Scattered Spider: Miembro de la banda de hackers se declara culpable

En las sombras digitales de los canales de Telegram, donde el ego se mide en millones de dólares robados y la reputación se construye sobre las ruinas de gigantes tecnológicos, existía una lista. No era una clasificación de ventas ni un ranking de popularidad en redes sociales, sino el “SIM-Swap Leaderboard”: una tabla de posiciones despiadada que indexaba a los 100 hackers más prolíficos de la comunidad angloparlante conocida como “The Com”. El 21 de abril de 2026, uno de los nombres más prominentes de ese tablero, Tyler Robert Buchanan, alias “Tylerb”, finalmente enfrentó su caída definitiva al declararse culpable ante la justicia estadounidense, cerrando uno de los capítulos más oscuros y fascinantes de la ciberdelincuencia moderna orquestada por el colectivo Scattered Spider.

La caída de Tylerb y el ascenso de Scattered Spider

Tyler Robert Buchanan, un escocés de 24 años originario de Dundee, no era un hacker convencional que operaba desde un sótano aislado. Era un miembro de alto rango de Scattered Spider, una organización criminal que ha reescrito las reglas de la intrusión corporativa. Ayer, en un tribunal federal de California, Buchanan admitió su culpabilidad en cargos de conspiración para cometer fraude electrónico y robo de identidad agravado. Su confesión no solo lo encamina a una posible condena de hasta 22 años de prisión, sino que también ha permitido a las autoridades desmantelar la narrativa de invencibilidad que rodeaba a “The Com”.

Buchanan ocupaba el puesto número 65 en el infame tablero de posiciones de intercambiadores de tarjetas SIM (SIM-swappers). Aunque para un observador externo estar en la mitad de la lista podría parecer un logro menor, en el ecosistema de Scattered Spider, esto significaba el control de millones de dólares en criptoactivos y el acceso a los secretos más profundos de empresas que mueven la economía global. La investigación reveló que Buchanan fue una pieza clave en ataques que drenaron al menos 8 millones de dólares a inversores individuales, aunque fuentes cercanas al caso sugieren que la cifra total vinculada a sus operaciones podría superar los 27 millones.

¿Qué es “The Com” y por qué es tan peligrosa?

Para entender la magnitud de este caso, es imperativo analizar el entorno donde operaba Buchanan. “The Com” no es una estructura jerárquica tradicional, sino una amalgama de grupos de hackers jóvenes, principalmente de Estados Unidos y el Reino Unido, que colaboran y compiten simultáneamente. En este espacio, Scattered Spider —también conocido por alias técnicos como UNC3944, Octo Tempest o 0ktapus— emergió como la facción más agresiva.

A diferencia de los grupos de ransomware de Europa del Este, que dependen de vulnerabilidades de software complejas, los integrantes de Scattered Spider se especializan en la “vulnerabilidad humana”. Son maestros de la ingeniería social, capaces de hablar el mismo idioma que sus víctimas, imitar acentos locales y navegar por la burocracia corporativa con una naturalidad aterradora. Esta proximidad cultural les permite engañar a empleados de mesas de ayuda (help desks) y administradores de sistemas con una tasa de éxito que ha humillado a las defensas de ciberseguridad más costosas del mundo.

Ingeniería social de precisión: El “Modus Operandi” técnico

El éxito de Buchanan y Scattered Spider no se basó en el uso de malware sofisticado, sino en una ejecución impecable de técnicas de acceso inicial y persistencia. El proceso documentado en el expediente judicial de Tylerb revela una metodología dividida en fases críticas:

• Campañas masivas de Smishing: El grupo lanzaba decenas de miles de mensajes de texto (SMS) dirigidos a empleados de empresas específicas. Estos mensajes imitaban alertas de seguridad de plataformas como Okta o Microsoft Entra ID, redirigiendo a las víctimas a portales de inicio de sesión falsos (typosquatted domains).
• Kits de Phishing con Bots de Telegram: Utilizaban herramientas como Evilginx para capturar credenciales y tokens de autenticación de dos factores (2FA) en tiempo real. Un bot de Telegram enviaba inmediatamente estos datos a los atacantes, permitiéndoles saltarse la protección de Multi-Factor Authentication (MFA) antes de que el token expirara.
• Vishing y suplantación de identidad: Si el acceso inicial fallaba, los miembros de Scattered Spider llamaban directamente al soporte técnico de la empresa. Se hacían pasar por empleados nuevos o contratistas externos, alegando haber perdido el acceso a su cuenta o haber cambiado de dispositivo móvil, convenciendo al personal de IT para que reseteara contraseñas o añadiera un nuevo dispositivo de MFA controlado por el hacker.
• Movimiento Lateral y Exfiltración: Una vez dentro, el grupo no se limitaba a robar datos. Navegaban por canales de Slack, Microsoft Teams y repositorios de documentos para encontrar guías de red, credenciales de administradores de sistemas y, lo más importante, información sobre carteras de criptomonedas.

