Los fiscales federales han acusado a un hombre de un supuesto plan de “hack-to-trade” que le valió millones de dólares al irrumpir en las cuentas de Office365 de ejecutivos de empresas que cotizan en bolsa y obtener informes financieros trimestrales antes de que se hicieran públicos.
La acción, adoptada por la oficina del Fiscal Federal para el distrito de Nueva Jersey, acusa al ciudadano británico Robert B. Westbrook de ganar aproximadamente 3,75 millones de dólares en 2019 y 2020 con operaciones bursátiles que capitalizaron la información obtenida ilícitamente. Después de acceder a él, dijeron los fiscales, ejecutó operaciones bursátiles. El aviso previo le permitió actuar y sacar provecho de la información antes que el público en general. La Comisión de Bolsa y Valores de Estados Unidos presentó una demanda civil separada contra Westbrook buscando una orden para que pague sanciones civiles y devuelva todas las ganancias obtenidas ilícitamente.
Compra barato, vende caro
“La SEC está comprometida en esfuerzos continuos para proteger a los mercados y a los inversores de las consecuencias del fraude cibernético”, dijo Jorge G. Tenreiro, jefe interino de la Unidad Cibernética y Criptoactivos de la SEC, en un declaración. “Como lo demuestra este caso, a pesar de que Westbrook tomó múltiples medidas para ocultar su identidad, incluido el uso de cuentas de correo electrónico anónimas, servicios VPN y el uso de bitcoins, el análisis de datos avanzado, el rastreo de criptoactivos y la tecnología de la Comisión pueden descubrir fraude incluso en casos que involucran sistemas sofisticados. piratería internacional”.
A acusación federal La demanda presentada ante el Tribunal de Distrito de los Estados Unidos para el Distrito de Nueva Jersey decía que Westbrook irrumpió en las cuentas de correo electrónico de ejecutivos de cinco empresas que cotizan en bolsa en los Estados Unidos. Logró las infracciones abusando del mecanismo de restablecimiento de contraseña que Microsoft ofrecía para las cuentas de Office365. En algunos casos, Westbrook supuestamente creó reglas de reenvío que enviaban automáticamente todos los correos electrónicos entrantes a una dirección de correo electrónico que él controlaba.
Los fiscales alegaron en uno de esos incidentes:
El 26 de enero de 2019 o alrededor de esa fecha, WESTBROOK obtuvo acceso no autorizado a la cuenta de correo electrónico de Office365 del Director de Finanzas y Contabilidad de la Compañía-1 (“Individuo-!”) a través de un restablecimiento de contraseña no autorizado. Durante la intrusión, se implementó una regla de reenvío automático, que fue diseñada para reenviar automáticamente contenido desde la cuenta de correo electrónico comprometida de Individuo-1 a una cuenta de correo electrónico controlada por WESTBROOK. En el momento de la intrusión, la cuenta de correo electrónico comprometida del Individuo-I contenía información no pública sobre las ganancias trimestrales de la Compañía-1, lo que indicaba que las ventas de la Compañía-1 habían bajado.
Una vez que una persona obtiene acceso no autorizado a una cuenta de correo electrónico, es posible ocultar la infracción desactivando o eliminando las alertas de restablecimiento de contraseña y ocultando las reglas de restablecimiento de contraseña en lo más profundo de la configuración de la cuenta.
Los fiscales no dijeron cómo el acusado logró abusar de la función de reinicio. Normalmente, estos mecanismos requieren el control de un teléfono móvil o una cuenta de correo electrónico registrada que pertenece al titular de la cuenta. En 2019 y 2020, muchos servicios en línea también permitirían a los usuarios restablecer contraseñas respondiendo preguntas de seguridad. La práctica todavía se utiliza hoy en día, pero poco a poco ha ido perdiendo popularidad a medida que se comprenden mejor los riesgos.
Al obtener información material, Westbrook pudo predecir cómo se comportarían las acciones de una empresa una vez que se hicieran públicas. Cuando era probable que los resultados hicieran bajar los precios de las acciones, colocaba opciones de “venta”, que daban al comprador el derecho de vender acciones a un precio específico dentro de un lapso de tiempo específico. La práctica permitió a Westbrook obtener ganancias cuando las acciones cayeron después de que los resultados financieros se hicieran públicos. Cuando era probable que los resultados positivos hicieran subir los precios de las acciones, Westbrook supuestamente compró acciones cuando aún estaban bajas y luego las vendió a un precio más alto.
Los fiscales acusaron a Westbrook de un cargo de fraude de valores y de fraude electrónico y de cinco cargos de fraude informático. El cargo de fraude de valores conlleva una pena máxima de hasta 20 años de prisión y 5 millones de dólares en multas. El cargo de fraude electrónico conlleva una pena máxima de hasta 20 años de prisión y una multa de 250.000 dólares o el doble de la ganancia o pérdida del ofensa, la que sea mayor. Cada cargo de fraude informático conlleva una pena máxima de cinco años de prisión y una multa máxima de 250.000 dólares o el doble de la ganancia o pérdida del delito, lo que sea mayor.
La oficina del Fiscal Federal en el Distrito de Nueva Jersey no decir si Westbrook ha hecho una comparecencia inicial ante el tribunal o si se ha declarado culpable.