En un caso que ha sacudido el mundo de la ciberseguridad, tres profesionales estadounidenses han sido acusados de colaborar con la infame banda de ransomware ALPHV/BlackCat para extorsionar a empresas en todo Estados Unidos. Según los fiscales federales, los acusados se infiltraron en las redes de varias organizaciones y utilizaron sus conocimientos de ciberseguridad para cifrar sistemas y exigir pagos millonarios en criptomonedas a cambio de desbloquear los datos. Este caso pone en evidencia no solo la creciente amenaza de los ataques de ransomware, sino también cómo los atacantes pueden usar sus habilidades en ciberseguridad para colaborar con la banda de ransomware ALPHV/BlackCat y cometer delitos.
Entre mayo de 2023 y abril de 2025, los acusados trabajaron con la banda de ransomware ALPHV/BlackCat, infiltrándose en al menos cinco empresas y exigiendo pagos en criptomonedas. Este grupo de ransomware es conocido por su sofisticación y por ser responsable de numerosos ataques a nivel mundial. Los acusados, al unirse a la banda de ransomware ALPHV/BlackCat, emplearon sus conocimientos para llevar a cabo los ataques de extorsión que marcaron este caso.
Los acusados y sus roles
Los acusados en este caso son Ryan Clifford Goldberg, de 34 años, residente en Watkinsville, Georgia, y Kevin Tyler Martin, de 38 años, residente en Roanoke, Texas. Goldberg trabajaba como director de respuesta a incidentes en Sygnia Consulting Ltd., una firma de ciberseguridad con sede en Israel, mientras que Martin era negociador de ransomware en DigitalMint, una compañía de pagos en criptomonedas ubicada en Chicago. Un tercer conspirador, cuya identidad no ha sido revelada, también formaba parte del complot y, al igual que Martin, trabajaba como negociador de ransomware en DigitalMint.
El caso fue presentado por los fiscales federales en un tribunal del Distrito Sur de Florida en octubre de 2023. Según la acusación, entre mayo de 2023 y abril de 2025, los tres individuos conspiraron con la banda de ransomware ALPHV/BlackCat para realizar ataques cibernéticos contra al menos cinco empresas de diferentes estados, utilizando el ransomware proporcionado por la banda de ransomware ALPHV/BlackCat para exigir pagos millonarios en criptomonedas. Los acusados aprovecharon su acceso a información privilegiada y su experiencia en ciberseguridad para colaborar con la banda de ransomware ALPHV/BlackCat, un grupo conocido por su sofisticación y capacidad para realizar ataques devastadores.
ALPHV/BlackCat: La banda de ransomware detrás de los ataques
ALPHV, también conocida como banda de ransomware ALPHV/BlackCat, es una de las bandas de ransomware más temidas del mundo. Esta organización criminal opera bajo el modelo de Ransomware-as-a-Service (RaaS), lo que significa que alquilan su software malicioso a otros cibercriminales para llevar a cabo los ataques. La banda de ransomware ALPHV/BlackCat es conocida por ser extremadamente sofisticada y por exigir grandes cantidades de dinero en criptomonedas a cambio del descifrado de los sistemas comprometidos.
La banda de ransomware ALPHV/BlackCat utiliza un software conocido como ALPHV, que es un virus de alta complejidad diseñado para cifrar los sistemas informáticos de sus víctimas y dejarlas sin acceso a sus datos esenciales. A diferencia de otras bandas de ransomware, la banda de ransomware ALPHV/BlackCat ha logrado evadir los sistemas de defensa de muchas organizaciones mediante su uso de criptografía avanzada y técnicas de evasión. Uno de sus métodos más efectivos es el de doble extorsión, donde no solo exigen un rescate para liberar los sistemas, sino que también amenazan con hacer públicos los datos robados si no se paga la cantidad demandada.
El modus operandi de la banda de ransomware ALPHV/BlackCat ha incluido ataques de alto perfil contra organizaciones en todo el mundo, incluyendo hospitales, universidades, grandes corporaciones tecnológicas y firmas legales. La flexibilidad de la banda de ransomware ALPHV/BlackCat para alquilar su infraestructura a otros ciberdelincuentes ha permitido que se expanda rápidamente y ejecute ataques globales de gran escala.
Uno de los ataques más notorios de la banda de ransomware ALPHV/BlackCat fue contra Change Healthcare, una importante empresa del sector de la salud en los Estados Unidos. El ataque comprometió información sensible de aproximadamente 190 millones de personas e incluyó el robo de datos médicos y financieros. El ataque resultó en un pago de rescate de 22 millones de dólares, el mayor rescate pagado por una organización de salud hasta la fecha.
