Un desarrollador descontento ha sido condenado a cuatro años de prisión tras construir un “kill switch” que bloqueó a todos los usuarios de la red de una empresa estadounidense en el momento en que su nombre fue eliminado del directorio de la compañía tras su despido.
Davis Lu, un ciudadano chino de 55 años residente en Houston, fue declarado culpable de “causar daño intencional a computadoras protegidas” en marzo, según informó el Departamento de Justicia de EE. UU. en un comunicado de prensa que anunciaba su sentencia el jueves.
Lu había trabajado en Eaton Corp. durante aproximadamente 11 años cuando de repente la empresa redujo sus responsabilidades durante una “reestructuración” en 2018. Anticipando que su despido era inminente, Lu comenzó a plantar diferentes formas de código malicioso.
Parte del código malicioso, que Lu nombró usando la palabra japonesa para destrucción, “Hakai”, y la palabra china para letargo, “HunShui”, creó “bucles infinitos” que eliminaron archivos de perfiles de compañeros de trabajo, impidieron inicios de sesión legítimos y causaron caídas del sistema, según el DOJ.
Sin embargo, el código más perjudicial para Eaton Corp. fue el que Lu nombró en su honor, “IsDLEnabledinAD”, que el DOJ tradujo como una abreviatura de “¿Está habilitado Davis Lu en Active Directory?”.
Este “kill switch” estaba diseñado para “bloquear a todos los usuarios si sus credenciales en el directorio activo de la empresa eran deshabilitadas”, indicó el DOJ. Y funcionó a la perfección, activándose “automáticamente” cuando Lu fue “suspendido y se le pidió que entregara su computadora portátil” en 2019. Bloqueó a “miles de usuarios de la empresa a nivel global”, y nadie sabía lo que estaba sucediendo.
Eaton Corp. finalmente descubrió el kill switch mientras investigaba los “bucles infinitos”, que fueron rastreados hasta una computadora que usaba la identificación de usuario de Lu, según un documento judicial. Ese descubrimiento llevó a la empresa a un servidor, al que solo Lu tenía acceso, donde se encontró todo el otro código malicioso.
En última instancia, Eaton Corp. incurrió en costos sustanciales para recuperar su red, dijo Matthew Galeotti, asistente del fiscal general interino de la división criminal del Departamento de Justicia, el jueves.
Desarrollador pierde la batalla para evitar la prisión
Tras su condena, Lu intentó programar un nuevo juicio, pidiendo al tribunal que retrasara la sentencia debido a supuestas pruebas “sorpresa” contra las que no estaba preparado para defenderse durante el juicio inicial.
El DOJ se opuso a la moción para el nuevo juicio y al retraso en la sentencia, argumentando que “Lu no puede establecer que los intereses de justicia justifican un nuevo juicio” y afirmando que las pruebas presentadas en el juicio fueron debidamente divulgadas. Además, sostuvieron que la evidencia de refutación que Lu impugnó fue “introducida solo para refutar el testimonio perjurioso de Lu y no le impidió perseguir las defensas que eligió”.
Finalmente, el juez denegó la moción de Lu para un nuevo juicio, rechazando sus argumentos y apoyando al DOJ en julio, allanando el camino para la sentencia de esta semana. Abandonando la lucha por un nuevo juicio, Lu había solicitado una sentencia de 18 meses, argumentando que una pena más leve era apropiada dado que “la vida que el Sr. Lu conocía antes de su arresto ha terminado, para siempre”.
“Ahora es un delincuente, una etiqueta que tendrá que llevar por el resto de su vida. Su carrera prometedora ha terminado. Como resultado de su conducta, las finanzas de su familia han sido devastadas”, dice el memorando de sentencia de Lu.
Según el DOJ, Lu cumplirá “cuatro años de prisión y tres años de libertad supervisada por escribir y desplegar código malicioso en la red de su entonces empleador”. El DOJ destacó que, además de sabotear la red, Lu también trató de encubrir sus crímenes, posiblemente esperando que su habilidad técnica le ayudara a evadir consecuencias.
“Sin embargo, la destreza técnica y el engaño del acusado no lo salvaron de las consecuencias de sus acciones”, dijo Galeotti. “La División Criminal está comprometida a identificar y procesar a aquellos que atacan a las empresas estadounidenses, ya sea desde dentro o desde fuera, para hacerlos responsables de sus acciones”.
Fuente original: ver aquí
