La historia detrás del programador que saboteó a su empresa y terminó en prisión

Un exdesarrollador de software ejecutó un sabotaje informático masivo contra su empresa tras ser despedido, causando pérdidas millonarias y enfrentando una condena de prisión. El caso de Davis Lu en Eaton Corporation expone los riesgos internos a los que se enfrentan las organizaciones en el entorno digital.

Un ataque informático que marcó un precedente

La seguridad informática suele asociarse a amenazas externas, pero situaciones como la que protagonizó Lu en Houston, Texas, han cambiado la percepción de los riesgos internos. Tras una reestructuración interna en Eaton Corporation, el programador, con más de una década de experiencia en la empresa, decidió tomar represalias al sentirse desplazado.

Lu instaló un malware en los sistemas corporativos antes de abandonar la organización. Este código malicioso fue diseñado para activarse si su acceso era revocado, lo que finalmente ocurrió tras su despido definitivo en septiembre de 2019. El “interruptor de apagado” que desarrolló generó fallos sistemáticos, eliminó archivos y bloqueó a miles de empleados.

Cómo se gestó el sabotaje

Durante su tiempo en Eaton, Davis Lu participó en el desarrollo de soluciones tecnológicas para sectores estratégicos, incluyendo los rubros aeroespacial y automotor. La decisión de recortar puestos, tomada en 2018, redujo su rol dentro de la compañía. El ambiente de inestabilidad laboral llevó al programador a planificar un ataque que aprovecharía sus privilegios como desarrollador.

Según registros judiciales citados el programador ocultó un software que ejecutaba bucles infinitos en los servidores y eliminaba archivos de perfil de otros empleados. El código fue bautizado como “IsDLEnabledinAD”, en referencia a su propio nombre y a la función de comprobar si su usuario seguía activo en el directorio de la empresa.

Cuál fue el impacto del malware en la infraestructura de Eaton

El ataque no solo afectó los equipos de Houston, sino que se propagó a nivel global. El Departamento de Justicia de Estados Unidos señaló que el código malicioso generó colapsos en los sistemas empresariales, interrumpiendo operaciones y causando una pérdida de cientos de miles de euros.

El sabotaje también incluyó mecanismos para entorpecer cualquier intento de restauración: el programador eliminó datos cifrados de su portátil corporativa antes de devolverla, lo que complicó las tareas de investigación y recuperación.

Una de las particularidades del caso fue la sofisticación de los mecanismos empleados. Además del software principal, la fiscalía estadounidense encontró otros programas denominados “Hakai” y “HunShui”, que tenían la capacidad de causar daños adicionales y estaban diseñados para activarse bajo ciertas condiciones.

Aunque Lu tomó precauciones para encubrir sus acciones, la investigación logró vincular el origen del ataque a un servidor de desarrollo ubicado en Kentucky. Los análisis demostraron que la cuenta de usuario del exempleado había ejecutado el código en el momento exacto en que se produjo el despido.

En octubre de 2019, menos de un mes después de la activación del malware, Lu confesó su responsabilidad durante los interrogatorios, aunque inicialmente se declaró no culpable de los cargos de sabotaje informático. Durante el juicio, que se extendió durante seis días, se presentaron pruebas que acreditaron el daño intencional provocado a los sistemas de la compañía y a miles de usuarios.

En 2021, un tribunal estadounidense declaró culpable a Davis Lu por daño intencional a sistemas informáticos. La última actualización del caso, en agosto de 2025, confirmó que el programador fue condenado a cuatro años de prisión y tres años de libertad supervisada. La sentencia se impuso por el uso malicioso de sus conocimientos técnicos y la magnitud de las pérdidas ocasionadas.

El caso de Lu resalta la importancia de gestionar adecuadamente los accesos y privilegios dentro de las organizaciones tecnológicas. Los incidentes protagonizados por personal interno pueden tener consecuencias tan graves como los ataques externos. La historia de Eaton Corporation sirve de advertencia sobre la necesidad de una política de seguridad robusta y de revisión constante de los protocolos de acceso y monitoreo de actividades sospechosas.