Un hacker vinculado a un robo de datos en la tienda Target es sentenciado a 14 años de prisión

Un programador informático de Letonia fue condenado a 14 años de prisión por diseñar un programa que ayudó a los piratas informáticos a mejorar un programa (malware), incluido algunos utilizados en la intrusión en la red de Target, en 2013.

Ruslan Bondars, un ciudadano letón de 37 años, fue declarado culpable en un juicio celebrado en mayo en un tribunal federal en Alexandria, Virginia, durante el cual un compañero de conspiración reveló que la pareja había trabajado con la policía rusa.

Los hackers usaron su programa “Scan4You” para ver si los programas antivirus identificaban su software como malicioso y ver si podría ser adaptado en kits vendidos a ciberdelincuentes. Bondars argumentó que hay usos legales para el producto y que él no era responsable de cuando se usó ilegalmente.

“Nuestro programa protege a todos los negocios online; estos negocios tienen usuarios legítimos e ilegítimos”, dijo la abogada defensora Jessica Carmichael en el tribunal el 22 de septiembre.

“Es una teoría interesante”, pero no una que se aplica en casos criminales, respondió el juez Liam O’Grady. Y agregó a Bondars: “No hay ninguna posibilidad de que no sepa el daño que hacen los piratas informáticos que utilizan su servicio para perfeccionarlo”.

Los fiscales dijeron que es común y perfectamente legal responsabilizar a los desarrolladores de software por la creación de productos que podrían usarse tanto para bien como para mal.

“El acusado aparentemente cree que es el único al que se le acusa por crear y vender un producto informático que tenía usos teóricos legítimos. No es. Este ‘malware’ a menudo tiene usos teóricos legales”, escribió el fiscal Kellen Dwyer en su argumento para sentenciarlo.

El co-conspirador, Taylor Huddleston, hizo un argumento similar en una entrevista con el Daily Beast en 2017, diciendo que estaba siendo procesado por diseñar un software que nunca tuvo la intención de que se usara en forma maliciosa.

Huddleston, de 27 años, finalmente se declaró culpable de un delito relacionado con ‘hackeo’ en Alexandria; uno de los co-demandados testificó contra Bondars.

Un usuario de Scan4You estaba detrás del robo de información de tarjetas de crédito en 2013, de aproximadamente 40 millones de clientes de Target.

“Me siento avergonzado porque algunos de los usuarios del sitio web lo usaron para cosas terribles”, dijo Bondars en inglés a la corte, el viernes 22.

Bondars argumentó en documentos judiciales que el servicio tenía poco que ver con la violación masiva de datos, que le costó a Target cientos de millones de dólares. Hizo hincapié en que el ‘malware’ también se ejecutó a través de un servicio de detección de virus convencional y que el propio sistema de seguridad de Target vio la brecha, pero fue ignorado.

El producto de Bondars no se usó para ingresar al sistema de Target ni para robar la información, de acuerdo con el testimonio de la corte. Un experto de Verizon que ayudó a investigar el ataque dijo que los archivos probados en Scan4You probablemente fueron utilizados para determinar dónde se almacenó la información de pago.

Los expertos en seguridad cibernética han dicho que un pirata informático, identificado en la corte como “Perfil 958”, es probablemente un ucraniano llamado Andrey Hodirevski.

Target está exigiendo la restitución de las pérdidas económicas a Bondars; una cantidad que aún no se ha decidido.

Aunque Bondars nunca fue acusado de involucrarse directamente en ningún acto de piratería informática y obtuvo poco dinero de Scan4You, los documentos judiciales muestran que utilizó este programa para robar y engañar a las personas para que compraran este servicio antivirus que no necesitaban.

Los servicios como Scan4You son fáciles de encontrar online; los fiscales dicen que fue una “innovación” en los programas maliciosos que ha inspirado a los imitadores.

Para leer esta nota en inglés, haga clic aquí.