Exnegociador de ransomware condenado a 70 meses por plan de extorsión de BlackCat

Un exnegociador de ransomware de Florida fue sentenciado a 70 meses de prisión federal por ayudar a los actores del ransomware BlackCat/ALPHV a extorsionar a las víctimas y por unirse a ataques de ransomware separados contra organizaciones estadounidenses.

Angelo Martino, de 41 años, de Land O'Lakes, Florida, trabajó anteriormente para una empresa de respuesta a incidentes cibernéticos con sede en EE. UU., donde ayudó a las víctimas de ransomware durante las negociaciones. Según elPublicación de la sentencia del Departamento de Justicia, Martino compartió información confidencial de las víctimas con los actores de BlackCat para que pudieran aumentar la presión y exigir pagos mayores.

El caso convierte un riesgo común de respuesta al ransomware en un proceso penal: la persona contratada para ayudar a las víctimas supuestamente utilizó conocimientos internos para ayudar a los atacantes. Los fiscales dijeron que Martino también trabajó con otros dos exprofesionales de ciberseguridad para implementar el ransomware BlackCat contra víctimas adicionales en 2023.

¿Quién es Ángel Martino?

Martino trabajó como negociador de ransomware en una empresa estadounidense de respuesta a incidentes cibernéticos. Su trabajo le dio acceso a información confidencial que las víctimas suelen compartir durante una crisis, incluidos planes de negociación, estrategia interna, límites de pago, detalles del seguro y consideraciones de recuperación.

Los fiscales federales dijeron que Martino abusó de esa posición a partir de abril de 2023. Supuestamente proporcionó a los actores de BlackCat detalles confidenciales sobre cinco víctimas de ransomware y sus posiciones de negociación.

Esa información les dio a los atacantes una visión más clara de cuánta presión aplicar y cuánto dinero las víctimas podrían o estarían dispuestas a pagar.

PersonaUbicaciónPapel de la ciberseguridadOración
Ángel MartínFloridaEx negociador de ransomware70 meses de prisión
Kevin MartínTexasExprofesional de ciberseguridad y compañero de trabajo de Martino48 meses de prisión
Ryan GoldbergGeorgiaExprofesional de ciberseguridad en una empresa independiente de respuesta a incidentes48 meses de prisión

Lo que los fiscales dicen que hizo Martino

Martino se declaró culpable el 14 de abril de 2026 de un cargo de conspiración para interferir con el comercio interestatal mediante extorsión. Los fiscales dijeron que ayudó a los actores del ransomware BlackCat a extorsionar a múltiples víctimas mientras se suponía que debía ayudar a las víctimas a responder a los ataques.

El Departamento de Justicia dijo que los atacantes de BlackCat pagaron a Martino para que proporcionara información confidencial sobre la estrategia del cliente y las posiciones de negociación. Esto les dio a los delincuentes información sobre la toma de decisiones de las víctimas durante las negociaciones de rescate.

Martino también conspiró con Kevin Martin y Ryan Goldberg para implementar el ransomware BlackCat contra otras víctimas estadounidenses en 2023. Después de que una víctima pagó aproximadamente 1,2 millones de dólares en Bitcoin, los tres hombres dividieron su parte del rescate y lavaron las ganancias.

Los coacusados ​​también fueron condenados

Martin y Goldberg fueron sentenciados el 30 de abril de 2026 a cuatro años cada uno en una prisión federal. ElLiberación de la sentencia del coacusado del Departamento de Justiciadijo que los hombres utilizaron sus habilidades de ciberseguridad para atacar a múltiples víctimas estadounidenses con el ransomware ALPHV BlackCat.

Los fiscales dijeron que los tres hombres acordaron pagar a los administradores de ALPHV BlackCat una reducción del 20% de los rescates recibidos a cambio de acceso al ransomware y a la plataforma de extorsión del grupo.

El 80% restante de al menos un rescate se dividió en tres partes entre Martino, Martin y Goldberg.

