Informe de (In)seguridad: adolescentes involucrados en estafas de BEC, filtración de token en GitHub y un "match" que salió caro

15.06.2026

En esta edición del informe de (in)seguridad: adolescentes detrás de estafas de BEC, una invasión que permaneció oculta por dos años en la red de una concesionaria de agua, un token de GitHub comprometido y otros incidentes en los que la confianza costó caro.

Reservorio de Datos

Lo que sucedió: Una concesionaria de agua del Reino Unido fue multada con más de £900 mil, cerca de US$ 1,34 millones, después de que un ataque de phishing resultara en una violación de datos personales. El incidente pasó desapercibido durante casi dos años.

Como sucedió: En 2022, datos pertenecientes a South Staffordshire Water Plc – empresa responsable de operar redes de suministro de agua y proveer agua potable a cerca de un cuarto del Reino Unido – fueron expuestos en línea. El grupo de ransomware Cl0p reivindicó la autoría del ataque. La información filtrada incluía nombres completos, direcciones de residencia, correos electrónicos, números de teléfono, fechas de nacimiento, credenciales de clientes, datos bancarios e información de empleados.

La Oficina del Comisionado de Información (ICO, por sus siglas en inglés), autoridad británica de protección de datos, llevó a cabo una investigación y concluyó que los cibercriminales habían accedido a los sistemas de TI de South Staffordshire Water ya en 2020. La violación comenzó con un ataque de phishing, que permitió a los invasores instalar malware en el ambiente de la empresa. El malware permaneció sin ser detectado por 20 meses. Entre mayo y julio de 2022, los atacantes elevaron sus privilegios dentro de la red de la concesionaria y obtuvieron control a nivel de dominio. South Staffordshire Water solo identificó el incidente en julio de 2022, al investigar problemas de rendimiento en uno de sus sistemas de TI.

La ICO concluyó que fallas graves de ciberseguridad en South Staffordshire Water dejaron expuestos datos de clientes y empleados durante casi dos años. Entre los problemas identificados estaban controles inadecuados contra la escalación de privilegios, uso de software obsoleto – como Windows Server 2003 – ausencia de actualizaciones, gestión deficiente de vulnerabilidades y falta de pruebas regulares de seguridad internas y externas. Los investigadores también constataron que el monitoreo de seguridad de la empresa cubría solo el 5% de su infraestructura de TI.

Golpe quase perfeito

Lo que sucedió: Adolescentes robaron US$ 2,89 millones de una empresa estadounidense de transferencia de dinero mediante un ataque de Compromiso de Correo Electrónico Empresarial (BEC).

Como sucedió: Según la policía, dos jóvenes de 19 años y un adolescente de 16 años conspiraron con un grupo hacker de Malasia. Los hackers les ayudaron a crear empresas de fachada para ejecutar el esquema de BEC. Los adolescentes también abrieron cuentas corporativas en el DBS, una institución financiera con sede en Singapur, para mover los valores robados.

El grupo usó correos electrónicos para convencer a empleados de una empresa estadounidense de transferencia de dinero, cuyo nombre no fue revelado, a enviar US$ 2,89 millones a una de las cuentas corporativas fraudulentas. Sin embargo, el intento de retiro llamó la atención del DBS. Empleados del banco activaron a la policía, y el Comando Anti-Estafas de Singapur se puso en contacto con Interpol, quien alertó a la empresa estadounidense de que había sido víctima de fraude.

La policía no reveló toda la cadena del ataque, pero el incidente probablemente implicó el compromiso de cuentas de correo electrónico corporativas pertenecientes a ejecutivos, empleados o proveedores de confianza.

Los adolescentes fueron arrestados. Si son condenados, pueden enfrentar hasta 10 años de prisión, pagar una multa de US$ 500 mil, o ambas. Los estafadores en línea, integrantes de bandas de fraude y reclutadores también pueden estar sujetos a castigo corporal obligatorio, con penas que varían de al menos seis hasta 24 golpes de vara.

Un token comprometido, un gran daño

Lo que sucedió: Hackers invadieron la infraestructura de GitHub de Grafana Labs y robaron repositorios de código fuente.

Como sucedió: Los atacantes usaron un token de acceso comprometido del ambiente de GitHub de Grafana Labs para copiar el contenido de repositorios de código. Grafana Labs identificó el origen de la filtración de credenciales que llevó al compromiso del token. La empresa revocó inmediatamente los tokens afectados e implementó medidas adicionales de seguridad en su ambiente de TI. El grupo CoinbaseCartel reivindicó la autoría del ataque. Tras la invasión, los agentes maliciosos intentaron extorsionar a Grafana Labs, exigiendo pago para no divulgar los datos robados. La empresa se negó a pagar el rescate. Una investigación inicial no encontró evidencia de que los datos de clientes hubieran sido afectados. Grafana Labs no reveló qué repositorios fueron robados. Sin embargo, según The Register, los atacantes podrían haber tenido acceso a código propietario. La investigación de la empresa aún está en curso.

O grupo CoinbaseCartel reivindicou a autoria do ataque. Após a invasão, os agentes maliciosos tentaram extorquir a Grafana Labs, exigindo pagamento para não divulgar os dados roubados. A empresa se recusou a pagar o resgate.

Uma investigação inicial não encontrou evidências de que dados de clientes tivessem sido afetados. A Grafana Labs não revelou quais repositórios foram roubados. No entanto, segundo o The Register, os atacantes podem ter tido acesso a código proprietário. A investigação da empresa ainda está em andamento.

