La mayoría de las historias de trampas en los casinos empiezan con dispositivos ocultos, cartas marcadas o alguien haciendo algo que claramente no debía hacer. Esta empezó con un hombre pulsando botones que la propia máquina le permitía pulsar.
En 2009, John Kane descubrió que ciertas máquinas de video póker tenían un fallo extraordinario. Si un jugador obtenía una mano ganadora y luego cambiaba la cantidad apostada antes de cobrar, la máquina podía pagar la ganancia como si la apuesta mayor hubiera estado ahí desde el principio.[1] En otras palabras, un jugador podía apostar poco, ganar, subir la apuesta después y cobrar como si hubiera arriesgado mucho más dinero del que realmente puso en juego. No era una racha de suerte. Era un error de software disfrazado de juego.
Kane y otros usaron ese fallo para ganar cientos de miles de dólares en casinos de Nevada.[1] La reacción obvia fue pensar que eso tenía que ser un delito. Se supone que la gente no debe vencer a los casinos con trucos contables. Sin embargo, cuando el caso llegó a un tribunal federal, la pregunta incómoda no era si Kane había encontrado una grieta en el sistema. Eso estaba claro. La cuestión era si explotar esa grieta equivalía a acceder ilegalmente a un sistema informático o si simplemente había usado la máquina de una manera que su propio software permitía.[1]
La máquina que olvidó cuándo se había hecho la apuesta
Se supone que el video póker funciona con una lógica implacable. Haces una apuesta, recibes una mano, decides qué cartas conservar, robas cartas de reemplazo y te pagan según la cantidad que apostaste. Primero va la apuesta. Después viene el pago. Esa secuencia es toda la arquitectura del juego.
Las máquinas que usó Kane rompían esa lógica.[1] Su software permitía que un jugador fijara una mano ganadora con un nivel de apuesta y luego aumentara la apuesta antes de pulsar la secuencia de cobro, generando así un pago vinculado a la cantidad mayor en lugar de a la menor que realmente había arriesgado.[1] Es el tipo de fallo que suena imposible hasta que recuerdas que los casinos, por mucho glamour que tengan, también son solo salas llenas de software.
Y el software tiene una debilidad peculiar. A menudo es menos vulnerable a la fuerza bruta que a la obediencia. Si una máquina ofrece un botón y luego gestiona mal las consecuencias de pulsarlo en un orden concreto, el usuario quizá ni siquiera necesite irrumpir en ella. Solo necesita paciencia, repetición y la disposición a notar lo que a todos los demás se les escapa.
Un fallo, no un hackeo
Esa distinción se convirtió en el centro del caso. Los fiscales federales acusaron a Kane bajo la Computer Fraud and Abuse Act, o CFAA, la amplia y controvertida ley estadounidense contra el hackeo.[1] Su teoría era que, al explotar el fallo del software, había excedido el acceso autorizado a un ordenador protegido.[1] Era el intento del gobierno de convertir el oportunismo de casino en delincuencia informática.
Pero había un problema. Kane no eludió contraseñas. No alteró código. No conectó dispositivos, no abrió la máquina ni accedió a controles administrativos ocultos.[1] Simplemente usó los botones de la pantalla, en el orden que la máquina permitía, y aceptó el dinero que la máquina le ofreció después. Eso hizo que el caso resultara jurídicamente incómodo de una manera muy moderna.
Porque si un ordenador te permite hacer algo, ¿en qué momento exacto cruzas la línea entre usarlo y hackearlo?
