El ecosistema cibercriminal ruso está atravesando un período de profunda transformación, marcado por campañas internacionales sin precedentes de aplicación de la ley, cambios en las prioridades nacionales de aplicación de la ley y los vínculos persistentes entre el crimen organizado y el Estado ruso. La Operación Endgame, lanzada en mayo de 2024, tuvo como blanco a operadores de ransomware, servicios de lavado de dinero e infraestructura afiliada en múltiples jurisdicciones rusas. En respuesta, las fuerzas del orden rusas han llevado a cabo una serie de arrestos e incautaciones de alto perfil. Estos eventos marcan una ruptura con la postura tradicional de Rusia de no interferencia casi total en la ciberdelincuencia nacional, lo que complica la percepción arraigada de Rusia como un “refugio seguro” para los cibercriminales. Las filtraciones de chats y los reportajes de investigación revelan que figuras importantes dentro de estos grupos de amenazas a menudo mantenían relaciones con los Servicios de Inteligencia rusos, proporcionando datos, realizando tareas o aprovechando el soborno y las conexiones políticas para obtener impunidad.

Dentro del mundo clandestino, esto ha erosionado la confianza, ya que los afiliados se quejan de estafas, suplantación de identidad y presión selectiva de las fuerzas del orden. Estos cambios, a su vez, han acelerado los cambios operativos, desde una verificación más estricta de los programas de ransomware como servicio (RaaS) hasta la renovación de la imagen de los grupos de ransomware y la adopción de plataformas de comunicación descentralizadas para mitigar los riesgos percibidos de infiltración. Al mismo tiempo, los gobiernos occidentales están endureciendo sus políticas contra el ransomware, avanzando hacia la prohibición del pago de rescates, la notificación obligatoria de incidentes e incluso operaciones cibernéticas ofensivas diseñadas para neutralizar la infraestructura adversaria antes de que se produzcan los ataques. Esta postura más agresiva ha coincidido con intercambios de prisioneros y negociaciones que ponen de relieve cómo los ciberdelincuentes de alto valor funcionan como activos políticos dentro del cálculo geopolítico más amplio de Rusia.

Dark Covenant 3.0 sitúa estos desarrollos en el contexto más amplio de la interacción entre el Estado y la delincuencia en Rusia. En este entorno, la ciberdelincuencia no puede entenderse únicamente como una actividad comercial; también es una herramienta de influencia, un medio para obtener información y un lastre cuando amenaza la estabilidad interna o socava los intereses rusos. La trayectoria de este ecosistema dependerá de cómo las autoridades rusas equilibren la presión externa, las sensibilidades políticas internas y el valor estratégico perdurable que se deriva de los intermediarios cibercriminales.

Hallazgos clave

La inteligencia de Recorded Future muestra que la relación del gobierno ruso con los ciberdelincuentes ha evolucionado de una tolerancia pasiva a una gestión activa. Desde 2023, Insikt Group ha identificado un cambio medible en la forma en que las autoridades rusas interactúan con los grupos ciberdelincuentes: aplicación selectiva de la ley, arrestos coordinados y ejemplos públicos utilizados para reforzar la autoridad estatal.
Las comunicaciones filtradas analizadas por Insikt Group exponen una coordinación directa, a nivel de tareas, entre líderes cibercriminales e intermediarios de inteligencia rusos.
Las recopilaciones de datos de la dark web de Future indican que el subsuelo cibercriminal ruso se está fracturando bajo la doble presión del control estatal y la desconfianza interna, mientras que el monitoreo de foros propietarios y las conversaciones sobre afiliados a ransomware muestran una creciente paranoia entre los operadores.
Datos de Recorded Future revelan cómo los grupos cibercriminales rusos están descentralizando sus operaciones para evadir la vigilancia occidental y nacional.
Insikt Group considera que Rusia está ahora utilizando estratégicamente a los cibercriminales como instrumentos geopolíticos, ya que observaciones recientes vinculan las detenciones y liberaciones de cibercriminales rusos con ciclos diplomáticos más amplios.

Metodología

Este informe examina en detalle el marco del “Pacto Oscuro” —definido y analizado en los informes del Grupo Insikt de 2021 y 2023— entre 2024 y 2025. Esto incluye el espectro de relaciones directas, indirectas y tácitas entre actores de amenazas cibernéticas con sede en Rusia (o alineados con Rusia) y elementos del Estado ruso, y cómo dichas relaciones se adaptaron bajo la sostenida presión occidental de la Operación Endgame y las acciones relacionadas contra el ransomware. Nos centramos principalmente en las entidades objetivo de la Operación Endgame, y nuestro alcance temporal se centra en mayo de 2024 (año de inicio de la Operación Endgame) hasta septiembre de 2025, con una base histórica limitada a episodios previos que evidencian la proximidad entre el Estado y la delincuencia. Esto incluye las acciones de la Operación Endgame y los posteriores plazos de aplicación de la ley rusos que ilustran qué servicios o actores de amenazas fueron atacados por las fuerzas del orden, en lugar de quedar protegidos de ellas.

El informe sintetiza: (1) comunicados públicos de las fuerzas del orden y materiales de la Operación Endgame que enumeran familias de malware dirigidas, botnets y servicios de movimiento de dinero; (2) declaraciones legales, fiscales y de los medios de comunicación rusos que documentan arrestos, incautaciones y sentencias; y (3) comunicaciones en foros de la dark web y Telegram que revelan reacciones clandestinas, dinámicas de confianza y adaptaciones operativas. También hacemos referencia a archivos de chat filtrados e informes de investigación relevantes para Conti, Trickbot y facilitadores asociados, donde arrojan luz sobre supuesta protección, intercambio de información o asignación de tareas a entidades estatales. Este informe también incorpora desarrollos de políticas transnacionales y eventos diplomáticos (por ejemplo, intercambios de prisioneros que involucran a cibercriminales rusos de alto valor) para contextualizar cómo la presión externa se cruza con el cálculo interno de protección y control de Rusia. Todos estos eventos se tratan como indicadores, no como prueba decisiva, de las prioridades y la influencia del estado ruso.

