SB
Simone BertolliniAttorney at Law · NY · NJ · TX · MO
EN IT
Defensa Penal Federal en Cibercrimen

Donde el Computer Fraud and Abuse Act se enfrenta a un jurado, la carga de la prueba no se traslada.

Defensa, en juicio y en apelación, en procesos penales federales por delitos informáticos en los Estados Unidos — CFAA, fraude electrónico, lavado de dinero, extradición. Abogado defensor en United States v. Gasperini, el primer juicio estadounidense por click fraud jamás celebrado ante un jurado federal, concluido con la absolución de todos los cargos felony.

Lea el Caso Perfil en Super Lawyers →
Áreas de Práctica

Defensa cibernética federal, de principio a fin.

Desde la primera visita del FBI hasta la Corte de Apelaciones — una estrategia que anticipa la acusación, impugna las pruebas y preserva cada cuestión para la revisión.

i.

CFAA e Intrusión Informática

18 U.S.C. § 1030 en todas sus configuraciones — "sin autorización," "excediendo el acceso autorizado," "protected computer," y los límites constitucionales que la norma no puede sobrepasar.

ii.

Wire Fraud, Click Fraud y Antilavado

Procesos por click fraud y publicidad digital, hipótesis de conspiración fundadas en acuerdos presuntos y cargos de lavado de dinero construidos sobre transferencias rutinarias. El "esquema" hay que probarlo — no presumirlo.

iii.

Extradición y Defensa Transfronteriza

Clientes latinoamericanos y europeos detenidos en los Estados Unidos, solicitudes MLAT y órdenes de registro bajo la Stored Communications Act que alcanzan servidores y domicilios en el extranjero. Atención y representación directa en español, sin intermediarios.

CASE FILE · 16-CR-441 · 17-2479 (2d Cir.) · 894 F.3d 482 (2018)

United States v. Gasperini

Fabio Gasperini, ingeniero italiano, fue extraditado de Ámsterdam a Brooklyn, acusado de cinco cargos federales y de orquestar una botnet global de más de 150.000 máquinas. La fiscalía citó al Director del SANS Internet Storm Center y a otros veinte testigos a lo largo de un juicio de siete días. El jurado rechazó cada uno de los cargos felony.

Imputado: Fabio Gasperini
Foro: Tribunal Federal · Eastern District of New York
Apelación: 894 F.3d 482 (2d Cir. 2018)
Estatutos: 18 U.S.C. §§ 1030(a)(2)(C), (a)(4), (a)(5); 1343, 1349, 1956
Juicio: 7 días · 20+ testigos del gobierno
Veredicto: Absolución de todos los felony
El Andamiaje Técnico

Shellshock, QNAP y un bot IRC Lightaidra.

La narrativa del gobierno se remontaba a una ola de explotación de 2014, posterior a la divulgación pública de CVE-2014-6271 — "Shellshock" — una vulnerabilidad de ejecución remota de comandos en el shell Bash. La acusación sostenía que el imputado:

  • Escaneó el puerto 80 a través de Internet en busca de dispositivos QNAP NAS vulnerables.
  • Lanzó un payload mediante el vector Bash CGI que abría una cuenta de administrador oculta, una webshell sin autenticación y un demonio SSH en el puerto 26.
  • Aplicó el parche de Shellshock a las máquinas comprometidas para excluir a otros atacantes.
  • Desplegó un fork de Lightaidra, un bot basado en IRC, para coordinar la red y servir impresiones publicitarias fraudulentas.
CVE-2014-6271 Bash CGI RCE QNAP NAS Lightaidra IRC Botnet de click-fraud DDoS
Los Cargos

Cinco cargos. Hasta setenta años.

  • Intrusión Informática Agravada — 18 U.S.C. § 1030(a)(4) y (a)(5)
  • Conspiración para Wire Fraud — 18 U.S.C. § 1349
  • Wire Fraud — 18 U.S.C. § 1343
  • Conspiración para Lavado de Dinero — 18 U.S.C. § 1956(h)
  • Intrusión Informática (contravención) — 18 U.S.C. § 1030(a)(2)(C) (delito menor incluido)
veredicto

Tras dos días de deliberación, el jurado pronunció not guilty en cada uno de los cargos felony y condenó únicamente por la contravención — el delito menor incluido en el cargo de intrusión informática. El Tribunal aplicó la pena máxima legal: 12 meses de prisión, multa de 100.000 dólares y 12 meses de libertad supervisada.

