El Departamento de Justicia de Estados Unidos, la Oficina Federal de Investigaciones (FBI) y la Oficina Nacional de Investigaciones de Finlandia lanzaron recientemente una operación conjunta y arrestaron con éxito a un hombre de 19 años sospechoso de participar en uno de los grupos de delitos cibernéticos más grandes del mundo en el aeropuerto de Helsinki en Finlandia. Según datos revelados por el Departamento de Justicia de Estados Unidos, el grupo de hackers, llamado Scattered Spider, ha extorsionado anteriormente más de 100 millones de dólares en pagos de rescate mediante ataques de ransomware.

El sospechoso arrestado esta vez se llama Peter Stokes, quien tiene doble ciudadanía de Estados Unidos y Estonia. En el momento del incidente, intentaba abordar en Helsinki un vuelo con destino a Japón, pero fue interceptado por agentes del orden antes de abordar el avión. La policía encontró una gran cantidad de pruebas criminales extremadamente incriminatorias en dos discos duros que llevaba consigo.
El desencadenante directo que llevó al arresto de Stokes fue el ciberataque lanzado por el grupo a un joyero de lujo en Estados Unidos en mayo de 2025. En ese momento, el atacante utilizó Google Voice para llamar al servicio de TI del joyero, haciéndose pasar por un empleado de la empresa, y engañó con éxito al técnico para que restableciera las credenciales de la cuenta. La medida resultó en el compromiso de tres cuentas corporativas, dos de las cuales también tenían derechos de administrador. Posteriormente, los pandilleros, incluido Stokes, robaron datos importantes, los cifraron y extorsionaron al joyero en criptomonedas por valor de 8 millones de dólares. Aunque el joyero finalmente recuperó el control del sistema y se negó a pagar el rescate, la prolongada interrupción del negocio resultó en aproximadamente $2 millones en pérdidas operativas. Esto también impulsó a los fiscales y funcionarios encargados de hacer cumplir la ley a comenzar a seguir las pistas y lanzar un seguimiento transfronterizo.
Durante la investigación del caso, el gigante tecnológico Microsoft brindó una ayuda clave. Microsoft proporcionó al FBI los datos denominados "Identificador global de dispositivo" (GDID). GDID es un número de identificación único asignado a cada dispositivo con Windows instalado y se utiliza para rastrear datos de telemetría de un dispositivo específico. Los documentos judiciales muestran que Stokes utilizó el sistema Windows 11 durante el crimen. Fue a través de esta firma que los investigadores asociaron con éxito sus dispositivos de hardware físico con actividades de red y ubicaciones geográficas específicas. Los datos proporcionados por Microsoft abrieron la línea de tiempo y registraron en detalle pistas importantes como las actividades de red de Stokes, el historial de juegos en línea, la dirección IP, el uso de herramientas (incluido Ngrok) y el estado de Azure.
De hecho, ya en 2024, las autoridades policiales ya conocían la verdadera identidad de Stokes. Sin embargo, como en ese momento todavía era menor de edad y llevaba mucho tiempo viviendo entre Estonia y los Emiratos Árabes Unidos, la policía optó por vigilarlo en secreto y no cerró la red hasta ese momento. La denuncia penal oficial también incluía una pieza irónica de evidencia física: Stokes una vez publicó una selfie en Snapchat en la que se cubría la cara con docenas de billetes de cien dólares. Basándose en el estilo del papel tapiz, la alfombra y los muebles del fondo de la foto, la policía determinó con precisión que el lugar donde fue tomada era el Empire Hotel en Nueva York. Los registros muestran que visitó el sitio web oficial del hotel en Alemania y luego voló a Nueva York.
Stokes ha sido extraditado a Estados Unidos tras ser arrestado en Finlandia. El 30 de junio de 2026 compareció ante el tribunal federal de Chicago por primera vez. Stokes todavía está bajo custodia policial y enfrenta cargos de conspiración, intrusión cibernética y fraude.