10 años de prisión por una charla telefónica: cómo una voz confiada sustituye exploits y hackeos — confesión de un miembro clave de Scattered Spider

La historia de Noah Urban — uno de los casos más ilustrativos de cómo la socialización adolescente y la voz por teléfono se convierten en herramientas del ciberdelito. Según una investigación basada en mensajes en Discord y Telegram, documentos judiciales y numerosas conversaciones con fuentes, Urban desempeñó el papel de operador de llamadas en la agrupación Scattered Spider (0ktapus, UNC3944).

El delincuente tenía casi ninguna habilidad técnica: lo decidían la voz, las maneras y una improvisación segura. La tarea del operador de llamadas era convencer a las personas para que abriesen por sí mismas las puertas a los sistemas internos de las empresas, tras lo cual se producían robos de datos, usurpaciones de cuentas y extorsión. Según investigadores y analistas, ese papel proporcionó al grupo accesos para atacar a empresas de telecomunicaciones y tecnológicas y, después, objetivos de mayor envergadura.

Nacido en 2004, el estudiante de Florida no escribía exploits ni practicaba ingeniería inversa: pronto dominó la suplantación de SIM y la ingeniería social. Siguiendo esquemas extraídos de chats de Minecraft y canales clandestinos, llamaba a tiendas de telecomunicaciones y se hacía pasar por personal de soporte, obteniendo cuentas y acceso remoto a herramientas internas. Las primeras semanas le reportaron miles de dólares, el entusiasmo creció y, con él, el círculo de conocidos de la llamada "Com" —comunidades de adolescentes en Discord y Telegram— donde se cazaban nicks atractivos, criptoactivos y códigos de recuperación ajenos.

Para 2022, Urban y sus cómplices pasaron de secuestros puntuales a ataques contra proveedores. Ese verano el grupo desplegó una copia de phishing de la entrada de Okta y la envió a empleados de Twilio. Bastaba una sola víctima para entrar en Slack y, a través de un colega de mayor rango, solicitar una extracción con los códigos para clientes. Finalmente, de Twilio se filtraron datos de 209 organizaciones —desde SMS de verificación hasta cuentas corporativas—; esa serie recibió el apodo de 0ktapus. Más tarde se aplicaron las mismas técnicas contra Riot Games: los atacantes robaron los códigos fuente de League of Legends y del sistema antitrampas y exigieron dinero a cambio de devolverlos. La empresa se negó.

Con los esquemas cada vez más sofisticados, Scattered Spider se relacionó con incidentes graves en EE. UU. y Reino Unido. En 2023, MGM Resorts valoró los daños por paradas y recuperación en 100 millones de dólares; otro gran minorista, Marks & Spencer, declaró pérdidas potenciales en torno a 400 millones. Paralelamente, los investigadores señalaron colaboración con extorsionadores extranjeros, un aumento de la presión sobre las víctimas y intentos de intimidar a familiares de empleados. La CISA calificó al grupo como "una amenaza seria y continua", y Mandiant lo describió como una de las más agresivas.

El FBI seguía a Urban al menos desde 2021. En marzo de 2023, agentes federales registraron su casa en Florida y confiscaron alrededor de 4 millones de dólares en criptomonedas, 100 000 dólares en efectivo, relojes y equipos electrónicos. El propio acusado estimó que el volumen total canalizado a través de exchanges y sitios de juego ascendía a decenas de millones. En la primavera de 2024 se produjo su arresto y las imputaciones por episodios contra 13 empresas, incluyendo operadores de telecomunicaciones y firmas tecnológicas. En abril admitió su culpabilidad por fraude y robo de identidades, y el 20 de agosto de 2025 el tribunal le impuso una pena de 10 años de prisión y le obligó a pagar 13,4 millones de dólares a las víctimas.

El caso de Urban demuestra que para un ataque a menudo basta una voz segura, un guion bien preparado y determinación. Una plataforma intermediaria en la que confían miles de clientes se convierte en trampolín, y el "juego de llamadas" entre adolescentes se transforma en una cadena de ataques con pérdidas multimillonarias. En los partes policiales, junto a la extorsión ahora figuran secuestros e incendios provocados por conflictos dentro de las bandas juveniles en línea. Y mientras el conjunto de habilidades blandas siga siendo más importante que el código, y el reclutamiento se haga a través de comunidades de juego y música, esta amenaza seguirá viva —desde un saludo telefónico hasta sistemas desconectados en los complejos de Las Vegas.