Este hacker adolescente se convirtió en una leyenda atacando empresas. Luego sus enemigos lo atacaron a él

La policía de la ciudad de Londres había internado al adolescente en un Travelodge suburbano para protegerlo. Incluso establecieron un código con él y su madre para indicarles que era seguro abrir la puerta: “Suerte, suerte”.

Entonces empezaron a sospechar.

El adolescente tenía antecedentes con la policía. Era septiembre de 2022, y Arion Kurtaj, de 17 años, había sido detenido dos veces ese mismo año por su presunta participación en un grupo de piratas informáticos que robaba datos y pedía rescates a algunas de las mayores empresas tecnológicas del mundo. Kurtaj, que es autista, fue puesto en libertad las dos veces. La segunda vez, en marzo, lo dejaron en libertad con la condición de que permaneciera desconectado.

En los meses siguientes, alguien lanzó piedras contra las ventanas de la casa de su familia, según la policía, y destrozaron el automóvil de su madre. Una bolsa de pollo llegó misteriosamente a su casa. Sus rivales en Internet lo habían “doxeado”, publicando sus datos personales, y la policía encontró pruebas de un complot para robarle criptomonedas. Los agentes decidieron que necesitaba protección.

Eso dejó a Kurtaj en la habitación M15 de un Travelodge a las afueras de Oxford, donde se suponía que seguía sin acceso a un computador, con su madre en una habitación en otro piso.

A las dos semanas de su estancia, poco después de las nueve de la noche, los agentes entraron en la habitación de Kurtaj. Un Amazon Fire Stick —un pequeño dispositivo de streaming con acceso a Internet— estaba conectado al televisor de la habitación del hotel. Había un teclado, un mouse y un iPhone dorado sobre la cama, justo debajo del edredón. La policía había estado vigilando los mensajes en línea que creían que podían proceder de Kurtaj casi hasta el momento en que llamaron a la puerta.

Kurtaj fue detenido por tercera vez y acusado de piratería informática, fraude y extorsión. Las autoridades declararon que, mientras estaba en el Travelodge, hackeó a Uber y se burló de la empresa publicando un enlace a una foto de un pene erecto en el sistema de mensajería interna Slack de la empresa, y después robó software y videos de Rockstar Games. Los videos robados habían aparecido en un foro de discusión de “Grand Theft Auto” de un usuario llamado teapotuberhacker y se volvieron virales.

Mientras los agentes recogían pruebas, el adolescente permaneció inmóvil, sin mostrar ninguna emoción, según la policía. Durante su estancia, se mostró educado y tímido, según Susanne Langford, gerente del hotel. “Era muy callado, no interactuaba mucho con la gente”, dijo. Langford, que tiene un hijo autista, dijo que reconocía rasgos de autismo en Kurtaj.

La policía llamó a la puerta de su madre para decirle que acababan de volver a detener a su hijo. Durante años, según los expedientes judiciales, ella había luchado por mantener a su hijo en un camino que le proporcionara escolarización y otros apoyos. Tenía escasas habilidades sociales y problemas para entablar relaciones, según los registros, y finalmente buscó aprobación en el floreciente mundo de la ciberdelincuencia.

Arion Kurtaj, de 19 años, es el nombre más conocido que ha surgido de un conjunto de comunidades en línea llamadas Com. Se trata de jugadores, hackers y estafadores en línea que hablan inglés como lengua materna y son capaces de abrirse camino en redes sensibles: ingenieros sociales en el lenguaje de la ciberseguridad. Se han convertido en una de las principales amenazas para la ciberseguridad en el mundo, y en su mayoría son adolescentes y jóvenes.

Su inventiva y tenacidad juveniles, así como su condición de menores, que complica su persecución, han hecho de ellos un grupo especialmente peligroso, según las fuerzas de seguridad y los investigadores de ciberseguridad. Algunos niños, dicen, son reclutados en espacios online populares como Minecraft o Roblox.

“En todo el país estamos viendo ciberdelincuencia cada vez más sofisticada llevada a cabo por personas cada vez más jóvenes”, dijo William McKeen, agente especial supervisor de la División Cibernética del FBI, en una conferencia de seguridad en San Francisco en mayo. “Es aterrador”.

Dijo que la edad media de cualquier persona detenida por un delito en Estados Unidos es de 37 años, mientras que la edad media de alguien detenido por ciberdelincuencia es de 19 años.

Los investigadores de ciberseguridad han encontrado mensajes que, según ellos, sugieren que Kurtaj ha participado en ataques en línea desde que tenía 11 años. Fue juzgado en parte por su papel en el grupo de piratas informáticos Lapsus$, que publicaba información sobre sus operaciones y éxitos, lo que permitía a los investigadores conocer sus actividades.

Al final, el juez impuso a Kurtaj una condena que sus abogados han calificado de desproporcionada en relación con los delitos de los que se le acusaba. La familia declinó ser entrevistada.

La Junta de Revisión de la Ciberseguridad, creada hace dos años por la Casa Blanca para analizar las amenazas a la ciberseguridad, afirmó en un importante informe sobre Lapsus$ que el grupo “era único por su eficacia, rapidez, creatividad y audacia”.

El telón de fondo, señalaba el informe, era “el vasto panorama mundial de la delincuencia en línea con ánimo de lucro que los jóvenes curiosos se están encontrando ahora”.

Este artículo se basa en expedientes judiciales, chats y mensajes en línea, y entrevistas con la policía, inspectores de ciberseguridad y otras personas familiarizadas con Kurtaj y su caso.

Nacido en 2005, Arion Kurtaj creció en un barrio de clase media al norte de Oxford. Los investigadores dicen que vivía modestamente. Una de las actividades que parecía disfrutar en el mundo real, según las fotos de las redes sociales, eran las salidas de pesca en familia.

La mayor parte del tiempo, sin embargo, vivía conectado a Internet, según Michael O’Sullivan, detective inspector que supervisa la unidad de ciberdelincuencia de la policía de la ciudad de Londres.

Kurtaj empezó su educación en la escuela primaria de su barrio, pero siguió asistiendo a una serie de escuelas para niños con necesidades educativas complejas y problemas de conducta. Alrededor de los 11 años, un tutor lo educó parcialmente en casa.

A esa misma edad, hizo su primera publicación conocida sobre actividades ilegales, según la empresa de inteligencia en línea Flashpoint. Se trataba de una solicitud de información en un mercado de ciberdelincuentes sobre cómo piratear un servidor utilizado por los jugadores de Minecraft.

Los padres de Kurtaj se separaron. Según O’Sullivan, los servicios sociales llevaban mucho tiempo interactuando con la familia y, en un momento dado, Kurtaj amenazó a los miembros de la familia.

Cuando tenía 14 años, el Estado británico se hizo cargo de su cuidado en virtud de una ley que obligaba al gobierno a proporcionar alojamiento a determinados jóvenes considerados incapaces de permanecer al cuidado de sus padres, según los registros judiciales. Fue a parar a un internado para niños con graves necesidades emocionales y de comportamiento.

En 2020, cuando tenía 15 años, ofrecía más de 10.000 dólares por herramientas de piratería en foros en línea, según Chainalysis, una empresa de análisis de datos de blockchain.

A principios de 2021, un cartel que utilizaba un alias que los fiscales han vinculado a Kurtaj ofreció 2.500 dólares a un hacker iraní para ayudar a construir un software de ataque que aplastaría sitios web bajo una avalancha de tráfico, según las sesiones de chat en línea vistas por el Journal. Unos meses después, el cartel ofrecía vender estos servicios en Telegram.

“Era su existencia alternativa”, dijo Kevin Barry, el abogado británico que procesó a Kurtaj el año pasado. “Llevaba una vida offline muy vacía, con todo tipo de dificultades, retos y limitaciones, mientras que online podía ser un poco superhéroe”.

El psiquiatra de Kurtaj lo describió como alguien que se esforzaba por encajar con sus compañeros, según consta en los registros judiciales.

Kurtaj fue agredido físicamente por un miembro del personal de su escuela que posteriormente fue condenado por ello, según una persona familiarizada con el caso. A principios de 2021, su madre lo llevó a casa y lo retiró de la tutela del gobierno, según consta en los registros judiciales. Nunca volvió a la escuela. Tenía 16 años.

Un mes después de que su madre lo sacara de la escuela, los investigadores dicen que Kurtaj formaba parte de un grupo de piratas informáticos llamado Recursion Team que irrumpió en la firma de videojuegos Electronic Arts y robó 780 gigabytes de datos. Cuando Electronic Arts se negó a negociar, esparcieron los datos robados en Internet. Una semana después, los investigadores identificaron a Kurtaj y facilitaron su nombre al FBI.

Más tarde, en ese verano de 2021, según los registros judiciales, Kurtaj se asoció con otro adolescente, conocido como ASyntax, y varios hackers brasileños, y empezaron a llamarse Lapsus$. El grupo hackeó al gigante británico de las telecomunicaciones BT en un intento de robar dinero utilizando una técnica llamada SIM swapping, en la que alguien se hace con el control del número de teléfono de una víctima y luego lo utiliza para restablecer las contraseñas en línea.

Daniel Shenton, cliente de la red de telefonía móvil EE, propiedad de BT, fue una de las víctimas. Acababa de aterrizar en el aeropuerto londinense de Heathrow en enero de 2022 tras unas vacaciones en México, y su teléfono no se conectaba a la red. Consiguió una nueva tarjeta SIM, pero tampoco funcionó.

Se conectó a su cuenta de criptomoneda Coinbase, cuyo saldo ascendía a casi 34.000 libras (más de 45.000 dólares) la última vez que lo había comprobado.

El saldo: 52 peniques. Los hackers habían restablecido su contraseña de Coinbase y vaciado su cuenta.

Shenton, de 30 años, había estado ahorrando dinero durante cuatro años, trabajando para la empresa de su familia que fabrica tanques de almacenamiento. “Era como el depósito de una casa”, dijo. “Pensé: ¿dónde demonios voy a volver a encontrar este dinero?”. Coinbase finalmente dijo que le reembolsaría casi 24.000 libras, que determinó que era el valor de mercado de las participaciones.

Los hackeos no siempre eran por dinero. A finales de 2021, Lapsus$ pirateó un sitio web gestionado por el Ministerio de Sanidad de Brasil y borró la base de datos de vacunas Covid del país, según las fuerzas de seguridad.

Las personas que se identifican como parte de la Com tienden a frecuentar foros de debate no controlados y comunidades de juegos en línea. Les gusta provocar y burlarse. Los chats están llenos de lenguaje ofensivo.

Si los Com tienen un centro social, es un sitio web llamado Doxbin, donde los usuarios publican datos personales, como direcciones y números de teléfono, de sus rivales en línea en un intento de intimidarse mutuamente.

Kurtaj compró Doxbin en noviembre de 2021 por 75.000 dólares, según Chainalysis. Pero al cabo de unos meses, los anteriores propietarios acusaron a Kurtaj de gestionar mal el sitio y lo presionaron para que volviera a venderlo.

Kurtaj cedió. En enero de 2022, según los investigadores de ciberseguridad, Kurtaj hizo un doxxing de todo el sitio y publicó una base de datos con nombres de usuario, contraseñas y direcciones de correo electrónico que había descargado cuando era el propietario.

Para los expertos en ciberseguridad, era una mina de oro. “Ayudó a los investigadores a averiguar qué delitos habían sido cometidos por quién”, explica Allison Nixon, directora de Unit 221B, una empresa de investigaciones en línea.

Los propietarios de Doxbin respondieron con un dox de Kurtaj y su familia, que incluía la dirección de su casa y fotos suyas, según los investigadores, lo que puso en marcha la cadena de acontecimientos que llevaría a Kurtaj al Travelodge.

En enero de 2022, la policía detuvo a Kurtaj y ASyntax por el hackeo de BT, tras conectar un computador utilizado por Kurtaj con los hackeos. Los agentes incautaron sus teléfonos, pero luego dejaron en libertad a los adolescentes bajo investigación. No es habitual poner en prisión preventiva a un adolescente en el Reino Unido, dijo el Detective Inspector O’Sullivan.

Al mes siguiente, Lapsus$ se atribuyó un hackeo a Nvidia.

Para entrar, el equipo de Lapsus$ consiguió nombres de usuario y contraseñas robados de al menos dos contratistas, según los registros judiciales. Muchas empresas exigen una segunda capa de autenticación, como un código enviado a un teléfono móvil, para acceder a las redes corporativas. Lapsus$ se abrió camino a través de la segunda capa.

Empezaron descargando 80 gigabytes de datos que habían robado a la empresa y amenazaron con divulgar aún más si no se les pagaba un rescate. Luego llegaron otras demandas extrañas, incluida la de que Nvidia facilitara el acceso a su software a los mineros de criptomonedas.

“Cuando tratas con hackers profesionales, todas sus acciones son racionales. Hay una motivación que se puede señalar claramente. Quizá sea el espionaje, quizá el beneficio económico”, afirma Heather Adkins, ejecutiva de seguridad de Google que coescribió el informe de la Junta de Revisión de Seguridad Cibernética sobre Lapsus$. “Lo interesante de Lapsus$ es que no se les puede aplicar la misma racionalidad. Parece desconcertante”.

Lapsus$ se atribuyó hackeos a otras empresas tecnológicas, como Microsoft y Samsung.

A finales de marzo de 2022, la policía de Londres volvió a detener a Kurtaj y ASyntax. Los servicios sociales no pudieron encontrar un alojamiento adecuado para Kurtaj, y fue puesto en libertad con la condición de que se mantuviera alejado de los computadores.

A mediados de septiembre de 2022, Kurtaj se había registrado en el Travelodge.

El 14 de septiembre, Uber fue hackeado. El hacker publicó una nota y un enlace obsceno en el sistema Slack interno de la empresa, donde todos los empleados podían verlo.

