Contrataron a un negociador de ransomware y resultó que trabajaba para los atacantes

🤖 ¡Rebajas! ¡Robot aspirador Lefant M5 Pro desploma su precio un 72%! [ Saber más ]

Una empresa sufre un ataque de ransomware, contrata a un especialista para negociar con los ciberdelincuentes y confía en que ese profesional reduzca el rescate. Sin embargo, el negociador comparte en secreto con los atacantes cuánto dinero puede pagar realmente la víctima y qué estrategia piensa seguir.

Parece el argumento de una película, pero eso es precisamente lo que las autoridades estadounidenses atribuyen a Angelo Martino, antiguo negociador de ransomware de DigitalMint, que ha sido condenado a 70 meses de prisión por colaborar con miembros de la organización BlackCat mientras representaba a empresas atacadas.

Martino no se limitó a filtrar datos confidenciales. Según la investigación, recibió parte de los pagos en criptomonedas y terminó consiguiendo acceso como afiliado a la propia plataforma criminal de BlackCat. Junto a otros dos profesionales de la ciberseguridad, habría utilizado después el ransomware para atacar directamente a nuevas víctimas.

Cinco de las empresas a las que supuestamente debía ayudar pagaron en conjunto más de 75 millones de dólares, aproximadamente 64,7 millones de euros. Los investigadores creen que parte de esas cantidades pudo aumentar gracias a la información confidencial que Martino entregó a los extorsionadores.

 

Un negociador de ransomware que trabajaba para el otro bando

Angelo Martino, de 41 años y residente en Florida, trabajaba como negociador para DigitalMint, una compañía especializada en ayudar a organizaciones afectadas por ataques de ransomware.

Su función consistía en comunicarse con los delincuentes, valorar las exigencias económicas y tratar de conseguir que el cliente pagara una cantidad inferior.

Para realizar ese trabajo, Martino tenía acceso a información extremadamente sensible: la cobertura del seguro cibernético de cada empresa, sus límites económicos, la urgencia de recuperar los sistemas y la posición interna de los responsables durante la negociación.

En lugar de utilizar esos datos exclusivamente para proteger a sus clientes, los transmitió en secreto a los afiliados de BlackCat para ayudarles a exigir rescates más elevados. A cambio, recibió una parte de los pagos realizados por las víctimas.

 

La condena asciende a 70 meses de prisión

Martino se declaró culpable de conspiración para interferir en el comercio mediante extorsión, un delito que podía haberle supuesto una pena máxima de 20 años de cárcel.

La defensa había solicitado una condena de 24 meses, destacando que el acusado había colaborado con las autoridades y proporcionado información que ayudó a procesar a sus dos cómplices.

El tribunal terminó imponiendo una pena de 70 meses de prisión, algo menos de seis años. La cifra se encuentra en la parte inferior del intervalo de entre 70 y 87 meses que contemplaban las directrices de sentencia citadas por la acusación.

Además de la pena de cárcel, Martino deberá entregar bienes obtenidos mediante la actividad delictiva y destinar al resarcimiento de las víctimas el 10 % de los ingresos salariales que obtenga después de salir de prisión. La cantidad definitiva de restitución deberá determinarse en un procedimiento separado.

 

Cinco clientes pagaron más de 75 millones de dólares

Las cantidades abonadas por las empresas afectadas muestran hasta qué punto el acceso de Martino a información interna pudo resultar valioso para los atacantes.

Entre abril y septiembre de 2023, cinco víctimas representadas por DigitalMint pagaron rescates que iban desde 213.000 dólares, unos 183.600 euros, hasta aproximadamente 26,8 millones de dólares, cerca de 23,1 millones de euros.

Según la documentación judicial conocida durante el proceso, una organización sin ánimo de lucro pagó cerca de 26,8 millones de dólares, mientras que una empresa de servicios financieros entregó más de 25,6 millones.

Una compañía hotelera habría abonado 16,5 millones de dólares, una empresa minorista 6,1 millones y una organización sanitaria 213.000 dólares.

En conjunto, los pagos superaron los 75 millones de dólares. No todo ese dinero puede atribuirse directamente a Martino, pero la acusación sostiene que la información que proporcionó pudo ayudar a BlackCat a maximizar los importes.

 

Los atacantes conocían el límite de los seguros

Uno de los datos más valiosos en una negociación de ransomware es el límite de cobertura de la póliza cibernética de la víctima.

Saber que una empresa dispone, por ejemplo, de un seguro capaz de cubrir varios millones permite a los atacantes ajustar su exigencia para acercarse al máximo que creen que la organización puede pagar.

Martino facilitó presuntamente a BlackCat tanto esos límites como las posiciones internas de negociación de los clientes.

