El licenciatario excede rate limits, usa su API sin autorizacion, evade auditorias, o no paga las tarifas de licencia?
Guia completa para proteger sus derechos y recuperar ingresos perdidos.
Esta carta aplica cuando un licenciatario viola los terminos de su acuerdo de licencia API, ya sea excediendo
limites de uso, accediendo sin autorizacion, evadiendo controles de acceso, o incumpliendo obligaciones de pago.
Tipos de Violaciones Cubiertas
Rate
Violacion de Rate Limits
El licenciatario excede sistematicamente los limites de llamadas API contratados, usando tecnicas de scraping agresivo, multiples API keys, o evasion de throttling.
Auth
Acceso No Autorizado
Uso de API keys robadas, compartidas ilegalmente, o acceso a endpoints no incluidos en la licencia. Puede implicar violacion del CFAA.
Audit
Evasion de Auditorias
El licenciatario se niega a proporcionar registros de uso, bloquea auditorias contractuales, u oculta el volumen real de consumo de API.
Fee
Tarifas de Licencia Impagas
Facturas vencidas por uso de API basado en volumen, suscripciones mensuales o anuales, o tarifas de overage no pagadas.
TOS
Violacion de ToS
Uso de la API para fines prohibidos (competencia directa, reventa no autorizada, aplicaciones en industrias restringidas).
Data
Extraccion de Datos
Scraping masivo de datos a traves de la API para construir bases de datos competidoras o revender informacion en violacion de la licencia.
Indicadores de Violacion
Patrones de Uso Anomalos
Picos repentinos en llamadas API, patrones de acceso a horas inusuales, o acceso desde IPs no autorizadas.
Multiples API Keys del Mismo Usuario
Creacion de multiples cuentas para evadir rate limits o acceder a planes gratuitos multiples veces.
Falta de Pago por Overage
El licenciatario disputa cargos por uso excedente documentado en sus logs de servidor.
Negativa a Cumplir Auditorias
Resistencia a proporcionar informacion cuando el contrato otorga derechos de auditoria.
Uso en Aplicaciones Prohibidas
Descubrimiento de que su API se usa en una industria o aplicacion explicitamente excluida en el ToS.
Acceso No Autorizado: Implicaciones Penales
Si el licenciatario accede a su API despues de que usted revoca el acceso, o usa credenciales obtenidas ilegitimamente,
puede haber violacion del Computer Fraud and Abuse Act (18 U.S.C. Section 1030), que conlleva sanciones civiles y potencialmente penales.
Marco Legal Aplicable
Derecho Federal y Estatal
Las disputas de licencia API pueden implicar tanto leyes federales (CFAA, Copyright Act) como derecho contractual
estatal. La combinacion de reclamos fortalece significativamente su posicion.
Leyes Federales Clave
Computer Fraud and Abuse Act (18 U.S.C. Section 1030)
El CFAA prohibe el acceso no autorizado a sistemas informaticos o exceder el acceso autorizado.
En el contexto de APIs:
Section 1030(a)(2): Acceso sin autorizacion para obtener informacion
Section 1030(a)(5): Causar dano a un sistema protegido
Section 1030(g): Accion civil privada cuando hay $5,000+ en danos
Caso clave: hiQ Labs v. LinkedIn (9th Cir. 2022) - limita aplicacion del CFAA a datos publicos, pero acceso post-revocacion sigue siendo violacion.
Copyright Act (17 U.S.C. Section 101 et seq.)
Si su API proporciona acceso a contenido protegido por copyright (imagenes, texto, bases de datos con originalidad),
el uso no autorizado puede constituir infraccion de copyright.
Statutory damages: Hasta $150,000 por obra infringida (si registro previo)
Attorney fees: Recuperables para el prevailing party
Defend Trade Secrets Act (18 U.S.C. Section 1836)
Si su API expone trade secrets (algoritmos propietarios, datos comerciales confidenciales),
la extraccion no autorizada puede constituir misappropriation bajo el DTSA.
Remedios: Injunction, danos, hasta el doble por misappropriation intencional
Ex parte seizure: Disponible en casos extraordinarios
Derecho Contractual Estatal
Breach of Contract
La violacion de los terminos de la licencia API constituye breach of contract. Elementos:
Existencia de contrato valido (API License Agreement, ToS aceptado)
Terminos claros que fueron violados (rate limits, uso autorizado)
Danos cuantificables (tarifas impagas, costo de enforcement)
Unjust Enrichment
Cuando el licenciatario obtiene beneficio del uso de su API sin pagar el precio justo:
El demandado recibio un beneficio
Retention del beneficio seria injusta
Aplica incluso si el contrato es inaplicable por alguna razon tecnica
California Unfair Competition Law (Cal. Bus. and Prof. Code Section 17200)
Prohibe practicas comerciales desleales, ilegales o fraudulentas. Puede aplicar cuando:
El licenciatario usa su API para competir deslealmente
Hay representaciones falsas sobre la relacion con su empresa
Permite recuperacion de ganancias ilicitas (disgorgement)
Tabla de Estatutos de Limitacion
Claim
California
New York
Federal
Breach of Written Contract
4 anos (CCP 337)
6 anos (CPLR 213)
N/A
CFAA Violation
N/A
N/A
2 anos (18 USC 1030(g))
Copyright Infringement
N/A
N/A
3 anos (17 USC 507)
Trade Secret (DTSA)
N/A
N/A
3 anos (18 USC 1836)
Unfair Competition (CA)
4 anos (B&P 17208)
N/A
N/A
Necesita Evaluar su Reclamo?
Las disputas de licencia API pueden involucrar multiples teorias legales. Consulte para maximizar su recuperacion.
Los logs del servidor son su evidencia principal. Asegurese de que la retencion de logs sea suficiente
(minimo 90 dias, idealmente 1 ano) y que pueda exportar datos en formatos admisibles judicialmente.
Documentos del Contrato
Version vigente al momento de la violacion, con fecha de aceptacion
Screenshot de click-wrap, log de aceptacion, email de confirmacion
Pricing page mostrando rate limits, quotas, restricciones de uso
Emails automaticos de warning, notificaciones in-app, alertas enviadas
Logs y Datos Tecnicos
Apache/Nginx logs con timestamps, IPs, endpoints, user agents
Kong, Apigee, AWS API Gateway logs con API keys, quotas usadas
Registros de throttling activado, 429 responses, retry patterns
API key usage, OAuth token generation, failed auth attempts
Stripe/billing system records de consumo, overages calculados
Evidencia de Violacion Especifica
Tabla mostrando limites del plan vs. llamadas API reales por periodo
Multiples cuentas desde misma IP, patrones de uso coordinados
Screenshots de la aplicacion del licenciatario usando su API ilicitamente
Logs de acceso despues de que la licencia fue revocada o expiro
Ejemplo de Query para Extraer Evidencia
SQL Query - Uso Excedente por Usuario
SELECT
user_id,
api_key,
DATE(timestamp) as date,
COUNT(*) as total_calls,
plan_limit,
COUNT(*) - plan_limit as overage
FROM api_logs
JOIN user_plans ON api_logs.user_id = user_plans.user_id
WHERE timestamp BETWEEN '2024-01-01' AND '2024-12-31'
GROUP BY user_id, api_key, DATE(timestamp), plan_limit
HAVING COUNT(*) > plan_limit
ORDER BY overage DESC;
Certificacion de Evidencia
Para que los logs sean admisibles en juicio, prepare una declaracion jurada (declaration) de su administrador
de sistemas explicando como se generan, almacenan, y preservan los logs. Esto satisface la business records exception
bajo Federal Rules of Evidence 803(6).
