Los errores, los bugs en los programas, son algo inevitable. Estos muchas veces se descubren cuando el programa se comporta de manera errática o entrega resultados que nos son a todas luces falsos. ¿Qué pasaría si alguien encuentra un bug en un programa y saca ventaja del mismo? ¿Estaría incurriendo en una falta sancionada por las leyes respectivas, por ejemplo en Estados Unidos, el acta sobre el fraude y abuso computacional?

Esto va más allá de un escenario teórico. Un jugador compulsivo de poker, John Kane, jugó muchas horas ese juego de cartas en una máquina, dentro de un casino, y por accidente notó un bug, un error que le permitía en caso de ganar, doblar la apuesta apretando un botón en la pantalla e insertando cierta cantidad de dinero. En este punto, si el jugador volvía a apretar el botón de “cantidad” era posible alterar los números de lo que pagaba el juego. Así, si se jugaba en una máquina de 1 dólar, al presionar el doblar la apuesta y poner más dinero, el jugador podía modificar lo que pagaba la máquina, digamos 10 dólares y recibir el dinero inmediatamente. Así se podía ganar diez veces lo que la máquina en principio debía dar.

¿Es esto fraude? ¿Puede ser castigado? El Acta que regula estos fraudes la “Computer Fraud and Abuse Act” (CFAA), contiene una claúsula en donde se indica que exceder el acceso autorizado a una máquina es un crimen. Fue esta la claúsula que persiguió a Aaron Swartz (aunque por otras circunstancias completamente diferentes) y que ha llevado a una campaña para eliminar este tópico de la propia Acta.

El bug de la máquina de poker fue explotado  por cientos de miles de dólares antes de que el personal del casino se diera cuenta.  El abogado de distrito local acusó a quienes estuviesen involucrados en hackeo y fraude de equipos de cómputo. Aquí el problema es que la máquina no fue hackeada de forma remota y con trucos de programación, sino que el jugador tuvo acceso legítimo y de hecho, no hackeó nada. Simplemente sacó ventaja del bug para alterar la información en lo que se refiere a pagos que la máquina debía hacer. El argumento de la defensa es simple: el jugador jugó bajo las reglas impuestas por la máquina… con bug incluido.

A fines del año pasado, un magistrado federal halló que la CFAA no es aplicable y recomendó desestimar el cargo de hackeo. El caso ahora está en la Corte Distrital de los Estados Unidos, esperando un veredicto final. En un caso anterior, que se citó como precedente, se indica que la CFAA no es aplicable en una situación de uso indebido de una computadora y el juez apeló a ambas partes a reconsiderar el asunto.

La cuestión da para más. Por ejemplo, si un cajero automático da diez veces la cantidad pedida por el usuario del mismo, y éste se queda con ese dinero, entonces el usuario en cuestión está cometiendo un crimen (en la mayoría de los países). Pero un cajero automático no es una máquina para apostar. Una máquina que juega un juego y en donde un bug modifica su comportamiento, de manera que el jugador puede alterar el resultado es una manera legal de actuar en el juego. Y peor aún, ¿no es un fraude que un bug de esto altere (a favor o en contra, ya no importa), el comportamiento de una máquina de juegos de apuesta?

Referencias

Wired