El testimonio de Andrés Repetto, conocido como Andy Stop Loss, narra el devastador hackeo que sufrió y ofrece una radiografía precisa de cómo actúan los ciberdelincuentes hoy. Su experiencia se transforma en una guía práctica para proteger nuestra identidad digital y financiera.
Autor: Claudio Bottini
Inicio del ataque: infostealers y secuestro de sesión
El punto de partida del incidente fue la instalación inadvertida de un infostealer, un malware diseñado para robar credenciales, cookies de sesión y datos personales.
Este tipo de programa, como RedLine o Raccoon, se comercializa como servicio y opera con gran sigilo, eludiendo incluso antivirus como Microsoft Defender. A partir de un clic en un sitio malicioso, el atacante obtuvo cookies activas que permitieron acceder directamente a las cuentas de Andy, incluso eludiendo la autenticación de dos factores.
Este tipo de secuestro de sesión es extremadamente peligroso, especialmente cuando se utiliza el inicio de sesión con Google para múltiples servicios. El atacante no necesitó contraseñas: al copiar la cookie, simuló ser el usuario legítimo ante los servidores.
Además, la intrusión se vio favorecida por prácticas comunes como el uso de contraseñas similares en varios servicios y la dependencia de gestores de contraseñas del navegador, lo que aumentó el riesgo ante dispositivos comprometidos.
Todo comenzó con una serie de notificaciones de Google que llegaron en cascada: cambio de contraseña, desactivación del teléfono de respaldo, alteración del correo de recuperación. En cuestión de minutos, los atacantes vaciaron su cuenta en un conocido Exchange de criptomonedas y comenzaron a liquidar otros activos digitales.
Debilidades en la autenticación y medidas correctivas
Aunque Andy contaba con autenticación de dos factores mediante Google Authenticator, los atacantes lograron superarla no con fuerza bruta, sino a través del control de su correo electrónico. Iniciaron procesos de recuperación de cuentas en otros servicios y, al tener acceso al Gmail, pudieron confirmar los cambios de autenticador sin barreras adicionales. Esto evidenció la fragilidad de muchos procesos administrativos de recuperación.
Tras el ataque, Andy migró a Authy, que permite respaldo en la nube, aunque introduce otros riesgos como el SIM swapping. Se compararon varias apps: Google Authenticator, Authy, Microsoft Authenticator, Duo Mobile y opciones de código abierto como Aegis, remarcando ventajas y limitaciones.
También se destacó el uso de llaves físicas como YubiKey, cuya resistencia al phishing y autenticación criptográfica las convierte en una herramienta casi infalible. En paralelo, se recomendó el uso de gestores de contraseñas dedicados como Bitwarden, 1Password o KeePassXC, que operan bajo el modelo de conocimiento cero, evitando el almacenamiento recuperable de claves.
Para quienes buscan seguridad sin depender de la nube, opciones como KeePassXC ofrecen control total. Se subrayó la importancia de utilizar frases de contraseña largas y fáciles de recordar como método casero robusto.
Es fundamental desmontar un mito: los atacantes no “entran” en la aplicación Authenticator del teléfono. Lo que hacen es abusar de un eslabón más débil en la cadena de seguridad: el proceso de recuperación de cuentas.
Impacto financiero, persistencia del atacante y uso de IA
El daño económico fue inmediato: los atacantes vaciaron cuentas en Binance y GoMining, mientras que activos en brokers tradicionales como Hapi se salvaron por operar fuera del horario bursátil. La diferencia entre plataformas cripto y financieras tradicionales quedó en evidencia: las primeras permiten retiros casi instantáneos, mientras que los sistemas regulados brindan un margen de reacción. Esto confirmó la máxima del mundo cripto: si no controlás tus claves privadas, no controlás tus monedas.
La autocustodia mediante billeteras frías como Ledger o Trezor fue presentada como la forma más segura de almacenar criptomonedas.
Tras el formateo de la PC, Andy detectó nuevas intrusiones en su canal de YouTube, lo que reveló mecanismos de persistencia, como accesos de administradores desconocidos o potenciales rootkits en el firmware.
Este tipo de amenazas pueden sobrevivir a reinstalaciones del sistema operativo y requieren un reflasheo del firmware. Asimismo, se identificó un vector de riesgo comúnmente ignorado: el router doméstico. Muchas veces desactualizado y con contraseñas por defecto, representa una puerta de entrada a toda la red.
Andy lo reseteó de fábrica, actualizó el firmware y cambió todas las credenciales, medidas clave para recuperar el control.
Además, se abordó el papel dual de la inteligencia artificial en estos escenarios. Andy usó ChatGPT para detectar software malicioso y evaluar configuraciones sospechosas, mientras que los atacantes pudieron haber usado IA para generar malware polimórfico, correos de phishing o estructuras de estafa más convincentes. La IA, entonces, puede ser tanto escudo como espada en la nueva era de la ciberseguridad.
El caso del malware LoJax, atribuido al grupo APT28, es un ejemplo real de un rootkit de UEFI utilizado en ataques dirigidos. La única solución fiable suele ser un “re-fl asheo” del fi rmware, un proceso técnico que implica sobrescribir el código corrupto con una versión limpia del fabricante, algo que no está exento de riesgos, y que no es simple para el usuario común.
Expansión del ataque a redes sociales e ingeniería social
Una vez dentro del ecosistema digital de Andy, los atacantes extendieron su acción a las redes sociales. Desde el cambio de su perfil profesional en LinkedIn a uno falso vinculado a servicios de escort, hasta el uso de su cuenta de Discord para enviar enlaces de phishing a sus contactos, la suplantación de identidad se convirtió en una herramienta para estafar a terceros.
Este tipo de ingeniería social explota la confianza de la audiencia, amplificando el daño. El caso destaca la importancia de auditar permisos de administrador, revisar sesiones activas y monitorear accesos en todas las plataformas luego de una intrusión.
Incluso tras medidas correctivas, el acceso persistente puede mantenerse si no se eliminan todos los puntos de control alternativos establecidos por los atacantes.
Finalmente, se detallaron prácticas preventivas esenciales: desconectar dispositivos infectados, realizar limpiezas profundas con herramientas antimalware, resetear routers, adoptar autenticación robusta y educar a los usuarios para detectar señales de estafas. La historia de Andy, más allá de su tragedia inicial, se transforma en un completo manual de defensa digital.
El ataque que nos concierne no concluyó con el robo de activos. Inmediatamente después, comenzó una segunda fase dirigida a la comunidad del streamer. Los ciberdelincuentes crearon perfiles falsos en redes sociales, usando nombres de usuario casi idénticos y su imagen para estafar a sus seguidores.
Encuentra la versión completa de la publicación en la que se basa este resumen, con todos los detalles técnicos en RedUSERS PREMIUM
También te puede interesar:
PALISADE POLICIA DE LA IA
Este informe de Palisade Research expone los riesgos operacionales y de seguridad que presentan los modelos de inteligencia artificial avanzada, con un enfoque en su capacidad para ejecutar acciones ofensivas de forma autónoma y resistirse a órdenes de apagado.
Lee todo lo que quieras, donde vayas, contenidos exclusivos por una mínima cuota mensual. Solo en RedUSERS PREMIUM: SUSCRIBETE!
