Hace tres años, en otoño de 2022, se destapó uno de el mayor robo de la historia de Canadá. Un joven de tan solo 17 años logró sustraer 48 millones de dólares canadienses (más de 32 millones de euros) en criptos, a través de una sola víctima, tal y como informa Bitdefender.
Lee también“Su negligencia con la ciberseguridad de Windows supone un riesgo nacional”: un senador de Estados Unidos impulsa una investigación sin precedentes contra Microsoft
El delincuente creyó salir airoso de la estafa, manteniendo su anonimato gracias a la red y a un sistema de seguridad que todavía no parece preparado para este tipo de delitos. Sin embargo, años más tarde se ha hecho justicia. La policía ha descubierto al ladrón no a través de una técnica forense secreta, sino de una compra banal en el mundo de los videojuegos.
Parte del bitcoin robado fue transferido para pagar un nombre de usuario en PlayStation —el alias “God”— y esa operación dejó un rastro que permitió a los investigadores conectar transacciones a identidades reales. La pista, combinada con el trabajo de la policía, abrió la puerta a una serie de detenciones derivadas.
Hacker.
Si tienes 30 millones de euros en tu cuenta, cuidado
Swim swap, la técnica utilizada para el robo del siglo
El método que permitió el gran robo no fue un fallo del libro mayor de la cadena de bloques —la propia blockchain sigue siendo verificable— sino una vulneración del sistema de identidad alrededor de ese libro mayor. En un SIM swap, el atacante logra que una operadora móvil transfiera el número telefónico de la víctima a una tarjeta SIM que controla. Con el número bajo su mando recibe las llamadas y, sobre todo, los SMS con códigos de verificación de servicios que usan la autenticación por mensaje de texto.
Esa suplantación de identidad telefónica es pura ingeniería social: una llamada convincente a un operador, prebendas, excusas plausibles. Y, en este caso, esa brecha fue la llave que abrió monederos que contenían decenas de millones.
No se trataba de una red criminal organizada, ni de un país hostil operando desde la sombra, sino de un adolescente con los conocimientos suficientes para manipular un protocolo débil en la cadena de seguridad digital
El joven de Hamilton, cuya identidad no ha trascendido por haber sido menor en el momento de los hechos, se convirtió de golpe en el protagonista del mayor robo individual de criptomonedas registrado en Canadá. La magnitud del golpe llamó la atención internacional. No se trataba de una red criminal organizada, ni de un país hostil operando desde la sombra, sino de un adolescente con los conocimientos suficientes para manipular un protocolo débil en la cadena de seguridad digital.
La maniobra, según los documentos judiciales, tuvo lugar en cuestión de horas. Una vez dentro de los sistemas de verificación de la víctima, el joven desvió los fondos hacia carteras digitales bajo su control y comenzó a moverlos para ocultar su rastro. Además, a día de hoy, gran parte del botín sigue sin aparecer.
Lee tambiénEl uso de un cifrado obsoleto en Windows ha puesto a Microsoft contra las cuerdas en el terreno de la ciberseguridad: “Es como un pirómano que vende servicios de bombero”
Lo que fácil viene, fácil se va
Un descuido en PlayStation
Al igual que la estafa cometida fue más humana que técnica, la solución del conflicto también. La compra del alias “God” en PlayStation, realizada con parte del botín, dejó una huella imborrable en el entramado de transacciones. Ese gesto fue suficiente para que los investigadores de la policía de Hamilton, en colaboración con autoridades estadounidenses, pudieran reconstruir el recorrido del dinero.
Sin embargo, la historia no terminó ahí. Tras su detención, en mayo de 2022, el joven fue puesto en libertad bajo fianza. Lejos de detener su actividad, organizó una nueva oleada de fraudes. Esta vez utilizó cuentas de la red social X con cientos de miles de seguidores.
Lee tambiénMaría Aperador, experta en ciberseguridad: “Cambiar las contraseñas cada tres meses ayuda, pero lo primero que debemos hacer es conocer nuestras debilidades; hay que saber por dónde nos pueden atacar”
El joven estafador se hizo con el control de varios perfiles y los empleó para difundir enlaces fraudulentos que, en apariencia, prometían grandes oportunidades de inversión en criptomonedas. El resultado fue un nuevo botín: cerca de un millón de dólares canadienses adicionales, extraídos de unos 200 usuarios distintos.
El pasado septiembre, un tribunal lo condenó a un año de prisión por esta segunda etapa delictiva. Sin embargo, la cifra de la condena está muy lejos la magnitud del dinero robado, lo que ha generado un debate sobre la capacidad de la justicia para enfrentar delitos financieros digitales. Y, sobre todo, nos hace preguntarnos algo: ¿estamos realmente protegidos en la era digital?
