El ingeniero chino que vive legalmente en Houston, Texas, en los Estados Unidos, instaló un código malicioso y un “kill switch” que bloqueó a miles de empleados tras su despido, causando pérdidas millonarias.
Davis Lu, un ciudadano chino de 55 años que reside legalmente en Houston, en el estado de Texas, fue condenado recientemente a cuatro años de prisión por sabotear la red de Windows de su antiguo empleador mediante un malware personalizado. Tras cumplir su condena, deberá pasar además tres años en libertad supervisada.
Según el Departamento de Justicia (DOJ), Davis Lu trabajó para la compañía Eaton Corporation, con sede en Ohio, desde el año 2007 hasta su despido en septiembre de 2019. El conflicto comenzó después de una reestructuración interna en 2018, cuando fue degradado de su puesto. A modo de represalia, desarrolló código malicioso que insertó en el entorno de producción de la empresa.
El sabotaje incluyó un bucle infinito en Java que buscaba sobrecargar los servidores y derrumbar los sistemas de producción. Además, Lu diseñó un interruptor denominado IsDLEnabledinAD (“Is Davis Lu enabled in Active Directory”), programado para bloquear a todos los usuarios si su propia cuenta en Active Directory era deshabilitada.
El 9 de septiembre de 2019, cuando la compañía terminó su contrato y su acceso fue revocado, el mecanismo se activó. Como resultado, miles de empleados fueron literalmente expulsados de sus cuentas y los sistemas quedaron paralizados. “El acusado traicionó la confianza de su empleador utilizando su acceso y conocimientos técnicos para sabotear las redes de la empresa, causando estragos y cientos de miles de dólares en pérdidas a una compañía estadounidense”, señaló Matthew R. Galeotti, Fiscal General Adjunto en funciones.
Las investigaciones también revelaron que, al ser requerido a devolver su laptop, Davis Lu eliminó datos cifrados del dispositivo. En él, los analistas hallaron búsquedas relacionadas con cómo escalar privilegios, ocultar procesos y borrar archivos de manera rápida.
Un jurado lo declaró culpable a inicios de este año por causar de manera intencional daños a sistemas protegidos. La sentencia marca un caso emblemático sobre cómo un solo empleado con acceso privilegiado puede comprometer la operación completa de una compañía.