el ransomware Suele presentarse como una amenaza externa, difusa y difícil de localizar, asociada a grupos criminales que operan desde otros países y. a infraestructuras ocultas en la red. Sin embargo, el caso que ha comunicado el Departamento de Justicia de Estados Unidos rompe ese relato. Aquí no se habla de un fallo puntual de vigilancia, sino de profesionales del propio sector que, según la acusación, emplearon su formación y su posición para atacar a empresas estadounidenses. La conclusión es tan simple como alarmante: la amenaza no siempre llega desde fuera, incluso en un terreno tan especializado.
Lo que hoy se conoce del caso está bien delimitado en documentos judiciales y comunicados oficiales. El 30 de diciembre de 2025, el Departamento de Justicia informado de queel día anterior, un tribunal federal del Distrito Sur de Florida recibió las declaraciones de culpabilidad de dos hombres por conspirar para extorsionar en relación con ataques de ransomware ocurridos en 2023. Ambos se declararon culpables de un delito federal vinculado a obstruir o afectar el comercio mediante extorsión. La sentencia se fijó para el 12 de marzo de 2026 y se enfrenta a una pena máxima de hasta 20 años de prisión.
Quiénes eran y qué papel ocupaban en el sector. De acuerdo con el FBIlos acusados hijo Ryan Goldberg, de 40 años, y Kevin Martin, de 36. Ambos trabajaban en el ámbito de la ciberseguridad y contaban con experiencia en gestión de incidentes y en procesos ligados a ataques con este tipo de herramienta malintencionada. Goldberg ejercía como responsable de respuesta a incidentes en una empresa multinacional del sector, mientras que Martin trabajaba como negociador especializado en este tipo de extorsiones dentro de una compañía dedicada a la respuesta ante cibercrimen. Ese contexto profesional les situaba en un lugar poco habitual para este tipo de delitos.
Un modelo de ransomware convertido en servicio. Los documentos del caso descritos que los ataques se apoyaron en ALPHV, también conocido como gato negroun ransomware operado bajo un modelo de servicio. En este esquema, los desarrolladores mantienen el malware y la infraestructura de extorsión, mientras terceros afiliados ejecutan ataques contra víctimas seleccionadas. A cambio de ese acceso, los acusados acordaron ceder un 20% de cualquier rescate obtenido a los administradores. El resto se repartía entre los participantes, tras mover los fondos por distintos monederos digitales para dificultar su rastreo.
La investigación no se limita a un único incidente. Los documentos recogen ataques y tentativas dirigidos contra empresas estadounidenses entre abril y diciembre de 2023, con víctimas en sectores como el sanitario, el farmacéutico, el industrial y el tecnológico. En el único caso exitoso, el rescate pagado se situó en torno a 1,27 millones de dólares en criptomonedas en el momento del pago, según consta en el expediente. En otros episodios, las exigencias reflejadas en la causa iban desde cientos de millas de dólares hasta alrededor de cinco millones, siempre de acuerdo con los documentos judiciales.
Las pruebas que sostienen la acusación. El caso se apoya en una combinación de registros técnicos, análisis financieros y declaraciones recabadas por las fuerzas federales estadounidenses. Entre los elementos citados figuran accesos a herramientas vinculadas a la infraestructura de extorsión y el seguimiento de movimientos de criptomonedas tras el pago del rescate. El expediente también menciona búsquedas realizadas antes de algunos ataques, incluida una consulta sobre una de las víctimas el 4 de mayo de 2023, días antes de un incidente posterior. A ello se suma una entrevista grabada en la que uno de los acusados reconoció su implicación, además de registros y otras actuaciones incorporadas a la causa.
Imágenes | Xataka con Gemini 3 Pro
