Por Canuto Angelo Martino, un exnegociador de ransomware en Florida, admitió haber filtrado información confidencial a operadores de ALPHV/BlackCat y participar directamente en ataques contra víctimas en Estados Unidos, en un caso que vuelve a poner bajo la lupa los riesgos internos dentro de la industria de respuesta a incidentes.
***
- Angelo Martino se declaró culpable de conspiración para inyectar ransomware y extorsionar a empresas en EE. UU.
- El exnegociador admitió haber entregado a BlackCat datos sensibles de cinco víctimas, incluyendo límites de seguros y estrategias de negociación.
- Las autoridades dijeron haber incautado USD $10.000.000 en activos, entre ellos moneda digital, vehículos, un camión de comida y un barco de pesca.
Un exnegociador de ransomware en Estados Unidos se declaró culpable de colaborar con la misma estructura criminal que, en teoría, debía ayudar a contener. El caso involucra a Angelo Martino, de 41 años y residente en Land O’Lakes, Florida, quien admitió haber apoyado a operadores del ransomware BlackCat, también conocido como ALPHV, mientras trabajaba para una empresa estadounidense de respuesta a incidentes cibernéticos.
La admisión de culpabilidad fue anunciada por el Departamento de Justicia de EE. UU. en un comunicado de prensa el 20 de abril.
Según los documentos judiciales, Martino abusó de su cargo desde abril de 2023 para entregar a actores de BlackCat información confidencial obtenida durante negociaciones con víctimas afectadas por ransomware. Entre los datos filtrados figuraban los límites de las pólizas de seguro y las posiciones internas de negociación de los clientes.
El caso resulta especialmente delicado porque expone una falla desde adentro de la industria de ciberseguridad. En vez de actuar exclusivamente en defensa de las víctimas, Martino jugó en ambos lados de la negociación en cinco incidentes distintos. De acuerdo con los fiscales, esa información ayudó a maximizar los pagos de rescate que debían asumir las empresas atacadas.
Además de filtrar datos, Martino también admitió haber participado de forma activa en la conspiración para desplegar ransomware. Las autoridades sostienen que trabajó junto a Ryan Goldberg, de Georgia, y Kevin Martin, de Texas, para lanzar ataques exitosos con BlackCat entre abril y noviembre de 2023 contra múltiples víctimas repartidas por todo Estados Unidos.
Una traición desde el corazón de la respuesta a incidentes
Para lectores menos familiarizados con este tipo de casos, un negociador de ransomware suele ser un intermediario contratado por empresas afectadas para comunicarse con los atacantes, reducir el monto exigido y evaluar opciones de recuperación. Ese rol exige acceso a información altamente sensible y una confianza extrema por parte de las víctimas.
Según el Departamento de Justicia, Martino aprovechó precisamente ese acceso privilegiado. Mientras se desempeñaba como negociador en nombre de cinco víctimas diferentes, compartió con los atacantes detalles que no contaban con autorización ni de los clientes ni de su empleador. A cambio, los operadores de BlackCat le pagaron por la información entregada.
El fiscal general adjunto A. Tysen Duva afirmó que los clientes confiaron en Martino para responder a amenazas de ransomware y ayudar a frustrarlas o remediarlas, pero que en su lugar los traicionó y comenzó a lanzar ataques de ransomware él mismo al asistir a ciberdelincuentes. Duva agregó que con ello perjudicó a las víctimas, a su empleador y a toda la industria de respuesta a incidentes cibernéticos.
Jason A. Reding Quiñones, fiscal de Estados Unidos para el Distrito Sur de Florida, dijo que las víctimas acudieron al acusado en busca de ayuda y que él las traicionó desde dentro. Añadió que el caso deja claro que quien convierta el acceso interno y la experiencia en ciberseguridad en un arma contra víctimas en el sur de Florida o en cualquier parte del país será procesado.
Bitcoin, lavado de fondos e incautaciones millonarias
Uno de los detalles más relevantes para el ecosistema cripto es que, según las autoridades, los implicados extorsionaron con éxito a una víctima por aproximadamente USD $1.200.000 en Bitcoin. Después de obtener ese pago, Martino, Goldberg y Martin dividieron su parte del rescate en tres porciones iguales y blanquearon los fondos por diversos medios.
El uso de Bitcoin en esquemas de ransomware no implica responsabilidad de la red en sí, pero sí muestra por qué los organismos de seguridad siguen rastreando pagos en moneda digital cuando investigan extorsión y lavado. En este caso, el Departamento de Justicia aseguró que ya logró incautar USD $10.000.000 en activos vinculados a Martino.
Esos bienes incluyen moneda digital, vehículos, un camión de comida y un lujoso barco de pesca. Según la acusación, todos fueron obtenidos con ganancias del delito o adquiridos como resultado de la actividad criminal. El decomiso refuerza una estrategia habitual de las autoridades: no solo buscar condenas penales, sino también privar a los acusados del producto económico del ransomware.
