Ciencia y Tecnología
Expertos en ciberseguridad de día, ciberdelincuentes de noche: cómo dos profesionales cayeron tras usar ransomware
<p>
 <img src="https://i.blogs.es/c7bf6e/hackers-portada/1024_2000.jpeg" alt="Expertos en ciberseguridad de día, ciberdelincuentes de noche: cómo dos profesionales cayeron tras usar ransomware ">
 </p>
<p>El <a class="text-outboundlink" href="https://www.xataka.com/basics/que-ransomware-como-te-puedes-proteger" data-vars-post-title="Qué es el Ransomware y cómo te puedes proteger de él" data-vars-post-url="https://www.xataka.com/basics/que-ransomware-como-te-puedes-proteger">ransomware</a> suele presentarse como una amenaza externa, difusa y difícil de localizar, asociada a grupos criminales que operan desde otros países y <a class="text-outboundlink" href="https://www.xataka.com/seguridad/adios-lockbit-banda-ransomware-peligrosa-mundo-ha-sido-desmantelada-operacion-internacional" data-vars-post-title="Adiós LockBit: la banda de ransomware más peligrosa del mundo ha sido desmantelada tras una operación internacional" data-vars-post-url="https://www.xataka.com/seguridad/adios-lockbit-banda-ransomware-peligrosa-mundo-ha-sido-desmantelada-operacion-internacional">a infraestructuras ocultas en la red</a>. Sin embargo, el caso que <a rel="noopener, noreferrer" href="https://www.justice.gov/opa/pr/two-americans-plead-guilty-targeting-multiple-us-victims-using-alphv-blackcat-ransomware">ha comunicado el</a> Departamento de Justicia de Estados Unidos rompe ese relato. Aquí no se habla de un fallo puntual de vigilancia, sino de profesionales del propio sector que, según la acusación, emplearon su formación y su posición para atacar a empresas estadounidenses. La conclusión es tan simple como alarmante: la amenaza no siempre llega desde fuera, incluso en un terreno tan especializado.</p>
<p><!-- BREAK 1 --></p>
<p>Lo que hoy se conoce del caso está bien delimitado en documentos judiciales y comunicados oficiales. El 30 de diciembre de 2025, el Departamento de Justicia <a rel="noopener, noreferrer" href="https://www.justice.gov/opa/pr/two-americans-plead-guilty-targeting-multiple-us-victims-using-alphv-blackcat-ransomware">informó de que</a>, el día anterior, un tribunal federal del Distrito Sur de Florida aceptó las declaraciones de culpabilidad de dos hombres por conspirar para extorsionar en relación con ataques de ransomware ocurridos en 2023. Ambos se declararon culpables de un delito federal vinculado a obstruir o afectar el comercio mediante extorsión. La sentencia se fijó para el 12 de marzo de 2026 y se enfrentan a una pena máxima de hasta 20 años de prisión.</p>
<div class="article-asset-video article-asset-normal">
<div class="asset-content">
<div class="base-asset-video">
<div class="js-dailymotion"></div>
</p></div>
</p></div>
</div>
<p><strong>Quiénes eran y qué papel ocupaban en el sector.</strong> <a rel="noopener, noreferrer" href="https://www.documentcloud.org/documents/26212432-fbi-affidavit-re-ransomware-negotiators/">De acuerdo al FBI</a>, los acusados son Ryan Goldberg, de 40 años, y Kevin Martin, de 36. Ambos trabajaban en el ámbito de la ciberseguridad y contaban con experiencia en gestión de incidentes y en procesos ligados a ataques con este tipo de herramienta malintencionada. Goldberg ejercía como responsable de respuesta a incidentes en una empresa multinacional del sector, mientras que Martin trabajaba como negociador especializado en este tipo de extorsiones dentro de una compañía dedicada a la respuesta ante cibercrimen. Ese contexto profesional les situaba en un lugar poco habitual para este tipo de delitos.</p>
<p><!-- BREAK 2 --></p>
<div class="article-asset-image article-asset-normal article-asset-center">
<div class="asset-content">
<p> <img alt="Hacker" class="centro_sinmarco" src="https://i.blogs.es/c02d3d/hacker/450_1000.jpeg"></p></div>
</div>
<p><strong>Un modelo de ransomware convertido en servicio.</strong> Los documentos del caso describen que los ataques se apoyaron en ALPHV, también conocido como <a rel="noopener, noreferrer" href="https://www.akamai.com/glossary/what-is-blackcat-ransomware">BlackCat</a>, un ransomware operado bajo un modelo de servicio. En este esquema, los desarrolladores mantienen el malware y la infraestructura de extorsión, mientras terceros afiliados ejecutan ataques contra víctimas seleccionadas. A cambio de ese acceso, los acusados acordaron ceder un 20% de cualquier rescate obtenido a los administradores. El resto se repartía entre los participantes, tras mover los fondos por distintos monederos digitales para dificultar su rastreo.</p>
