La Fiscalía de Estados Unidos vinculó a un presunto integrante del grupo Scattered Spider con el ataque a un gran minorista de joyería, utilizando como prueba clave un identificador persistente de dispositivo en Windows. Según un escrito de acusación federal desclasificado, los registros de Microsoft permitieron asociar un dispositivo concreto, primero, con la cuenta utilizada para mantener el acceso en la red de la víctima en mayo de 2025 y, posteriormente, con las cuentas personales de Peter Stokes, de 19 años, ciudadano de Estados Unidos y Estonia. El caso ilustra tanto las capacidades de la informática forense para atribuir ataques como la vulnerabilidad fundamental de los servicios corporativos de soporte frente a la ingeniería social.
Cronología del ataque: de la llamada al soporte al intento de extorsión
Según el escrito de acusación, entre el 12 y el 15 de mayo de 2025 los atacantes llamaron al servicio de soporte de TI del minorista desde números de Google Voice, se hicieron pasar por empleados supuestamente bloqueados en sus cuentas y convencieron al personal de que restableciera contraseñas y los dispositivos móviles asociados a la autenticación multifactor.
En cuestión de horas, los atacantes obtuvieron control sobre tres cuentas, dos de las cuales pertenecían a administradores de TI. A continuación:
- Instalaron las herramientas de tunelización ngrok y Teleport para establecer acceso encubierto
- Trasladaron datos a un almacenamiento en la nube de Amazon
- Exfiltraron al menos 77 gigabytes de información
- Presuntamente intentaron desplegar un programa de ransomware; sin embargo, el equipo de seguridad del minorista bloqueó el despliegue y expulsó a los atacantes de la red
Aunque no lograron cifrar los sistemas, los atacantes enviaron un correo electrónico con una nota de rescate —el asunto del mensaje contenía una falta de ortografía característica: «IMPORTANT: WE STOLE THE DATA, CONTACT UMMEDIATELY [sic]»— y posteriormente exigieron 8 millones de dólares en criptomonedas. La empresa se negó a pagar, pero, según la acusación, sufrió pérdidas cercanas a los 2 millones de dólares en tareas de respuesta, investigación y recuperación de operaciones.
El identificador de dispositivo como huella digital
Un elemento clave de la investigación fue el mecanismo que Microsoft denomina Global Device Identifier, un identificador persistente ligado a una instalación concreta de Windows. Según la descripción en el escrito de acusación, este identificador se conserva al actualizar el sistema operativo, pero cambia al reinstalar Windows.
Los registros de Microsoft mostraron que el dispositivo con el identificador g:6755467234350028 visitó la página de registro de ngrok a las 19:21 UTC del 12 de mayo de 2025, en el mismo minuto en que se creó la cuenta de ngrok utilizada en el ataque. Aproximadamente tres horas después, el mismo dispositivo accedió al sitio web del minorista a través del mismo servidor proxy.
Posteriormente, los investigadores determinaron que este dispositivo aparecía repetidamente en las mismas direcciones IP y franjas horarias que las cuentas de Snapchat, Apple y Facebook que, según la acusación, pertenecen a Stokes. La correlación geográfica abarcó Tallin (junio de 2024), Nueva York (noviembre de 2024) y Tailandia (febrero de 2025), lo que se corroboró con los registros de viajes del Departamento de Estado.
La acusación traza el retrato de un operador que ocultaba el ataque —tras VPN, servidores proxy, herramientas de tunelización y seudónimos—, pero no se ocultaba a sí mismo. Según la investigación, en la cuenta de Snapchat vinculada a Stokes (conocido bajo el alias «Bouquet») se exhibían fajos de dinero en efectivo, relojes y cadenas de diamantes con la inscripción «HACK THE PLANET», así como fotografías de esas mismas ciudades, incluida una imagen de una comisaría de policía estonia con un comentario burlón dirigido a las fuerzas del orden.
Contexto de la amenaza: por qué un solo arresto no resuelve el problema
Stokes ha sido acusado de conspiración, intrusión informática y fraude. Según un comunicado de prensa del Departamento de Justicia, fue extraditado desde Finlandia y compareció por primera vez ante el tribunal en Chicago el 30 de junio. La policía finlandesa lo detuvo en el aeropuerto de Helsinki cuando intentaba embarcar en un vuelo a Japón y confiscó dos discos duros de 2 terabytes cada uno. Stokes se presume inocente hasta que se dicte sentencia.
La Fiscalía describe a Scattered Spider como un único grupo responsable de más de 100 intrusiones y de extorsiones por un importe superior a 100 millones de dólares. Sin embargo, un estudio de Group-IB propone otro modelo: según sus analistas, Scattered Spider no es una organización unitaria, sino un colectivo laxo formado por pequeñas células independientes, por lo general de no más de cinco personas, unidas por métodos, herramientas y canales de comunicación comunes, más que por un mando único. Group-IB compara este fenómeno con el movimiento Anonymous y señala explícitamente que los arrestos de células individuales «no detendrán la amenaza en sí».
Es precisamente esta estructura descentralizada la que explica por qué la actividad del grupo continúa a pesar de una serie de acciones penales en distintas jurisdicciones. Cada arresto elimina a un operador concreto, pero el conjunto de tácticas, técnicas y procedimientos sigue siendo accesible a través de canales de chat y comunidades compartidas.
Recomendaciones prácticas
Este incidente subraya que el vector del ataque no fue una vulnerabilidad de software, sino de procesos: ingeniería social a través del servicio de soporte. Las organizaciones deberían centrarse en las siguientes medidas:
- Verificación de identidad al restablecer credenciales: implemente un procedimiento obligatorio de devolución de llamada al número ya registrado en el sistema, confirmación por parte del superior directo o verificación por vídeo, especialmente para cuentas con privilegios elevados
- Autenticación multifactor basada en hardware: el despliegue de llaves FIDO2 neutraliza los ataques de phishing contra MFA, pero no protege frente a situaciones en las que un operador del servicio de soporte restablece la vinculación del dispositivo tras una llamada telefónica
- Monitoreo de herramientas de tunelización: detección y bloqueo del uso no autorizado de ngrok, Teleport y herramientas similares en la red corporativa
- Control de exfiltración masiva: configure alertas sobre volúmenes anómalos de tráfico saliente, especialmente hacia servicios de almacenamiento en la nube
- Limitación de privilegios: minimice la cantidad de cuentas con permisos de administrador de TI y aplique a dichas cuentas procedimientos reforzados de autenticación
El caso Stokes demuestra que la informática forense es capaz de vincular a un operador concreto con un ataque incluso cuando se utilizan VPN y proxies, pero para las organizaciones víctimas esto es un pobre consuelo. La lección clave de este incidente no reside en la tecnología de atribución, sino en el hecho de que una sola llamada telefónica al servicio de soporte abrió el acceso a cuentas administrativas y a 77 gigabytes de datos. Mientras el procedimiento de restablecimiento de contraseñas no exija una verificación de identidad fiable, ni las llaves FIDO2 ni las soluciones EDR compensarán esta brecha.