Productos y Servicios PRODUCTOS Y SERVICIOS

Ciberdelincuente de EEUU consigue revocar su condena por “computer trespass”

Esta noticia se remonta a casi una década y es un recordatorio de lo difícil que puede ser decidir qué daño se ha hecho, si es que se ha cometido alguno, en los casos judiciales que tratan sobre lo que la mayoría de la gente llamaría “piratería”.

La historia del caso judicial original se resume de la siguiente manera.

A fines de 2013, X fue contratado como gerente de TI para una ciudad en el estado de Georgia en los EEUU, supuestamente para “aumentar la fiabilidad y eficiencia del sistema informático de la ciudad”.

X parece haber decidido que el trabajo de Y no estaba a la altura y “criticó el desempeño laboral de Y, lo que provocó una discusión y un fuerte enfado de Y”.

El resultado de esto, al parecer, es que a Y se le redujeron algunos de sus poderes en TI por razones de seguridad y, lamentablemente, terminó siendo despedido a mediados de 2014.

Un par de meses después de la marcha de Y, X recibió un correo electrónico de otro colega, a quien llamaremos Z, y respondió como lo haría normalmente, pero solo recibió un mensaje de “devolución” (un error en la entrega) de una misteriosa dirección de correo electrónico externa, Q.

Un destinatario adicional

Probablemente puedas adivinar lo que estaba pasando.

En 2013, presumiblemente antes de que sus privilegios de administrador fueran revocados, pero después de su pelea, Y había modificado la configuración de la cuenta de correo electrónico de X para que enviara una copia de todos los mensajes de correo electrónico entrantes de X a la misteriosa dirección externa, Q.

Q, trascendió, no solo era operado por Y, sino que también se había “accedido rutinariamente desde su teléfono”.

Como probablemente sepas, abusar de las reglas de reenvío de correo integradas en los sistemas de correo electrónico es un truco común utilizado por los ciberdelincuentes para controlar lo que están haciendo sus víctimas, especialmente en las llamadas estafas de Business Email Compromise (BEC).

Los ciberdelincuentes que utilizan BEC generalmente monitorean los mensajes a los altos cargos de una empresa, como el CEO o el CFO, para que obtener información de primera mano sobre los principales temas financieros.

Cuando vencen facturas enormes (o, en un caso famoso, cuando una transferencia multimillonaria de fútbol de las grandes ligas estaba a punto de suceder), los delincuentes intervienen para que parte o todo el dinero se redirija a una cuenta falsa.

El truco revelado

En este caso, el desvío de los correos electrónicos de X se había orquestado de manera tan poco sutil que finalmente llamó la atención sobre sí mismo cuando una de las respuestas a todos de X no pudo llegar al destinatario adicional inesperado.

Como era de esperar Y fue procesado, condenado por un jurado por “traspaso informático” y condenado a 10 años de libertad condicional.

Dado que no hay ninguna evidencia de que Y en realidad no hizo lo que se describió anteriormente, es decir, usar sus poderes de administrador para obtener copias de los correos electrónicos de su jefe, esto probablemente suene como un caso abierto y cerrado.

Sin embargo, muy recientemente, casi ocho años después de los incidentes descritos anteriormente, la Corte Suprema de Georgia anuló la condena.

El informe legal de la audiencia es una lectura fascinante, aunque es largo (36 páginas) y está lleno de jerga legal, como:

Las reglas fundamentales de la construcción estatutaria nos obligan a interpretar [una] ley de acuerdo con sus propios términos, para dar a las palabras su significado simple y ordinario, y evitar una construcción que haga de algún lenguaje un mero excedente.

Obstrucción e interferencia

En un lenguaje sencillo, la sentencia se centra en examinar si el significado en inglés sencillo de las palabras “obstrucción” e “interferencia”, tal como se utilizan en la ley de Invasión Informática de Georgia, se aplica realmente en este caso.

¿Las acciones de Y (desviar y mirar el correo electrónico comercial de otra persona, incluso después de que su trabajo en esa empresa había terminado) realmente constituyeron una obstrucción, dado que en realidad no se impidieron los correos electrónicos?

El tribunal, al parecer, decidió que Y no obstruyó ni interfirió con nada, por lo que sea lo que hizo, no fue Invasión informática, a pesar de que la sentencia señala expresamente que es “es indiscutible que Y no tenía autoridad o permiso para reenviar el correo electrónico de X”.

Irónicamente, la sentencia menciona en una de sus notas al pie de página que Y podría haber sido acusado en virtud a otra la ley de Georgia que usa palabras bastante diferentes, quizás con un resultado final distinto.

Esa parte de los estatutos de delitos informáticos de Georgia penaliza “el uso de un ordenador o una red informática con la intención de examinar cualquier dato laboral, médico, salarial, crediticio o cualquier otro dato financiero o personal relacionado con cualquier otra persona que tenga conocimiento de que no se tiene autoridad para realizar dicho examen”.

Los disidentes

Curiosamente, tres de los jueces de este caso discreparon de la opinión de la mayoría y señalaron que:

Al manipular el flujo de datos para darse acceso a los correos electrónicos de X, Y se entrometió en los asuntos de otros y los datos pretendían ir a otros sin autorización ni invitación. Como tal, hubo suficiente evidencia para apoyar el hallazgo de que Y interfirió con el uso del ordenador de la ciudad y de sus datos.

Además, los jueces disidentes criticaron la opinión mayoritaria con estas intrigantes palabras:

La opinión de la mayoría educa a los infractores de que están mejor tanto desde el punto de vista de la detección como desde el enjuiciamiento como en cuestión de derecho si simplemente copian los datos en lugar de bloquear su entrega.

No podemos evitar preguntarnos si los disidentes estaban aludiendo a los ataques de ransomware actuales, donde los datos a menudo se copian o “roban” (lo que no impide que el propietario de los datos continúe usándolos) y cifrados (que sí lo impide).

¿Qué opinas?