Peter Williams, un exejecutivo de origen australiano de la empresa estadounidense de herramientas cibernéticas Trenchant, ha sido condenado a más de siete años de prisión por robar y vender el software de hacking de la empresa a un broker ruso de zero-day. Además de la pena de prisión, se ordenó a Williams cumplir tres años de libertad vigilada con condiciones especiales. El tribunal también impuso una sentencia de decomiso de 1,3 millones de dólares que abarca criptomonedas y bienes. Se ha programado una audiencia de restitución para el 12 de mayo de 2026.

Williams admitió en octubre pasado que robó al menos ocho herramientas de software sensibles de su antiguo empleador durante un período de tres años comenzando en 2022. La fiscalía afirmó que recibió millones de dólares en criptomonedas a cambio de las herramientas de hacking robadas. Aunque los registros judiciales no especificaban el software implicado ni identificaban al comprador, las autoridades estadounidenses afirmaron que las herramientas se vendieron a una firma rusa de intermediación de zero-day conocida como Operation Zero.

Los fiscales federales habían solicitado una pena de nueve años de prisión, junto con una multa de 250 000 dólares y una restitución obligatoria de 35 millones de dólares. Según los documentos judiciales, Williams admitió las ventas y declaró a los investigadores que al menos dos de las herramientas causaron aproximadamente 35 millones de dólares en pérdidas a la empresa. Williams cumplirá su condena en Estados Unidos y se espera que sea deportado a Australia al finalizar su pena de prisión.

Paralelamente a la sentencia, el Departamento del Tesoro de EE. UU. anunció sanciones contra el propietario de Operation Zero, la propia empresa con sede en San Petersburgo, y varios socios, incluidos dos miembros de la banda de ciberdelincuentes Trickbot, quienes supuestamente ayudaron a Operation Zero, así como a su propia empresa de intermediación de exploits.

Un hombre ucraniano recibe 5 años de prisión por ayudar a norcoreanos a obtener empleo en EE. UU.

Un hombre ucraniano ha sido condenado a 5 años de cárcel por proporcionar identidades robadas a trabajadores de TI norcoreanos que las utilizaron para infiltrarse en decenas de empresas estadounidenses.

Oleksandr Didenko, de 39 años, de Kiev, se declaró culpable en noviembre de 2025 de robo de identidad agravado y conspiración para cometer fraude electrónico. Fue detenido en Polonia en mayo de 2024 y posteriormente extraditado a Estados Unidos. Un juez federal le condenó a 60 meses de prisión, seguidos de 12 meses de libertad vigilada. También aceptó la confiscación de más de 1,4 millones de dólares en efectivo y criptomonedas incautados a él y a sus cómplices.

Los documentos judiciales indican que Didenko robó las identidades de ciudadanos estadounidenses y las vendió a trabajadores de TI extranjeros a través de la plataforma en línea UpWorkSell, la cual ha sido incautada por el Departamento de Justicia de Estados Unidos. Los trabajadores norcoreanos presuntamente utilizaron las identidades robadas para conseguir fraudulentemente empleos remotos de TI en al menos 40 empresas estadounidenses.

La Fiscalía afirmó que Didenko suministró al menos 871 identidades proxy y cuentas asociadas a través de tres plataformas de contratación de TI freelance. También ayudó a establecer y operar al menos ocho llamadas «granjas de laptops» en EE. UU., Ecuador, Polonia y Ucrania, lo que permitió a los trabajadores norcoreanos ocultar su verdadera ubicación.

Una de esas operaciones fue dirigida por Christina Marie Chapman, de 50 años, de Arizona, quien gestionó la trama desde su domicilio entre octubre de 2020 y octubre de 2023. Fue acusada en mayo de 2024, se declaró culpable en julio de 2025 y posteriormente fue condenada a 102 meses de prisión.

Un IAB rumano se declara culpable de vender acceso a la red del Gobierno de EE. UU.

Un nacional rumano se ha declarado culpable ante un tribunal federal de EE. UU. por vender acceso no autorizado a una red informática del gobierno estatal. Catalin Dragomir, de 45 años, de Constanța (Rumanía), admitió obtener acceso en junio de 2021 a la red informática del departamento de gestión de emergencias de Oregón. La fiscalía afirmó que Dragomir anunciaba acceso de nivel de administrador al sistema comprometido, negoció un pago de 3.000 dólares en Bitcoin y se conectó a la red en múltiples ocasiones para demostrar que su acceso era legítimo.

Según los documentos judiciales, Dragomir actuó como intermediario de acceso inicial (IAB) para proporcionar a un posible comprador muestras de información de identificación personal extraída de la red. Los datos incluían las credenciales de inicio de sesión de un empleado, su nombre, dirección de correo electrónico y número de la Seguridad Social.

Las autoridades alegan que Dragomir también pirateó y vendió acceso a las redes de otras 10 víctimas en todo Estados Unidos, lo que provocó pérdidas de al menos 250 000 dólares.

