Un tribunal de China ha sentenciado a 10 años y medio de prisión a uno de los programadores del banco Huaxia de Beijing que se volvió millonario explotando una vulnerabilidad en el código de los cajeros automáticos del banco.
Qin Qisheng era parte del equipo de programadores del banco y, como tal, recibía acceso a información sobre los sistemas y equipos de la empresa para protegerla. Sin embargo, Qisheng descubrió una vulnerabilidad que decidió explotar en lugar de parchar: un error en el código de los cajeros automáticos que hacía que no se registraran las transacciones realizadas a medianoche. Es decir que un usuario podía retirar dinero de su cuenta y el banco no lo deducía de su saldo.
La única traba que tenía el usuario para hacerlo era un mensaje de alerta que salía diciendo que la transacción no podía realizarse, pero Qisheng instaló scripts en los sistemas para que esa notificación no se mostrara. El delincuente aprovechó que era el único que conocía la vulnerabilidad y comenzó a retirar entre 5.000 y 20.000 yuan (entre 740 y 2,965 dólares) cada día a medianoche.
De esta manera, el empleado del banco se mantuvo retirando dinero desde noviembre de 2016 hasta enero de 2018. Después de 1.358 transacciones, Qisheng había robado al banco más de 7 millones de yuan, el equivalente a alrededor de 1 millón de dólares.
Cuando el banco descubrió la vulnerabilidad la reportó ante las autoridades, que descubrieron el robo de Qisheng en sus investigaciones. Qisheng se defendió diciendo que solamente estaba evaluando la seguridad del banco y tenía el dinero guardado, listo para devolvérselo a su dueño. El banco Huaxia aceptó la explicación y, a pesar de los grandes daños ocasionados a la empresa y a los peligros a los que la expuso, pidió a las autoridades que le permitieran retirar los cargos en su contra luego de que se le devolviera el dinero robado.
Sin embargo, las autoridades no confiaron en la explicación de Qiseng y rechazaron la solicitud del banco, por lo que se continuó con el proceso judicial en su contra. El tribunal tampoco creyó en su historia, principalmente porque se demostró que el criminal había retirado el dinero de la cuenta que el banco usa para hacer pruebas y lo había depositado en su cuenta personal. También se demostró que el funcionario no estaba guardando el dinero para devolverlo al banco, sino que lo estaba invirtiendo en acciones de la bolsa.
En diciembre de 2018, el tribunal lo encontró culpable de crímenes cometidos hacia el banco y hace poco el delincuente perdió una apelación para evadir su sentencia. A causa de sus acciones, Qisheng deberá cumplir una sentencia de 10 años y medio en prisión y pagar una multa de 11.000 yuanes, ó 1.600 dólares.
Fuentes
A Chinese bank programmer discovered an ATM loophole that let him withdraw $1 million in cash • Insider
Programmer finds ridiculous ATM flaw that let him withdraw $1 million in cash • The Verge
A Chinese bank programmer discovered an ATM loophole that let him withdraw $1 million in cash • Business Insider
Sentencian al funcionario de un banco chino que se volvió millonario explotando una vulnerabilidad en los cajeros automáticos