Estados Unidos contra Ivanov

Caso judicial americano (2001)

Estados Unidos v. Ivanov fue un caso judicial estadounidense que abordaba la jurisdicción en materia de delitos informáticos cometidos por usuarios de Internet fuera de los Estados Unidos contra empresas e infraestructuras estadounidenses. En el tribunal de primera instancia, Aleksey Vladimirovich Ivanov de Chelyabinsk , Rusia, fue acusado de conspiración , fraude informático , extorsión y posesión de dispositivos de acceso ilegal; todos los delitos cometidos contra la Oficina de Información en Línea (OIB), cuyo negocio e infraestructura estaban radicados en Vernon, Connecticut .

Ivanov solicitó desestimar la acusación, alegando que el tribunal carecía de jurisdicción sobre la materia, argumentando que "debido a que se encontraba físicamente ubicado en Rusia cuando se cometieron los delitos, no se lo puede acusar de violaciones de la ley de los Estados Unidos". ^[1] El tribunal rechazó la moción de Ivanov, "en primer lugar, porque los efectos perjudiciales previstos y reales de las acciones de Ivanov en Rusia ocurrieron dentro de los Estados Unidos, y en segundo lugar, porque cada uno de los estatutos bajo los cuales Ivanov fue acusado de un delito sustantivo fue concebido por el Congreso para aplicarse extraterritorialmente". ^[1]

En un fallo posterior, Ivanov se declaró culpable de varios delitos, entre ellos intrusión informática y fraude informático, y fue condenado a 48 meses de prisión seguidos de 3 meses de libertad supervisada. ^[2]

Fondo

Acceso ilegal y captura por parte del FBI

Ivanov atrajo la atención del FBI en el otoño de 1999, cuando el proveedor de servicios de Internet (ISP) Speakeasy descubrió que su red había sido comprometida e informó a la sucursal de Seattle del FBI. A principios de 2000, OIB también detectó un ataque y notificó al FBI en Connecticut. Entre finales de 1999 y principios de 2000, otras grandes corporaciones de Internet, incluidas CD Universe , Yahoo y eBay, también sufrieron ataques similares a los de Speakeasy y OIB. ^[3] La informática forense determinó que el tráfico de Internet de todos los ataques se originó en la misma máquina en Rusia. ^[3] Después de vincular su alias en línea "subbsta" y su currículum, ^[4] el FBI determinó la identidad de Ivanov e inició una operación encubierta para atraerlo a los Estados Unidos para arrestarlo.

El FBI construyó una empresa de seguridad informática falsa, Invita, en Seattle , Washington, e invitó a Ivanov a una entrevista para un puesto el 10 de noviembre de 2000. ^{[5] La entrevista de Ivanov implicó piratear un} honeypot controlado por el FBI . Mientras Ivanov pirateaba el honeypot del FBI, se registraron todas las pulsaciones de teclas y el tráfico de red como prueba potencial. ^[6] Además, el FBI realizó grabaciones de vídeo y audio de todo el proceso de la entrevista. Después de que Ivanov obtuvo acceso con éxito al honeypot del FBI, fue arrestado. ^[6] El FBI utilizó las pulsaciones de teclas grabadas y el registro de tráfico de red para acceder a las computadoras intermediarias que Ivanov utilizó en Rusia.

Cuando el FBI accedió a las máquinas de Ivanov, encontró carpetas con datos correspondientes a las empresas que había atacado de forma remota. Se recuperaron más de 2,3 GB de datos de las máquinas de Ivanov, incluidas las herramientas utilizadas para obtener acceso ilegal y scripts que hacían referencia a las empresas que habían sido atacadas. ^[7]

Ataque a OIB

Ivanov obtuvo acceso de superusuario (root) a las máquinas de OIB. Al obtener acceso root a las máquinas de OIB, Ivanov pudo efectivamente "controlar los datos, por ejemplo, números de tarjetas de crédito y números de cuentas comerciales, almacenados en las computadoras de OIB". ^[1] Después de obtener acceso a los sistemas de OIB, Ivanov contactó a OIB usando su nombre de usuario en línea "subbsta", ofreciendo asistencia de seguridad a cambio de $ 10,000. OIB se negó a pagarle a Ivanov, lo que resultó en un correo electrónico final: "Ahora imagine por favor que alguien piratea su red (y no le notifica sobre esto), descargó software de Atomic con más de 300 comerciantes, transfirió dinero y después de esto hizo ' rm –rf' y después de esto su empresa se arruinó. No quiero esto, y por eso le notifico sobre un posible hackeo en su red, si lo desea puede contratarme y siempre verifico la seguridad en su red. ¿Qué piensa sobre esto?" ^[1]