Los delincuentes podían saber si una empresa estaba desesperada por recuperar sus sistemas, si se planteaba pagar una cantidad determinada o si todavía tenía margen para mejorar su oferta.

Era como jugar una partida de póquer conociendo de antemano las cartas del contrario.

Esta información permitía a los atacantes rechazar rebajas que, sin la filtración, quizá habrían aceptado por miedo a que la víctima abandonara la negociación.

 

Martino utilizaba un canal secreto dentro de BlackCat

Las comunicaciones normales con los atacantes se realizaban mediante el sistema de chat de BlackCat, una herramienta utilizada para negociar el rescate y acordar las condiciones del posible pago.

Sin embargo, Martino también comenzó a comunicarse a través de Tox y de una pestaña de intermediarios separada dentro del panel de BlackCat.

Ese canal solo era visible para él y para los operadores o afiliados del grupo, por lo que los clientes y DigitalMint no podían conocer el contenido de las conversaciones.

Allí habría transmitido los límites de las pólizas, las estrategias internas y otra información confidencial.

El canal paralelo permitió que Martino pareciera negociar en favor de las víctimas mientras ayudaba por detrás a los extorsionadores.

El uso de comunicaciones no autorizadas también ayudó a mantener la conspiración fuera de los controles internos de su empleador.

 

Recibía una parte de los rescates en criptomonedas

La colaboración no era gratuita. A cambio de entregar información confidencial, Martino recibía una parte de los rescates en moneda digital.

Según la acusación, obtuvo millones de dólares en criptomonedas procedentes de la conspiración. Las autoridades lograron incautar una parte importante de esos activos, aunque Martino ya había utilizado fondos para adquirir propiedades y distintos bienes.

Entre los activos relacionados con el acusado se encontraban dos viviendas en Florida, vehículos y una embarcación de pesca de lujo.

Las autoridades estadounidenses han informado de la incautación de más de 10 millones de dólares, aproximadamente 8,6 millones de euros, entre criptomonedas y otros bienes relacionados con el caso.

 

También se convirtió en afiliado de BlackCat

La traición a los clientes fue solo una parte de la actividad criminal. En mayo de 2023, Martino obtuvo acceso como afiliado a la plataforma de BlackCat y compartió esas credenciales con sus colaboradores.

El modelo de ransomware como servicio permite que los administradores desarrollen y mantengan el malware, mientras que los afiliados se encargan de entrar en las redes de las víctimas, robar datos, desplegar el cifrado y negociar los rescates.

A cambio de utilizar la infraestructura criminal, los afiliados entregaban normalmente alrededor del 20 % de los ingresos a los administradores de BlackCat.

Martino pasó así de ayudar secretamente a los atacantes a convertirse directamente en uno de ellos.

Su conocimiento de la negociación de incidentes y sus contactos dentro del ecosistema criminal facilitaron la entrada del grupo de conspiradores en la plataforma.

 

Los tres expertos atacaron a otras cinco empresas

Martino compartió el acceso de afiliado con Kevin Tyler Martin y Ryan Clifford Goldberg.

Martin también había trabajado como negociador de ransomware para DigitalMint, mientras que Goldberg era responsable de respuesta a incidentes en la empresa de seguridad Sygnia.

Los tres utilizaron el ransomware BlackCat contra otras cinco organizaciones estadounidenses que no eran los clientes que Martino estaba representando.

En esos ataques, los conspiradores robaban información, cifraban sistemas y exigían pagos en criptomonedas para proporcionar las claves de recuperación y prometer que no publicarían los datos sustraídos.

Aunque la mayoría de esas víctimas no pagó, todas sufrieron interrupciones, pérdidas operativas y gastos derivados del ataque.

La implicación de profesionales de la respuesta a incidentes convierte el caso en uno de los ejemplos más graves de amenaza interna dentro de la industria de la ciberseguridad.

 

Una empresa de dispositivos médicos pagó 1,2 millones

Uno de esos ataques directos sí terminó generando un pago.

Una compañía de dispositivos médicos entregó aproximadamente 1,2 millones de dólares, alrededor de 1 millón de euros, en bitcoins.

Después de descontar la parte destinada a los administradores de BlackCat, los conspiradores dividieron el resto del dinero entre ellos y utilizaron diferentes mecanismos para blanquearlo.

La exigencia inicial habría sido considerablemente superior al pago final, ya que el grupo llegó a solicitar cantidades de hasta 10 millones de dólares a algunas de sus víctimas.

La participación de una empresa relacionada con el ámbito sanitario también demuestra que las consecuencias del ransomware no se limitan a una pérdida económica.

