El Departamento de Justicia de Estados Unidos (DoJ) ha condenado a dos profesionales de ciberseguridad a cuatro años de prisión por colaborar con la operación de ransomware BlackCat (ALPHV) durante 2023. El caso ilustra con claridad cómo las amenazas internas y el abuso de conocimientos técnicos avanzados pueden amplificar el impacto de los ciberataques contra empresas de múltiples sectores.
Sentencia del DoJ y cronología de los ataques de ransomware BlackCat
Según la acusación, Ryan Goldberg, de 40 años (Georgia), y Kevin Martin, de 36 años (Texas), participaron en el despliegue de BlackCat contra varias organizaciones estadounidenses entre abril y diciembre de 2023. Ambos actuaron en connivencia con Angelo Martino, de 41 años (Florida), quien ya se declaró culpable y espera sentencia en julio de 2026.
Los tres se integraron como afiliados en el ecosistema de ALPHV/BlackCat, bajo un acuerdo típico de ransomware-as-a-service (RaaS): se comprometían a entregar a los administradores del grupo aproximadamente un 20 % de cada rescate pagado, a cambio de acceso al malware, a la infraestructura de mando y control y a la llamada «panel de extorsión», desde donde gestionaban la comunicación con las víctimas y la publicación de datos robados.
En uno de los episodios documentados, los atacantes consiguieron que una de las víctimas pagara en torno a 1,2 millones de dólares en bitcoin. El 80 % de ese importe quedó en manos de los afiliados, que posteriormente blanquearon los fondos mediante cadenas de transacciones en criptomonedas con el objetivo de ocultar su origen ilícito.
Cómo funciona BlackCat y el modelo ransomware-as-a-service (RaaS)
BlackCat (ALPHV) es una de las familias de ransomware más conocidas que ha explotado el modelo ransomware-as-a-service. En este esquema, el núcleo de la organización criminal desarrolla el malware, mantiene la infraestructura y gestiona los pagos en criptomonedas, mientras que los afiliados se encargan de comprometer las redes de las víctimas. A cambio, comparten con los operadores un porcentaje del rescate.
Aunque las autoridades consideran que la plataforma RaaS original de BlackCat ha sido desmantelada, antes de ello la red consiguió atacar las infraestructuras de más de 1.000 organizaciones a nivel global, incluyendo entidades financieras, sanitarias, industriales y de servicios esenciales. Informes como el Verizon Data Breach Investigations Report (DBIR) y los análisis de ENISA coinciden en que el ransomware sigue siendo una de las principales amenazas para las empresas, tanto por su impacto económico como por la interrupción operativa que genera.
Amenazas internas: cuando los expertos en ciberseguridad se convierten en insiders maliciosos
Un elemento especialmente relevante del caso es que todos los implicados eran profesionales de la ciberseguridad. De acuerdo con el DoJ, Martino y Martin trabajaban en DigitalMint, empresa dedicada a servicios con criptomonedas, mientras que Goldberg ocupaba el puesto de responsable de respuesta a incidentes en la firma de ciberseguridad Sygnia.
En lugar de utilizar sus conocimientos para proteger infraestructuras, los acusados reorientaron su experiencia para maximizar el daño. La fiscalía del Distrito Sur de Florida subrayó que emplearon sus capacidades técnicas para bloquear sistemas críticos, exfiltrar información confidencial y presionar a empresas estadounidenses para que pagaran por recuperar el acceso a sus propios datos.
El papel de Angelo Martino resulta especialmente sensible desde la perspectiva de gestión de riesgos y ciberseguro. Actuando como negociador en incidentes de ransomware, tenía acceso a información confidencial sobre las pólizas de ciberseguro de sus clientes, incluyendo límites de cobertura. Según la investigación, compartió estos datos con los operadores de BlackCat, permitiéndoles fijar rescates alineados con el máximo que las aseguradoras podían llegar a pagar, lo que incrementó el impacto económico para las víctimas.
Lecciones para las empresas: gestión del riesgo de insiders y defensa frente al ransomware
Verificación, supervisión y control de personal crítico
El caso evidencia la necesidad de tratar la ciberseguridad como un problema de riesgo humano y organizativo, no solo tecnológico. Las organizaciones con empleados que manejan accesos privilegiados —especialmente en sectores como finanzas, proveedores de servicios gestionados (MSSP) y respuesta a incidentes— deberían reforzar:
- Procesos de background check y reevaluación periódica de la confiabilidad del personal clave.
- Monitorización continua de las actividades asociadas a cuentas con altos privilegios, con registros detallados y alertas tempranas.
- Segregación de funciones para evitar que una sola persona concentre demasiado poder técnico u operativo.
Aplicar el principio de mínimo privilegio y auditar a los proveedores
El principio de mínimo privilegio debe aplicarse también a los equipos de seguridad. Ningún profesional, por experto que sea, debería tener acceso sin controles a todas las capas de la infraestructura. Resulta clave implantar revisiones periódicas de permisos, doble control en acciones sensibles y auditorías independientes de proveedores de ciberseguridad y operadores de criptomonedas que intervienen en la gestión de incidentes.
Gobernanza de negociaciones con ransomware y medidas técnicas de defensa
Cuando se recurre a negociadores externos o brokers de ciberseguro, es fundamental limitar contractualmente y de forma técnica el acceso a información sensible, como límites de pólizas, reservas financieras o detalles sobre la resiliencia de la infraestructura. Un filtrado inadecuado de estos datos puede dar a los grupos de ransomware una ventaja decisiva en la negociación.
Desde el punto de vista técnico, los expertos recomiendan una estrategia de defensa en profundidad frente al ransomware y las amenazas internas, que incluya al menos:
- Copias de seguridad periódicas, aisladas (offline o immutable backups) y probadas regularmente.
- Segmentación de red y control estricto de movimiento lateral para limitar la propagación del ataque.
- Autenticación multifactor (MFA) en todos los accesos críticos, especialmente para cuentas administrativas.
- Soluciones EDR/XDR con capacidad de detección y respuesta temprana ante comportamientos anómalos.
- Formación continua a empleados para reconocer phishing, vectores de entrada comunes y señales de actividad de ransomware.
La condena a estos especialistas vinculados a BlackCat es un recordatorio contundente de que incluso los profesionales más cualificados pueden convertirse en una amenaza si fallan los controles, la supervisión y la cultura ética. Las organizaciones que dependen de equipos internos y proveedores externos de ciberseguridad deben revisar sus modelos de confianza, fortalecer los mecanismos de monitorización y actualizar sus planes de respuesta al ransomware. Invertir de forma sistemática en gobernanza, personas, procesos y tecnología es esencial para reducir la probabilidad de abusos internos y aumentar la resiliencia frente a futuras campañas de ransomware.
