Expertos en ciberseguridad de día, ciberdelincuentes de noche: cómo dos profesionales cayeron tras usar ransomware

El ransomware suele presentarse como una amenaza externa, difusa y difícil de localizar, asociada a grupos criminales que operan desde otros países y a infraestructuras ocultas en la red. Sin embargo, el caso que ha comunicado el Departamento de Justicia de Estados Unidos rompe ese relato. Aquí no se habla de un fallo puntual de vigilancia, sino de profesionales del propio sector que, según la acusación, emplearon su formación y su posición para atacar a empresas estadounidenses. La conclusión es tan simple como alarmante: la amenaza no siempre llega desde fuera, incluso en un terreno tan especializado.

Lo que hoy se conoce del caso está bien delimitado en documentos judiciales y comunicados oficiales. El 30 de diciembre de 2025, el Departamento de Justicia informó de que, el día anterior, un tribunal federal del Distrito Sur de Florida aceptó las declaraciones de culpabilidad de dos hombres por conspirar para extorsionar en relación con ataques de ransomware ocurridos en 2023. Ambos se declararon culpables de un delito federal vinculado a obstruir o afectar el comercio mediante extorsión. La sentencia se fijó para el 12 de marzo de 2026 y se enfrentan a una pena máxima de hasta 20 años de prisión.

Quiénes eran y qué papel ocupaban en el sector. De acuerdo al FBI, los acusados son Ryan Goldberg, de 40 años, y Kevin Martin, de 36. Ambos trabajaban en el ámbito de la ciberseguridad y contaban con experiencia en gestión de incidentes y en procesos ligados a ataques con este tipo de herramienta malintencionada. Goldberg ejercía como responsable de respuesta a incidentes en una empresa multinacional del sector, mientras que Martin trabajaba como negociador especializado en este tipo de extorsiones dentro de una compañía dedicada a la respuesta ante cibercrimen. Ese contexto profesional les situaba en un lugar poco habitual para este tipo de delitos.

Un modelo de ransomware convertido en servicio. Los documentos del caso describen que los ataques se apoyaron en ALPHV, también conocido como BlackCat, un ransomware operado bajo un modelo de servicio. En este esquema, los desarrolladores mantienen el malware y la infraestructura de extorsión, mientras terceros afiliados ejecutan ataques contra víctimas seleccionadas. A cambio de ese acceso, los acusados acordaron ceder un 20% de cualquier rescate obtenido a los administradores. El resto se repartía entre los participantes, tras mover los fondos por distintos monederos digitales para dificultar su rastreo.

La investigación no se limita a un único incidente. Los documentos recogen ataques y tentativas dirigidos contra empresas estadounidenses entre abril y diciembre de 2023, con víctimas en sectores como el sanitario, el farmacéutico, el industrial y el tecnológico. En el único caso exitoso, el rescate pagado se situó en torno a 1,27 millones de dólares en criptomonedas en el momento del pago, según consta en el expediente. En otros episodios, las exigencias reflejadas en la causa iban desde cientos de miles de dólares hasta alrededor de cinco millones, siempre de acuerdo con los documentos judiciales.

En Xataka

Cada cuánto debemos cambiar TODAS nuestras contraseñas según tres expertos en ciberseguridad

Las pruebas que sostienen la acusación. El caso se apoya en una combinación de registros técnicos, análisis financieros y declaraciones recabadas por las fuerzas federales estadounidenses. Entre los elementos citados figuran accesos a herramientas vinculadas a la infraestructura de extorsión y el seguimiento de movimientos de criptomonedas tras el pago del rescate. El expediente también menciona búsquedas realizadas antes de algunos ataques, incluida una consulta sobre una de las víctimas el 4 de mayo de 2023, días antes de un incidente posterior. A ello se suma una entrevista grabada en la que uno de los acusados reconoció su implicación, además de registros y otras actuaciones incorporadas a la causa.

Imágenes | Xataka con Gemini 3 Pro

En Xataka | Gonzalo es el ChatGPT del ejército de Tierra. Su reto es colosal: convertir a la IA en la gran aliada militar del siglo XXI

–
La noticia

Expertos en ciberseguridad de día, ciberdelincuentes de noche: cómo dos profesionales cayeron tras usar ransomware

fue publicada originalmente en

Xataka

por
Javier Marquez

.