Ensayos

Acusación

Cuando fue llevado a juicio en Connecticut, Ivanov fue acusado de ocho cargos, seis de los cuales apeló:

• El primer cargo acusó a Ivanov de conspiración para cometer fraude informático en violación del Título 18 del Código de los Estados Unidos,  artículo 371. ^[1]
• Los cargos dos, tres y seis alegaban que la actividad de Ivanov violaba el artículo 1030 del Título 18 del Código de los Estados Unidos  , la Ley de Fraude y Abuso Informático. El gobierno alegó que Ivanov accedió a sabiendas a las computadoras de la OIB con la intención de defraudar y accedió intencionalmente a las máquinas de la OIB con la intención de recopilar información. ^[1]
• El sexto cargo alega que Ivanov "transmitió comunicaciones interestatales y de comercio exterior que contenían una amenaza de causar daños a computadoras protegidas propiedad de OIB". ^[1]
• El séptimo cargo acusó a Ivanov de perturbar el comercio mediante extorsión en violación del artículo 18 USC  § 1051. ^[1]
• El octavo cargo acusó a Ivanov de posesión de "dispositivos de acceso no autorizado" en violación del 18 USC  § 1029, que regula el fraude en conexión con los dispositivos de acceso. ^[1]

Ivanov podría enfrentarse a una pena de hasta noventa años de prisión si era declarado culpable de todos los cargos. ^[6]

El llamamiento de Ivanov

Después de su acusación, Ivanov presentó una moción para desestimar todos los cargos porque "estaba físicamente ubicado en Rusia cuando se cometieron los delitos" y, por lo tanto, "no puede ser acusado de violaciones de la ley de los Estados Unidos". ^[1] El tribunal de distrito rechazó su apelación siguiendo dos líneas de lógica: "primero, porque los efectos perjudiciales previstos y reales de las acciones de Ivanov en Rusia ocurrieron dentro de los Estados Unidos, y segundo, porque cada uno de los estatutos bajo los cuales Ivanov fue acusado de un delito sustantivo fue destinado por el Congreso a aplicarse extraterritorialmente ". ^[1]

El tribunal sostuvo que los casos anteriores proporcionaban un precedente para aplicar la jurisdicción sobre la materia extraterritorialmente, siempre que los "efectos previstos y perjudiciales" ocurrieran dentro de la jurisdicción. El tribunal citó el caso United States v. Muench , que afirmaba que "la intención de causar efectos dentro de los Estados Unidos... hace que sea razonable aplicar a personas fuera del territorio de los Estados Unidos una ley que no tiene un alcance expresamente extraterritorial". ^[1] El tribunal también citó el caso United States v. Steinberg , que afirmaba que "hace mucho tiempo que es un lugar común de responsabilidad penal que una persona pueda ser acusada en el lugar donde se produce el mal, aunque se encuentre fuera de la jurisdicción donde comienza la serie de acontecimientos de los cuales el mal es el fruto". ^[1]

El tribunal argumentó entonces que los efectos perjudiciales de los ataques de Ivanov efectivamente tuvieron lugar en los Estados Unidos, afirmando que "el hecho de que se haya accedido a las computadoras mediante un proceso complejo iniciado y controlado desde una ubicación remota no altera el hecho de que el acceso a las computadoras, es decir, parte del efecto perjudicial prohibido por el estatuto, ocurrió en el lugar donde las computadoras estaban ubicadas físicamente, es decir, el lugar de negocios de OIB en Vernon, Connecticut". ^[1]

En un segundo argumento, el tribunal afirmó que, independientemente de la lógica anterior, "en cada uno de los estatutos bajo los cuales el acusado ha sido acusado de un delito sustantivo, hay evidencia clara de que el estatuto estaba destinado a aplicarse extraterritorialmente". ^[1] Luego, el tribunal enumeró cada uno de los presuntos delitos de Ivanov, las leyes a las que hacían referencia y el lenguaje específico de las leyes que implicaban una aplicación extraterritorial.

