Los hackers también son humanos: detienen al joven que hackeó medio mundo por sus aficiones a los videojuegos y a la comida

El Departamento de Justicia de EE. UU. y la policía británica presentaron cargos contra Talha Jubbair, de 19 años y residente del este de Londres, a quien la investigación considera uno de los miembros clave de Scattered Spider —el grupo responsable de una serie de ataques de extorsión contra grandes empresas y organismos estatales. Según los documentos del caso, desde mayo de 2022 hasta septiembre de este año los atacantes realizaron al menos 120 intrusiones, afectaron a 47 organizaciones en EE. UU. y el total de los pagos superó los 115 millones de dólares. En Londres se investiga paralelamente el episodio del ataque a Transport for London en agosto de 2024, en el que, junto a Jubbair, figura Owen Flowers, de 18 años.

La clave para identificar al implicado fue una cadena de coincidencias técnicas. Los investigadores rastrearon transferencias desde las direcciones donde se recibían los rescates hasta un servidor que, según su versión, estaba controlado por Jubbair. En ese nodo se almacenaban billeteras de criptomonedas mediante las cuales se compraron tarjetas de regalo de juegos y tarjetas de entrega de comida; los pedidos llegaban a su complejo residencial, y uno de los certificados resultó estar vinculado a un perfil de jugador con datos del piso. Al incautar la infraestructura, los agentes confiscaron aproximadamente 36 millones de dólares en criptomoneda; anteriormente desde esas direcciones se habían retirado sumas importantes.

A Jubbair se le atribuye una larga trayectoria de ciberataques. Según la investigación, en 2021–2022 formó parte de LAPSUS$, actuando bajo los alias Amtrak y Asyntax, y antes —como Everlynn— estuvo vinculado a la venta de solicitudes de emergencia falsas de datos en nombre de las fuerzas del orden. Conflictos internos en LAPSUS$ provocaron la filtración de sus datos reales en chats públicos de Telegram.

Desde 2022, el implicado, bajo el seudónimo EarthtoStar, codirigió el canal Star Chat —una activa plataforma de SIM swapping—. El grupo realizaba sistemáticamente ataques de phishing a empleados de operadores de telecomunicaciones, con frecuencia a T-Mobile, para obtener acceso a herramientas internas y vender desvíos de llamadas y restablecimientos de cuentas de correo. Ese mismo verano, mediante páginas falsas de Okta y bots de Telegram para reenviar al instante códigos de autenticación en dos pasos, los atacantes comprometieron a empleados de cientos de empresas, lo que desembocó en incidentes en LastPass, DoorDash, Mailchimp, Plex y Signal.

Los rastros de actividad conducen también al foro Exploit, donde las cuentas RocketAce y Lopiu anunciaban accesos a redes de telecomunicaciones de EE. UU., kits de phishing, descargadores maliciosos e incluso certificados de validación extendida. A finales de 2022 y principios de 2023, en torno a la comunidad angloparlante "Com" se conformó un conjunto de "servicios IRL" con elementos de presión física sobre los objetivos, incluso ofrecimientos de robo; esa tarea también se asocia a EarthtoStar. Paralelamente, bajo los nombres Brad o Brad_banned promovía el desarrollo de código malicioso a nivel de núcleo con persistencia, reverse shells y con la promesa de eludir las medidas de protección corporativas.

En septiembre de 2023, tras los ataques a MGM Resorts y Caesars Entertainment, el grupo se atribuyó la responsabilidad. El acceso se obtuvo mediante ingeniería social a los contratistas. Según la prensa, Caesars pagó un rescate de 15 millones de dólares; en MGM la interrupción provocó paradas prolongadas. En la primavera de 2025, un informe anónimo "Com Cast" vinculó a Jubbair con nuevos seudónimos —Clark, Miku y Operator—. A este último se le atribuye la toma del recurso Doxbin y el lanzamiento de un servicio automatizado de doxing.

Los documentos del Departamento de Justicia de EE. UU. describen por separado el hackeo de la infraestructura de los tribunales federales en enero de 2025: mediante el soporte técnico los atacantes lograron el restablecimiento de una contraseña, obtuvieron acceso a dos cuentas más, extrajeron datos personales de empleados, tras lo cual uno de los correos comprometidos solicitó a una entidad financiera la divulgación urgente de datos de clientes. En otros episodios —desde fabricantes y empresas de entretenimiento hasta el comercio minorista, las finanzas y la infraestructura crítica— el patrón se repitió: engaño al servicio de soporte, cambio de contraseña, exfiltración, a veces cifrado, luego negociación por el descifrado o la promesa de no publicar los volúmenes robados. En cinco casos las víctimas enviaron al menos 89,5 millones de dólares en BTC, los pagos mayores recayeron en bancos.

Telegram bloqueó Star Chat en marzo de 2025; sin embargo, según la fiscalía, las operaciones continuaron hasta septiembre. Algunos episodios se solapan con el caso de Flowers, así como con la investigación contra Noah Urban, que ya recibió 10 años de prisión en EE. UU. Los analistas señalan que la implicación de menores en "Com" crea lagunas legales y retrasa las persecuciones, pero las acciones coordinadas de las autoridades y las empresas en ambos lados del Atlántico privan poco a poco a Scattered Spider de su base operativa.