Un joven hacker de Florida, involucrado en el infame grupo de cibercrimen Scattered Spider, ha recibido 10 años de prisión federal y deberá pagar cerca de $13 millones en restitución tras cometer múltiples ataques de SIM-swapping y fraude electrónico.

Detalles de la condena y cargos federales

Noah Michael Urban, de 20 años, se declaró culpable en abril de 2025 de conspiración y fraude electrónico. Según los fiscales, Urban y sus cómplices robaron al menos $800,000 de cinco víctimas mediante ataques de redirección de llamadas y mensajes SMS hacia dispositivos bajo su control.

Aunque la fiscalía solicitó una sentencia de ocho años, el juez federal impuso 120 meses de prisión, con tres años de libertad supervisada y restitución de $13 millones para cubrir a todas las víctimas de ambos casos.

Operaciones de Scattered Spider y phishing dirigido

En noviembre de 2024, Urban fue acusado en Los Ángeles como miembro de Scattered Spider, también conocido como “Oktapus”, “Scatter Swine” o “UNC3944”. El grupo se especializaba en:

• Phishing SMS y de voz
• Obtención de credenciales y códigos de acceso temporal
• Redirección de comunicaciones móviles de víctimas

Urban se declaró culpable de conspiración para cometer fraude electrónico, y la restitución de $13 millones cubre víctimas de Florida y California.

Cómo operaban los ataques de phishing

Durante el verano de 2022, los empleados de más de 130 compañías, incluyendo Twilio, LastPass, DoorDash, MailChimp y Plex, recibieron SMS que simulaban páginas de Okta para robar credenciales. Algunos mensajes:

• Alertaban sobre la expiración de VPN y solicitaban actualizar credenciales
• Informaban cambios en horarios laborales próximos
• Redirigían a sitios de phishing que imitaban portales corporativos

Alias y reputación en la comunidad hacker

Urban era conocido como “King Bob” y “Sosa” en comunidades de hackers en Telegram y Discord. Allí, se jactaba de:

• Robar grabaciones de música inédita mediante SIM-swapping
• Participar en ventas o distribución de contenido filtrado
• Formar parte de grupos de alto impacto como Star Fraud

Star Fraud estuvo vinculado a ataques de extorsión a Caesars Entertainment y MGM Resorts en 2023, y enfocaba su objetivo en clientes de T-Mobile mediante ingeniería social.

Impacto y alcance de los ataques de SIM-swapping

El grupo lograba mover temporalmente números móviles de víctimas, acceder a cuentas corporativas y robar criptomonedas, utilizando phishing a empleados de proveedores de servicios móviles. Se documentó más de 100 accesos internos a T-Mobile durante siete meses en 2022.

Reacción de Urban y hackeo al juez

Urban calificó la sentencia como injusta, señalando que su edad no fue tomada en cuenta. Además, mientras estaba en la cárcel del condado, un coacusado accedió al correo electrónico de un juez magistrado para obtener información sobre su caso.

El juez Harvey E. Schlesinger calificó el incidente como un error grave, explicando que el acceso se logró mediante un contratista externo del tribunal que proporcionó la información tras recibir una llamada fraudulenta.

Lecciones sobre ciberseguridad y prevención

• La importancia de capacitar a empleados sobre phishing y seguridad móvil
• Implementación de autenticación multifactor segura
• Monitoreo continuo de accesos y alertas de actividad sospechosa

Para más noticias sobre ciberseguridad y fraudes digitales, revisa nuestra sección noticias de seguridad informática.