El modelo de ransomware como servicio de BlackCat

BlackCat, también conocido como ALPHV o Noberus, operaba como un grupo de ransomware como servicio. En ese modelo, los desarrolladores mantienen el malware, la infraestructura y la plataforma de extorsión, mientras que los afiliados llevan a cabo intrusiones y comparten una parte de las ganancias del rescate.

El FBI y el CISAAviso ALPHV BlackCatdescribe la actividad del grupo y señala que los afiliados de BlackCat utilizaron la extorsión, el robo de datos y el cifrado para presionar a las víctimas.

El grupo se convirtió en una de las operaciones de ransomware más disruptivas a nivel mundial antes de que las autoridades estadounidenses interrumpieran parte de su infraestructura en diciembre de 2023.

papel de gato negroFunciónRiesgo para las víctimas
DesarrolladoresCree y actualice ransomware, mantenga la infraestructura y ejecute plataformas de extorsiónHabilite ataques escalables entre muchos afiliados
AfiliadosIrrumpir en redes, robar datos, cifrar sistemas y exigir pagosCompromete directamente a las organizaciones víctimas
Facilitadores internosProporcionar información, credenciales, estrategia o acceso a la víctima.Aumentar la influencia del atacante durante las negociaciones.
Blanqueadores de dineroMover los ingresos de las criptomonedas a través de billeteras y otros canalesAyude a los delincuentes a ocultar las ganancias del rescate

Más de 10 millones de dólares en bienes incautados

Las autoridades han incautado más de 10 millones de dólares en activos de Martino, según el Departamento de Justicia. Los bienes incautados incluyen moneda digital, vehículos, un camión de comida y un barco pesquero de lujo.

Los fiscales dijeron que los activos se obtuvieron a través del plan de extorsión. Está prevista una audiencia de restitución para el 17 de septiembre de 2026 para determinar cuánto debe reembolsar Martino.

Elcomunicado del Departamento de JusticiaTambién dijo que la Oficina de Campo del FBI en Miami dirigió la investigación con el apoyo del Servicio Secreto de Estados Unidos.

Por qué es importante el ángulo interno

Los negociadores de ransomware y los proveedores de respuesta a incidentes pueden recibir información muy confidencial durante una crisis. Esa información puede incluir discusiones a nivel de junta directiva, estrategia legal, cobertura de seguro, estado de la copia de seguridad, cronogramas de restauración y el pago máximo que una víctima podría considerar.

Si un informante filtra esos detalles, los atacantes obtienen una ventaja directa. Pueden rechazar ofertas más bajas, cronometrar la presión pública, amenazar con filtraciones de datos de manera más efectiva y adaptar las demandas a lo que la víctima pueda pagar.

Este caso muestra que la respuesta al ransomware no es sólo un proceso técnico. También depende de la confianza, los controles de acceso, la supervisión y una separación clara entre negociadores, equipos forenses, asesores legales, aseguradoras y facilitadores de pagos.

Qué deberían revisar las empresas después del caso

Las organizaciones deben revisar cómo seleccionan y gestionan los proveedores de respuesta al ransomware. Las empresas de respuesta a incidentes también deberían evaluar si sus propios controles pueden detectar abusos por parte del personal con acceso a los datos de negociación de los clientes.

El objetivo no es ralentizar la respuesta de emergencia. El objetivo es garantizar que la información confidencial de las víctimas no se convierta en una herramienta para los atacantes.

Los controles recomendados incluyen:

  1. Limite el acceso a la estrategia de negociación de rescate al personal que lo necesite.
  2. Requerir inicio de sesión para acceder a archivos de negociación de clientes, registros de chat y discusiones sobre pagos.
  3. Utilice controles de acceso basados ​​en roles en todas las plataformas de respuesta a incidentes.
  4. Separe las funciones de negociación del manejo de pagos y la investigación forense cuando sea posible.
  5. Revise los conflictos del personal de los proveedores, las comunicaciones secundarias y la exposición sospechosa a criptomonedas.
  6. Utilice asesoramiento legal para definir reglas de intercambio de información durante la respuesta al ransomware.
  7. Audite las comunicaciones con los actores de amenazas y conserve registros para las fuerzas del orden.