Fondo

Pacto oscuro

El marco del “Pacto Oscuro” describe la red de relaciones que vincula la clandestinidad cibernética rusa con elementos del Estado, especialmente los servicios de inteligencia y de aplicación de la ley, a través de un espectro de vínculos directos, afiliaciones indirectas y entendimientos tácitos. El informe original del Pacto Oscuro , publicado el 9 de septiembre de 2021, argumentó que estas relaciones son duraderas y fluidas; el reclutamiento de delincuentes hábiles (a veces bajo amenaza de procesamiento), la protección selectiva y la capacidad del Estado para ver y moldear partes de la clandestinidad crean un ecosistema en el que el ciberdelito puede persistir cuando sirve a los intereses del Estado. Fundamentalmente, el informe formalizó tres categorías de vínculos: asociaciones directas, afiliaciones indirectas y acuerdo tácito, y enfatizó que la ausencia de acciones punitivas significativas a menudo indica tolerancia o aprobación del Kremlin.

Dark Covenant 2.0, publicado el 31 de enero de 2023, amplió el modelo a tiempos de guerra. Descubrió que la invasión a gran escala de Ucrania por parte de Rusia catalizó cambios visibles en la clandestinidad. Algunos grupos de amenazas juraron abiertamente lealtad al Kremlin, otros se escindieron o cambiaron de nombre, y los auxiliares “hacktivistas” amplificaron las operaciones de información junto con los ciberataques. El Grupo Insikt evaluó que las herramientas, la infraestructura, las tácticas, técnicas y procedimientos (TTP) de los cibercriminales proporcionaban una negación plausible de las operaciones estatales, mientras que los arrestos en titulares y las prohibiciones de foros parecían más una gestión de la reputación que una ruptura genuina con la ciberdelincuencia. El informe de 2023 reafirmó el modelo de vínculo de tres niveles y documentó cómo las presiones bélicas profundizaron ciertas conexiones mientras ocultaban otras.

En ambos informes, el hilo conductor no es una estructura única de mando y control, sino un acuerdo pragmático. Los servicios rusos reclutan o cooptan talento cuando resulta útil, ignoran las actividades que se alinean con los objetivos estatales y aplican las leyes selectivamente cuando los actores amenazantes se vuelven políticamente inconvenientes o externamente embarazosos. Este “pacto” combina incentivos, intimidación y oportunismo, creando una zona gris resiliente donde la actividad criminal se convierte en un instrumento del arte de gobernar.

Pacto Oscuro 3.0 sitúa ese acuerdo en la era posterior a la Operación Fin de Juego. El mismo ecosistema opera ahora bajo una mayor presión internacional, una nueva perspectiva nacional y una política de protección más explícita. El concepto central permanece intacto —vínculos directos, indirectos y tácitos—, pero sus límites se han agudizado, con medidas enérgicas selectivas por parte de Rusia contra facilitadores de baja utilidad y un aislamiento continuo de los grupos amenazantes que ofrecen información o valor geopolítico. Este informe utiliza esta perspectiva para explicar por qué Rusia se presenta menos como un “refugio” uniforme y más como un mercado gestionado, donde los intereses estatales, y no la ley, determinan quién recibe protección y quién no.

Operación Fin del Juego

La Operación Endgame fue más que un operativo multinacional: fue una prueba pública de hasta qué punto puede llegar la presión occidental en un ecosistema donde la ciberdelincuencia rusa y elementos del Estado han coexistido durante mucho tiempo bajo una pragmática política de protección. En mayo de 2024, Europol anunció públicamente el inicio de la Operación Endgame, una iniciativa dirigida a los precursores de ransomware, en concreto al malware loader. Sin embargo, tras el éxito de su primer día de operaciones en mayo de 2024, Europol amplió su mandato para incluir otros elementos de la cadena de suministro de ransomware.

La Operación Endgame se dividió en dos “temporadas”: una serie de grandes derribos en mayo de 2024 y otra en mayo de 2025. En la práctica, estas temporadas combinaron acciones coordinadas contra cargadores y facilitadores (por ejemplo, IcedID, SystemBC, Pikabot, SmokeLoader, Bumblebee y otros), botnets y banqueros clásicos (Trickbot, Qakbot, DanaBot, Emotet y otros) e infraestructura de movimiento de dinero (Cryptex, Servicio Universal de Pago Automatizado [UAPS], PM2BTC y otros), junto con designaciones públicas como las entradas de “Más Buscados” de la Unión Europea (UE) vinculadas a figuras de Conti y Trickbot. Un elemento clave de las temporadas fue la publicación de videos dirigidos con el objetivo de intimidar a los actores de amenazas para que presentaran información. La decisión de combinar la interrupción técnica con videos de denuncia y denuncia marcó una campaña de influencia dirigida a afiliados y proveedores, acelerando los debates sobre OPSEC, la confianza y la viabilidad del malware como servicio (MaaS) en foros en idioma ruso.

El impacto de la Operación Fin de Juego aclara qué partes del submundo ruso está dispuesto a proteger el Estado y cuáles no. Las autoridades rusas han actuado de forma ostentosa contra ciertos facilitadores (por ejemplo, Cryptex, UAPS y, posteriormente, ejecutivos vinculados a Aeza). Al mismo tiempo, las redes de ransomware de alto valor, sospechosas de tener vínculos o utilidad para los servicios de seguridad, han evitado en gran medida consecuencias proporcionales, lo que refuerza nuestra evaluación de que el “refugio seguro” de Rusia es condicional, selectivo y se rige por intereses estatales, no por la ley.

Análisis de amenazas

Acciones y respuesta del gobierno ruso a la Operación Endgame

Desde el inicio de la Operación Endgame, medios de comunicación de código abierto, comentarios en chats filtrados y publicaciones públicas en diversas fuentes criminales en ruso han indicado que las autoridades rusas han puesto en la mira servicios clave que permiten operaciones de ransomware. El Apéndice A muestra una cronología de las operaciones de seguridad rusas que Insikt Group ha estado monitoreando. Según nuestra revisión de las comunicaciones privadas filtradas entre actores de amenazas, es probable que se hayan producido otras detenciones, pero no está claro si existen otros eventos no publicados.

Estas operaciones no son meros trabajos policiales episódicos; son indicadores de cómo funciona la “política de protección” en la práctica. Las acciones contra facilitadores como Cryptex o UAPS (redadas, detenciones masivas e incautaciones de activos) demuestran que Moscú actuará cuando los servicios sean políticamente costosos o proporcionen un valor de inteligencia limitado al estado, especialmente después de que la presión occidental concentre la atención en nodos específicos de la economía del ransomware. Por el contrario, las medidas comparativamente discretas u opacas contra las figuras vinculadas a Trickbot, a pesar de las designaciones de “Más Buscados” de la Unión Europea (UE) y la extensa señalización de la Operación Endgame, coinciden con la evidencia de los chats filtrados, lo que sugiere que persisten los vínculos entre los operadores de alto rango y los servicios de seguridad. Esto sugiere que existe un aislamiento donde los grupos de amenazas conservan una utilidad estratégica para el estado.

