Un hombre de 27 años de Carolina del Norte fue encontrado culpable de seis cargos de extorsión por una serie de delitos que cometió mientras trabajaba como contratista de análisis de datos para una empresa de tecnología internacional con sede en DC, dijo el jueves el Departamento de Justicia.

Cameron Nicholas Curry, también conocido como “Loot”, robó una gran cantidad de datos corporativos, incluida información confidencial sobre empleados y compensaciones, que utilizó para extorsionar a su empleador, según registros judiciales. Curry finalmente se llevó aproximadamente 2,5 millones de dólares de la organización víctima en enero de 2024.

El ataque interno subraya los riesgos inconmensurables que las empresas aceptan cuando los empleados o contratistas asignados a puestos por una empresa de contratación externa, como fue el caso de Curry, pueden acceder a datos confidenciales en una computadora portátil propiedad de la empresa. Los funcionarios no nombraron la empresa.

Curry utilizó su acceso a la red de la empresa para eliminar datos corporativos con fines de extorsión mientras trabajaba para la empresa entre agosto y diciembre de 2023. Inmediatamente después de su último día de empleo en la empresa, Curry comenzó a enviar correos electrónicos amenazantes a sus empleados y exigió un rescate para no filtrar ni destruir los datos.

Los funcionarios dijeron que envió más de 60 correos electrónicos a varios empleados y ejecutivos durante un período de seis semanas, amenazando con revelar los datos de nómina de la compañía, alegando que mostraban una importante desigualdad salarial en toda la fuerza laboral. En esos correos electrónicos, Curry enmarcó el ataque de extorsión por robo de datos como un esfuerzo por implementar la transparencia salarial.

«Loot y nuestros socios tienen como objetivo garantizar que todos reciban el pago correspondiente, brindando a los empleados la influencia que merecen y al mismo tiempo cumpliendo con las regulaciones del gobierno federal sobre actos protegidos», escribió Curry en uno de los correos electrónicos, según la acusación.

Curry incluyó archivos adjuntos en los correos electrónicos que contenían capturas de pantalla de hojas de cálculo que enumeraban la información de identificación personal de los empleados de la empresa. Los funcionarios dijeron que también advirtió a la compañía que proporcionaría a los empleados instrucciones sobre cómo abordar la discriminación salarial a través de la mediación, la Comisión de Igualdad de Oportunidades en el Empleo o una demanda colectiva.

Algunos de los correos electrónicos de extorsión se volvieron personales, incluida una afirmación de que una persona del equipo legal no recibía una bonificación, mientras que la mayoría de los empleados en puestos de alto nivel sí recibían bonificaciones. Curry también amenazó con informar la violación a la Comisión de Bolsa y Valores, citando reglas que requieren que las empresas públicas revelen rápidamente los ciberataques.

La empresa que cotiza en bolsa notificó al FBI sobre la infracción el 14 de diciembre de 2023 y pagó la demanda de rescate de Curry casi un mes después.

Múltiples errores de seguridad operativa ayudaron a las autoridades a identificar y construir un caso contra Curry con bastante rapidez. Usó datos personales y verificables para establecer una nueva cuenta de Coinbase, y dos de las tarjetas de débito vinculadas a la cuenta que Curry estableció para recibir un rescate pertenecían a su madre y su hermana.

Las autoridades registraron el apartamento, los dispositivos digitales y el vehículo de Curry en Charlotte, Carolina del Norte, pocas semanas después de que se pagara el rescate. Fue arrestado y puesto en libertad bajo fianza a finales de enero de 2024.

Los funcionarios dijeron que Curry inició su plan de extorsión después de enterarse de que su contrato con la empresa no sería renovado. Se enfrenta a hasta 12 años de prisión en el momento de la sentencia.

Puede leer la acusación completa a continuación.