Ingenieros de Silicon Valley acusados de robo de secretos comerciales de Google y otras empresas tecnológicas

En resumen

• Los fiscales federales han acusado a tres exingenieros de Google por robo de secretos comerciales y obstrucción.
• Los acusados enfrentan hasta 10 años de prisión por cada cargo de secreto comercial y hasta 20 años por obstrucción.
• Los fiscales alegan que los secretos comerciales fueron dirigidos a ubicaciones no autorizadas, incluyendo accesos desde Irán. Los fiscales federales han arrestado a tres ingenieros de Silicon Valley acusados de robar secretos comerciales sensibles relacionados con la seguridad de chips de Google y otras empresas, y de enviarlos a ubicaciones no autorizadas, incluyendo Irán, lo que genera preocupaciones de seguridad nacional. Un gran jurado federal en el Distrito Norte de California emitió una acusación contra Samaneh Ghandali, Soroor Ghandali y Mohammadjavad Khosravi. La acusación fue presentada el miércoles y desvelada el jueves en San José, según un comunicado del DOJ. Mientras trabajaba en Google, Samaneh Ghandali supuestamente “transferió cientos de archivos, incluyendo secretos comerciales de Google, a una plataforma de comunicación de terceros,” a canales que llevaban el nombre de cada acusado, dijo el DOJ. Una copia de la acusación desvelada no estuvo disponible de inmediato al momento de redactar. Decrypt se ha puesto en contacto con la oficina del DOJ correspondiente para obtener más información y comentarios.

Los tres supuestamente usaron su empleo en Google y en otras dos empresas no identificadas para acceder a archivos confidenciales relacionados con procesadores de computadoras móviles. Según el DOJ, el material robado incluía secretos comerciales relacionados con la seguridad de procesadores y criptografía, y materiales de Google fueron copiados posteriormente a dispositivos personales y a dispositivos de trabajo asociados con las otras empresas donde trabajaban los acusados. Los fiscales alegan que los acusados intentaron ocultar sus acciones eliminando archivos, destruyendo registros electrónicos y presentando declaraciones juradas falsas a las empresas víctimas, negando que compartieron información confidencial fuera de la empresa. En un episodio descrito en la acusación, el DOJ afirma que en diciembre de 2023, la noche antes de viajar a Irán, Samaneh Ghandali tomó aproximadamente dos docenas de imágenes de la pantalla de una computadora de trabajo de otra empresa mostrando información de secretos comerciales. Mientras estaba en Irán, un dispositivo asociado con ella supuestamente accedió a esas fotografías, y Khosravi supuestamente accedió a material adicional de secretos comerciales.

Según el DOJ, los sistemas de seguridad internos de Google detectaron actividad sospechosa en agosto de 2023 y revocaron el acceso de Samaneh Ghandali. La acusación afirma que ella posteriormente firmó una declaración jurada diciendo que no compartió información confidencial de Google fuera de la empresa. Los tres acusados enfrentan cargos de conspiración y robo de secretos comerciales bajo la ley federal, así como obstrucción de justicia bajo un estatuto que criminaliza alterar, destruir o esconder registros u objetos de manera corrupta para impedir su uso en un procedimiento oficial. El cargo de obstrucción conlleva una sentencia máxima de 20 años de prisión. Riesgos e implicaciones de seguridad Los observadores dicen que el caso ilustra cómo el acceso interno a sistemas avanzados de semiconductores y criptografía puede tener implicaciones para la seguridad nacional. “Los empleados con acceso legítimo pueden extraer silenciosamente propiedad intelectual altamente sensible con el tiempo, incluso con controles existentes,” dijo Vincent Liu, director de inversiones en Kronos Research, a Decrypt. El riesgo para las empresas de semiconductores y criptografía suele venir de “insiders confiables, no hackers,” agregó, describiendo el riesgo interno como una “vulnerabilidad persistente y estructural que requiere monitoreo constante y una estricta compartimentación de datos.” En estos casos, “el insider es la superficie de ataque,” dijo Dan Dadybayo, líder de estrategia en Horizontal Systems, a Decrypt. “Los firewalls no importan cuando el vector de exfiltración es un acceso legítimo,” argumentó, señalando que cuando los ingenieros pueden mover “arquitectura, lógica de gestión de claves o diseño de seguridad de hardware fuera de entornos controlados, el ‘perímetro’ colapsa.” Si secretos de procesadores y criptografía sensibles llegaran a Irán, Dadybayo dijo que los reguladores probablemente responderían de manera agresiva.

Señaló a “una aplicación más estricta de las reglas de exportación considerada, donde el acceso al conocimiento en sí mismo cuenta como exportación” y a “una segmentación, monitoreo y requisitos de licencia más estrictos dentro de las empresas estadounidenses,” añadiendo que los chips avanzados y la criptografía “ya no se tratan como bienes comerciales neutrales,” sino como “instrumentos de poder geopolítico.”  El caso también revela brechas entre el cumplimiento formal y la resiliencia en el mundo real. “En la mayoría de las organizaciones tecnológicas, se asume que los riesgos de robo de información se mitigan mediante la obtención de certificaciones SOC 2 y ISO,” dijo Dyma Budorin, presidente ejecutivo de Hacken, a Decrypt. Estos marcos “a menudo miden la madurez del cumplimiento, no la resiliencia real contra un atacante decidido—especialmente un insider.” La certificación, afirmó, demuestra que los controles existen “en el momento de la auditoría,” pero “no prueba que los datos sensibles no puedan ser robados.” Debido a que estos estándares prescriben salvaguardas comunes, argumentó Budorin, pueden hacer que las defensas sean predecibles. Para atacantes sofisticados, “cumplir” a menudo significa ser predecible, advirtió, y que la verdadera seguridad requiere “validación continua, monitoreo conductual y pruebas adversariales,” o las organizaciones corren el riesgo de estar “cumpliendo en papel mientras están críticamente expuestas en la práctica.”