Tras estos argumentos, el tribunal rechazó la petición de desestimación de Ivanov.

Sentencias posteriores

Posteriormente Ivanov se declaró culpable de varios de los cargos, incluidos intrusión informática y fraude informático, y fue sentenciado a 48 meses de prisión seguidos de 3 meses de libertad supervisada. ^[2]

Los delitos de Ivanov no se limitaron a Connecticut. También fue procesado y condenado en Washington, ^[8] Nueva Jersey, ^[9] y California ^[10] por delitos similares. En total, Ivanov fue juzgado en cinco tribunales de distrito, más que cualquier otro caso incluido en la lista de delitos informáticos del Departamento de Justicia de los Estados Unidos. ^[11]

Impacto

Aunque el tribunal dictaminó que las leyes que violó Ivanov ya se extendían extraterritorialmente, la Ley Patriota de los Estados Unidos aumentó el alcance de la Ley de Abuso y Fraude Informático para cubrir expresamente las máquinas fuera de los Estados Unidos. ^[12]

Referencias

1. Estados Unidos v. Ivanov , 175 F. Supp. 2d 36 (Tribunal de Distrito de los EE. UU. para el Distrito de Connecticut 2001).
2. Newcomb, Penny. "Hombre ruso sentenciado por piratear computadoras en Estados Unidos". Departamento de Justicia de Estados Unidos . Consultado el 6 de febrero de 2012 .
3. Traore, Issa. "Capítulo 8: Informática forense" (PDF) . Universidad de Victoria . Consultado el 6 de febrero de 2012 .
4. "Copia en caché del currículum de Ivanov". mail-index.netbsd.org .
5. "CIUDADANO RUSO ARRESTADO Y ACUSADO DE PENETRAR EN LAS REDES INFORMÁTICAS DE CORPORATIVAS DE ESTADOS UNIDOS, ROBAR NÚMEROS DE TARJETAS DE CRÉDITO Y EXTORSIONAR A LAS COMPAÑÍAS AMENAZANDO CON DAÑAR SUS COMPUTADORAS". cybercrime.gov .
6. "Una historia de hackers". crime-research.org . CIO Asia . Consultado el 6 de febrero de 2012 .
7. Attfield, Philip (2005). "Estados Unidos v. Gorshkov: análisis forense detallado y estudio de caso; perspectiva de testigo experto". Primer taller internacional sobre enfoques sistemáticos de la ingeniería forense digital (SADFE'05) . Instituto de Ingenieros Eléctricos y Electrónicos . págs. 3–26. doi :10.1109/SADFE.2005.28. ISBN . 0-7695-2478-8.Se concedió una orden judicial al FBI 10 días después de la descarga.
8. "Hacker informático ruso condenado por jurado". justice.gov . Consultado el 18 de febrero de 2012 .
9. "Estados Unidos contra Alexey V. Ivanov". cybercrime.gov . Consultado el 18 de febrero de 2012 .
10. "HACKER INFORMÁTICO RUSO ACUSADO EN CALIFORNIA POR IRRUMPIR SISTEMAS INFORMÁTICOS Y EXTORSIONAR A LAS COMPAÑÍAS VÍCTIMAS". cybercrime.gov . Archivado desde el original el 25 de junio de 2001 . Consultado el 18 de febrero de 2012 .
11. "Sección de Delitos Informáticos y Propiedad Intelectual". Departamento de Justicia de los Estados Unidos . Consultado el 18 de febrero de 2012 .
12. Lemley, Mark; Menell, Peter; Merges, Robert; Samuelson, Pamela; Carver, Brian (2011). Derecho del software e Internet (4.ª ed.). ISBN 978-0-7355-8915-5.

Enlaces externos

• Código de los Estados Unidos: Título 18.1030. Fraude y actividades relacionadas con las computadoras
• Brendan I. Koerner, "DESDE RUSIA CON LØPHT", Asuntos Jurídicos, mayo/junio de 2002
• Art Jahnke, "Alexey Ivanov y Vasiliy Gorshkov: la ruleta de los hackers rusos", CSO Online, 1 de enero de 2005