Calculadora de Danos
Modelos de Calculo
Los danos en disputas de licencia API pueden calcularse de varias formas: tarifas impagas, costo de licencia
que el infractor debio pagar, o disgorgement de ganancias obtenidas ilicitamente.
Calcule su Reclamo Total
Tarifas de licencia impagas
Overage charges (uso excedente)
Costo de licencia evadida (uso no autorizado)
Costos de investigacion y auditoria
Danos a infraestructura (si aplica)
Honorarios de abogado (si previsto)
TOTAL RECLAMADO:$0.00
Modelos de Valuacion de Danos
Modelo de Tarifa Perdida
Calcule el precio que el licenciatario debio pagar por el nivel de uso real:
Formula: (Uso real - Uso contratado) x Tarifa por unidad
Ejemplo: 1M llamadas extra x $0.001 = $1,000
Modelo de Licencia Razonable
Para uso completamente no autorizado, calcule el precio de licencia de mercado:
Formula: Precio de plan apropiado x Meses de uso ilicito
Ejemplo: Plan Enterprise $5,000/mes x 12 meses = $60,000
Modelo de Disgorgement
Recupere las ganancias del infractor atribuibles al uso ilicito:
Formula: Ingresos del infractor x % atribuible a su API
Requiere discovery para determinar ingresos
Statutory Damages (CFAA)
El CFAA permite danos estatutarios sin probar danos reales:
Minimo: $5,000 para accion civil (umbral de jurisdiction)
Danos reales + ganancias del infractor + attorney fees
Tipo de Dano
Base Legal
Metodo de Calculo
Tarifas impagas
Breach of Contract
Facturas + intereses contractuales
Uso excedente
Contract + Unjust Enrichment
Tarifa de overage x unidades extras
Acceso no autorizado
CFAA + Trespass to Chattels
Licencia razonable + costos
Danos a sistemas
CFAA Section 1030(a)(5)
Costo de investigacion + remediacion
Attorney fees
Contract clause / CFAA / Copyright
Hourly rates x horas trabajadas
Carta de Demanda Modelo
Instrucciones
Personalice esta plantilla con los detalles de su caso. Envie via email (con read receipt) y correo certificado.
Incluya exhibits con logs de API y documentacion de la violacion.
Carta de Demanda - Incumplimiento de Licencia API
[NOMBRE DE SU EMPRESA]
[DIRECCION]
[TELEFONO / EMAIL]
[FECHA]
VIA CERTIFIED MAIL AND EMAIL
Return Receipt Requested
[NOMBRE DEL LICENCIATARIO]
[CARGO]
[EMPRESA DEL LICENCIATARIO]
[DIRECCION]
Re: DEMAND FOR CURE AND PAYMENT - API License Violation
License Agreement: [REFERENCIA O FECHA]
Violation Period: [FECHA INICIO] to [FECHA FIN]
Amount Due: $[MONTO] USD
Dear [NOMBRE]:
This firm represents [SU EMPRESA] ("Licensor") in connection with [EMPRESA LICENCIATARIO]'s ("Licensee") material breach of the API License Agreement dated [FECHA] and ongoing Terms of Service (collectively, the "Agreement").
I. FACTUAL BACKGROUND
1. Licensor operates [NOMBRE DE API/SERVICIO], a proprietary API service that provides [DESCRIPCION BREVE].
2. On [FECHA], Licensee agreed to the Agreement by [METODO DE ACEPTACION - e.g., "clicking 'I Accept' during account registration" / "signing the API License Agreement"].
3. Under Section [X] of the Agreement, Licensee is authorized to make [NUMERO] API calls per [PERIODO], subject to [RESTRICCIONES ADICIONALES].
