Hoy en día es común escuchar historias de hackers aprovechando todo tipo de vulnerabilidades en sistemas de software. Robos y secuestros datos, transacciones no autorizadas y una amplia variedad de actividades ilícitas se conocen diariamente en internet —y muchas otras se mantienen en “secreto”—. Sin embargo, lo que no es común es que los artífices de estos actos sean los propios empleados de las compañías perjudicadas. La historia que te contaremos hoy, que involucra a Microsoft, es una de las pocas excepciones.
En Bloomberg se hacen eco de una situación que causó dolores de cabeza a los de Redmond durante 2018. La historia se centra en Volodymyr Kvashuk, un antiguo empleado de Microsoft asignado a un equipo de testers. Su trabajo diario era buscar fallos en la infraestructura de comercio electrónico de la compañía, específicamente en los sistemas de pago. En caso de encontrar alguna vulnerabilidad, debía reportarla a sus superiores, evidentemente.
Este tipo de tareas son muy comunes en el desarrollo de cualquier software y, hasta este momento, no existe nada anormal. El asunto se vuelve interesante porque, en 2017, Kvashuk encontró un bug que cambiaría su vida para siempre. El fallo permitía generar códigos de tarjetas de regalo de Xbox de forma gratuita; esto tras realizar una transacción falsa en la Microsoft Store. Todavía más increíble, los códigos de 25 dígitos eran totalmente funcionales y se podían usar para comprar productos o servicios digitales. Si eres un jugador de Xbox sabes de lo que te estamos hablando.
Lo normal, desde luego, sería que el empleado reportara su hallazgo a Microsoft para darle una rápida solución. ¿Ya te imaginaste lo que sucedió después? Sí, Kvashuk decidió mantener el bug en secreto para llenar sus bolsillos. El ahora ex empleado generó miles de códigos y los vendió en una tienda en línea con atractivos descuentos de hasta el 55%. La venta fue un éxito. Incluso creó una aplicación para automatizar el proceso; con tan solo unos clics podía indicar cuántos códigos necesitaba, su valor (30, 75 o 100) y la moneda (dólares, euros, entre otras). Los de Redmond estiman que el traidor robo equivale a 10 millones de dólares, aproximadamente.
Las sospechas de Microsoft y la caída del empleado
Sin embargo, la anécdota da un giro inesperado cuando algunos códigos comenzaron a fallar. Los afectados no se acercaron a Kvashuk para buscar una solución, sino al servicio de soporte de Microsoft. No obstante, y según explica Bloomberg, en febrero de 2018 la compañía ya estaba enterada de lo que verdaderamente estaba sucediendo. Resulta que un equipo de investigación de fraudes de Microsoft detectó una actividad inusual en sus métricas: las compras de productos digitales con códigos de tarjetas de regalo se incrementaron exponencialmente.
En un principio, Microsoft sospechó que se trataba de un hacker externo haciendo de las suyas. Sin embargo, poco después descubrieron que el artífice era uno de sus empleados por las pistas que dejó en las herramientas de prueba. Kvashuk se quedó sin salida y fue despedido de manera inmediata. Para su suerte, Microsoft no presentó cargos e incluso le permitió vivir en una casa adquirida con los millones de dólares robados.
¿Creías que esta historia terminaría con un final feliz para un delincuente? Pues no es así. Aunque Microsoft prefirió no involucrarse en un conflicto legal directo, sí reportaron el suceso a las autoridades. Estas no iban a permitir que un acto ilegal quedara impune. Kvashuk fue detenido y condenado a 9 años de prisión —que hasta la fecha está cumpliendo— y, al dejar la cárcel en 2027, podría ser deportado a Ucrania, su país de origen.
"Los agentes federales encontraron una lista de Kvashuk con inversiones futuras, escrito en ucraniano. La lista reveló que estaba planeando comprar, entre otras extravagancias, una casa de $4 millones [de dólares] en Maui, una casa de un millón en "las montañas", así como "un yate". El título de la lista era: 'Cómo gestionaré mis próximos 10 millones'".
¿Moraleja? Si encuentras un fallo en un sistema de comercio electrónico —o de cualquier otro tipo—, mejor repórtalo.