<p><!-- BREAK 3 --></p>
<p>La investigación no se limita a un único incidente. Los documentos recogen ataques y tentativas dirigidos contra empresas estadounidenses entre abril y diciembre de 2023, con víctimas en sectores como el sanitario, el farmacéutico, el industrial y el tecnológico. En el único caso exitoso, el rescate pagado se situó en torno a 1,27 millones de dólares en criptomonedas en el momento del pago, según consta en el expediente. En otros episodios, las exigencias reflejadas en la causa iban desde cientos de miles de dólares hasta alrededor de cinco millones, siempre de acuerdo con los documentos judiciales.</p>
<div class="article-asset article-asset-normal article-asset-center">
<div class="desvio-container">
<div class="desvio">
<div class="desvio-figure js-desvio-figure">
 <a href="https://www.xataka.com/seguridad/cada-cuanto-debemos-cambiar-todas-nuestras-contrasenas-tres-expertos-ciberseguridad" class="pivot-outboundlink" data-vars-post-title="Cada cuánto debemos cambiar TODAS nuestras contraseñas según tres expertos en ciberseguridad"><br />
 <img alt="Cada cuánto debemos cambiar TODAS nuestras contraseñas según tres expertos en ciberseguridad" width="375" height="142" src="https://i.blogs.es/c6d2d1/contrasena-portada1/375_142.jpeg"><br />
 </a>
 </div>
<div class="desvio-summary">
<div class="desvio-taxonomy js-desvio-taxonomy">
 <a href="https://www.xataka.com/seguridad/cada-cuanto-debemos-cambiar-todas-nuestras-contrasenas-tres-expertos-ciberseguridad" class="desvio-taxonomy-anchor pivot-outboundlink" data-vars-post-title="Cada cuánto debemos cambiar TODAS nuestras contraseñas según tres expertos en ciberseguridad">En Xataka</a>
 </div>
<p> <a href="https://www.xataka.com/seguridad/cada-cuanto-debemos-cambiar-todas-nuestras-contrasenas-tres-expertos-ciberseguridad" class="desvio-title js-desvio-title pivot-outboundlink" data-vars-post-title="Cada cuánto debemos cambiar TODAS nuestras contraseñas según tres expertos en ciberseguridad">Cada cuánto debemos cambiar TODAS nuestras contraseñas según tres expertos en ciberseguridad</a>
 </div>
</p></div>
</p></div>
</div>
<p><strong>Las pruebas que sostienen la acusación.</strong> El caso se apoya en una combinación de registros técnicos, análisis financieros y declaraciones recabadas por las fuerzas federales estadounidenses. Entre los elementos citados figuran accesos a herramientas vinculadas a la infraestructura de extorsión y el seguimiento de movimientos de criptomonedas tras el pago del rescate. El expediente también menciona búsquedas realizadas antes de algunos ataques, incluida una consulta sobre una de las víctimas el 4 de mayo de 2023, días antes de un incidente posterior. A ello se suma una entrevista grabada en la que uno de los acusados reconoció su implicación, además de registros y otras actuaciones incorporadas a la causa.</p>
<p><!-- BREAK 4 --></p>
<p>Imágenes | Xataka con Gemini 3 Pro</p>
<p>En Xataka | <a class="text-outboundlink" href="https://www.xataka.com/robotica-e-ia/cuando-chatgpt-aparecio-gonzalo-estaba-ahi-asi-esta-creando-su-propia-ia-ejercito-tierra-espanol" data-vars-post-title="Gonzalo es el ChatGPT del ejército de Tierra. Su reto es colosal: convertir a la IA en la gran aliada militar del siglo XXI" data-vars-post-url="https://www.xataka.com/robotica-e-ia/cuando-chatgpt-aparecio-gonzalo-estaba-ahi-asi-esta-creando-su-propia-ia-ejercito-tierra-espanol">Gonzalo es el ChatGPT del ejército de Tierra. Su reto es colosal: convertir a la IA en la gran aliada militar del siglo XXI</a></p>
<p> &#8211; <br /> La noticia<br />
 <a href="https://www.xataka.com/seguridad/expertos-ciberseguridad-dia-ciberdelincuentes-noche-como-dos-profesionales-cayeron-usar-ransomware?utm_source=feedburner&;utm_medium=feed&;utm_campaign=31_Dec_2025"><br />
 <em> Expertos en ciberseguridad de día, ciberdelincuentes de noche: cómo dos profesionales cayeron tras usar ransomware </em><br />
 </a><br />
 fue publicada originalmente en<br />
 <a href="https://www.xataka.com/?utm_source=feedburner&;utm_medium=feed&;utm_campaign=31_Dec_2025"><br />
 <strong> Xataka </strong><br />
 </a><br />
 por <a href="https://www.xataka.com/autor/javier-marquez?utm_source=feedburner&;utm_medium=feed&;utm_campaign=31_Dec_2025"><br />
 Javier Marquez<br />