Este patrón selectivo es importante por tres razones. En primer lugar, replantea la idea de “refugio seguro” como condicional: Rusia es el lugar más seguro para los actores de amenazas que sirven a los intereses estatales, mientras que las capas de monetización sin valor estatal (por ejemplo, los servicios de lavado de activos) se vuelven prescindibles bajo presión. En segundo lugar, altera el comportamiento clandestino. La Operación Endgame desencadenó reformas de OPSEC, debates en foros y fracturas de confianza entre los afiliados, lo que empujó a los operadores hacia canales cerrados, una verificación más estricta y nuevos modelos de negocio. En tercer lugar, aclara el riesgo de atribución para defensores y legisladores; la persistencia de ecosistemas de ransomware de alto valor mientras se desmantela la infraestructura de cobro indica que esta asimetría es resultado del cálculo coste-beneficio del Estado, y no un error de las fuerzas del orden.

En resumen, la cronología de la aplicación de la ley rusa tras la Operación Endgame destaca dónde los actores de amenazas rusos priorizaron sus recursos en respuesta a las iniciativas contra el ransomware. Las medidas enérgicas contra Cryptex o UAPS y la presión sobre proveedores de alojamiento como Aeza demuestran la disposición a actuar donde la percepción nacional o el escrutinio occidental son altos, mientras que las medidas indulgentes o performativas (por ejemplo, sentencias suspendidas para actores de amenazas REvil) y la continua prominencia de los exalumnos de Conti y Trickbot revelan dónde se mantiene el pacto. Por ello, es importante documentar tanto las acciones públicas como los arrestos rumoreados y no publicados. La combinación de visibilidad, selectividad y gravedad de los resultados define los límites entre la protección y la aplicación de la ley y, por lo tanto, dónde la disrupción occidental es eficaz y dónde persiste la resiliencia.

Conti: Múltiples capas de protección que lo aíslan de acciones significativas

Como parte de la Operación Fin de Juego, las autoridades europeas atacaron persistentemente a miembros, afiliados y colaboradores cercanos del grupo de ransomware Conti, incluyendo a Trickbot, quienes facilitaron sus actividades de ransomware. (Conti y Trickbot están interrelacionados, ya que Conti es una variante de ransomware desarrollada por miembros de la banda Trickbot). La persistente atención sobre Conti y Trickbot reconoce su enorme papel como centro de talento, mercado de servicios y, fundamentalmente, red con supuestos puntos de contacto con servicios rusos.

La Operación Fin de Juego incluyó el envío de videos específicos a los actores de amenazas para obtener más información, la incautación de infraestructura y la identificación pública de los miembros del grupo, además de incluirlos en la lista de los más buscados de la UE. La combinación de incautaciones técnicas y denuncias de la Operación Fin de Juego se diseñó para presionar no solo a los operadores, sino también a sus proveedores y redes sociales. En términos del Pacto Oscuro, esta táctica investigó la conexión entre estas organizaciones criminales y su protección estatal: cuando la atribución pública aumenta los costos diplomáticos, los actores de amenazas aislados deben recurrir más a sus protectores o fragmentarse.

Como parte de la Temporada 1 (2024) en mayo de 2024, el Bundeskriminalamt alemán (BKA) nombró a Fyodor Aleksandrovich Andreev (también conocido como “Angelo”) a su lista de los más buscados por su papel como miembro del grupo Trickbot. En julio de 2024, los medios rusos informaron que Andreev había sido arrestado. Casi al mismo tiempo que el arresto de Andreev, dentro de los chats filtrados de BlackBasta, Insikt Group descubrió que otros miembros del Grupo Conti con sede en Ucrania habían sido detenidos o registrados . También en septiembre de 2024, otro miembro de Conti reveló a “Tramp” que fueron liberados de la custodia; no está claro cuándo fueron arrestados. Sin embargo, muchos de estos eventos dirigidos a miembros rusos de Conti o Trickbot no se han publicitado en los medios rusos o ingleses.

Este patrón —detenciones esporádicas, liberaciones rápidas y escasa cobertura oficial— se interpreta como una estrategia de triaje reputacional más que como una campaña decisiva. Las medidas de custodia breves y ambiguas pueden satisfacer la presión externa, preservando al mismo tiempo el núcleo operativo del grupo amenazante y su valor percibido por los actores estatales. También genera ambigüedad estratégica dentro del movimiento clandestino: los miembros no pueden discernir si las detenciones indican un riesgo real o una presión performativa, lo que debilita la confianza y dificulta el reclutamiento de afiliados sin desmantelar el liderazgo.

Como parte de la segunda tanda de anuncios de la Operación Endgame, la BKA alemana también anunció públicamente que los siguientes miembros adicionales de Conti y Trickbot se habían agregado a la lista de los más buscados de la UE:

Iskander Rifkatovich Sharafetdinov (alias “alik”, “gucci”), 32 años, miembro de Trickbot
Mikhail Mikhailovich Tsarev (alias “mango”), 36 años, miembro de Trickbot
Maksim Sergeevich Galochkin (alias “Bentley”, “Manuel”, “Max17”, “volhvb”, “crypt”), 43 años, miembro de Trickbot
Vitaliy Nikolaevich Kovalev (alias “stern”, “ben”, “Grave”, “Vincent”, “Bentley”, “Bergen”, “Alex Konor”), 36 años, miembro de Trickbot

A pesar de estas novedades, el Grupo Insikt aún no ha observado acciones de las fuerzas del orden rusas contra estos individuos. Esto probablemente se deba a que Conti y Trickbot reciben diversos grados de protección de múltiples grupos dentro del gobierno ruso, desde políticos hasta los servicios de seguridad. De hecho, en los chats filtrados de BlackBasta, “Chuck”, uno de los desarrolladores de Qakbot, afirmó que Bentley, el líder de Trickbot (Vitali Nikolaevich Kovalev), estaba vinculado al Servicio Federal de Seguridad ruso (FSB). Las autoridades alemanas también afirman que Kovalev era el líder del grupo de ransomware Conti, bajo el seudónimo de “Stern”. Sin embargo, es probable que varios miembros de alto rango de Conti y su predecesor, Trickbot, tengan vínculos con la inteligencia rusa más allá de Kovalev, incluyendo a “Professor”, “Target”, “Silver” y “Brooks”, quienes hablan abiertamente de su relación con la inteligencia rusa en otros chats filtrados.

