La fiscalía estadounidense ha imputado a un nuevo ex empleado de DigitalMint por su presunta participación en un esquema en el que negociadores de rescates colaboraban en secreto con la operación de ransomware conocida como BlackCat, también llamada ALPHV. Según los documentos judiciales publicados, el acusado, identificado como Angelo Martino, se entregó a los U.S. Marshals y fue acusado de conspiración para interferir con el comercio interestatal mediante extorsión.
Los registros fiscales describen un patrón inquietante: mientras trabajaba como mediador en incidentes de ransomware para DigitalMint, Martino habría compartido información confidencial sobre negociaciones activas con los operadores de BlackCat. Además, las pesquisas señalan que entre abril de 2023 y abril de 2025 participó directamente en ataques junto a otros cómplices vinculados al mismo grupo, personas que ya habían aparecido en una acusación anterior donde Martino se mencionaba como “Co-Conspirator 1”.
La acusación sostiene que los implicados actuaron como afiliados de BlackCat, extorsionando a víctimas mediante el cifrado y la amenaza de publicar los datos robados. Parte del esquema consistía en pagar a los administradores de BlackCat una fracción de los rescates recaudados —según los fiscales, alrededor del 20%— a cambio del acceso a la infraestructura del grupo y a su portal de extorsión.
Entre las víctimas identificadas figuran al menos cinco organizaciones estadounidenses, con sectores tan diversos como fabricantes de dispositivos médicos, bufetes de abogados, distritos escolares y entidades financieras. Uno de los casos documentados involucra a un fabricante de dispositivos médicos con sede en Tampa que, según la acusación, llegó a pagar 1,27 millones de dólares para recuperar el acceso a sus sistemas.
DigitalMint, la empresa para la que trabajaba Martino, ha declarado públicamente su condena de los hechos, indicando que los implicados fueron despedidos en cuanto se tuvo conocimiento de las conductas y que la compañía ha colaborado con las autoridades desde el inicio de la investigación. En su respuesta, el equipo directivo subrayó que, aunque ningún sistema es infalible frente al riesgo interno, se han reforzado controles y salvaguardas para reducir la probabilidad de episodios similares.
Este caso pone de relieve un problema estructural en la respuesta a incidentes: la confianza que depositan las organizaciones en intermediarios y especialistas para negociar con delincuentes digitales puede convertirse en una puerta trasera si esos mediadores se corrompen o tienen doble vinculación. No se trata solo de errores técnicos o fallos de seguridad perimetrales, sino de la amenaza que supone una amenaza interna con acceso privilegiado a conversaciones sensibles y a la información estratégica de la víctima.
BlackCat/ALPHV no es un actor menor: agencias y reportes independientes han vinculado a este grupo con decenas de brechas y cuantiosas extorsiones en los últimos años. Para contextualizar, organizaciones de seguridad pública y periodistas han documentado la creciente sofisticación de estas redes y el enorme volumen económico involucrado en el negocio del rescate; un ejemplo del análisis sobre prácticas opacas en la industria de recuperación de datos puede leerse en la investigación de ProPublica de 2019, que exploró cómo algunas empresas pagaban a grupos criminales sin transparentarlo con sus clientes.
El episodio abre varias preguntas prácticas y éticas para las empresas que contratan servicios de respuesta a incidentes: ¿cómo auditar la integridad de los negociadores? ¿qué controles deben existir sobre el manejo de información sensible durante una negociación? ¿hasta qué punto confiar en intermediarios que administran pagos y retransmiten comunicaciones? Las respuestas pasan por políticas más estrictas de separación de funciones, supervisión forense continua, controles de acceso reforzados y cláusulas contractuales que obliguen a la transparencia con los clientes y con las autoridades cuando haya indicios de conducta irregular.
En el plano preventivo y de respuesta, las agencias de seguridad recomiendan no solo medidas técnicas sino también procedimientos claros para la gestión de crisis y la relación con proveedores externos. Recursos institucionales como los ofrecidos por el CISA y por el FBI son puntos de referencia útiles para organizaciones que quieran actualizar sus planes contra ransomware y conocer mejores prácticas reconocidas por el sector público.
El caso contra Martino y sus presuntos colaboradores también subraya la importancia de que las empresas reporten incidentes y cooperen con las autoridades. Más allá de la responsabilidad penal que puedan afrontarse los individuos implicados, las investigaciones ayudan a entender las economías delictivas que alimentan la industria del ransomware y a desarrollar defensas colectivas. Las instituciones y los profesionales de la ciberseguridad deben interpretar este tipo de casos como una llamada de atención: la lucha contra el ransomware no se gana solo con parches y copias de seguridad, sino también con gobernanza, transparencia y controles humanos bien diseñados.
Para quien quiera profundizar en los documentos del proceso y en la investigación periodística previa, puede consultarse la imputación citada en los documentos judiciales y la investigación de fondo publicada por ProPublica. Estas fuentes ayudan a comprender cómo la economía del rescate se ha entrelazado con actores que, en algunos casos, debieran ser parte de la defensa de las víctimas y no facilitadores de la extorsión.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...