Estafa romántica, pérdida corporativa

Lo que sucedió: Un hombre de Nueva York ayudó a estafadores de "estafa romántica" a defraudar a una empresa en US$ 212 mil.

Como sucedió: Un empleado de High Point Cattle Company recibió un correo electrónico que parecía haber sido enviado por la contratista Lewiston Sales, informando nuevos datos bancarios. El empleado no percibió el fraude y realizó dos transferencias bancarias, por un total de US$ 212,685.75. Unos días después, sin embargo, la verdadera Lewiston Sales contactó a la empresa para informar que nunca había recibido el dinero. Quedó claro, entonces, que la contratista no había cambiado sus datos bancarios ni enviado aquellos correos.

High Point Cattle Company denunció el fraude a la policía. La investigación mostró que la dirección de correo del remitente era casi idéntica a la dirección real de un empleado de Lewiston. La única diferencia era que la letra "m" en la dirección legítima había sido reemplazada por las letras "r" y "n" en la dirección fraudulenta. Colocadas una al lado de la otra, "r" y "n" parecían formar una "m", lo que hizo que el empleado no percibiera la estafa.

La policía descubrió que el dinero de la empresa había sido dirigido a varias cuentas pertenecientes a Michael McPherson, un hombre de Nueva York. Al ser contactado por los investigadores, admitió que las cuentas bancarias eran suyas. Según McPherson, las había abierto para ayudar a una mujer que conoció en un sitio de citas a transferir una gran herencia.

McPherson dijo a la policía que, a petición de la mujer, abrió cuentas personales en Bank of America, Chase, Discover, Cross River Bank y US Bank para que ella pudiera enviar dinero a esas cuentas. También afirmó que ella lo ayudó a crear una empresa falsa llamada MCP Energy LLC. Siempre que se depositaban valores en sus cuentas, la mujer lo orientaba a transferir el dinero a otros destinos o retirarlo en cajeros automáticos.

McPherson nunca conoció personalmente a su amor virtual, pero la relación romántica rápidamente se transformó en un acuerdo financiero. A cambio de abrir cuentas y seguir las instrucciones de la mujer, recibió un auto usado, tuvo deudas de tarjeta de crédito pagadas, compró ropa nueva y adquirió nuevos lentes.

Admitió a la policía que el comportamiento de la mujer le parecía sospechoso, pero afirmó que, cuando la situación fue demasiado lejos, ya no pudo cortar el contacto. Para entonces, entendió que se había convertido en cómplice del esquema y no sabía cómo escapar de un castigo.

La primera audiencia de McPherson está programada para el 8 de julio. Aún no está claro si los investigadores identificaron a la misteriosa mujer conocida en línea – o si ella realmente existió. Hasta el momento, ninguna mujer ha sido acusada en relación con el caso de fraude que involucra a High Point Cattle Company.

Los hackers sabían más de lo que debían

Lo que sucedió: La cadena minorista 7-Eleven sufrió una filtración de datos tras un ataque cibernético.

Como sucedió:La gran cadena de tiendas de conveniencia confirmó que, durante la primavera, un grupo hacker obtuvo acceso a datos confidenciales de la empresa. La violación ocurrió tras el compromiso de un sistema de TI usado por la compañía para almacenar documentos de franquiciados.

7-Eleven detectó actividad sospechosa en su infraestructura el 9 de abril y tomó medidas inmediatas para contener el incidente. La empresa también se disculpó anticipadamente con clientes y socios por cualquier inconveniente que el caso pudiera causar.

7-Eleven no reveló detalles de la investigación ni el número de personas afectadas por la filtración. Sin embargo, el grupo hacker ShinyHunters, que reivindicó la autoría del incidente, afirmó haber invadido el ambiente Salesforce de la empresa y robado más de 600 mil registros con datos personales e información corporativa relacionada con 7-Eleven.

Menos de una semana después de anunciar la invasión, ShinyHunters publicó en la dark web un archivo de 9.4 GB que contenía documentos. 7-Eleven se había negado anteriormente a pagar rescate por los datos.

Contabilidad creativa en el marketing

Lo que sucedió: Un empleado de marketing de Hot Gold Fish Corporation, empresa con sede en Hollywood, defraudó a su empleador en US$ 63 mil.

Como sucedió: George Louis Leyva ingresó al departamento de marketing de Hot Gold Fish Corporation, una empresa que crea retratos al estilo pop art. Poco después de ser contratado, seleccionó varias agencias de marketing como proveedoras de servicios para proyectos de la compañía y firmó contratos con ellas por valor de decenas de miles de dólares.

Más tarde, la empresa descubrió que todas las agencias de marketing elegidas por Leyva pertenecían, en realidad, al propio empleado. En la práctica, él había usado el dinero de Hot Gold Fish Corporation para pagarse a sí mismo. En total, la empresa afirma haber sido defraudada por US$ 63 mil y denunció el caso a la policía.

Según Hot Gold Fish Corporation, Leyva recomendó las agencias alegando que ya había trabajado con ellas anteriormente, mientras ocultaba el hecho de ser el propietario. Representantes de la empresa también afirmaron que, durante una investigación interna, descubrieron que el ex empleado intentó falsificar propiedad intelectual de la compañía. Leyva habría creado copias de imágenes pertenecientes a Hot Gold Fish e incluso lanzado un sitio web similar a la página oficial de la empresa.

Cuando el esquema salió a la luz y fue despedido, Leyva borró el sitio falso. Esto – junto con la investigación policial – pudo haber evitado que su próximo posible empleador contratara a un "proveedor de servicios" que, en la práctica, era una copia fraudulenta de la propia Hot Gold Fish.