Ubiquiti Networks una empresa tecnológica que tenía su sede en Nueva York que producía y comercializaba equipos relacionados con las comunicaciones inalámbricas y que tenía acciones que cotizaban en la Bolsa de Valores de Nueva York en todos los períodos pertinentes a la Acusación. NICKOLAS SHARP trabajó para Ubiquiti Networks desde aproximadamente agosto de 2018 hasta aproximadamente el 1 de abril de 2021. Su empleo finalizó en esa fecha. SHARP era un desarrollador sénior de la empresa y tenía acceso a las credenciales del servidor de Amazon Web Services (“AWS”) y GitHub Inc. (“GitHub”).
Cerca de diciembre de 2020 SHARP cometió muchos actos de abuso de acceso administrativo para obtener terabytes de material secreto de su lugar de trabajo. Cuando SHARP accedió a la infraestructura de AWS y GitHub de Ubiquiti Networks sin autorización, ocultó su dirección de Protocolo de Internet (IP) mediante el uso de un servicio de red privada virtual (VPN) al que se había suscrito de una empresa conocida como Surfshark. Este servicio le permitió ocultar su dirección IP durante la mayor parte del incidente de ciberseguridad al que nos referiremos en lo sucesivo como “el Incidente”. Durante el proceso de extracción de datos de Ubiquiti Networks, la dirección IP de la casa de SHARP se reveló en un momento durante una breve interrupción del servicio de Internet en la residencia de SHARP.
En el transcurso del Incidente SHARP causó daños a los sistemas informáticos de Ubiquiti Networks al modificar las reglas de retención de registros y otros archivos en un esfuerzo por ocultar la actividad ilegal que estaba realizando en la red. Mientras trabajaba en un equipo para mitigar los efectos del incidente alrededor de enero de 2021, SHARP se hizo pasar por un atacante desconocido y envió una nota de rescate a Ubiquiti Networks. En la nota, SHARP afirmó haber obtenido acceso no autorizado a las redes informáticas de Ubiquiti Networks y exigió un pago a cambio de los datos. La nota de rescate exigía el pago de 50 Bitcoin, una criptomoneda, que en ese momento equivalía a aproximadamente 1,9 millones de dólares según el tipo de cambio vigente. Este pago se realizaría a cambio de la devolución de los datos sustraídos así como la revelación de una “puerta trasera” supuestamente oculta u otra vulnerabilidad en los sistemas informáticos de Ubiquiti Networks. Cuando Ubiquiti Networks no cumplió con la demanda SHARP puso a disposición una parte del material robado en un sitio de Internet abierto al público en general.
Los agentes del FBI llevaron a cabo una orden de allanamiento en la casa de SHARP en Portland, Oregón, alrededor del 24 de marzo de 2021 y tomaron posesión de una serie de dispositivos electrónicos que pertenecían a SHARP como resultado del allanamiento. Durante el curso de la ejecución de esa búsqueda, SHARP hizo una serie de declaraciones falsas a los agentes del FBI. Estas declaraciones incluían, entre otras cosas, en sustancia, que él no era el perpetrador del Incidente y que no había usado Surfshark VPN antes del descubrimiento del Incidente. SHARP fue arrestado y acusado de hacer declaraciones falsas a agentes federales. Cuando se enfrentó a los registros que mostraban que SHARP compró el servicio Surfshark VPN en julio de 2020, aproximadamente seis meses antes del Incidente, SHARP declaró falsamente, en parte y en sustancia, que otra persona debió haber usado su cuenta de PayPal para realizar la compra.
Luego de la ejecución de la orden de registro en la casa de SHARP por parte del FBI varios días después, SHARP ordenó que se publicaran artículos de noticias falsas sobre el Incidente, así como la reacción de Ubiquiti Networks al Incidente y las revelaciones asociadas. SHARP fue responsable de estos informes de noticias falsas. SHARP se representó a sí mismo en esos informes como un denunciante confidencial que trabajaba para Ubiquiti Networks y que había contribuido a la investigación y resolución del Incidente. En particular, SHARP hizo una acusación falsa de que las cuentas de AWS de Ubiquiti Networks habían sido comprometidas por un hacker que permaneció en el anonimato y que había obtenido de manera fraudulenta acceso de administrador raíz a las cuentas de Ubiquiti Networks. De hecho, como bien sabía SHARP, SHARP había tomado datos de Ubiquiti Networks mediante el uso de credenciales a las que tenía acceso en su función como administrador de la nube de Ubiquiti Networks AWS, y SHARP había utilizado esas credenciales en un intento fallido de extorsionar a Ubiquiti Networks por millones de dólares. SHARP había utilizado los datos en un intento de chantajear a Ubiquiti Networks para que pagara a SHARP millones de dólares.
El Fiscal Federal del Distrito Sur de Nueva York Damian Williams, dijo que Nicholas Sharp se declaró culpable de muchos cargos federales hoy en la corte federal de Manhattan en relación con una estrategia que usó para tomar terabytes de datos clasificados de una empresa de tecnología que cotiza en bolsa donde trabajaba (Ubiquiti Networks) en secreto. Mientras que SHARP aparentemente estaba tratando de reparar la brecha de seguridad que había ocurrido en Firm-1, SHARP chantajeó a la compañía por aproximadamente dos millones de dólares por la devolución de los datos y el descubrimiento de una vulnerabilidad declarada que aún no se había solucionado. Después de esto, SHARP volvió a victimizar a su empleador al instigar la publicación de noticias fraudulentas sobre el tratamiento que la empresa le dio a la infracción que había cometido. Estos artículos fueron seguidos por la pérdida de casi $ 4 mil millones en valor de mercado para Ubiquiti Networks.
El fiscal de los Estados Unidos para el Distrito de Columbia, Damian Williams, fue citado diciendo: “La firma de Nicholas Sharp le confió información privada de la que abusó y retuvo para pedir rescate”. Para colmo de males, cuando las demandas de rescate de Sharp no fueron satisfechas, respondió obligando a que se publicaran noticias falsas sobre la empresa. Como consecuencia directa de sus acciones, la valoración de mercado de su empresa se redujo en más de 4.000 millones de dólares. La declaración de culpabilidad que Sharp presentó hoy asegura que se verá obligado a enfrentar las repercusiones de los actos dañinos que ha tomado.
SHARP, de 37 años, de Portland, Oregón, se declaró culpable hoy de un cargo de entregar un software a una computadora protegida que deliberadamente causó daño, un cargo de fraude electrónico y un cargo de dar declaraciones falsas al FBI. Los tres cargos se derivan del mismo incidente. Por estos delitos se podrá imponer una pena máxima acumulativa de 35 años de prisión.
Las penas máximas posibles son las que ha especificado el Congreso. Estas sentencias se presentan aquí solo con fines informativos ya que el tribunal decidirá en última instancia la sentencia del acusado en cada caso.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad