Noticias

Sentencian al funcionario de un banco chino que se volvió millonario explotando una vulnerabilidad en los cajeros automáticos

Un tribunal de China ha sentenciado a 10 años y medio de prisión a uno de los programadores del banco Huaxia de Beijing que se volvió millonario explotando una vulnerabilidad en el código de los cajeros automáticos del banco.

Qin Qisheng era parte del equipo de programadores del banco y, como tal, recibía acceso a información sobre los sistemas y equipos de la empresa para protegerla. Sin embargo, Qisheng descubrió una vulnerabilidad que decidió explotar en lugar de parchar: un error en el código de los cajeros automáticos que hacía que no se registraran las transacciones realizadas a medianoche. Es decir que un usuario podía retirar dinero de su cuenta y el banco no lo deducía de su saldo.

La única traba que tenía el usuario para hacerlo era un mensaje de alerta que salía diciendo que la transacción no podía realizarse, pero Qisheng instaló scripts en los sistemas para que esa notificación no se mostrara. El delincuente aprovechó que era el único que conocía la vulnerabilidad y comenzó a retirar entre 5.000 y 20.000 yuan (entre 740 y 2,965 dólares) cada día a medianoche.

De esta manera, el empleado del banco se mantuvo retirando dinero desde noviembre de 2016 hasta enero de 2018. Después de 1.358 transacciones, Qisheng había robado al banco más de 7 millones de yuan, el equivalente a alrededor de 1 millón de dólares.

Cuando el banco descubrió la vulnerabilidad la reportó ante las autoridades, que descubrieron el robo de Qisheng en sus investigaciones. Qisheng se defendió diciendo que solamente estaba evaluando la seguridad del banco y tenía el dinero guardado, listo para devolvérselo a su dueño. El banco Huaxia aceptó la explicación y, a pesar de los grandes daños ocasionados a la empresa y a los peligros a los que la expuso, pidió a las autoridades que le permitieran retirar los cargos en su contra luego de que se le devolviera el dinero robado.

Sin embargo, las autoridades no confiaron en la explicación de Qiseng y rechazaron la solicitud del banco, por lo que se continuó con el proceso judicial en su contra. El tribunal tampoco creyó en su historia, principalmente porque se demostró que el criminal había retirado el dinero de la cuenta que el banco usa para hacer pruebas y lo había depositado en su cuenta personal. También se demostró que el funcionario no estaba guardando el dinero para devolverlo al banco, sino que lo estaba invirtiendo en acciones de la bolsa.

En diciembre de 2018, el tribunal lo encontró culpable de crímenes cometidos hacia el banco y hace poco el delincuente perdió una apelación para evadir su sentencia. A causa de sus acciones, Qisheng deberá cumplir una sentencia de 10 años y medio en prisión y pagar una multa de 11.000 yuanes, ó 1.600 dólares.

Fuentes
A Chinese bank programmer discovered an ATM loophole that let him withdraw $1 million in cash • Insider
Programmer finds ridiculous ATM flaw that let him withdraw $1 million in cash • The Verge
A Chinese bank programmer discovered an ATM loophole that let him withdraw $1 million in cash • Business Insider

Sentencian al funcionario de un banco chino que se volvió millonario explotando una vulnerabilidad en los cajeros automáticos

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada