Fiscales federales arrestaron a tres ingenieros de Silicon Valley acusados de robar secretos comerciales confidenciales sobre seguridad de chips de Google y otras empresas, y de transferirlos a ubicaciones no autorizadas, incluyendo Irán, lo que generó preocupaciones de seguridad nacional.
Un gran jurado federal en el Tribunal de Distrito de Estados Unidos para el Distrito Norte de California presentó una acusación formal contra Samaneh Ghandali, Soroor Ghandali y Mohammadjavad Khosravi. La acusación fue presentada el miércoles y dada a conocer el jueves en San José, según un comunicado del Departamento de Justicia.
Mientras trabajaba en Google, Samaneh Ghandali supuestamente "transfirió cientos de archivos, incluyendo secretos comerciales de Google, a una plataforma de comunicaciones de terceros", a canales con el nombre de pila de cada acusado, según el Departamento de Justicia.
Una copia de la acusación no estaba disponible de inmediato al momento de la publicación. Decrypt se comunicó con la oficina correspondiente del Departamento de Justicia para obtener más información y comentarios.
El trío supuestamente utilizó su empleo en Google y otras dos empresas sin nombre para acceder a archivos confidenciales relacionados con procesadores de computadoras móviles. Según el Departamento de Justicia, el material robado incluyó secretos comerciales relacionados con la seguridad de procesadores y criptografía, y los materiales de Google fueron copiados posteriormente en dispositivos personales y en dispositivos de trabajo asociados con las otras empresas donde laboraban los acusados.
Los fiscales alegan que los acusados intentaron ocultar sus acciones eliminando archivos, destruyendo registros electrónicos y presentando declaraciones juradas falsas ante las empresas víctimas, negando haber compartido información confidencial fuera de la compañía.
En un episodio descrito en la acusación, el Departamento de Justicia alega que en diciembre de 2023, la noche antes de viajar a Irán, Samaneh Ghandali fotografió aproximadamente dos docenas de imágenes de la pantalla de una computadora de trabajo de otra empresa que mostraba información de secretos comerciales.
Estando en Irán, un dispositivo asociado a ella supuestamente accedió a esas fotografías, y Khosravi supuestamente accedió a material adicional de secretos comerciales.
Según el Departamento de Justicia, los sistemas de seguridad internos de Google detectaron actividad sospechosa en agosto de 2023 y revocaron el acceso de Samaneh Ghandali. La acusación alega que ella posteriormente firmó una declaración jurada afirmando que no había compartido información confidencial de Google fuera de la empresa.
Los tres acusados enfrentan cargos de conspiración y robo de secretos comerciales bajo la ley federal, así como obstrucción a la justicia bajo un estatuto que penaliza la alteración, destrucción u ocultamiento corrupto de registros u otros objetos para obstaculizar su uso en un proceso oficial.
El cargo de obstrucción conlleva una pena máxima de 20 años de prisión.
Riesgos e implicaciones para la seguridad
Los analistas señalan que el caso ilustra cómo el acceso interno a sistemas avanzados de semiconductores y criptografía puede tener implicaciones para la seguridad nacional.
"Los empleados con acceso legítimo pueden extraer de forma silenciosa propiedad intelectual altamente sensible con el tiempo, incluso con los controles existentes", afirmó Vincent Liu, director de inversiones de Kronos Research, a Decrypt.
El riesgo para las empresas de semiconductores y criptografía proviene frecuentemente de "personas de confianza internas, no de hackers", agregó, describiendo el riesgo interno como una "vulnerabilidad estructural y persistente que requiere monitoreo constante y una estricta compartimentación de datos".
En casos como este, "el empleado interno es la superficie de ataque", señaló Dan Dadybayo, estratega de la empresa de infraestructura cripto Horizontal Systems, a Decrypt. "Los firewalls no sirven de nada cuando el vector de exfiltración es el acceso legítimo", dijo, argumentando que cuando los ingenieros pueden sacar "arquitectura, lógica de gestión de claves o diseño de seguridad de hardware de entornos controlados, el 'perímetro' colapsa".
Si la propiedad intelectual sensible sobre procesadores y criptografía llegó a Irán, Dadybayo afirmó que los reguladores probablemente responderían de forma agresiva.
Señaló que habría "una aplicación más estricta de las normas de exportación considerada, donde el acceso al conocimiento en sí cuenta como exportación" y "requisitos más estrictos de segmentación, monitoreo y licencias dentro de las empresas estadounidenses", añadiendo que los chips avanzados y la criptografía "ya no son tratados como bienes comerciales neutros", sino como "instrumentos de poder geopolítico".
El caso también expone las brechas entre el cumplimiento formal y la resiliencia en la práctica.
"En la mayoría de las organizaciones tecnológicas, se asume que los riesgos de robo de información están mitigados mediante la obtención de certificaciones SOC 2 e ISO", comentó Dyma Budorin, presidente ejecutivo de Hacken, firma de seguridad y cumplimiento cripto, a Decrypt.
Estos marcos "con frecuencia miden la madurez del cumplimiento, no la resiliencia real frente a un atacante determinado, especialmente si es alguien interno".
La certificación, según explicó, demuestra que los controles existían "en el momento de la auditoría", pero "no prueba que los datos sensibles no puedan ser robados".
Dado que estas normas prescriben medidas de seguridad comunes, argumentó Budorin, pueden hacer que las defensas sean predecibles.
Para los atacantes sofisticados, "cumplir con las normas" suele significar ser predecible, advirtió, señalando que la seguridad real requiere "validación continua, monitoreo del comportamiento y pruebas de adversarios", o de lo contrario las organizaciones corren el riesgo de estar "en cumplimiento sobre el papel mientras están críticamente expuestas en la práctica".