La estrategia de los acusados
De acuerdo con la acusación, los tres conspiradores utilizaron sus roles legítimos en la ciberseguridad para infiltrarse en las redes de las víctimas y lanzar ataques de ransomware. Goldberg, como director de respuesta a incidentes en Sygnia, tenía un conocimiento profundo sobre las vulnerabilidades en los sistemas de las empresas y cómo protegerse contra ataques cibernéticos. Sin embargo, en lugar de ayudar a las organizaciones a defenderse, Goldberg aparentemente usó esta información para atacar a las mismas empresas que supuestamente debía proteger, colaborando con la banda de ransomware ALPHV/BlackCat.
Por su parte, Martin, como negociador de ransomware en DigitalMint, tenía la tarea de ayudar a las víctimas a negociar el pago de rescates. Sin embargo, los fiscales sostienen que Martin utilizó este acceso para coordinar los pagos de rescates con la banda de ransomware ALPHV/BlackCat, obteniendo así una parte del botín. Un tercer conspirador, cuyo nombre no se ha revelado, también tenía acceso a los pagos de rescate y jugó un papel en la negociación con las víctimas, trabajando en conjunto con la banda de ransomware ALPHV/BlackCat.
Los fiscales alegan que, a partir de mayo de 2023, los tres comenzaron a utilizar sus conocimientos y acceso privilegiado para llevar a cabo sus propios ataques de ransomware, utilizando el software malicioso proporcionado por la banda de ransomware ALPHV/BlackCat. Durante este tiempo, atacaron al menos a cinco empresas, incluidas organizaciones en Florida, California, Virginia y Maryland. Uno de los casos más destacados fue el ataque a un fabricante de dispositivos médicos con sede en Tampa, donde los atacantes exigieron un rescate de aproximadamente 1,3 millones de dólares en criptomonedas, que luego se compartió con los desarrolladores de la banda de ransomware ALPHV/BlackCat.
Los acusados fueron capturados gracias a una investigación exhaustiva llevada a cabo por las autoridades federales, que incluyó el análisis de transacciones en criptomonedas y la colaboración con empresas de ciberseguridad que proporcionaron detalles sobre las técnicas utilizadas por los atacantes. Los fiscales subrayan que, si bien los tres acusados trabajaban en la industria de la ciberseguridad, su comportamiento estaba completamente fuera de los límites de sus funciones profesionales y, en este caso, colaboraron estrechamente con la banda de ransomware ALPHV/BlackCat.
Los impactos de los ataques
El impacto de estos ataques de ransomware no se limita solo a la pérdida de datos. Para las empresas afectadas, los ataques significan una interrupción significativa de las operaciones, una pérdida de confianza por parte de los clientes y, en muchos casos, importantes pérdidas financieras. Las empresas objetivo de este ataque no fueron identificadas públicamente por los fiscales, pero se sabe que incluyeron empresas de sectores críticos como la fabricación de dispositivos médicos, la farmacéutica y la ingeniería, todas ellas siendo atacadas por la banda de ransomware ALPHV/BlackCat.
El ataque a la empresa de dispositivos médicos en Tampa, por ejemplo, tuvo repercusiones no solo en términos financieros, sino también en la integridad de la infraestructura de salud. Las interrupciones en los sistemas informáticos de estas empresas pueden retrasar la producción de productos esenciales o comprometer la calidad de los servicios prestados, lo que pone en riesgo la vida de las personas. Esta situación también ha generado una creciente preocupación en el ámbito de la salud, ya que muchos hospitales y centros médicos se han visto afectados por ataques similares, ejecutados por la banda de ransomware ALPHV/BlackCat, poniendo en peligro la seguridad de los datos de los pacientes.
Por otro lado, los ataques de ransomware, como los llevados a cabo por la banda de ransomware ALPHV/BlackCat, también afectan la confianza del consumidor y de los socios comerciales. Cuando una empresa es atacada, no solo enfrenta los costos de los pagos de rescate y la restauración de los sistemas, sino que también debe lidiar con la pérdida de reputación. Los clientes y socios comerciales pueden dudar en seguir trabajando con una empresa que ha sido víctima de un ataque cibernético, especialmente si sus datos personales se han visto comprometidos por la banda de ransomware ALPHV/BlackCat.
La respuesta de las empresas involucradas
Tanto Sygnia como DigitalMint han cooperado con las autoridades federales desde que se reveló el caso. Ambas compañías han afirmado que sus antiguos empleados involucrados en el caso actuaron sin el conocimiento o consentimiento de las empresas y que sus acciones fueron completamente fuera del ámbito de su empleo, especialmente al colaborar con la banda de ransomware ALPHV/BlackCat.
