Hermanos Ex-Convictos Hackers Despedidos - Proceden a Borrar 96 Bases de Datos Gubernamentales en Minutos

Hermanos Ex-Convictos Hackers Despedidos - Proceden a Borrar 96 Bases de Datos Gubernamentales en Minutos

Nota para los empleadores: Cuando descubran que sus hermanos gemelos empleados son ex-convictos que cumplieron condena por hackear el Departamento de Estado de EE. UU., y decidan despedirlos, asegúrense de deshabilitar completamente su acceso.

Febrero de 2025, los hermanos gemelos Muneeb y Sohaib Akhter convirtieron un despido rutinario en uno de los incidentes de sabotaje interno más descarados en la historia reciente del gobierno de EE. UU. Pocos minutos después de ser despedidos de Opexus, un contratista del área de Washington, D.C. que proporciona software crítico de gestión de casos a más de 45 agencias federales, los hermanos presuntamente lanzaron un rápido asalto digital que eliminó aproximadamente 96 bases de datos gubernamentales que contenían registros sensibles de FOIA, archivos de investigación y datos de contribuyentes.
Muneeb y Sohaib Akhter

Lo que hizo el caso especialmente impactante fue el historial previo de los hermanos: ambos habían cumplido condena en prisión por hackear sistemas federales una década antes.

Un historial criminal de una década

Los hermanos Akhter, ambos de 34 años y de Alexandria, Virginia, tenían un pasado criminal que Opexus pasó completamente por alto, lo cual, dado lo que hacen, no es bueno. En 2015, mientras trabajaban como contratistas, se declararon culpables de conspiración para cometer fraude electrónico, conspiración para acceder a computadoras protegidas sin autorización y cargos relacionados. Sus crímenes implicaron hackear sistemas del Departamento de Estado de EE. UU. y una empresa privada, robando datos personales de compañeros de trabajo, conocidos e incluso un investigador federal.

Muneeb recibió una sentencia de prisión de 39 meses; Sohaib recibió 24 meses. Ambos cumplieron su tiempo y fueron liberados.

Y sin embargo...

Para 2023-2024, los hermanos habían conseguido puestos de ingeniería en Opexus (anteriormente conocido como AINS), una firma especializada en plataformas de gestión de casos certificadas por FedRAMP. Sus productos estrella, FOIAXpress y la suite eCASE, ayudan a las agencias a procesar solicitudes de la Ley de Libertad de Información, auditorías, investigaciones, quejas de EEO y correspondencia del Congreso. Los sistemas de Opexus alojan datos gubernamentales sensibles en servidores en Ashburn, Virginia.

La empresa realizó verificaciones de antecedentes estándar que cubrían aproximadamente siete años, lo que pasó por alto las condenas de 2015. Opexus admitió más tarde que "se debería haber aplicado una diligencia adicional" y que las personas responsables de contratar a los gemelos ya no están en la empresa.

Sin que Opexus lo supiera en el momento de la terminación, los hermanos habían estado abusando de su acceso durante semanas. Muneeb había recopilado aproximadamente 5.400 nombres de usuario y contraseñas de la red de la empresa y había creado scripts personalizados para probarlos contra sitios externos (incluidos Marriott y DocuSign). Logró iniciar sesión en cuentas y, en algunos casos, utilizó millas aéreas de las víctimas.

El 1 de febrero de 2025, más de dos semanas antes de su despido, Muneeb le pidió a Sohaib la contraseña en texto plano de una persona que había presentado una queja a través del Portal Público del EEOC. Sohaib ejecutó una consulta a la base de datos y se la proporcionó; Muneeb luego usó las credenciales para acceder al correo electrónico del reclamante sin autorización. Este incidente se convirtió más tarde en el centro del cargo de tráfico de contraseñas de Sohaib.

El Despido y el Ataque de 56 Minutos

El 18 de febrero de 2025, la FDIC marcó la condena previa de Sohaib durante una verificación de antecedentes para un posible nuevo puesto en la Oficina del Inspector General de la FDIC. Opexus despidió a ambos hermanos durante una reunión remota de Microsoft Teams/RRHH que finalizó alrededor de las 4:50-4:55 p.m.

La desvinculación fue defectuosa: la cuenta de Muneeb permaneció activa. ARS Technica tiene la línea de tiempo:

A las 4:56 p.m., Muneeb accedió a una base de datos del gobierno de EE. UU. que su empresa mantenía. "Emitió comandos para evitar que otros usuarios se conectaran o hicieran cambios en la base de datos, y luego emitió un comando para eliminar la base de datos", dijo el gobierno.

A las 4:58 p.m., eliminó una base de datos del Departamento de Seguridad Nacional utilizando el comando "DROP DATABASE dhsproddb".

A las 4:59 p.m., preguntó a una herramienta de IA: "¿Cómo borro los registros del sistema de los servidores SQL después de eliminar las bases de datos?". Más tarde preguntó: "¿Cómo se borran todos los registros de eventos y aplicaciones del servidor de Microsoft Windows 2012?".

En el espacio de una hora, Muneeb eliminó alrededor de 96 bases de datos con información del gobierno de EE. UU. Descargó 1.805 archivos pertenecientes al EEOC y los guardó en una unidad USB, luego obtuvo información fiscal federal de al menos 450 personas.

Los hermanos discutieron el ataque en tiempo real. Sohaib observó a Muneeb "limpiando las copias de seguridad de su base de datos". Incluso consultaron una herramienta de IA sobre cómo borrar los registros del servidor SQL y los registros de eventos de Windows. Más tarde reinstalaron los sistemas operativos en sus portátiles de la empresa para destruir pruebas.

