La CFAA (Computer Fraud and Abuse Act) o lo que es lo mismo, la Ley de abuso y fraude informático estadounidense, ha generado, una vez más, una alarmante sensación de confusión entre los ciudadanos americanos tras una resolución de un tribunal llena de ambigüedades que no termina de aclarar las consecuencias de dicho fallo.
Se trata de una legislación que nació hace ahora 30 años en materia de ciberdelitos. A pesar de que ha sufrido ciertas modificaciones a lo largo de las últimas décadas, como consecuencia del rápido avance tecnológico que experimenta nuestro planeta, la legislación ha sido cuestionada en numerosas ocasiones debido a sus imprecisiones en algunos casos. Se ha llegado a comentar que, con dicha ley en la mano, "casi cualquier actividad en la web podría ser interpretada como un delito".
El responsable de este desconcierto es David Nosal, cuyo caso podría sentar un precedente en cuanto a delitos cibernéticos se refiere. Nosal fue empleado de la compañía Korn/Ferry International hasta el 2004, año en que renunció y decidió iniciar un camino profesional totalmente independiente. Para ello creó su propia empresa, que se convirtió en competencia directa de su anterior sociedad.
Para ayudar a lanzar su nuevo negocio, David Nosal reclutó a otros tres empleados de Korn/Ferry que se encargarían de descargar información privada de los sistemas informáticos de dicha empresa para facilitarle el camino en su nueva andadura en solitario. Aunque se trataba de una práctica bastante cuestionable desde el punto de vista moral, hasta el momento no se cometía ningún delito desde el punto de vista informático.
Dos de los empleados reclutados por David Nosal accedían a la información privada con sus propios datos; sin embargo, una tercera empleada comenzó a facilitarle a Nosal sus credenciales de inicio de sesión para acceder él mismo de manera directa a las bases de datos de Korn/Ferry. Cuando el supuesto fraude se destapó, Nosal terminó siendo acusado de piratería ilegal.
Mientras que el término 'piratería' invita a entenderlo como sinónimo de robo, copia ilegal o falsificación, se podría decir que David Nosal no llegó a cometer ningún delito de piratería, pues accedía a la información privada de manera legal. No obstante, la CFAA entendió su comportamiento como el acceso a bases de datos sin autorización, algo que dicha legislación tipifica como delito.
Lo cierto es que el fallo de la Corte de Apelaciones del Noveno Circuito, en Estados Unidos, deja el plano abierto a interpretaciones, por lo que el simple hecho de compartir contraseñas para acceder a cuentas virtuales que sean propiedad de una sola persona podría suponer la comisión de un delito si la empresa a la que pertenecen esas cuentas no da su autorización para ello.
¿Es delito compartir tu contraseña de Netflix?
Es entonces donde entran plataformas como Netflix o HBO GO, cuyas cuentas personales son comúnmente compartidas entre varios familiares y amigos con la idea de acceder a contenido pagando una sola suscripción. ¿Podría la CFAA castigar este comportamiento de la misma manera que lo ha hecho en el caso de David Nosal?
Según la jueza Margaret McKeown, el fallo no se refiere al uso compartido de claves en general, sino a la empleada por el empresario Nosal sin la autorización pertinente de la empresa en la que trabajaba con anterioridad. Por su parte, el magistrado Stephen Reinhardt se ha puesto de parte del acusado, pues sostiene que David Nosal sí contaba con la autorización de la todavía empleada de Korn/Ferry para acceder a su cuenta.
Con todo ello, el director ejecutivo de HBO, Richard Plepler, no se ha mostrado en absoluto identificado con la sentencia y, por el contrario, cree que el hecho de compartir contraseñas para acceder a su plataforma audiovisual "es un vehículo de marketing para conseguir más suscriptores. Estamos en un negocio que crea adictos".
En el caso de Netflix, si echamos un vistazo a los términos de uso de la plataforma, encontramos en su punto 4.2 que el servicio "es exclusivamente de uso personal (...) y no transferible" y en el punto 5.1 que "para mantener el control sobre la cuenta y para evitar que cualquiera acceda a ella (...) el titular no deberá revelar a nadie la contraseña".
Así las cosas, Netflix en sus términos de uso 'prohíbe' esta práctica, a pesar de que Reed Hastings, su consejero delegado, sigue el discurso del director ejecutivo de HBO admitiendo que "es normal e incluso beneficioso que se comparta la cuenta de Netflix con otras personas ya que los convierte en potenciales futuros clientes", por no hablar de que la propia plataforma ofrece la posibilidad de crear varios perfiles dentro de una misma cuenta.
