Estados Unidos contra Morris (1991)

*Estados Unidos contra Morris*
Estados Unidos contra Morris
Corte	Tribunal de Apelaciones de los Estados Unidos para el Segundo Circuito
Nombre completo del caso	Estados Unidos contra Robert Tappan Morris
Discutido	4 de diciembre de 1990
Decidido	7 de marzo de 1991
Citación	928 F.2d 504
Tenencia
	El Gobierno no necesita probar que el acusado impidió intencionalmente el uso de computadoras de interés federal, causando así una pérdida. Además, Morris actuó "sin autorización" de conformidad con el artículo (a)(5)(A). Por lo tanto, se confirma la decisión.
Membresía de la corte
Jueces en sesión	Jon Newman , Ralph Winter y TF Daly
Opiniones de casos
Mayoría	Jon O. Newman
Leyes aplicadas
	Título 18 del Código de los Estados Unidos § 1030(a)(5)(A)

Caso judicial estadounidense

Estados Unidos contra Morris fue una apelación de la condena de Robert Tappan Morris por crear y difundir el gusano Morris , uno de los primeros gusanos basados en Internet . Este caso resultó en la primera condena en virtud de la Ley de Fraude y Abuso Informático . En el proceso, la disputa aclaró gran parte del lenguaje utilizado en la ley, que había sido revisada en gran medida en una serie de actualizaciones aprobadas en los años posteriores a su redacción inicial. También se aclaró el concepto de "acceso no autorizado", que es central en las leyes de seguridad informática de los Estados Unidos.^[1] La decisión fue la primera de un tribunal estadounidense en referirse a " Internet ",^[2] a la que describió simplemente como "una red informática nacional".^[1]

Antecedentes del caso

Robert Tappan Morris era un estudiante de Cornell que comenzó a trabajar en 1988 en uno de los primeros gusanos de Internet . Se le había dado acceso explícito a una cuenta de computadora de Cornell al ingresar a la escuela y utilizó este acceso para desarrollar su gusano. Morris lanzó el gusano desde el MIT en un intento de ocultar su origen. El gusano se propagó a través de cuatro mecanismos: ^[3]

Debido a un error en Sendmail , un programa de correo electrónico .
A través de un error en Finger , un programa utilizado para averiguar información sobre otros usuarios en computadoras en red.
A través de una función de "hosts confiables", que permite a los usuarios de un sistema usar otro sistema sin contraseña.
Mediante un ataque de fuerza bruta de contraseña .

El gusano fue diseñado para que no se propagara a los ordenadores que ya había infectado. Sin embargo, para evitar que los ordenadores se defendieran simulando tener el gusano, infectaría un ordenador ya infectado una de cada siete veces. El gusano también fue diseñado para que se borrara cuando se apagara un ordenador infectado, evitando así que las infecciones múltiples se volvieran problemáticas. La subestimación de Morris de la tasa de reinfección hizo que esta protección fuera ineficaz y "decenas de miles" de ordenadores se volvieran catatónicos por las infecciones repetidas. ^[3]^[4] Se estimó que se necesitaban entre 200 y 53.000 dólares por cada instalación infectada para limpiar el sistema después del gusano. ^[3]

Morris fue declarado culpable por el Tribunal de Distrito de los Estados Unidos para el Distrito Norte de Nueva York de violar el artículo 1030(a)(5)(A) del Título 18 del Código de los Estados Unidos y fue sentenciado a tres años de libertad condicional, 400 horas de servicio comunitario, una multa de $10,050 y el costo de su supervisión. ^[3]

Discusión

El debate jurídico se centró en tres cuestiones principales: si Morris debía haber tenido intención de causar daños, si Morris realmente había obtenido acceso no autorizado y si el Tribunal de Distrito había informado adecuadamente al jurado de las sutilezas del caso.

Intención de causar daño

Tal como estaba redactado en 1991, el artículo 1030(a)(5)(A) del Título 18 del Código de los Estados Unidos , parte de la Ley de Abuso y Fraude Informático, cubría a cualquiera que: ^[3]

(5) accede intencionalmente a una computadora de interés federal sin autorización y, mediante una o más instancias de dicha conducta, altera, daña o destruye información en dicha computadora de interés federal o impide el uso autorizado de dicha computadora o información y, por lo tanto,
(A) causa pérdida a una o más personas por un valor total de $1,000 o más durante cualquier período de un año;