Cronología Procesal

Del gran jurado de Brooklyn al Segundo Circuito.

18 JUN 2016
Detención en Ámsterdam
Operación conjunta del FBI, la policía neerlandesa y las autoridades italianas; arresto provisional con miras a la extradición.
21 ABR 2017
Lectura de cargos, Eastern District of New York
Se hace pública la acusación de cinco cargos en el tribunal federal de Brooklyn.
21 JUL 2017
Resoluciones previas al juicio
El Tribunal resuelve las motions in limine y la suppression motion bajo la Stored Communications Act.
4 AGO 2017
Veredicto — absolución de todos los felony
Siete días de juicio, más de veinte testigos del gobierno; el jurado condena únicamente por la contravención.
9 AGO 2017
Sentencia — máximo legal
12 meses, 100.000 dólares, 12 meses de libertad supervisada; decomiso de la infraestructura de la botnet.
2 JUL 2018
El Segundo Circuito confirma — 894 F.3d 482
El panel rechaza las objeciones de vagueness, suppression y Wayback Machine — y fija, sobre cada una, el precedente principal del Segundo Circuito.
La Apelación

Tres cuestiones que hoy vinculan al Segundo Circuito.

La condena por contravención se apeló ante la Corte de Apelaciones del Segundo Circuito de los Estados Unidos. La sentencia que siguió — United States v. Gasperini, 894 F.3d 482 (2d Cir. 2018) — es hoy el principal precedente del Segundo Circuito en materia de admisibilidad de capturas de pantalla del Internet Archive y sobre el alcance de las objeciones de vaguedad al CFAA.

I.

Vaguedad constitucional del § 1030(a)(2)(C)

La defensa argumentó que los términos centrales del CFAA — access, authorization, information, protected computer — carecían de definición y, por lo tanto, no satisfacían la exigencia constitucional de notice bajo la Quinta Enmienda.

La Corte de Apelaciones rechazó invalidar la norma, sosteniendo que la conducta enjuiciada caía dentro del "núcleo" de cualquier interpretación razonable del texto. La sentencia define hoy el perímetro dentro del cual pueden plantearse, en el Segundo Circuito, los desafíos de vaguedad al § 1030.

II.

Stored Communications Act y registros en el extranjero

La defensa solicitó la supresión de las pruebas obtenidas mediante órdenes bajo la Stored Communications Act y mediante registros realizados por la policía italiana en el domicilio del imputado. La cuestión planteaba el alcance extraterritorial de las órdenes ex § 2703 y el tratamiento de los registros en el extranjero bajo la Cuarta Enmienda y la "joint-venture doctrine".

La Corte de Apelaciones confirmó la denegación, pero la cuestión queda como modelo para la litigación sobre pruebas digitales transfronterizas en los procesos CFAA.

III.

Autenticación del Internet Archive (Wayback Machine)

La fiscalía introdujo capturas de pantalla del Internet Archive's Wayback Machine para acreditar el estado histórico de los sitios web vinculados al presunto esquema. La defensa impugnó el fundamento bajo la Federal Rule of Evidence 901.

El Segundo Circuito admitió la prueba de la Wayback Machine cuando va acompañada del testimonio del office manager del Internet Archive — convirtiendo a Gasperini en el precedente federal más citado en materia de autenticación de páginas web archivadas, hoy invocado de forma rutinaria en toda la práctica federal.

"La conducta caía de pleno y sin ambigüedad en la prohibición central de la norma" — y, sin embargo, el jurado, sobre el mismo expediente, rechazó cada uno de los cargos felony que la fiscalía había construido a su alrededor.
U.S. v. Gasperini · 894 F.3d 482 · 2d Cir. 2018
Prensa

Cómo se relató el caso.

Una selección de la cobertura del Department of Justice, de la prensa jurídica especializada, del periodismo de seguridad informática y de la radio.

U.S. Department of Justice · E.D.N.Y.

