viernes, 17 de mayo de 2013

¿Aprovechar una falla de software consituye un delito? El caso del video poker en EEUU





Ganarle al casino. Saltar la banca. A lo largo de la historia de la humanidad, innumerables personas trataron de hacer realidad ese sueño: hacerse millonario a costa del patrón del juego. Martingalas, triquiñuelas individuales y en grupo fueron pensadas, probadas y ejecutadas con diversa suerte. Pero la llegada de las "nuevas" tecnologías viene a darle una nueva vuelta de tuerca al asunto. A los tradicionales juegos "mecánicos" - ruleta, black jack, poker, dados y demás - se sumaron sus variantes electrónicas. Que están compuestas por hardware y software. Y como quizás muchas veces hemos sufrido en carne propia, los programas tienen fallas. Que pueden tornarse en oportunidad.

Esto último es lo que pensaron los estadounidenses John Kane y Andre Nestor, dos jugadores de video poker, al descubrir un bug en la programación del juego Game King desarrollado por el gigante de los juegos electrónicos International Game Technology. El primero de los nombrados fue el que encontró la falla programática, la cual puede resumirse de la siguiente manera: el juego tiene tres variantes de poker que el jugador puede elegir, asi como el dinero a apostar. Cuando el jugador ganaba en una de las variantes, y la máquina le ofrecia la función "doble o nada" (era fundamental que esta apareciera, las máquinas que no lo hacian eran imnunes al truco) no retiraba el premio sino que accedia a la siguiente fase del juego asi como al siguiente nivel de apuesta. Luego ingresaba el dinero correspondiente pero no jugaba allí, sino que volvía al nivel anterior, donde todavia figuraba el premio anterior. Al presionar el boton para canjear al efectivo, le otorgaba el premio pero multiplicado por la apuesta superior. De esta manera, el duo, junto con varios cómplices, fueron capaces de hacerse de varios cientos de miles de dólares jugando en varios casinos de los Estados Unidos.

Descubierta la maniobra por parte de las autoridades, ambos jugadores fueron acusados bajo los cargos de acceder a un dispositivo electrónico excediéndose en la debida autorización para obtener o alterar información sobre la que el acusado no tenia derecho alguno. Para la fiscalía los casinos autorizaron a Kane y Nestor a jugar video poker, pero de ninguna manera consintieron que obtuvieran o alteraran información, tal como la mano de cartas jugadas con anterioridad - recordemos que el truco consistía en cambiar de nivel para multiplicar el premio con una apuesta mas alta. La defensa, por su parte, plantea que Kane y Nestor jugaron de acuerdo con las reglas de la máquina, por lo tanto no hubo intención alguna de alterar información, ya que no se trató de alterar mecánicamente el resultado del juego, sino que se presionaron botones de una manera perfectamente legal. El poder judicial, en tanto, pareciera adscribir al punto de vista de la defensa, ya que en primera instancia desestimó la acusación bajo los términos de la ley federal CFAA - Computer Fraud and Abuse Act -  lo cual debe ser confirmado por otro tribunal en el mes de agosto (de todas maneras los acusados deberán enfrentar cargos adicionales por fraude).

Haciendo un ejercicio mental decimos ¿como se encuadraría legalmente el hecho en nuestro país? Recordemos que la ley 26388 llamada comunmente "ley de delitos informáticos" incorporó a nuestro Código Penal diversas conductas tipificándolas como delitos. Entre ellas encontramos en el artículo 153 bis la conocida como "hackeo" o el acceso no autorizado - o excediendo el permiso recibido - a sistemas de información restringidos. Entonces, prima facie podríamos aplicar a tal conducta dicha norma. Ahora bien, ¿es tan así? En nuestra opinión la conducta no sería típica por dos motivos. El primero de ellos es porque no hay acceso al dispositivo electrónico sino hay operación del mismo. ¿Como es esto? Si pensamos en la definición del término en cuanto llevar a cabo alguna acción - apretar botones en una secuencia determinada - para producir un efecto determinado el cual es jugar un juego - entonces no hay acceso alguno a la lógica del dispositivo - el programa de computación - y los jugadores solamente operan la maquina para jugar y obtener un resultado. Operación hecha bajo las reglas del juego y del casino. Y en segundo lugar, porque el articulo está claramente orientado a castigar el acceso en si mas que al resultado obtenido por el mismo (para mayor análisis ver los fundamentos del proyecto de ley aqui).