​El ransomware suele presentarse como una amenaza externa, difusa y difícil de localizar, asociada a grupos criminales que operan desde otros países y a infraestructuras ocultas en la red. Sin embargo, el caso que ha comunicado el Departamento de Justicia de Estados Unidos rompe ese relato. Aquí no se habla de un fallo puntual de vigilancia, sino de profesionales del propio sector que, según la acusación, emplearon su formación y su posición para atacar a empresas estadounidenses. La conclusión es tan simple como alarmante: la amenaza no siempre llega desde fuera, incluso en un terreno tan especializado.
Lo que hoy se conoce del caso está bien delimitado en documentos judiciales y comunicados oficiales. El 30 de diciembre de 2025, el Departamento de Justicia informó de que, el día anterior, un tribunal federal del Distrito Sur de Florida aceptó las declaraciones de culpabilidad de dos hombres por conspirar para extorsionar en relación con ataques de ransomware ocurridos en 2023. Ambos se declararon culpables de un delito federal vinculado a obstruir o afectar el comercio mediante extorsión. La sentencia se fijó para el 12 de marzo de 2026 y se enfrentan a una pena máxima de hasta 20 años de prisión.

Quiénes eran y qué papel ocupaban en el sector. De acuerdo al FBI, los acusados son Ryan Goldberg, de 40 años, y Kevin Martin, de 36. Ambos trabajaban en el ámbito de la ciberseguridad y contaban con experiencia en gestión de incidentes y en procesos ligados a ataques con este tipo de herramienta malintencionada. Goldberg ejercía como responsable de respuesta a incidentes en una empresa multinacional del sector, mientras que Martin trabajaba como negociador especializado en este tipo de extorsiones dentro de una compañía dedicada a la respuesta ante cibercrimen. Ese contexto profesional les situaba en un lugar poco habitual para este tipo de delitos.

Un modelo de ransomware convertido en servicio. Los documentos del caso describen que los ataques se apoyaron en ALPHV, también conocido como BlackCat, un ransomware operado bajo un modelo de servicio. En este esquema, los desarrolladores mantienen el malware y la infraestructura de extorsión, mientras terceros afiliados ejecutan ataques contra víctimas seleccionadas. A cambio de ese acceso, los acusados acordaron ceder un 20% de cualquier rescate obtenido a los administradores. El resto se repartía entre los participantes, tras mover los fondos por distintos monederos digitales para dificultar su rastreo.
La investigación no se limita a un único incidente. Los documentos recogen ataques y tentativas dirigidos contra empresas estadounidenses entre abril y diciembre de 2023, con víctimas en sectores como el sanitario, el farmacéutico, el industrial y el tecnológico. En el único caso exitoso, el rescate pagado se situó en torno a 1,27 millones de dólares en criptomonedas en el momento del pago, según consta en el expediente. En otros episodios, las exigencias reflejadas en la causa iban desde cientos de miles de dólares hasta alrededor de cinco millones, siempre de acuerdo con los documentos judiciales.

En Xataka

Cada cuánto debemos cambiar TODAS nuestras contraseñas según tres expertos en ciberseguridad

Las pruebas que sostienen la acusación. El caso se apoya en una combinación de registros técnicos, análisis financieros y declaraciones recabadas por las fuerzas federales estadounidenses. Entre los elementos citados figuran accesos a herramientas vinculadas a la infraestructura de extorsión y el seguimiento de movimientos de criptomonedas tras el pago del rescate. El expediente también menciona búsquedas realizadas antes de algunos ataques, incluida una consulta sobre una de las víctimas el 4 de mayo de 2023, días antes de un incidente posterior. A ello se suma una entrevista grabada en la que uno de los acusados reconoció su implicación, además de registros y otras actuaciones incorporadas a la causa.
Imágenes | Xataka con Gemini 3 Pro
En Xataka | Gonzalo es el ChatGPT del ejército de Tierra. Su reto es colosal: convertir a la IA en la gran aliada militar del siglo XXI

– La noticia

Expertos en ciberseguridad de día, ciberdelincuentes de noche: cómo dos profesionales cayeron tras usar ransomware

fue publicada originalmente en

Xataka

por
Javier Marquez

.   

​   

​