El robo de criptomonedas de Michael Turpin: Cómo un adolescente de 15 años y una estafa de intercambio de SIM obtuvieron $24 millones

Cuando el inversor de criptomonedas Michael Turpin salió de una conferencia tecnológica en 2020, no tenía idea de que su vida digital estaba a punto de ser desmantelada metódicamente por un grupo de adolescentes al otro lado del país. Lo que ocurrió en las horas siguientes se convertiría en uno de los robos de criptomonedas más audaces de la historia: un atraco de 24 millones de dólares orquestado en gran parte por un adolescente de 15 años llamado Ellis Pinsky. El incidente reveló vulnerabilidades críticas en la seguridad de las telecomunicaciones y demostró cómo la riqueza en blockchain podía ser objetivo y drenada mediante tácticas de ingeniería social sorprendentemente simples.

La tormenta perfecta: cómo Ellis Pinsky apuntó a un inversor en criptomonedas

El ataque comenzó con el teléfono de Michael Turpin. Ellis Pinsky y sus asociados habían hecho su tarea. Sobornaron a empleados de una importante compañía de telecomunicaciones para transferir el número de Turpin a una tarjeta SIM bajo su control, una técnica conocida como cambio de SIM. Este acto simple les dio acceso a algo mucho más valioso que una línea telefónica: las llaves de la identidad digital de Turpin.

Una vez controlaron el número, Ellis desplegó una serie de scripts desde una llamada de Skype que raspaban sistemáticamente las cuentas en línea de Turpin. Correos electrónicos, archivos en la nube, opciones de recuperación de contraseña: todo se volvió accesible para los atacantes. Buscaban credenciales de billeteras de criptomonedas, las claves privadas que desbloqueaban fortunas digitales. La escala de lo que encontraron fue asombrosa: 900 millones de dólares en Ethereum distribuidos en varias billeteras. Pero había un problema. La mayoría estaban protegidas por medidas de seguridad que no pudieron sortear.

Entonces profundizaron más. Buscaron tenencias en Bitcoin, cuentas adicionales de Ethereum, cualquier activo cripto accesible. Pasaron horas comprometiendo cuenta tras cuenta, moviéndose por la infraestructura digital de Michael Turpin como si fueran probadores de penetración experimentados. Luego la encontraron: una billetera de 24 millones de dólares que no estaba protegida. Era accesible y, en cuestión de momentos, desapareció.

Dentro del esquema de cambio de SIM: la explotación técnica

El ataque de cambio de SIM que victimó a Michael Turpin representa uno de los métodos más efectivos—y evitables—para comprometer a titulares de criptomonedas de alto patrimonio. Así funciona el esquema:

Paso 1: Ingeniería social - Los atacantes convencen a empleados de la compañía de telecomunicaciones para transferir el número de teléfono del objetivo a una nueva SIM. Esto generalmente implica pretexting (falsificar quiénes son) o, en el caso de Ellis, ofrecer incentivos económicos a los empleados.

Paso 2: Secuestro de autenticación - Una vez controlan el número, reciben todos los códigos de autenticación de dos factores (2FA) vía SMS. La mayoría de los intercambios de criptomonedas y proveedores de correo envían los códigos de recuperación de esta forma.

Paso 3: Toma de control de la cuenta - Con los códigos 2FA, los atacantes pueden restablecer contraseñas, acceder a cuentas de correo y, finalmente, llegar a los intercambios de criptomonedas donde se almacenan los fondos.

Paso 4: Retiro - El paso final es vaciar las billeteras antes de que los sistemas de seguridad detecten la intrusión.

En el caso de Turpin, Ellis actuó con precisión. El adolescente se había enseñado a hackear en foros, aprendiendo técnicas de inyección SQL y otros exploits. Ya había realizado operaciones pequeñas—vendiendo cuentas raras de Instagram por ganancias modestas. Pero esto era diferente. Esto era cripto, y los riesgos eran incomparables. En ese momento, BTC cotizaba alrededor de 68,328 dólares y ETH rondaba los 1,982 dólares. El valor en dólares de robar activos digitales superaba con creces cualquier intento previo de Ellis.

