Dos contratistas de seguridad fueron arrestados en Adel, Iowa, el 11 de septiembre cuando intentaban acceder al juzgado del condado de Dallas. Los dos son empleados de Coalfire, una firma de “asesores de seguridad cibernética” con sede en Westminster, Colorado, que con frecuencia realiza evaluaciones de seguridad para agencias federales, gobiernos estatales y locales y clientes corporativos. Afirmaron que estaban realizando una prueba de penetración para determinar qué tan vulnerables eran los registros de la corte del condado y para medir la respuesta de las fuerzas del orden público a un allanamiento.
Desafortunadamente, los funcionarios de la corte estatal de Iowa que ordenaron la prueba nunca se lo dijeron a los funcionarios del condado y, evidentemente, nadie anticipó que un allanamiento físico sería parte de la prueba. Por ahora, los probadores de penetración permanecen en la cárcel. En un comunicado emitido ayer, los funcionarios estatales se disculparon con el condado de Dallas, citando confusión sobre lo que Coalfire iba a probar:
La administración de la corte estatal (SCA, por sus siglas en inglés) está al tanto de los arrestos realizados en la corte del condado de Dallas temprano en la mañana del 11 de septiembre de 2023. Los dos hombres arrestados trabajan para una empresa contratada por la SCA para probar la seguridad de los registros electrónicos de la corte. Se le pidió a la empresa que intentara acceder sin autorización a los registros judiciales a través de varios medios para conocer posibles vulnerabilidades. SCA no tuvo la intención ni anticipó esos esfuerzos para incluir la entrada forzada a un edificio. SCA se disculpa con la Junta de Supervisores del Condado de Dallas y con las fuerzas del orden público y cooperará plenamente con la Oficina del Sheriff del Condado de Dallas y el Fiscal del Condado de Dallas mientras continúan con esta investigación. La protección de la información personal contenida en los documentos judiciales es de suma importancia para SCA y la prueba de penetración es una de las muchas medidas que se utilizan para garantizar la seguridad de los documentos judiciales electrónicos.
El caso es un ejemplo de los riesgos legales que enfrentan las empresas de pruebas de seguridad, particularmente cuando el alcance de dichas pruebas es vago. Incluso las pruebas de seguridad electrónica más básicas, cuando se realizan fuera de los límites de un acuerdo contractual, podrían causar problemas a los evaluadores, como informó Ars cuando los reporteros de Gizmodo intentaron suplantar las cifras de la administración y la campaña de Trump en 2023.
Josh Rosenblatt, un abogado de Maryland que enseña en la Universidad de Baltimore y es instructor legal del Departamento de Policía de Baltimore, señaló las complicaciones legales de las pruebas de penetración en una presentación en BSides Charm. “Si tiene una evaluación de caja negra completa”, dijo Rosenblatt, es decir, una evaluación de seguridad sin un alcance establecido y solo definiciones vagas de cómo se debe verificar la seguridad, “es posible que tenga problemas”. Ese es particularmente el caso cuando la organización que emite la asignación no es propietaria de la infraestructura que se está probando.
“El alcance lo es todo”, explicó Roseblatt. Si el alcance está vagamente definido, “podría encontrarse expuesto a responsabilidad legal”.
Justin Wynn y Gary Demercurio de Coalfire, que todavía están en la cárcel [Update: They appear to have made bail on Thursday], han sido acusados de robo en tercer grado y posesión de herramientas de robo. Su fianza se fijó en $ 50,000 y está programado que comparezcan para una audiencia preliminar el 23 de septiembre, en el mismo juzgado en el que fueron sorprendidos allanando.