Matthew Abiodun Akande operó durante cinco años desde México, utilizando correos de phishing y el troyano Warzone RAT para infiltrar redes de consultoras fiscales en EE. UU. La operación resultó en el robo de datos personales de cientos de contribuyentes para solicitar devoluciones fraudulentas.
Matthew Abiodun Akande, un ciudadano nigeriano de 37 años, fue sentenciado esta semana a ocho años de prisión federal por su papel central en una sofisticada campaña de ciberfraude que operó durante cinco años. Akande orquestó la intrusión en las redes de múltiples firmas de preparación de impuestos en Massachusetts, robando datos personales de contribuyentes para luego solicitar más de $8.1 millones en devoluciones fraudulentas, de los cuales logró obtener exitosamente al menos $1.3 millones.
La sentencia, dictada por un Tribunal de Distrito de EE. UU., culmina un caso que expone una metodología de ataque dirigida y paciente. Según el comunicado oficial del Departamento de Justicia de EE. UU., Akande y sus cómplices iniciaban el ataque enviando correos de phishing a las empresas objetivo. Estos correos suplantaban la identidad de un potencial cliente, específicamente un director ejecutivo de una firma de ingeniería de Massachusetts, para generar un alto grado de credibilidad y engañar a los empleados de las firmas contables.
El vector de infección principal era un enlace a Dropbox incluido en los correos fraudulentos. Al hacer clic, las víctimas descargaban lo que creían ser documentos fiscales del año anterior del supuesto cliente, pero en realidad se trataba de un archivo ejecutable disfrazado. Este archivo instalaba sigilosamente el troyano de acceso remoto (RAT) conocido como Warzone RAT en los sistemas de las firmas contables. Para evadir la detección, Akande utilizó un "crypter", un software diseñado para ofuscar el código del malware y hacerlo indetectable para las soluciones antivirus tradicionales que las empresas pudieran tener instaladas.
Una vez dentro de las redes, Akande utilizaba el Warzone RAT para exfiltrar información personal identificable (PII) de los clientes de las firmas, incluyendo nombres completos, fechas de nacimiento, números de Seguro Social y datos fiscales de años anteriores. Con esta información sensible en su poder, el grupo criminal presentó más de 1,000 declaraciones de impuestos fraudulentas. Los documentos judiciales del caso detallan que los reembolsos obtenidos ilegalmente se depositaban en cuentas bancarias controladas por cómplices en Estados Unidos. Posteriormente, el dinero era retirado en efectivo y una porción significativa se transfería a terceros en México, donde Akande residía durante la mayor parte de la operación delictiva.
La campaña de fraude se extendió desde junio de 2016 hasta junio de 2021. La investigación multinacional culminó con el arresto de Akande en el aeropuerto de Heathrow en Londres en octubre de 2024, mientras se encontraba en tránsito. Fue extraditado a Estados Unidos en marzo de 2025 para enfrentar los 33 cargos en su contra, que incluían conspiración para cometer fraude, fraude electrónico, acceso no autorizado a computadoras protegidas y robo de identidad agravado, de los cuales se declaró culpable.
Más allá de las cifras millonarias, este caso subraya el impacto humano directo de las brechas de datos en la cadena de suministro de servicios profesionales. Los verdaderos afectados son los cientos de contribuyentes cuya información personal fue comprometida, exponiéndolos a años de posibles problemas de robo de identidad y fraude crediticio. Asimismo, las pequeñas y medianas empresas, como las firmas contables, se confirman como un objetivo de alto valor, vistas por los ciberdelincuentes como un punto de acceso centralizado a datos sensibles. La sentencia de Akande también incluye tres años de libertad supervisada y una orden de restitución de casi $1.4 millones.
FUENTE ORIGINAL
Department of Justice↗CURADO POR
Santiago Torres