La yuxtaposición es reveladora: las garantías occidentales aumentan la transparencia y el riesgo de viaje, mientras que la ausencia de acciones rusas equivalentes indica una protección interna duradera. Esa asimetría es la esencia de la “política de protección”. Si los altos cargos pueden confiar en sus conexiones con inteligencia o patrocinadores políticos, el efecto disuasorio de las designaciones internacionales disminuye dentro de Rusia. En la práctica, permite a los exalumnos de Conti y Trickbot preservar el liderazgo, las líneas de desarrollo y la coordinación de afiliados, incluso cuando los cambios de marca y las escisiones crean una apariencia de rotación.

Según el análisis de los chats filtrados de Tricktbot y Conti, existen pruebas anecdóticas de que Conti (o al menos algunos de sus miembros) recibió encargos de varios funcionarios de inteligencia rusos desconocidos. En una ocasión, el Profesor proporcionó una lista para que la GRU rusa la revisara. Algunos investigadores especulan que se trataba de una lista de objetivos históricos proporcionada a la GRU para su posterior persecución. Además, el Profesor sabía que sus contactos “pagadores” del SVR solicitaban información sobre la COVID-19. Según sus comentarios, se insinúa que mantenía una relación de informante con el SVR o que les pagaba sobornos para evitar su arresto.

Por otra parte, varias víctimas de Conti también se alinean con los intereses de la inteligencia rusa; entre ellas, Bellingcat y Academi LLC (anteriormente Blackwater). Conti supuestamente atacó a los miembros de la red de investigaciones de inteligencia de código abierto (OSINT) de Bellingcat para el FSB. Basándose en chats filtrados de Conti, Conti también llevó a cabo una vulneración de seguridad en julio de 2020 contra la contratista militar privada estadounidense Academi. No está claro si esto se debía a una tarea específica o si cumplían algún deber patriótico; sin embargo, parece que el gobierno ruso recibió archivos de Academi.

Aunque sean anecdóticos, estos puntos de contacto trazan un espectro de vínculos —asignación de tareas, relaciones remuneradas y servicios patrióticos— que se ajusta al modelo directo/indirecto/tácito de Dark Covenant. Para defensores y legisladores, esto es importante porque difumina la frontera entre la búsqueda de beneficios delictivos y la recaudación dirigida por el Estado. Cuando la selección de víctimas se solapa con las prioridades estatales, la disrupción se vuelve más difícil; no solo se está desmantelando una fuente de beneficios, sino que se está degradando un potencial auxiliar de la inteligencia estatal, que probablemente se encuentre resguardado en el país y sea más difícil de fragmentar en el extranjero.

Además, según otro investigador, Conti probablemente contaba con la protección de Vladimir Ivanovich Plotnikov, miembro de la Duma rusa de Perm. Según el investigador, Plotnikov supuestamente viajó en varios vuelos privados con miembros de Conti cuando viajaron a Dubái, Emiratos Árabes Unidos (EAU). Por lo tanto, es probable que Plotnikov brinde algún tipo de protección a quienes volaron con él a los EAU. La Figura 1 muestra imágenes de Plotnikov de un canal de Telegram.

**Figura 1:** Mensaje de Telegram que destaca a Plotnikov y su relación con Conti (Fuente: Recorded Future)

Los presuntos vínculos con un miembro de la Duma en funciones ilustran cómo la protección puede extenderse más allá de los servicios de seguridad, abarcando redes de clientelismo político, ampliando la protección disponible para actores amenazantes de alto valor. Para la clandestinidad, estas relaciones indican quién es “intocable”, reforzando la jerarquía y atrayendo afiliadas. Para los disruptores externos, explican por qué las sanciones, designaciones e incluso arrestos en el extranjero pueden no desencadenar las correspondientes medidas internas. El capital político en el país supera los costos de reputación en el extranjero. En conjunto, estas capas —puntos de contacto de inteligencia, sobornos o “seguros” y clientes políticos— ayudan a explicar por qué las figuras vinculadas a Conti y Trickbot han resistido la presión de la Operación Fin de Juego mejor que los servicios de cobro de fondos y los facilitadores periféricos.

La operación Cryptex/Taleon indica una relación desgastada

En septiembre de 2024, en el marco de la Operación Endgame, las autoridades estadounidenses y europeas incautaron infraestructura y ganancias en criptomonedas relacionadas con tres servicios de lavado de dinero operados por Sergei Ivanov: Cryptex, PM2BTC y UAPS. Además, el Departamento del Tesoro de EE. UU. sancionó a Cryptex y a Sergey Ivanov por su participación en el lavado de dinero procedente de numerosos servicios ilícitos en línea, incluido el ransomware, a través de estas plataformas. La Red de Control de Delitos Financieros también señaló a PM2BTC, que carece de una política de conocimiento del cliente (KYC), como una preocupación principal en materia de lavado de dinero. El gobierno estadounidense alega que estos servicios se han utilizado para blanquear más de mil millones de dólares en ganancias delictivas.

Este conjunto de acciones es significativo porque afecta la capa de monetización que sustenta la economía del ransomware en general. Atacar a Cryptex, PM2BTC y UAPS, y luego intensificar la presión con sanciones y la designación de “principal preocupación por el lavado de dinero”, indica a las autoridades rusas que ahora resulta diplomáticamente costoso para el Kremlin ignorar ciertos nodos, lo que aumenta el costo reputacional de una tolerancia continua. Además, cuando se desmantelan esquemas confiables de lavado de dinero, los afiliados dudan, aumentan las exigencias de depósitos y garantías, y la percepción de seguridad de operar dentro de Rusia se reduce, incluso si los grupos principales del ransomware permanecen aislados.

**Figura 2:** Imagen del vídeo de Operation Endgame sobre Cryptex. (Fuente: operationengame[.]com)

El 2 de octubre de 2024, aproximadamente una semana después de la operación UAPS, el SKR anunció públicamente la apertura de una investigación sobre el sistema de pagos UAPS y la plataforma de intercambio de criptomonedas Cryptex. Como parte de este anuncio, el SKR afirmó haber arrestado a casi 100 personas asociadas con estos servicios, incautado 16 millones de dólares en rublos rusos y varios vehículos y propiedades. En diciembre de 2024, al menos dos miembros (Ruslan y Roman Orekhovsky) seguían bajo arresto domiciliario, mientras que el líder del grupo delictivo (Sergey Ivanov) se encontraba en prisión preventiva.

