El error más ridículo del año: grabaron su propio ciberataque sin darse cuenta en Teams

Ciberataque grabado en Teams
Ciberataque grabado en TeamsGenerado por IA

Dos hackers han sido detenidos de una forma surrealista, tras realizar un ciberataque contra el gobierno de Estados Unidos durante una videollamada que estaba grabando su empresa.

Los cibercriminales suelen aprovecharse de la falta de precaución de empresas, usuarios e instituciones, pero esto no impide que ellos mismos cometan errores garrafales en sus acciones delictivas, como discutir sobre sus planes durante una videollamada con quien van a atacar.

Esto es justo lo que les ha sucedido a 2 hackers de Estados Unidos que recientemente eliminaron 96 bases de datos pertenecientes a administraciones públicas del gobierno del país norteamericano y actualmente están en prisión, como ha informado Ars Technica.

Muneeb y Sohaib Akhter, hermanos gemelos de 34 años que vivían juntos en la ciudad de Arlington (Virginia), trabajaban como desarrolladores para Opexus, una empresa proveedora de servicios informáticos para, entre otros clientes, el gobierno central de Estados Unidos. 

Ambos tenían antecedentes penales, ya que habían pasado un tiempo en prisión por un fraude de ciberseguridad. Los hermanos llevaban un largo historial de pequeños ciberdelitos, como robar beneficios por volar en aerolíneas, en muchos casos con la ayuda de herramientas de inteligencia artificial y con escasos conocimientos, pero hasta entonces de poca importancia.

Uno de los hackeos más chapuceros de la historia

La historia empieza cuando la empresa empleadora se dio cuenta de la larga lista de delitos de los hermanos Akhter. Por todo ello, el departamento de recursos humanos les citó a ambos por videollamada el pasado 18 de febrero de 2025 para comunicarles su despido.

Justo tras el despido, los hackers se pusieron de acuerdo y decidieron que, como venganza, iban a eliminar las bases de datos gubernamentales en las que trabajaba Opexus, con hasta 96 listas de datos sensibles y confidenciales de la administración federal de Estados Unidos.

Para ello, se sirvieron de que la empresa aún no les había revocado el acceso a todas sus bases de datos internas, ya que uno de ellos se mantuvo dentro de la VPN de Opexus y procedió a borrar las bases de datos y las copias de seguridad de agencias como el Departamento de Asuntos de Veteranos, el Departamento de Educación y el Departamento de Seguridad Nacional.

Estos hechos delictivos podrían haber parecido un ciberataque de un grupo de hackers externo y que la autoría de Muneeb y Sohaib Akhter nunca se hubiese descubierto. ¿Cuál fue entonces el error que cometieron?

Que cuando fueron despedidos, la persona de recursos humanos salió de la videollamada tras solo 2 minutos y 40 segundos, pero ellos no, por lo que esta reunión siguió grabándose en Microsoft Teams durante una hora más, mientras los hermanos discutían abiertamente sobre cómo iban a atacar a Opexus y a sus principales clientes gubernamentales.

La conversación entera se ha transcrito y ahora forma parte del documento judicial en el que se les acusa del delito del que les cogieron con las manos en la masa.

Primero, uno de los dos hermanos intenta convencer al otro para extorsionar a su ya ex empresa a través de un email en el que les amenazarían con contactar con todos los clientes en cuyas cuentas habían trabajado. Al otro la idea no le convence.

SOHAIB: Chantajearlos para sacarles algo de dinero habría sido…

MUNEEB: No, eso no se hace. Es una prueba de culpabilidad.

SOHAIB: No, pero la cuestión es que tú siempre tienes tu opinión; yo podría haberme puesto en contacto directamente con sus clientes.

Después, uno de ellos se da cuenta de que sigue teniendo acceso a la red corporativa y procede a eliminar bases de datos y copias de seguridad con la aprobación y los consejos de su hermano.

SOHAIB: Entra en cada una de ellas y empieza el proceso de eliminación. Tardará un rato... Al final se borrarán todos sus archivos.

Para terminar, los dos hermanos llegan a discutir sobre cómo borran sus huellas para no ser descubiertos como autores e incluso sobre la posibilidad de ser detenidos y fugarse a otro estado.

SOHAIB: Probablemente vayan a hacer una redada aquí.

MUNEEB: Bah, yo me encargo de limpiar esto. Yo no tengo nada.

SOHAIB: También tenemos que limpiar la otra casa.

MUNEEB: Deshazte de eso.

SOHAIB: Borrar sus sistemas de archivos sería más complicado.

MUNEEB: Mmm, sobre todo si lo limpias todo.

MUNEEB: Todo lo que he hecho, me aseguro de que esté protegido. De que esté limpio.

MUNEEB: No te preocupes, nos iremos a Texas.

En el juicio que se celebró recientemente, Sohaib fue sentenciado como culpable, mientras que Muneeb admitió su autoría el pasado mes de abril, aunque después ha intentado echarse atrás a través de varias cartas dirigidas al juez, sin éxito.

Más información sobre:

Ver sus artículos

Roberto Corrales

Redactor

Roberto Corrales escribe sobre actualidad tecnológica, prueba dispositivos de todo tipo y escribe reportajes.