Negociador de ransomware se declara culpable de colaborar con cibercriminales

En el oscuro ecosistema del cibercrimen, donde las fronteras entre el rescate y la extorsión son cada vez más difusas, ha surgido una figura que redefine el concepto de traición corporativa: el infiltrado de guante blanco. El 27 de abril de 2026, el Departamento de Justicia de los Estados Unidos (DOJ) marcó un hito histórico al anunciar la declaración de culpabilidad de Angelo Martino, un profesional que operaba bajo la fachada de un aliado protector. Martino, quien se desempeñaba como un negociador de ransomware de alto nivel, ha admitido haber conspirado con el grupo de ciberdelincuentes Blackcat/ALPHV, transformando su rol de mediador en el de un facilitador de extorsiones millonarias.

Este caso no es solo un expediente judicial más; es el síntoma de una vulnerabilidad sistémica en la cadena de suministro de la ciberseguridad. Las empresas que enfrentan un ataque de ransomware suelen encontrarse en su momento de mayor debilidad, confiando ciegamente en firmas de respuesta a incidentes (IR) para mitigar daños. Sin embargo, Martino demostró que incluso el “escudo” puede tener un precio, vendiendo información confidencial a los atacantes para asegurar que las víctimas pagaran el máximo posible.

La anatomía de una traición: El Negociador de ransomware como doble agente

El esquema operado por Angelo Martino, de 41 años y residente de Land O’ Lakes, Florida, es digno de un thriller de espionaje digital. Mientras trabajaba para la firma de respuesta a incidentes DigitalMint, con sede en Chicago, Martino fue asignado para asistir a víctimas que habían sido infectadas con el temido malware de Blackcat. Su misión oficial era reducir el impacto financiero de los ataques, negociando rebajas en los rescates exigidos en criptomonedas. No obstante, las investigaciones revelaron que Martino estaba operando en el bando contrario.

El negociador de ransomware proporcionaba a los operadores de Blackcat detalles técnicos y financieros que eran letales para la defensa de las víctimas. Entre la información filtrada se incluían:

• Límites de las pólizas de ciberseguro: Al conocer exactamente cuánto cubriría el seguro de la empresa, los atacantes sabían que no debían bajar sus exigencias por debajo de esa cifra.
• Posiciones internas de negociación: Martino revelaba el “precio de reserva” de las víctimas, es decir, la cantidad máxima que la junta directiva estaba dispuesta a pagar antes de considerar la pérdida total de los datos.
• Capacidades de recuperación: Informaba a los criminales si la empresa tenía copias de seguridad viables, lo que eliminaba cualquier “bluff” o estrategia de presión por parte de la víctima durante la negociación.

Esta colaboración permitió que Blackcat/ALPHV maximizara sus ganancias de manera quirúrgica, eliminando la incertidumbre que suele caracterizar a las negociaciones de rescate.

El triunvirato del fraude: Martino, Goldberg y Martin

Martino no actuó solo. El caso ha destapado una red de profesionales de la ciberseguridad que “se pasaron al lado oscuro”. Sus cómplices, Ryan Goldberg (exgerente de respuesta a incidentes en la firma Sygnia) y Kevin Martin (también empleado de DigitalMint), formaban un triángulo de inteligencia que permitía no solo optimizar las negociaciones, sino también desplegar ataques de manera directa.

Según los documentos judiciales, este grupo de expertos utilizó sus conocimientos técnicos para ayudar a desplegar el ransomware Blackcat contra al menos cinco empresas estadounidenses entre abril y noviembre de 2023. En un caso particularmente lucrativo, los tres hombres se dividieron un rescate de 1,2 millones de dólares en Bitcoin tras extorsionar con éxito a una víctima, lavando los fondos a través de complejos mezcladores de criptomonedas para ocultar el rastro delictivo.

Impacto financiero y activos incautados

La magnitud del daño económico causado por Martino y sus asociados es escalofriante. Las autoridades estiman que el grupo ayudó a extraer un total combinado de 75,3 millones de dólares de solo cinco empresas. Los sectores afectados incluyeron:

1. Hospitalidad: Una firma del sector pagó 16,5 millones de dólares bajo la “guía” traicionera de Martino.
2. Servicios Financieros: Una entidad fue obligada a desembolsar 25,7 millones de dólares.
3. Organizaciones sin fines de lucro: Incluso sectores vulnerables fueron blanco, con un pago registrado de 26,8 millones de dólares.

