El condado pagará 600 mil dólares a los expertos en pentesting arrestados durante una revisión de seguridad judicial

 (arstechnica.com)
1 puntos por GN⁺ 2026-01-31 | 1 comentarios | Compartir por WhatsApp
  • Dos expertos en seguridad arrestados en 2019 durante una revisión de seguridad de un tribunal en Iowa recibirán un acuerdo de 600 mil dólares en una demanda por arresto injustificado y difamación
  • Ambos eran pentesters de Coalfire Labs y realizaban una prueba de intrusión simulada de “equipo rojo” oficialmente autorizada por el poder judicial de Iowa
  • La prueba especificaba que podía incluir ataques físicos (como ganzuado de cerraduras), pero las autoridades locales de seguridad los arrestaron por cargo grave de robo
  • Después los cargos se redujeron a allanamiento menor, pero el sheriff del condado de Dallas siguió afirmando que se trató de un acto ilegal y mantuvo las críticas públicas
  • El caso se interpreta como una advertencia de que los profesionales de seguridad pueden ser arrestados durante pruebas legítimas, y provocó cambios importantes en los procedimientos de pruebas de intrusión física

Resumen del caso

  • En 2019, Gary DeMercurio y Justin Wynn fueron arrestados mientras realizaban una revisión de seguridad oficialmente aprobada en el tribunal del condado de Dallas, Iowa
    • Ambos trabajaban para Coalfire Labs, una empresa de seguridad con sede en Colorado, y realizaban una intrusión simulada de “equipo rojo” con autorización escrita del poder judicial de Iowa
    • La prueba tenía como objetivo verificar la resistencia de las defensas de seguridad imitando métodos de intrusión usados por delincuentes reales o hackers
  • Según las reglas, estaban permitidos los ataques físicos (como abrir cerraduras), siempre que no causaran daños graves

Arresto y respuesta legal

  • Ambos fueron arrestados por robo grave en tercer grado, pasaron 20 horas detenidos y fueron liberados con una fianza de 50 mil dólares cada uno
  • Más tarde los cargos se redujeron a allanamiento menor, pero el sheriff del condado de Dallas, Chad Leonard, siguió sosteniendo que era un acto ilegal y continuó con la condena pública
  • Los dos presentaron una demanda por arresto injustificado y difamación, y seis años después del incidente recibirán un acuerdo de 600 mil dólares

Impacto del caso

  • Wynn comentó que “este caso no hizo a nadie más seguro” y que dejó un efecto inhibidor al mostrar que ayudar al gobierno a evaluar vulnerabilidades puede terminar en arresto, cargos penales y difamación
  • Ese daño reputacional puede ser devastador para la carrera de un profesional de seguridad, y también hizo que los clientes tomaran conciencia del riesgo
  • Después del caso hubo cambios importantes en los procedimientos y sistemas de autorización de pruebas de intrusión física

Lo ocurrido en ese momento

  • En la madrugada del 11 de septiembre de 2019, ambos encontraron que una puerta lateral del tribunal no estaba asegurada, la cerraron con seguro y luego desactivaron la cerradura a través de una rendija para entrar
  • Poco después de ingresar, sonó la alarma y la policía acudió, lo que llevó al arresto
  • El artículo explica que “la razón por la que este caso se salió de control fue la respuesta del sheriff y que, en la mayoría de las jurisdicciones, un caso así habría sido desestimado

Reacción de la industria de seguridad

  • El caso provocó una gran polémica entre profesionales de seguridad y autoridades de aplicación de la ley
  • Mostró que incluso pruebas realizadas bajo un contrato legal pueden quedar expuestas al riesgo de sanción penal, lo que elevó la alerta en toda la industria de seguridad
  • Como resultado, se hizo más evidente la necesidad de reforzar los procedimientos de autorización y las salvaguardas legales para el hacking físico simulado

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-01-31
Comentarios de Hacker News

  • La policía llegó al lugar y detuvo a los hombres, revisó la carta de autorización oficial que presentaron e incluso llamó al responsable para confirmar que todo estaba en regla
    Pero en cuanto llegó el sheriff, ordenó arrestarlos. Al final, el problema fue una sola persona que no entendió la situación, y encima era la autoridad competente

    • Más que no saberlo, parece que el sheriff simplemente quería librar una lucha de poder
    • Según el artículo, el ambiente cambió por completo en cuanto llegó el sheriff Leonard. Dijo: “este edificio está bajo mi jurisdicción” y afirmó que era una intrusión no autorizada por él. Lo más probable es que haya sido simplemente una cuestión de ego, o de molestia por haber quedado fuera
    • Desde un punto de vista legal, el arresto podría haber sido una medida prudente hasta verificar la autenticidad de los documentos. El problema fue la respuesta absurda después de eso

  • Recuerdo haber leído sobre esto cuando ocurrió por primera vez. Aun así, da gusto que haya terminado con un desenlace relativamente positivo
    Como referencia, el hilo de HN justo después del arresto está aquí