La interrupción de BlackCat sigue siendo parte de un caso más amplio

La sentencia sigue a una acción anterior del Departamento de Justicia contra BlackCat. En diciembre de 2023, el Departamento de Justicia anunció que el FBI había desarrollado una herramienta de descifrado y se había apoderado de varios sitios web operados por actores de BlackCat.

ElAnuncio de interrupción de BlackCatdijo que el FBI ofreció una herramienta de descifrado a cientos de víctimas y salvó a las víctimas de demandas de rescate por un total aproximado de 68 millones de dólares en ese momento. El comunicado de sentencia de Martino de julio de 2026 dijo más tarde que la herramienta ayudó a ahorrar aproximadamente $99 millones en pagos de rescate.

BlackCat sigue siendo importante en la historia del ransomware porque su modelo de afiliado, la presión del sitio de filtración y su orientación de alto valor dieron forma a muchas campañas de extorsión posteriores.

La Operación Riptide apunta a las redes de cibercrimen

El Departamento de Justicia dijo que el procesamiento de Martino es parte de la Operación Riptide, una campaña del FBI dirigida a actores de delitos cibernéticos, infraestructura, redes financieras y operaciones de fraude.

La operación refleja una estrategia policial más amplia: arrestar personas, confiscar infraestructura, recuperar fondos, interrumpir los canales de pago y ayudar a las víctimas a restaurar los sistemas cuando sea posible.

ElEliminación de BlackCaty las sentencias para Martino, Martin y Goldberg muestran cómo los fiscales apuntan tanto a los operadores de ransomware como a los profesionales de confianza que los ayudan.

Lecciones para los equipos de respuesta a incidentes

Las empresas de respuesta a incidentes deberían tratar los datos de negociación de ransomware como material financiero y legal altamente confidencial. El acceso debe ser limitado, monitoreado y revisado durante y después de cada participación.

Las empresas también deben estar atentas a que los empleados accedan a los archivos de los clientes sin necesidad de un caso, exporten registros de negociación, se comuniquen a través de canales no aprobados o muestren actividad inexplicable en criptomonedas.

ElLiberación de la sentencia de Goldberg y Martinmuestra que la conspiración involucró a personas con experiencia en ciberseguridad, no solo a piratas informáticos externos. ElAviso del FBI y CISASigue siendo útil para comprender las tácticas de BlackCat, pero el caso Martino añade una advertencia separada sobre la confianza interna durante la respuesta a la crisis.

Preguntas frecuentes

¿Quién es Ángel Martino?

Angelo Martino es un exnegociador de ransomware de Florida que trabajó para una empresa de respuesta a incidentes cibernéticos con sede en EE. UU. Fue sentenciado a 70 meses de prisión federal por conspirar con actores del ransomware BlackCat y otros ex profesionales de la ciberseguridad.

¿Qué hizo Martino en el caso BlackCat?

Los fiscales dijeron que Martino compartió información confidencial de negociación de víctimas con actores de BlackCat y los ayudó a maximizar las demandas de rescate. También conspiró con Kevin Martin y Ryan Goldberg para implementar el ransomware BlackCat contra otras víctimas estadounidenses.

¿Cuánto rescate recibieron los conspiradores?

El Departamento de Justicia dijo que los conspiradores extorsionaron con éxito a una víctima por aproximadamente 1,2 millones de dólares en Bitcoin. Dividieron su parte del pago en tres partes y lavaron las ganancias.

¿Qué pasó con Kevin Martin y Ryan Goldberg?

Kevin Martin de Texas y Ryan Goldberg de Georgia fueron sentenciados el 30 de abril de 2026 a 48 meses cada uno en una prisión federal por su papel en los ataques de ransomware BlackCat contra múltiples víctimas estadounidenses.

¿Por qué es importante este caso para la respuesta al ransomware?

El caso muestra que la respuesta al ransomware puede incluir riesgos internos. Los negociadores y proveedores de respuesta a incidentes pueden acceder a información confidencial sobre estrategias de víctimas, seguros y pagos, por lo que las empresas necesitan estrictos controles de acceso, registros y supervisión durante los incidentes de ransomware.