Dos profesionales de seguridad informática, arrestados en 2019 tras ejecutar una evaluación de seguridad autorizada en un juzgado del condado de Iowa, recibirán $600,000 como parte de un acuerdo para resolver una demanda por arresto ilegal y difamación. Los demandantes, Gary DeMercurio y Justin Wynn, quienes trabajaban para la firma Coalfire Labs, habían recibido autorización escrita del Poder Judicial de Iowa para realizar ejercicios de "equipo rojo".
Estos ejercicios de equipo rojo están diseñados para emular brechas de seguridad ejecutadas por atacantes reales con el fin de probar la robustez de las defensas existentes. Las reglas de enfrentamiento para la evaluación permitían explícitamente "ataques físicos", incluyendo el uso de ganzúas, siempre que no causaran daños significativos a las instalaciones judiciales.
A pesar de la legitimidad del contrato que autorizaba las pruebas, DeMercurio y Wynn fueron detenidos bajo cargos de robo en tercer grado, pasando veinte horas en prisión hasta ser liberados bajo una fianza total de $100,000. Aunque los cargos fueron posteriormente rebajados a un delito menor de allanamiento, el sheriff del condado de Dallas, Chad Leonard, continuó alegando públicamente la ilegalidad de sus acciones.
El incidente, ocurrido el 11 de septiembre de 2019, se galvanizó en la comunidad de seguridad, ya que el arresto por trabajo autorizado envía un mensaje desalentador a los profesionales del sector. Wynn declaró que el suceso socava la seguridad pública al penalizar a quienes ayudan a las entidades gubernamentales a identificar vulnerabilidades reales.
Los pentesters habían logrado acceder tras manipular el mecanismo de cierre de una puerta lateral que, según reportaron, estaba desbloqueada momentáneamente. Una vez dentro, activaron intencionalmente una alarma para notificar a las autoridades sobre la brecha de seguridad simulada.
La resolución legal subraya los riesgos operativos y reputacionales que enfrentan los profesionales de la ciberseguridad cuando las autoridades locales no comprenden o respetan los alcances de los contratos de seguridad. El acuerdo de $600,000 busca compensar el daño causado por la detención y las acusaciones públicas.
Este caso establece un precedente importante sobre la protección legal que deben tener los contratistas de seguridad que realizan auditorías de infraestructura crítica con el consentimiento formal de la entidad propietaria. La comunidad tecnológica observa cómo se gestionan las secuelas de esta discordia entre la seguridad ofensiva y la aplicación de la ley local.
