Van Buren contra Estados Unidos

Caso de la Corte Suprema de los Estados Unidos de 2021

Van Buren v. United States , 593 US 374 (2021), fue un caso de la Corte Suprema de los Estados Unidos que trataba sobre la Ley de Abuso y Fraude Informático (CFAA) y su definición de "excede el acceso autorizado" en relación con el acceso intencional a un sistema informático al que tiene autorización para acceder. En junio de 2021, la Corte Suprema dictaminó en una opinión de 6 a 3 que uno "excede el acceso autorizado" al acceder a archivos fuera de los límites y otra información en un sistema informático al que de otra manera estaba autorizado a acceder. El lenguaje de la CFAA había creado durante mucho tiempo una división de 4 a 3 en la jurisprudencia del circuito que condujo a la fallida introducción de la Ley de Aaron , y esta decisión redujo la aplicabilidad de la CFAA en el enjuiciamiento de la ciberseguridad y los delitos informáticos.

Fondo

La Ley de Abuso y Fraude Informático (CFAA, por sus siglas en inglés) es una ley federal aprobada en 1986 para fortalecer las leyes en torno al acceso no autorizado a los sistemas informáticos. La ley se aprobó en parte en base a los temores de los miembros del Congreso que vieron la película WarGames ^{de 1983. [1]} Entre sus estatutos principales, en 18 USC  § 1030(a)(2), se encuentra que el acceso intencional a un sistema informático "sin autorización o excediendo el acceso autorizado" para obtener información protegida, registros financieros o información del gobierno federal se considera un delito federal que puede incluir multas y prisión como pena.

La definición exacta de "excede el acceso autorizado" no está clara y creó una división de casos de 4-3 en los Tribunales de Circuito . ^[2] En los Circuitos Primero, Quinto, Séptimo y Undécimo, los tribunales mantuvieron una visión amplia de la declaración, de que acceder a una computadora con autorización pero para un propósito indebido es una violación de la CFAA. Los Circuitos Segundo, Cuarto y Noveno adoptaron una visión más limitada de que una violación solo ocurre si el usuario autorizado accede a información a la que se le prohibió acceder. ^[2]

Debido a la división de la jurisprudencia, ha habido un debate sobre si el lenguaje debe ser tratado de manera estricta o amplia entre los investigadores de ciberseguridad y las fuerzas del orden, entre otros. Para los profesionales de la ciberseguridad, una interpretación estricta del lenguaje de "excede el acceso autorizado" en §1030(a)(2) les permitiría realizar mejor el trabajo de identificación y resolución de problemas de seguridad con hardware y software de computadoras para hacer que Internet sea más seguro. La vaguedad del estatuto de lo contrario pone en riesgo estas funciones laborales. Las fuerzas del orden y el gobierno de los EE. UU. en general prefieren una interpretación más amplia, ya que esto les permite procesar a quienes usan la piratería para derribar o aprovecharse de sistemas inseguros bajo la CFAA. ^[3] Hay preocupaciones adicionales ya que el lenguaje de la CFAA, si se interpreta de manera amplia, podría aplicarse a actividades comúnmente aceptadas en las empresas o en otros lugares, como usar computadoras de oficina para navegar por la web. Jeffrey L. Fisher , profesor de derecho de la Universidad de Stanford que representa al peticionario en el presente caso, afirma que el lenguaje de la ley está desactualizado con respecto al uso de las computadoras modernas, y su interpretación amplia "[convierte] en delito las violaciones comunes de las restricciones y los términos de servicio de las computadoras que las personas probablemente ni siquiera conocen y, si lo supieran, no tendrían motivos para pensar que serían un delito federal". ^[3]

