jueves, julio 9, 2026
Publicidad

Publicidad

El Intruso en la Custodia Federal: Cómo el Hijo de un Contratista Desvió 46 Millones de Dólares de los US Marshals a sus Billeteras Personales

Las opiniones expresadas en esta publicación son responsabilidad exclusiva de quien lo firma y no reflejan necesariamente la postura de TecFuturo. Asimismo, Tec Futuro no se hace responsable del contenido de las imágenes o materiales gráficos aportados por los autores.
Publicidad

Crónica de Seguridad de Infraestructuras y Auditoría Blockchain para TECFUTURO

La mayor amenaza para una infraestructura crítica no siempre procede de sofisticados grupos de ciberdelincuentes ni de vulnerabilidades desconocidas. En numerosas investigaciones forenses, el origen del incidente se encuentra en un factor mucho más difícil de controlar: los accesos privilegiados concedidos a personas de confianza y la ausencia de mecanismos eficaces de supervisión.

El caso que investiga actualmente la justicia estadounidense ilustra con claridad este escenario. Según la acusación, John Dagita, un empleado de una empresa contratista vinculada a los U.S. Marshals Service (USMS), habría aprovechado sus permisos de acceso para desviar más de 46 millones de dólares en criptomonedas bajo custodia federal.

Más allá de la cuantía económica, el caso plantea una cuestión esencial para cualquier organización que gestione activos digitales de alto valor: ¿hasta qué punto puede confiarse la custodia de información crítica a terceros sin controles independientes?

Una investigación que comenzó fuera del sistema oficial

Publicidad

Paradójicamente, las primeras señales del presunto fraude no surgieron durante una auditoría interna.

La investigación comenzó cuando el propio sospechoso, conocido en comunidades digitales con el alias «Lick», publicó en un grupo de Telegram capturas que mostraban el control de una cartera con aproximadamente 23 millones de dólares en activos digitales.

Aquella exhibición despertó el interés de varios analistas especializados en blockchain, acostumbrados a seguir movimientos de grandes cantidades de criptomonedas y a identificar operaciones inusuales mediante herramientas de análisis de cadenas de bloques.

Entre ellos se encontraba el investigador independiente ZachXBT, ampliamente reconocido por sus investigaciones sobre delitos relacionados con activos digitales.

- Advertisement -

El acceso que abrió la puerta

De acuerdo con la documentación judicial conocida hasta el momento, John Dagita trabajaba para Command Services & Support, empresa tecnológica establecida en Virginia y presidida por su padre, Dean Dagita.

La compañía mantenía contratos con distintas agencias federales estadounidenses para prestar servicios tecnológicos y de soporte, incluidos proyectos relacionados con la administración de activos digitales confiscados por las autoridades.

Entre 2020 y 2026, la empresa obtuvo contratos públicos valorados en aproximadamente 7,8 millones de dólares, participando en tareas vinculadas a la gestión y almacenamiento seguro de criptomonedas incautadas en investigaciones criminales.

Precisamente esa relación contractual permitió que determinados empleados dispusieran de credenciales legítimas para acceder a sistemas de administración de dichos activos.

Según la acusación, John Dagita habría utilizado esos permisos para realizar transferencias no autorizadas desde carteras bajo custodia gubernamental hacia direcciones bajo su control.

Gran parte de los fondos procedían de las criptomonedas confiscadas tras el histórico ataque contra Bitfinex en 2016, uno de los mayores robos de activos digitales registrados hasta la fecha.

El seguimiento de la blockchain

La propia naturaleza pública de las redes blockchain permitió reconstruir el recorrido del dinero.

Durante su investigación, ZachXBT identificó una dirección que almacenaba aproximadamente 12.440 ETH, valorados entonces en más de 36 millones de dólares.

Mediante el análisis conjunto de transacciones, cronologías y otras evidencias digitales disponibles públicamente, el investigador consiguió relacionar esa cartera con el sospechoso.

Posteriormente, la información fue remitida a las autoridades estadounidenses, que iniciaron una investigación criminal para determinar el alcance completo del presunto desvío de fondos.

El caso vuelve a demostrar el enorme valor probatorio de la tecnología blockchain cuando se combina con metodologías rigurosas de inteligencia de fuentes abiertas (OSINT) y análisis forense digital.

La fuga y la detención

Según la documentación judicial, John Dagita abandonó Estados Unidos a finales de febrero de 2026 y se trasladó a la isla caribeña de Saint-Martin.

Pocos días después fue localizado durante una operación desarrollada conjuntamente por las autoridades francesas y agentes estadounidenses.

Actualmente permanece detenido en territorio francés mientras continúan los procedimientos judiciales y las actuaciones relacionadas con una posible extradición a Estados Unidos.

Hasta la fecha, las autoridades no han comunicado públicamente la presentación de cargos contra otros miembros de la empresa contratista, ni han confirmado si la investigación se extenderá a posibles responsabilidades corporativas relacionadas con la gestión de accesos o los controles internos.

Cuando el riesgo procede del interior

Desde una perspectiva de ciberseguridad, este caso trasciende el supuesto fraude económico.

Pone de manifiesto una realidad que afecta tanto a organismos públicos como a empresas privadas: disponer de tecnologías avanzadas resulta insuficiente cuando los controles sobre identidades privilegiadas no son capaces de detectar comportamientos anómalos.

Los ataques internos continúan figurando entre los incidentes de mayor impacto porque el usuario autorizado conoce los procesos, comprende el funcionamiento de los sistemas y, en muchas ocasiones, opera con un nivel de confianza superior al que tendría un atacante externo.

Por ello, los marcos actuales de seguridad recomiendan complementar la autenticación multifactor con controles adicionales como la segregación de funciones, la gestión de accesos privilegiados (PAM), la supervisión continua de actividades, el registro inalterable de operaciones y la aplicación del principio de mínimo privilegio.

Una lección para la gestión de activos digitales

El presunto desvío de más de 46 millones de dólares bajo custodia federal recuerda que la protección de activos digitales no depende exclusivamente del cifrado, la infraestructura o las plataformas tecnológicas.

La verdadera resiliencia se construye mediante procesos de gobernanza sólidos, auditorías independientes y controles permanentes sobre quienes poseen capacidad para operar con información crítica.

En un contexto en el que administraciones públicas, entidades financieras y grandes organizaciones incrementan su exposición a activos digitales, la supervisión de proveedores externos y de usuarios con privilegios elevados deja de ser una recomendación para convertirse en un requisito esencial de cualquier estrategia moderna de ciberseguridad.

El caso de los US Marshals constituye un recordatorio de que la confianza, cuando no va acompañada de mecanismos eficaces de verificación y auditoría, puede convertirse en el principal punto de vulnerabilidad de una organización.

Publicidad

Publicidad

Publicidad
Publicidad
Publicidad


Lo más leido