Los investigadores alemanes han puesto nombre y rostro a dos hombres a los que sitúan al frente de dos de las campañas de ransomware más perturbadoras de los últimos años. Según la Oficina Federal de Investigación Criminal de Alemania (BKA), los presuntos cabecillas son Daniil Maksimovich Shchukin, de 31 años, y Anatoly Sergeevitsch Kravchuk, de 43. La institución sostiene que ambos lideraron, entre principios de 2019 y al menos julio de 2021, operaciones detrás de los nombres GandCrab y REvil, dos familias de ransomware que marcaron una época por su alcance y su modelo de negocio delictivo.
La gravedad del caso se mide tanto por el número de ataques como por el daño económico. La BKA atribuye a estos individuos participación en al menos 130 extorsiones dirigidas a empresas dentro de Alemania; al menos 25 víctimas les habrían pagado rescates por un total cercano a 2,2 millones de dólares, mientras que el perjuicio económico global provocado por sus acciones se estima por encima de los 40 millones de dólares, según las cifras ofrecidas por las autoridades.
Para entender por qué estos grupos resultaron tan eficaces es importante retroceder a los orígenes. GandCrab apareció a comienzos de 2018 y, tras unos años de actividad, su operador principal anunció su retirada en 2019 alegando haber obtenido ingresos enormes durante su trayectoria. La estrategia de GandCrab —y la lección que dejó al crimen organizado online— fue refinar el modelo de afiliados: un desarrollador central que proporciona el código y la infraestructura, y una red de afiliados que se encargan de infiltrar redes y ejecutar los ataques. Sobre esa base nació REvil (también conocido como Sodinokibi), conformado en buena medida por antiguos afiliados de GandCrab que trasladaron tácticas y contactos.
REvil escaló la extorsión añadiendo tácticas de presión pública que terminaron por convertirlo en una amenaza global. Además del cifrado de archivos, el grupo gestionó sitios públicos donde filtraba datos robados y llegó incluso a subastar información sensible para obligar a víctimas a pagar. Entre sus objetivos estuvieron administraciones locales en Texas, grandes corporaciones como Acer y un ataque de cadena de suministro contra Kaseya que afectó a alrededor de 1.500 organizaciones clientes de proveedores intermedios, un incidente que puso en evidencia la fragilidad de ecosistemas empresariales altamente interconectados. Las consecuencias de esa ola de ataques se recogieron en múltiples avisos y análisis de seguridad, entre ellos los publicados por agencias como CISA y por medios especializados en ciberseguridad (aviso conjunto sobre Sodinokibi/REvil, y cobertura detallada del incidente Kaseya en Krebs on Security).
La popularidad de REvil se tradujo en una pausa forzada tras el gran ataque a Kaseya: las operaciones se detuvieron y, durante ese periodo, distintos cuerpos policiales consiguieron acceso a infraestructuras y monitorearon la actividad. A partir de entonces se sucedieron investigaciones y detenciones en varios países, incluida una ronda de arrestos en Rusia y movimientos coordinados de autoridades internacionales. Esa presión policial demostró que la red criminosa tenía puntos vulnerables, pero también puso de manifiesto los límites de la cooperación judicial internacional cuando los presuntos responsables residen en jurisdicciones difíciles de abordar desde el extranjero (operaciones de coordinación internacional y seguimientos periodísticos sobre las redadas).
En su comunicado, la BKA indica que ambos sospechosos se encuentran presuntamente en Rusia y pide la colaboración ciudadana para localizarles. Para facilitar la identificación han publicado fotografías y detalles físicos, incluidos tatuajes, y han creado entradas en el portal europeo de personas buscadas (EU’s Most Wanted). La publicación de este tipo de datos obedece a una doble intención: buscar testigos y, al mismo tiempo, reducir la capacidad de impunidad de grupos que han convertido el cibercrimen en un negocio internacionalizado.
Más allá de la caza de individuos concretos, la historia de GandCrab y REvil deja enseñanzas útiles para empresas y responsables de seguridad. Primero, que el modelo de afiliados facilita una rápida proliferación de técnicas: cuando las herramientas y los contactos circulan en foros clandestinos, nuevos actores emergen con facilidad. Segundo, que la combinación de cifrado y coacción pública —filtrar o subastar datos— multiplica la presión psicológica sobre las víctimas y aumenta la probabilidad de pago. Y tercero, que las cadenas de suministro siguen siendo un vector crítico: un ataque contra un proveedor puede encadenar miles de víctimas potenciales en cuestión de horas.
Las respuestas eficaces deben ser igualmente sistémicas: mejores prácticas de ciberhigiene, segmentación de redes, copias de seguridad verificadas, planes de recuperación probados y una colaboración más fluida entre el sector privado y las autoridades. Las agencias de seguridad y grupos de respuesta publican orientaciones que cualquier organización puede consultar para elevar su nivel de defensa; los informes y avisos de entidades como CISA, Europol o las grandes firmas de seguridad son buenos puntos de partida para actualizar políticas y procedimientos técnicos.
Por ahora, lo que existe es una mezcla de avances operativos por parte de las fuerzas de seguridad y la realidad de que muchos de los cerebros detrás de las operaciones siguen fuera del alcance. La investigación del BKA y la difusión pública de datos identificativos buscan reducir ese espacio de impunidad, pero también recuerdan que la lucha contra el ransomware es una tarea larga que combina inteligencia técnica, cooperación internacional y, no menos importante, conciencia empresarial sobre los riesgos y las medidas que realmente disminuyen la probabilidad de ser víctimas.
Si quiere profundizar en los antecedentes técnicos y judiciales de estos episodios, puede consultar el comunicado de la BKA sobre los individuos señalados en los enlaces anteriores, las investigaciones periodísticas que cubrieron la retirada del primer líder de GandCrab y los análisis técnicos y avisos oficiales que documentaron las tácticas de REvil y las consecuencias del ataque a Kaseya, como los publicados por BleepingComputer, Krebs on Security y la advertencia técnica de CISA.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...