La Ley de fraude y abuso informático(CFAA), la notoriamente imprecisa ley contra la piratería informática, debería haber sido reformada hace tiempo. Entre otros muchos problemas, la CFAA se ha utilizado para perseguir a los investigadores de seguridad cuyo trabajo de descubrimiento de vulnerabilidades de software suele irritar a las empresas (y a los fiscales estadounidenses). El Departamento de Justicia (DOJ) ha presentado hoy anunciado una nueva política en virtud de la cual no iniciará juicios por la CFAA contra quienes se dediquen "únicamente" a la investigación de seguridad "de buena fe".
Es un paso importante que el DOJ reconozca la inestimable contribución de la investigación de seguridad a la hora de reforzar la seguridad de las aplicaciones de mensajería y redes sociales, los sistemas financieros y otros sistemas digitales usados por cientos de millones de personas cada día. Pero su nueva política, que no es más que un acuerdo para que el DOJ actúe con moderación, se queda muy corta para proteger a los investigadores de seguridad de las amenazas excesivamente entusiastas, los procesamientos y la CFAA. penas de prisión desproporcionadamente duras. Seguimos necesitando una reforma legislativa integral para abordar los daños de esta peligrosa ley.
En parte, el cambio de política del DOJ se ve forzado por la sentencia del Tribunal Supremo del año pasado en Van Buren v. U.S. que aclaró el significado de "exceder el acceso autorizado" bajo la CFAA. La ley tipifica como delito "acceder intencionadamente a un ordenador sin autorización o exceder el acceso autorizado y, por tanto, obtener... información de cualquier ordenador protegido", pero no define qué significa autorización. Anteriormente, la ley se había interpretado de manera que permitía presentar cargos penales contra individuos por violar las condiciones de servicio de un sitio web o por violar la política de uso de ordenadores de un empleador, lo que llevaba a cargos penales que no tienen nada que ver con la piratería informática. En el caso Van Buren, el Tribunal Supremo recortó esa interpretación, sosteniendo que el acusado no se "excedió en el acceso autorizado" cuando obtuvo información que tenía derecho a buscar con fines laborales, pero utilizó esa información para otras actividades no aprobadas.
La nueva política del Departamento de Justicia adopta esta interpretación -como debe ser- pero, al igual que el Tribunal Supremo, no llega a exigir que el acusado supere una restricción tecnológica para exceder el acceso autorizado. Esto protegería mejor a los investigadores de seguridad, los periodistas y otras personas cuyo trabajo requiere acceder a los ordenadores de forma que contravenga las condiciones de servicio o vaya en contra de los deseos del propietario del ordenador.
En lugar de esta línea clara, la nueva política nombra explícitamente los escenarios en los que las políticas escritas pueden dar lugar a una acusación penal de la CFAA, como cuando un empleado viola un contrato que pone ciertos archivos fuera de los límites en todas las situaciones, o cuando una persona ajena recibe una carta de cese y desistimiento (C&D) informándole de que su acceso ahora no está autorizado. Hemos visto empresas como Facebook y LinkedIn abusan de la CFAA exactamente de esa manera enviando C&Ds a investigadores y periodistas cuyo acceso no les gusta. Independientemente del mérito de estas disputas privadas, es inaceptable dar a estas empresas tecnológicas discreción para convertir a sus adversarios, mucho menos poderosos, en potenciales criminales federales.
La nueva política del Departamento de Justicia también promete más de lo que cumple en su exención de procesamiento para la investigación de seguridad. Limita la exención a la investigación llevada a cabo "únicamente" de "buena fe", lo que podría dejar fuera muchas de las investigaciones de seguridad que se llevan a cabo en el mundo real. La palabra "únicamente" deja abierta la interpretación de si los hackers que descubren y revelan una vulnerabilidad para que pueda ser corregida, pero que también reciben una remuneración, hablan en una conferencia de seguridad como DEF CON, o tienen otras motivaciones secundarias, pueden seguir siendo procesados.
Además, la política adopta la definición de "investigación de seguridad de buena fe" planteada por la Oficina de Derechos de Autor en su normativa trienal sobre el artículo 1201 de la Ley de Derechos de Autor del Milenio Digital (DMCA), que pretende ofrecer una exención para las pruebas de seguridad de buena fe, incluido el uso de medios tecnológicos. Pero esa exención es demasiado estrecha y demasiado vaga. La DMCA prohíbe el suministro de tecnologías, herramientas o servicios al público que eludan las medidas tecnológicas de protección para acceder a software protegido por derechos de autor sin el permiso del propietario del software. Para evitar la violación de la DMCA, cualquier herramienta utilizada debe tener el "único propósito" de probar la seguridad, con limitaciones adicionales interpretadas a discreción del gobierno.
Al igual que el lenguaje de la DMCA, la política del DOJ no proporciona disposiciones concretas y detalladas para evitar que la CFAA sea mal utilizado para persiga una actividad en línea beneficiosa e importante. La CFAA debería proteger a los investigadores de seguridad y darles incentivos para que continúen con su vital trabajo. Los investigadores de seguridad no deberían tener que temer que su trabajo, que nos protege a todos de los fallos en los sistemas informáticos de los coches, los sistemas de votación electrónica y los dispositivos médicos como las bombas de insulina y los marcapasos, les lleve a la cárcel. La política del DOJ simplemente no va lo suficientemente lejos para evitarlo.
Como política de la agencia, las nuevas normas del Departamento de Justicia no son vinculantes para los tribunales y pueden ser anuladas en cualquier momento, por ejemplo, por una futura administración. Y no hace nada para reducir el riesgo de litigios civiles frívolos o demasiado amplios de la CFAA contra investigadores de seguridad, periodistas e innovadores. Tampoco aborda las amenazas que plantean las leyes estatales contra el pirateo informático, algunas de las cuales son incluso más amplias que la propia CFAA. La política es un buen comienzo, pero no sustituye a una reforma integral de la CFAA, ya sea por parte del Congreso o de los tribunales, continuando el trabajo de Van Buren para reducir su alcance.