Morris argumentó que esto no se aplicaba a él, ya que el Gobierno no podía probar de manera concluyente que había tenido la intención de causar daño a una computadora de interés federal. Las computadoras de interés federal se definen como cualquiera que participe en el comercio nacional o internacional, o que se utilicen en una institución federal o gubernamental. ^[5] El Gobierno no estuvo de acuerdo, afirmando que, dado que una coma separaba la frase "intencionalmente" del resto de la sección, no se aplicaba necesariamente. Este uso de la puntuación para separar adverbios tiene precedentes en Burlington No. R. Co. v. Okla. Tax Comm'n y Consumer Product Safety Comm'n v. GTE Sylvania, Inc. ^[6]
El tribunal también tomó en consideración el lenguaje utilizado en versiones anteriores de la ley para determinar la intención del Congreso. En la enmienda de 1986 a la ley, la sección 1030(a)(2) cambió su requisito de estado mental de "a sabiendas" a "intencionalmente". Esto se hizo para prohibir el acceso no autorizado intencional, no los actos "erróneos, involuntarios o descuidados". ^[7] El tribunal razonó que, dado que esta frase "intencionalmente" se insertó en la ley para evitar castigar a los usuarios que habían accedido accidentalmente a una computadora a la que no tenían autorización, se aplicaba estrictamente a la cláusula de "acceso", no a la de "daños". No hay evidencia de que el Congreso tuviera la intención de legalizar el daño accidental a otra computadora, por lo tanto, la especificación "intencionalmente" no se incluyó allí. Además, el Gobierno sugirió que muchas otras subsecciones de 1030, específicamente (a)(1), continúan repitiendo el requisito del estado mental antes de cada cláusula, lo que indica que la falta de dicha repetición en (a)(5)(A) es indicativa del alcance limitado del adverbio "intencionalmente". ^[8]
Para refutar esta afirmación, Morris citó una sección diferente del Informe del Senado: "[l]a nueva subsección 1030(a)(5) que se creará mediante el proyecto de ley está diseñada para penalizar a quienes alteren, dañen o destruyan intencionalmente ciertos datos informáticos pertenecientes a otra persona". ^[9] Sin embargo, el tribunal consideró que la evidencia del Gobierno sobre el cambio de lenguaje del estatuto era más convincente. ^[8]

Acceso no autorizado

Morris argumentó que, dado que se le dio acceso a computadoras en Cornell , Harvard y Berkeley , al liberar el gusano simplemente había excedido el acceso autorizado, no había obtenido acceso no autorizado. Por esta razón, teorizó que la sección (a)(3), no (a)(5)(A), lo cubría adecuadamente. ^[10] Esta defensa se basa en otra sección del informe del Senado, que afirmaba que la Ley de Fraude y Abuso Informático estaría dirigida a "forasteros" (personas no autorizadas a usar computadoras de interés federal). ^[9] Debido a que Morris tenía acceso a computadoras de esta naturaleza, afirmó que sus acciones no estaban completamente desautorizadas. Sin embargo, el informe del Senado antes mencionado también establece que la ley se aplica "cuando el acto de intrusión del infractor es de naturaleza interdepartamental". El tribunal razonó que, dado que el gusano de Morris llegó a computadoras que abarcaban departamentos del gobierno de EE. UU., incluidos los militares, ^[4] el 18 USC 1030 se le aplicaba correctamente.
El tribunal también señaló que, dado que Morris utilizó los programas sendmail y finger de una manera que no estaba prevista, su defensa de "exceder la autorización" se vio aún más debilitada. Dado que Morris sólo utilizó estos programas porque tenían agujeros de seguridad que podía explotar para obtener acceso a computadoras a las que de otra manera no podría acceder, este uso ejemplifica "acceso no autorizado". El hecho de que el gusano adivinara contraseñas para entrar en otros sistemas resalta aún más este punto. ^[10]

Instrucción adecuada del jurado

Morris afirmó que el Tribunal de Distrito no había informado correctamente al jurado sobre los detalles de su caso. En primer lugar, se quejó de que el Tribunal de Distrito no había proporcionado una definición de "autorización" al jurado. El Tribunal había declarado que "autorización" era de uso común y no era necesario definirla. El Tribunal de Apelaciones en este caso estuvo de acuerdo, citando precedentes. ^[11] Morris también sostuvo que el Tribunal de Distrito no había instruido incorrectamente al jurado sobre "exceder el acceso autorizado" utilizando la definición propuesta. Una vez más, el Tribunal de Apelaciones estuvo de acuerdo con la decisión del Tribunal de Distrito, afirmando que una definición adicional podría ser potencialmente confusa y que la instrucción propuesta por Morris era incorrecta. Además, el término "exceder el acceso autorizado" implica que es menos grave que el "acceso no autorizado", pero incluso si este fuera el caso, Morris era responsable en virtud de muchas partes de la Ley de Fraude y Abuso Informático. ^[10]