"Cybercriminal Who Created Global Botnet Infected With Malicious Software Extradited To Face Click Fraud Charges"

La Fiscalía Federal anuncia la extradición y la apertura de una acusación de cinco cargos por una botnet global de más de 150.000 máquinas.

21 de abril de 2017 U.S. Department of Justice · E.D.N.Y.

"Cybercriminal Convicted of Computer Hacking and Sentenced to Statutory Maximum"

El comunicado posterior al juicio — que omite discretamente la absolución del jurado en cada uno de los cargos felony, incluidos wire fraud y lavado de dinero.

9 de agosto de 2017 Law360

"Italian Convicted On 1 Count In 'Click-Fraud' Trial"

El primer juicio estadounidense por click fraud que llegó a un jurado — y el primero que salió de la sala sin un solo felony.

4 de agosto de 2017 Gothamist

"Alleged Cybercriminal Extradited To Brooklyn For Click Fraud"

Cobertura local de la lectura de cargos en el tribunal federal de Cadman Plaza.

22 de abril de 2017 BleepingComputer

"HackinItaly: The Story Behind the Takedown of a 2,500-Strong QNAP NAS Botnet"

La reconstrucción técnica de Shellshock sobre QNAP, del canal C2 Lightaidra y de la cadena de divulgación que desembocó en la denuncia ante el FBI.

Mayo de 2017 Patterson Belknap · Second Circuit Blog

"Court Rejects Evidentiary and CFAA Vagueness Challenges to Conviction for Botnet Hacking Scheme"

El análisis del principal blog para profesionales sobre la sentencia del Segundo Circuito y sus implicaciones para la defensa CFAA.

Julio de 2018 The Register

"Archive.org's Wayback Machine is legit legal evidence, US appeals court judges rule"

Cobertura técnica de la sentencia de apelación que convirtió a Gasperini en el precedente federal sobre prueba web archivada.

Septiembre de 2018 New York Law Journal

"Archiving the Internet: The 'Wayback Machine' in the Courts"

Cómo Gasperini redibujó la forma en que los abogados federales introducen — y impugnan — sitios web del pasado.

16 de julio de 2018 Law and Disorder Radio

"Defending the First U.S. Click-Fraud Trial" — entrevista a Simone Bertollini

Una entrevista en profundidad en la radio de derechos civiles sobre los peritos del gobierno y la botnet que nunca se exhibió.

5 de febrero de 2018
Reseñado en

Super Lawyers Magazine — Rising Stars, New Jersey 2018.

La edición New Jersey 2018 del directorio profesional peer-reviewed dedicó un perfil al abogado que llevó a juicio — y ganó — el caso federal de click fraud que sentó precedente.

Reportaje · p. 9

"Cómo Simone Bertollini ganó el caso histórico podría sorprenderle."

El perfil firmado por Trevor Kupfer en Super Lawyers Magazine recorre el camino desde un J.D. recién obtenido y una visa de inversionista hasta la defensa del primer juicio estadounidense por click fraud que llegó ante un jurado — una acusación construida sobre veinticinco testigos del gobierno, cuatro horas de contrainterrogatorio a los peritos informáticos y una imputación con pena máxima de setenta años.

  • "La fiscalía nunca ofreció un acuerdo" — y el juicio se prolongó durante meses.
  • "Llamaron a veinticinco testigos. Pero, al final, tenían muy pocas pruebas."
  • "Estaba claro que llegaron a sus conclusiones por suposición."
PUBLICACIÓN
Super Lawyers Magazine
EDICIÓN
New Jersey · 2018
SECCIÓN
Rising Stars · p. 9
AUTOR
Trevor Kupfer
Habilitaciones y Formación

Admitido en cuatro jurisdicciones de los Estados Unidos.

Simone Bertollini está habilitado para ejercer la abogacía en los estados de Nueva York, New Jersey, Texas y Missouri, y posee un título italiano de Laurea in Giurisprudenza. El Sr. Bertollini no está habilitado para ejercer la abogacía en Italia.

NY
Nueva York
NJ
New Jersey
TX
Texas
MO
Missouri
JD
Juris Doctor — Estados Unidos
IT
Laurea in Giurisprudenza — Italia (solo título académico · no habilitado en el foro italiano)