Con 17 años, robó más de 30 millones de euros en criptomonedas, pero la policía lo descubrió por un descuido tonto: comprar una cuenta de PlayStation

Hace tres años, en otoño de 2022, se destapó uno de el mayor robo de la historia de Canadá. Un joven de tan solo 17 años logró sustraer 48 millones de dólares canadienses (más de 32 millones de euros) en criptos, a través de una sola víctima, tal y como informa Bitdefender. 

El delincuente creyó salir airoso de la estafa, manteniendo su anonimato gracias a la red y a un sistema de seguridad que todavía no parece preparado para este tipo de delitos. Sin embargo, años más tarde se ha hecho justicia. La policía ha descubierto al ladrón no a través de una técnica forense secreta, sino de una compra banal en el mundo de los videojuegos.

Parte del bitcoin robado fue transferido para pagar un nombre de usuario en PlayStation —el alias “God”— y esa operación dejó un rastro que permitió a los investigadores conectar transacciones a identidades reales. La pista, combinada con el trabajo de la policía, abrió la puerta a una serie de detenciones derivadas.

El método que permitió el gran robo no fue un fallo del libro mayor de la cadena de bloques —la propia blockchain sigue siendo verificable— sino una vulneración del sistema de identidad alrededor de ese libro mayor. En un SIM swap, el atacante logra que una operadora móvil transfiera el número telefónico de la víctima a una tarjeta SIM que controla. Con el número bajo su mando recibe las llamadas y, sobre todo, los SMS con códigos de verificación de servicios que usan la autenticación por mensaje de texto. 

Esa suplantación de identidad telefónica es pura ingeniería social: una llamada convincente a un operador, prebendas, excusas plausibles. Y, en este caso, esa brecha fue la llave que abrió monederos que contenían decenas de millones.

No se trataba de una red criminal organizada, ni de un país hostil operando desde la sombra, sino de un adolescente con los conocimientos suficientes para manipular un protocolo débil en la cadena de seguridad digital

El joven de Hamilton, cuya identidad no ha trascendido por haber sido menor en el momento de los hechos, se convirtió de golpe en el protagonista del mayor robo individual de criptomonedas registrado en Canadá. La magnitud del golpe llamó la atención internacional. No se trataba de una red criminal organizada, ni de un país hostil operando desde la sombra, sino de un adolescente con los conocimientos suficientes para manipular un protocolo débil en la cadena de seguridad digital.

La maniobra, según los documentos judiciales, tuvo lugar en cuestión de horas. Una vez dentro de los sistemas de verificación de la víctima, el joven desvió los fondos hacia carteras digitales bajo su control y comenzó a moverlos para ocultar su rastro. Además, a día de hoy, gran parte del botín sigue sin aparecer.

Al igual que la estafa cometida fue más humana que técnica, la solución del conflicto también. La compra del alias “God” en PlayStation, realizada con parte del botín, dejó una huella imborrable en el entramado de transacciones. Ese gesto fue suficiente para que los investigadores de la policía de Hamilton, en colaboración con autoridades estadounidenses, pudieran reconstruir el recorrido del dinero.

Sin embargo, la historia no terminó ahí. Tras su detención, en mayo de 2022, el joven fue puesto en libertad bajo fianza. Lejos de detener su actividad, organizó una nueva oleada de fraudes. Esta vez utilizó cuentas de la red social X con cientos de miles de seguidores. 

El joven estafador se hizo con el control de varios perfiles y los empleó para difundir enlaces fraudulentos que, en apariencia, prometían grandes oportunidades de inversión en criptomonedas. El resultado fue un nuevo botín: cerca de un millón de dólares canadienses adicionales, extraídos de unos 200 usuarios distintos.

El pasado septiembre, un tribunal lo condenó a un año de prisión por esta segunda etapa delictiva. Sin embargo, la cifra de la condena está muy lejos la magnitud del dinero robado, lo que ha generado un debate sobre la capacidad de la justicia para enfrentar delitos financieros digitales. Y, sobre todo, nos hace preguntarnos algo: ¿estamos realmente protegidos en la era digital?