El arresto del contratista gubernamental estadounidense John Daghita, conocido bajo el alias Lick, acusado de sustraer más de 46 millones de dólares en criptomonedas pertenecientes al U.S. Marshals Service (USMS), se ha convertido en un caso de referencia para entender hasta qué punto la amenaza interna puede comprometer la seguridad de los activos digitales más sensibles. La operación fue ejecutada de forma conjunta por el FBI y la unidad de élite de la Gendarmería francesa GIGN.
Arresto de John Daghita y papel de CMDSS en la custodia de criptoactivos
Según información de las autoridades, Daghita fue detenido esta semana y, durante los registros, se incautaron importantes cantidades de efectivo en billetes de 100 dólares, varios discos duros y hardware wallets presuntamente empleados para almacenar y mover los criptoactivos sustraídos.
Daghita es hijo de Dean Daghita, presidente y director ejecutivo de la empresa Command Services & Support (CMDSS), con sede en Virginia. Desde octubre de 2024, CMDSS actuaba como contratista del US Marshals Service para la gestión y custodia de activos digitales confiscados, incluyendo criptomonedas vinculadas al célebre hackeo de Bitfinex en 2016, en el que se robaron casi 120 000 BTC, uno de los mayores incidentes de la historia del sector cripto.
En este tipo de contratos, los proveedores acceden a la infraestructura de custodia, a las claves privadas o a los sistemas que las orquestan. Si no existe una segregación robusta de funciones, controles de acceso granulares y auditorías independientes, un insider con privilegios elevados puede desviar fondos sin ser detectado durante largos periodos.
Análisis de blockchain: cómo se descubrió el presunto desvío de criptomonedas
La conexión entre Daghita y la desaparición de los fondos fue descrita públicamente por el conocido analista de blockchain ZachXBT. A finales de enero, publicó un estudio detallado del flujo de fondos que le permitió rastrear unos 23 millones de dólares desde monederos asociados al US Marshals Service hacia direcciones que, según su análisis, estaban bajo el control de John Daghita.
Este trabajo se basó en la transparencia inherente a las redes blockchain públicas: cada transacción queda registrada en un ledger distribuido. Mediante la correlación de direcciones, marcas temporales y patrones de comportamiento, es posible vincular wallets supuestamente anónimos con individuos o entidades reales, especialmente cuando se cometen errores operativos o se reutilizan direcciones en diferentes contextos.
De acuerdo con ZachXBT, el propio Daghita terminó autodeanonimizándose durante un conflicto en un chat privado de Telegram con otro actor malicioso, conocido como Dritan Kapplani Jr.. En esa conversación, Daghita habría demostrado en tiempo real su capacidad para mover grandes sumas entre dos monederos. El análisis posterior de la cadena de bloques reveló que esas direcciones estaban vinculadas a activos confiscados por el gobierno estadounidense, incluyendo fondos asociados al ataque a Bitfinex.
Ataques de polvo (dust attacks) y presión psicológica en el ecosistema cripto
Tras compartir sus hallazgos con las autoridades, el investigador reportó que Daghita comenzó a provocarle en Telegram y a enviar pequeñas cantidades de criptomonedas a su dirección pública. Esta táctica se conoce como dust attack o ataque de polvo: el atacante envía montos mínimos (dust) a la cartera de la víctima para rastrear sus movimientos, intentar desanonimarla o ejercer presión psicológica.
El propio ZachXBT explicó que Daghita habría utilizado parte de los fondos robados en estas operaciones de acoso on-chain. Este comportamiento ilustra cómo la combinación de técnicas técnicas (trazabilidad en blockchain) y acoso social puede emplearse para intimidar o intentar desacreditar a investigadores y analistas.
Amenaza interna en la gestión de criptomonedas confiscadas
El episodio Daghita ejemplifica la problemática clásica de la amenaza interna (insider threat): el atacante ya se encuentra “dentro del perímetro”, con acceso legítimo a sistemas, datos y procesos. Informes de referencia en el sector, como el Verizon Data Breach Investigations Report, señalan que una fracción significativa de las brechas de seguridad involucra a empleados o contratistas que abusan de sus privilegios, especialmente en sectores financiero y gubernamental.
En el contexto de las administraciones públicas y de grandes instituciones financieras, el riesgo se amplifica por el volumen de activos digitales de alto valor y por la participación de múltiples organismos y proveedores externos en la cadena de custodia. Cualquier debilidad en los procesos de identity & access management, en el monitoreo de transacciones on-chain o en los mecanismos de auditoría puede desembocar en pérdidas millonarias difíciles de revertir.
Buenas prácticas de ciberseguridad para la custodia de criptoactivos
1. Principio de mínimo privilegio y segregación de funciones
El acceso a claves privadas, sistemas de custodia e interfaces de administración debe regirse por el principio de mínimo privilegio y la separación de funciones. Ningún individuo debería poder autorizar por sí solo transferencias de alto valor; modelos como el mecanismo de “cuatro ojos” reducen notablemente el riesgo de abuso.
2. Mecanismos robustos de gestión de claves
La adopción de soluciones como monederos multifirma (multi-sig), módulos de seguridad de hardware (HSM) y esquemas de key sharding distribuidos disminuye la probabilidad de que la compromisión de un solo insider implique la pérdida total del control sobre los activos.
3. Monitoreo on-chain continuo y auditoría independiente
Las organizaciones que gestionan criptoactivos deben implementar sistemas automatizados de monitoreo on-chain capaces de detectar movimientos atípicos casi en tiempo real. Auditorías periódicas, preferiblemente llevadas a cabo por terceros especializados, permiten identificar inconsistencias o desvíos antes de que el daño sea irreversible.
4. Control riguroso de proveedores y contratistas
Los proveedores externos, como CMDSS en este caso, deben someterse a evaluaciones de seguridad técnicas y organizativas: revisiones de procesos, controles de antecedentes del personal con acceso privilegiado, requisitos de registro exhaustivo (logging) y capacidad de investigación forense ante incidentes.
5. Planes de respuesta a incidentes bien documentados
Es esencial definir y probar procedimientos de respuesta a incidentes específicos para activos digitales: congelación rápida de direcciones sospechosas, notificación a casas de cambio y emisores de stablecoins, y coordinación con fuerzas del orden y empresas de análisis blockchain.
El caso de John Daghita demuestra que ni siquiera las entidades gubernamentales con marcos formales de alta seguridad están inmunes a un insider con conocimiento profundo y acceso privilegiado. Para cualquier organización que gestione criptomonedas o activos digitales, este incidente es una llamada a revisar con urgencia sus modelos de gobierno de claves, sus controles de acceso y sus capacidades de monitoreo on-chain. Invertir en estas áreas no solo reduce la superficie de ataque, sino que también aumenta la capacidad de detectar, contener y rastrear cualquier intento de apropiación indebida de fondos en un entorno donde cada transacción queda, para bien o para mal, registrada para siempre.
