En un reciente desarrollo legal, el caso Ryanair contra Booking.com ha generado preocupación sobre la interpretación del Computer Fraud and Abuse Act (CFAA), una ley federal relacionada con la seguridad informática. El tribunal de distrito sugirió que el CFAA podría aplicarse incluso cuando se utilizan credenciales válidas para acceder a información permitida. Ahora en apelación, la Electronic Frontier Foundation (EFF) ha presentado un escrito como amigo de la corte, instando al Tercer Circuito a aclarar que este caso se centra en violaciones de políticas y no en hacking, lo que no se ajusta a la definición de acceso «sin autorización» contemplada en la ley.
El conflicto se origina en la transparencia de precios aéreos. Ryanair acusó a Booking.com de republicar precios que solo eran visibles para los usuarios que se registraban. Aunque Ryanair envió una carta de cesación, no desactivó las cuentas de aquellos usuarios cuyos datos de acceso resultaban indeseables. Cuando los usuarios continuaron accediendo a los precios mediante sus credenciales, Ryanair alegó que esto constituía una violación del CFAA.
La EFF argumenta que aplicar el CFAA en este contexto perjudicaría la investigación, la seguridad, la competencia y la innovación. A lo largo de los años, la organización ha abogado por restringir esta ley a su propósito original, que es abordar el hacking real que elude la seguridad de los sistemas informáticos. Se resalta que el caso de Ryanair se trata de una posible violación de los términos de uso, dado que la información accesible era pública para aquellos con credenciales de inicio de sesión.
En su escrito, la EFF recuerda que la Corte Suprema, en el caso Van Buren contra Estados Unidos, definió «autorización» como un concepto técnico relacionado con la autenticación de computadoras. De esta forma, violaciones triviales a los términos de servicio, como compartir credenciales de cuenta, no deberían ser consideradas como hacking.
La EFF también advirtió que un fallo a favor de Ryanair podría tener implicaciones graves para investigadores, académicos y periodistas. Estas personas a menudo crean cuentas de prueba para estudiar cómo los servicios muestran ofertas o para investigar diferentes variables. Si las empresas consideran que este tipo de investigación es inapropiado, podrían fácilmente convertirlo en un delito simplemente notificando al investigador que no está autorizado a usar el servicio de esa manera.
Este enfoque podría enfriar la investigación valiosa y limitar la competencia al restringir la recolección de datos, lo que afecta la capacidad de comparación de precios y características entre diferentes servicios. La EFF hace un llamado a los tribunales para que sigan el ejemplo de Van Buren y mantengan una interpretación restringida del CFAA. Acceder a un sitio web público con credenciales válidas no debería ser considerado hacking, y un enfoque amplio en la interpretación de esta ley podría llevar a consecuencias no deseadas, perjudicando la búsqueda de responsabilidad independiente por parte de las empresas.
Fuente: EFF.org