La velocidad y la óptica del anuncio de SKR (detenciones masivas, incautaciones de efectivo y propiedades, e imágenes altamente visibles como la foto de la incautación de efectivo ( Figura 3 )) sugieren un caso elegido para demostrar la capacidad de respuesta nacional sin tocar las redes de ransomware de mayor valor y utilidad para el estado. La elección del objetivo (facilitadores financieros en lugar de operadores principales) y la agencia líder (Comité de Investigación en lugar de servicios de seguridad) se alinean con un equilibrio: los servicios monetarios son prescindibles cuando la presión extranjera es alta y su valor de inteligencia es bajo, mientras que los grupos de amenaza con presuntos vínculos con los servicios mantienen un aislamiento relativo. Los resultados legales hasta la fecha (arresto domiciliario para algunos, prisión preventiva para Ivanov) preservan el teatro procesal al tiempo que dejan espacio para resoluciones negociadas, en consonancia con casos anteriores de ciberdelincuencia en Rusia, donde las sentencias son más leves que los puntos de referencia occidentales. Para los defensores y los responsables políticos, esta asimetría es instructiva, ya que la presión occidental puede forzar la acción, pero Moscú determina cómo se aplicará esta acción. También aclara dónde se producirán las próximas disrupciones (por ejemplo, los proveedores de alojamiento y los intermediarios de pagos) frente a dónde persistirá la resiliencia (los círculos de operadores vinculados a los Estados).

**Figura 3:** Imagen del dinero incautado en la operación de SKR dirigida a Cryptex y UAPS (Fuente: CyberScoop vía SKR)

La teoría del refugio seguro se ha vuelto más matizada

El Grupo Insikt considera que la relación entre la ciberdelincuencia rusa y los servicios de seguridad presenta matices, ya que se ve afectada por múltiples variables. Este matiz refleja una combinación cambiante de vínculos directos, facilitación indirecta y tolerancia tácita que varía según la utilidad del agente de amenazas para el Estado. Este concepto no considera el soborno, la usurpación de relaciones por parte de los servicios rusos con actores cibercriminales para obtener mayores beneficios para el Estado, ni la posible existencia de rivalidades entre las agencias gubernamentales rusas. Estos incentivos y rivalidades ayudan a explicar por qué ciertos nodos (por ejemplo, los servicios de monetización) son prescindibles, mientras que los círculos centrales de operadores con valor percibido para la inteligencia están aislados.

Según los incidentes conocidos, lo más probable es que los ciberdelincuentes rusos paguen a los servicios de seguridad por protección; estos servicios también podrían recurrir a los ciberdelincuentes para apoyar al Estado mediante datos o ciberataques. Este acuerdo recíproco crea un “refugio seguro” condicional que se refuerza o se relaja según el coste político, la presión externa y la utilidad continua del actor amenazante. Si el actor amenazante adquiere demasiada importancia o no proporciona suficiente apoyo, los servicios de seguridad utilizarán sus poderes legítimos para atacar o acosar a la víctima con sus poderes policiales legítimos. Esta aplicación episódica se interpreta mejor como gobernanza del mercado, no como su erradicación.

Sin embargo, una vez superada la fase de investigación, las sentencias recientes dictadas en tribunales rusos han mantenido la imagen de Rusia como un refugio, por ejemplo, a pesar de que las autoridades rusas arrestaron a múltiples actores de amenazas de REvil en 2023. Estos actores no han recibido sentencias similares a las que podrían recibir en Estados Unidos. Según informes de fuentes abiertas, los tribunales rusos impusieron a estos individuos sentencias suspendidas. Esto es similar a arrestos anteriores, como los relacionados con RBS Worldpay, donde los sospechosos recibieron sentencias suspendidas. Los resultados indulgentes indican a los actores de amenazas nacionales que, mientras no haya objetivos dentro de Rusia y la Comunidad de Estados Independientes (CEI), recibirán un castigo limitado por sus actividades, lo que refuerza la credibilidad del pacto a pesar de los arrestos que han generado titulares.

El Grupo Insikt considera que, al menos en algunos casos, las autoridades rusas probablemente conocían a estos actores de amenazas y actuaron únicamente debido a la presión occidental. Esto se alinea con un patrón de “presión-respuesta” en el que Moscú prioriza la gestión de la reputación sobre el desmantelamiento de redes estratégicamente útiles. Los actores de amenazas no aportaban nada de valor al estado en comparación con la presión ejercida sobre las autoridades rusas. Por ejemplo, con Cryptex, las autoridades rusas iniciaron una investigación, identificaron a más de 100 sujetos y desarrollaron una causa dentro de su régimen legal para arrestarlos. Además, los tribunales determinaron que Sergey Ivanov debía permanecer detenido a partir de diciembre de 2024. El organismo investigador principal fue el Comité de Investigación, en lugar del Ministerio del Interior o el FSB. Independientemente del organismo de investigación, este plazo parece poco práctico para una operación multirregional tan compleja, lo que indica que este actor de amenazas probablemente fue rastreado durante algún tiempo antes de la operación. Esto también se refleja en publicaciones públicas en foros criminales, donde un actor de amenazas afirmó que Cryptex debió haber estado bajo vigilancia de las autoridades rusas durante un tiempo para que esto ocurriera. En conjunto, estos factores sugieren que la operación fue una estrategia preposicionada, activada cuando los costos internacionales subieron, en lugar de una ofensiva espontánea.

En fuentes de ciberdelincuencia de habla rusa, hubo pocas publicaciones públicas sobre el asunto. Varios actores de amenazas en el foro Korovka mostraron consternación y sorpresa ante la actuación general de las fuerzas del orden rusas. Varios actores de amenazas del foro Verificado también dudaron en utilizar servicios similares a Cryptex y otros foros a la luz de las recientes acciones. Este efecto disuasorio en los servicios de cobro ilustra cómo la presión selectiva reconfigura el cálculo de riesgos clandestinos, incluso cuando los principales operadores de ransomware permanecen intactos.

El ataque a Ivanov y Cryptex podría deberse a la agencia que llevó a cabo la operación, o a que Ivanov y Cryptex estaban relacionados únicamente con el dinero, en lugar de proporcionar información y datos a las autoridades rusas. Esta distinción —dinero versus utilidad de inteligencia— es fundamental para determinar dónde se extiende o retira la protección. Algunos miembros de Conti habían insinuado que los Servicios de Inteligencia eran neutrales o simpatizantes de las operaciones de ransomware, mientras que la policía (como el SKR o el MVD) estaba del lado de los servicios estadounidenses (esto ocurrió aproximadamente al mismo tiempo que la cooperación entre Rusia y EE. UU. tras el ataque de ransomware a Colonial Pipeline en 2021 era limitada). Esta división ayuda a conciliar la tolerancia simultánea de los operadores y la presión sobre los facilitadores.

