Un pantallazo arruinó la vida de un líder de hackers de 15 años: el ordenador de su padre, el spam "18+" y la persecución de los servicios de inteligencia.

El grupo de hackers Scattered LAPSUS$ Hunters, que este año ha estado extorsionando a decenas de corporaciones y vendiendo datos robados, resultó en gran parte organizado en torno a un adolescente de 15 años de Jordania. Bajo el alias Rey actuaba como líder técnico y rostro público del grupo, y ahora, tras la investigación de KrebsOnSecurity y una conversación con su padre, su identidad real aparentemente ha sido establecida — y el propio adolescente afirma que está cooperando con las autoridades.

Scattered LAPSUS$ Hunters (SLSH) se considera una unión de tres bandas conocidas: Scattered Spider, LAPSUS$ y ShinyHunters. Sus integrantes se cruzan en chats de ciberdelincuencia de habla inglesa en Telegram y Discord. En mayo de 2025, SLSH lanzó una campaña a gran escala de ingeniería social: los atacantes llamaban a empleados de empresas y los convencían de conectar una aplicación maliciosa al portal corporativo de Salesforce. Más tarde el grupo abrió su propio portal para filtrar datos y amenazó con publicar información interna de alrededor de treinta empresas, de las cuales, según afirmaron, se había robado información de Salesforce. Entre las víctimas nombraron a Toyota, FedEx, Disney/Hulu y UPS.

Un sitio de extorsión separado, vinculado con ShinyHunters, ahora amenaza con filtrar los datos robados si Salesforce o las empresas afectadas no pagan un rescate. La semana pasada el canal de SLSH en Telegram publicó un nuevo llamamiento a informantes internos —empleados de grandes empresas dispuestos a proporcionar acceso a los sistemas internos del empleador a cambio de una parte del rescate. El grupo ya había intentado reclutar informantes antes, pero esta vez su anuncio se difundió en redes sociales en paralelo con la noticia de que CrowdStrike despidió a un empleado por filtrar capturas de pantalla de sistemas internos a los hackers de SLSH. CrowdStrike declaró que la infraestructura de la compañía no fue comprometida y que el incidente fue remitido a las autoridades.

Hasta ahora los miembros de SLSH habían usado principalmente ransomware de terceros: de programas asociados como ALPHV/BlackCat, Qilin, RansomHub, DragonForce y otros. Pero recientemente en su canal el grupo anunció el lanzamiento de su propio esquema de "ransomware como servicio" bajo la marca ShinySp1d3r. Esta plataforma la presentó uno de los participantes clave de SLSH —el administrador del canal de Telegram con el alias Rey. Antes fue administrador del sitio para la publicación de datos filtrados de Hellcat —una agrupación surgida a finales de 2024 vinculada a ataques contra Schneider Electric, Telefónica y Orange Romania.

En 2024 Rey también encabezó otra encarnación del tristemente célebre foro BreachForums, una gran plataforma anglófona para el comercio de bases de datos robadas e instrumentos de hackeo. Ese foro ya perdió dominios varias veces como resultado de operaciones del FBI y fuerzas policiales internacionales. En abril de 2025 Rey escribió públicamente en redes sobre una nueva incautación de dominios de BreachForums. El 5 de octubre de 2025 el FBI volvió a anunciar la toma de los dominios de la plataforma, calificando a BreachForums como un gran mercado criminal que usan ShinyHunters y otros para comerciar con datos robados y extorsionar. Según la agencia, la eliminación del sitio "quita un nodo importante" por el que los delincuentes monetizaban intrusiones, buscaban cómplices y seleccionaban víctimas en distintos sectores.

Resulta que, pese a su experiencia, Rey cometía errores graves de seguridad operativa que permitieron a analistas y periodistas trazar la cadena hasta su nombre y dirección reales. Según Intel 471, con el alias Rey fue un usuario activo de varias resurrecciones de BreachForums desde febrero de 2024 hasta julio de 2025 y dejó más de 200 mensajes. Antes participaba allí bajo otro seudónimo —Hikki-Chan— y su primer mensaje trataba sobre datos supuestamente robados a los Centros para el Control y la Prevención de Enfermedades de EE. UU. (CDC).

En ese mismo mensaje de febrero de 2024 Hikki-Chan indicó para contacto la cuenta de Telegram @wristmug. En mayo de 2024 esa cuenta, en el chat de Telegram "Pantifan", publicó una captura de pantalla de una carta de extorsión en la que los estafadores afirmaban haber hackeado su ordenador, grabarlo con la cámara web mientras navegaba por sitios pornográficos y amenazaban con enviar el video a todos sus contactos si no se pagaba un rescate en bitcoin. Ese tipo de envíos masivos suele incluir una contraseña real que la víctima realmente había usado antes. El adolescente reaccionó al mensaje con un comentario jocoso —"¡Noooooo, creo que ya terminé, chicos!"— pero al publicar la captura solo taponó el login del correo, dejando visibles el dominio @proton.me y la contraseña antigua.