Cuando un ataque afecta a compañías médicas, los retrasos y caídas de los sistemas pueden terminar repercutiendo sobre pacientes, proveedores y centros sanitarios.

 

Los otros dos conspiradores ya habían sido condenados

Kevin Martin y Ryan Goldberg fueron identificados y procesados antes de que las autoridades revelaran públicamente el nombre de Martino.

Los dos se declararon culpables de participar en la conspiración y posteriormente recibieron penas de cuatro años de prisión.

Martino permaneció inicialmente identificado en los documentos como un tercer conspirador sin nombre.

Su identidad se conoció más adelante, cuando se declaró culpable y aceptó los hechos básicos de la acusación.

La defensa utilizó su cooperación con los investigadores como argumento para solicitar una pena inferior.

Aun así, el tribunal consideró que la gravedad de la traición, el volumen económico de los rescates y el daño causado justificaban una condena considerablemente más alta que los 24 meses solicitados.

 

DigitalMint asegura que también fue una víctima

DigitalMint ha afirmado que desconocía por completo las actividades de Martino y de los demás empleados implicados.

Según la compañía, las acciones fueron ocultadas deliberadamente y violaban tanto la ley como sus normas éticas y procedimientos internos.

La empresa sostiene que despidió a los implicados en cuanto tuvo conocimiento de las acusaciones del Departamento de Justicia y que colaboró plenamente con las autoridades federales.

DigitalMint también ha defendido que contaba con controles habituales en la industria, como comprobaciones de antecedentes y medidas de cumplimiento.

Sin embargo, Martino habría evitado esos mecanismos mediante canales de comunicación separados y no autorizados.

La compañía se considera una víctima indirecta, ya que sus empleados utilizaron su posición y reputación para cometer delitos sin su conocimiento.

El caso, no obstante, plantea preguntas incómodas sobre cómo deben supervisarse las negociaciones realizadas en nombre de clientes que atraviesan una crisis.

 

Sygnia también despidió al empleado implicado

Sygnia, la empresa en la que trabajaba Ryan Goldberg, también señaló que desconocía su participación en la conspiración.

La compañía explicó que lo despidió inmediatamente después de conocer la investigación y que colaboró con el FBI.

Sygnia no figuraba como objetivo de la investigación y las autoridades no la acusaron de participar en los ataques.

Tanto este caso como el de DigitalMint muestran la dificultad de detectar a un empleado que utiliza sus conocimientos técnicos, sus contactos y su acceso profesional fuera de los canales corporativos.

Los controles tradicionales pueden resultar insuficientes cuando el propio especialista sabe exactamente cómo evitar dejar rastros dentro de la organización.

Por ello, el caso probablemente impulsará una revisión de los mecanismos de supervisión aplicados a negociadores y responsables de incidentes externos.

 

BlackCat fue uno de los grupos de ransomware más peligrosos

BlackCat, también conocido como ALPHV, se convirtió en una de las operaciones de ransomware como servicio más importantes de los últimos años.

El grupo ofrecía su infraestructura a afiliados capaces de infiltrarse en empresas y organismos, mientras sus administradores se quedaban con una parte de los ingresos.

El ransomware no se limitaba a cifrar los archivos.

Los atacantes también robaban información antes de bloquear los sistemas y amenazaban con publicarla si la víctima no pagaba, una estrategia conocida como doble extorsión.

BlackCat fue utilizado contra cientos de organizaciones y alcanzó una notoriedad especial por ataques dirigidos al sector sanitario.

Uno de los incidentes más graves fue el sufrido por Change Healthcare en 2024, que provocó importantes interrupciones en el procesamiento de pagos y servicios médicos en Estados Unidos.

Su combinación de cifrado, robo de datos y una red descentralizada de afiliados lo convirtió en un negocio criminal especialmente difícil de desmantelar.

 

El FBI consiguió intervenir parte de su infraestructura

En diciembre de 2023, el FBI anunció una operación contra BlackCat que permitió intervenir varios sitios web utilizados por el grupo.

Las autoridades también desarrollaron una herramienta de descifrado que ayudó a numerosas víctimas a recuperar sus sistemas sin tener que entregar más dinero a los atacantes.

Según las estimaciones divulgadas por las autoridades, esa intervención evitó pagos potenciales por decenas de millones de dólares.

Sin embargo, las operaciones de ransomware como servicio suelen ser muy resistentes.

Los administradores y afiliados pueden cambiar de nombre, trasladarse a nuevas infraestructuras o empezar a trabajar con otros grupos después de que una plataforma sea desmantelada.

Estados Unidos continúa ofreciendo recompensas de hasta 10 millones de dólares, unos 8,6 millones de euros, por información relevante sobre los administradores y principales colaboradores de BlackCat.