En contraste, el Grupo Insikt solo ha visto una actividad operativa limitada dentro de Rusia dirigida a miembros de Conti (y sus múltiples grupos escindidos), y gran parte de esta actividad parece ser acoso o intimidación percibida por diversas autoridades. El acoso sin enjuiciamientos decisivos preserva la influencia sobre los actores amenazantes, a la vez que evita la pérdida estratégica de una capacidad de representación útil. Con base en chats filtrados y publicaciones públicas en fuentes criminales, el Grupo Insikt ha identificado a Tinker, Bio y Angelo como personas que han tenido algunas interacciones con las autoridades rusas. Sin embargo, Kovalev, el jefe de Conti, era conocido por los servicios de seguridad rusos. Además, otros miembros estaban asociados con los Servicios de Inteligencia rusos; los miembros de Conti compartían información abiertamente con los Servicios de Inteligencia para cumplir con los requisitos de inteligencia, probablemente proporcionando al gobierno ruso más utilidad que las organizaciones de lavado de dinero. Esta asimetría de trato es una característica definitoria de la “política de protección” del pacto.

En fuentes criminales rusas, gran parte del debate sobre los arrestos relacionados con Conti y Trickbot se limitó a cómo las autoridades rusas supieron de Angelo y al papel de Interpol en su arresto. Este enfoque limitado subraya que la preocupación de la comunidad se centra en las vías de exposición, no en la expectativa fundamental de que los operadores de alto valor se enfrenten a severas sanciones nacionales.

Impacto en la confianza y el reclutamiento de ciberdelincuentes

En este contexto de protección selectiva y sacrificios específicos, las señales del mercado dentro del underground cambiaron de maneras que se corresponden directamente con la estructura de incentivos y el cálculo de riesgos del Pacto Oscuro.

Desde el inicio de la Operación Endgame (mayo de 2024), Insikt Group ha observado una disminución en el número de anuncios abiertos de programas de afiliados de RaaS en la dark web, especialmente relacionados con grupos de ransomware de larga duración y credibilidad. Sin embargo, el número de nuevos anuncios de RaaS sigue siendo significativo: hemos visto al menos 21 programas de afiliados de RaaS lanzados desde mayo de 2024. Las principales plataformas para los anuncios fueron Ramp, XSS, BreachForums 2 y Telegram. Durante el mismo período, observamos que, además de los países de la Comunidad de Estados Independientes (CEI), los operadores de ransomware bloquean cualquier ataque contra los países BRICS (China, India, Brasil, Sudáfrica, Rusia, Egipto, Etiopía, Indonesia, Arabia Saudita y Emiratos Árabes Unidos). Los operadores de ransomware aún prefieren a los afiliados de habla rusa sobre los de habla inglesa porque consideran que estos últimos tienen más probabilidades de ser investigadores o agentes de las fuerzas del orden occidentales que pueden representar un riesgo significativo para ellos.

Menos anuncios abiertos y un giro hacia el reclutamiento semicerrado son adaptaciones racionales a la percepción de infiltración y a la aplicación selectiva de medidas nacionales. Los operadores intentan mantener la fuente de ingresos en marcha mientras reducen su exposición. La continua aparición de nuevos programas, a pesar de la presión de los titulares, demuestra que el negocio subyacente sigue siendo atractivo, pero el listón de la confianza es más alto y está más condicionado culturalmente. Las excepciones explícitas de “no ataque” para los BRICS reflejan los límites políticos de la protección: evitar represalias contra estados considerados amistosos o estratégicamente importantes reduce la posibilidad de perder la cobertura nacional. Finalmente, la preferencia por afiliados rusoparlantes es tanto un filtro de OPSEC como una señal social, que privilegia al grupo interno más legible para los protectores y con menos probabilidades de atraer la atención occidental, reforzando así la coevolución del comportamiento del mercado y la tolerancia estatal dentro del Pacto Oscuro.

Reclutamiento o verificación de miembros afiliados

Durante el período de investigación, no observamos cambios significativos en los procesos de reclutamiento y verificación de miembros afiliados de ransomware. Estos se ajustan a los requisitos anteriores; sin embargo, desde la Operación Endgame, hemos observado que muchos propietarios de ransomware se han vuelto más selectivos a la hora de contratar a sus afiliados. La mecánica básica permanece intacta, pero el umbral de entrada ha aumentado. Tras la Operación Endgame, los operadores incorporan un mayor riesgo de detección al reducir la superficie de ataque (favoreciendo los círculos conocidos, realizando un cribado más riguroso y externalizando el riesgo a los afiliados), en lugar de reestructurar el propio modelo RaaS.

Los operadores de RaaS exigen actividad a sus afiliados. Normalmente, banean a los afiliados que llevan un mes inactivos y eliminan sus cuentas. En algunos casos, las cuentas pueden banearse tras diez días (Mamona RaaS) o catorce días de inactividad (PlayBoy RaaS). Los requisitos de actividad funcionan como un control de confianza y liquidez: eliminan a los intrusos (incluidos los posibles infiltrados) y mantienen el flujo de trabajo generando apalancamiento para el rescate, imponiendo impuestos a los afiliados con “prueba de vida” para permanecer dentro del círculo.
Por razones de seguridad, es posible que se requiera que los nuevos miembros afiliados realicen depósitos (por ejemplo, $5,000) en otros foros de buena reputación. Los depósitos sustituyen el capital social erosionado. Donde antes bastaba con avales, el capital en riesgo se convierte en el indicador de detección, lo que aumenta los costos para los estafadores y encarece la infiltración.
Algunos operadores de ransomware no permiten el cifrado y la exfiltración de datos de organizaciones sin fines de lucro, entidades sanitarias y gubernamentales (por ejemplo, el ransomware Anubis o PlayBoy). Las normas de segmentación sirven tanto para proteger la reputación como para marcar fronteras políticas. Reducen la presión de las clases vulnerables a nivel nacional y se alinean con las normas implícitas del pacto que pondrían en peligro la tolerancia.
Hay un rescate mínimo exigido por víctima (50.000 dólares o más). El precio mínimo reduce la tasa de abandono, prioriza a las víctimas con mayor rentabilidad y preserva la influencia de la marca, compensando la menor cantidad de afiliados abiertos al aumentar los márgenes cuando el riesgo está justificado.
Se prohíben los ataques repetidos a las mismas víctimas. Las políticas anticolisión protegen la credibilidad de las negociaciones y reducen el ruido que desvía la atención de las fuerzas del orden y las plataformas, una norma interna que sustenta el negocio bajo escrutinio.

