El Departamento de Justicia de los Estados Unidos (DOJ) ha acusado a cinco personas de llevar a cabo un esquema de cibercrimen que robó 6,3 millones de dólares en criptomonedas y accedió de forma ilícita a datos corporativos confidenciales. Este plan, basado en técnicas de phishing y hackeo, afectó a diversas empresas de tecnología, telecomunicaciones y criptomonedas entre 2021 y 2023.
Contenido:
Acusados Identificados y Cargos Presentados
Los imputados son Ahmed Hossam Eldin Elbadawy (23 años, Texas), Noah Michael Urban (20 años, Florida), Evans Onyeaka Osiebo (20 años, Texas), Joel Martin Evans (25 años, Carolina del Norte) y Tyler Robert Buchanan (22 años, Reino Unido). Este último fue detenido en España a principios de 2024 y enfrenta cargos adicionales de fraude electrónico, con una pena máxima de 20 años de prisión.
Los cargos incluyen conspiración para cometer fraude electrónico, robo de identidad agravado y delitos relacionados. Según las autoridades, los acusados utilizaron mensajes de texto de phishing para obtener credenciales de empleados, lo que les permitió acceder a cuentas corporativas y robar información confidencial.
Método de Operación: Phishing y Robo de Identidad
El esquema de phishing implicó el envío de mensajes SMS fraudulentos que simulaban provenir de empresas legítimas. Estos mensajes advertían a los empleados que sus cuentas estaban en riesgo de ser desactivadas, dirigiéndolos a portales de inicio de sesión falsos. Al ingresar sus credenciales, los empleados otorgaban acceso a los sistemas internos de sus compañías.
Una vez dentro, los hackers sustraían datos confidenciales, información personal y criptomonedas. También emplearon el intercambio de tarjetas SIM para eludir medidas de seguridad adicionales y restablecer contraseñas. Una víctima informó la pérdida de 6,3 millones de dólares en criptomonedas a causa de estas tácticas.
Vínculos con Grupos de Cibercrimen Reconocidos
Las investigaciones han relacionado a los acusados con grupos de cibercrimen como «0ktapus» y «Scattered Spider», conocidos por sus ataques de alto perfil en 2022 y 2023. Estos grupos han apuntado a empresas como Twilio, Coinbase, Doordash e incluso Riot Games, lo que sugiere una expansión de sus actividades ilícitas hacia sectores más amplios.
A pesar de las detenciones, las autoridades creen que otros miembros de la red criminal permanecen en libertad. Según los documentos judiciales, los acusados operaban de forma desorganizada pero con motivaciones económicas claras.
Consecuencias Legales
Si son declarados culpables, los acusados enfrentan penas severas. Las sentencias incluyen hasta 20 años de prisión por fraude electrónico, cinco años por conspiración y dos años adicionales por robo de identidad agravado. Noah Michael Urban, además, enfrenta cargos de fraude en un caso separado en Florida.
El subdirector del FBI en Los Ángeles, Akil Davis, destacó la importancia de la prevención en estos casos, instando a las empresas y usuarios a estar atentos a posibles intentos de phishing.
Lección para las Empresas y el Futuro de la Ciberseguridad
El DOJ ha intensificado las advertencias a las empresas para que fortalezcan sus sistemas de seguridad. Martin Estrada, fiscal federal, instó a las organizaciones a prestar atención a cualquier irregularidad en correos electrónicos o mensajes.
Este caso pone en evidencia los riesgos crecientes en el sector de criptomonedas y la importancia de implementar medidas de ciberseguridad robustas. Además, sirve como recordatorio del impacto devastador que los ataques cibernéticos pueden tener en las empresas y sus clientes.