Esta combinación de audacia y conocimiento técnico permitió a Scattered Spider comprometer a gigantes como Twilio, LastPass, DoorDash y Mailchimp. El ataque a Twilio en 2022 fue especialmente devastador, ya que permitió al grupo pivotar y atacar a más de 160 de sus clientes, incluyendo aplicaciones de mensajería cifrada, demostrando el efecto dominó que un solo eslabón débil puede provocar.

Rivalidad extrema: Del teclado al soplete

Uno de los aspectos más perturbadores del caso de Tyler Robert Buchanan es la violencia física que permea a “The Com”. El “leaderboard” no solo fomentaba la competencia por el dinero, sino que generaba resentimientos profundos entre facciones rivales. En febrero de 2023, la vida digital de “Tylerb” colisionó violentamente con la realidad.

Según los registros de la investigación y reportes previos de KrebsOnSecurity, un grupo rival contrató matones para invadir la casa de Buchanan en Escocia. Durante el asalto, los delincuentes agredieron a su madre y amenazaron a Tyler con un soplete, exigiendo las llaves privadas de sus carteras de criptomonedas. Este incidente subraya una tendencia alarmante: la transición del cibercrimen de “guante blanco” a tácticas de pandillas callejeras. La presión de sus rivales y el escrutinio de las autoridades obligaron a Buchanan a huir del Reino Unido, iniciando una persecución internacional que terminaría en las costas de España.

La captura en Mallorca y la extradición

La libertad de Buchanan terminó en junio de 2024, cuando fue interceptado por la Policía Nacional de España en el aeropuerto de Palma de Mallorca mientras intentaba abordar un vuelo hacia Nápoles, Italia. En el momento de su detención, las autoridades incautaron dispositivos que contenían datos de miles de víctimas y frases semilla (seed phrases) de carteras de criptomonedas robadas. Tras un complejo proceso de extradición, Buchanan llegó a suelo estadounidense en abril de 2025 para enfrentar los cargos que hoy lo tienen al borde de una sentencia histórica.

El caso de Buchanan no es aislado. Su colaborador cercano, Noah Michael Urban (conocido como “Sosa” y clasificado en el puesto #24 del leaderboard), ya fue sentenciado a 10 años de prisión y al pago de 13 millones de dólares en restitución. Otros miembros senior de Scattered Spider, como Ahmed Hossam Eldin Elbadawy y Joel Martin Evans, aún esperan juicio, lo que sugiere que el Departamento de Justicia de los EE. UU. está decidido a desmantelar toda la estructura de mando del grupo.

Lecciones para la ciberseguridad corporativa

La declaración de culpabilidad de este miembro de Scattered Spider deja lecciones críticas para las organizaciones en 2026. La principal es que el MFA basado en SMS es, para propósitos prácticos, una defensa obsoleta contra atacantes decididos. La capacidad del grupo para realizar SIM-swapping y su maestría en el vishing demuestran que la confianza en los números de teléfono como factor de identidad es un riesgo inaceptable.

1. Implementación de FIDO2 y Llaves Físicas: Las organizaciones deben migrar hacia métodos de autenticación resistentes al phishing que no dependan de códigos enviados por canales de telecomunicaciones tradicionales.
2. Capacitación Crítica del Help Desk: El eslabón más débil en los ataques de Scattered Spider fue el personal de soporte técnico. Es vital implementar protocolos de verificación de identidad robustos que no puedan ser eludidos mediante persuasión verbal o urgencia fingida.
3. Monitoreo de “Shadow IT” y Canales de Comunicación: El uso de Slack y Teams para buscar credenciales subraya la necesidad de auditorías constantes sobre qué información se comparte en plataformas de colaboración interna.

El futuro de “The Com” tras la condena de Buchanan

Si bien la caída de Tyler Robert Buchanan representa un golpe significativo para la “vieja guardia” de la ingeniería social moderna, el ecosistema de Scattered Spider es resiliente. Informes recientes indican que algunos remanentes del grupo han comenzado a colaborar con carteles de ransomware-as-a-service (RaaS) como RansomHub, profesionalizando aún más sus operaciones de extorsión.

Sin embargo, el mensaje de las autoridades es claro: el anonimato en Telegram es una ilusión y el estatus en un “leaderboard” digital es una evidencia directa para los fiscales federales. La historia de “Tylerb” —el joven que pasó de ser un ídolo en el underground del SIM-swapping a enfrentar décadas tras las rejas por el rastro de destrucción que dejó a su paso— servirá como un recordatorio persistente de que, en el juego de los ciberataques de alto perfil, el precio de la fama digital suele pagarse con la libertad real.

Con la sentencia programada para el 21 de agosto de 2026, el mundo de la ciberseguridad observa atentamente. No solo se trata de castigar a un individuo, sino de enviar una señal de advertencia a toda la comunidad de “The Com”. Scattered Spider podrá seguir tejiendo sus redes, pero con cada líder capturado, el cerco sobre esta subcultura de depredadores digitales se vuelve más estrecho y asfixiante.