El ataque al servidor provocó 17 días de demora en el pago a las reservas del ejército estadounidense
Un juez en Estados Unidos sentenció a un hombre de Atlanta a dos años de prisión seguido de tres años de libertad bajo supervisión por sabotear una de las bases de datos de nómina del ejército estadounidense con una “bomba lógica”. Según reportes de especialistas en hacking ético, la sentencia de esta persona está relacionada con un incidente ocurrido en noviembre de 2014 y que afectó un sistema de la armada (US Army Regional Level Application Software).
De acuerdo con documentos judiciales, Mittesh Das, varón de 49 años radicado en Atlanta, Georgia, trabajaba para una empresa contratada por el Ejército de los Estados Unidos para administrar una de las bases de datos que forman parte del sistema RLAS de todo el país. La compañía externa contrató a Das para trabajar en su contrato de mantenimiento de RLAS desde 2012 debido a su amplia experiencia en sistemas.
Sin embargo, dos años después de que ganara el contrato de RLAS, esta empresa no pudo obtener una extensión y luego se le asignó la entrega de las tareas de gestión de la base de datos de RLAS a otro contratista en noviembre de 2014.
Acorde a investigadores en hacking ético, Das se molestó por perder el contrato y, en algún momento antes del cambio de empresa, inyectó código malicioso en la base de datos RLAS, mismo que se ejecutaría días después de que la nueva compañía tomara el control para destruir los registros almacenados de manera local.
Este código, que los investigadores identificaron como una bomba lógica, comenzó a ejecutarse el 24 de noviembre, la fecha en que la nueva compañía comenzó las tareas de gestión de RLAS. El Comando de Investigación Criminal del Ejército de EU, instancia encargada de la investigación, dijo que el código malicioso borró datos de cinco servidores asociados con los sistemas RLAS almacenados en Fort Bragg, Carolina del Norte.
Posteriormente, el ejército eliminó el código de la bomba lógica de sus sistemas y restauró todos los datos, pero para entonces el incidente ya había traído consecuencias. Para empezar, el ejército estuvo tuvo que asumir un costo de 2.6 millones de dólares para la investigación y auditoría en sus sistemas, realizada por especialistas en hacking ético.
Además, más de 200 mil reservistas del ejército tuvieron que esperar por semanas para recibir su sueldo, ya que los servidores afectados se encargan de administrar los datos de nómina, lo que resultó en retrasos de hasta 17 días en los pagos para los reservistas.
Por último, las operaciones de las reservas del ejército también se vieron afectadas porque las órdenes para movilizar soldados también se manejan a través de los mismos sistemas afectados por la bomba lógica. Esto impidió que el ejército fuera capaz de movilizar a ningún soldado para el simulacro programado para diciembre de 2014.
Acorde a especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética, las autoridades acusaron y detuvieron a Das en abril de 2016, y más tarde se declaró culpable en septiembre de 2017. Además de la condena de dos años en prisión y los tres años de libertad supervisada, Das también deberá pagar 1.5 millones de dólares en restitución por los daños que causó su ataque.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad