Hacker de Scattered Spider: El espectacular arresto de ‘Bouquet’

El 29 de abril de 2026 quedará marcado en los anales de la ciberseguridad contemporánea como el día en que la opulencia digital se estrelló contra la realidad geopolítica. En un operativo coordinado que parece extraído de un guion de espionaje moderno, las autoridades federales de los Estados Unidos, en colaboración con la policía finlandesa, desclasificaron la denuncia penal contra Peter Stokes. Con apenas 19 años y una doble nacionalidad estadounidense-estonia, Stokes no era un adolescente común; bajo el alias de “Bouquet”, se había consolidado como la figura central y más mediática del grupo hacker de Scattered Spider.

Su captura en el Aeropuerto de Helsinki-Vantaa, mientras intentaba abordar un vuelo con destino a Tokio, pone fin a una de las rachas de intrusiones corporativas más costosas y audaces de la década. Stokes no solo representaba el músculo técnico de una nueva generación de cibercriminales, sino que personificaba una amalgama perturbadora entre la cultura del “flexing” de las redes sociales y la bravuconería de la vieja escuela del hacking. Su arresto es un recordatorio de que, incluso en un mundo de cifrado avanzado y firewalls de última generación, el eslabón más débil sigue siendo, invariablemente, el factor humano.

La Caída de “Bouquet”: Lujo, Memes y el Hacker de Scattered Spider

Para comprender la magnitud de Peter Stokes, es necesario observar la construcción de su alter ego, “Bouquet”. A diferencia de los hackers de décadas pasadas que operaban desde las sombras de sótanos suburbanos, Stokes vivía una vida de nómada digital de cinco estrellas. Financiado por daños estimados en más de 2 millones de dólares —aunque fuentes cercanas a la investigación sugieren que las pérdidas operativas reales para sus víctimas superan los cientos de millones—, Stokes recorría el mundo desde Dubái hasta Tailandia, documentando su estilo de vida en plataformas como Snapchat e Instagram.

El rasgo más distintivo de su arrogancia era una cadena de diamantes personalizada que rezaba la frase “HACK THE PLANET”, un homenaje directo a la película de culto de 1995, Hackers. Sin embargo, su desafío a la ley iba más allá de la joyería. Stokes solía publicar memes donde editaba su rostro sobre personajes de la serie The Sopranos, burlándose abiertamente del FBI y presentándose a sí mismo y a su equipo como los nuevos capos de una mafia digital que no necesitaba armas de fuego, solo auriculares y una conexión estable a internet.

Este perfil mediático fue, irónicamente, su talón de Aquiles. Los investigadores revelaron que el hacker de Scattered Spider cometió el error clásico de la juventud: la necesidad de validación externa. El seguimiento de sus ubicaciones a través de publicaciones en redes sociales y el rastro de sus gastos en hoteles de lujo permitieron a las autoridades rastrear sus movimientos con precisión quirúrgica hasta el momento en que intentó cruzar la frontera finlandesa.

Anatomía Técnica: El Renacimiento del Vishing

Lo que hacía a Stokes verdaderamente peligroso no era solo su capacidad técnica, sino su maestría en la ingeniería social. Scattered Spider, también conocido en círculos de inteligencia como UNC3944, Octo Tempest o Starfraud, se especializó en métodos que muchos expertos consideraban “superados”. Stokes perfeccionó el “vishing” (voice phishing), una técnica donde el atacante utiliza llamadas telefónicas para manipular a empleados de soporte técnico (IT help desks).

El proceso, documentado en los registros incautados, seguía un patrón técnico implacable:

• Reconocimiento de Personas: Stokes y su equipo realizaban una investigación exhaustiva de sus objetivos utilizando datos filtrados y perfiles en redes sociales profesionales como LinkedIn para identificar nombres de empleados, números de ID y jerarquías internas.
• Suplantación de Identidad: Llamaban al servicio de ayuda de la empresa objetivo fingiendo ser un empleado que había perdido el acceso a su cuenta o que tenía problemas con su dispositivo.
• Bypass de MFA: En lugar de intentar hackear el código de autenticación de múltiples factores (MFA), Stokes convencía al técnico de soporte para que restableciera el método de MFA o añadiera un nuevo dispositivo controlado por el hacker.
• Acceso de Root: Una vez dentro del sistema de gestión de identidades (como Okta o Azure AD), el hacker de Scattered Spider escalaba privilegios rápidamente para obtener acceso administrativo total a los servidores centrales.

Este método fue el que permitió al grupo poner de rodillas a gigantes como MGM Resorts y Caesars Entertainment en 2023, provocando interrupciones masivas en las operaciones de los casinos de Las Vegas y forzando el pago de rescates millonarios. El éxito de Stokes radicaba en su capacidad para hablar el lenguaje corporativo, sonar convincente y explotar la empatía o la urgencia de los trabajadores de soporte técnico.

La Evidencia: 4 Terabytes de Secretos Digitales

Durante su arresto, las autoridades incautaron dos discos duros de 2 terabytes cada uno. Estos dispositivos son descritos por fuentes de la fiscalía como una “mina de oro de inteligencia”. Los discos contienen registros (logs) detallados de campañas de vishing exitosas, grabaciones de llamadas donde Stokes ejecutaba sus engaños y capturas de pantalla de sistemas internos de corporaciones de la lista Fortune 500 que aún no sabían que habían sido vulneradas.

La Conexión con “Company F” y el Ransomware DragonForce

Uno de los puntos más críticos de la denuncia es la vinculación de Stokes con un ataque en mayo de 2025 contra una minorista de lujo identificada solo como “Company F” (que muchos analistas vinculan con Harrods debido a la escala del robo). En este incidente, el grupo liderado por el hacker de Scattered Spider no solo robó datos, sino que desplegó el ransomware DragonForce, exigiendo un rescate de 8 millones de dólares tras extraer 100 GB de información sensible, incluidos datos de tarjetas de crédito de clientes de alto perfil.

La sofisticación técnica del grupo ha evolucionado notablemente. Ya no se limitan al robo de credenciales; ahora utilizan herramientas de administración remota legítimas (RMM) y explotan vulnerabilidades específicas como CVE-2015-2291 para desactivar software de seguridad en servidores Windows sin disparar alertas de intrusión. Su capacidad para moverse lateralmente dentro de entornos de nube (SaaS), como Salesforce y Google Workspace, demuestra que Stokes y sus cómplices poseían un conocimiento profundo de la arquitectura de red moderna.

Un Golpe al Ecosistema “The Com”

El arresto de Peter Stokes no es un evento aislado. Es parte de una ofensiva global contra “The Com”, una comunidad de hackers jóvenes, mayoritariamente angloparlantes, que colaboran y compiten de manera fluida en Telegram y Discord. Este ecosistema ha dado lugar a alianzas volátiles entre grupos como Scattered Spider, LAPSUS$ y ShinyHunters.

La justicia estadounidense ya ha logrado condenas y declaraciones de culpabilidad de otros miembros clave, como Noah Michael Urban (“Sosa”) y Tyler Robert Buchanan (“TylerB”). Sin embargo, la captura de “Bouquet” es especialmente significativa debido a su rol como el “rostro” de la organización y su presunta participación en la modernización de las tácticas de extorsión del grupo. La cooperación entre el FBI y la policía de Finlandia subraya que los refugios seguros para los cibercriminales son cada vez más escasos, incluso para aquellos con múltiples ciudadanías.

Impacto en la Industria de la Ciberseguridad

La caída de este prominente hacker de Scattered Spider obliga a las empresas a replantearse sus estrategias de defensa. Durante años, la inversión se centró en soluciones de hardware y software, pero el caso de Stokes demuestra que la ingeniería social sigue siendo la llave maestra para entrar en las fortalezas digitales más protegidas.

Expertos en seguridad sugieren que el fin del vishing solo llegará cuando las empresas implementen:

1. Verificación de Identidad Robusta: Eliminar el uso de SMS o preguntas de seguridad básicas en los help desks, sustituyéndolos por verificaciones biométricas o tokens físicos.
2. Protocolos de “Zero Trust”: Asumir que cualquier usuario, incluso uno interno, puede estar comprometido, limitando el acceso a lo estrictamente necesario.
3. Entrenamiento en Concientización: Capacitar al personal de soporte para detectar patrones de manipulación psicológica y tácticas de urgencia falsa.

Conclusión: El Fin del Juego para el Joven Prodigio

Peter Stokes, el joven que soñaba con emular a los antihéroes de las películas de los 90, ahora enfrenta una realidad mucho menos glamurosa. Extraditado desde Finlandia a Chicago, Stokes se enfrenta a múltiples cargos que incluyen fraude electrónico, conspiración para cometer intrusión informática y robo de identidad agravado. Si es declarado culpable, podría pasar décadas en una prisión federal, lejos de los hoteles de lujo de Dubái y de su cadena de diamantes.

El legado de “Bouquet” como hacker de Scattered Spider quedará como una advertencia sobre la fragilidad de la infraestructura corporativa global frente a la audacia de la juventud digitalizada. Mientras las autoridades continúan analizando los 4 terabytes de datos incautados, la pregunta para muchas corporaciones no es si serán atacadas, sino si sus empleados están preparados para decir “no” cuando el próximo “Bouquet” llame a su puerta.