Condenado a 30 meses de prisión por vender acceso a miles de cuentas hackeadas de DraftKings
Introducción
Un tribunal federal de Tennessee ha sentenciado a Kamerin Stokes, de 23 años y residente en Memphis, a 30 meses de prisión tras declararse culpable de cometer fraude informático al comercializar accesos ilegítimos a decenas de miles de cuentas comprometidas de DraftKings, una de las principales plataformas de apuestas deportivas y fantasy en línea de Estados Unidos. Este caso pone de manifiesto el creciente mercado negro de credenciales y la sofisticación de los ataques dirigidos a servicios digitales de alto valor, así como la necesidad de reforzar las estrategias de gestión de identidades y accesos (IAM) en el sector de ocio online.
Contexto del Incidente
Entre mayo y noviembre de 2022, Stokes formó parte de una red delictiva dedicada a la obtención y venta de credenciales robadas pertenecientes a usuarios de DraftKings. El grupo aprovechó técnicas de credential stuffing, utilizando colecciones de credenciales expuestas en filtraciones previas para automatizar ataques de acceso a cuentas. Una vez identificadas las cuentas válidas, los atacantes procedieron a la venta de estos accesos en foros clandestinos y mercados de la dark web, donde los compradores podían vaciar los saldos o reutilizar los datos en otros servicios.
El ataque coincidió con una oleada de incidentes similares que afectaron a otras plataformas de apuestas y juegos online, generando pérdidas millonarias y comprometiendo la confianza de los usuarios. DraftKings, por su parte, admitió que aproximadamente 68.000 cuentas fueron vulneradas durante este periodo, lo que se tradujo en reembolsos por un valor total de 600.000 dólares.
Detalles Técnicos
El vector principal de ataque fue el credential stuffing, un método ampliamente documentado por MITRE ATT&CK (T1110.003 – Credential Stuffing), que explota la reutilización de contraseñas por parte de los usuarios y la falta de autenticación multifactor (MFA) obligatoria en los servicios afectados. Stokes y sus cómplices emplearon herramientas automatizadas, como Sentry MBA, SNIPR o modulos personalizados para frameworks como OpenBullet, que permiten probar millones de combinaciones usuario:contraseña en cuestión de horas.
Una vez obtenidas las credenciales válidas, estas fueron monetizadas en foros como Genesis Market o Telegram, donde los precios por cuenta oscilaban entre 2 y 10 dólares en función del saldo y la antigüedad. Además, se han identificado indicadores de compromiso (IoC) asociados al caso, como listas de direcciones IP de proxys utilizados para eludir detecciones, patrones de user-agent y hashes de contraseñas filtradas.
No hay constancia de que se haya utilizado malware avanzado o exploits zero-day, sino que la campaña se apoyó principalmente en la automatización y en la ingeniería social para sortear los controles de seguridad de DraftKings.
Impacto y Riesgos
El impacto del incidente es significativo tanto en términos económicos como reputacionales. Los 68.000 usuarios afectados sufrieron accesos no autorizados a sus cuentas, con la consiguiente sustracción de fondos y exposición de datos personales (nombres, correos electrónicos, direcciones, información de pago). DraftKings tuvo que asumir los reembolsos y reforzar sus controles de seguridad, mientras que el incidente puso en entredicho la madurez de sus procesos de gestión de identidades.
Entre los riesgos más destacados figuran el fraude financiero, el robo de identidad, la posibilidad de ataques posteriores mediante spear phishing y la venta cruzada de datos personales en otros mercados clandestinos. Además, el incidente ha llamado la atención de reguladores estadounidenses y europeos, que exigen a las plataformas de apuestas el cumplimiento normativo con marcos como la GDPR y la inminente NIS2.
Medidas de Mitigación y Recomendaciones
A raíz del incidente, DraftKings implementó medidas adicionales como la obligatoriedad de MFA para el acceso a cuentas, monitorización reforzada de accesos sospechosos, y la colaboración con fuerzas de seguridad para la identificación de responsables. Los expertos recomiendan:
– Imponer autenticación multifactor por defecto en todas las cuentas.
– Monitorizar en tiempo real intentos de acceso anómalos y patrones de credential stuffing (por ejemplo, mediante SIEM y machine learning).
– Realizar campañas de concienciación para usuarios sobre la importancia de contraseñas únicas.
– Integrar servicios de detección de credenciales filtradas (p.ej., Have I Been Pwned o servicios de Threat Intelligence).
– Realizar auditorías regulares sobre la superficie de exposición y la postura de seguridad IAM.
Opinión de Expertos
Analistas de ciberamenazas subrayan que el credential stuffing sigue siendo una de las principales amenazas para servicios con grandes bases de usuarios y valiosos activos digitales. “La automatización de ataques y la abundancia de bases de datos filtradas hacen que cualquier plataforma sin MFA sea un objetivo fácil”, señala Fernando M. Porras, CISO de una consultora líder en ciberseguridad. “La inversión en prevención, detección y respuesta rápida es fundamental para evitar daños económicos y regulatorios”.
Implicaciones para Empresas y Usuarios
El caso DraftKings refuerza la urgencia de elevar los estándares de autenticación y monitorización de accesos en plataformas de apuestas, banca online y cualquier servicio de valor. La adopción de MFA y el control de contraseñas reutilizadas no es solo una recomendación, sino una exigencia regulatoria bajo GDPR (art. 32) y será aún más relevante con la entrada en vigor de NIS2 en la UE.
Para los usuarios, el mensaje es claro: nunca reutilizar contraseñas, activar MFA en todos los servicios críticos y permanecer alerta ante intentos de phishing o accesos sospechosos.
Conclusiones
La condena a Kamerin Stokes subraya la capacidad de las fuerzas de seguridad para perseguir delitos informáticos transnacionales, pero también evidencia la necesidad urgente de fortalecer los mecanismos de seguridad en plataformas online con grandes volúmenes de usuarios. Credential stuffing sigue siendo una amenaza vigente y rentable para los ciberdelincuentes, por lo que la protección debe basarse en la combinación de tecnología, procesos y concienciación.
(Fuente: www.bleepingcomputer.com)