Un manual de la Ley de fraude y abuso informático para …


Desde WarGames hasta Aaron Swartz, recompensas por errores y Van Buren, esto es lo que los investigadores de ciberseguridad deben saber sobre la principal ley anti-piratería de los EE. UU. Antes de que llegue su día en la Corte Suprema.

Si una persona está autorizada a acceder a los datos para un propósito, ¿es un delito que acceda a esos datos con un propósito «inadecuado»? Ese pregunta se encuentra en el corazón de un caso que la Corte Suprema de Estados Unidos escuchará el próximo mes, la primera vez que escuchará argumentos orales sobre la Ley de Abuso y Fraude Informático (CFAA).

El caso podría tener serias implicaciones para los investigadores de ciberseguridad. Esto es lo que debe saber sobre la CFAA, tal como funciona hoy.

¿Qué es la CFAA?
los CFAA, (también conocido como 18 US Code 1030), es la ley anti-piratería preeminente en los Estados Unidos. La CFAA fue promulgada por primera vez por el presidente Ronald Reagan en 1986 (tres años después de la película Juegos de guerra asustó a la Casa Blanca). Desde entonces, la CFAA, una actualización de la Ley de Regulate Integral del Crimen de 1984, se ha enmendado ocho veces para abordar las amenazas de ciberseguridad más recientes.

A partir de hoy, la CFAA puede aplicarse tanto a demandas penales como civiles Cubre todos los sistemas informáticos federales y todas las computadoras de propiedad privada que se utilizan en el comercio interestatal o internacional.

Las sentencias de prisión bajo la CFAA varían, desde un año por «tráfico de contraseñas» hasta 10 años por «obtener información de seguridad nacional».

¿Qué tiene que ver con la investigación de seguridad?
La redacción amplia del estatuto podría permitir que los fiscales acusaran violaciones a la CFAA por casi cualquier investigación basada en computadoras, redes o sitios website. Además, el gobierno puede confiscar la propiedad utilizada en delitos imputados bajo la CFAA.

Hay varias frases específicas en el estatuto que los profesionales de seguridad deben saber:

• «autorización»: Para la CFAA es crucial el concepto de «autorización» – aunque la ley no determine el término. Conceptualmente, la autorización para los investigadores de seguridad significa que el propietario del recurso informático les ha otorgado explícitamente permiso para realizar sus actividades. Esta necesidad de autorización es parte de la razón de la existencia de acuerdos de divulgación de vulnerabilidades.

Estos acuerdos aclaran y codifican qué autorización ha otorgado a los investigadores el propietario de la computadora, purple o servidor internet. Sin embargo, la investigación de seguridad importante (como la investigación de sesgos en algoritmos) a menudo se realiza sin permiso, e incluso ha sido la sujeto de una demanda de CFAA.

• «acceso no autorizado» / «supera el acceso autorizado»: Lo que sí dice la CFAA es que el «acceso no autorizado» es «hackear. «De manera comparable, la frase» excede el acceso autorizado «significa» acceder a una computadora con autorización y utilizar dicho acceso para obtener o alterar información en la computadora que el autor de acceso no tiene derecho a obtener o alterar «.

Esta frase es un componente central del caso que será escuchado en la Corte Suprema el próximo mes. Más sobre esto a continuación.

• «obtener algo de valor»: Otra frase importante pero poco clara en la CFAA se refiere a «obtener algo de valor», que puede interpretarse como incluir datos accedidos o tomados. La ley previene el enjuiciamiento si el objeto del fraude y las únicas «cosas» que se obtienen son el uso de la computadora y / o un valor monetario de $ 5,000 o menos en un período de un año.

• «daño»: La ley cubre además el «daño» a una computadora o la información almacenada en la computadora, lo que significa «deterioro de la integridad o disponibilidad de datos, un programa, un sistema o información».

¿Cómo se ha aplicado la CFAA en el pasado?
La aplicación ha variado. La CFAA se ha utilizado para acusar a los ciberatacantes de los estados-nación y dictar fuertes penas de prisión a los ciberdelincuentes prolíficos. Sin embargo, también se ha utilizado en el pasado para delitos menos graves.

