Un documento judicial revela que la identificación del dispositivo Windows ayudó al FBI a rastrear al presunto hacker Scattered Spider

Los fiscales estadounidenses vincularon a un presunto hacker de Scattered Spider con un robo en una joyería de lujo utilizando una identificación persistente de un dispositivo Windows, según un documento recientemente revelado. denuncia federal.

Los registros de Microsoft vincularon esa identificación primero con la cuenta que los atacantes utilizaron para mantener el acceso durante la intrusión de mayo de 2025, luego con las cuentas en línea que, según los fiscales, pertenecen a Peter Stokes, de 19 años.

Stokes está acusado de conspiración, intrusión informática y fraude. Con doble ciudadanía estadounidense y estonia, conocido en línea como «Bouquet», fue extraditado de Finlandia e hizo su primera comparecencia ante el tribunal en Chicago el 30 de junio, como informó THN. Se presume inocente en espera de juicio.

Cómo funcionó el robo

Entre el 12 y el 15 de mayo de 2025, los atacantes llamaron al servicio de asistencia de TI del minorista desde números de Google Voice, se hicieron pasar por empleados bloqueados y consiguieron que el personal restableciera las contraseñas de los empleados y los dispositivos móviles vinculados a su autenticación multifactor.

En pocas horas controlaban tres cuentas, dos de ellas pertenecientes a administradores de TI. Instalaron ngrok y una segunda herramienta de túnel llamada Teleport, trasladaron datos al almacenamiento en la nube de Amazon y extrajeron al menos 77 gigabytes.

Ciberseguridad

Parece que intentaron implementar ransomware, pero el equipo de seguridad del minorista lo bloqueó y los expulsó de la red. Los atacantes aún enviaron un correo electrónico de rescate, con el asunto «IMPORTANTE: ROBAMOS LOS DATOS, CONTACTE INMEDIATAMENTE [sic],» y luego pidió 8 millones de dólares en criptomonedas. La empresa no pagó. La violación aun así le costó alrededor de 2 millones de dólares en interrupción, investigación y limpieza.

La forma de entrar fue la mesa de ayuda, no una falla de software. La solución es un proceso, no un parche: verifique la identidad antes de cualquier reinicio con una devolución de llamada a un número que ya está registrado, el cierre de sesión del administrador o verificaciones de video para cuentas privilegiadas. La MFA resistente al phishing, como las claves FIDO2, debilita los otros métodos del grupo, pero no hace nada si un servicio de asistencia técnica restablece una cuenta mediante una llamada telefónica.

La identificación que llevó a los investigadores hasta Stokes

Los investigadores regresaron a Stokes desde el dispositivo que abrió la cuenta ngrok. Microsoft le dijo al FBI que llevaba el identificador global de dispositivo g:6755467234350028, que Microsoft describe como un identificador persistente vinculado a una única instalación de Windows, uno que sobrevive a las actualizaciones del sistema operativo pero que cambia cuando se reinstala Windows.

Los registros de Microsoft muestran que el dispositivo visitó la página de registro de ngrok a las 19:21 UTC del 12 de mayo de 2025, el mismo minuto en que se creó la cuenta de ngrok, y llegó al sitio web del minorista a través del mismo proxy aproximadamente tres horas después.

El dispositivo también siguió apareciendo en las mismas direcciones IP, al mismo tiempo, que los fiscales atribuyen a Stokes las cuentas de Snapchat, Apple y Facebook: una dirección en su ciudad natal de Tallin, Estonia, en junio de 2024, luego Nueva York en noviembre y Tailandia en febrero de 2025, coincidente con los registros de viajes del Departamento de Estado.

La denuncia muestra a un operador que ocultó el ataque detrás de un proxy VPN, herramientas de túnel y alias, pero no a sí mismo. Los fiscales dicen que en su Snapchat hacía alarde de dinero en efectivo, relojes y cadenas de diamantes que decían «HACK THE PLANET», junto con los mismos viajes que lo ubicaron en esas ciudades. Incluso publicó fotografías de una comisaría de policía de Estonia y se burló de que los federales no tenían idea de lo que habían dejado escapar.

Un arresto y por qué es posible que no frene la amenaza

Los investigadores ahora pueden vincular a un solo operador a la máquina que organizó el ataque. Pero un arresto apenas toca la amenaza más amplia.

En una investigación reciente y separada, El Grupo IB argumenta Scattered Spider no es realmente un grupo en absoluto. Es un colectivo informal de células pequeñas e independientes, la mayoría de no más de cinco personas, unidas por trucos, herramientas y salas de chat compartidos en lugar de un jefe compartido. Group-IB lo compara con el movimiento Anonymous y dice que arrestar a algunas de estas células «no detendrá la amenaza en sí».

Ciberseguridad

Los fiscales describen a Scattered Spider como uno de los grupos detrás de más de 100 intrusiones y más de 100 millones de dólares en rescates. Group-IB dice que la etiqueta se adapta mejor a una escena que a una pandilla, y sostiene que la estructura laxa es la razón por la que la actividad sobrevive a cada arresto.

Parte de una serie más larga de casos

Otros procesamientos recientes de Scattered Spider siguen la misma forma: los individuos son arrestados uno a la vez, con el manual compartido intacto. En abril de 2026, el ciudadano escocés Tyler Buchanan se declaró culpable en Estados Unidos de fraude y robo de identidad vinculado al grupo.

En 2025, Noah Urban, conocido como «Sosa», fue sentenciado a 10 años por un plan de intercambio de SIM vinculado a Scattered Spider. Y en el Reino Unido, dos presuntos miembros admitieron recientemente haber participado en el hackeo de Transport for London, que costó aproximadamente £29 millones.

Cuando la policía finlandesa detuvo a Stokes en el aeropuerto de Helsinki cuando intentaba abordar un vuelo a Japón, confiscaron dos discos duros de 2 terabytes. Todo este caso se construyó a partir de ese tipo de material: registros de dispositivos, enlaces de cuentas y rastros de IP. En una red tan difusa, los impulsos podrían importar más que la convicción, si contienen las herramientas, la infraestructura o los contactos que llegan al siguiente miembro.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *