¿Sabes qué es lo más loco? La mayor hackeo en Twitter no vino de alguna unidad de ciber guerra rusa ni de un sindicato de hackers de élite. Vino de un adolescente sin recursos en Florida, con nada más que una laptop y la audacia de realmente lograrlo. Estoy hablando de Graham Ivan Clark — y su historia es honestamente uno de los casos de ingeniería social más fascinantes que he leído.

Así que aquí está lo que me sorprende: el 15 de julio de 2020, toda internet simplemente se congeló. Cuentas verificadas en todas partes — Elon Musk, Obama, Bezos, Apple, Biden — todas publicando el mismo mensaje pidiendo a la gente que envíe Bitcoin. Al principio todos pensaron que era un meme elaborado. Pero no lo era. No eran capturas de pantalla ni cuentas falsas. Los tuits estaban en vivo. Reales. Y un adolescente de alguna manera tomó control de las voces más poderosas de Twitter.

En minutos, más de 110,000 dólares en Bitcoin comenzaron a inundar billeteras. En horas, Twitter hizo algo sin precedentes — bloquearon todas las cuentas verificadas a nivel mundial. ¿Y la persona detrás de todo esto? Solo un chico de 17 años con un teléfono desechable.

Lo que es aún más loco es cómo Graham Ivan Clark realmente llegó allí. Creciendo en Tampa con prácticamente nada, empezó pequeño — haciendo estafas en Minecraft, hackeando canales de YouTuber por venganza, comerciando con cuentas de redes sociales robadas en foros clandestinos. Pero no necesitaba habilidades de programación. Entendía algo mucho más poderoso: la psicología humana. Para los 15 años, ya estaba metido en OGUsers, aprendiendo el arte oscuro de la ingeniería social.

Luego descubrió el intercambio de SIM. Aquí es donde se pone más oscuro. Convencía a empleados de compañías telefónicas para transferir el control de los números de las personas a él. De repente, tenía acceso a sus correos electrónicos, billeteras de criptomonedas, cuentas bancarias — todo. Un inversor de riesgo se despertó y encontró más de un millón en Bitcoin desaparecido. Cuando contactó a los ladrones, le enviaron un mensaje: paga o iremos tras tu familia.

El dinero lo volvió imprudente. Estafó a sus propios socios. Aparecieron en su casa. Su vida offline se estaba desmoronando — drogas, vínculos con pandillas, caos. Un amigo fue asesinado en un trato que salió mal. Para 2019, la policía allanó su lugar y encontró 400 Bitcoin. Él devolvió un millón para hacer que desapareciera. Tenía 17 años. Como era menor, legalmente se quedó con el resto.

Pero Graham Ivan Clark no estaba satisfecho. Quería una última puntuación antes de cumplir 18. Quería Twitter en sí.

Durante los confinamientos por COVID, los empleados de Twitter trabajaban desde casa, iniciando sesión desde dispositivos personales. Graham y otro adolescente se hicieron pasar por soporte técnico interno. Llamaron a empleados, enviaron páginas de inicio de sesión falsas de la empresa, y los vieron caer en la trampa. Paso a paso, treparon por el sistema de Twitter hasta encontrar lo que llamaban una cuenta modo Dios — un panel que podía restablecer cualquier contraseña en la plataforma. De repente, dos adolescentes controlaban 130 de las cuentas más poderosas del mundo.

El FBI los atrapó en dos semanas usando registros de IP, mensajes en Discord y datos de SIM. Enfrentaba 30 cargos por delitos graves y hasta 210 años de cárcel. Pero aquí está lo que pasa — como era menor, solo cumplió tres años en prisión juvenil. Tenía 17 cuando hackeó Twitter. Tenía 20 cuando salió en libertad.

¿Y ahora? Graham Ivan Clark está allá afuera. Libre. Rico. Sin ser tocado. Mientras tanto, X — que es en lo que Twitter se convirtió — está absolutamente inundado con las mismas estafas de criptomonedas que lo hicieron rico. Las mismas trucos de ingeniería social. La misma psicología que todavía funciona en millones de personas cada día.

La verdadera lección aquí no es sobre hackear código. Es sobre cómo los estafadores hackean a las personas. Usan urgencia. Explotan la confianza. Se hacen pasar por cuentas verificadas. Te envían a páginas falsas de inicio de sesión. Y funciona porque el miedo, la avaricia y la confianza son las vulnerabilidades reales — no los sistemas en sí. Graham Ivan Clark demostró que no necesitas romper la infraestructura si puedes engañar a los humanos que la manejan. Esa es la verdadera forma de hackeo.