La estructura de afiliados también dificulta distinguir entre quienes desarrollan el malware y quienes ejecutan cada ataque concreto.

 

El caso expone un enorme problema de confianza

Cuando una organización sufre un ataque de ransomware, suele encontrarse en uno de los momentos más vulnerables de su historia.

Sus sistemas pueden estar bloqueados, sus datos en manos de delincuentes y sus clientes esperando respuestas.

En esa situación, la empresa entrega a sus asesores de seguridad información que apenas conoce un reducido grupo de directivos.

Un negociador puede conocer la capacidad económica real de la compañía, su póliza de seguro, el impacto de cada hora de interrupción y hasta qué punto está dispuesta a pagar.

El caso Martino demuestra que ese nivel de confianza también puede convertirse en un vector de ataque.

La amenaza no procedía únicamente de los ciberdelincuentes externos, sino de la persona contratada para defender los intereses de la víctima.

 

Las empresas podrían endurecer la supervisión de los negociadores

El caso puede provocar cambios importantes en la forma en que se gestionan las negociaciones de ransomware.

Una posible medida es impedir que un único profesional controle toda la comunicación con los atacantes sin supervisión independiente.

Las organizaciones también pueden registrar y auditar los canales utilizados, limitar la información compartida con cada asesor y exigir que las decisiones importantes sean aprobadas por varias personas.

Otra opción consiste en separar las funciones: un equipo puede analizar el incidente, otro gestionar el seguro y un tercero comunicarse con los atacantes sin conocer todos los límites internos.

También puede resultar útil establecer reglas claras sobre qué información jamás debe comunicarse durante una negociación.

La confianza sigue siendo necesaria, pero debe ir acompañada de trazabilidad, controles cruzados y revisión continua.

El problema es especialmente complejo porque los delincuentes acostumbran a utilizar plataformas propias y comunicaciones cifradas que no siempre pueden integrarse fácilmente en los sistemas de auditoría de una empresa.

 

Pagar un rescate nunca garantiza recuperar la normalidad

El caso también recuerda que pagar un rescate no garantiza que una empresa recupere inmediatamente sus sistemas.

Los descifradores proporcionados por los atacantes pueden ser lentos, defectuosos o incapaces de restaurar todos los datos. Tampoco existe una garantía real de que los delincuentes destruyan la información robada después de recibir el dinero.

En ocasiones, los mismos datos pueden volver a utilizarse para extorsionar a la organización o venderse a terceros.

Además, cada pago contribuye a financiar nuevas campañas y fortalece el modelo de ransomware como servicio.

Sin embargo, algunas organizaciones terminan pagando cuando la interrupción amenaza su supervivencia, la atención sanitaria o servicios esenciales.

Precisamente por eso el papel de un negociador exige un nivel de integridad especialmente elevado.

La víctima confía en que ese profesional reduzca el daño, no en que utilice la crisis para enriquecerse.

 

Una traición difícil de imaginar incluso en el mundo del ransomware

Angelo Martino fue contratado para ayudar a organizaciones que acababan de sufrir uno de los ataques informáticos más devastadores posibles.

En lugar de defenderlas, entregó sus posiciones confidenciales a los delincuentes y recibió una parte de los pagos.

Más tarde, utilizó sus conocimientos y conexiones para desplegar ransomware directamente contra otras empresas.

La condena de 70 meses refleja tanto el daño económico como la extraordinaria violación de confianza que representa el caso.

Las víctimas no solo estaban negociando con BlackCat. También tenían en contra al profesional que debía actuar como su representante.

El episodio deja una lección clara para la industria de la ciberseguridad: incluso los especialistas externos que llegan para ayudar durante una emergencia deben estar sujetos a controles, supervisión y verificación.

La confianza sin mecanismos de vigilancia puede convertirse en una vulnerabilidad tan peligrosa como cualquier fallo de software.

🤖 ¡Rebajas! ¡Robot aspirador Lefant M5 Pro desploma su precio un 72%! [ Saber más ]

¿Cuál es tu reacción?
Sorprendido
0%
Feliz
0%
Indiferente
0%
Triste
0%
Enfadado
0%
Aburrido
0%
Incrédulo
0%
¡Buen trabajo!
0%
Sobre el Autor
Luis A.
Luis es el creador y editor jefe de Teknófilo. Se aficionó a la tecnología con un Commodore 64 e hizo sus pinitos programando gracias a los míticos libros de 🛒 'BASIC para niños' con 11 años. Con el paso de los años, la afición a los ordenadores se ha extendido a cualquier cacharrito que tenga una pantalla y CPU.
Comentarios
Deja un comentario

Deja un comentario