Hombre de California se declara culpable por masiva violación de datos y extorsión a Disney

Un hombre de 25 años de California se declaró culpable de cargos federales tras ser acusado de desarrollar una sofisticada herramienta de malware que terminó afectando a The Walt Disney Company. El ataque resultó en el robo de 1.1  TB de datos confidenciales, seguido de un intento de extorsión. 

La violación de seguridad 

En 2024, Ryan Mitchell Kramer, de California, presuntamente desarrolló un malware disfrazado de herramienta artística que utilizaba inteligencia artificial. Subió el software a varias plataformas, como GitHub, y esperó a que los usuarios lo descargaran. El malware que se le atribuye a Kramer permitía el acceso no autorizado a los ordenadores de las víctimas. 

Un empleado de Disney cayó en la trampa y descargó el software, lo que le dio al atacante acceso al ordenador personal de la víctima, incluyendo a las credenciales de inicio de sesión tanto personales como laborales. 

Con las credenciales robadas, Kramer se infiltró en los canales internos de comunicación de Slack de Disney y logró acceder a miles de canales privados. Posteriormente, descargó aproximadamente 1.1 TB de datos confidenciales, incluyendo información de empleados, datos de clientes, discusiones internas de negocios y documentos de planificación estratégica. 

La extorsión 

En julio de 2024, Kramer contactó por correo electrónico y Discord a la víctima que trabajaba en Disney. Haciéndose pasar por miembro de un supuesto grupo ruso de hacktivismo llamado "NullBulge", amenazó con divulgar los datos robados. Al no obtener respuesta, publicó la información el 12 de julio de 2024. La filtración contenía 44 millones de mensajes de Slack, datos de pasaportes de empleados, información de contacto de clientes y detalles financieros relacionados con las operaciones de Disney. 

En mayo de 2025, Kramer se declaró culpable de dos delitos graves: acceso no autorizado a un sistema informático y amenaza de dañar una infrraestructura protegida. Cada cargo conlleva una pena máxima de cinco años en prisión federal. 

“Nos complace que esta persona haya sido acusada y haya aceptado declararse culpable de cargos federales. Seguiremos comprometidos a trabajar estrechamente con las autoridades, como lo hicimos en este caso, para asegurar que los ciberdelincuentes sean llevados ante la justicia”, dijo un portavoz de Disney.