Pero bien, el mismo 153 bis al referirse a la pena impuesta nos dice "si no resultare un delito mas severamente penado" ¿Que significa esto? El tipo penal se ha planteado como subsidiario - en forma secudaria -  de una conducta mas gravosa, como podría ser la estafa. La propia ley 26388 incorporó como inciso 16 la posibilidad de castigar la llamada "estafa informática", en cuanto técnica de manipulación informática que altere el normal funcionamiento de un sistema informático y de ello resulte beneficio patrimonial para el perpetrador. Dicho lo anterior, ¿podríamos aplicar este artículo a la conducta de "ganarle" al juego del video poker? Nuevamente entendemos que no, ya que 1) no hubo técnica de manipulación informática - los jugadores se limitaron a presionar los botones de la máquina dentro de las reglas previstas y 2) jamás se alteró el normal funcionamiento del sistema de juego, presupuesto necesario para la aplicación del tipo penal.

En definitiva y a modo de breve resumen, entendemos que la tecnología, en su avasallador avance, muchas veces motiva que ciertas conductas parezcan ilícitas tal el caso descripto. Pero cuidado, en materia de Derecho Penal no podemos jugar con analogías, comparaciones o similitudes. El hecho tiene que coincidir exactamente con lo descripto en el Código Penal, para de esa manera no dejar lugar a interpretación errónea alguna y garantizar la legalidad del proceso penal al que pueda ser sometido cualquier persona.

Fuentes: http://www.wired.com/threatlevel/2013/05/game-king/?cid=7626724


sábado, 4 de mayo de 2013

ISO aprueba proyecto para estandarizar la identificación, recolección y producción de prueba electrónica (e-discovery)


Un comité técnico de la ISO - International Organization for Standardization) dio luz verde el último mes para el desarrollo de un estándar técnico internacional para la recolección de documentación almacenada electrónicamente (ESI por sus siglas en inglés). Esta cuestión viene planteándose a lo largo de los años, mas precisamente desde que la masificación del uso de dispositivos electrónicos dio lugar a la producción de documentos electrónicos los cuales resultan prueba de los hechos y actos desarrollados con los mismos. El estándar viene a cerrar la brecha entre la tradicional informática forense y las nuevas tendencias en materia de administración de información - como la information governance o IG.

De acuerdo al experto en IG Steven Teppler, el estándar sobre e-discovery (obtención e intercambio de prueba electrónica en etapa prejudicial) será una guía que incluirá la terminología, un resumen acerca de lo que es el e-discovery y el ESI, para luego abordar los desafíos tecnológicos y de procedimiento asociados con el e-discovery. En particular, lo que tiene que ver con los pasos lógicos desde la identificación hasta la producción de documentación electrónica como prueba. También el proyecto apunta a regular cuestiones que no son abordadas por las Federal Rules of Civil Procedure - fuente del estándar - tal como la identificación y procesamiento de la información electrónica. Al enfocarse sobre todo el ciclo de vida de la información, desde su generación hasta la disposición final, el proyecto está dirigido a mitigar los riesgos y costos asociados con la prueba electrónica. No es intención del estándar reemplazar o contradecir regulaciones o leyes locales en la materia.

El título oficial para el proyecto es  ISO/IEC 27050, Information Technology — Security techniques — Electronic discovery, y el mismo fue desarrollado a lo largo de todo el año 2012, recibiendo aportes fundamentalmente de organismos y entidades de los Estados Unidos, tal como la Sedona Conference. Países como Brasil, China, Noruega, Italia, el Reino Unido, Tailandia, Rumania y Singapur entre otros han colaborado también en la elaboración de este draft. Actualmente el proyecto se encuentra en la etapa de recepción de comentarios y contribuciones, los cuales serán procesados en la próxima reunión del subcomité  JS27 del Joint Technical Committee encargado del mismo, en la ciudad sur coreana de Inchón en octubre de este año.



Fuente: http://www.law.com/jsp/lawtechnologynews/PubArticleLTN.jsp?id=1202597948357&thepage=1