El Tribunal ha impuesto penas de cuatro años de prisión a dos exempleados de empresas de respuesta a incidentes por su participación como afiliados del grupo de ransomware BlackCat (también conocido como ALPHV) en una serie de ataques contra compañías estadounidenses entre mayo y noviembre de 2023. Ryan Clifford Goldberg, exgerente de respuesta a incidentes en Sygnia, y Kevin Tyler Martin, exnegociador de rescates en DigitalMint, se declararon culpables de conspiración para obstruir el comercio por extorsión; un tercer coautor, Angelo Martino, se había declarado culpable anteriormente y formó parte del mismo esquema.
Según los documentos judiciales, los atacantes funcionaron como afiliados al pagar una comisión por acceder a la plataforma de BlackCat y ejecutar las intrusiones, y dirigieron demandas de rescate que oscilaron entre cifras de cientos de miles hasta varios millones de dólares. Un caso destacado involucra a una empresa de dispositivos médicos de Tampa que, tras el cifrado de sus servidores y una exigencia de 10 millones de dólares, pagó 1,27 millones que luego fue blanqueado y repartido entre los conspiradores. La magnitud de los pagos y la variedad de víctimas —desde farmacéuticas hasta fabricantes de drones y consultorías de ingeniería— ilustran el alcance económico y operativo de este esquema. Para consultar la acusación completa, puede revisarse el expediente público disponible en la nube de documentos: DocumentCloud: Indictment.
Este caso tiene varias lecturas críticas para el sector: primero, revela la amenaza del insider threat cuando profesionales con acceso y conocimiento especializado deciden actuar contra sus propios clientes; segundo, subraya el riesgo de modelos de negocio de “afiliados” en el ecosistema ransomware, donde se externaliza la pericia y la ejecución operativa en redes de terceros que pueden incluir actores con antecedentes o intenciones maliciosas; y tercero, supone un golpe a la confianza en proveedores de ciberseguridad y negociación de rescates, un servicio que por definición maneja accesos privilegiados y decisiones que afectan a la continuidad operativa de organizaciones críticas.
Más allá de la condena penal, la lección para los responsables de seguridad es clara: no basta con contratar experiencia técnica; es imprescindible gestionar el riesgo humano asociado. Las empresas necesitan reforzar la supervisión de personal con accesos sensibles, implementar controles de separación de funciones y auditar regularmente tanto a empleados como a contratistas externos. El hecho de que profesionales de respuesta a incidentes hayan podido instrumentalizar su conocimiento para dañar a clientes exige revisar procesos de selección, cláusulas contractuales y mecanismos de revocación inmediata de accesos.
En el plano técnico y operativo, las organizaciones deben asumir que la prevención absoluta no existe y fortalecer tanto las defensas como la resiliencia. Esto incluye aplicar políticas de mínimo privilegio y gestión de identidades, desplegar autenticación multifactor para accesos administrativos, mantener registros de auditoría inmutables y monitorizar exfiltración de datos en tránsito y en reposo. Asimismo, las copias de seguridad deben ser frecuentes, verificadas y físicamente aisladas o air-gapped para que un cifrado masivo no deje sin capacidad de recuperación.
Las empresas también deben pulir sus planes de respuesta a incidentes, definiendo protocolos claros para la gestión de incidentes en los que podría estar implicado personal propio o de proveedores: procedimientos para investigar, contener, notificar a afectados y colaborar con autoridades. En este sentido, la cooperación con la fiscalía y las fuerzas de seguridad resulta esencial; la Fiscalía federal ha seguido este caso y emitió un comunicado sobre las sentencias que confirma el esfuerzo por perseguir a afiliados y operadores de ransomware: Departamento de Justicia: comunicado sobre las sentencias.
Para los equipos de ciberseguridad que operan como proveedores: la ética profesional y la trazabilidad operativa deben ser no negociables. Las firmas deben establecer controles internos para evitar que empleados con acceso a capacidades ofensivas puedan reutilizarlas de forma ilícita, implementar revisiones de antecedentes continuas y asegurarse de que los acuerdos de servicio incluyan cláusulas de responsabilidad que faciliten acciones legales y colaboración con autoridades en caso de mala conducta.
Este caso también alimenta debates regulatorios: puede esperarse mayor escrutinio sobre la industria de respuesta a incidentes y negociación de rescates, y posiblemente nuevas normas sobre certificaciones, transparencia de contratos y obligaciones de reporte cuando un proveedor sea sospechoso de conducta criminal. Son cambios necesarios para restaurar la confianza y limitar el espacio de operación de las mafias digitales que monetizan el secuestro de datos.
En resumen, la condena a estos exempleados constituye una advertencia para el sector: la sofisticación técnica sin controles éticos y organizativos convierte a expertos en riesgos sistémicos. Para las empresas y responsables de seguridad, la recomendación práctica es combinar medidas técnicas —privilegios mínimos, MFA, monitorización y copias de seguridad aisladas— con controles humanos y contractuales estrictos, y mantener canales de reporte y colaboración con las autoridades para reducir la probabilidad y el impacto de traiciones internas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...