    • Es terrible pensar que gastaron 600 mil dólares enfrentando 6 años de batalla judicial y cargos por delito grave
    • También hay un episodio de Darknet Diaries en el que entrevistan a los dos pentesters

  • Esto ocurrió en 2019, y las ruedas de la justicia realmente avanzan muy despacio

    • Las de las demandas civiles avanzan todavía más lento
    • La justicia retrasada no es justicia
    • Es absurdo pasar el 10% de tu vida adulta peleando en tribunales
    • Solo la gente rica puede manejar este ritmo

  • Recuerdo lo ridículo que fue este caso en ese momento. Creo que al sheriff debieron destituirlo, pero al menos recibir 100 mil dólares por año por la incompetencia del condado de Dallas fue un resultado algo mejor

  • Este es exactamente el tipo de historia que quiero ver en Hacker News

  • Qué bueno que retiraron los cargos, pero si uno ve la cobertura original, había un contexto mucho más complejo de lo que el artículo deja ver
    En el artículo de Ars Technica de 2019,

    • cuando la policía llamó a los contactos que figuraban en la carta de autorización, uno negó haber aprobado una “intrusión física” y el otro no contestó. En esa situación, no está claro qué más podía hacer la policía
    • el contrato tenía una cláusula ambigua de “no forzar puertas”, pero los dos dijeron que abrieron una puerta cerrada con herramientas. La redacción debió haber sido más específica
    • había una cláusula de “no manipular alarmas”, pero la policía afirmó que ellos intentaron manipular la alarma. Los dos lo negaron
    • también fue un problema que hubiera habido consumo de alcohol antes de entrar. Su nivel de alcohol en sangre era de 0.05, así que al inicio seguramente era más alto
    • también se salieron del alcance del contrato al no identificarse de inmediato y esconderse cuando sonó la alarma y llegó la policía
      En conclusión, la sobrerreacción del sheriff estuvo mal, pero los pentesters tampoco actuaron de manera completamente de manual
    • Yo he hecho este tipo de pruebas de intrusión física antes, y siempre llevábamos el contacto personal del responsable y una declaración de trabajo firmada. Ni me imagino una situación en la que no se pudiera localizar a un contacto de emergencia.
      Beber alcohol o causar daños a la propiedad estaba absolutamente prohibido, y si la policía aparecía apuntando con armas, jamás nos escondíamos.
      Como estas pruebas son riesgosas, incluíamos en el equipo a exmilitares o expolicías para mantener la seguridad
    • Claro, si yo tuviera que hacer una prueba de intrusión en un tribunal, sinceramente quizá me habría tomado una o dos cervezas para relajarme.
      Según el artículo, los “ataques físicos” y el “lockpicking” estaban permitidos, y en la práctica abrieron una puerta cerrada sin causar daños
    • Los pentesters también tienen parte de responsabilidad, pero como las declaraciones de la policía no siempre son exactas ni honestas, me cuesta creerles por completo
    • En última instancia, esto debió resolverse en cuestión de horas. El asunto creció por la lucha de poder entre el tribunal y el condado, y si hubiera habido un abogado ahí, esa misma noche habría advertido: “esto les va a salir caro”
    • Como dato, la policía llegó a un acuerdo por 600 mil dólares; no fue simplemente una desestimación

  • El sector público dice que “no puede encontrar gente que quiera trabajar” y aun así hace este tipo de cosas. Además, es muy probable que ese sheriff haya sido un cargo electo

  • Si alguien llega a estar en una situación así en el futuro, debería avisar a la policía local con anticipación por escrito, por teléfono y en persona
    Lo más seguro es conseguir aprobación previa de la policía o una no-objection letter. También hay que compartir toda la documentación con un abogado. El mundo no es amable

    • Ellos sí tenían autorización por escrito y confirmación verbal del tribunal estatal, pero no previeron la rivalidad entre el poder judicial y el sheriff
    • En realidad los policías actuaron correctamente. Tras verificar la identidad, los soltaron de inmediato, y el problema fue que después apareció un sheriff y escaló todo
    • Pero en la práctica, cuando entra un reporte, la policía siempre acude para evaluar la situación. Viví algo parecido cuando operaba un campo de tiro. Al final todo se reducía a “si entra una llamada, vamos”
    • Claro, si se le avisa a la policía con anticipación, eso puede reducir la autenticidad de la prueba
    • Si el objetivo era que el gobierno estatal evaluara el nivel de seguridad del condado, avisar antes incluso podría invalidar la prueba. La reacción del sheriff despierta sospechas de que había algo que quería ocultar

  • Es una lástima que terminara en un acuerdo. Entiendo que los demandantes ya no quisieran seguir peleando, pero el abuso de poder del sheriff debió haber sido castigado

    • El sheriff Chad Leonard se retiró anticipadamente en 2022 (enlace al artículo)
    • Como era un funcionario electo, al final quienes debían juzgarlo eran los votantes en las urnas