Estados Unidos v. Ivanov fue un caso judicial estadounidense que abordaba la jurisdicción en materia de delitos informáticos cometidos por usuarios de Internet fuera de los Estados Unidos contra empresas e infraestructuras estadounidenses. En el tribunal de primera instancia, Aleksey Vladimirovich Ivanov de Chelyabinsk , Rusia, fue acusado de conspiración , fraude informático , extorsión y posesión de dispositivos de acceso ilegal; todos los delitos cometidos contra la Oficina de Información en Línea (OIB), cuyo negocio e infraestructura estaban radicados en Vernon, Connecticut .
Ivanov solicitó desestimar la acusación, alegando que el tribunal carecía de jurisdicción sobre la materia, argumentando que "debido a que se encontraba físicamente ubicado en Rusia cuando se cometieron los delitos, no se lo puede acusar de violaciones de la ley de los Estados Unidos". [1] El tribunal rechazó la moción de Ivanov, "en primer lugar, porque los efectos perjudiciales previstos y reales de las acciones de Ivanov en Rusia ocurrieron dentro de los Estados Unidos, y en segundo lugar, porque cada uno de los estatutos bajo los cuales Ivanov fue acusado de un delito sustantivo fue concebido por el Congreso para aplicarse extraterritorialmente". [1]
En un fallo posterior, Ivanov se declaró culpable de varios delitos, entre ellos intrusión informática y fraude informático, y fue condenado a 48 meses de prisión seguidos de 3 meses de libertad supervisada. [2]
Ivanov atrajo la atención del FBI en el otoño de 1999, cuando el proveedor de servicios de Internet (ISP) Speakeasy descubrió que su red había sido comprometida e informó a la sucursal de Seattle del FBI. A principios de 2000, OIB también detectó un ataque y notificó al FBI en Connecticut. Entre finales de 1999 y principios de 2000, otras grandes corporaciones de Internet, incluidas CD Universe , Yahoo y eBay, también sufrieron ataques similares a los de Speakeasy y OIB. [3] La informática forense determinó que el tráfico de Internet de todos los ataques se originó en la misma máquina en Rusia. [3] Después de vincular su alias en línea "subbsta" y su currículum, [4] el FBI determinó la identidad de Ivanov e inició una operación encubierta para atraerlo a los Estados Unidos para arrestarlo.
El FBI construyó una empresa de seguridad informática falsa, Invita, en Seattle , Washington, e invitó a Ivanov a una entrevista para un puesto el 10 de noviembre de 2000. [5] La entrevista de Ivanov implicó piratear un honeypot controlado por el FBI . Mientras Ivanov pirateaba el honeypot del FBI, se registraron todas las pulsaciones de teclas y el tráfico de red como prueba potencial. [6] Además, el FBI realizó grabaciones de vídeo y audio de todo el proceso de la entrevista. Después de que Ivanov obtuvo acceso con éxito al honeypot del FBI, fue arrestado. [6] El FBI utilizó las pulsaciones de teclas grabadas y el registro de tráfico de red para acceder a las computadoras intermediarias que Ivanov utilizó en Rusia.
