Hacker escocés se declara culpable por ataques cibernéticos que lo vincularon al grupo Scattered Spider

Un líder clave del grupo de hackers Scattered Spider, vinculado a la organización The Com, se declaró culpable de cargos federales por su participación en una serie de ataques de phishing y robos de criptomonedas que afectaron a víctimas en Estados Unidos entre septiembre de 2021 y abril de 2023.

Tyler Robert Buchanan, de 24 años y residente en Dundee, Escocia, admitió su responsabilidad en los delitos de conspiración para cometer fraude electrónico y robo de identidad agravado, según anunció el Departamento de Justicia de EE.UU. el pasado viernes.

Buchanan fue arrestado en 2024 por la policía española en Palma de Mallorca mientras intentaba abordar un vuelo chárter con destino a Nápoles, Italia. Desde abril de 2025, se encuentra bajo custodia federal en espera de su sentencia, programada para el 21 de agosto de 2025. De ser condenado, podría enfrentar una pena máxima de 22 años de prisión.

Métodos de ataque y víctimas afectadas

Buchanan y sus cómplices, entre los que se incluye a Noah Michael Urban (condenado el año pasado a 10 años de prisión), utilizaron técnicas de phishing para obtener credenciales de acceso y realizaron ataques de SIM swapping para robar más de 8 millones de dólares en criptomonedas a residentes estadounidenses.

Las víctimas incluían a personas con alto poder adquisitivo, así como empresas de sectores como entretenimiento, telecomunicaciones, tecnología, outsourcing, cloud computing y criptomonedas.

El papel de Buchanan en Scattered Spider

Aunque The Com y sus facciones no operan con una estructura jerárquica tradicional, Buchanan desempeñó un papel fundamental en la organización, según declaró Allison Nixon, directora de investigación de la firma Unit 221B:

«[Buchanan] fue el pegamento que mantuvo unida a esta banda. Su éxito al vaciar los ahorros de las víctimas lo convirtió en un objetivo tanto para las fuerzas del orden como para bandas rivales de The Com».

Nixon también explicó que Buchanan pertenece a una generación de hackers que surgió en servidores tóxicos de juegos antes de la pandemia:

«Esta generación aprendió a hackear para robar nombres de usuario y acosar a otros jugadores, antes de dedicarse a saquear los ahorros de la gente».

Arrestos y consecuencias legales

En 2024, las autoridades federales presentaron cargos contra cinco individuos vinculados a Scattered Spider. Además de Buchanan y Urban, los presuntos cómplices Ahmed Hossam Eldin Elbadawy, Evans Onyeaka Osiebo y Joel Martin Evans aún enfrentan cargos pendientes.

Nixon destacó la eficacia de la estrategia utilizada para detener a Buchanan durante un viaje internacional:

«Los miembros de The Com son obsesivos con los jets privados y las vacaciones en el extranjero, y las autoridades federales les quitaron ese sueño con un solo arresto».

Añadió que esta táctica, empleada también contra ciberdelincuentes rusos, funciona porque la mayoría de los países colaboran en la captura de criminales extranjeros para evitar que operen en sus jurisdicciones:

«Como extranjero, Buchanan se encontraba en una posición legal más débil que si hubiera sido arrestado en su país. Los casos que siguen este enfoque suelen terminar con penas muy largas».

Nixon concluyó con una advertencia para los miembros de The Com:

«Para los miembros de The Com que observan este caso, el mensaje es claro: los criminales extranjeros asociados a la violencia son la clase más baja en cualquier país. Y eso es exactamente lo que son cuando viajan».

El Departamento de Justicia confirmó que Buchanan y su grupo defraudaron a al menos una docena de empresas y empleados en Estados Unidos. Durante el registro en su domicilio, las autoridades incautaron dispositivos digitales que podrían contener pruebas adicionales.