Teatro de máscaras Kiberphant0m: ¿uno de los hackers más peligrosos es un soldado del ejército de EE. UU.?
De Snowflake a AT&T: ¿quién está detrás de una serie de ataques destacados?
Uno de los personajes más enigmáticos en el mundo del cibercrimen, el hacker bajo el alias de Kiberphant0m, se ha convertido en objeto de investigaciones internacionales. Sus acciones están relacionadas con numerosas filtraciones de datos de gran repercusión, pero hasta ahora ha logrado evadir el arresto. Tras la detención de algunos de sus cómplices, han surgido datos que podrían arrojar luz sobre su identidad.
Este cibercriminal se hizo famoso en foros como BreachForums, canales de Telegram e incluso en chats de videojuegos. Sus últimas víctimas incluyen clientes de Snowflake, entre ellos la corporación AT&T, que, según se informa, pagó 370.000 dólares por la eliminación de datos robados. ¿Pero quién es realmente? Nuevas evidencias sugieren una inesperada conexión con el ejército de los EE. UU.
En octubre de 2024, las autoridades canadienses arrestaron a Alexander Mauck, uno de los cómplices de Kiberphant0m, conocido como Judische y Waifu. Mauck está acusado de vender datos robados de usuarios de Snowflake que se negaron a pagar un rescate. Tras su arresto, Kiberphant0m dejó amenazas emocionales en BreachForums, declarando su intención de publicar grabaciones presidenciales de AT&T. Sus publicaciones iban acompañadas de los hashtags #FREEWAIFU.
Entre los datos que Kiberphant0m supuestamente robó se encuentran registros de llamadas de agencias gubernamentales, esquemas de datos del Servicio Nacional de Seguridad de EE. UU. y información sobre los servicios de emergencia de Verizon. En los foros, Kiberphant0m también vendía bases de datos robadas a empresas surcoreanas, lo que marcó un cambio notable en su enfoque tras las filtraciones de Snowflake. Anteriormente, su actividad se centraba principalmente en la venta de herramientas para crear botnets.
Kiberphant0m utilizaba con frecuencia otros alias, como Reverseshell y Proman557. Bajo este último, apareció en foros de hackers en 2022, donde ofrecía botnets basados en Linux y acceso a redes corporativas. Sin embargo, su actividad en el foro de habla rusa Exploit terminó en escándalo: fue bloqueado por estafar 350 dólares. Esto no le impidió continuar con sus actividades bajo un nuevo alias, Vars_Secc.
La cuenta de Telegram @Kiberphant0m con el identificador 6953392511 participaba activamente en discusiones en el canal Dstat, frecuentado por cibercriminales que ofrecían servicios de ataques DDoS. El 4 de enero de 2024, justo después de unirse a una discusión, un usuario lo saludó bajo otro alias, “buttholio”, a lo que respondió con un coloquial “wsg” (“¿qué hay de nuevo?”). Sin embargo, posteriormente, tanto el canal como el propio sitio Dstat fueron desmantelados en el marco de la operación internacional PowerOFF contra servicios DDoS.
En abril de 2024, Kiberphant0m admitió en el canal Dstat que utilizaba otra cuenta de Telegram bajo el alias @Reverseshell. Dos semanas después, confirmó esta información en otro chat de Telegram llamado The Jacuzzi, lo que facilitó enormemente el trabajo de los investigadores.
La cuenta de Telegram Vars_Secc también afirmó estar vinculada al usuario de BreachForums conocido como “Boxfan”. Según Intel 471, en sus primeros mensajes en el foro, Boxfan incluía en su firma la cuenta de Telegram Vars_Secc. En su última publicación en BreachForums, en enero de 2024, Boxfan reveló una vulnerabilidad que descubrió en Naver, el motor de búsqueda más popular de Corea del Sur, según Statista.com. Sus comentarios reflejan una actitud extremadamente negativa hacia la cultura surcoreana.
“Disfruten explotando esta vulnerabilidad”, escribió Boxfan en BreachForums, publicando un fragmento extenso de código. “Al diablo con Corea del Sur y sus puntos de vista discriminatorios. Nadie quiere su k-pop, bastardos amargados. Quienquiera que pueda filtrar esta base de datos, felicitaciones. No tengo ganas de hacerlo, así que la subo al foro”.
En algún momento, el hacker incluso ganó dinero con programas de recompensas por encontrar vulnerabilidades, colaborando con empresas como Reddit y Coinbase. En uno de sus mensajes, afirmó haber encontrado una vulnerabilidad en el sistema de una importante compañía aeroespacial estadounidense, pero, en lugar de reportar el error, decidió poner los datos a la venta.
El elemento más intrigante de esta historia son, sin duda, las declaraciones que apuntan a una conexión con las fuerzas armadas. En una conversación de 2022, el hacker, bajo uno de sus alias, afirmó que servía en el ejército de EE. UU. y estaba destinado en una base en Corea del Sur. Esta versión está respaldada por capturas de pantalla: en ellas se puede ver que utilizaba Wi-Fi militar y vestía uniforme del ejército. Dadas sus habilidades, es posible que estuviera vinculado a la unidad cibernética del ejército. Las publicaciones en foros de videojuegos también dibujan un panorama peculiar: el hacker compartía su experiencia usando servidores coreanos en juegos en línea. Según afirmó, compró el juego en EE. UU., pero jugaba desde Asia porque estaba “en rotación”.
Por cierto, a menudo provocaba el descontento de los moderadores en los foros de cibercriminales. Fue bloqueado en varias ocasiones por engañar a otros usuarios, pero esto no le impidió seguir ofreciendo sus servicios, incluidos el hackeo de servidores gubernamentales y la reventa de acceso a los mismos.
La gran pregunta es: ¿realmente puede seguir siendo inalcanzable? Kiberphant0m afirma que está fuera del alcance de las fuerzas del orden y que su “leyenda” sobre el servicio militar es solo una maniobra de distracción. Sin embargo, los investigadores siguen buscando pistas, analizando rastros digitales y cuentas anónimas.
A pesar de las declaraciones del hacker sobre su “invulnerabilidad”, los especialistas en ciberseguridad creen que su arresto es solo cuestión de tiempo. Actualmente, ya se han acumulado numerosas pruebas, incluidas conexiones entre sus alias, direcciones IP y foros donde comerciaba con datos.
Parece que incluso entre los cibercriminales, esta figura ocupa un lugar único. Mientras la mayoría de sus colegas se concentran en datos financieros y vulnerabilidades corporativas, Kiberphant0m muestra un enfoque selectivo, apuntando a estructuras gubernamentales e infraestructura crítica.