 </a><br />
 . </p>
<p>​El ransomware suele presentarse como una amenaza externa, difusa y difícil de localizar, asociada a grupos criminales que operan desde otros países y a infraestructuras ocultas en la red. Sin embargo, el caso que ha comunicado el Departamento de Justicia de Estados Unidos rompe ese relato. Aquí no se habla de un fallo puntual de vigilancia, sino de profesionales del propio sector que, según la acusación, emplearon su formación y su posición para atacar a empresas estadounidenses. La conclusión es tan simple como alarmante: la amenaza no siempre llega desde fuera, incluso en un terreno tan especializado.<br />
Lo que hoy se conoce del caso está bien delimitado en documentos judiciales y comunicados oficiales. El 30 de diciembre de 2025, el Departamento de Justicia informó de que, el día anterior, un tribunal federal del Distrito Sur de Florida aceptó las declaraciones de culpabilidad de dos hombres por conspirar para extorsionar en relación con ataques de ransomware ocurridos en 2023. Ambos se declararon culpables de un delito federal vinculado a obstruir o afectar el comercio mediante extorsión. La sentencia se fijó para el 12 de marzo de 2026 y se enfrentan a una pena máxima de hasta 20 años de prisión.</p>
<p>Quiénes eran y qué papel ocupaban en el sector. De acuerdo al FBI, los acusados son Ryan Goldberg, de 40 años, y Kevin Martin, de 36. Ambos trabajaban en el ámbito de la ciberseguridad y contaban con experiencia en gestión de incidentes y en procesos ligados a ataques con este tipo de herramienta malintencionada. Goldberg ejercía como responsable de respuesta a incidentes en una empresa multinacional del sector, mientras que Martin trabajaba como negociador especializado en este tipo de extorsiones dentro de una compañía dedicada a la respuesta ante cibercrimen. Ese contexto profesional les situaba en un lugar poco habitual para este tipo de delitos.</p>
<p>Un modelo de ransomware convertido en servicio. Los documentos del caso describen que los ataques se apoyaron en ALPHV, también conocido como BlackCat, un ransomware operado bajo un modelo de servicio. En este esquema, los desarrolladores mantienen el malware y la infraestructura de extorsión, mientras terceros afiliados ejecutan ataques contra víctimas seleccionadas. A cambio de ese acceso, los acusados acordaron ceder un 20% de cualquier rescate obtenido a los administradores. El resto se repartía entre los participantes, tras mover los fondos por distintos monederos digitales para dificultar su rastreo.<br />
La investigación no se limita a un único incidente. Los documentos recogen ataques y tentativas dirigidos contra empresas estadounidenses entre abril y diciembre de 2023, con víctimas en sectores como el sanitario, el farmacéutico, el industrial y el tecnológico. En el único caso exitoso, el rescate pagado se situó en torno a 1,27 millones de dólares en criptomonedas en el momento del pago, según consta en el expediente. En otros episodios, las exigencias reflejadas en la causa iban desde cientos de miles de dólares hasta alrededor de cinco millones, siempre de acuerdo con los documentos judiciales.</p>
<p> En Xataka</p>
<p> Cada cuánto debemos cambiar TODAS nuestras contraseñas según tres expertos en ciberseguridad</p>
<p>Las pruebas que sostienen la acusación. El caso se apoya en una combinación de registros técnicos, análisis financieros y declaraciones recabadas por las fuerzas federales estadounidenses. Entre los elementos citados figuran accesos a herramientas vinculadas a la infraestructura de extorsión y el seguimiento de movimientos de criptomonedas tras el pago del rescate. El expediente también menciona búsquedas realizadas antes de algunos ataques, incluida una consulta sobre una de las víctimas el 4 de mayo de 2023, días antes de un incidente posterior. A ello se suma una entrevista grabada en la que uno de los acusados reconoció su implicación, además de registros y otras actuaciones incorporadas a la causa.<br />
Imágenes | Xataka con Gemini 3 Pro<br />
En Xataka | Gonzalo es el ChatGPT del ejército de Tierra. Su reto es colosal: convertir a la IA en la gran aliada militar del siglo XXI</p>
<p> &#8211; La noticia</p>
<p> Expertos en ciberseguridad de día, ciberdelincuentes de noche: cómo dos profesionales cayeron tras usar ransomware </p>
<p> fue publicada originalmente en</p>
<p> Xataka </p>
<p> por<br />
 Javier Marquez</p>
<p> . </p>
<p>​ </p>
<p>​ </p>