Empleado molesto robó los datos de su empresa, chantajeó a sus jefes e hizo caer el precio de sus acciones. El mejor ejemplo de amenaza interna

El Departamento de Justicia de E.U. (DOJ) anunció el arresto de Nickolas Sharp, un individuo acusado por el Buró Federal de Investigaciones (FBI) de haber expuesto la información confidencial de su antiguo empleador. Las autoridades argumentan que el acusado robó miles de registros confidenciales de una firma de comunicaciones inalámbricas con sede en Nueva York para la que solía trabajar.

Una vez que tuvo la información confidencial bajo su control, el acusado trató de extorsionar a la compañía, exigiendo el pago de $2 millones USD a cambio de devolver estos registros e identificar un backdoor que el acusado habría explotado para acceder a estos datos.

El atacante no se detuvo ahí, ya que después de amenazar a la compañía comenzó a filtrar falsos informes sobre la forma en que la firma estaba abordando la filtración, lo que provocó una caída del 20% en el precio de las acciones de la empresa.

Después de días de incertidumbre, las autoridades identificaron a Sharp y lo arrestaron este miércoles.

El DOJ menciona que Sharp abusó de su papel como administrador de la nube de Amazon Web Services (AWS) en la compañía afectada para descargar datos confidenciales en algún momento de 2020. Posteriormente, Sharp envió a un representante de la compañía una nota de rescate anónima exigiendo el pago de 50 Bitcoin, unos $2 millones USD según el tipo de cambio al momento del ataque.

Después de que la empresa se negara a pagar, el acusado haría publicado una muestra de la información robada en una plataforma en línea de acceso público.

El acusado también causó severos daños en la infraestructura informática de la compañía durante su intrusión, ya que modificó las políticas de acceso y seguridad con el fin de pasar inadvertido mientras robaba información confidencial. El FBI agrega que el acusado usó el servicio VPN Surfshark para ocultar la dirección IP desde donde se iniciaba la actividad maliciosa.

A pesar de sus intentos por cubrir sus rastros, Sharp cometió un error crítico, exponiendo brevemente la dirección IP de su hogar durante una de sus intrusiones; usando este dato, los agentes obtuvieron una orden de allanamiento, durante el cual incautaron múltiples equipos electrónicos.

Michael Driscoll, subdirector de la oficina del FBI en Nueva York, mencionó: “El señor Sharp creó un complot para extorsionar a la empresa para la que trabajaba utilizando su tecnología y datos en su contra, en clara violación de múltiples leyes federales”. De ser encontrado culpable, Sharp enfrenta una condena de hasta 20 años en prisión.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).