La traición interna que costó millones a las víctimas del ransomware

| 14 de julio de 2026
La traición interna que costó millones a las víctimas del ransomware

Cuando un grupo de ransomware bloquea tus servidores, el negociador externo que contratas tiene que saberlo todo sobre ti para poder negociar un rescate más bajo. Le cuentas qué cubre tu seguro cibernético y cuánto está dispuesto a pagar tu consejo de administración. No te queda otra. Esa es precisamente la razón por la que lo contratas.

Pero, ¿y si tu negociador de confianza resulta ser un estafador?

Angelo Martino, un negociador especializado en ransomware de 41 años que trabaja en DigitalMint, una empresa de respuesta a incidentes con sede en Chicago, dedicó siete meses de 2023 a gestionar toda esa información. Pero, en lugar de utilizarla para ayudar a minimizar los daños a los clientes de su empresa, se la pasó directamente a la banda de ransomware BlackCat que los estaba extorsionando. A cambio, obtuvo una parte de los beneficios ilícitos.

El 3 de julio fue condenado a 70 meses de prisión federal por conspiración para obstaculizar el comercio interestatal mediante extorsión.

La pestaña de chat privado

A partir de abril de 2023, Martino utilizó un canal de chat intermediario —al que su empresa no tenía acceso— para transmitir información confidencial de los clientes a los negociadores de la banda de ransomware BlackCat/ALPHV. Esto le permitió facilitar información valiosa sobre los límites de las pólizas de ciberseguro de los clientes y sus debates internos sobre las negociaciones. En resumen, les indicó a los atacantes qué debían exigir.

Pidieron una cantidad considerable. Cinco clientes de DigitalMint, cuyas negociaciones llevó a cabo Martino, pagaron rescates de entre 213 000 y 26,8 millones de dólares entre abril y septiembre de 2023, lo que supuso un total de más de 75 millones de dólares. Entre las víctimas se encontraban una empresa del sector hotelero, una organización sin ánimo de lucro, una empresa de servicios financieros, una empresa minorista y una empresa del sector sanitario. Todas ellas habían contratado a DigitalMint para que les prestara asistencia.

En un caso, Martino explicó a DigitalMint que estaba enviando a los atacantes la oferta de rescate de un cliente, mientras que, en secreto, le decía a la banda de ransomware que el cliente pagaría 2 millones de dólares más. El cliente acabó pagando esa cantidad adicional debido a sus acciones.

Entonces la cosa empeoró

Al parecer, proporcionar información a BlackCat no fue suficiente. En mayo de 2023, Martino se registró él mismo como afiliado de BlackCat y compartió ese acceso con Kevin Martin, otro negociador de DigitalMint, y con Ryan Goldberg, responsable de respuesta a incidentes de Sygnia. Los tres llevaban conspirando desde el año anterior para llevar a cabo esta operación, incluso antes de que DigitalMint contratara a Martin.

El trío comenzó a utilizar BlackCat directamente contra otras víctimas. Entre sus ganancias figuraban 1,2 millones de dólares procedentes de una empresa de dispositivos médicos. Martin y Goldberg fueron condenados cada uno a cuatro años de prisión en abril de 2026. Las autoridades también incautaron a Martino activos por valor de unos 10 millones de dólares, entre los que se incluían criptomonedas, vehículos, un food truck y un barco de pesca de lujo. No es que pasara precisamente desapercibido.

BlackCat fue una operación de ransomware especialmente perversa. Se centró en centros sanitarios e incluso publicó fotos de las pruebas de imagen de cáncer de mama de las víctimas. Después de que las fuerzas del orden desarticularan la infraestructura de la banda en diciembre de 2023, el FBI publicó una herramienta de descifrado para ayudar a las víctimas a recuperar sus archivos.

Es necesario mejorar los procesos de selección y seguimiento

DigitalMint afirma que no tenía conocimiento de la estafa y que Martino ocultó deliberadamente sus acciones a la empresa. Al igual que Sygnia, despidió a los empleados después de que el Departamento de Justicia les informara de los delitos.

No tenemos motivos para poner en duda las alegaciones de desconocimiento de las empresas, y tampoco lo hizo el tribunal. Esto resulta, posiblemente, aún más preocupante, ya que significa que los procedimientos de control y supervisión que tenían establecidos las organizaciones no lograron descubrir una conspiración delictiva de siete meses de duración en la que participaron tres empleados de dos empresas diferentes.

Se podría decir que Martino se ha librado con poco. Las directrices federales sobre imposición de penas recomendaban entre seis y 7,25 años de prisión, y la fiscalía había solicitado una pena que se situara en el punto medio de ese intervalo. En cualquier caso, pasará gran parte del resto de la década entre rejas. El 17 de septiembre está prevista una vista para determinar la cuantía de la indemnización que deberá pagar.


No nos limitamos a informar de las amenazas: las eliminamos

Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.

Acerca del autor

Danny Bradbury es periodista especializado en tecnología desde 1989 y escritor independiente desde 1994. Cubre una amplia variedad de temas tecnológicos para públicos que van desde los consumidores hasta los desarrolladores de software y los directores de sistemas de información. También escribe artículos para muchos directivos del sector tecnológico. Es originario del Reino Unido, pero ahora vive en el oeste de Canadá.