AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Detención de pentesters en Iowa: Un caso que alerta sobre los riesgos legales en ejercicios de Red Team**

admin

### Introducción

En septiembre de 2019, dos profesionales de la ciberseguridad fueron arrestados en el estado de Iowa, Estados Unidos, mientras realizaban una prueba de penetración contratada por una entidad estatal. Este incidente ha tenido un impacto significativo en la comunidad de seguridad, poniendo de relieve los desafíos legales y operativos que enfrentan los equipos de Red Team y los pentesters en el ejercicio de sus funciones. El incidente, que involucró a empleados de la firma Coalfire, ha desencadenado debates sobre los límites de la simulación de ataques, la interpretación de los contratos y la protección legal de los profesionales de ciberseguridad.

### Contexto del Incidente

El 11 de septiembre de 2019, Gary Demercurio y Justin Wynn, ambos consultores sénior de Coalfire, fueron detenidos al intentar acceder físicamente al Dallas County Courthouse, en Iowa. El acceso formaba parte de los servicios de evaluación de seguridad contratados por el poder judicial del estado, que incluían pruebas de penetración física y digital para identificar vulnerabilidades en la seguridad de las instalaciones y los sistemas.

A pesar de portar documentación que acreditaba su autorización para realizar dichas pruebas—incluyendo cartas de encomienda y contratos firmados—los agentes del sheriff los arrestaron por allanamiento y robo en tercer grado. El malentendido se debió a una falta de comunicación entre la entidad contratante (poder judicial) y las fuerzas de seguridad locales, lo que puso en entredicho los protocolos de coordinación en este tipo de ejercicios.

### Detalles Técnicos

Los servicios contratados por el poder judicial de Iowa abarcaban simulaciones de intrusión física, ingeniería social, test de aplicaciones web y auditoría de redes internas y externas. Los consultores de Coalfire pusieron en práctica técnicas que se corresponden con las tácticas y procedimientos (TTPs) del framework MITRE ATT&CK, como Initial Access (T1190), Lateral Movement (T1021) e Impersonation (T1040).

En cuanto a la parte técnica, se emplearon herramientas estándar del sector, incluyendo suites como Metasploit para pruebas de explotación, Kali Linux para test de penetración y emulación de escenarios reales de ataque. No se emplearon exploits Zero-Day ni técnicas destructivas, y toda la actividad estaba documentada y reportada según los requisitos de la contratación.

Los Indicadores de Compromiso (IoC) generados durante el ejercicio fueron compartidos posteriormente con la organización cliente para reforzar su postura defensiva y actualizar su inventario de amenazas.

### Impacto y Riesgos

El arresto y posterior procesamiento judicial de los pentesters generó una ola de preocupación en la industria. Aunque finalmente los cargos se retiraron en enero de 2020 tras constatarse que actuaban bajo contrato, el proceso legal supuso un coste reputacional y económico tanto para los profesionales como para Coalfire. La firma reportó gastos legales superiores a los 100.000 dólares y una pérdida temporal de confianza por parte de clientes gubernamentales.

Este incidente subraya el riesgo legal y personal al que se exponen los pentesters, especialmente en contextos donde la comunicación entre las partes involucradas no es exhaustiva o los contratos no cubren todos los escenarios posibles. Además, pone de relieve la necesidad de considerar no solo la legislación local (en este caso, la ley penal de Iowa), sino también normativas internacionales como GDPR y NIS2, que exigen pruebas de seguridad pero no armonizan sus procesos de autorización.

### Medidas de Mitigación y Recomendaciones

Para minimizar riesgos en ejercicios de Red Team, los expertos recomiendan:

– Establecer contratos exhaustivos con cláusulas explícitas sobre el alcance del test, incluyendo actividades físicas.
– Notificación previa y coordinación directa con las fuerzas de seguridad locales y federales.
– Uso de documentos de autorización firmados por altos cargos de la organización contratante.
– Implementación de procedimientos de emergencia ante detenciones o malentendidos (línea directa legal, contacto con responsables del cliente).
– Revisión periódica de la legislación aplicable y asesoramiento legal especializado.

Algunos marcos de referencia, como el estándar CREST y las directrices de la OSCP, aconsejan establecer protocolos internos para la gestión de crisis durante ejercicios de Red Teaming.

### Opinión de Expertos

Profesionales del sector, como el SANS Institute y la Electronic Frontier Foundation, han señalado que este incidente pone de manifiesto «la desprotección jurídica de los profesionales de ciberseguridad ante lagunas legales y operativas». Mark Weatherford, ex-CISO del DHS estadounidense, subrayó que «la coordinación con autoridades locales es tan importante como el test técnico en sí, y cualquier omisión puede poner en riesgo a los consultores y al cliente».

### Implicaciones para Empresas y Usuarios

Para las empresas, especialmente aquellas sujetas a normativas como GDPR, PCI DSS o NIS2, este caso es un recordatorio de la importancia de definir claramente la cadena de mando y la comunicación interna y externa en pruebas de seguridad. Los usuarios finales también pueden verse afectados si un incidente de este tipo interrumpe servicios esenciales o expone datos confidenciales por errores de coordinación.

Las organizaciones deben revisar sus políticas de contratación de servicios de seguridad, asegurándose de que incluyen salvaguardas legales y operativas adecuadas para todos los escenarios posibles.

### Conclusiones

La detención de pentesters en Iowa en 2019 constituye una llamada de atención para el sector de la ciberseguridad. A medida que las pruebas de intrusión y los ejercicios de Red Team se convierten en prácticas estándar, es vital que las organizaciones y los profesionales adopten medidas preventivas no solo técnicas, sino también legales y procedimentales, para evitar que un ejercicio legítimo se convierta en un problema judicial. Solo así se podrá garantizar la eficacia y la seguridad de los servicios de ciberseguridad en un contexto regulatorio cada vez más complejo.

(Fuente: www.darkreading.com)