Dentro del golpe a DraftKings: Cómo un trío de jóvenes hackers saqueó 60,000 cuentas de deportes de fantasía

En un día tranquilo en Farmington, Minnesota, Nathan Austad - mejor conocido en línea como “Snoopy” - se enfrentó a un juez federal y admitió su participación en una trama cibernética que trastocó la vida de miles de aficionados a los deportes de fantasía. El joven de 21 años es el tercer hacker en declararse culpable por un masivo ataque de credential stuffing que vació cuentas y expuso el peligro de reutilizar contraseñas en la era digital.

Anatomía de un atraco digital

El plan, revelado en documentos judiciales, era tan simple como devastador: Austad y sus cómplices reunieron nombres de usuario y contraseñas robados de filtraciones previas de datos, y luego lanzaron un ataque de credential stuffing contra un sitio de apuestas no identificado - que se cree es DraftKings. Los atacantes explotaron un hábito común: las personas que usan las mismas credenciales de inicio de sesión en múltiples sitios.

Una vez dentro, los hackers añadían sus propios métodos de pago a las cuentas de las víctimas. En cuestión de días, desviaron aproximadamente $600,000 de usuarios desprevenidos, a menudo antes de que alguien se diera cuenta. Las credenciales robadas se convirtieron en un bien codiciado en los mercados clandestinos, con el propio Austad operando una de estas tiendas ilícitas. Carteras de criptomonedas controladas por Austad recibieron cerca de $465,000 en activos virtuales, evidencia tanto de la escala como de la sofisticación de la operación.

Los fiscales revelaron que Austad era plenamente consciente de la persecución policial, llegando incluso a enviar mensajes a sus cómplices sobre la investigación en curso. A pesar de las señales de advertencia, el rastro digital del grupo finalmente condujo a sus arrestos. El Departamento de Justicia ha señalado rápidamente que el credential stuffing sigue siendo una amenaza persistente, citando una nueva ola de ataques contra usuarios de DraftKings tan reciente como en octubre de 2025.

Credential Stuffing: El cibercrimen que no muere

Los ataques de credential stuffing son especialmente peligrosos porque explotan la naturaleza humana. Cuando los usuarios reciclan contraseñas en múltiples plataformas, una brecha en un sitio puede desencadenar pérdidas en otros. El incidente de DraftKings es un recordatorio contundente de que incluso las marcas más conocidas son vulnerables cuando los usuarios no adoptan credenciales fuertes y únicas y cuando las empresas carecen de defensas robustas como la autenticación multifactor.

Mientras Austad enfrenta hasta cinco años de prisión y sus cómplices ya han recibido sentencias, el problema de fondo persiste. Mientras los nombres de usuario y contraseñas sigan siendo las llaves de nuestra vida digital, el credential stuffing continuará acechando tanto a consumidores como a empresas.