Hace solo un par de días se ha producido el juicio a Zammis Clark, un informático de 24 años que se ha declarado culpable de hackear las redes internas de Microsoft y Nintendo para robar información confidencial.
Este informático, especialista en análisis de ciberseguridad, había trabajado en Malwarebytes y en 2015 había sido ya responsable de una intrusión a servidores de la compañía Vtech.
Hackeo a Microsoft
En enero de 2017, Zammis Clark accedió a un servidor de Microsoft usando credenciales internas, y subió a este servidor una webshell (es decir, un script que permite el acceso remoto al servidor aprovechando alguna vulnerabilidad) que le permitió acceder remotamente a la red interna de Microsoft durante al menos 3 semanas. Durante este tiempo, aprovechó para subir aún más webshells que permitían realizar búsquedas y descargar ficheros en servidores que contenían información confidencial sobre versiones de Windows en fase beta (también conocidas como versiones preview o pre-release).
Pero no sólo eso: Clark compartió este acceso a usuarios de una sala de chat (más técnicamente, vía IRC: Internet Relay Chat). Esto supuso que más hackers se unieran al ataque a Microsoft a nivel internacional: alemanes, franceses, emiratíes (de los Emiratos Árabes)… En total, se vieron comprometidos más de 43000 ficheros de Microsoft. Según la empresa, supuso daños de unos 2 millones de dólares.
Se descubrió al responsable tras una investigación conjunta entre – ni más ni menos – el FBI, la EUROPOL (agencia de policía de la UE), la sección de seguridad de Microsoft y la NCCU (agencia estatal de Inglaterra contra el cibercrimen). Clark fue arrestado, pero quedó libre bajo fianza y no se le restringió el acceso a ordenadores o Internet.
Hackeo a Nintendo
Este segundo ataque se produjo en marzo de 2018 y duró hasta que, dos meses después, la compañía descubrió la brecha de seguridad. El hacker accedió esta vez a servidores que alojaban los videojuegos en proceso de desarrollo, cuyo contenido, obviamente, era totalmente confidencial. Además, tuvo acceso a más de 2000 credenciales de usuarios. Nintendo estima el coste del ataque entre 900.000 y 1,8 millones de dólares.
Condena
Tras declararse culpable, el juez ha decidido este 28 de marzo que la condena será de 15 meses de prisión suspendida, es decir, que no deberá pasar tiempo en prisión siempre que no reincida en el delito. Esta decisión ha sido tomada teniendo en cuenta las características concretas del caso: el condenado tiene autismo y prosopagnosia (también llamada ceguera facial, un desorden que impide reconocer rostros de personas), lo cual dificultaría mucho su estancia en prisión. Eso sí: si reincurre, se enfrentaría a una multa y hasta 5 años de prisión.
Declaraciones de Microsoft y Nintendo
Ambas compañías han admitido el ataque y han informado de que no había datos personales de los usuarios en la información robada. Además, han hecho hincapié en la importancia de la seguridad informática y su contínuo esfuerzo por mejorar en este sentido (¡cómo no!).
Vía: TheVerge