La contraseña única de 15 caracteres de la captura, según los datos del servicio Spycloud, coincidía con una sola cuenta —la dirección cybero5tdev@proton.me. Esos datos fueron robados dos veces a principios de 2024 tras infectarse el dispositivo del propietario con un stealer de información que extrajo todos los inicios de sesión, contraseñas y cookies guardadas. Intel 471 vincula ese correo con un usuario de BreachForums bajo el nick o5tdev. Buscar ese nick en Google muestra archivos de vandalizaciones de sitios donde o5tdev publicaba mensajes pro-palestinos en nombre del equipo Cyb3r Drag0nz Team.

Expertos de SentinelOne anteriormente describieron a Cyb3r Drag0nz Team como un grupo hacktivista que realiza ataques DDoS, vandaliza sitios web y publica bases de datos personales. Según ellos, el grupo afirmó una "filtración de datos de más de un millón de ciudadanos de Israel" y colocó archivos de varios volúmenes con información personal. Analistas de Flashpoint, a su vez, hallan rastros de la cuenta de Telegram @05tdev, que entre 2023 y principios de 2024 fue activa en canales árabes antiisraelíes como "Ghost of Palestine".

Flashpoint también indica que la cuenta Rey en Telegram (ID7047194296) conversaba activamente en un canal orientado al crimen llamado "Jacuzzi". Allí compartía detalles personales: contaba que su padre es piloto de una aerolínea, que tiene 15 años y que la familia tiene raíces irlandesas. En uno de los mensajes publicó una imagen sobre la prevalencia del apellido Ginty, vinculándose directamente con ese nombre.

Spycloud, tras analizar los datos de las cuentas robadas, concluyó que el ordenador de Rey es un PC con Windows compartido por la familia en Amán, Jordania. En los inicios de sesión filtrados aparecen varios usuarios con el mismo apellido Khader y la misma dirección en Amán. En el autocompletado del navegador de esos datos figura un perfil de Zaid Khader, de 46 años, donde en el campo del apellido de soltera de la madre aparece Ginty. Esos mismos datos muestran visitas frecuentes a intranets de empleados de la aerolínea Royal Jordanian Airlines —es decir, por el perfil Zaid realmente parece un piloto de la aerolínea nacional.

Al cruzar esos fragmentos, los investigadores concluyeron que detrás del alias Rey está Saif Al-Din Khader. Sin poder contactar con él directamente, KrebsOnSecurity escribió una carta a su padre Zaid, explicando que su hijo, aparentemente, estaba profundamente involucrado en una conspiración seria de ciberdelincuencia. Menos de dos horas después el periodista recibió un mensaje por Signal del propio Saif: según él, su padre tomó la carta como otro intento de estafa y simplemente se la reenvió al hijo.

Saif dijo que pronto cumplirá 16 años y que las autoridades europeas ya lo conocen. Asegura que intenta abandonar Scattered LAPSUS$ Hunters, pero que "no puede desaparecer de la noche a la mañana", por lo que ahora está ocupado "limpiando todo con lo que estuvo vinculado y seguir adelante". Al preguntarle por qué era él el responsable del lanzamiento del nuevo programa de extorsión ShinySp1d3r, el adolescente respondió que en esencia es una versión revisada del ransomware ya existente Hellcat, mejorada con herramientas de IA: "Básicamente distribuí el código fuente de Hellcat".

Según Saif, recientemente él mismo contactó con una cuenta de Telegram vinculada a una operación de las fuerzas del orden llamada Operation Endgame —una campaña a gran escala contra servicios de ciberdelincuencia y sus clientes. Insiste en que ya colabora con las autoridades "al menos desde junio" y afirma que desde septiembre no ha participado "ni en intrusiones a corporaciones, ni en extorsiones".

El adolescente pide por ahora que no publiquen su historia, alegando que eso podría perjudicar su cooperación con las fuerzas del orden y atraer "atención innecesaria", especialmente si las autoridades de EE. UU. y Europa aún no han contactado con el gobierno de Jordania. Según él, las estructuras policiales comunicaron que interactúan con varios países por su caso, pero ya "ha pasado toda una semana" sin novedades. Saif mostró una captura que supuestamente confirma su solicitud a Europol a finales del mes pasado; sin embargo, no pudo identificar a oficiales concretos ni validar oficialmente sus afirmaciones, y los periodistas no lograron verificarlas.

"No me importa, solo quiero salir de todo esto, aunque acabe en prisión o en cualquier otra cosa", dijo. Aún no está claro cómo terminará la historia del adolescente que llegó a ser administrador de las mayores plataformas de ciberdelincuencia y la cara de uno de los grupos de extorsión más sonados del año, pero que ya intenta negociar con quienes lo persiguen a él y a sus antiguos cómplices.