Un hombre de Santa Clarita, California, identificado como Ryan Mitchell Kramer, de 25 años, se declaró culpable el 1 de mayo de 2025 de perpetrar un hackeo histórico que comprometió 1.1 terabytes de datos confidenciales de The Walt Disney Company, según el Departamento de Justicia de Estados Unidos.
Kramer, quien operaba bajo el alias “NullBulge”, accedió ilegalmente a miles de canales internos de Slack de Disney entre abril y mayo de 2024, descargando información sensible que incluía comunicaciones internas, datos financieros, código fuente, credenciales y detalles personales de empleados. La Oficina del Fiscal de Estados Unidos para el Distrito Central de California señaló que Kramer enfrenta dos cargos federales: acceso no autorizado a una computadora para obtener información y amenazas de dañar un sistema protegido, cada uno con una pena máxima de cinco años de prisión.
En X, hashtags como #DisneyHack y #NullBulge han captado la indignación y sorpresa de los usuarios, quienes debaten sobre la seguridad de las grandes corporaciones. Disney, tras el incidente, abandonó Slack en favor de Microsoft Teams, según el Departamento de Justicia. El hackeo comenzó cuando Kramer, haciéndose pasar por un grupo hacktivista ruso, distribuyó un programa de inteligencia artificial para generar imágenes que contenía malware oculto.
Te Recomendamos
Un empleado de Disney, Matthew Van Andel, descargó el archivo en su computadora personal, lo que permitió a Kramer acceder a su gestor de contraseñas 1Password y, posteriormente, a los canales de Slack de la empresa. El 12 de julio de 2024, tras no recibir respuesta a sus amenazas de extorsión, Kramer publicó los datos robados en foros como BreachForums, exponiendo información bancaria, médica y personal de Van Andel, además de datos corporativos de Disney.
Hackeo histórico y el impacto en Disney
El hackeo histórico de Disney comprometió más de 10,000 canales de Slack, exponiendo 44 millones de mensajes, según el Departamento de Justicia. Entre los datos robados se encuentran detalles de proyectos inéditos, estrategias publicitarias, números de ingresos de parques temáticos y servicios de streaming, así como información personal de empleados, como números de pasaporte y registros médicos.
La Confederación Estadounidense de Tecnología señaló que la filtración representó una de las mayores brechas de datos corporativos de 2024, lo que llevó a Disney a enfrentar una demanda colectiva en octubre de 2024 presentada por miles de empleados afectados. La empresa implementó medidas inmediatas, incluyendo la notificación a los empleados impactados y la cooperación con el FBI, que continúa investigando el caso.
En X, los usuarios han expresado preocupación por la vulnerabilidad de las plataformas de comunicación empresarial, mientras algunos cuestionan la decisión de Disney de culpar inicialmente a un grupo hacktivista ruso. Kramer admitió en su acuerdo de culpabilidad que fingió ser parte de “NullBulge” para desviar la atención, una táctica que amplificó la percepción de un ataque ideológico contra la empresa por su uso de inteligencia artificial y manejo de contratos de artistas.
Consecuencias legales para Kramer
Kramer, quien también hackeó las computadoras de al menos dos víctimas adicionales usando el mismo malware, enfrenta una posible condena de hasta 10 años en prisión, según la Oficina del Fiscal de Estados Unidos. Como parte de su acuerdo de culpabilidad, admitió haber contactado a Van Andel a través de Discord y correo electrónico, amenazando con publicar los datos robados si no cumplía con sus demandas.
La Confederación Estadounidense de Tecnología destacó que este caso subraya los riesgos de los programas maliciosos disfrazados de herramientas legítimas, especialmente en el contexto del creciente uso de inteligencia artificial. La audiencia de Kramer está programada para las próximas semanas en un tribunal de distrito de Los Ángeles, donde se determinará su sentencia. El Departamento de Justicia señaló que el caso sirve como advertencia sobre las consecuencias legales de los ciberataques, especialmente aquellos que afectan a grandes corporaciones y exponen datos sensibles.
Reacciones y medidas de Disney
Disney notificó a sus empleados sobre la brecha en julio de 2024, ofreciendo servicios de protección de identidad a los afectados, según un comunicado interno citado por el Departamento de Justicia. La empresa también reforzó sus protocolos de ciberseguridad, incluyendo auditorías de software de terceros y capacitaciones para empleados sobre la descarga de archivos no verificados.
En X, los fans de Disney han expresado preocupación por la posible filtración de información sobre proyectos futuros, como películas y series, aunque la empresa no ha confirmado qué datos específicos de entretenimiento se vieron comprometidos. La Confederación Estadounidense de Tecnología advirtió que incidentes como este podrían impulsar regulaciones más estrictas sobre la seguridad de datos corporativos. Mientras tanto, la comunidad en línea continúa debatiendo las implicaciones del hackeo histórico, con algunos usuarios en X pidiendo mayor transparencia de Disney sobre el alcance total de la brecha y otros elogiando la rápida acción legal contra Kramer.