Los fiscales federales alegaron que una operación del ransomware Ryuk sustrajo más de 15 millones de dólares en bitcoins a organizaciones estadounidenses. Un ciudadano armenio admitió haber participado en ataques que paralizaron cientos de sistemas corporativos y obligaron a las víctimas a adquirir claves de descifrado mediante criptomonedas.
Un hacker especializado en ransomware se declara culpable tras una estafa de extorsión con bitcoins por valor de 15 millones de dólares

Puntos clave
- Las autoridades indicaron que la campaña de ciberdelincuencia recaudó aproximadamente 1.610 bitcoins, y que solo una empresa de Míchigan transfirió 200 bitcoins tras sufrir un ataque.
- Por su parte, la declaración de culpabilidad conlleva una indemnización de más de 1,1 millones de dólares, mientras que la sentencia podría suponer una pena de prisión considerable, multas y libertad vigilada.
- Los investigadores del FBI, el Departamento de Justicia y las autoridades ucranianas coordinaron sus esfuerzos, y se espera que la sentencia se dicte tras la revisión judicial del acuerdo de declaración de culpabilidad.
Los ataques de ransomware obligaron a empresas estadounidenses a pagar en bitcoins por las claves de descifrado
Según alegaron los fiscales federales, más de 15 millones de dólares en bitcoins salieron de las víctimas estadounidenses durante una campaña del ransomware Ryuk vinculada a Karen Serobovich Vardanyan. Este ciudadano armenio de 34 años, que fue extraditado desde Ucrania, se declaró culpable el 8 de julio de conspiración y fraude informático tras admitir su participación en ciberataques llevados a cabo entre noviembre de 2019 y abril de 2020.
Las víctimas se encontraron con archivos cifrados, estaciones de trabajo inutilizadas y datos corporativos inaccesibles después de que los intrusos penetraran en sus redes. El grupo propagó Ryuk por cientos de servidores y ordenadores, y luego utilizó la interrupción resultante para presionar a las organizaciones a fin de que compraran herramientas de descifrado con criptomonedas. Los fiscales federales explicaron en un comunicado de prensa del 9 de julio:
«Como parte del plan, se extorsionaba a las empresas víctimas para que pagaran un rescate a cambio de claves de descifrado que les permitieran recuperar el acceso a sus datos. Se colocaba una nota de rescate en los sistemas informáticos exigiendo el pago del rescate en Bitcoin, una forma de criptomoneda, y se facilitaba una dirección de correo electrónico que las víctimas podían utilizar para comunicarse con los ciberdelincuentes».
Las instrucciones de pago dirigían a las organizaciones afectadas hacia el bitcoin y establecían un contacto por correo electrónico con los atacantes. Ese proceso permitía a los conspiradores negociar con las víctimas que habían quedado sin acceso, confirmar las transferencias y proporcionar las claves destinadas a restablecer el acceso una vez que los fondos llegaran a las direcciones controladas por el grupo.
Entre las empresas atacadas se encontraba una de Míchigan que entregó 200 bitcoins para recuperar el control de su red. El pago superó los 1,1 millones de dólares una vez completado. Otros incidentes afectaron a una empresa tecnológica de Wilsonville (Oregón) y a un centro educativo de Texas atacado en febrero de 2020.
Un acuerdo federal establece las condiciones de restitución antes de la sentencia de septiembre
Los ingresos en criptomonedas atribuidos a la operación ascendieron a un total de aproximadamente 1 610 bitcoins, según alegaron los fiscales. Los BTC recaudados tenían un valor superior a los 15 millones de dólares en el momento de las transacciones, aunque el comunicado de prensa no ofrecía una lista completa de víctimas, el historial de los monederos ni un desglose de los pagos asociados a los ataques individuales.
El gran jurado de Portland imputó a Vardanyan el 22 de febrero de 2024 por los delitos de conspiración, fraude informático y extorsión. Su declaración de culpabilidad resolvió los cargos de conspiración y fraude informático, y el acuerdo le obliga a abonar más de 1,1 millones de dólares en concepto de indemnización. Los fiscales federales escribieron:
«Vardanyan se enfrenta a una pena máxima de cinco años de prisión, una multa de 250 000 dólares y tres años de libertad vigilada por conspiración. Se enfrenta a una pena máxima de 10 años de prisión, una multa de 250 000 dólares y tres años de libertad vigilada por fraude informático. Vardanyan será condenado el 22 de septiembre de 2026 por un juez de un tribunal de distrito de EE. UU.».
Las posibles sanciones incluyen penas de prisión, multas y libertad vigilada por cada delito. Un juez de un tribunal de distrito de EE. UU. dictará la sentencia el 22 de septiembre de 2026, tras examinar el acuerdo de declaración de culpabilidad, la obligación de restitución, las directrices federales aplicables y demás documentación presentada antes de la vista.
Este artículo fue traducido del inglés mediante IA. La versión original en inglés es la fuente autorizada; las traducciones automáticas pueden contener imprecisiones, especialmente en la terminología legal y regulatoria.

