La ley se topa con un botón
Al tribunal federal en United States v. Kane no se le pedía decidir si lo que hizo Kane fue ingenioso. Eso era evidente. Se le pedía decidir si el gobierno realmente había alegado un delito bajo la CFAA.[1] En concreto, los fiscales tenían que demostrar que Kane había excedido el acceso autorizado a un ordenador protegido con el fin de cometer fraude.[1]
El tribunal concluyó que no lo habían hecho de manera suficiente.[1] Kane tenía acceso a la máquina como jugador. Usó la interfaz tal como se le presentaba. No entró en ninguna zona prohibida del sistema. No obtuvo información que no tuviera permitido obtener. No forzó a la máquina a hacer algo desde fuera de sus controles normales. Simplemente encontró una secuencia explotable dentro de la experiencia ordinaria del usuario.[1]
Eso suena a tecnicismo estrecho hasta que te das cuenta de cuánto de la vida moderna depende de esa distinción. Muchas disputas legales sobre el uso indebido de sistemas informáticos se reducen a si “no autorizado” significa irrumpir en un sistema o simplemente usar un sistema disponible de una forma desaprobada. El caso de Kane cayó del lado más estrecho. Un mal comportamiento, incluso uno muy rentable, no es automáticamente lo mismo que un acceso no autorizado.[1]
El problema del casino oculto dentro del problema informático
Los casinos odian la asimetría. Su modelo de negocio depende de que las reglas sean fijas, públicas y matemáticamente inclinadas a su favor. Kane encontró una asimetría que corría en la otra dirección. La máquina tenía ventaja de la casa, justo hasta que su propio software olvidó la cronología de la apuesta.
Eso es lo que hace que la historia resulte tan satisfactoria. Kane no venció a la probabilidad. Venció a la implementación. No descubrió una nueva estrategia de juego. Descubrió que la contabilidad interna de la máquina tenía un agujero. Para el casino, eso pudo sentirse como una trampa. Para el tribunal, se parecía más a que la propia máquina del casino había calculado mal el precio de una transacción.
Hay una razón por la que estos casos ponen nerviosas a las instituciones. Revelan que el verdadero poder en muchos sistemas no reside en las reglas escritas, sino en el código que las pone en funcionamiento. Si el código aplica mal las reglas, el sistema puede empezar a pagar disparates con total aplomo.
Por qué pudo quedarse con el dinero
La versión popular de la historia es que Kane “pudo quedarse con el dinero”, y esa es, en líneas generales, la razón por la que se recuerda el caso.[1] La razón más profunda no es que el tribunal alabara lo que hizo. Es que la teoría jurídica elegida por el gobierno no encajaba lo bastante bien con los hechos. Se aprobaron las mociones de desestimación porque la acusación no logró satisfacer el requisito de “exceder el acceso autorizado” bajo la CFAA.[1]
Y eso importa más allá de los casinos. El caso forma parte de una disputa mucho mayor sobre hasta qué punto deben interpretarse de manera expansiva las leyes sobre delitos informáticos.[1] Si pulsar la secuencia equivocada de botones permitidos en una máquina con fallos puede convertirse en hackeo federal, entonces una gran cantidad de comportamiento oportunista ordinario empieza a deslizarse hacia la criminalización por metáfora. El fallo de Kane se resistió a esa tendencia.
En efecto, vino a decir que un fallo de software no es lo mismo que una puerta cerrada con llave. Y que explotar un proceso defectuoso no equivale automáticamente a invadir un espacio prohibido.
La extraña moral de dejar que decida la máquina
Hay algo casi filosófico en todo este episodio. Los casinos piden a los jugadores que confíen en la máquina cuando esta les dice que han perdido. Kane confió en la máquina cuando esta le dijo que había ganado. El casino quería que esa confianza funcionara en una sola dirección.
Ahí, en el fondo, está la tensión central de United States v. Kane. Un sistema informatizado ofreció a un usuario un resultado que el propio sistema había hecho posible. El usuario entendía el fallo mejor que el dueño. El dueño llamó a eso fraude. La ley, al menos en este caso, no estuvo dispuesta a llamarlo hackeo.[1]
Y así John Kane acabó ocupando uno de esos raros nichos históricos reservados para quienes encuentran la grieta invisible de un sistema digital y pasan a través de ella sin haber tenido que trepar técnicamente por encima de nada. No se le acusó de forzar la máquina. Se le acusó de entenderla demasiado bien.
