El rescate se pagó, pero el dinero desapareció: los hackers perdieron la batalla por los bitcoines
El FBI dejó a los hackers sin fondos tras el pago de 15 millones de dólares por parte de Caesars Entertainment.
El FBI logró rastrear y congelar millones de dólares en criptomonedas que Caesars Entertainment había enviado a los hackers como pago de rescate para recuperar el acceso a sus sistemas de TI.
Se trata del ataque perpetrado en agosto de 2023 por el grupo Scattered Spider, que también atacó a MGM Resorts en ese mismo periodo. Sin embargo, la dirección de MGM se negó a pagar, lo que provocó una interrupción en las operaciones del casino durante más de una semana.
La información sobre las acciones del FBI aparece en un documento judicial desclasificado, que describe detalladamente los intentos de impedir que los hackers retiraran completamente los fondos. Inicialmente, los delincuentes exigían 30 millones de dólares, pero Caesars logró reducir el pago a 15 millones. El dinero fue transferido en dos transacciones de Bitcoin. Meses después, el FBI detectó un intento de convertir parte del rescate a otras criptomonedas, lo que permitió intervenir.
Los agentes del FBI utilizaron una herramienta comercial para rastrear transacciones de criptomonedas y descubrieron una transferencia de 402 BTC al servicio Avalanche Bridge el 19 de enero de 2024. Esta plataforma permite intercambiar una criptomoneda por otra y es frecuentemente utilizada por ciberdelincuentes para evitar el rastreo — por ejemplo, para cambiar Bitcoin por Monero, que ofrece un alto nivel de anonimato.
El FBI contactó con Ava Labs, la empresa que gestiona Avalanche Bridge, y solicitó el congelamiento de los activos. La compañía accedió voluntariamente a bloquear 277,56 BTC, que en ese momento estaban valorados en unos 11,8 millones de dólares. Sin embargo, los 125 BTC restantes, equivalentes a más de 5 millones, ya habían sido transferidos y no pudieron ser bloqueados.
A finales de enero, los propietarios de las criptomonedas transfirieron otros 690 mil dólares a una cartera perteneciente al exchange Gate.io. Entre los activos figuraban unos 519 845 USDT y 1135 XMR. Al día siguiente, el FBI solicitó a Gate.io el congelamiento de dichos fondos. El 4 de febrero, la plataforma confirmó que había cumplido con la orden.
Actualmente, el gobierno de EE. UU. ha iniciado oficialmente un proceso de confiscación civil de los fondos. Aunque en el documento Caesars no se menciona directamente y se la denomina "Víctima A", los detalles coinciden completamente con la cronología del ataque previamente confirmada. Los hackers accedieron al sistema el 18 de agosto de 2023 — exactamente la fecha que la empresa había señalado como el día del incidente. Anteriormente, las autoridades ya habían detenido a uno de los implicados en el ataque a MGM y a varios otros presuntamente relacionados con el grupo Scattered Spider.