El 10 de junio de 2026, las fuerzas del orden europeas, bajo la coordinación de Europol, desmantelaron AudiA6, un servicio de blanqueo de criptomonedas a escala industrial a través del cual, desde 2021, se habían canalizado más de €336 millones (~$389 millones) en fondos ilícitos. El servicio era utilizado por grupos de ransomware y otras redes de ciberdelincuencia para convertir activos digitales robados en fondos «limpios». En Georgia fueron detenidos dos presuntos administradores y se incautaron servidores, dominios y bienes. El Departamento de Justicia de EE. UU. presentó cargos contra ambos detenidos, que se enfrentan a hasta 20 años de prisión.
Cronología y alcance de la operación
Según informó Europol, la desarticulación de AudiA6 fue el resultado de una operación previa de la policía polaca: en septiembre de 2025 fue detenido en Polonia un ciudadano ucraniano sospechoso de participar en el blanqueo de fondos a través de AudiA6. El análisis forense de los dispositivos electrónicos incautados permitió identificar a más miembros de la red y preparar una operación coordinada.
Durante las actuaciones del 10 de junio de 2026 se llevaron a cabo las siguientes medidas:
- Detención de dos presuntos administradores —ciudadanos de Ucrania y Rusia— en Georgia
- Tres registros en inmuebles vinculados a la operación
- Clausura de 25 dominios e incautación de más de 30 servidores
- Confiscación de más de 80 vehículos y varios bienes inmuebles en Georgia
- Congelación de criptoactivos por un importe de €692 000 ($798 000) e incautación de €86 000 ($99 400) en criptomoneda
- Bloqueo de cuentas de Telegram utilizadas por la red
- Sustitución de los sitios web de AudiA6 y Dark2Web (tanto en la web abierta como en la dark web) por un banner de confiscación
Acusaciones y proceso judicial
El Departamento de Justicia de EE. UU. presentó cargos contra los dos detenidos: Ruslan Igorevich Tkachuk (37 años) y Aleksandr Vladimirovich Ledenev (25 años). A cada uno se le imputa un cargo de conspiración para el blanqueo de capitales y un cargo de blanqueo de capitales en una operación encubierta (sting money laundering). La pena máxima es de 20 años de prisión.
Según el Departamento de Justicia de EE. UU., de los aproximadamente 10 333 bitcoins depositados a través de AudiA6, alrededor de 393,39 BTC (valorados en el momento de las transacciones en unos $19,2 millones) procedían directamente de conocidos mercados de la dark web, grupos de ransomware, servicios ciberdelictivos y otras fuentes ilegales. Fondos adicionales llegaron a los monederos de AudiA6 de forma indirecta, a través de intermediarios.
Mecanismo de funcionamiento de AudiA6
AudiA6 se presentaba como un servicio de mixing de criptomonedas que garantizaba anonimato y rapidez. Los clientes transferían los fondos obtenidos ilegalmente a monederos controlados por el grupo y, en el plazo de una hora, recibían fondos «limpios» a través de una compleja cadena de transacciones destinada a ocultar el origen del dinero. La comunicación se realizaba por mensajería privada y la comisión oscilaba entre el 3 % y el 10 %.
Un elemento clave de la infraestructura eran los miles de cuentas fraudulentas en exchanges de criptomonedas, abiertas utilizando datos personales robados o comprados. Durante la investigación se identificaron más de 6 000 registros KYC (Know Your Customer) relacionados con cuentas a nombre de testaferros. Según Europol, muchas de estas cuentas estaban vinculadas a intermediarios de habla rusa contratados específicamente para mover fondos ilícitos a través de los exchanges.
Para registrar las cuentas de testaferros, los operadores utilizaron tanto proveedores de correo comerciales como direcciones de correo electrónico en dominios bajo su control.
Dominios de la infraestructura de correo de AudiA6
- designli.pictures, pheontx.eu, smplfy.in, sumato-soft.org, technobrains.dev
- lett.email, trayo.app, deliverly.top, inboxly.top, postfast.eu
- postino.click, inboxally.agency, mailora.eu, postify.email, quix.express
- flowcomm.click, qube.black, deliverlett.com, lettermail.eu
Vínculos con Dark2Web y alcance de las investigaciones
Según Europol, se sospecha que los operadores de AudiA6 también administraban el foro de la dark web Dark2Web, donde ciberdelincuentes anunciaban servicios ilegales y establecían contacto con otros actores de amenazas de todo el mundo. Este vínculo no ha sido aún confirmado por fuentes independientes y las fuerzas de seguridad lo presentan como una sospecha.
El servicio aparece en más de 15 investigaciones en todo el mundo relacionadas con ataques de ransomware y robos de criptomonedas a gran escala. En la investigación participaron el Servicio Secreto de EE. UU., el IRS Criminal Investigation, la policía polaca y las fuerzas del orden de Australia, Canadá, Francia, Georgia, Alemania, Islandia, Japón, Suiza y el Reino Unido.
Evaluación del impacto y tendencias
El desmantelamiento de AudiA6 es una de las mayores operaciones contra la infraestructura de blanqueo de criptomonedas de los últimos años. El servicio no daba soporte a un único grupo, sino a todo un ecosistema: grupos de ransomware, operadores de mercados de la dark web y organizadores de robos de criptomonedas utilizaban la misma cadena de montaje para convertir los fondos robados.
Europol destaca una tendencia al alza: los grupos de ransomware y las redes de ciberdelincuencia recurren cada vez más a transferencias entre blockchains (chain-hopping), exchanges descentralizados y plataformas de «mixing as a service» para mover criptomonedas ilícitas entre varias blockchains en cuestión de minutos.
Recomendaciones prácticas
- A las criptobolsas y plataformas financieras: comprobar sus bases de cuentas en busca de registros realizados con los 19 dominios indicados anteriormente. Es muy probable que las cuentas registradas mediante estos dominios sean cuentas de testaferros
- A los equipos de compliance: reforzar la verificación de los documentos KYC, prestando atención a indicios de registros masivos —patrones homogéneos en los documentos, registros desde dominios que no pertenecen a grandes proveedores de correo—
- A los analistas de blockchain: añadir las direcciones de monederos de AudiA6 (a medida que sean publicadas por las fuerzas de seguridad) a sus listas de monitorización para seguir las transacciones residuales
- A los especialistas en respuesta a incidentes: al investigar ataques de ransomware, tener en cuenta AudiA6 como uno de los posibles canales de salida de fondos y comprobar solapamientos con las direcciones conocidas del servicio
El desmantelamiento de AudiA6 demuestra que las fuerzas de seguridad son capaces de rastrear y desbaratar incluso complejos esquemas de blanqueo de criptomonedas de varios niveles; sin embargo, el simple hecho de que el servicio haya operado durante cinco años con un volumen de cientos de millones de euros pone de manifiesto una brecha sistémica entre la velocidad de creación de la infraestructura criminal y el ritmo de su detección. Las criptobolsas deben revisar de inmediato sus bases de datos para identificar cuentas vinculadas a los dominios mencionados y reforzar sus procedimientos de verificación a fin de impedir la reutilización de esquemas similares.