¿Y qué más hicieron?

Basado en los documentos judiciales (Acusación Sustitutiva + Declaración Detallada de Hechos de Muneeb Akhter de su acuerdo de declaración de culpabilidad de abril de 2026), los hermanos estaban metidos en muchas travesuras.

Masiva recolección adicional de datos (1.2 millones de líneas): Muneeb no solo robó ~5.400 nombres de usuario/contraseñas de Opexus. También poseía un archivo separado que contenía ~1.2 millones de líneas de nombres completos, direcciones de correo electrónico, números de teléfono, direcciones físicas y hashes de contraseñas. Esto se almacenó en su portátil personal, teléfono Android, disco duro externo y cuentas en la nube.

El abuso de credenciales continuó durante 10 meses después de ser despedidos: Las eliminaciones de bases de datos ocurrieron el 18 de febrero de 2025, pero Muneeb continuó utilizando activamente las credenciales robadas desde mayo de 2025 hasta su arresto el 3 de diciembre de 2025. Escribió scripts personalizados de Python (uno llamado literalmente marriott_checker.py), realizó ataques de "credential stuffing" en hoteles, aerolíneas y bancos, y logró iniciar sesión en cientos de cuentas de víctimas.

Sofisticados secuestros de cuentas con sus propios dominios: No solo inició sesión, sino que cambió las direcciones de correo electrónico de recuperación de las víctimas en cuentas de aerolíneas, hoteles y bancos a direcciones que controlaba, como [NombreDeLaVíctima]@wardensys.com o @wardensystems.com (dominios que poseía). Esto le permitió bloquear a los propietarios reales y seguir utilizando las cuentas.

Lluvia de ideas sobre chantaje en tiempo real durante el ataque de eliminación: Alrededor de las 5:12 p.m. del 18 de febrero, mientras Muneeb aún estaba eliminando bases de datos, los hermanos discutieron literalmente el chantaje a Opexus. Sohaib dijo algo como: "deberías haber tenido un script de aniquilación, como, chantajearlos por algo de dinero..." Muneeb lo rechazó, respondiendo que sería prueba obvia de culpabilidad. También discutieron si debían contactar a los clientes.

"Limpiar cosas de la otra casa": Durante la misma conversación, Sohaib dijo: "También tenemos que limpiar cosas de la otra casa, hombre". Esto implica fuertemente que tenían pruebas o datos robados en una segunda ubicación.

Muneeb huyó con una tarjeta PIV emitida por el gobierno: Cuando Muneeb condujo a Texas el 24 de febrero de 2025, se llevó su portátil personal, teléfono y una tarjeta de Verificación de Identidad Personal (PIV) emitida por una agencia del gobierno de EE. UU. (Las tarjetas PIV son las tarjetas inteligentes de alta seguridad que los empleados/contratistas federales utilizan para el acceso a sistemas).

Otras pepitas más pequeñas pero salvajes

Un "coconspirador" (identidad no especificada en los documentos públicos) borró ambas portátiles de la empresa reinstalando el sistema operativo el 21 y 22 de febrero.
Muneeb usó millas robadas de American Airlines dos veces: 29.000 millas para un vuelo real que tomó (SLC → DC el 29 de noviembre de 2025) y 14.500 millas para otro billete que reservó pero no utilizó.
Muneeb tenía un cargo separado por robo de identidad agravado de agosto de 2022 (antes de Opexus) que involucraba el pasaporte y la información personal de alguien.
¡Armas también!

Una orden de registro federal ejecutada en la casa de Sohaib en Alexandria el 12 de marzo de 2025, descubrió siete armas de fuego (incluyendo rifles M1 y M1A, un rifle Glenfield Model 60 .22, una pistola Ruger .22 y un revólver Colt .38 Special) además de aproximadamente 378 cartuchos de munición de calibre .30. Según la ley de Virginia en ese momento, estas armas y la munición eran completamente legales para que una persona no prohibida las poseyera: sin prohibición de armas de asalto, sin límites de cargador, sin restricciones en los modelos específicos. La única prohibición era el estatus de Sohaib como delincuente convicto, lo que hacía ilegal la posesión bajo la ley federal (18 U.S.C. § 922(g)).

Los hermanos fueron arrestados el 3 de diciembre de 2025. Muneeb finalmente se declaró culpable de cargos importantes, incluido fraude informático y destrucción de registros. Sohaib fue a juicio.

El 7 de mayo de 2026, un jurado federal en Alexandria declaró culpable a Sohaib Akhter de tres cargos: conspiración para cometer fraude informático, tráfico de contraseñas y posesión de un arma de fuego por una persona prohibida. Se enfrenta a un máximo de 21 años de prisión y está programado para sentencia el 9 de septiembre de 2026. Muneeb se enfrenta a cargos adicionales y posibles penas de hasta 45 años.

Entonces, ups...

Como aparte, ¿recuerdan cuando los Demócratas de la Cámara permitieron que los Hermanos Awan hicieran lo que quisieran en su red durante 13 años, fueron despedidos por sospecha de acceso no autorizado a servidores, irregularidades en adquisiciones y posible exfiltración de datos, y uno de ellos pudo declararse culpable de un cargo de hacer una declaración falsa en una solicitud de préstamo y ser sentenciado a tiempo cumplido, solo para luego recibir una indemnización por despido improcedente de $850.000 por parte de los cinco trabajadores tecnológicos pakistaníes-estadounidenses involucrados en la saga? ¡Loco!

Tyler Durden
Mié, 13/05/2026 - 14:30