El adolescente que desató la gran oleada de hackeos de 2022 lanzó su último ataque usando una televisión

Un tribunal británico falla que Arion Kurtaj fue una de las “figuras clave” del grupo Lapsus$ y le considera responsable de seis delitos, aunque no entrará en prisión
— El hacker adolescente que sembró el caos en 2022 no puede ser juzgado por motivos psiquiátricos

El joven Arion Kurtaj, en una de las imágenes que subió a sus redes sociales. Redes Sociales

29 de agosto de 2023 22:08h Actualizado el 30/08/2023 05:30h

Los últimos dos años de la vida de Arion Kurtaj parecen parte del guion de una película. El último capítulo de su historia, revelado durante su juicio, no se ha quedado atrás. Kurtaj, sospechoso de pertenecer a la banda internacional de cibercriminales Lapsus$ desde los 16 años y hackear multinacionales como Microsoft, Samsung, Vodafone o el Gobierno de Brasil, llevó a cabo un ataque final estando ya bajo custodia policial y desde una habitación de hotel donde no tenía (aparentemente) acceso a aparatos electrónicos.

Sin ordenador o dispositivos móviles, el joven recurrió al Fire TV Stick de la televisión (un aparato de Amazon que convierte cualquier televisor en inteligente) para comprar un teclado, un ratón y un teléfono con los que llevó a cabo su hackeo “más audaz”, según la fiscalía británica: la filtración de 90 vídeos del GTA 6, el título aún inédito de una de las sagas de videojuegos más populares y rentables del mundo. Rockstar Games, su desarrolladora, se había negado a aceptar las condiciones de la extorsión para impedir su salida a la luz.

Fue un “flagrante desprecio de sus condiciones de libertad bajo fianza”, han descrito los fiscales en el juicio que se ha celebrado contra él en Londres. Le acusaban de seis delitos, entre los que se encuentran chantaje, fraude y piratería informática. El jurado le considera responsable de todos ellos, aunque no será condenado. Un informe psiquiátrico lo declaró no apto para ser juzgado antes de que comenzara el proceso: el trastorno del espectro autista que padece impide que pueda valorarse la “intención delictiva” de sus acciones.

Junto a Kurtaj también ha sido juzgado otro menor que aún tiene 17 años y no puede ser nombrado. Este último, también autista, ha sido hallado culpable de tres delitos y absuelto de otros dos. Ambos se conocieron en julio de 2021 y pasaron a formar parte de una de las bandas de ciberdelincuentes más peligrosas, dedicadas al robo de datos de grandes empresas y la extorsión. Se cree que la mayoría de sus miembros eran adolescentes.

“A pesar del resultado de la decisión del jurado, que puede ser objeto de recurso, esperamos que este caso arroje luz sobre la forma en que las personas vulnerables con trastornos graves del neurodesarrollo interactúan con la policía y el sistema de justicia penal”, ha manifestado la abogada de Kurtaj en una declaración enviada a la agencia Bloomberg. El joven podría tener que realizar trabajos comunitarios o ser enviado a un centro psiquiátrico, decisión que se tomará en las próximas semanas.

Tres detenciones

La Policía británica había detenido ya dos veces a Kurtaj antes de pillarle “in fraganti” intentando extorsionar a Rockstar desde la habitación del hotel. El joven estaba allí por su propia seguridad ya que, antes de su segunda detención, en marzo de 2022, sufrió un ataque de “doxing” por parte de ciberdelincuentes rivales. Esta ofensiva, habitual entre hackers, consiste en publicar en Internet la identidad y datos personales de la víctima.

Su nombre, el de sus familiares, su lugar de residencia, su edad, su centro de estudios y enlaces a sus redes sociales fueron publicados en una conocida página que los hackers utilizan para colgar esta información. Fue entonces cuando la historia de Kurtaj comenzó a hacerse pública: el líder de Lapsus$, un grupo que había traído de cabeza a fuerzas de seguridad y especialistas en ciberseguridad de todo el mundo por su extraordinaria capacidad de penetrar en los sistemas de multinacionales tecnológicas y realizar ataques de alto nivel, era un menor de 16 años con autismo que vivía en Oxford en la casa de sus padres de origen albanés y que colgaba habitualmente fotos de las excursiones de pesca que le gustaba hacer con su tío.

Una de las fotos que Kurtaj subió a sus redes sociales

La primera detención de Kurtaj se produjo en enero de 2022. El joven y su compañero, aún menor de edad, estaban relacionados con sendos intentos de extorsión contra BT, el operador de telefonía británico, al que exigieron cuatro millones de dólares a cambio de no filtrar los datos que le habían robado. La empresa se negó, pero los dos adolescentes utilizaron los datos para hackear cinco cuentas de criptomonedas utilizando las tarjetas SIM comprometidas de clientes de BT, consiguiendo unos 100.000 dólares, informa la BBC.

Tras su puesta en libertad, empezó la verdadera oleada de ciberataques por parte de Lapsus$. En cuestión de dos meses, el grupo robó información e intentó extorsionar al fabricante de chips Nvidia, Microsoft, T-Mobile, Samsung, Vodafone, la tecnológica Globant, a la desarrolladora de videojuegos Ubisoft o al portal de comercio electrónico argentino Mercado Libre. elDiario.es explicó sus métodos en este reportaje.

A Kurtaj y su compañero, no obstante, la policía británica solo ha podido relacionarlos con el hackeo contra Nvidia, del que han sido hallados culpables en su juicio. El proceso no ha podido dictaminar cuánto dinero ganó Lapsus$ con estos ataques, aunque la fiscalía considera que su objetivo principal no era solo el económico, sino también la notoriedad y, en ocasiones, el simple troleo. Kurtaj se ha negado a conceder acceso a la policía a su monedero de criptomonedas.

Se considera que sus acciones acarrearon millones de dólares en pérdidas a las compañías que los sufrieron ya que, además del inédito GTA, Lapsus$ también publicó información de un nuevo teléfono de Samsung así como información confidencial de Nvidia.

Desde el hotel

Tras su segunda detención y con su identidad y datos de contacto expuestos en Internet, las autoridades británicas decidieron enviar a Kurtaj en libertad bajo fianza a un hotel de una estrella en Bicester, 18 km al oeste de Oxford. El joven tenía prohibido conectarse a Internet y se le requisaron todos los dispositivos electrónicos, pero no fue suficiente. El joven se valió del Fire TV Stick para seguir hackeando.

En apenas unos días, Kurtaj atacó Uber y publicó en Internet su información financiera. Luego hackeó a la firma de pagos electrónicos Revolut. Después fue a por Rockstar y tras el fracaso de su extorsión, filtró todo el material del GTA 6 que había podido conseguir que, además de los vídeos, incluía parte del código fuente del propio juego. Tras esto se produjo su última detención, luego de la cual ya no volvió a quedar en libertad. Además del menor de 17 años que también fue detenido y ha sido juzgado, se cree que los demás miembros de Lapsus$ siguen en libertad.

El principal abogado de la acusación denuncia que Kurtaj y sus cómplices mostraron en repetidas ocasiones un “deseo juvenil de señalar con el dedo a aquellos a los que atacaban”. Se basan en los habituales insultos contra los trabajadores que proferían en los sistemas internos de comunicación de las empresas una vez que penetraban en ellos, así como la necesidad de vanagloriarse de sus acciones y dejar en ridículo a las firmas en el canal de Telegram del grupo. La defensa de los jóvenes alegó que eran solo adolescentes irresponsables que buscaban divertirse.

A falta de saber el futuro inmediato de Kurtaj, la cadena de ciberataques de Lapsus$ deja una serie de enseñanzas sobre puntos débiles en la seguridad de las grandes empresas y especialmente en las medidas de identificación de sus trabajadores, el método preferido del grupo para penetrar en ellas.

Etiquetas