La historia parece salida de una mezcla entre thriller corporativo, episodio de Mr. Robot y comedia involuntaria.

Dos hermanos gemelos, despedidos de una empresa contratista del gobierno de Estados Unidos, habrían decidido vengarse borrando 96 bases de datos vinculadas a organismos federales, incluyendo sistemas relacionados con solicitudes FOIA (Freedom of Information Act) y otros registros sensibles.

Pero lo más increíble del caso no es solamente el sabotaje.

Es que, según trascendió en documentos judiciales y reportes públicos, los acusados habrían dejado abierta la reunión de Microsoft Teams en la que fueron despedidos… y terminaron grabándose mientras planificaban y ejecutaban el ataque.

Sí: una especie de “audio comentario del delito”.

El caso

De acuerdo con el Departamento de Justicia de Estados Unidos, Sohaib Akhter fue recientemente declarado culpable por un jurado federal en relación con el borrado masivo de bases de datos pertenecientes a un contratista federal identificado en la acusación únicamente como “Company-1”.

Aunque los documentos oficiales mantienen anonimizada a la empresa, distintos reportes periodísticos la identifican públicamente como Opexus, una compañía vinculada a soluciones de gestión documental y sistemas utilizados por agencias gubernamentales estadounidenses.

Según la acusación, Sohaib y su hermano Muneeb Akhter trabajaban para esa empresa contratista hasta que fueron despedidos.

Poco después, comenzaron las acciones de sabotaje.

La investigación sostiene que los hermanos utilizaron credenciales y accesos que todavía mantenían activos para eliminar decenas de bases de datos críticas a lo largo de varias horas.

El impacto no fue menor.

Las bases afectadas estaban vinculadas a registros gubernamentales y sistemas relacionados con FOIA, la legislación estadounidense que permite a ciudadanos y periodistas solicitar acceso a documentos públicos.

En otras palabras: no se trataba simplemente de “romper algo interno”. Se trataba de infraestructura vinculada a transparencia estatal y preservación de información federal.

El detalle más absurdo: la reunión de Teams

Dentro de un caso ya bastante cinematográfico, hay un detalle que se volvió especialmente viral.

Según reportes sobre el proceso judicial, los hermanos habrían olvidado finalizar la reunión de Microsoft Teams utilizada para comunicarles el despido.

Eso implicó que parte de las conversaciones posteriores —incluyendo planificación y ejecución del borrado— quedaran registradas.

En el mundo de la ciberseguridad esto probablemente entre directo en la categoría de:

“el OPSEC murió primero”.

Porque si algo enseña este episodio es que muchos ataques no fracasan por controles sofisticados, sino por errores humanos absurdamente simples.

Y eso aplica tanto a defensores como a atacantes.

Un insider con acceso legítimo puede ser más peligroso que un APT

Más allá de lo llamativo y casi ridículo de algunos detalles, el caso deja una reflexión muy seria.

Cuando se habla de ciberataques, gran parte de la conversación pública gira alrededor de hackers externos, ransomware, grupos patrocinados por estados o amenazas “de película”.

Sin embargo, históricamente uno de los riesgos más complejos y destructivos es el atacante interno.

Especialmente cuando:

• tiene acceso legítimo

• conoce los sistemas

• entiende los procesos

• sabe qué borrar

• y además actúa motivado emocionalmente

Un empleado resentido, despedido o en conflicto puede generar daños enormes en períodos extremadamente cortos.

Y muchas veces sin necesidad de explotar vulnerabilidades sofisticadas.

Porque el problema no es “hackear” el acceso.

El problema es que ya lo tiene.

El gran problema de los accesos después del despido

Uno de los puntos más importantes del caso es algo que en seguridad se repite desde hace años:

los procesos de offboarding suelen ser muchísimo peores de lo que las empresas creen.

En muchas organizaciones:

• las cuentas no se deshabilitan inmediatamente

• quedan sesiones activas

• existen accesos secundarios olvidados

• persisten VPNs habilitadas

• siguen funcionando tokens

• o simplemente nadie tiene claro todo lo que una persona podía tocar

Y cuanto más compleja es la infraestructura, peor suele ser el problema.

El caso Akhter muestra justamente eso.

No hizo falta malware avanzado. No hizo falta vulnerar firewalls. No hizo falta una operación estatal.

Alcanza con alguien que conoce el entorno, tiene privilegios y decide destruir.

El componente emocional de la ciberseguridad

Hay otro elemento interesante que suele subestimarse: la seguridad no es solamente tecnología, también es psicología humana.

Muchos incidentes internos ocurren en contextos de:

• despidos

• conflictos laborales

• sensación de injusticia

• problemas económicos

• disputas personales

• ego

• venganza

Y eso vuelve particularmente delicados los momentos de transición laboral.

Las empresas suelen enfocarse muchísimo en prevenir ataques externos mientras minimizan el impacto potencial de alguien que ya conoce los sistemas desde adentro.

Paradójicamente, muchas veces el atacante más peligroso ya tiene credencial corporativa, acceso VPN y reuniones semanales con el equipo.

Lecciones del caso

El episodio deja varias lecciones importantes para organizaciones públicas y privadas:

1. El offboarding es un proceso crítico de seguridad

Dar de baja accesos no puede depender de un mail manual o de “alguien de TI que lo haga después”.

Tiene que existir automatización, checklist y validación.

2. El principio de mínimo privilegio importa

Muchas organizaciones acumulan permisos durante años.

Cuando ocurre un incidente interno, recién ahí descubren que una persona tenía más acceso del que cualquiera imaginaba.

3. El monitoreo interno importa tanto como el externo

Detectar comportamientos anómalos de usuarios internos es clave.

Borrados masivos, accesos fuera de horario, exportaciones extrañas o cambios repentinos deberían generar alertas inmediatas.

4. El factor humano sigue siendo central

Ni la mejor herramienta reemplaza procesos maduros y cultura organizacional.

No todo son hackers con canguro negro

La industria de la ciberseguridad suele romantizar mucho la figura del “hacker externo”.

Pero muchos de los incidentes más destructivos de la historia fueron ejecutados por personas que ya estaban adentro.

Personas con usuario válido. Personas con conocimiento interno. Personas que sabían exactamente dónde golpear.

Y a veces, como aparentemente ocurrió en este caso, personas lo suficientemente distraídas como para dejar grabada su propia operación en una reunión de Teams.

Porque en ciberseguridad, la realidad suele ser bastante más absurda que la ficción.