Hechos del caso

El oficial de policía Nathan Van Buren, de Cumming, Georgia , necesitaba dinero y le pidió ayuda a un hombre, Andrew Albo. Se sabía que Albo tenía conexiones con la prostitución en la ciudad y había tenido conflictos previos con la policía. Albo informó de esta solicitud a la oficina del sheriff local, donde la solicitud se pasó a la Oficina Federal de Investigaciones (FBI). El FBI montó una operación encubierta y ordenó a Albo que ofreciera a Van Buren 6.000 dólares estadounidenses , pero a cambio, le pidiera que buscara una matrícula en el Centro de Información Criminal de Georgia (GCIC) al que tenía acceso autorizado, para ver si su propietario registrado, una stripper, era un agente encubierto. Van Buren cumplió con la solicitud, lo que llevó al FBI a arrestarlo por delito grave de fraude informático según la CFAA §1030(a)(2). Van Buren fue declarado culpable en un juicio con jurado y condenado a 18 meses de prisión por el Tribunal de Distrito de los Estados Unidos para el Distrito Norte de Georgia . ^[2]

Van Buren apeló la condena ante el Tribunal de Apelaciones de los Estados Unidos para el Undécimo Circuito , afirmando que acceder al GCIC al que había autorizado el acceso, pero para un propósito indebido, no constituía una violación de la cláusula de "acceso excesivo autorizado" de la CFAA. Si bien los jueces del Circuito simpatizaron en cierta medida con este argumento, optaron por pronunciarse sobre el precedente de un caso anterior del Undécimo Circuito, Estados Unidos v. Rodríguez (2010), ^[4] para confirmar la condena de Van Buren. ^{[5] [2]}

Corte Suprema

Van Buren presentó una petición a la Corte Suprema, que concedió el certiorari en abril de 2020. ^[3] El caso se discutió el 30 de noviembre de 2020, por teléfono debido a la pandemia de COVID-19 . ^[6]

El Tribunal emitió su decisión el 3 de junio de 2021. En una decisión de 6 a 3, el Tribunal revocó y remitió el fallo del tribunal inferior. La opinión mayoritaria fue escrita por la jueza Amy Coney Barrett , junto con los jueces Stephen Breyer , Sonia Sotomayor , Elena Kagan , Neil Gorsuch y Brett Kavanaugh . Barrett dictaminó que para la CFAA, una persona viola el lenguaje de "excede el acceso autorizado" cuando accede a archivos u otra información que está fuera de sus límites en un sistema informático al que de otra manera tiene acceso autorizado. La opinión mayoritaria distinguió este caso del de Van Buren, en que la información que obtuvo estaba dentro de los límites de lo que podía acceder con su autorización, pero lo hizo por razones indebidas y, por lo tanto, no podía ser acusado bajo la CFAA por este delito. ^[7] En su opinión, Barrett coincidió con los críticos de la ley en que si hubieran adoptado la postura del gobierno de que "la cláusula 'excede el acceso autorizado' penaliza toda violación de una política de uso de computadoras", "entonces millones de ciudadanos que en otros aspectos respetan la ley son criminales". ^[8]

El juez Clarence Thomas escribió la opinión disidente a la que se adhirieron el presidente del Tribunal Supremo John Roberts y el juez Samuel Alito . Thomas escribió que muchas partes de la ley federal denotan partes de la ley en las que una persona puede tener acceso temporal a la propiedad pero aún así impone límites a lo que puede hacer con ese acceso, como por ejemplo que un valet parking estacione un auto, y que la mayoría había adoptado una posición artificial. Thomas escribió: "Es comprensible que nos sintamos incómodos con que se criminalicen tantas conductas, pero esa incomodidad no nos da autoridad para alterar los estatutos". ^[8]

Este caso es notable por ser el primero en el que el juez Stephen Breyer asignó la opinión mayoritaria. Debido a que tanto el presidente del Tribunal Supremo como el juez Thomas disintieron, Breyer, que es el segundo juez asociado más antiguo, era el juez de mayor antigüedad en la mayoría y, por lo tanto, asignó la opinión. Breyer decidió asignar esta opinión al juez Barrett, que era el juez más nuevo en ese momento. ^[9]

Reacciones

La Electronic Frontier Foundation , que había presentado un escrito amicus curiae en el caso en el que afirmaba que "la CFAA ha obstaculizado [el] trabajo [de los 'investigadores de seguridad']" y opinó que "la amplia interpretación de la CFAA por parte del gobierno" significaba que "las prácticas estándar de investigación de seguridad  ... pueden ser altamente riesgosas", ^[10] calificó el fallo como "una victoria para todos los usuarios de Internet" y "especialmente una buena noticia para los investigadores de seguridad". ^[11]