Cuando el FBI accedió a las máquinas de Ivanov, encontró carpetas con datos correspondientes a las empresas que había atacado de forma remota. Se recuperaron más de 2,3 GB de datos de las máquinas de Ivanov, incluidas las herramientas utilizadas para obtener acceso ilegal y scripts que hacían referencia a las empresas que habían sido atacadas. [7]
Ivanov obtuvo acceso de superusuario (root) a las máquinas de OIB. Al obtener acceso root a las máquinas de OIB, Ivanov pudo efectivamente "controlar los datos, por ejemplo, números de tarjetas de crédito y números de cuentas comerciales, almacenados en las computadoras de OIB". [1] Después de obtener acceso a los sistemas de OIB, Ivanov contactó a OIB usando su nombre de usuario en línea "subbsta", ofreciendo asistencia de seguridad a cambio de $ 10,000. OIB se negó a pagarle a Ivanov, lo que resultó en un correo electrónico final: "Ahora imagine por favor que alguien piratea su red (y no le notifica sobre esto), descargó software de Atomic con más de 300 comerciantes, transfirió dinero y después de esto hizo ' rm –rf' y después de esto su empresa se arruinó. No quiero esto, y por eso le notifico sobre un posible hackeo en su red, si lo desea puede contratarme y siempre verifico la seguridad en su red. ¿Qué piensa sobre esto?" [1]
Cuando fue llevado a juicio en Connecticut, Ivanov fue acusado de ocho cargos, seis de los cuales apeló:
Ivanov podría enfrentarse a una pena de hasta noventa años de prisión si era declarado culpable de todos los cargos. [6]
Después de su acusación, Ivanov presentó una moción para desestimar todos los cargos porque "estaba físicamente ubicado en Rusia cuando se cometieron los delitos" y, por lo tanto, "no puede ser acusado de violaciones de la ley de los Estados Unidos". [1] El tribunal de distrito rechazó su apelación siguiendo dos líneas de lógica: "primero, porque los efectos perjudiciales previstos y reales de las acciones de Ivanov en Rusia ocurrieron dentro de los Estados Unidos, y segundo, porque cada uno de los estatutos bajo los cuales Ivanov fue acusado de un delito sustantivo fue destinado por el Congreso a aplicarse extraterritorialmente ". [1]
El tribunal sostuvo que los casos anteriores proporcionaban un precedente para aplicar la jurisdicción sobre la materia extraterritorialmente, siempre que los "efectos previstos y perjudiciales" ocurrieran dentro de la jurisdicción. El tribunal citó el caso United States v. Muench , que afirmaba que "la intención de causar efectos dentro de los Estados Unidos... hace que sea razonable aplicar a personas fuera del territorio de los Estados Unidos una ley que no tiene un alcance expresamente extraterritorial". [1] El tribunal también citó el caso United States v. Steinberg , que afirmaba que "hace mucho tiempo que es un lugar común de responsabilidad penal que una persona pueda ser acusada en el lugar donde se produce el mal, aunque se encuentre fuera de la jurisdicción donde comienza la serie de acontecimientos de los cuales el mal es el fruto". [1]
El tribunal argumentó entonces que los efectos perjudiciales de los ataques de Ivanov efectivamente tuvieron lugar en los Estados Unidos, afirmando que "el hecho de que se haya accedido a las computadoras mediante un proceso complejo iniciado y controlado desde una ubicación remota no altera el hecho de que el acceso a las computadoras, es decir, parte del efecto perjudicial prohibido por el estatuto, ocurrió en el lugar donde las computadoras estaban ubicadas físicamente, es decir, el lugar de negocios de OIB en Vernon, Connecticut". [1]
En un segundo argumento, el tribunal afirmó que, independientemente de la lógica anterior, "en cada uno de los estatutos bajo los cuales el acusado ha sido acusado de un delito sustantivo, hay evidencia clara de que el estatuto estaba destinado a aplicarse extraterritorialmente". [1] Luego, el tribunal enumeró cada uno de los presuntos delitos de Ivanov, las leyes a las que hacían referencia y el lenguaje específico de las leyes que implicaban una aplicación extraterritorial.
Tras estos argumentos, el tribunal rechazó la petición de desestimación de Ivanov.
Posteriormente Ivanov se declaró culpable de varios de los cargos, incluidos intrusión informática y fraude informático, y fue sentenciado a 48 meses de prisión seguidos de 3 meses de libertad supervisada. [2]
Los delitos de Ivanov no se limitaron a Connecticut. También fue procesado y condenado en Washington, [8] Nueva Jersey, [9] y California [10] por delitos similares. En total, Ivanov fue juzgado en cinco tribunales de distrito, más que cualquier otro caso incluido en la lista de delitos informáticos del Departamento de Justicia de los Estados Unidos. [11]
Aunque el tribunal dictaminó que las leyes que violó Ivanov ya se extendían extraterritorialmente, la Ley Patriota de los Estados Unidos aumentó el alcance de la Ley de Abuso y Fraude Informático para cubrir expresamente las máquinas fuera de los Estados Unidos. [12]