Los fiscales alegan que profesionales de respuesta a incidentes usaron ALPHV/BlackCat para cometer una serie de ataques de ransomware

Fiscales federales han acusado a tres profesionales de ciberseguridad que supuestamente explotaron sus posiciones para llevar a cabo una serie de ataques de ransomware contra al menos cinco empresas estadounidenses en 2023. Los acusados — Ryan Clifford Goldberg, Kevin Tyler Martin y un co-conspirador no identificado — supuestamente usaron ALPHV, también conocido como ransomware BlackCat, para atacar varias organizaciones mientras aún estaban empleados en roles de respuesta a incidentes y negociación de ransomware. Goldberg fue director de respuesta a incidentes en Sygnia Cybersecurity Services, y Martin fue negociador de ransomware en DigitalMint. El tercer conspirador, también vinculado a DigitalMint, supuestamente obtuvo una cuenta afiliada en la plataforma de ransomware ALPHV. Los fiscales dicen que la conspiración se extendió desde mayo de 2023 hasta abril de 2025.\n\nLas víctimas incluyeron una empresa médica con sede en Florida, una farmacéutica de Maryland, un consultorio médico en California, una empresa de ingeniería en California y un fabricante de drones en Virginia. Mientras que el trío logró extorsionar casi 1.3 millones de dólares de la empresa médica en mayo de 2023, los intentos de obtener pagos de las otras víctimas supuestamente fracasaron. Sygnia confirmó el empleo anterior de Goldberg y dijo que fue despedido inmediatamente tras descubrirse las acusaciones. DigitalMint también reconoció que un ex empleado fue acusado por organizar ataques de ransomware, pero señaló que los actos criminales ocurrieron fuera de los sistemas de la empresa y que no se comprometieron datos de clientes. Ninguna de las compañías detalló cómo o cuándo supieron del comportamiento indebido de los empleados.\n\nEl ransomware ALPHV/BlackCat ha sido notorio desde su aparición a finales de 2021, asociado con numerosos ataques, particularmente en el sector de la salud. El grupo de ransomware se atribuyó la responsabilidad del ataque de 2022 a Change Healthcare, una subsidiaria de UnitedHealth Group, que resultó en un pago de rescate de 22 millones de dólares y la exposición de datos de alrededor de 190 millones de personas. Las recientes acusaciones, desveladas en el Tribunal de Distrito de los EE. UU. para el Distrito Sur de Florida, acusan a Goldberg y Martin de conspirar para interferir con el comercio mediante extorsión y de dañar intencionalmente computadoras protegidas.\n\nGoldberg fue arrestado el 22 de septiembre y permanece bajo custodia debido al riesgo de fuga tras supuestamente huir a Europa en junio de 2023 y luego ser arrestado en Ciudad de México. Se informó que confesó al FBI que fue reclutado por el co-conspirador no identificado para realizar ataques de ransomware para pagar deudas, recibiendo aproximadamente 200,000 dólares del rescate pagado por la empresa médica. Martin fue arrestado más tarde en octubre, liberado bajo fianza, se declaró no culpable y tiene prohibido trabajar en ciberseguridad mientras espera el juicio. Ambos enfrentan posibles sentencias de hasta 50 años en prisión federal.\n\nEl caso expone una preocupante violación de confianza dentro de la comunidad de ciberseguridad, donde individuos encargados de defender a las empresas de ataques de ransomware en cambio explotaron vulnerabilidades para beneficio personal. También plantea preocupaciones sobre amenazas internas en firmas de ciberseguridad y la necesidad de mecanismos más fuertes de supervisión y monitoreo. A medida que el ransomware continúa evolucionando y atacando infraestructuras críticas y sectores de salud, incidentes como este resaltan la complejidad de combatir el cibercrimen y la importancia de una rigurosa selección de empleados y monitoreo conductual continuo dentro de los equipos de seguridad.