La Oficina Federal de Investigación Criminal de Alemania (BKA) ha señalado a dos ciudadanos rusos como los supuestos cabecillas detrás de algunas de las operaciones de ransomware más sonadas entre 2019 y 2021. Según las fichas publicadas por la propia institución, se trata de Daniil Maksimovich Shchukin, de 31 años, y Anatoly Sergeevitsch Kravchuk, de 43. La investigación del BKA ubica su actividad al frente de las familias de malware GandCrab y REvil desde, al menos, principios de 2019 hasta julio de 2021.
Los antecedentes de estas bandas ayudan a entender por qué la atención internacional se centró en ellos. GandCrab irrumpió en 2018 y, tras meses de extorsiones y un modelo de operaciones basado en afiliados, su supuesto cabecilla anunció una “jubilación” en 2019. Aquel fin de ciclo no fue inocuo: en su retirada se jactó de beneficios millonarios, y poco después surgió REvil (también conocido como Sodinokibi), formado por antiguos afiliados y operadores que heredaron tácticas y estructuras comerciales.
El modelo de negocio de estos grupos fue simple y efectivo: reclutar afiliados, ofrecer una infraestructura y cobrar una comisión sobre cada rescate. Con el tiempo REvil amplió sus tácticas para presionar a las víctimas: además del cifrado de sistemas, publicaban datos en sitios de filtraciones y organizaban subastas de información robada, una práctica diseñada para forzar pagos incluso cuando el cifrado podía revertirse.
Las consecuencias en Alemania, según el BKA, fueron especialmente graves: los investigadores atribuyen a Shchukin y Kravchuk la participación en al menos 130 casos de extorsión dirigidos a empresas locales. De esas acciones, al menos 25 víctimas realizaron pagos que suman unos 2,2 millones de dólares, mientras que los daños totales derivados de sus campañas se estiman en más de 40 millones de dólares. La magnitud global de REvil, sin embargo, se aprecia mejor al recordar incidentes internacionales como los ataques a gobiernos locales en Texas, la intrusión contra Acer o, sobre todo, el incidente masivo contra la plataforma de gestión VSA de Kaseya, que produjo un efecto dominó en cerca de 1.500 organizaciones clientes.
La secuencia entre GandCrab y REvil también muestra cómo una cibermafia puede evolucionar: GandCrab cerró su etapa con la promesa de una retirada tras un supuesto botín millonario, y REvil aprovechó la experiencia de sus afiliados para profesionalizar la oferta criminal y convertirse en una de las operaciones más lucrativas y visibles de la década. Para contextualizar la gravedad de la campaña contra Kaseya y su impacto en la cadena de suministro, existen informes técnicos y avisos de agencias como la CISA, mientras que el detalle periodístico sobre los movimientos y declaraciones de los grupos se ha seguido en medios especializados como BleepingComputer.
Tras la actividad más intensa de REvil en 2021 y el impacto de operaciones como la de Kaseya, las fuerzas del orden comenzaron a interferir en su infraestructura. En algunos momentos hubo interrupciones de servidores y acciones coordinadas por distintos países, y en enero de 2022 se registraron detenciones en Rusia que afectaron a varios sospechosos vinculados a la red; sin embargo, hay informes que indican liberaciones posteriores tras cumplir condenas por delitos distintos, como carding.
El BKA señala que ambos investigados probablemente se encuentran actualmente en territorio ruso y ha pedido la colaboración ciudadana para recabar pistas sobre su paradero. Con ese fin la policía alemana ha hecho públicas fotografías y detalles identificativos, incluidas imágenes de tatuajes, con la intención de facilitar su localización. Además, se han creado entradas en el portal europeo de más buscados para ampliar la visibilidad internacional de la búsqueda, por ejemplo en el sitio de EU Most Wanted.
Más allá de perseguir individuos concretos, este caso vuelve a poner en primer plano dos realidades incómodas: la profesionalización del crimen cibernético y la dificultad para responsabilizar legalmente a sus autores cuando operan desde países que, por distintas razones, no colaboran plenamente con las investigaciones internacionales. Mientras las agencias policiales intercambian datos y piden la colaboración de la ciudadanía, las empresas y administraciones siguen confrontando la necesidad de invertir en medidas preventivas y en planes de respuesta que reduzcan la dependencia de pagar rescates.
La lección es doble: por un lado, la persecución y la cooperación internacional pueden identificar a presuntos responsables y afectar sus operaciones; por otro, la arquitectura misma del delito informático—afiliados, mercados de servicios y salida de fondos a través de canales opacos—hace que el riesgo persista incluso cuando líderes concretos quedan al descubierto. Para quienes gestionan seguridad en organizaciones, el mensaje es claro: reforzar copias, segmentar redes y preparar planes de contingencia deja de ser una buena práctica para convertirse en la primera línea de defensa contra operaciones cada vez más sofisticadas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...