¿Alguna vez has notado cómo las mayores brechas de seguridad no siempre se deben a códigos sofisticados? Estaba leyendo sobre este caso que lo demuestra perfectamente — y, honestamente, es increíble.

Así que en julio de 2020, Twitter fue completamente comprometido. Pero no por alguna unidad cibernética rusa de élite o grupo APT sofisticado. Fue un adolescente. Un joven de 17 años de Tampa, Florida llamado Graham Ivan Clark con básicamente nada más que una laptop, un teléfono y la audacia suficiente para hacer sudar a Silicon Valley.

Esto fue lo que sucedió: El 15 de julio, las cuentas verificadas comenzaron a publicar mensajes idénticos. Elon Musk, Obama, Bezos, Apple, Biden — todos diciendo lo mismo. Enviar Bitcoin, obtener el doble de regreso. Parecía ridículo, ¿verdad? Como una estafa obvia. Pero la gente realmente cayó en ella. En minutos, más de $110,000 en Bitcoin se inundaron en billeteras. Twitter tuvo que cerrar todas las cuentas verificadas globalmente — algo que literalmente nunca había ocurrido antes.

¿La parte loca? Graham Ivan Clark no necesitaba ser un programador maestro. No crackeó encriptaciones ni explotó vulnerabilidades zero-day. Solo llamó a empleados de Twitter, fingió ser soporte técnico, y logró que restablecieran credenciales. Durante los confinamientos por COVID, todos trabajaban desde casa, ingresando desde dispositivos personales. La ingeniería social fue casi ridículamente simple. Él y un cómplice ascendieron en la jerarquía interna hasta encontrar una cuenta de "modo Dios" que les permitió controlar 130 de las cuentas más poderosas en la plataforma.

Antes de ese hackeo, Graham ya llevaba años haciendo estafas. Comenzó con cuentas de Minecraft, pasó a hacer swapping de SIM — convencer a las compañías telefónicas de darle control de los números de otras personas. Así accedió a billeteras de criptomonedas y cuentas de correo. Un inversor de riesgo llamado Greg Bennett se despertó y encontró más de $1 millón en Bitcoin desaparecidos. Cuando las víctimas intentaron negociar, recibieron amenazas de que irían tras sus familias.

Su vida offline era igual de caótica. Vínculos con pandillas, ventas de drogas, traiciones. Estafó a sus propios socios hackers. Cuando la policía allanó su departamento en 2019, encontraron 400 BTC — unos $4 millones en ese momento. Negoció devolver $1 millón para "cerrar el caso" y, de alguna forma, se quedó con el resto. Era menor de edad, así que el sistema le permitió irse con millones.

Cuando el FBI finalmente lo atrapó tras el hackeo a Twitter, tenían todo — registros de IP, mensajes en Discord, datos de SIM. Enfrentó 30 cargos por delitos graves y potencialmente 210 años de cárcel. Pero, por ser menor, hizo un acuerdo. Tres años en detención juvenil, tres años en libertad condicional. Tenía 17 cuando hackeó el megáfono más grande del mundo. Tenía 20 cuando salió.

Lo que realmente da miedo es lo relevante que sigue siendo esto. Graham Ivan Clark demostró algo que los estafadores han sabido siempre: no necesitas romper el sistema si puedes engañar a las personas que lo manejan. Hoy, X está inundado con las mismas estafas de criptomonedas que lo hicieron rico. Las mismas tácticas de ingeniería social. La misma manipulación psicológica.

La verdadera lección aquí no es sobre tecnología. Es sobre cuán vulnerables somos todos a las emociones. Miedo, avaricia, confianza — esas son las vulnerabilidades reales. Cuando alguien crea urgencia, cuando apela a tu billetera o a tu ego, cuando suena lo suficientemente oficial, la mayoría de las personas no piensan dos veces. Graham Ivan Clark no necesitaba ser un hacker genio. Solo entendía a las personas mejor de lo que ellas se entendían a sí mismas.