4. Our monitoring systems have detected that Licensee has materially violated the Agreement as follows:
a) RATE LIMIT VIOLATIONS: Between [FECHAS], Licensee exceeded authorized API call limits by [NUMERO/PORCENTAJE], making [NUMERO] calls when only [NUMERO] were permitted. See Exhibit A (API Usage Logs).
b) UNAUTHORIZED ACCESS: [SI APLICA] Licensee accessed endpoints reserved for [PLAN SUPERIOR] subscribers, including [ENDPOINTS ESPECIFICOS], without proper authorization.
c) UNPAID LICENSE FEES: Licensee has failed to pay invoices totaling $[MONTO] for the following billing periods: [LISTAR PERIODOS].
d) AUDIT NON-COMPLIANCE: [SI APLICA] Despite written requests dated [FECHAS], Licensee has refused to provide usage data required under Section [X] of the Agreement.
II. LEGAL VIOLATIONS
Licensee's conduct constitutes:
1. BREACH OF CONTRACT: Licensee has materially breached Sections [X, Y, Z] of the Agreement by exceeding usage limits, accessing unauthorized features, and failing to pay required fees.
2. COMPUTER FRAUD AND ABUSE ACT (18 U.S.C. Section 1030): [SI APLICA] Licensee's continued access to the API after [REVOCACION/SUSPENSION] constitutes unauthorized access to a protected computer, subjecting Licensee to civil liability under Section 1030(g) and potential criminal penalties.
3. UNJUST ENRICHMENT: Licensee has received services valued at $[MONTO] for which it has not paid, unjustly enriching itself at Licensor's expense.
4. [ADICIONAL SI APLICA] [COPYRIGHT INFRINGEMENT / TRADE SECRET MISAPPROPRIATION / UNFAIR COMPETITION]
III. DAMAGES
Licensor has suffered damages including but not limited to:
- Unpaid license fees: $[MONTO]
- Overage charges: $[MONTO]
- Value of unauthorized access: $[MONTO]
- Investigation and audit costs: $[MONTO]
- [Infrastructure costs if applicable]: $[MONTO]
TOTAL: $[MONTO TOTAL] USD
Pursuant to Section [X] of the Agreement, Licensor is also entitled to recover reasonable attorney's fees and costs incurred in enforcing the Agreement.
IV. DEMAND
Licensor hereby demands that Licensee:
1. IMMEDIATELY CEASE all unauthorized use of the API;
2. PAY $[MONTO] via wire transfer within fourteen (14) calendar days to:
Bank: [BANCO]
Account Name: [NOMBRE]
Routing: [NUMERO] / Account: [NUMERO]
3. CONFIRM IN WRITING that:
a) All unauthorized use has ceased;
b) All data obtained through unauthorized access has been destroyed;
c) Licensee will not attempt further unauthorized access.
4. [SI HAY CLAUSULA DE AUDITORIA] PROVIDE complete API usage records for the period [FECHAS] within seven (7) days for audit purposes.
V. CONSEQUENCES OF NON-COMPLIANCE
If Licensee fails to comply with this demand by [FECHA LIMITE - 14 dias], Licensor will:
1. Immediately and permanently terminate Licensee's API access;
2. Initiate [ARBITRATION under Section X / LITIGATION in [TRIBUNAL]] seeking all available remedies including:
- Compensatory damages
- Statutory damages under the CFAA
- Injunctive relief
- Attorney's fees and costs
- Disgorgement of profits
3. Report the unauthorized access to law enforcement authorities for potential criminal prosecution under 18 U.S.C. Section 1030.
4. Pursue all other available legal remedies.
VI. PRESERVATION NOTICE
This letter constitutes formal notice to preserve all documents and electronically stored information related to Licensee's use of the API, including:
- API keys, tokens, and credentials
- Server logs and access records
- Source code accessing the API
- Business records regarding revenue generated using the API
- All internal communications regarding the API
Spoliation of evidence will result in requests for sanctions and adverse inferences.
This letter is written without prejudice to any and all rights and remedies of Licensor, all of which are expressly reserved.
Sincerely,
[SU NOMBRE]
[CARGO]
[SU EMPRESA]
Enclosures:
- Exhibit A: API Usage Logs
- Exhibit B: Agreement with Accepted Terms
- Exhibit C: Unpaid Invoices
- Exhibit D: Prior Notices and Communications
Incluya Exhibits con evidencia tecnica documentada.
