Saltar al contenido

Extraditan a EE. UU. a Peter Stokes, presunto integrante de Scattered Spider, capturado en Finlandia

Peter Stokes, de 19 años, fue extraditado a EE. UU. como presunto integrante de Scattered Spider.

por Alejandro Castillo Leone
Extraditan a EE. UU. a Peter Stokes, presunto integrante de Scattered Spider, capturado en Finlandia
Photo by Bernard Hermant / Unsplash

TL;DR:

  • Peter Stokes, de 19 años y con doble nacionalidad estadounidense y estonia, fue extraditado de Finlandia a Chicago y sigue bajo custodia federal.
  • Se le vincula con Scattered Spider, un grupo acusado de más de 100 intrusiones y más de 100 millones de dólares en pagos por extorsión desde 2022.
  • Enfrenta cargos por conspiración, intrusión informática y fraude; según la acusación, exigió unos 8 millones de dólares a un minorista de lujo en 2025.

El Departamento de Justicia de Estados Unidos (DOJ) confirmó la extradición de Peter Stokes, un joven de 19 años con ciudadanía estadounidense y estonia, señalado como integrante del grupo de ciberextorsión Scattered Spider. Finlandia lo entregó a Estados Unidos la semana pasada, y el martes compareció por primera vez ante una corte federal en Chicago, donde un juez ordenó que siga bajo custodia. Stokes enfrenta cargos por conspiración, intrusión informática y fraude en el Distrito Norte de Illinois. La acusación lo vincula con una de las bandas de cibercrimen más dañinas de los últimos años, responsable, según los fiscales, de más de 100 intrusiones a empresas y más de 100 millones de dólares en pagos por extorsión. Nada está probado todavía: una denuncia penal es solo una acusación y Stokes se presume inocente.

La denuncia, revelada el martes, describe a Stokes como parte de Scattered Spider, también rastreado por las firmas de seguridad como Octo Tempest, UNC3944 y 0ktapus. El fiscal general adjunto A. Tysen Duva, de la División Criminal del DOJ, resumió así el caso:

"La denuncia penal acusa a Peter Stokes de pertenecer a Scattered Spider, un grupo de hackers involucrado en más de 100 intrusiones a redes que derivaron en más de 100 millones de dólares en pagos por extorsión y millones más en daños a las víctimas."

Las autoridades finlandesas lo arrestaron en abril, en cumplimiento de una notificación roja de Interpol. Según CyberScoop, la policía lo interceptó el 10 de abril cuando intentaba abordar un vuelo a Japón en el aeropuerto de Helsinki, con dos discos duros que, de acuerdo con los investigadores, contenían material incriminatorio.

Un adolescente dentro de la banda que golpeó a MGM, Caesars y Marks & Spencer

Scattered Spider no es un nombre nuevo para quien sigue el cibercrimen. El colectivo apareció en 2022, formado en su mayoría por adolescentes y veinteañeros de Estados Unidos y Reino Unido, y se hizo tristemente conocido por paralizar a los casinos MGM Resorts y Caesars Entertainment en 2023. Su lista de víctimas, según BleepingComputer, incluye a Marks & Spencer, Co-op, Harrods, Transport for London, WestJet y Jaguar Land Rover, entre muchas otras.

Lo llamativo del caso Stokes es la edad. Los investigadores llevaban siguiéndole la pista desde 2022, cuando aún era menor. De acuerdo con registros judiciales citados por CyberScoop, Microsoft identificó su identidad real y lo señaló como integrante del grupo en una remisión penal en octubre de 2024. Por entonces seguía siendo un niño, y las autoridades no suelen detener a cibercriminales conocidos hasta que cumplen la mayoría de edad. Stokes vivió en Estonia y en Emiratos Árabes Unidos mientras presuntamente cometía parte de los delitos.

El arma principal del grupo no es un exploit sofisticado. Es el teléfono. Brett Leatherman, subdirector de la División Cibernética del FBI, lo puso en estos términos:

"Scattered Spider ha atacado repetidamente a empresas estadounidenses, extorsionando a empleados, provocando pérdidas de millones de dólares e interrumpiendo operaciones esenciales."