El 17 de septiembre, teapotuberhacker apareció en un foro de discusión sobre videojuegos para anunciar el hackeo de Rockstar Games. El hacker empezó a filtrar clips del esperado “Grand Theft Auto VI” de la compañía. Los jugadores del foro se mostraron escépticos al principio, pero enseguida se dieron cuenta de que la filtración, que revelaba que el juego contaría por primera vez con una protagonista femenina, era legítima.

“Ok, esto se ha vuelto inesperadamente viral”, publicó teapotuberhacker en otro mensaje el 18 de septiembre. “Me he despertado con 3.000 DMs de Telegram”. En el foro de discusión de GTA, hubo incluso más comentarios: unos 6.000. “Este día es legendario”, decía uno de ellos.

Más tarde ese mismo día, apareció un post en un foro de mercados criminales titulado: “La persona que hackeó GTA 6 y Uber es Arion”.

La presión crecía sobre O’Sullivan y las autoridades británicas para que pusieran fin a los hackeos, pero O’Sullivan tenía otro problema. El 19 de septiembre era el funeral de estado de la reina Isabel II. Alrededor de la mitad de su equipo cibernético de nueve miembros estaba de uniforme, trabajando en el evento.

El 22 de septiembre estaban preparados para sorprender a Kurtaj en la habitación M15 del Travelodge.

Kurtaj fue enviado a la prisión de Feltham, en el oeste de Londres, descrita recientemente por un organismo de control del gobierno británico como “la prisión más violenta del país”. Se le imputaron 12 cargos relacionados con fraude, chantaje y violación de la Ley de Uso Indebido de Ordenadores del Reino Unido, por hackeos que se remontan a agosto de 2020.

Sus supuestas incursiones costaron a las empresas millones de dólares en ciberseguridad y gastos legales, y los investigadores dicen que él y sus socios se hicieron de cientos de miles de dólares en demandas de extorsión, así como robos a particulares.

Los psiquiatras consideraron que Kurtaj no era apto para ser juzgado debido a su autismo severo y otros problemas de desarrollo. El tribunal ordenó al jurado que dejara de lado cualquier cuestión de intención delictiva y se limitara a determinar si había cometido los actos alegados por los fiscales.

El juicio duró siete semanas. En agosto de 2023, los miembros del jurado determinaron que Kurtaj había cometido los hackeos.

Kurtaj acudió por videoconferencia a su sentencia en diciembre, pero no dijo gran cosa. El juez escuchó informes de que en Feltham se mostraba violento y destructivo, y que una evaluación de salud mental reveló que quería volver a la ciberdelincuencia lo antes posible.

El juez dictó contra Kurtaj una orden de ingreso hospitalario indefinido, que le confinaba en un pabellón de salud mental hasta que los médicos y las autoridades británicas decidieran que ya no representaba un peligro para la sociedad. Kurtaj tenía 18 años.

Las personas en la situación de Kurtaj pueden solicitar una revisión de su detención una vez al año. De lo contrario, su detención está sujeta a revisión gubernamental una vez cada tres años, según el Ministerio de Justicia.

El tribunal juzgó al mismo tiempo los cargos contra ASyntax. Fue declarado culpable de dos cargos de fraude, dos violaciones de la ley de uso indebido y un cargo de chantaje. ASyntax, que entonces tenía 17 años, fue condenado a una orden de rehabilitación juvenil, que incluía 18 meses de supervisión.

El principal sospechoso brasileño de Lapsus$ fue detenido en octubre de 2022, según un comunicado de prensa de la policía federal brasileña.

Kurtaj y sus abogados pretenden apelar. Argumentaron en el juicio que, aunque había pruebas de la asociación de Kurtaj con piratas informáticos y de los delitos, las pruebas no demostraban que hubiera cometido muchos de los delitos o que fuera el actor principal.

Los abogados de Kurtaj y algunos expertos en autismo han afirmado que una posible pena de prisión de por vida no es apropiada para un adolescente como Kurtaj.

“Tiene que haber un sistema mejor que permita utilizar las habilidades de estas personas de una forma más positiva que proteja a las empresas, reconozca y apoye las necesidades médicas de los delincuentes vulnerables y ofrezca un resultado más beneficioso para todas las partes interesadas en estas situaciones”, dijeron sus abogados en un comunicado tras las conclusiones del jurado.

Los fiscales se han esforzado por reducir los delitos sabiendo que algunos de los jóvenes que los cometen buscan en Internet el respeto y la aceptación que les cuesta encontrar en el mundo presencial, afirmó Barry, el fiscal. Y el papel de las criptomonedas a la hora de rentabilizar el pirateo ha aumentado los incentivos, afirmó.

Depende de sus médicos que Kurtaj pueda volver a acceder a Internet. Fue enviado a una sala de hospital de seguridad media, donde en las zonas comunes compartidas con otros pacientes estaba rodeado de tablets, teléfonos y computadores.

Traducido del inglés por Tendencias.