Ransomware ALPHV BlackCat: dos profesionales de ciberseguridad se declaran culpables en EEUU
El caso del ransomware ALPHV BlackCat operado por profesionales de ciberseguridad acaba de sumar un hito judicial: un negociador de ransomware y un responsable de incident response han reconocido su culpabilidad en Estados Unidos por su papel en una campaña que afectó a múltiples víctimas. La relevancia para el sector es inmediata: no se trata de actores externos sin acceso, sino de perfiles formados precisamente para defender organizaciones, lo que reabre el debate sobre controles internos, segregación de funciones y supervisión de actividades de respuesta a incidentes.
Según un comunicado del Departamento de Justicia de EEUU, Ryan Clifford Goldberg y Kevin Tyler Martin se declararon culpables de un cargo de conspiración para obstruir, retrasar o afectar el comercio mediante extorsión. La investigación también menciona a un tercer co-conspirador no identificado públicamente.
Qué se sabe del ransomware ALPHV BlackCat operado por profesionales de ciberseguridad
De acuerdo con las autoridades, el grupo se habría afiliado al modelo “Ransomware-as-a-Service” (RaaS) de ALPHV/BlackCat: presuntamente pactaron pagar un 20% de los rescates a los administradores del malware a cambio de acceso a la herramienta y su ecosistema criminal. Este detalle es clave para entender la industrialización del ransomware: afiliados ejecutan intrusiones y despliegues, mientras que operadores del servicio proporcionan el “producto”, infraestructura y, en ocasiones, soporte.
El Departamento de Justicia sostiene que los acusados utilizaron sus capacidades técnicas para implantar el ransomware en cinco objetivos y extorsionar a las víctimas tras el cifrado. La actividad se sitúa entre mayo y noviembre de 2023 y habría afectado a entidades de sectores sensibles, incluyendo empresas relacionadas con dispositivos médicos y farmacéuticas, además de una consulta médica, una compañía de ingeniería y un fabricante de drones.
Impacto económico y trazabilidad del pago
Solo una de las víctimas habría pagado: una empresa de dispositivos médicos transfirió aproximadamente 1,2 millones de dólares en bitcoin, según el comunicado oficial. Las autoridades afirman que el importe se repartió entre los participantes y que posteriormente intentaron blanquear los fondos. El caso subraya un punto recurrente en la economía del ransomware: incluso una única transacción puede sostener operaciones enteras, financiar tooling y atraer nuevos afiliados.
Riesgo interno: una señal de alerta para equipos de seguridad
Que el ransomware ALPHV BlackCat operado por profesionales de ciberseguridad llegue a este nivel de confirmación judicial tensiona la confianza en cadenas de suministro de servicios de seguridad: negociación, respuesta a incidentes, forénsica y consultoría. Para CISOs y responsables de GRC, el caso refuerza la necesidad de trazabilidad operativa, auditoría de acciones privilegiadas y controles sobre accesos a herramientas críticas durante incidentes, especialmente cuando participan terceros.
En una declaración incluida en el anuncio, el Departamento de Justicia enfatizó que los acusados habrían usado su “formación y experiencia” para cometer precisamente el tipo de delitos que deberían prevenir.
Contexto: ALPHV/BlackCat y su historial
ALPHV (también conocido como BlackCat) se ha consolidado como una de las marcas más notorias del ecosistema ransomware en los últimos años. Entre los episodios más citados figura el ataque de 2024 contra Change Healthcare, con impacto operativo en la tramitación de pagos y dispensación de recetas en cadenas de farmacias en EEUU. Semanas después de ese incidente, se observaron movimientos de decenas de millones de dólares en criptoactivos asociados al grupo y, posteriormente, se reportaron acciones de las fuerzas de seguridad contra su infraestructura pública.
Este patrón —presión policial, caída temporal de infraestructura y potencial reaparición bajo nuevas tácticas o branding— es consistente con la dinámica de múltiples grupos RaaS a lo largo del tiempo.
Qué viene ahora en el proceso
La sentencia de Goldberg y Martin está prevista para marzo, y el tribunal podría imponer hasta 20 años de prisión a cada uno, según la información pública del caso. Para la industria, el mensaje es doble: por un lado, la persecución penal de afiliados sigue activa; por otro, el “perfil profesional” del atacante ya no es un outlier, sino una variable de riesgo que debe contemplarse en modelos de amenaza.
En definitiva, el episodio del ransomware ALPHV BlackCat operado por profesionales de ciberseguridad no solo expone un delito: obliga a reevaluar cómo las organizaciones seleccionan, supervisan y auditan a quienes tienen acceso a información y procesos sensibles durante incidentes.