Las restricciones mencionadas probablemente se implementaron debido a los frecuentes intentos de estafa y a la cantidad de miembros afiliados a RaaS no cualificados. El 11 y 12 de agosto de 2025, el actor de amenazas “MikeMelton”, miembro del grupo de ransomware CHAOS, publicó en el foro Ramp que, anteriormente, este tipo de foro era un lugar privilegiado para realizar negocios y requería una reputación impecable y la garantía de otros miembros creíbles de la comunidad de la dark web. Sin embargo, recientemente, negocios como el hacking y el carding han comenzado a atraer a una gran cantidad de personas o agentes sin cualificación ni experiencia, lo que hace que todos los hilos comerciales se hagan públicos de inmediato; por esta razón, los miembros dejaron de compartir su experiencia. Actualmente, es un lugar para el comercio y los estafadores. Según el actor de amenazas, la reputación se basa únicamente en un depósito en los foros, no en la actividad real. Este lamento refleja el cambio estructural: la protección de la reputación se ha deteriorado bajo presión, por lo que los mercados recurren a garantías financieras y a la verificación de canales cerrados. En términos del Pacto Oscuro, a medida que la tolerancia estatal se vuelve más condicional y la presión externa aumenta, los actores de amenazas clandestinas se autorregulan con costos más altos y círculos más estrechos, sacrificando así la apertura en aras de la supervivencia.

**Figura 4:** MikeMelton publicó su opinión sobre la reputación y los avances de la comunidad de la dark web actual; la publicación se tradujo con Google Translate (Fuente: Ramp Forum)

Ejemplos de aumento o disminución de la confianza entre los miembros afiliados de RaaS

Desde 2024, hemos observado publicaciones en foros de la dark web donde actores de amenazas se quejaban de participar en programas de afiliados de RaaS, afirmando que los propietarios de ransomware los estafaban. Esta erosión de la confianza refuerza la transición de la publicidad abierta al reclutamiento cerrado y colateralizado, en consonancia con la lógica de autoprotección del pacto.

Disputa de miembro afiliado de Qilin RaaS

El 22 de julio de 2025, el actor de amenazas “hastalamuerte” presentó una queja en el foro Ramp contra “Haise”, operador y representante de Qilin Ransomware Group, basándose en fuentes criminales. Hastalamuerte acusó a Haise de no pagarles su parte del rescate. El actor de amenazas declaró que su equipo estaba afiliado a Qilin Ransomware Group y que habían atacado a catorce víctimas en el último mes y medio. Afirmaron que tenían un acuerdo con Qilin Ransomware Group para recibir 200.000 dólares por estas víctimas, pero el apoyo de Qilin desapareció repentinamente, y Hastalamuerte estimó una pérdida de beneficios de 48.000 dólares. Este tipo de disputa pública por impago erosiona la fiabilidad percibida de las plataformas RaaS, lo que empuja a los operadores hacia modelos de afiliación más estrictos, colateralizados y culturalmente restringidos, coherentes con la lógica de autoprotección del pacto.

En respuesta a la reclamación, Haise respondió que hastalamuerte está afiliado a “DevManager” (el actor de amenazas “Devman”), quien intentó colaborar con Qilin y proporcionó redes corporativas. Según Haise, Devman ha estado publicando estas víctimas antes de cerrar las negociaciones en su propio sitio web de extorsión, Devman Blog. Además, Devman supuestamente intentó robar el código fuente del ransomware Qilin y contratar a uno de sus desarrolladores. También mencionaron a otro miembro afiliado “extraño” que atacó a veinte entidades y se negó a publicarlas en el blog de extorsión de Qilin. hastalamuerte respondió que se afiliaron al ransomware a través de un grupo de Devman y no ocultaron que se conocían. La administración de Ramp Forum cerró la disputa el 31 de julio de 2025, sin consecuencias negativas para Haise. El arbitraje del foro que favorece al operador por sobre el afiliado señala una asimetría de poder dentro de los ecosistemas RaaS y disuade futuras denuncias, pero también acelera el riesgo de fuga de afiliados que los operadores luego contrarrestan con depósitos, verificaciones KYC-lite y reclutamiento cerrado.

Los conflictos entre los afiliados y los propietarios de RaaS ya habían ocurrido antes. Entre los ejemplos más notables se encuentra el conflicto entre el grupo de ransomware ALPHV, actualmente disuelto, y su antiguo afiliado, “notchy”.

Aparición de suplantadores de ransomware

En la segunda mitad de 2024 y en 2025, Insikt Group observó múltiples casos de aparición de suplantadores de identidad de grupos de ransomware con intenciones puramente fraudulentas. Entre estos grupos se encontraban RebornVC, Babuk 2.0, Bjorka Spirit (Ransomware), GD LockerSec, FunkSec, Dispossessor y Rabbit Hole. La proliferación de suplantadores de identidad debilita la credibilidad de la marca en todo el ecosistema, acelera la fuga de confianza hacia círculos cerrados y eleva los costes de adquisición para los afiliados legítimos. Estos resultados se alinean con la transición del Pacto Oscuro de mercados abiertos a redes estrictamente gestionadas y toleradas por el Estado.

Por ejemplo, el 26 de enero de 2025, el ransomware Babuk v. 2.0 se lanzó en la dark web e incluyó un anuncio para su programa de afiliados. El grupo de amenazas publicó los términos y condiciones principales del programa, indicando que el grupo de amenazas no se dirige a hospitales (excepto cirugías plásticas privadas y clínicas dentales), fundaciones benéficas sin fines de lucro, escuelas (excepto universidades importantes) o pequeñas empresas (empresas con menos de $4 millones en ingresos anuales). Vale la pena mencionar que el análisis de las víctimas publicadas en el sitio web de extorsión reveló que el 90% de las víctimas ya habían sido listadas por otros grupos de ransomware. Según el Equipo de Investigación e Inteligencia de GuidePoint (GRIT), de las 64 víctimas inicialmente listadas por los operadores de ransomware en el sitio web de extorsión, 26 víctimas habían sido listadas por FunkSec Group, 26 víctimas por RansomHub Ransomware Group y cuatro por LockBit 3.0 Ransomware Group. Las listas de víctimas recicladas sugieren un “secuestro de señales” oportunista, que erosiona el valor informativo de los sitios web de filtraciones y socava la capacidad de extorsión, otra fuerza que empuja a los operadores hacia canales seleccionados y asociaciones examinadas.

