No debería ser necesario decirlo: crear un ‘kill switch’ que se activa tras tu desvinculación de una empresa no es lo que llamaríamos una gran idea. Pero justamente eso es lo que hizo Davis Lu, un exdesarrollador del gigante de la multinacional de energía Eaton Corporation, en Beachwood, Ohio, con operaciones en más de 175 países.
La historia que llevó a Lu a ser condenado por sabotaje criminal, comenzó en 2007, cuando se vinculó a Eaton y, por más de 10 años, parecía un match perfecto de empleador y empleado.
Sin embargo, en 2018, una reorganización corporativa que recortó sus funciones llevó al desarrollador a temer que su trabajo fuera eliminado. En lugar de, ya sabes, actualizar su hoja de vida, Lu decidió plantar una bomba de tiempo digital.
El temor a la terminación llevó al imprudente Lu a incrustar un código malicioso diseñado para activarse si sus credenciales alguna vez se desactivaban en el directorio corporativo. El programa, aparentemente sencillo, creaba una sucesión de bucles infinitos diseñados para asfixiar los hilos de Java y, peor aún, cerraba las sesiones y eliminaba los perfiles de sus más de 85.000 compañeros de trabajo.
Esa bomba digital estalló en septiembre de 2019, cuando Lu fue despedido.
A la espera de su sentencia
La prueba reina contra Lu es que el archivo que activaba el ‘kill switch’ se llamaba "IsDLEnabledinAD", que traduce algo así como “¿Está Davis Lu habilitado en Active Directory?”.
En el desarrollo más predecible de este caso, Lu fue aprehendido. La compañía lo llevó a juicio por alterar sus operaciones globales, bloquear miles de perfiles de usuario y causar, según estimaron, pérdidas del orden de los cientos de miles de dólares.
Si bien el equipo de defensa de Lu intentó minimizar el impacto financiero, argumentando que fue de menos de 5.000 dólares, la magnitud de la interrupción, que afectó las operaciones de Eaton en EEUU y en Irlanda, llevó al Departamento de Justicia a pedir un severo castigo, que según la legislación vigente podría ser de hasta diez años en prisión.
Para empeorar las cosas en su caso, se reveló que Lu también encriptó su computadora portátil -proporcionada por la compañía- en su último día y que mucho de lo que hizo en esa jornada fue buscar tácticas de escalada de privilegios, técnicas de ocultación de procesos y métodos de eliminación rápida de archivos. Los fiscales alegan además que trató activamente de frustrar los intentos de sus antiguos colegas de arreglar el desastre que creó.
Mientras se conoce la sentencia, este episodio nos deja, al menos, una lección: el sabotaje digital tiene graves consecuencias. Si bien el atractivo de la venganza digital puede ser tentador, la realidad es una posibilidad concreta de años de prisión.
Ver 0 comentarios