El adolescente convertido en millonario: cómo gastó los 24 millones de dólares

Ellis Pinsky de repente era inmensamente rico. Pero seguía teniendo 15 años, viviendo en un apartamento ajustado en Nueva York, pensando como un adolescente. El dinero fue en direcciones predecibles: bienes de lujo, vida nocturna y esfuerzos por mantener su nuevo estatus entre los asociados que no participaron en el robo.

Compró un reloj Rolex de 100,000 dólares y lo escondió bajo su cama como un secreto. Gastó a lo grande en clubes nocturnos exclusivos. Tiraba dinero como si la oferta fuera infinita. Pero mantener un grupo de cómplices resultó difícil. Un compañero se llevó 1.5 millones en cripto robado. Otro enfrentó problemas personales y bromeó con contratar a alguien para cometer violencia. El grupo se fracturaba bajo presión y sospechas.

Ellis había construido su reputación con persistencia: un Xbox a los 13 años, ingreso a foros de hackers, aprender a programar, vender cuentas ilícitas en línea con éxito. Pero nada de eso lo preparó para gestionar una organización criminal, aunque fuera informal.

La desintegración: cómo la negligencia de Truglia llevó al FBI

La operación podría haber permanecido sin descubrir por más tiempo si no fuera por Truglia, co-conspirador de Ellis. La presión de haber robado millones, la paranoia, los conflictos interpersonales—todo se volvió demasiado. Truglia empezó a publicar en redes sociales sobre el robo, básicamente presumiendo del crimen en publicaciones como “Robé 24 millones. Aún no puedo mantener un amigo.”

Esta negligencia resultó catastrófica. Truglia cometió un error de novato: usó su nombre real en Coinbase al intentar mover o acceder a parte del cripto robado. La huella digital lo llevó directo a él, y de allí, a toda la operación. La investigación del FBI avanzó rápidamente. La ley tenía un objetivo claro, un rastro de transacciones y evidencia digital que lo vinculaba directamente con el crimen.

Truglia fue arrestado y finalmente cumplió prisión. Pero Ellis representaba un problema legal: era menor de edad. Aunque Michael Turpin había sido defraudado por 24 millones, el hecho de que el autor fuera menor complicó la persecución penal. Ellis no fue formalmente acusado. En cambio, se le ordenó devolver la mayor parte de los fondos robados—aunque no todos.

Turpin inició acciones civiles, presentando una demanda contra Ellis por aproximadamente 22 millones en daños. Pero antes de que esa demanda avanzara, ocurrió algo mucho más siniestro: hombres armados enmascarados entraron en la casa de Michael Turpin. Ya fuera relacionado o no con el robo, esto evidenció el peligro que conlleva ser víctima de un robo de alto perfil.

De ciberdelincuente a estudiante de filosofía: hoy, Ellis Pinsky

Hoy, Ellis Pinsky asiste a NYU, estudiando filosofía y ciencias de la computación. Ha declarado públicamente su intención de trabajar en startups legítimas y de pagar su deuda con Turpin y la sociedad en general. Ya sea que su transformación sea genuina o solo performativa, solo el tiempo lo dirá.

Lo que sí es seguro es el daño: Michael Turpin perdió 24 millones de dólares en un ataque de cambio de SIM orquestado por un menor. El incidente expuso cuán vulnerable puede ser incluso un inversor en cripto relativamente sofisticado ante ataques de ingeniería social. A los 15 años, Ellis había acumulado activos que la mayoría de los adultos nunca alcanzan, comprometió la seguridad de un inversor en criptomonedas y lanzó un crimen que marcaría su vida temprana.

El caso es una advertencia para la comunidad cripto: ninguna cantidad de protocolos de seguridad sofisticados puede superar un número de teléfono comprometido y el acceso a códigos 2FA por SMS. A medida que los activos digitales continúan creciendo en valor, también aumentarán la sofisticación y la desesperación de quienes buscan robárselos—a veces con cómplices apenas mayores de edad para conducir.