Un líder central del subconjunto de hackers de The Com, responsable de una serie de ataques de phishing y robos de criptomonedas de alto perfil desde septiembre de 2021 hasta abril de 2023, se declaró culpable de cargos federales, dijo el viernes el Departamento de Justicia.

Tyler Robert Buchanan de Dundee, Escocia, se declaró culpable hasta conspiración para cometer fraude electrónico y robo de identidad agravado. El joven de 24 años fue arrestado por la policía española en Palma en 2024 cuando intentaba abordar un vuelo chárter a Nápoles, Italia.

Buchanan ha estado bajo custodia federal desde abril de 2025 y enfrenta hasta 22 años de prisión federal en su sentencia, que está programada para el 21 de agosto.

El ciudadano británico y sus cómplices, incluido Noah Michael Urban, que fue sentenciado a 10 años de prisión federal el año pasado, recopilaron miles de credenciales mediante phishing y robaron más de 8 millones de dólares en criptomonedas de residentes estadounidenses mediante ataques de intercambio de SIM.

Las víctimas incluyeron personas y empresas de alto patrimonio neto en los sectores de entretenimiento, telecomunicaciones, tecnología, subcontratación de procesos comerciales, TI, nube y moneda virtual, dijeron los funcionarios.

Buchanan y sus co-conspiradores formaban parte de un subconjunto agresivo de The Com acuñó Scattered Spider. Si bien The Com y sus filiales no operan con líderes formales en el sentido tradicional, Buchanan jugó un papel crucial en la operación, según Allison Nixon, directora de investigación de la Unidad 221B.

“[Buchanan] Fue el pegamento que mantuvo unida a esta pandilla. Su éxito en acabar con los ahorros de las víctimas lo convirtió en un objetivo tanto para las fuerzas del orden como para las bandas rivales Com”, dijo Nixon a CyberScoop.

“[Buchanan] es parte de una generación anterior que surgió de ciertos servidores de juegos tóxicos antes de la pandemia. La gente de esta generación aprendió a hackear para robar nombres de usuario vanidosos y acosar a niños antes de usarlo para robar los ahorros de la gente”, añadió.

Las autoridades federales presentaron cargos contra cinco personas con vínculos con el equipo de cibercrimen Scattered Spider en 2024. Los presuntos cómplices de Buchanan y Urban, Ahmed Hossam Eldin Elbadawy, Evans Onyeaka Osiebo y Joel Martin Evans, aún enfrentan cargos en el caso, dijeron los funcionarios.

Nixon elogió a las fuerzas del orden por actuar con decisión para arrestar a Buchanan durante un breve período de oportunidad mientras viajaba internacionalmente.

«Los miembros de la COM están obsesionados con los jets privados y las vacaciones en el extranjero, y los federales les quitaron ese sueño con un arresto», dijo.

La táctica, que los funcionarios estadounidenses también utilizan contra los ciberdelincuentes rusos, funciona porque la mayoría de los países están dispuestos a apoyar el arresto de delincuentes extranjeros, manteniéndolos así fuera de sus respectivas jurisdicciones, dijo Nixon.

«Como extranjero, se encontró en una situación legal más débil que si fuera arrestado en su país, y los casos que siguen esta táctica tienden a tener sentencias muy largas», añadió. «La conclusión para los miembros del Com que observan este caso es que los criminales extranjeros asociados con la violencia son la clase más baja en todos los países. Y eso es lo que son los miembros del Com cuando viajan».

El Departamento de Justicia dijo que Buchanan y sus cómplices defraudaron al menos a una docena de empresas y a sus empleados en todo Estados Unidos. Un dispositivo digital que la policía encontró en su residencia en abril de 2023 contenía datos personales de numerosos individuos y empresas víctimas, según su acuerdo de declaración de culpabilidad.

No está claro qué ocurrió entre esa búsqueda en abril de 2023 en Escocia y su arresto en junio de 2024 en una ciudad turística de la isla española de Mallorca. Además, su acuerdo de declaración de culpabilidad no incluye la totalidad de sus presuntos delitos.

Buchanan atrajo mucha atención y coordinó con éxito muchos ataques antes de que una pandilla rival Com supuestamente irrumpiera en su casa y usara un soplete contra él para obtener claves criptográficas adicionales en su poder, según Nixon.

Tras su arresto, la policía española dijo que Buchanan había obtenido el control de bitcoins por valor de más de 27 millones de dólares en ese momento.

Si bien los primeros líderes de Scattered Spider han sido arrestados o sentenciados por sus crímenes, otros han desempeñado esos roles con un impacto aún más excepcional.

El Com ha crecido hasta contar con miles de miembros, generalmente entre 11 y 25 años, divididos en tres subconjuntos principales que el FBI describe como Hacker Com, In Real Life Com y Extortion Com.

Los actos delictivos cometidos por estas múltiples redes interconectadas incluyen aplastamiento, extorsión y sextorsión de menores, producción y distribución de material de abuso sexual infantil, delitos violentos y varios otros delitos cibernéticos.

Puede leer la acusación contra Buchanan y algunos de sus cómplices a continuación.