A finales de enero de 2026, las autoridades estadounidenses ejecutaron una de las operaciones más visibles de los últimos años contra la infraestructura del cibercrimen: el foro de hacking RAMP, uno de los pocos espacios abiertos donde aún se permitía promocionar activamente campañas de ransomware, fue desmantelado. Tanto la versión web pública en ramp4u[.]io como su sitio espejo en la red Tor muestran ahora un mensaje de incautación atribuido a varias unidades del Departamento de Justicia de Estados Unidos (DoJ).
Incautación del dominio ramp4u[.]io y participación del FBI
El banner que aparece en el dominio intervenido indica que la operación se llevó a cabo en coordinación con la Fiscalía de EE. UU. para el Distrito Sur de Florida y la división de Computer Crime and Intellectual Property Section (CCIPS) del DoJ. Aunque en el momento de la aparición del aviso no se había publicado un comunicado oficial detallado, los indicadores técnicos apuntan a un procedimiento estándar del FBI para el decomiso de infraestructura criminal.
Las DNS records de ramp4u[.]io fueron redirigidas a los servidores ns1.fbi.seized.gov y ns2.fbi.seized.gov, utilizados de forma recurrente en dominios incautados durante investigaciones penales. Este cambio permite a las autoridades mostrar de forma centralizada el aviso de incautación e impide que los operadores del foro sigan usando el dominio como punto de reunión o de distribución de malware.
En el momento del cierre no está claro si las fuerzas de seguridad han obtenido acceso completo a las bases de datos internas del foro (cuentas de usuario, mensajes privados, historiales de transacciones). Este aspecto es crítico: en operaciones anteriores contra foros de ciberdelincuencia, ese tipo de datos ha permitido la deanonimización de afiliados, intermediarios de acceso inicial y operadores de ransomware-as-a-service (RaaS), desencadenando posteriores detenciones en varios países.
Confirmación desde la comunidad ciberdelincuente
La caída de RAMP fue confirmada públicamente en XSS, otro conocido foro de hacking. Un exadministrador de RAMP, bajo el alias Stallman, reconoció que la infraestructura había pasado a control de las fuerzas del orden y afirmó que el cierre “borra” años de trabajo invertidos en la plataforma, que se promocionaba como “el foro más libre del mundo”.
Este tipo de mensajes no solo tiene una dimensión emocional, sino que actúa como señal interna para la comunidad criminal: al admitirse la incautación desde dentro, cualquier intento de seguir utilizando canales, dominios o copias de la infraestructura original incrementa de forma significativa el riesgo de monitorización y posterior identificación por parte de las autoridades.
El papel de RAMP en el mercado global de ransomware
De refugio para operadores ransomware a objetivo prioritario
RAMP apareció en julio de 2021, en un contexto de fuerte presión internacional tras el ataque de la banda DarkSide a Colonial Pipeline en EE. UU. Como respuesta a aquel incidente, varios grandes foros rusoparlantes de ciberdelincuencia prohibieron la publicidad y el reclutamiento para operaciones de ransomware, tratando de reducir su exposición mediática y legal.
En ese escenario, RAMP ocupó el nicho de “último refugio” para operadores de ransomware y sus afiliados. La plataforma permitía explícitamente publicar anuncios de programas RaaS, captar socios técnicos y comerciales, y debatir sin restricciones sobre tácticas de extorsión, filtración de datos y negociación con víctimas.
Servicios criminales ofrecidos en el foro RAMP
Entre las actividades predominantes en RAMP destacaban:
— Reclutamiento de afiliados para RaaS: los desarrolladores de la familia de ransomware ofrecían su código y paneles de gestión a socios que ejecutaban los ataques a cambio de un porcentaje del rescate.
— Corretaje de accesos iniciales (Initial Access Brokerage): compra-venta de accesos a redes corporativas ya comprometidas (VPN, RDP, cuentas cloud), reduciendo drásticamente el tiempo de preparación de una intrusión.
— Intercambio de malware, exploits y herramientas de movimiento lateral para escalar privilegios y expandirse silenciosamente por la red víctima.
— Discusión de tácticas, técnicas y procedimientos (TTPs) orientados a evadir soluciones EDR, sistemas de copia de seguridad y mecanismos de detección temprana.
Informes de organismos como ENISA y Verizon ya situaban al ransomware entre las amenazas más graves para empresas y administraciones públicas en 2022–2023, tanto por el volumen de incidentes como por el impacto financiero. En este contexto, RAMP funcionaba como un verdadero “hub logístico” para el mercado global de extorsión digital, con especial relevancia en el underground rusoparlante.
Impacto del cierre de RAMP en la ciberdelincuencia y en las empresas
La incautación de RAMP difícilmente provocará una disminución inmediata de los ataques, pero sí introduce costes operativos adicionales para las bandas de ransomware. La desaparición de un foro grande y relativamente confiable complica:
— la captación de nuevos afiliados con capacidades técnicas avanzadas;
— la rotación rápida de accesos a redes comprometidas;
— la evaluación de reputación (sistemas de valoraciones, mediación, servicios de depósito en garantía o “escrow”).
La experiencia con el cierre de otros foros de habla inglesa muestra que el ecosistema tiende a fragmentarse: los actores se desplazan hacia canales más cerrados (chats cifrados, pequeños foros privados, “clubes” por invitación). Esto reduce la visibilidad del mercado, pero también limita las economías de escala que facilitaban la industrialización del ransomware.
Para las organizaciones, este periodo de reconfiguración del ecosistema criminal es una oportunidad estratégica para reforzar su postura de ciberseguridad. Medidas como el backup regular y probado, la autenticación multifactor, la segmentación de red, la gestión rigurosa de accesos privilegiados, la formación anti-phishing y el monitoreo continuo de actividad anómala siguen siendo el mínimo imprescindible para mitigar el riesgo. Al combinar estas prácticas con la colaboración activa con CERT nacionales y con el intercambio de información sobre amenazas, las empresas pueden reducir de forma significativa la probabilidad y el impacto de un ataque de ransomware, incluso en un entorno donde el crimen organizado digital continúa adaptándose.
