"El departamento nunca ha estado interesado en procesar la investigación de seguridad informática de buena fe como un delito, y el anuncio de hoy promueve la seguridad cibernética al brindar claridad a los investigadores de seguridad de buena fe que eliminan las vulnerabilidades por el bien común", dijo el diputado La fiscal general Lisa Monaco dijo en un comunicado.
Suscripción al boletín
WSJ Pro Cybersecurity
Noticias, análisis e información sobre ciberseguridad del equipo global de reporteros y editores de WSJ.
SUSCRÍBETE
La política revisada ordena a los fiscales federales que eviten presentar casos si las personas accedieron a las computadoras para probar, investigar o corregir vulnerabilidades "de una manera diseñada para evitar cualquier daño a las personas o al público".
La ley contra el fraude informático, que se promulgó en 1986, prohíbe el acceso a una computadora "sin autorización" o de una manera que "exceda el acceso autorizado". Las personas que violen la ley pueden ser sentenciadas a hasta 10 años de prisión.
Los críticos de la industria de la seguridad cibernética dicen que el lenguaje es ambiguo y que podría usarse para enjuiciar actividades rutinarias por parte de personas, incluidos piratas informáticos de sombrero blanco, investigadores tecnológicos o usuarios que incumplen inadvertidamente los términos de servicio de las plataformas en línea. Algunos advierten que la amenaza legal también podría tener un efecto escalofriante en los investigadores que encuentran y reportan fallas de software a los desarrolladores.
En los últimos años, los funcionarios federales han tratado de reforzar sus capacidades cibernéticas en medio de un fuerte aumento de las amenazas cibernéticas del sector público y privado, como el ransomware. El Departamento de Justicia dijo el jueves que el cambio de política reforzaría esos esfuerzos al proporcionar claridad legal a los investigadores de seguridad.
“Sin embargo, la nueva política reconoce que afirmar que se está realizando una investigación de seguridad no es un pase libre para aquellos que actúan de mala fe”, dijo el Departamento de Justicia.
El cambio de la agencia no impide que las empresas presenten demandas civiles contra los investigadores ni impide que las personas se enfrenten a un enjuiciamiento en virtud de la ley estatal. Si bien el Congreso no ha abordado esos aspectos de la ley, los tribunales federales han comenzado a reexaminar su aplicación.
El año pasado, la Corte Suprema redujo el alcance de la ley y dictaminó que no cubría los casos en los que las personas usan su acceso autorizado a la computadora para fines indebidos. La decisión 6-3 sostuvo que un oficial de policía de Georgia violó la política de su departamento, pero no violó la ley contra la piratería informática, al realizar una verificación de matrículas con una base de datos policial a cambio de dinero en efectivo.
Escribiendo en la opinión de la mayoría en ese caso, la jueza Amy Coney Barrett dijo que leer el estatuto en términos generales "adjuntaría sanciones penales a una cantidad impresionante de actividad informática común".
Más de WSJ Pro Cybersecurity
Escriba a David Uberti a david.uberti@wsj.com