La respuesta de la ley ha sido contundente. Hasta la fecha, el gobierno de los Estados Unidos ha incautado aproximadamente 10 millones de dólares en activos pertenecientes a Martino. El botín confiscado refleja un estilo de vida de excesos financiado por el cibercrimen: moneda digital en 21 billeteras diferentes, vehículos de lujo, una propiedad frente a la bahía valorada en 1,79 millones de dólares, e incluso un barco de pesca de lujo y un “food truck”.

Angelo Martino se enfrenta ahora a una pena máxima de 20 años de prisión federal por cargos de conspiración para cometer extorsión. Su sentencia está programada para el 9 de julio de 2026, mientras que sus cómplices, Goldberg y Martin, quienes se declararon culpables anteriormente, recibirán sus condenas a finales de abril de este mismo año.

Blackcat/ALPHV: El socio en el crimen

Para entender la gravedad de la complicidad de un negociador de ransomware con Blackcat, es necesario analizar la peligrosidad de este grupo. Blackcat (también conocido como ALPHV o Noberus) surgió a finales de 2021 como uno de los grupos de Ransomware-as-a-Service (RaaS) más sofisticados del mundo. Fue el primero en utilizar el lenguaje de programación Rust, lo que le otorgó una velocidad de cifrado superior y una gran capacidad de evasión frente a los sistemas de detección tradicionales.

El grupo es famoso por su táctica de triple extorsión:
1. Cifrado de datos.
2. Amenaza de filtración de información sensible (Doxing).
3. Ataques de denegación de servicio (DDoS) para presionar aún más a la víctima.

Al tener a un infiltrado como Martino dentro de las firmas de respuesta a incidentes, Blackcat neutralizó la única defensa efectiva que tenían las empresas: la estrategia de negociación. El “negociador de ransomware” se convirtió en el arma más poderosa del arsenal de los atacantes, permitiéndoles saber cuándo presionar y cuándo esperar, basándose en datos reales y no en suposiciones.

La crisis de confianza en la industria de ciberseguridad

Este caso ha provocado lo que muchos expertos denominan un “ajuste de cuentas” en la industria de la ciberseguridad. Si las empresas no pueden confiar en los profesionales contratados para salvarlas, el modelo actual de respuesta a incidentes queda herido de muerte. La vulnerabilidad aquí no fue un fallo en el firewall o una contraseña débil, sino un insider threat (amenaza interna) en el nivel más alto de confianza.

El Departamento de Justicia, a través del Fiscal General Adjunto A. Tysen Duva, fue enfático: “Los clientes de Angelo Martino confiaron en él para responder a las amenazas y ayudar a remediarlas. En cambio, los traicionó… dañando a las víctimas, a su propio empleador y a toda la industria de respuesta a incidentes”.

Recomendaciones para las empresas en la era post-Martino

Ante este panorama, el enfoque de “Zero Trust” (Confianza Cero) debe extenderse más allá de la red técnica y aplicarse a las relaciones comerciales de ciberseguridad. Las organizaciones deben considerar las siguientes medidas preventivas:

• Segregación de funciones: Nunca se debe permitir que la misma persona o firma que gestiona la negociación sea la encargada exclusiva de manejar el pago del rescate o de tener acceso total a las pólizas de seguro sin supervisión legal externa.
• Auditorías de antecedentes rigurosas: Las firmas de IR deben implementar controles continuos de integridad para sus consultores, especialmente para aquellos que operan en mercados de criptomonedas.
• Transparencia en las pólizas: Los detalles de las pólizas de ciberseguro deben ser tratados como “información compartimentada”, accesible solo para un círculo extremadamente reducido de ejecutivos y asesores legales.
• Protocolos de comunicación externa: Monitorear los canales de comunicación de los consultores externos durante un incidente activo para detectar exfiltraciones de datos hacia servidores no autorizados o aplicaciones de mensajería cifrada como Signal.

Conclusión: Un precedente necesario

El caso de Angelo Martino marca el fin de la inocencia para la industria de la negociación de rescates. El hecho de que un negociador de ransomware haya cruzado la línea para convertirse en un afiliado activo de Blackcat subraya la inmensa rentabilidad del cibercrimen y cómo esta puede corromper incluso a los expertos más veteranos.

A medida que nos adentramos en 2026, la lección es clara: en la guerra contra el ransomware, la mayor amenaza no siempre viene de un servidor remoto en el extranjero; a veces, está sentada en la mesa de negociaciones, usando el título de protector. La condena de Martino enviará un mensaje poderoso a otros “facilitadores” que consideren lucrar con la desgracia de sus clientes, pero el daño a la confianza colectiva en la cadena de suministro de ciberseguridad tardará años en sanar.