La Ley de Fraude y Abuso Informático de 1986
La Ley de Fraude y Abuso Informático o CFAA por sus siglas, también conocida como 18 U.S.C. 1030 es una de las principales leyes que rigen la ciberseguridad dentro de los Estados Unidos de América. Específicamente, la ley protege los ordenadores “en los que hay un interés federal, incluidos los ordenadores federales, los ordenadores de los bancos y los ordenadores utilizados para o que afectan al comercio interestatal y exterior”. La CFAA protege estos ordenadores de y contra daños, amenazas, intrusión criminal, espionaje y corrupción ocasionada por cualquier otra forma o instrumento de fraude que pueda utilizarse para acceder ilegalmente a una red informática. La CFAA ha sido modificada en varias ocasiones, incluyendo nueve enmiendas entre 1988 y 2008, motivadas por el siempre cambiante mundo de la ciberdelincuencia. En su forma original, la CFAA prohibía las siguientes acciones en relación con los ordenadores:
- el allanamiento de un ordenador gubernamental
- el allanamiento de un ordenador que dé lugar a la exposición de cierta información financiera, gubernamental o crediticia, así como cualquier otra forma de información que pueda estar contenida en un ordenador gubernamental
- cualquier daño a un ordenador gubernamental, un ordenador bancario o cualquier ordenador que se utilice para o afecte el comercio interestatal o exterior
- el fraude que se cometa en relación con el uso o el acceso no autorizado a un ordenador gubernamental, ordenador bancario o cualquier ordenador que se utilice para o afecte el comercio interestatal o exterior
- amenazar con dañar un ordenador gubernamental, ordenador bancario o cualquier ordenador que se utilice para o afecte el comercio interestatal o exterior
- traficar con contraseñas en línea relacionadas con un ordenador gubernamental o cuando dicho tráfico afecte al comercio interestatal o exterior
- el acceso a un ordenador con fines de espionaje empresarial
Por otra parte, las modificaciones introducidas en la CFAA en las últimas décadas incluyen la siguiente ampliación de cobertura con respecto a los ciberdelitos:
- protección para los ordenadores que se utilizan en instituciones financieras
- el derecho a emprender acciones civiles bajo los auspicios de la CFAA
- disposiciones relacionadas con los intentos de manipulación informática y extorsión llevados a cabo por ciberdelincuentes
- disposiciones relacionadas con la información personal robada o tomada de un sistema informático a través de la ciberdelincuencia
- ampliación de los tipos de delitos en los que pueden incurrir las entidades comerciales e individuos que incumplan la CFAA, así como el aumento de las penas en relación con dichos delitos
¿Cómo se define el término “ordenador protegido” bajo la CFAA?
Según la CFAA, el término “ordenador protegido” se define como un ordenador “que originalmente incluía sistemas de un interés federal sustancial”. Aunque las leyes estatales suelen cubrir los ordenadores no relacionados con el gobierno, debido a la ampliación de la Cláusula de Comercio de la Constitución de los Estados Unidos cualquier ordenador dentro de los Estados Unidos de América está teóricamente protegido por la CFAA. Como resultado de este marco legal, algo turbio y ambiguo en lo que respecta a los tipos específicos de ordenadores que están cubiertos por la CFAA, ha habido varias situaciones legales en los últimos veinte años que han girado en torno a diferentes interpretaciones de la ley.
Un ejemplo de esta situación ocurrió en 2005, cuando el popular fabricante de routers de internet Cisco se aprovechó de la antes mencionada ambigüedad legal y amenazó con una demanda de la CFAA contra el investigador de ciberseguridad Mike Lynn, quien había descubierto un fallo en el sistema operativo de internet utilizado por los routers de Cisco. Cisco argumentó que la exposición pública de esta debilidad de ciberseguridad por parte de Lynn sólo provocaría un aumento de los ataques de ciberseguridad a la plataforma. Por el contrario, varios clientes de Cisco, además de otros profesionales del ámbito de la investigación en ciberseguridad, consideraron que no revelar esta brecha de seguridad al público dejaría a los usuarios de Cisco vulnerables a ciberataques de los que no podrían defenderse adecuadamente. Al final, Lynn accedió a firmar una orden judicial en la que se comprometía a no revelar ninguno de los resultados de su investigación en relación con Cisco, tras la creciente presión ejercida tanto por Cisco como por el empleador de Lynn en ese momento, Internet Security Systems o ISS.
Una situación legal similar a la anterior tuvo lugar en 2010, cuando Matthew Keys, un exeditor de redes sociales para la organización internacional de noticias Reuters, fue acusado de múltiples cargos de violaciones de la CFAA por haber proporcionado nombres de usuario y contraseñas de los sitios web de la compañía Tribune a hackers, tras ser despedido de su trabajo en una empresa propiedad de Tribune. Tras un juicio de ocho días, Keys fue declarado culpable de violar la CFAA y condenado a veinticuatro meses de prisión, así como a veinticuatro meses de libertad condicional. Además, se le ordenó pagar una indemnización de 249.956 dólares. Ambos casos legales mencionados anteriormente, aunque disimiles en circunstancias y resultados, sirven para ilustrar el amplio espectro de interpretaciones que la CFAA puede recibir en un tribunal de justicia.
¿Cuáles son las sanciones por violar la CFAA?
La CFAA sigue un sistema de tres niveles a la hora de clasificar las violaciones de la ley. Las violaciones simples de la CFAA se castigan como delitos menores de acuerdo con la legislación estatal y federal. En dicho caso, los individuos declarados culpables están sujetos a penas de prisión de no más de un año, así como a sanción monetaria de no más de 100 000 dólares. En el caso de las organizaciones, la sanción monetaria no excederá los 200 000 dólares. El segundo nivel del sistema de sanciones de la CFAA conlleva penas de prisión de no más de cinco años y sanciones monetarias que no superen los 250 000 dólares para los individuos. Por su parte, las organizaciones pueden ser multadas con hasta 500 000 dólares. En el tercer y más severo nivel de sanciones de la CFAA, los infractores están sujetos a penas de prisión de no más de diez años, así como a sanciones monetarias de hasta 250 000 dólares. En el caso de las organizaciones, el monto de la sanción no excederá los 500 000 dólares.
Casos legales como los de Mike Lynn y Matthew Keys ponen de manifiesto cuán seriamente puede el gobierno de los Estados Unidos de América tomar las violaciones a la CFAA. Las sanciones por violar la CFAA pueden ser extremadamente elevadas pues dicha ley castiga duramente a quienes la infringen. Además, la CFAA no es “más acogedora en el procesamiento de menores por los delitos de intrusión y adquisición de información”, a diferencia de muchos otros estatutos federales y leyes estatales que ofrecen cierto nivel de indulgencia a los delincuentes juveniles.
Aunque la CFAA es una ley que no es en absoluto perfecta, establece penas severas para las personas que cometen ciberdelitos contra ciudadanos estadounidenses. Como la CFAA es una ley que sigue creciendo y cambiando con el desarrollo de la tecnología en línea, tendrá que ser ajustada constantemente para garantizar que castigue de forma justa a quienes la violan, al tiempo que evite posibles lagunas que permitirían a grandes empresas utilizarla como una herramienta contra individuos considerados por dichos negocios como una amenaza para sus ganancias e intereses. En resumen, la CFAA garantiza un recurso para sancionar a los individuos que cometan ciberdelitos en suelo estadounidense.