Un caso de piratería informática ocurrido dentro de un contratista del gobierno federal de EE. UU. se está convirtiendo en un ejemplo negativo de seguridad de la información y revisión del personal. Recientemente, los hermanos gemelos Sohaib Akhter y Muneeb Akhter, de 34 años, fueron declarados culpables por un jurado federal o se declararon culpables de antemano por eliminar maliciosamente bases de datos del gobierno federal y realizar actividades de piratería relacionadas después de ser despedidos.
Según información publicada por el Departamento de Justicia de Estados Unidos, un jurado declaró recientemente a Sohaib Akhter culpable de conspiración para cometer fraude informático y reventa de contraseñas, mientras que su hermano Muneeb había admitido previamente haber participado en actos relacionados mediante un acuerdo de culpabilidad. El incidente ocurrió después de que ambos fueran despedidos de sus trabajos por el contratista del gobierno federal Opexus, que brinda servicios a más de 45 agencias gubernamentales y alberga información confidencial, incluidos datos relacionados con la Ley de Libertad de Información (FOIA) y archivos de investigación federales.
El caso muestra que Opexus notificó a ambos de sus despidos por videoconferencia en febrero del año pasado después de que la compañía descubriera que tenían condenas federales por delitos cibernéticos que se remontaban a 2015, un antecedente clave que no fue plenamente reconocido durante la contratación inicial. Aunque la compañía afirmó haber realizado "extensas verificaciones de antecedentes" de los dos hombres, aparentemente no indagó en sus registros de piratería anteriores, y esta omisión allanó el camino para posteriores ataques internos graves.
A los pocos minutos de recibir la carta rosa, los hermanos comenzaron a apuntar a datos corporativos y gubernamentales. La investigación reveló que en tan sólo unas horas, Muneeb eliminó aproximadamente 96 bases de datos que contenían datos de solicitudes de la FOIA y documentos relacionados con investigaciones federales. Al mismo tiempo, también bloqueó otras cuentas de usuarios, impidiendo el acceso normal al sistema.
Aún más vergonzoso es que Opexus sólo cortó el acceso al sistema de Sohaib a tiempo durante el proceso de terminación, pero "olvidó" hacer lo mismo con la cuenta de Muneeb. A los seis minutos de ser notificado de su despido, Muneeb había comenzado a bloquear a otros usuarios y a eliminar bases de datos, antes de robar 1.805 documentos adicionales de la Comisión de Igualdad de Oportunidades en el Empleo (EEOC) y la información fiscal federal de más de 450 personas.
Cuando los investigadores reconstruyeron el incidente, descubrieron que el "nivel técnico" de los dos hermanos no era tan sofisticado como el de los hackers profesionales. Después de eliminar la base de datos, para cubrir sus huellas, Muneeb le preguntó a un chatbot de IA cómo borrar los registros del sistema en un intento de borrar los rastros de la operación. Aunque el expediente del caso no reveló las herramientas de comunicación específicas entre las dos partes, las fuerzas del orden finalmente obtuvieron registros de texto de sus conversaciones, que se convirtieron en una de las pruebas importantes.
De hecho, esta no es la primera vez que los hermanos Akhter se ven involucrados en un caso federal de delito cibernético. En un caso anterior, ocurrido en 2015, los dos admitieron haber pirateado varios sitios web, robado información de tarjetas de crédito e intentado vender datos personales en la web oscura. En ese momento, Sohaib también fue acusado de conspirar con su hermano y otras personas para robar información personal de colegas e instalar secretamente dispositivos de hardware para monitorear los sistemas gubernamentales a lo largo del tiempo mientras trabajaba en el Departamento de Estado de Estados Unidos.
Opexus admitió después del incidente que, aunque la empresa realizó verificaciones de antecedentes durante la contratación, "aparentemente no fue lo suficientemente exhaustiva" para identificar los antecedentes federales de delitos cibernéticos de los hermanos. Este error, junto con el hecho de no revocar completamente todos los permisos de la cuenta cuando se despidió, condujo directamente a la eliminación y el robo a gran escala de datos gubernamentales confidenciales en cuestión de horas.
En términos de procedimientos judiciales, Muneeb firmó el acuerdo de declaración de culpabilidad ante su hermano, pero recientemente comenzó a solicitar al tribunal que retirara su declaración de culpabilidad en cartas escritas a mano mientras estaba en prisión. En la carta, afirmaba que su abogado defensor era "ineficaz" y expresaba su esperanza de comparecer ante el tribunal para defenderse. La dirección posterior del caso aún espera una nueva sentencia del tribunal.
El incidente destaca que cualquier falla en la revisión del personal y la gestión de cuentas en sistemas críticos que involucran datos gubernamentales, archivos de investigación y privacidad de los ciudadanos puede convertirse rápidamente en incidentes graves de ciberseguridad. Para las agencias gubernamentales que dependen de contratistas y servicios de terceros, cómo establecer mecanismos de seguridad más estrictos y sistemáticos en los procesos de contratación, verificación de antecedentes, gestión de autoridad y renuncia se está convirtiendo en una cuestión práctica inevitable.