La policía criminal federal de Alemania (BKA) ha declarado públicamente lo que durante años fue un misterio en los círculos de ciberseguridad: la identidad real del principal rostro detrás de la familia de ransomware REvil, también conocida como Sodinokibi. Tras una investigación que combina técnicas forenses digitales y cooperación internacional, las autoridades han señalado a un individuo que operaba bajo el seudónimo UNKN, y que ahora figura en la lista de buscados como Daniil Maksimovich Shchukin, un ciudadano ruso de 31 años. El anuncio fue recogido por investigadores y periodistas especializados, entre ellos Brian Krebs, y formalizado en los comunicados de la propia BKA.
Según las acusaciones, Shchukin no actuaba en solitario: habría sido el representante público y uno de los líderes operativos de la red de extorsión que, en su momento, alcanzó gran notoriedad por su modelo de negocio tipo "ransomware-as-a-service" (RaaS). Junto a él, las autoridades han identificado a Anatoly Sergeevitsch Kravchuk, de 43 años y nacido en la ciudad de Makiivka, señalado como el desarrollador que contribuyó al núcleo técnico del malware. Ambos están implicados en una larga cadena de incidentes en territorio alemán, donde las investigaciones atribuyen al grupo más de un centenar de ataques y pérdidas económicas millonarias para las víctimas.
El esquema RaaS que empleaba REvil permitía a sus operadores centralizar el desarrollo del código malicioso y a la vez reclutar afiliados que lanzaban las campañas y negociaban rescates. Esa estructura facilitó la expansión global del grupo y su capacidad para alcanzar objetivos de alto perfil, como grandes empresas del sector alimentario y proveedores de servicios gestionados que fueron víctimas en años recientes. El modelo profesionalizado y la externalización de la ejecución hicieron de REvil una de las amenazas más rentables y dañinas del cibercrimen moderno.
En Alemania, las cifras que la BKA atribuye al dúo son contundentes: alrededor de 130 ataques imputados en ese país, de los cuales una fracción desembocó en pagos de rescate (unos 25 casos con pagos que suman casi dos millones de euros) y daños económicos totales que, según las estimaciones policiales, superan los treinta y cinco millones de euros. Estas cifras no solo reflejan el coste directo de los rescates, sino también las pérdidas operativas, de reputación y los gastos asociados a la recuperación y mitigación de las intrusiones.
La historia de REvil es también un mapa de cómo el cibercrimen puede fragmentarse y reaparecer. Originado como evolución del conocido GandCrab, el grupo alcanzó su apogeo entre 2019 y 2021, desapareciendo brevemente a mediados de 2021 y volviendo a dejar rastro hasta que, en otoño de ese mismo año, operaciones policiales contra su infraestructura y colaboraciones internacionales complicaron su visibilidad pública. Aquella coyuntura motivó arrestos y clausuras de sitios de filtración de datos en múltiples países, una respuesta que puso de manifiesto la importancia de la cooperación entre fuerzas de seguridad. Para comprender el impacto más amplio del fenómeno y las recomendaciones para organizaciones, es útil consultar recursos de referencia como los publicados por la CISA.
La evolución del caso siguió con maniobras legales y arrestos que se extendieron en distintos países. Autoridades rumanas y rusas anunciaron detenciones de personas vinculadas a la red, y en 2022 el servicio de seguridad ruso (FSB) hizo público que había desarticulado a miembros relacionados con la familia REvil. Informes posteriores indicaron condenas penales para varios implicados, un desarrollo recogido en la prensa internacional, incluida la cobertura de Kommersant sobre sentencias dictadas en 2024.
Más allá de los nombres y las cifras, el caso incluye episodios que ilustran la naturaleza humana detrás de muchos cibercriminales: en una entrevista realizada años atrás, el actor que usaba el alias UNKN relató un pasado de privaciones y describió su paso desde la marginalidad hasta un nivel de vida que él mismo calificó de próspero, además de atribuir a la organización una red amplia de afiliados. Esa mezcla de narrativa personal, habilidades técnicas y oportunidades criminales explica en parte por qué grupos como REvil han podido reclutar talento y escalar sus operaciones con rapidez. Para leer entrevistas y análisis en profundidad sobre estos protagonistas, se puede consultar trabajos de investigación periodística y reportes especializados, como los publicados en The Record y otras plataformas de seguridad.
El caso también deja lecciones prácticas para empresas y responsables de políticas. En primer lugar, la atribución y detención de individuos en el ciberespacio requiere una combinación de técnicas forenses, inteligencia colaborativa y voluntad política transnacional. En segundo lugar, la persistencia de modelos RaaS pone de relieve la necesidad de invertir en prevención: segmentación de redes, copias de seguridad fuera de línea, formación del personal y acuerdos claros para la respuesta ante incidentes. Finalmente, la evolución de REvil demuestra que cerrar un servicio o arrestar a algunos cabecillas no es garantía de que la amenaza desaparezca; con frecuencia, los conocimientos y herramientas mutan y reaparecen bajo otras formas o en manos de nuevos actores.
En la práctica, esto implica que el combate contra el ransomware debe combinar la persecución judicial con medidas proactivas y una mejor preparación de las víctimas potenciales. Mientras las investigaciones en torno a Shchukin y Kravchuk siguen su curso y las autoridades intentan cerrar las brechas que permiten estas economías criminales, las organizaciones tienen la responsabilidad de aprender del pasado reciente y reforzar sus defensas. La historia de REvil es, en definitiva, un recordatorio de que la seguridad digital es una labor continua y colectiva, en la que el intercambio de información entre público y privado y la cooperación internacional son piezas claves para intentar evitar que se repitan daños de escala similar.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...