Decisión del tribunal

El Tribunal de Apelaciones de los Estados Unidos, Segundo Circuito, confirmó la decisión del Tribunal de Distrito inferior, en la que Morris fue declarado culpable de violar el artículo 1030(a)(5)(A) del Título 18 del Código de los Estados Unidos, lo cual constituye un delito grave. ^[1]

Recepción de casos

En 1996, la Ley de Fraude y Abuso Informático fue modificada nuevamente para aclarar los problemas de intención que constituyeron la mayoría del caso US v. Morris . Los adverbios "conscientemente" e "intencionadamente" fueron insertados en más lugares del estatuto, en un intento de simplificar los litigios con la ley en el futuro. ^[12]

Este caso confirmó la fuerza de la Ley de Abuso y Fraude Informático. ^[13] Antes de esta decisión, se había asumido que la Ley requería la intención de causar daño, lo cual se pensaba que era muy difícil de probar. ^[13] La sentencia aquí demostró que este no era el caso.

Referencias

^ abc Estados Unidos v. Morris (1991) , 928 F.2d 504, 505 (2d Cir. 1991).
^ El camino del derecho de Internet: una guía comentada de hitos legales. 2011 Duke L. & Tech. Rev. 12
^ abcde Estados Unidos v. Morris (1991) , 928 F.2d 504, 506 (2d Cir. 1991).
^ ab Elmer-Dewitt, Philip (14 de noviembre de 1988). "Tecnología: el niño que nos dejó fuera de combate". Time.
^ Manual de persecución de delitos informáticos Archivado el 1 de agosto de 2010 en Wayback Machine . Departamento de Justicia de los Estados Unidos.
^ Estados Unidos v. Morris (1991) , 928 F.2d 504, 507 (2d Cir. 1991).
^ S.Rep. No. 99-432, 99.° Congreso, 2.° sesión, 5 (1986), reimpreso en 1986 USCode Cong. & Admin.News 2479, 2483
^ ab Estados Unidos v. Morris (1991) , 928 F.2d 504, 508 (2d Cir. 1991).
^ Informe del Senado a las 10, USCode Cong. & Admin.News a las 2488
^ abc Estados Unidos v. Morris (1991) , 928 F.2d 504, 510 (2d Cir. 1991).
^ Estados Unidos v. Chenault , 844 F.2d 1124, 1131 (5th Cir. 1988).
^ Staples, William. Enciclopedia de privacidad: AM. Greenwood Publishing Group, 2007. Página 108. ISBN 0-313-33477-3 .
^ ab Mello, Susan M. Administración del antídoto contra los virus informáticos: un comentario sobre Estados Unidos v. Morris 19 Rutgers Computer & Tech. LJ 260 (1993)

[usvmorris506-1] Estados Unidos v. Morris (1991) , 928 F.2d 504, 505 (2d Cir. 1991).

[pathofinternetlaw-2] El camino del derecho de Internet: una guía comentada de hitos legales. 2011 Duke L. & Tech. Rev. 12

[usvmorris506_2-3] Estados Unidos v. Morris (1991) , 928 F.2d 504, 506 (2d Cir. 1991).

[timearticle-4] Elmer-Dewitt, Philip (14 de noviembre de 1988). "Tecnología: el niño que nos dejó fuera de combate". Time.

[cybercrimesummary-5] Manual de persecución de delitos informáticos Archivado el 1 de agosto de 2010 en Wayback Machine . Departamento de Justicia de los Estados Unidos.

[usvmorris507-6] Estados Unidos v. Morris (1991) , 928 F.2d 504, 507 (2d Cir. 1991).

[sjc-7] S.Rep. No. 99-432, 99.° Congreso, 2.° sesión, 5 (1986), reimpreso en 1986 USCode Cong. & Admin.News 2479, 2483

[usvmorris508-8] Estados Unidos v. Morris (1991) , 928 F.2d 504, 508 (2d Cir. 1991).

[senatereport-9] Informe del Senado a las 10, USCode Cong. & Admin.News a las 2488

[usvmorris510-10] Estados Unidos v. Morris (1991) , 928 F.2d 504, 510 (2d Cir. 1991).

[usvchenault-11] Estados Unidos v. Chenault , 844 F.2d 1124, 1131 (5th Cir. 1988).

[privacyencyclopedia-12] Staples, William. Enciclopedia de privacidad: AM. Greenwood Publishing Group, 2007. Página 108. ISBN 0-313-33477-3 .

[rutgers_comment-13] Mello, Susan M. Administración del antídoto contra los virus informáticos: un comentario sobre Estados Unidos v. Morris 19 Rutgers Computer & Tech. LJ 260 (1993)