Captura de la libertad: cómo los servicios de inteligencia desenmascararon a un hacker que fingió su muerte

En enero de 2023, un desconocido accedió a la cuenta de un médico en el sistema de registro de muertes de Hawái y emitió un certificado de defunción de Jesse Kipf, alegando que había fallecido por COVID-19.

El evento pronto salió a la luz en uno de los foros de hackers, donde un hacker con el alias "FreeRadical" intentó vender acceso al sistema que permitía crear y validar documentos falsos de defunción. El hacker adjuntó una captura de pantalla del certificado, pero cometió un error: dejó parte del escudo estatal y la información sobre el lugar de nacimiento, lo que ayudó a establecer su identidad.

La publicación fue detectada por los especialistas de Mandiant. El analista Austin Larsen, al monitorear la actividad en los foros, reconoció que el hackeo estaba relacionado con el sistema de registro de Hawái. Solo 3 días después, Larsen informó a las autoridades estatales sobre la vulneración. La investigación reveló que la cuenta del médico utilizada para emitir el falso certificado había sido hackeada por el propio Kipf, el hombre que supuestamente había fallecido.

Certificado de defunción falso de Jesse Kipf

Como se descubrió más tarde, Kipf fingió su muerte para evitar pagar la manutención a su exesposa por un monto superior a $116,000. La fiscalía describió a Kipf como un "hacker en serie" que llevaba a cabo actividades ilegales desde su casa en Kentucky. Kipf cometió una serie de errores, incluido el uso de su conexión a internet doméstica para acceder al sistema, lo que permitió localizarlo rápidamente. En noviembre de 2023, el Departamento de Justicia de EE.UU. acusó formalmente a Kipf de hackear sistemas informáticos de tres estados y empresas asociadas a grandes cadenas hoteleras.

Durante la investigación, se descubrió que Kipf actuaba bajo varios seudónimos en comunidades de hackers, como "GhostMarket09", y vendía credenciales robadas. Los expertos lo vincularon con el grupo Scattered Spider, presuntamente responsable del ataque a MGM Resorts. Sin embargo, según la investigación, Kipf no formaba parte del grupo, sino que solo les vendía datos.

En mayo de 2023, las fuerzas del orden del estado de Kentucky recibieron un aviso de que alguien de su estado había hackeado el sistema de Hawái. En julio, agentes detuvieron a Kipf en su casa. Durante el interrogatorio, el hacker confesó sus delitos cibernéticos, afirmando que los hackeos le habían permitido no trabajar durante 5 años.

Kipf también admitió haber hackeado sistemas de registro de muertes de otros estados y que en una ocasión emitió un certificado de defunción a nombre ficticio de "Crab Rangoon", el nombre de un platillo chino. Kipf también vendía accesos a redes de empresas, incluidas las de sistemas de Marriott.

Las pruebas recopiladas y las confesiones permitieron a Kipf llegar a un acuerdo con los fiscales. En agosto, el tribunal lo condenó a 6 años y 9 meses de prisión, acusándolo de causar daños a sistemas estatales y corporativos por valor de $80,000, así como de evasión de pagos de manutención por $116,000. Según la ley de EE.UU., Kipf deberá cumplir al menos el 85% de la condena, es decir, más de 5 años.