Cinco años de cárcel para un proveedor de TI por robar dinero a sus clientes
Las recientes condenas a proveedores con acceso a las redes y activos empresariales ponen de relieve el riesgo de dar privilegios a los insiders.
Zeldon Morris, un informático de Provo, en Utah, ha sido sentenciado esta semana a más de cinco años de prisión tras encontrarle culpable de robar cerca de 2 millones de dólares de cuatro cooperativas de ahorro y crédito a las que prestaba servicios de TI. Además, el juez del Distrito de Utah que lleva el caso ha condenado a Morris apagar más de 1,8 millones de dólares a sus víctimas y a cinco años de libertad vigilada una vez completada su estancia en prisión.
En diciembre, Morris fue declarado culpable de utilizar sus privilegios de acceso informático para robar dinero de las entidades de ahorro: Family First Federal Credit Union, Alpine Credit Union, Deseret First Credit Union, y First Credit Union.
Esta noticia se ha producido pocos días después de conocerse otra sentencia similar contra el administrador de red Terry Childs, culpable de cerrar durante días una red clave para la ciudad de San Francisco en 2008. El resultado de su delito fue la pérdida de control administrativo sobre la red por parte de los funcionarios municipales durante más de 10 días. Como consecuencia, la ciudad tuvo que gastar cientos de miles de dólares en la recuperación tras la interrupción del servicio.
Ambos son ejemplos de lo que los analistas han venido advirtiendo desde hace tiempo: el subestimado peligro de los insiders.
Morris estaba subcontratado por Open Source Solutions, una firma de servicios informáticos y, como tal, se suponía que ayudaría a las cuatro cooperativas de crédito a mejorar sus sistemas. Como parte de su trabajo, Morris recibió acceso remoto y local sin restricciones a las redes de las entidades.
Morris utilizó sus privilegios para iniciar varias transacciones ACH (Cámara de Compensación Automatizada) ficticias, según el sumario judicial que describe los robos a Family First Federal Credit Union. Las transferencias se depositaron en cuentas bancarias de Morris, incluyendo una cuenta de empresa que operaba junto a un socio. Morris utilizaba números ACH ficticios o utilizados anteriormente para hacer los depósitos en sus propias cuentas. En su defensa, Morris dijo que fueron sus “conocimientos especializados” de los sistemas de las instituciones financieras los que le permitieron llevar a cabo los robos durante dos años sin ser detectado.
En total, Morris admitió haber robado cerca de 1,2 millones de dólares de First Family, unos 82.000 dólares de Alpine, cerca de 635.000 dólares de Deseret y 93.000 de First Credit. Según la documentación judicial, los robos habrían pasado desapercibidos si el socio de Morris no hubiera alertado a Family First de unos cuantiosos e inusuales depósitos ACH en la cuenta bancaria que tenía junto a Morris.
El caso es similar a otros incontables casos de robos, sabotajes y datos comprometidos por los proveedores con acceso privilegiado a los sistemas y redes empresariales. Los investigadores en seguridad vienen manteniendo desde hace tiempo que estos pícaros insiders tienen más peligro que los hackers externos.