Sygnia, en un comunicado, explicó que Goldberg fue despedido de la empresa tan pronto como se conoció su implicación en los ataques llevados a cabo por la banda de ransomware ALPHV/BlackCat. La firma destacó que no fue víctima de ningún ataque y que ha estado cooperando plenamente con las autoridades en la investigación de la banda de ransomware ALPHV/BlackCat. Por su parte, DigitalMint también confirmó que uno de sus antiguos empleados, Martin, estaba involucrado en el caso relacionado con la banda de ransomware ALPHV/BlackCat y aclaró que su comportamiento estaba completamente fuera de las funciones para las que había sido contratado. La empresa subrayó que no se comprometieron datos de clientes como parte de la actividad delictiva de la banda de ransomware ALPHV/BlackCat y que la compañía no estaba bajo investigación por sus vínculos con la banda.
Ambas empresas han mostrado su disposición a colaborar con las investigaciones para aclarar los hechos y asegurarse de que sus antiguos empleados sean procesados de acuerdo con la ley. Esto también resalta la importancia de que las organizaciones mantengan una cultura corporativa basada en la ética y la responsabilidad, y que tomen medidas para garantizar que los empleados no utilicen su conocimiento técnico para fines ilícitos, como lo hicieron al trabajar con la banda de ransomware ALPHV/BlackCat.
El futuro del caso
Ryan Goldberg y Kevin Martin enfrentan cargos graves, incluyendo conspiración para interferir con el comercio a través de extorsión y daño intencional a sistemas informáticos protegidos. Goldberg ha sido detenido mientras espera su juicio, mientras que Martin se ha declarado no culpable de los cargos en su contra. En cuanto al tercer conspirador, las autoridades continúan investigando su participación, pero aún no se ha presentado ningún cargo formal contra él, en relación con su colaboración con la banda de ransomware ALPHV/BlackCat.
El caso también ha puesto de relieve la creciente amenaza que representan los ataques de ransomware en el mundo digital. Cada vez más, las bandas de ransomware, como la banda de ransomware ALPHV/BlackCat, están recurriendo a tácticas sofisticadas y a la colaboración con actores legítimos en la industria de la ciberseguridad para llevar a cabo sus ataques. Este tipo de casos podría llevar a un mayor escrutinio de las prácticas dentro de la industria de la ciberseguridad y a una mayor vigilancia de los profesionales que trabajan en este campo, especialmente aquellos como Goldberg y Martin, que colaboraron directamente con la banda de ransomware ALPHV/BlackCat.
Este caso es un recordatorio de la vulnerabilidad de las organizaciones, incluso aquellas que confían en expertos en ciberseguridad para proteger sus datos. Los atacantes no solo pueden ser simples hackers, sino también individuos con amplios conocimientos y acceso a las redes de las empresas, lo que les permite ejecutar ataques más precisos y devastadores. La colaboración de exprofesionales de ciberseguridad con la banda de ransomware ALPHV/BlackCat plantea interrogantes sobre la ética y la responsabilidad en el campo de la ciberseguridad, y pone de manifiesto la necesidad de una mayor regulación y supervisión para prevenir que se repitan casos similares en el futuro.
Este caso también pone en evidencia la amenaza global del ransomware y la creciente sofisticación de los ataques. Las organizaciones deben estar más preparadas que nunca para protegerse contra este tipo de ciberamenazas, ya que los atacantes siguen adaptándose y mejorando sus métodos. En última instancia, la prevención y la educación en ciberseguridad serán clave para evitar que más empresas caigan en las garras de los cibercriminales, especialmente de grupos tan peligrosos como la banda de ransomware ALPHV/BlackCat.
La investigación en curso también podría proporcionar nuevas lecciones sobre cómo los atacantes se infiltran en las empresas y utilizan sus propios conocimientos y herramientas legítimas para llevar a cabo actividades ilícitas. Sin duda, este caso dejará una huella en el mundo de la ciberseguridad y podría ser un punto de inflexión para reforzar la seguridad en la industria. Las autoridades deben seguir tomando medidas para identificar y desmantelar redes criminales como BlackCat y otras bandas de ransomware, con el fin de reducir el riesgo de futuros ataques.
Si tu empresa desea reforzar su seguridad ante amenazas como las de la banda de ransomware ALPHV/BlackCat, es fundamental contar con el asesoramiento de profesionales experimentados. En ITD Consulting, ofrecemos soluciones avanzadas de ciberseguridad para proteger tu infraestructura tecnológica y prevenir ataques cibernéticos. Contáctanos hoy mismo a [email protected] para obtener asesoría personalizada y garantizar la protección de tu empresa.
ES 
EN