Martino se declaró culpable de un cargo de conspiración para obstruir, retrasar o afectar el comercio o el movimiento de cualquier artículo o mercancía en el comercio mediante extorsión. Enfrenta una pena máxima de 20 años de prisión y su sentencia fue fijada para el 9 de julio. Como ocurre en estos procesos, el castigo final dependerá de la valoración judicial conforme a las directrices federales y otros factores legales.
BlackCat, un modelo de ransomware como servicio
ALPHV, o BlackCat, operaba bajo el esquema conocido como ransomware como servicio. En este modelo, un grupo central desarrolla y mantiene el malware, mientras afiliados externos lo despliegan contra las víctimas. Luego, las ganancias del rescate se reparten entre los operadores y quienes ejecutan los ataques.
Ese formato ha sido uno de los motores del crecimiento del ransomware en los últimos años, porque reduce barreras de entrada para criminales con distintas capacidades técnicas. El caso de Martino es particularmente llamativo porque muestra cómo profesionales con experiencia legítima en defensa cibernética pueden convertirse en afiliados o facilitadores de esas redes.
Según informó TechCrunch al reseñar el caso, Martino es el tercer negociador de ransomware en el último año que enfrenta prisión por este mismo esquema. El medio también recordó que en 2025 las autoridades estadounidenses acusaron a Kevin Tyler Martin, entonces empleado de DigitalMint, y a Ryan Clifford Goldberg, exgerente de respuesta a incidentes de Sygnia, por haberse desviado para ayudar a la banda que supuestamente combatían en su trabajo diario.
En diciembre de 2025, Martin y Goldberg se declararon culpables del mismo cargo, de acuerdo con el comunicado oficial. Ambos tienen prevista su sentencia para el 30 de abril y cada uno enfrenta también una pena máxima de 20 años de prisión.
Golpe previo contra BlackCat y contexto del caso
El anuncio de la declaración de culpabilidad de Martino se suma a acciones previas del gobierno estadounidense contra BlackCat. En diciembre de 2023, el Departamento de Justicia y el FBI interrumpieron la operación de ransomware, confiscaron varios sitios web utilizados por la organización y desarrollaron una herramienta de descifrado para asistir a las víctimas.
Esa herramienta permitió a oficinas del FBI en todo el país y a socios internacionales ofrecer recuperación a cientos de afectados. Según el Departamento de Justicia, la medida ayudó a evitar aproximadamente USD $99.000.000 en pagos de rescate. TechCrunch también recordó que más de 500 víctimas pudieron restaurar sus sistemas a partir de esa acción coordinada.
El subdirector Brett Leatherman, de la División Cibernética del FBI, señaló que la agencia trabaja todos los días para desmantelar el ecosistema del ransomware, incluidos facilitadores clave como Martino. Añadió que, aunque el ciberdelito tiene una dimensión internacional evidente, esta amenaza también se encuentra dentro de Estados Unidos.
La investigación está siendo liderada por la oficina del FBI en Miami, con apoyo del Servicio Secreto de Estados Unidos. La fiscalía destacó además el trabajo de la Sección de Delitos Informáticos y Propiedad Intelectual de la División Criminal, conocida como CCIPS, que desde 2020 ha logrado la condena de más de 180 delincuentes cibernéticos y de propiedad intelectual, junto con órdenes judiciales para la devolución de más de USD $350.000.000 en fondos de víctimas.
Implicaciones para la industria de ciberseguridad
Más allá de la condena individual, el caso deja varias advertencias para empresas, aseguradoras y firmas de respuesta a incidentes. Una de ellas es el riesgo asociado a los insiders, es decir, personal interno con acceso a información estratégica. Cuando ese acceso no está sometido a controles sólidos, el impacto puede ser tan grave como un ataque externo.
También pone presión sobre las compañías que intermedian negociaciones con bandas de ransomware. Esas firmas suelen manejar datos sobre capacidad de pago, coberturas de seguros y márgenes de negociación. En manos indebidas, ese conocimiento puede fortalecer a los atacantes en vez de proteger a las víctimas.
DigitalMint dijo a TechCrunch que no tenía conocimiento de las acciones criminales de Martino y que despidió a los dos empleados una vez que supo de las acusaciones. Aunque la causa penal se centra en responsabilidades personales, el episodio probablemente alimente el debate sobre supervisión interna, segmentación de información y gobernanza en empresas dedicadas a la respuesta a incidentes.
En el plano más amplio, el caso Martino vuelve a mostrar que el ransomware es una amenaza híbrida. Combina malware, extorsión, lavado de dinero, abuso de confianza e incluso la participación de profesionales con experiencia en defensa. Para el sector cripto, además, sirve como recordatorio de que Bitcoin sigue siendo parte del mapa forense en investigaciones de ciberdelito, tanto por su uso en pagos ilícitos como por la capacidad de rastreo que pueden ejercer las autoridades sobre ciertos flujos de fondos.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Bitcoin
Coinbase advierte que la amenaza cuántica se acerca y el sector cripto debe prepararse
Bitcoin
Industria cripto reúne USD $180 millones para influir en elecciones de medio término de EEUU
Criptomonedas
Otro ataque cripto en Francia: agresor se viste de repartidor para extorsionar a una familia
Análisis de mercado