600,000 dólares por reja: cómo el hackeo legal se convirtió en una demanda contra el estado

A veces, la mejor recompensa por un excelente trabajo no es un bono, sino la ausencia de una sentencia de cárcel. Para Gary DeMercurio y Justin Winn, esta ironía se convirtió en realidad, extendiéndose durante seis largos años. La historia comenzó en septiembre de 2019, cuando la empresa de ciberseguridad Coalfire recibió un contrato perfectamente legal del sistema judicial de Iowa.

La tarea era cristalina: probar qué tan fácil sería para un extraño penetrar edificios gubernamentales. Esta es una práctica estándar para Red Teaming, donde los especialistas simulan las acciones de los atacantes para encontrar vulnerabilidades antes de que los delincuentes reales puedan explotarlas. Gary y Justin abordaron el trabajo con responsabilidad, pero no tuvieron en cuenta un factor que ninguna especificación técnica podría prepararlos — el orgullo herido de las autoridades locales.

En esa noche fatídica, los pentesters penetraron exitosamente en el edificio de la corte del condado de Dallas. No rompieron puertas con un mazo, sino que utilizaron sus habilidades profesionales. Cuando sonó la alarma, no corrieron a escapar, sino que esperaron a la policía para poder presentar su "tarjeta para salir de la cárcel" — una carta oficial del estado confirmando su autoridad.

En un mundo normal, habría terminado con una breve conversación e un informe de vulnerabilidades. Pero el sheriff del condado de Dallas, Chad Leonard, decidió de otra manera. Para él, esto no era una prueba de seguridad, sino una ofensa personal.

A pesar de tener un contrato, los especialistas fueron arrestados y acusados de robo con allanamiento de tercer grado. El sheriff declaró públicamente que nadie tiene derecho a entrar en "su" edificio después del cierre, incluso con una orden de la capital del estado.

Este incidente provocó un cambio tectónico en la comunidad de ciberseguridad. De repente resultó que incluso trabajando bajo un contrato oficial, puedes terminar tras las rejas por un conflicto de intereses entre el estado y el condado. Gary y Justin no pasaron mucho tiempo en la cárcel, pero los cargos se cernieron sobre ellos durante meses, arruinando su reputación y carrera. Aunque los cargos fueron posteriormente reducidos y luego retirados bajo presión pública y sentido común, el daño estaba hecho. Los especialistas demandaron al condado de Dallas, acusando a las autoridades de arresto ilegal y difamación. Argumentaron que fueron utilizados como peones en una lucha política entre funcionarios locales y la administración judicial del estado.

La batalla legal duró años, convirtiéndose en un maratón agotador. Las autoridades del condado siguieron intentando justificar las acciones del sheriff, insistiendo en que los pentesters supuestamente habían excedido el alcance de su trabajo. Sin embargo, los hechos decían lo contrario: el contrato fue firmado, los objetivos definidos y los métodos se ajustaban a los estándares profesionales. En última instancia, el condado de Dallas prefirió no proceder a un juicio completo con jurado y acordó un acuerdo. La suma de 600 mil dólares no es simplemente una compensación por daños morales y gastos legales. Es el precio que los contribuyentes pagaron por la incompetencia y terquedad de un sheriff en particular.

Esta historia importa no solo por el dinero. Crea un precedente crítico para toda la industria de pruebas de penetración física. Ahora las empresas que contratan especialistas para verificar la seguridad verificarán tres veces si las autoridades locales fueron informadas y no tendrán el deseo de jugar a héroes de películas de acción. Para los propios "hackers éticos", esto es un recordatorio de que la claridad legal en un contrato no es un lujo, sino la única forma de sobrevivir en un mundo donde la burocracia a veces es más peligrosa que cualquier exploit. Gary y Justin finalmente pueden dejar esta pesadilla atrás, pero la cicatriz en la industria permanecerá durante mucho tiempo.

Lo principal: la protección legal para pentesters debe ser tan confiable como su software, de lo contrario tendrá que pagar por irrumpir en sistemas de seguridad con su libertad.