
El Departamento de Justicia de Estados Unidos anunció el 1 de julio que un adolescente acusado de ser parte del grupo de hackers Scattered Spider ha sido extraditado de Finlandia para enfrentar cargos estadounidenses de conspiración, invasión de propiedad intelectual y fraude.
Peter Stokes, de 19 años, con doble ciudadanía de Estados Unidos y Estonia, compareció ante un tribunal federal de Chicago el 30 de junio, donde un juez ordenó su detención.
La policía finlandesa lo arrestó en abril basándose en una notificación roja de Interpol y luego lo extraditó a finales de junio. Su caso es el último de una serie de arrestos de asistentes de vuelo relacionados con infracciones en casinos, comercio minorista y aerolíneas.
Los registros judiciales identifican a Stokes por el nombre en línea «Bouquet» y enumeran al menos cuatro robos, el primero de los cuales ocurrió cuando ella tenía 16 años. En un caso, en mayo de 2025, los fiscales dicen que Stokes y otros irrumpieron en un minorista de joyería de alta gama, copiaron datos y exigieron alrededor de 8 millones de dólares en moneda virtual.
El minorista se negó a pagar, desalojó a los intrusos y gastó al menos 2 millones de dólares en la limpieza. Según estos registros, los agentes de policía finlandeses confiscaron dos discos duros de 2 terabytes cuando Stokes fue detenido en el aeropuerto de Helsinki cuando estaba a punto de abordar un vuelo a Japón.
¿Quién es la araña dispersa?
Scattered Spider no es una pandilla tradicional. Es un grupo de jóvenes dispersos, predominantemente de habla inglesa, muchos de los cuales son adolescentes, que abarca Estados Unidos, Reino Unido y Europa.
Las empresas de seguridad también lo están rastreando con los nombres Octo Tempest, UNC3944 y 0ktapus. Su principal truco es sencillo, pero difícil de detener. No daña el software, engaña a la gente.
Los miembros llaman al servicio de asistencia técnica de TI de una empresa, se hacen pasar por un empleado bloqueado y convencen al personal para que restablezca su contraseña o autorice un inicio de sesión. Una vez infiltrado, roba tus archivos y amenaza con filtrarlos a menos que pagues una tarifa.
El grupo es mejor conocido por atacar a MGM Resorts y Caesars Entertainment en 2023, cerrando los sistemas de casinos y hoteles de MGM. Hasta 2025, los ataques estaban relacionados con ataques a minoristas británicos como Marks & Spencer, Harrods y Co-op, luego a compañías de seguros estadounidenses y luego a aerolíneas, y los investigadores de seguridad describieron el patrón como un movimiento a través de un sector a la vez.
El Fiscal General Adjunto A. Theisen Duba dijo que el grupo ha sido responsable de «más de 100 intrusiones en la red que resultaron en pagos de rescate que exceden los 100 millones de dólares».
Parte de una represión más amplia
Stokes es parte de un cambio más amplio en la historia de Scattered Spider. La policía ha publicado los nombres, países y fechas de los juicios de los miembros de la tripulación que han estado activos durante mucho tiempo en las salas de chat. Los ejemplos recientes incluyen:
Tyler Buchanan, de 24 años, de Escocia, quien alguna vez fue considerado el cabecilla, se declaró culpable en abril de 2026 de cargos de fraude y robo de identidad en un tribunal estadounidense. Ha admitido haber robado al menos 8 millones de dólares en criptomonedas a través de campañas de phishing que afectaron a empresas como Twilio y LastPass, lo que podría conllevar una sentencia máxima legal de 22 años de prisión. Noah Urban, un miembro de Florida, fue sentenciado a 10 años de prisión en agosto de 2025 y se le ordenó reembolsar aproximadamente 13 millones de dólares. Dos jóvenes británicos, Talha Jubail y Owen Flowers, se declararon culpables en junio de 2026 del ataque de 2024 a Transport for London. Flowers también admitió haber conspirado para piratear dos sistemas de salud estadounidenses, SSM Health y Sutter Health.
¿Cómo pueden protegerse las empresas?
Esta estrategia persiste incluso después del arresto. Mandiant informó que los ataques asociados con el grupo habían disminuido después del arresto de 2025 y posteriormente advirtió que otros equipos ya lo estaban copiando.
El eslabón débil es la mesa de ayuda, no el firewall, que corrige controles estrictos de identificación antes de restablecer y claves de inicio de sesión que no pueden ser robadas mediante phishing.
El aviso conjunto estadounidense e internacional agrega que los intrusos a menudo se infiltran en las herramientas de chat de las empresas, se unen a las llamadas que mantienen para responder a las infracciones y monitorean quién los está persiguiendo.
Para los investigadores, la unidad confiscada en Helsinki podría ser tan importante como las acusaciones. Los dispositivos robados a un miembro suelen estar vinculados a otros miembros. Aunque se presume que el Sr. Stokes es inocente y su caso aún debe ir a juicio, una cosa quedó clara durante el año pasado. Ser joven, cruzar fronteras y ser bueno para hablar más allá de los servicios de asistencia significa que este equipo ya no se mantiene alejado de la sala del tribunal.
Source link