El caso más notorio se presentó contra Aaron Swartz en 2011 por descargar artículos de revistas académicas. Un activista de Web y programador de computadoras que ayudó a crear Reddit, Swartz fue acusado de 11 violaciones de la CFAA y dos cargos de fraude electrónico federal. Se enfrentó a 35 años de prisión y más de $ 1 millón en multas. Swartz se suicidó en 2013 después de que los fiscales se negaran a aceptar un acuerdo de culpabilidad.

A finales de la década de 1990, la CFAA se utilizó para enjuiciar contratistas de seguridad informática en Texas y Ga por atacar redes cuya seguridad fueron contratados para probar, y un Estudiante de secundaria de Wisconsin quien escribió sobre las fallas de seguridad del sistema informático de la escuela para un periódico clandestino de la escuela secundaria.

La CFAA también ha sido invocada por empresas mas ampliamente cobrar a las personas por violar los términos de servicio, por ejemplo, o usar rastreadores de bots. Esto ha tenido un éxito desigual.

¿Protege la CFAA la investigación de seguridad de White Hat?
Ley de Aaron, una enmienda de la CFAA propuesta a raíz del suicidio de Swartz, no fue aprobada dos veces por el Congreso.

Si hubiera tenido éxito, Aaron&#39s Legislation habría protegido a los investigadores de seguridad, piratas informáticos, manipuladores casuales y defensores de la privacidad del enjuiciamiento penal, y habría evitado que las personas atrapadas violando los términos de servicio de un sitio world-wide-web o aplicación de software program recibieran pena de prisión.

Entonces, si la ley de Aarón no se aprobó, ¿por qué no están todos los profesionales de seguridad en la cárcel ahora?
A pesar de la falta de reforma, los expertos en seguridad informática y privacidad y sus aliados han tomado medidas para crear protecciones legales bajo la CFAA lo mejor que pueden, dice Harley Geiger, directora de políticas públicas de la empresa de ciberseguridad Swift7.

Lo que es importante para las personas cuyo sustento e intereses dependen de evitar los cargos de violar la CFAA, dice, es la autorización.

«La CFAA depende de la autorización, y eso significa si está autorizado para usar, piratear o crear imágenes de una computadora», dice Geiger, quien trabajó extensamente en la Ley de Aaron de 2012 a 2014 como asesor legislativo principal del coautor del proyecto de ley. Representante Zoe Lofgren (D-Calif.).

«Las políticas de recompensa de errores y divulgación de vulnerabilidades han sido un punto brillante en el progreso de los investigadores de seguridad durante los últimos años», dice. «Pero sus poderes de protección son limitados. Las recompensas de errores y las políticas de divulgación de vulnerabilidades definen el alcance de la autorización. Cualquier cosa externa que sea vulnerable a la CFAA».

¿Qué revisará la Corte Suprema?
A medida que se ha ampliado el alcance de la CFAA, también lo ha hecho el impacto de la tecnología informática en el mundo. Pero a pesar de todas las formas en que la informática ha cambiado desde 1986, la CFAA nunca se ha enfrentado al escrutinio del tribunal más alto de la nación.

Eso cambiará el 30 de noviembre, cuando la Corte Suprema esté programada para escuchar los argumentos orales en Nathan Van Buren c. Estados Unidos, un caso penal que depende del presunto uso indebido de una computadora y una red.

(&#39Revisión del Tribunal Supremo&#39 continúa en la página siguiente)

Seth es editor en jefe y fundador de The Parallax, una revista de noticias en línea sobre ciberseguridad y privacidad. Ha trabajado en periodismo en línea desde 1999, incluidos ocho años en CNET Information, donde dirigió la cobertura de seguridad, privacidad y Google. Con sede en San Francisco, también … Ver biografía completa

Anterior

1 de 2

próximo

Lectura recomendada:

Más información





Enlace a la noticia first