Expertos en ciberseguridad: Dos profesionales del sector admitieron usar ransomware para extorsionar empresas, redefiniendo el concepto de amenaza interna.
El ransomware dejó de ser una amenaza lejana para convertirse en un riesgo interno. El Departamento de Justicia de EE.UU. reveló en diciembre de 2025 un caso que rompe con el estereotipo del ciberdelincuente: dos expertos en ciberseguridad, con acceso a herramientas y conocimientos privilegiados, orquestaron ataques de extorsión contra empresas estadounidenses. La acusación demuestra que la mayor vulnerabilidad puede estar en el mismo equipo que debería proteger.
El 30 de diciembre de 2025, el Departamento de Justicia anunció que Ryan Goldberg (40 años) y Kevin Martin (36 años) se declararon culpables de conspirar para obstruir el comercio mediante extorsión. Ambos enfrentan hasta 20 años de prisión, con sentencia programada para el 12 de marzo de 2026. Los documentos judiciales detallan cómo estos profesionales, con carreras consolidadas, utilizaron su experiencia para ejecutar una red de extorsión que puso en jaque a múltiples empresas.
Perfiles que desafían el estereotipo del ciberdelincuente
Goldberg y Martin no encajaban en el perfil tradicional de hackers. Según el FBI, Goldberg era responsable de respuesta a incidentes en una multinacional, con acceso a vulnerabilidades y protocolos críticos. Martin, por su parte, trabajaba como negociador especializado en extorsiones con ransomware, mediando entre víctimas y atacantes. Su conocimiento de tácticas y debilidades los convirtió en adversarios especialmente peligrosos.
El 20% de los rescates obtenidos se destinaba a los administradores de ALPHV, mientras el resto se repartía entre los acusados y cómplices tras ser lavado en monederos de criptomonedas.
ALPHV: el ransomware como servicio que facilitó el crimen
Los ataques no fueron improvisados. Los acusados utilizaron ALPHV (también conocido como BlackCat), un ransomware operado bajo el modelo de «ransomware como servicio» (RaaS). Este esquema permite a ciberdelincuentes alquilar infraestructura y herramientas para lanzar ataques, compartiendo luego las ganancias con los desarrolladores. La sofisticación de ALPHV, combinada con el conocimiento interno de Goldberg y Martin, maximizó el impacto de sus operaciones.
El precedente oculto: cómo casos similares redefinieron la regulación tecnológica
Este caso no es aislado. Europa ha construido desde 2018 un marco regulatorio que castiga el mal uso de datos, incluso en sectores considerados de bajo riesgo. El Reglamento General de Protección de Datos (GDPR) sentó las bases, pero casos como el de Bright Data en 2021 —multada con 450.000 euros por recopilar datos sin consentimiento— demostraron que las autoridades no distinguen entre gigantes tecnológicos y actores especializados.
El modelo de negocio de empresas como Code Limpieza, multada recientemente, difiere de plataformas como Facebook o Google. Estas compañías operan en un mercado B2B, donde bancos y aseguradoras compran datos depurados para entrenar algoritmos de riesgo crediticio o detección de fraudes. Sin embargo, el 68% de las empresas europeas desconocen el origen de estos datos, un vacío que la Agencia Española de Protección de Datos (AEPD) califica como «riesgo sistémico».
- 2019: Multa de 50 millones de euros a Google por falta de transparencia en el consentimiento de datos.
- 2022: Sanción de 20 millones de euros a Clearview AI por bases de datos biométricas sin consentimiento.
- 2023: Multa de 10.000 euros a una pyme española por usar datos de redes sociales para perfilar clientes.
El efecto dominó: bancos y fintech revisan a sus proveedores
El fallo contra Code Limpieza obliga a las entidades financieras a auditar a sus proveedores de datos. Según la consultora Evident, el 42% de los bancos europeos incorporaron proveedores externos en los últimos dos años para enriquecer sus modelos de scoring. Ahora, la amenaza de sanciones por «responsabilidad solidaria» podría aumentar los costes de compliance entre un 15% y 25%, ralentizando la adopción de tecnologías antifraude.
La paradoja es clara: Europa exige datos limpios, pero el camino para obtenerlos se vuelve más complejo. Este caso no solo expone los riesgos internos en ciberseguridad, sino que también redefine las reglas del juego para un sector que depende de la confianza.
