Un experto en seguridad informática que ganó un premio pionero en una demanda de denunciantes por fallas de seguridad críticas que encontró en octubre de 2008 en el software de videovigilancia de Cisco Systems Inc. pensó que su descubrimiento sería un hito que impulsaría su carrera.

James Glenn imaginó en ese momento que Cisco lo acreditaría en su sitio web. El software fue, después de todo, Se utiliza en los principales aeropuertos internacionales de EE. UU. y en varias agencias federales con misiones delicadas.

"Quiero decir, este fue un logro bastante decente, ", Dijo Glenn el jueves en una entrevista telefónica.

En lugar de, fue despedido por el revendedor de Cisco en Dinamarca que lo contrató, que citó las necesidades de reducción de costos. Y Cisco mantuvo en silencio las fallas en su sistema Video Surveillance Manager durante cinco años.

Solo el miércoles cuando se anunció un acuerdo de $ 8,6 millones y se abrió la demanda que presentó en 2011 en virtud de la Ley federal de reclamaciones falsas, fue revelada la terrible experiencia de Glenn, junto con el peligro potencial planteado por el largo silencio de Cisco.

La ley permite que los denunciantes denuncien fraudes y conductas indebidas en la contratación federal, por vender productos defectuosos, esencialmente, y cobrar recompensas financieras cuando los reclamos tengan éxito. Los abogados de Glenn dijeron que este es el primer caso de ciberseguridad litigado con éxito bajo la FCA.

El experto en ciberseguridad Chris Wysopal de Veracode dijo que el caso abre nuevos caminos al dejar en claro que las vulnerabilidades de seguridad ahora caen en la categoría de productos defectuosos.

"Esto permite un nuevo tipo de recompensa por errores para los investigadores de seguridad si los proveedores se demoran, continúan vendiendo sus productos a los gobiernos sin notificar el riesgo que conocen y sin corregir sus fallas, " él dijo.

La hazaña Glenn, 42, descubierto le habría dado a un atacante acceso administrativo completo al software que administraba las transmisiones de video, permitirles ser monitoreados desde una única ubicación, dice la demanda. También podría permitir el acceso no autorizado a sistemas conectados sensibles.

Eso significaba que un intruso podría haber tomado el control o eludir los sistemas de seguridad física, como cerraduras y alarmas de incendio, que están conectados regularmente a sistemas de cámaras.

"Un usuario no autorizado podría cerrar de manera efectiva todo un aeropuerto tomando el control de todas las cámaras de seguridad y apagándolas, ", dice la demanda. Los aeropuertos afectados incluían el aeropuerto internacional de Los Ángeles y Midway de Chicago, dice.

"Podrías penetrar en todo el sistema. Y podrías hacerlo sin dejar rastro. Y tener acceso completo por la puerta trasera al sistema cuando quieras, "dijo Michael Ronickher, un abogado que representa a Glenn en la firma Constantine Cannon LLP.

El software también fue utilizado por el Cuartel General de la Fuerza de Tarea Biométrica del Departamento de Defensa, el Servicio Secreto de los Estados Unidos, el Departamento de Seguridad Nacional, El ejercito, la Marina, el Cuerpo de Marines, la Administración Nacional de Aeronáutica y el Espacio y la Agencia Federal para el Manejo de Emergencias, así como las estaciones de policía, prisiones, escuelas y por Amtrak en sus estaciones, dice la demanda.

"Me siento reivindicado, pero no en el sentido de celebración, "dijo Glenn, que recibe el 20% del pago del acuerdo, y el resto irá al gobierno federal, 15 estados y el Distrito de Columbia.

"Creo que en términos del nivel de castigo para la otra parte, tal vez no sea tan significativo, "añadió.

Cisco emitió un comunicado el miércoles diciendo que estaba "complacido de haber resuelto" la disputa y que "no hubo alegaciones o pruebas de que hubiera ocurrido un acceso no autorizado al video de los clientes" como resultado de la arquitectura del producto. Pero agregó que las transmisiones de video podrían "teóricamente haber estado sujetas a piratería".

Ronickher, El abogado de Glenn, señaló que la demanda no se refiere a todas las ubicaciones internacionales que compraron el software de Cisco, que dijo incluyen el aeropuerto de Auckland, El más grande de Nueva Zelanda.

Cuando Glenn descubrió los defectos, Inmediatamente alertó a Cisco, pero el gigante de la tecnología de EE. UU. no los reconoció hasta 2013, cuando emitió una alerta de seguridad sobre "múltiples vulnerabilidades de seguridad" en el software.

Ese aviso se produjo dos años después de que las autoridades federales comenzaran a investigar.

El revendedor NetDesign, despidió a Glenn en marzo de 2009, dicen sus abogados.

Dos años después, después de que la hermana de Glenn notificara al FBI y se entablara la demanda alegando que Cisco había defraudado al gobierno federal de EE. UU., gobiernos estatales y locales que compraron el sistema de software.

El 22 de julio los demandantes llegaron a un acuerdo con Cisco en un caso entablado en el Distrito Oeste de Nueva York.

Los abogados de Glenn y Cisco anunciaron el monto del acuerdo de $ 8,6 millones que deben pagar los demandantes.

Glenn, hijo de un infante de marina originario de Virginia, ahora vive en Bulgaria y trabaja para la misma empresa desde 2011, que se negó a nombrar.

Dijo que está casado con un hijo.

© 2019 The Associated Press. Reservados todos los derechos.