Fragmentos para Situaciones Especificas
Para Acceso Post-Terminacion
UNAUTHORIZED ACCESS FOLLOWING TERMINATION
On [FECHA], Licensor terminated Licensee's API access effective immediately pursuant to Section [X] of the Agreement. Licensee was notified via [EMAIL/LETTER] that all API credentials were revoked.
Despite this termination:
1. Licensor's logs show continued API access attempts from Licensee's IP addresses ([LISTA IPs]) between [FECHAS];
2. Licensee successfully accessed the API [NUMERO] times using [METODO - e.g., "cached credentials" / "a new account created to circumvent the ban"];
3. This post-termination access constitutes unauthorized access under the Computer Fraud and Abuse Act, 18 U.S.C. Section 1030(a)(2), as Licensee accessed a protected computer "without authorization" after explicit revocation.
See hiQ Labs, Inc. v. LinkedIn Corp., 31 F.4th 1180 (9th Cir. 2022) (distinguishing public data scraping from access following explicit revocation).
Para Demanda de Auditoria
DEMAND FOR AUDIT COMPLIANCE
Section [X] of the Agreement grants Licensor the right to audit Licensee's API usage upon reasonable notice. Specifically, the Agreement provides:
"[CITAR CLAUSULA DE AUDITORIA DEL CONTRATO]"
On [FECHAS], Licensor provided written notice requesting the following records:
- Complete server logs of API interactions
- Internal usage metrics and dashboards
- Revenue attributable to API-enabled features
- Source code making API calls
Licensee has failed to respond to these requests, which constitutes:
1. Breach of the audit provision (Section [X])
2. Evidence of knowledge that usage exceeds authorized limits
3. Grounds for immediate termination under Section [X]
Licensor demands full compliance with the audit within seven (7) days. Failure to comply will result in:
- Immediate termination of API access
- Presumption that usage was [X TIMES] the contracted limit
- Litigation seeking discovery of the requested records
Rutas de Escalacion
Paso 1: Carta de Demanda (Actual)
Envie la carta formal con plazo de 14 dias. Documente todo con correo certificado y read receipts.
Paso 2: Terminacion de Acceso API
Si no hay respuesta satisfactoria, revoque todas las API keys y bloquee acceso. Documente la terminacion
por escrito citando las secciones del Agreement violadas.
Paso 3: Demanda de Pago Formal
Envie factura final incluyendo todos los cargos: uso excedente, terminacion anticipada (si hay early
termination fee), y costos de enforcement.
Paso 4: Arbitraje o Litigio
Inicie procedimientos formales segun la clausula de resolucion de disputas. Para reclamos CFAA,
puede demandar en federal court independientemente de la clausula de arbitraje contractual.
Paso 5: Injunctive Relief (si es urgente)
Si el licenciatario continua accediendo despues de la terminacion, solicite una TRO (Temporary
Restraining Order) para detener el acceso no autorizado inmediatamente.
Remedios Tecnicos Inmediatos
Revocacion de API Keys
Invalide todas las API keys asociadas con el licenciatario. Asegurese de documentar la revocacion con timestamps.
IP Blocking
Bloquee rangos de IP conocidos del licenciatario. Monitoree intentos de acceso desde nuevas IPs.
Rate Limiting Agresivo
Si no puede bloquear completamente, reduzca los limites a niveles que hagan el uso impractico.
Webhook Notifications
Configure alertas para detectar cualquier intento de acceso futuro y documentar violaciones continuas.
Precaucion Legal
No tome acciones que puedan danar los sistemas del licenciatario o sus datos. Solo puede cortar acceso a SU API.
Acciones mas agresivas (honeypots maliciosos, counter-hacking) pueden exponerle a responsabilidad propia.