Su técnica favorita es la ingeniería social: llaman a la mesa de ayuda de una empresa haciéndose pasar por empleados, piden un restablecimiento de contraseña o de la autenticación multifactor (MFA), y con eso entran. Después roban datos y exigen criptomonedas. Los fiscales también los vinculan con el ransomware DragonForce y con tácticas como el bombardeo de notificaciones MFA y el phishing por SMS.

A smiling woman wearing a headset at a computer.
Photo by BaljkanN 4 / Unsplash
☎️
Scattered Spider casi nunca fuerza un sistema: llama a la mesa de ayuda haciéndose pasar por un empleado y pide restablecer la contraseña o la MFA. El FBI y la CISA recomiendan verificar la identidad antes de cualquier cambio en cuentas críticas y usar MFA resistente a phishing, como llaves físicas, en lugar de simples notificaciones push.

El rescate de 8 millones que una joyería de lujo se negó a pagar

El expediente detalla varios ataques, pero uno resume el patrón. En mayo de 2025, según la acusación, Stokes y sus cómplices entraron a la red de un minorista de artículos de lujo (una joyería, en la descripción del DOJ) tras llamar a su mesa de ayuda de TI suplantando a empleados para restablecer credenciales y hacerse con cuentas de administrador. Exfiltraron datos y exigieron un rescate de unos 8 millones de dólares en criptomonedas, y afirmaron tener 100 gigabytes de información robada.

La empresa no pagó. Su equipo de seguridad expulsó a los atacantes de la red y frenó la extorsión. Aun así, el golpe le costó al menos 2 millones de dólares en interrupción del negocio, investigación y mitigación. BleepingComputer, que revisó los documentos judiciales, cuenta que Stokes figura en al menos cuatro intrusiones de Scattered Spider, incluida el hackeo de una plataforma de comunicación en línea en marzo de 2023, cuando tenía 16 años. CyberScoop suma a la lista un ataque contra una aseguradora estadounidense en junio de 2025.

Hoteles de lujo, relojes y una cadena que presumía "Hack the Planet"

Mientras acumulaba presuntas víctimas, Stokes no se escondía. Al contrario. De acuerdo con su actividad en redes sociales y con los registros de viaje del Departamento de Estado citados en la denuncia, entre 2024 y 2025 se hospedó en hoteles de lujo en París, Italia, España, Alemania, Nueva York, Florida, Nuevo México, Tailandia y Dubái. En sus publicaciones aparecían relojes, fajos de billetes y una cadena aparentemente cubierta de diamantes con la frase "Hack the Planet". CyberScoop apunta que su familia parecía acomodada: su padre habría sido directivo de dos grandes compañías europeas. Usó, según los reportes, apodos como "Bouquet", "Spencer" y "Jordan".

Por qué el caso también toca a las empresas de habla hispana

Aquí está la parte que conviene no leer como una historia lejana. Scattered Spider no rompe la puerta con código: convence a una persona de abrirla. Ese método no entiende de fronteras ni de idiomas. Una empresa en Ciudad de México, Madrid o Bogotá con la mesa de ayuda tercerizada, algo cada vez más común, queda expuesta al mismo guion que una en Chicago. El riesgo no vive en un servidor. Vive en quién contesta el teléfono.

El arresto también manda una señal sobre la edad de estos grupos. Buena parte de estos presuntos delincuentes son adolescentes que operan desde casa y presumen el botín en redes. Que Estados Unidos haya esperado a la mayoría de edad de Stokes para pedir su extradición sugiere que otros nombres jóvenes ya identificados podrían seguir el mismo camino.

El caso se enmarca en la Operación Riptide, la campaña sostenida del FBI contra el cibercrimen. La cifra que la justifica pesa: el año pasado, los estadounidenses reportaron más de 20.000 millones de dólares en pérdidas por delitos informáticos, un aumento de 26% en un solo año, según el DOJ. Stokes es apenas un rostro, y todavía sin condena, de un negocio que no deja de crecer.

Fuentes: 1, 2, 3

Alejandro Castillo Leone imagen de perfil
por Alejandro Castillo Leone

Soy un amante del arte y la cultura. Desde el 2021 dirijo una web dedicada a la historia de mi país y he emprendido la misión de vivir para la cultura, alimentándome principalmente del ámbito Hispanoamericano.

Leer más de Tecnología y Ciencia