Impacto

La semana siguiente, sobre la base de Van Buren , la Corte Suprema anuló la decisión del Noveno Circuito en hiQ Labs v. LinkedIn (2019) mediante una orden, en la que hiQ había prevalecido para poder extraer datos de la web de LinkedIn , que es propiedad de Microsoft . El Noveno Circuito se había basado en la interpretación de la CFAA de que, como los datos de LinkedIn estaban disponibles públicamente, Microsoft no podía impedir que hiQ los recopilara incluso a una escala masiva más allá de las capacidades de un humano. La Corte Suprema anuló el fallo y ordenó al Noveno Circuito que revisara el caso bajo la decisión de Van Buren , que podría incorporar el raspado web como un acto indebido bajo la CFAA dentro del fallo de la Corte Suprema. ^[12]

Referencias

1. Kopsidas, Andrew; Stark, Eda (7 de julio de 2020). "INSIGHT: SCOTUS Decision on Computer Fraud Act Could Impact Trade Secrets" (Perspectiva: La decisión de la Corte Suprema sobre la Ley de Fraude Informático podría afectar los secretos comerciales). Bloomberg News . Consultado el 15 de julio de 2020 .
2. Cloutier, Kevin M.; Poell, David M. (30 de abril de 2020). "Avance del caso de la Corte Suprema de Estados Unidos: Van Buren contra Estados Unidos: ¿El uso de una computadora para un "propósito indebido" viola la Ley de Abuso y Fraude Informático?". National Law Review . Consultado el 15 de julio de 2020 .
3. Marks, Joseph (24 de abril de 2020). "Ciberseguridad 2020: finalmente se avecina una batalla en la Corte Suprema por la principal ley de piratería informática del país". The Washington Post . Consultado el 15 de julio de 2020 .
4. Estados Unidos v. Rodríguez , 628 F.3d 1258 ( 11th Cir. 2010).
5. Estados Unidos v. Van Buren , 940 F.3d 1192 (11th Cir. 2019).
6. "Argumento mensual – Corte Suprema de los Estados Unidos". www.supremecourt.gov . Consultado el 27 de noviembre de 2020 .
7. Fung, Brian; de Vogue, Ariane; Cole, Devan (3 de junio de 2021). "La Corte Suprema se pone del lado del oficial de policía que buscó indebidamente en la base de datos de matrículas". CNN . Consultado el 3 de junio de 2021 .
8. Geller, Eric; Gerstein, Josh (3 de junio de 2021). "La Corte Suprema limita el alcance de una amplia ley sobre delitos cibernéticos". Politico . Consultado el 3 de junio de 2021 .
9. Barnes, Robert (3 de junio de 2021). «La Corte Suprema limita la ley contra la piratería informática y le preocupa la criminalización de un comportamiento común». The Washington Post . Consultado el 3 de junio de 2021 .
10. "Informe de los investigadores en seguridad informática Amici Curiae, Electronic Frontier Foundation, Center for Democracy & Technology, Bugcrowd, Rapid7, SCYTHE y Tenable en apoyo del peticionario" (PDF) . Electronic Frontier Foundation. 8 de julio de 2020. Consultado el 12 de junio de 2021 .
11. Mackey, Aaron; Opsahl, Kurt (3 de junio de 2021). "Van Buren es una victoria contra las interpretaciones demasiado amplias de la CFAA y protege a los investigadores de seguridad". Electronic Frontier Foundation . Consultado el 12 de junio de 2021 .
12. Chung, Andrew (14 de junio de 2021). «La Corte Suprema de Estados Unidos revive la propuesta de LinkedIn de proteger los datos personales». Reuters . Consultado el 14 de junio de 2021 .

Enlaces externos

• El texto de Van Buren v. United States , 593 U.S. 374 (2021) está disponible en: Justia Oyez (audio de argumentos orales) Corte Suprema (opinión preliminar) Corte Suprema (versión preliminar)