El caso que ha salpicado a la industria de la respuesta a incidentes y al negocio de la negociación de rescates revela una dimensión incómoda: personas con acceso privilegiado a información sensible que, en vez de proteger a las víctimas, la usan para maximizar el botín de los atacantes. Según documentos judiciales, Angelo Martino —un exempleado de la firma de respuesta a incidentes DigitalMint— se declaró culpable por su papel en una serie de ataques de ransomware vinculados a la operación BlackCat (también conocida como ALPHV) entre 2023 y 2025. Puede consultarse el expediente en los documentos publicados por la corte en DocumentCloud.
La acusación no se queda en una historia aislada: Martino actuó junto a otros dos negociadores que trabajaban para firmas de respuesta a incidentes —identificados como Kevin Tyler Martin y Ryan Clifford Goldberg— y los tres enfrentan cargos por conspiración para extorsionar y por daños intencionales a sistemas informáticos protegidos. De acuerdo con la fiscalía, mientras desempeñaban tareas de negociación para víctimas, filtraban información clave sobre las posiciones de negociación y los límites de las pólizas de seguro, lo que permitió a los operadores de BlackCat exigir sumas cercanas al máximo posible. Los documentos señalan además que, como afiliados de BlackCat, estos individuos pagaban a los administradores del grupo una comisión del 20% por el acceso al malware y al portal de extorsión.
El impacto económico descrito en la acusación es contundente: entre las víctimas hay desde despachos legales y escuelas hasta centros médicos y empresas de servicios financieros. En algunos casos se registraron pagos de rescate de cifras extraordinarias, con ejemplos que alcanzan más de 25 millones de dólares por víctima. Esas magnitudes subrayan la elevada profesionalización y rentabilidad —para los criminales— de las operaciones de ransomware en los últimos años.
La revelación de que negociadores profesionales hayan colaborado con un grupo criminal plantea preguntas sobre la confianza que las organizaciones depositan en quienes les ayudan a gestionar crisis cibernéticas. El papel tradicional del negociador es reducir el daño: evaluar la situación, aconsejar sobre opciones y, en su caso, negociar la liberación de datos o claves. Cuando ese rol se corrompe, la víctima queda doblemente expuesta: primero por la intrusión inicial y luego porque la información que debería protegerse ayuda a inflar la extorsión.
Desde la perspectiva organizativa, la respuesta de DigitalMint fue rápida y tajante: la compañía comunicó que había despedido a los empleados implicados tras descubrir las conductas denunciadas y que condenaba los hechos. La reacción de la firma, recogida en reportes periodísticos, apunta a la necesidad de controles internos más rigurosos en empresas que manejan información crítica durante incidentes de seguridad. Para leer la cobertura que recoge la reacción de la compañía y otros detalles, véase la pieza de BleepingComputer.
Más allá de este caso concreto, BlackCat/ALPHV ha sido señalado por agencias de seguridad como uno de los grupos de ransomware más activos y con mayor capacidad de monetización. El FBI y otras entidades de seguridad han documentado docenas de brechas relacionadas con el grupo y estimaron que los operadores y afiliados recaudaron cientos de millones de dólares en pagos de rescates durante períodos recientes. Para entender el contexto más amplio en el que operan estas bandas y las recomendaciones sobre cómo prepararse y responder, las páginas de organismos como la CISA y el FBI ofrecen guías y alertas que pueden consultarse en CISA - Ransomware y en la sección de ciberinvestigaciones del FBI.
Este episodio deja lecciones claras para empresas, aseguradoras y proveedores de servicios de respuesta: los controles de acceso, la segregación de funciones, la monitorización de actividad interna y la verificación de integridad de quienes participan en la gestión de incidentes no son opcionales. Las firmas de respuesta deben auditar sus procesos y demostrar que actúan con transparencia, porque el valor más importante en un ataque no es solo la capacidad técnica para recuperar sistemas, sino la confianza que mantienen con la víctima.
También hay una dimensión regulatoria y de mercado. A medida que los rescates superan cifras enormes, crece el escrutinio sobre compras de seguros cibernéticos y sobre la forma en que se reportan y gestionan los incidentes. Reguladores, aseguradoras y clientes finales exigirán cada vez más garantías sobre la ética y la trazabilidad de las negociaciones y las decisiones que se tomen en nombre de una organización afectada. Si la industria no incorpora salvaguardas efectivas, la confianza, pilar del negocio de la ciberseguridad, puede erosionarse.
Finalmente, para quienes trabajan en seguridad o dirigen organizaciones, el caso sirve de alerta: no basta con contratar especialistas; hay que comprobar su conducta, limitar privilegios y establecer mecanismos que detecten y prevengan abusos. El ecosistema del ransomware evoluciona rápidamente, tanto en técnicas como en modelos económicos, y eventos como el que involucra a Martino, Martin y Goldberg recuerdan que las amenazas también pueden venir del interior.
Para profundizar en las pruebas presentadas por la fiscalía y en los cargos formales, puede consultarse el expediente en DocumentCloud. Para contexto sobre BlackCat/ALPHV y recursos de mitigación, la CISA mantiene materiales útiles en su página sobre ransomware, y el FBI publica investigaciones y alertas en su portal de ciberinvestigaciones.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
YellowKey El fallo de BitLocker que podría permitir a un atacante desbloquear tu unidad con solo acceso físico
Microsoft ha publicado una mitigación para una vulnerabilidad de omisión de seguridad de BitLocker conocida como YellowKey (CVE-2026-45585), después de que su prueba de concepto...