Hay errores que acaban convirtiéndose en una mina de oro para los investigadores. En el mundo de la ciberdelincuencia es habitual ver campañas complejas, ciberataques muy elaborados y grupos capaces de ocultar su rastro durante años. Sin embargo, de vez en cuando surge algún que otro caso tan insólito que parece sacado de una serie de ciberespías torpes. Un buen ejemplo es este, el de los cibermalos que se grabaron en Teams.
Ocurrió en Estados Unidos y terminó con dos atacantes dejando registrada, paso a paso, la planificación de su propio delito durante una videollamada que seguía grabándose en Microsoft Teams.
La historia, que ha trascendido a raíz de documentos judiciales y publicaciones especializadas, ha acabado convirtiéndose en un episodio surrealista y más propio de dos profesionales sin muchas luces al respecto.
Un despido que terminó en sabotaje digital
Los protagonistas fueron Muneeb y Sohaib Akhter, hermanos gemelos de 34 años residentes en Arlington, Virginia. Ambos trabajaban como desarrolladores para Opexus, una compañía tecnológica que presta servicios digitales a organismos públicos estadounidenses. Entre sus clientes figuraban diferentes agencias gubernamentales y departamentos federales.
Los dos acumulaban antecedentes relacionados con actividades fraudulentas y arrastraban un historial de pequeños delitos tecnológicos. Habían protagonizado acciones relacionadas con fraudes digitales y otros abusos informáticos, algunos apoyados incluso en herramientas de inteligencia artificial.
Hasta ese momento, sin embargo, sus acciones no habían tenido un impacto comparable al que acabaría produciéndose después.
El punto de inflexión llegó el 18 de febrero de 2025. La empresa decidió comunicarles el despido mediante una reunión por videollamada organizada por el departamento de recursos humanos. La sesión apenas duró unos minutos, pero ese encuentro iba a desencadenar una cadena de acontecimientos completamente inesperada.
El error que cambió completamente el caso
Lo que parecía una simple reunión de despido escondía un detalle decisivo. Tras aproximadamente dos minutos y cuarenta segundos, la persona encargada de recursos humanos abandonó la llamada. Lo que nadie imaginaba es que la reunión seguía activa y el sistema continuó grabando durante casi una hora adicional.
Los dos hermanos permanecieron conectados.
Durante ese tiempo comenzaron a hablar libremente sobre represalias contra la compañía. Lo hicieron convencidos de que la conversación era privada y sin sospechar que cada palabra estaba quedando almacenada.
Aquella grabación acabó incorporándose posteriormente al procedimiento judicial.
El contenido recogido por los investigadores muestra cómo ambos discutieron diferentes escenarios, incluyendo amenazas a clientes, sabotajes y formas de borrar cualquier evidencia posterior. La situación terminó convirtiéndose en un auténtico manual del error criminal.
El acceso seguía abierto y las consecuencias fueron inmediatas
El siguiente problema fue todavía más grave. Uno de ellos descubrió que seguía manteniendo acceso a la infraestructura interna de Opexus porque las credenciales todavía no habían sido completamente revocadas.
En ciberseguridad, este tipo de fallos es una pesadilla habitual para muchas compañías. Numerosos estudios sobre gestión de identidades advierten de que los accesos de empleados salientes pueden mantenerse activos durante horas o incluso días si los procedimientos de desconexión no están automatizados.
Aprovechando esa ventana temporal, uno de los hermanos inició un ataque contra las plataformas internas.
Según la investigación, llegaron a eliminar 96 bases de datos vinculadas a organismos públicos estadounidenses. Además de los datos principales, también habrían intentado borrar copias de seguridad.
Entre los sistemas afectados figuraban entornos relacionados con el Departamento de Educación, el Departamento de Seguridad Nacional y el Departamento de Asuntos de Veteranos.
La pérdida de información afectó a listados sensibles pertenecientes a la administración federal estadounidense.
Una conversación que terminó convirtiéndose en prueba judicial
Uno de los momentos más llamativos aparece cuando ambos debaten posibles medidas de presión contra su antigua empresa.
SOHAIB: «Chantajearlos para sacarles algo de dinero habría sido…»
MUNEEB: «No, eso no se hace. Es una prueba de culpabilidad.»
SOHAIB: «No, pero la cuestión es que tú siempre tienes tu opinión; yo podría haberme puesto en contacto directamente con sus clientes.»
La conversación continúa evolucionando y poco después aparecen referencias directas a la eliminación de información.
SOHAIB: «Entra en cada una de ellas y empieza el proceso de eliminación. Tardará un rato… Al final se borrarán todos sus archivos.»
La naturalidad con la que ambos intercambian instrucciones llamó especialmente la atención de los investigadores. Lejos de utilizar códigos o lenguaje ambiguo, hablaban con absoluta claridad sobre los pasos a seguir.
Incluso discutieron cómo huir
La situación alcanzó un nivel todavía más raro en Teams cuando ambos empezaron a hablar sobre una posible actuación policial y cómo podrían evitarla.
SOHAIB: «Probablemente vayan a hacer una redada aquí.»
MUNEEB: «Bah, yo me encargo de limpiar esto. Yo no tengo nada.»
SOHAIB: «También tenemos que limpiar la otra casa.»
MUNEEB: «Deshazte de eso.»
SOHAIB: «Borrar sus sistemas de archivos sería más complicado.»
MUNEEB: «Mmm, sobre todo si lo limpias todo.»
MUNEEB: «Todo lo que he hecho, me aseguro de que esté protegido. De que esté limpio.»
MUNEEB: «No te preocupes, nos iremos a Texas.»
La conversación completa fue transcrita y acabó incorporándose al expediente judicial. Paradójicamente, el intento de ocultar pruebas terminó generando nuevas evidencias contra ellos.
Los accesos a trabajadores tras los despidos
Más allá del componente casi cómico de esta historia, el caso deja un mensaje y una lección para las organizaciones. La gestión de accesos tras despidos o salidas laborales sigue siendo uno de los puntos débiles más frecuentes en seguridad corporativa.
Y es que, hay casos que antiguos empleados y personal con privilegios se encuentran entre las principales fuentes de incidentes graves.
En este caso concreto, el ataque podría haber parecido obra de un grupo externo sofisticado. Sin aquella grabación accidental, probablemente habría resultado mucho más difícil reconstruir lo sucedido.
En el juicio celebrado recientemente, Sohaib fue declarado culpable. Muneeb reconoció inicialmente los hechos meses atrás, aunque posteriormente intentó retractarse mediante varias comunicaciones enviadas al juez. Los intentos no prosperaron y el caso sigue siendo uno de los episodios más peculiares vistos recientemente en el ámbito del cibercrimen.