Dragomir fue detenido en Rumanía en noviembre de 2024 y extraditado a Estados Unidos en enero de 2025. En mayo de 2024, fue acusado de cinco cargos por obtener información de una computadora protegida, robo de identidad agravado y lavado de dinero.

Se declaró culpable de robo de información y robo de identidad agravado, y acordó pagar la restitución completa a sus víctimas. Dragomir se enfrenta a hasta siete años de prisión, incluida una pena obligatoria de dos años consecutivos por robo de identidad, así como a una posible multa de hasta 250.000 dólares y un año de libertad vigilada. La sentencia está prevista para el 26 de mayo.

España detiene a cuatro presuntos miembros de Anonymous Fénix por ciberataques

Las autoridades españolas han detenido a cuatro presuntos miembros de un grupo hacktivista acusado de llevar a cabo ciberataques contra ministerios, partidos políticos y diversas instituciones públicas en España y varios países sudamericanos. El grupo, que se autodenomina “Anonymous Fénix”, presuntamente llevó a cabo ataques distribuidos de denegación de servicio (DDoS) contra múltiples objetivos.

Las autoridades indicaron que los primeros ataques comenzaron en abril de 2023 y se intensificaron tras las riadas que azotaron Valencia a finales de octubre de 2024. Tras la tormenta, el grupo habría atacado varios sitios web gubernamentales, alegando que las autoridades españolas eran responsables de las muertes y la destrucción causadas por la catástrofe.

Anonymous Fénix también utilizó la plataforma de redes sociales X y la aplicación de mensajería Telegram para difundir mensajes antigubernamentales y reclutar voluntarios para sus campañas.

En mayo de 2025, la Guardia Civil detuvo al presunto administrador y moderador del grupo en Alcalá de Henares, cerca de Madrid, y en Oviedo, en el norte de España. Tras analizar las pruebas incautadas durante esas operaciones, la policía identificó a otros dos miembros descritos como los operativos más activos del grupo. Fueron detenidos anteriormente este mes en Ibiza y Móstoles. Tras las detenciones, las autoridades españolas incautaron las cuentas del grupo en X y YouTube y cerraron su canal de Telegram.

En una acción separada, la policía polaca ha desmantelado una red de ciberdelincuencia dedicada al phishing y al fraude en línea. Los agentes de policía identificaron a 11 sospechosos que operaban en Polonia y Alemania entre 2022 y 2024. Al parecer, el grupo utilizaba sitios web de noticias falsas y páginas de inicio de sesión fraudulentas de Facebook para robar más de 100 000 credenciales, tras lo cual extorsionaba a las víctimas por códigos de pago BLIK. Los sospechosos enfrentan más de 400 cargos, entre los que figuran fraude, acceso ilegal a cuentas y blanqueo de capitales.

Obtener una demo

ImmuniWeb puede ayudarle a prevenir brechas de datos y cumplir con los requisitos normativos.

Dos adolescentes imputados por el ciberataque al servicio de bicicletas de Seúl que afectó a 4,6 millones de usuarios

Dos adolescentes surcoreanos han sido acusados en relación con un ciberataque que comprometió los datos personales de 4,62 millones de usuarios del servicio público de bicicletas compartidas de Seúl. Según reportan los medios locales, los sospechosos llevaron a cabo el ataque cuando aún estaban en el colegio. Al parecer, se conocieron en Telegram, donde se unieron por su interés común en la seguridad de la información.

Los investigadores afirmaron que, entre el 28 y el 29 de junio de 2024, los adolescentes accedieron a los servidores de la Seoul Facilities Corporation, que gestiona el servicio de bicicletas Ttareungyi, y robaron una base de datos con información confidencial de los usuarios. Los datos comprometidos incluían IDs de usuario, números de teléfono móvil, direcciones de residencia, fechas de nacimiento, género y peso.

La brecha se produjo tras un incidente anterior en abril de 2024, cuando uno de los sospechosos supuestamente envió alrededor de 470 000 señales masivas en un intento de saturar los servidores de una empresa privada de alquiler de vehículos. Durante ese ataque, identificó presuntamente vulnerabilidades de seguridad en el sistema Ttareungyi y compartió los hallazgos con el segundo sospechoso. Posteriormente, ambos acordaron descargar los datos de los usuarios.

La policía inició una investigación tras recibir una denuncia de la empresa de movilidad. La policía intentó en dos ocasiones obtener órdenes de detención, pero la fiscalía las denegó porque los sospechosos eran menores de edad. Los investigadores afirmaron que no hay pruebas de que los datos robados se compartieran con terceros.

Mientras tanto, la policía brasileña detuvo a un hombre de 26 años acusado de operar equipos ocultos utilizados para hackear teléfonos móviles y enviar mensajes SMS con enlaces maliciosos. El sospechoso, Moacir do Carmo Magalhães, confesó informalmente que gestionaba el montaje ilegal. La investigación, bautizada como «Erbs Fake», reveló que su apartamento albergaba dispositivos capaces de interceptar señales de teléfonos móviles, distribuir mensajes de texto fraudulentos y hackear sistemas informáticos.