El hacker de 18 años que filtró el GTA VI fue condenado a prisión hospitalaria indefinida

Un joven de 18 años, identificado como Arion Kurtaj, fue condenado a una orden de internamiento hospitalario por tiempo indefinido tras filtrar clips del esperado videojuego Grand Theft Auto VI (GTA VI). El ciudadano, miembro importante de la banda internacional de hackers Lapsus$, tiene autismo y se le ha considerado un riesgo significativo para la sociedad por su habilidad y deseo de llevar a cabo crímenes cibernéticos.

Durante su tiempo en custodia, Kurtaj se mostró violento, con múltiples informes de lesiones o daños a la propiedad. Debido a su severo autismo, se determinó que no estaba en condiciones de enfrentar un juicio.

En cambio, a un jurado se le pidió determinar si había realizado los actos acusados, sin evaluar su intención criminal. Un informe de salud mental reflejó que Kurtaj tenía intenciones continuas de retornar al ciberdelito tan pronto le fuera posible, y que estaba altamente motivado para ello.

El joven había infringido las normas de su libertad bajo fianza en el proceso por hackear a Nvidia y BT/EE, mientras se encontraba en protección policial en un hotel Travelodge, desde donde ejecutó su hackeo más infame. A pesar de haberle confiscado su computadora portátil, logró vulnerar los sistemas de Rockstar, la empresa detrás de GTA, utilizando un Amazon Firestick, el televisor de su habitación y un teléfono móvil.

Kurtaj robó 90 videos del por aquel entonces inédito y muy esperado Grand Theft Auto VI. Incluso llegó a irrumpir en el sistema de mensajería interna Slack de la compañía, exigiendo un contacto a través de Telegram en menos de 24 horas o, de lo contrario, comenzaría a compartir el código fuente del juego. Posteriormente, publicó los clips y el código en un foro con el nombre de usuario TeaPotUberHacker, acción que llevó a su posterior detención y retención hasta el juicio.

Este mes, un tráiler de GTA VI fue lanzado, obteniendo más de 128 millones de visualizaciones en YouTube en tan solo cuatro días. Durante las audiencias de la sentencia, la defensa de Kurtaj argumentó que el éxito del tráiler demostraba que el hackeo no había causado un daño grave al desarrollador del juego. Sin embargo, la jueza refutó que hubo víctimas reales y daños significativos por sus múltiples hackeos en colaboración con Lapsus$.

Solo a Rockstar Games, el hackeo le costó aproximadamente USD 5 millones en recuperación, además de incontables horas de trabajo de sus empleados. Otro miembro de Lapsus$, de 17 años y cuya identidad se mantiene en reserva por ser menor de edad, fue declarado culpable en el mismo juicio y sentenciado a una Orden de Rehabilitación Juvenil de 18 meses, que incluye supervisión intensiva y la prohibición del uso de VPNs en línea.

La banda de ciberdelincuentes Lapsus$, que perpetró audaces ataques en 2021 y 2022, originaria del Reino Unido y supuestamente de Brasil, fue descrita en la corte como “bandidos digitales”. Aunque se cree que otros miembros están aún en libertad, Kurtaj y el menor son los primeros en ser condenados.

Los ataques de este grupo, compuestos mayormente por adolescentes, conmocionaron al mundo de la ciberseguridad. Utilizaban trucos semejantes a los de los estafadores, junto con hackeos, para acceder a corporaciones multinacionales como Microsoft y el grupo bancario digital Revolut. Celebraban sus crímenes de manera pública y burlándose de las víctimas en la aplicación de red social Telegram en inglés y portugués.