Preguntas Frecuentes
Depende de su contrato. La mayoria de ToS incluyen una clausula que permite terminacion inmediata por
"material breach" o violacion de terminos de uso. Revise su Agreement para verificar:
Si hay clausula de terminacion inmediata por breach
Si se requiere notice period y opportunity to cure
Excepciones para violaciones graves (fraude, acceso no autorizado)
Para violaciones CFAA (acceso no autorizado), generalmente puede bloquear inmediatamente sin previo aviso.
Los acuerdos clickwrap (donde el usuario debe hacer clic en "I Accept") son generalmente ejecutables
si cumplen ciertos requisitos:
Notice razonable: Los terminos deben ser visibles o accesibles via link
Manifestacion de consentimiento: El usuario debe tomar una accion afirmativa (clic)
Registro de aceptacion: Guarde evidencia del momento de aceptacion
Caso clave: Register.com v. Verio (2d Cir. 2004) - clickwrap enforceable cuando hay notice y assent.
Generalmente no, si los limites estaban claramente documentados:
Los terminos aceptados incluian los limites por referencia
La documentacion de API especificaba rate limits
El dashboard del usuario mostraba uso vs. limites
Se enviaron emails de warning cuando se acercaba al limite
Compile esta evidencia para refutar el argumento de desconocimiento.
La aplicacion del CFAA a scraping es compleja despues de hiQ v. LinkedIn:
Datos publicos: Scraping de datos publicamente accesibles probablemente NO es violacion CFAA
Acceso autenticado: Exceder terminos de uso de API autenticada puede ser violacion
Post-revocacion: Acceso despues de bloqueo explicito SI es violacion CFAA
Evasion tecnica: Burlar medidas de seguridad (CAPTCHAs, IP blocks) favorece claim CFAA
Si, bajo varias teorias:
Contractual: Si el contrato establece precios para overage, puede facturar retroactivamente
Quantum meruit: Puede recuperar el valor razonable de servicios prestados
Reasonable royalty: En casos de uso no autorizado, puede calcular la licencia que debio pagar
El hecho de que no facturara inmediatamente no elimina su derecho a cobrar.
Varias opciones pueden coexistir:
Clausula contractual: La mayoria de ToS especifican foro (ej: "San Francisco, CA")
Federal question: Para claims CFAA, federal court tiene jurisdiction
Diversity: Si partes en diferentes estados y monto > $75K, federal court
Arbitraje: Si hay clausula de arbitraje, debe usarse excepto para injunctions
Opciones para enforcement internacional:
Arbitraje: Laudos bajo Convencion de Nueva York son ejecutables en 170+ paises
Activos en EE.UU.: Si tiene cuentas bancarias, subsidiarias, o propiedad en EE.UU., puede ejecutar ahi
Jurisdiccion personal: Si el licenciatario tiene "minimum contacts" con EE.UU., puede demandar aqui
Bloqueo de API: Como minimo, puede cortar acceso completamente
Recomendaciones de retencion:
Minimo: 1 ano (cubre la mayoria de claims)
Optimo: 3 anos (cubre Copyright Act y DTSA SOL)
Contracts: 4-6 anos (dependiendo del estado)
Una vez detectada una violacion, active un litigation hold para preservar todos los logs indefinidamente.
Si, bajo ciertas condiciones. Para TRO/Preliminary Injunction debe demostrar:
Likelihood of success: Probabilidad de ganar el caso
Irreparable harm: Danos continuos que no pueden compensarse con dinero
Balance of hardships: Mas dano a usted sin injunction que al demandado con ella
Public interest: No perjudica el interes publico
Acceso no autorizado continuo generalmente satisface estos requisitos.
Si, y es altamente recomendable. Elementos a incluir:
Indemnizacion por uso que viole ToS
Indemnizacion por claims de terceros derivados del uso
Obligacion de defender y mantener indemne
Procedimiento para notificar claims
Las clausulas de indemnizacion son generalmente ejecutables en contratos B2B.