La Corte Suprema escuchará argumentos el lunes en un caso que podría llevar a cambios radicales en las controvertidas leyes de piratería informática de Estados Unidos, y afectaría la forma en que millones usan sus computadoras y acceden a los servicios en línea.
La Ley de Abuso y Fraude Informático se convirtió en ley federal en 1986 y es anterior a la Internet moderna tal como la conocemos, pero rige hasta el día de hoy lo que constituye piratería o acceso “no autorizado” a una computadora o red. La controvertida ley fue diseñada para enjuiciar a los piratas informáticos, pero ha sido apodada como la “peor ley” en los libros de leyes de tecnología de críticos que dicen que su lenguaje vago y obsoleto no protege a los piratas informáticos de buena fe de encontrar y revelar vulnerabilidades de seguridad.
En el centro del caso está Nathan Van Buren, un ex sargento de policía en Georgia. Van Buren usó su acceso a una base de datos de matrículas de la policía para buscar un conocido a cambio de dinero en efectivo. Van Buren fue capturado y procesado por dos cargos: aceptar un soborno por acceder a la base de datos de la policía y violar la CFAA. Se anuló la primera condena, pero se mantuvo la condena de la CFAA.
Es posible que a Van Buren se le haya permitido acceder a la base de datos a través de su trabajo policial, pero si excedió su acceso sigue siendo la cuestión legal clave.
Orin Kerr, profesor de derecho en la Universidad de California, Berkeley, dijo Van Buren vs.Estados Unidos fue un “caso ideal” para que lo abordara la Corte Suprema. “La pregunta no se podría presentar de manera más limpia”, argumentó. en una publicación de blog
La Corte Suprema intentará aclarar la ley de décadas de antigüedad al decidir qué significa la ley con acceso “no autorizado”. Pero esa no es una respuesta simple en sí misma.
“La opinión de la Corte Suprema en este caso podría decidir si millones de estadounid enses comunes y corrientes están cometiendo un delito federal cada vez que realizan actividades informáticas que, si bien son comunes, no se corresponden con un servicio en línea o los términos de uso del empleador”, dijo Riana Pfefferkorn. director asociado de vigilancia y ciberseguridad en la facultad de derecho de la Universidad de Stanford. (El colega de Pfefferkorn, Jeff Fisher, representa a Van Buren en la Corte Suprema).
La forma en que la Corte Suprema determinará qué significa “no autorizado” es una incógnita. El tribunal podría definir el acceso no autorizado en cualquier lugar violar los términos de servicio de un sitio para iniciar sesión en un sistema para el que una persona no tiene una cuenta de usuario.
Pfefferkorn dijo que una lectura amplia de la CFAA podría criminalizar cualquier cosa, desde mentir en un perfil de citas, compartiendo la contraseña a un servicio de transmisión o usar una computadora de trabajo para uso personal en violación de las políticas de un empleador.
Pero el eventual fallo de la Corte Suprema también podría tener amplias ramificaciones en los piratas informáticos de buena fe y los investigadores de seguridad, que deliberadamente rompen los sistemas para hacerlos más seguros. Los piratas informáticos y los investigadores de seguridad han operado durante décadas en un área legal gris porque la ley tal como está escrita expone su trabajo a enjuiciamiento, incluso si el objetivo es mejorar la ciberseguridad.
Las empresas de tecnología han alentado durante años a los piratas informáticos a comunicarse de forma privada con errores de seguridad. A cambio, las empresas arreglan sus sistemas y pagan a los piratas informáticos por su trabajo. Mozilla, Dropboxy Tesla se encuentran entre las pocas empresas que han dado un paso más al prometer no demandar a los piratas informáticos de buena fe en virtud de la CFAA. No todas las empresas agradecen el escrutinio y se opusieron a la tendencia amenazando con demandar a los investigadores sobre sus hallazgos, y en algunos casos iniciar activamente acciones legales para evitar titulares poco favorecedores.
Los investigadores de seguridad no son ajenos a las amenazas legales, pero una decisión de la Corte Suprema que dictamine contra Van Buren podría tener un efecto escalofriante en su trabajo y llevar la divulgación de vulnerabilidades a la clandestinidad.
“Si existen posibles consecuencias penales (y civiles) por violar la política de uso de un sistema computarizado, eso facultaría a los propietarios de dichos sistemas para prohibir la investigación de seguridad de buena fe y silenciar a los investigadores para que no revelen cualquier vulnerabilidad que encuentren en esos sistemas”, dijo Pfefferkorn. . “Incluso colorear sin darse cuenta fuera de las líneas de un conjunto de reglas de recompensas de errores podría exponer a un investigador a la responsabilidad”.
“El Tribunal ahora tiene la oportunidad de resolver la ambigüedad sobre el alcance de la ley y hacer que sea más seguro para los investigadores de seguridad hacer su trabajo tan necesario al construir de manera estrecha la CFAA”, dijo Pfefferkorn. “No podemos darnos el lujo de asustar a las personas que quieren mejorar la ciberseguridad”.
Es probable que la Corte Suprema se pronuncie sobre el caso a finales de este año o principios del próximo.
Lee mas: