y Jared Polis (también en el Comité Judicial de la Cámara) plantearon preguntas inmediatamente después de la muerte de Swartz con respecto al manejo del gobierno de la caso. Polis calificó los cargos de "ridículos y falsos" refiriéndose a Swartz como un "mártir". Issa, presidente del Comité de Supervisión de la Cámara, anunció una investigación del enjuiciamiento del Departamento de Justicia.

By May 2014, Aaron 's Law had stalled in committee. Filmmaker Brian Knappenberger alleges this occurred due to Oracle Corporation 's financial interest in maintaining the status quo.

La Ley de Aaron se reintrodujo en mayo de 2015 (H.R. 2454, S. 1030) y se estancó nuevamente. No ha habido más introducción de proyectos de ley relacionados.

Historial de modificaciones

2008

• Eliminó el requisito de que la información haya sido robada a través de una comunicación interestatal o extranjera, ampliando así la jurisdicción para casos de robo de información de computadoras;
• Eliminó el requisito de que la acción del acusado debe dar lugar a una pérdida superior a $5,000 y creó un delito grave donde el daño afecta a diez o más computadoras, cerrando una brecha en la ley;
• Ampliado 18 U.S.C. § 1030(a)(7) para penalizar no sólo amenazas explícitas para causar daño a una computadora, sino también amenazas para (1) robar datos en la computadora de una víctima, (2) divulgar públicamente datos robados, o (3) no reparar daño al delincuente ya causado a la computadora;
• - Creó una ofensa criminal por conspirar para cometer un delito de piratería en el artículo 1030;
• Ampliación de la definición de "cómputo protegido" en 18 U.S.C. § 1030(e)(2) al alcance completo del poder comercial del Congreso incluyendo los ordenadores utilizados en el comercio o comunicación interestatal o exterior o afectando; y
• Se proporcionó un mecanismo para la confiscación civil y penal de bienes utilizados en violaciones de la sección 1030 o derivados de ellas.

Cultura popular

La CFAA se menciona en la película Hackers (1995).

La CFAA se menciona en el episodio 8, temporada 3 de la serie Halt and Catch Fire de AMC.

La CFAA es mencionada en el Acto II del videojuego Inscryption (2021)