En enero de 2025, los operadores del ransomware Babuk 2.0 anunciaron su cooperación con el actor de amenazas “Bjorka” (al mismo tiempo que GD LockerSec Ransomware Group). Estas declaraciones fluidas de “colaboración” funcionan como arbitraje reputacional: los suplantadores de identidad se aprovechan del valor de la marca para atraer a afiliados y víctimas, mientras que los operadores reales responden reforzando las comprobaciones de verificación y procedencia. Casi inmediatamente después, en enero de 2025, Insikt Group observó un aumento en las actividades de Telegram asociadas con “Bjorka Spirit (Ransomware)”, un supuesto grupo de ransomware operado por el actor de amenazas Bjorka. Evaluamos que Bjorka no opera un grupo de ransomware, sino que realiza actividades de piratería informática y filtración de datos; sin embargo, el grupo de Telegram indica una cooperación activa entre Bjorka y operadores de grupos de ransomware como Babuk Locker 2.0, GD Locker, FunkSec y otros.

El Grupo Insikt identificó más discusiones en la dark web sobre el actor de amenazas “SkyWave”, presunto miembro del grupo de ransomware Babuk 2.0. Los usuarios afirmaron que los nombres SkyWave, “Bjorkanism” y “BabukLocker” son utilizados por el mismo individuo, Aditya Dani Herlambang. Aditya nació el 17 de marzo de 2009, es hombre y posiblemente resida en Pangkot, Manado Sulawesi Utara, Indonesia.

Consideramos que todos estos grupos de amenazas son operados por el mismo equipo de cibercriminales que publica constantemente datos ya filtrados en la dark web. Telegram bloqueó varios canales operados por los grupos mencionados debido a la violación de sus Términos de Servicio (TdS); sin embargo, las bajas barreras de entrada de Telegram permiten una rápida renovación de marca y captación de audiencia, lo que aumenta el ruido e incentiva aún más a los actores de amenazas graves a migrar las negociaciones fuera de los canales públicos.

Desde mayo de 2024, Insikt Group observó más ejemplos de grupos de ransomware y extorsión de datos que publicaban o revendían datos ya comprometidos, como el actualmente desaparecido Dispossessor Ransomware Group (que republicaba principalmente a las víctimas de LockBit 3.0) y Rabbit Hole Blog (que revendía datos ya filtrados de varios grupos de ransomware). Las estrategias de suplantación de identidad y reventa son un rumor de mercado que refuerza la idea de constelaciones más pequeñas y protegidas de actores de amenazas: aquellos con mayor probabilidad de ser legibles para los defensores nacionales y menos expuestos a la presión occidental.

Percepción interna y discusión comunitaria

Discusión sobre seguridad operacional

A lo largo de las iteraciones de 2024 y 2025 de la Operación Endgame, Insikt Group ha observado numerosos hilos en foros de alto nivel como Exploit y XSS, donde se debaten las eliminaciones y los arrestos, en particular en relación con las técnicas de desanonimización de las fuerzas del orden, los cambios de seguridad operativa recomendados y el cálculo de riesgos para participar en proyectos MaaS. Insikt Group observó que los usuarios se animaban cada vez más a migrar a plataformas de mensajería descentralizadas, alegando que las plataformas de comunicación centralizadas y los proveedores de correo electrónico cumplen con las normas de las fuerzas del orden. Varios usuarios recomendaron migrar las comunicaciones de Telegram a plataformas como Session, Jabber y Tox, aunque muchos también mencionaron vulnerabilidades en Tox, como la filtración de direcciones IP entre usuarios. Insikt Group también observó varios hilos que discutían la seguridad del navegador Tor, y uno de ellos expresaba escepticismo sobre las actualizaciones del navegador, Whonix y Qubes, y otras guías publicadas sobre cómo usar el navegador de forma segura. Muchos usuarios recomiendan un enfoque multicapa para la seguridad operativa, incluyendo el uso de Tails, máquinas virtuales, el navegador Tor y las redes Wi-Fi de los vecinos en lugar de las propias. También observamos hilos que planteaban específicamente la cuestión de la protección de datos en ordenadores y teléfonos móviles en caso de incautación por parte de las fuerzas del orden, y varios usuarios sugerían el uso de volúmenes ocultos de VeraCrypt para proteger los discos duros. Los usuarios también compararon la seguridad de varios sistemas operativos móviles y la disposición de los fabricantes a desbloquear dispositivos incautados. La mayoría coincidió en que se debería evitar confiar en iOS y Android, y varios recomendaron GrapheneOS en su lugar. Otros, por su parte, descartaron tener un smartphone por considerarlo inseguro e insistieron en usar solo teléfonos desechables antiguos.

Analíticamente, este cambio en la OPSEC refleja el Pacto Oscuro en la práctica: cuando la tolerancia estatal se vuelve condicional y la presión occidental aumenta, los actores de amenazas reducen la exposición centralizada, aumentan el nivel técnico de entrada y privilegian los canales internos, negociando escala por capacidad de supervivencia. Estas adaptaciones incrementan los costos de transacción para los afiliados (depósitos, verificación y cadenas de herramientas) y fragmentan la visibilidad para los defensores, pero también crean nuevas áreas de error (Tox mal configurado, fallos de higiene de Tor y OPSEC de prueba) que pueden explotarse. El efecto neto es una transición de la coordinación masiva y abierta hacia constelaciones más pequeñas y semicerradas, más legibles para los protectores nacionales y más difíciles de infiltrar para los foráneos.

Simultáneamente a la Operación Endgame, las fuerzas del orden rusas arrestaron a varios actores de ransomware, incluyendo aquellos relacionados con REvil. En los chats filtrados de BlackBasta, uno de los miembros del grupo destacó un arresto relacionado con REvil ocurrido en noviembre de 2023. Como resultado, el grupo borró las billeteras y otros datos que habían compartido con el actor de REvil arrestado, lo que indica cierto temor a nuevas acciones de las fuerzas del orden rusas. Esta reacción subraya la dinámica de “mercado gobernado” del pacto: la presión selectiva interna es lo suficientemente creíble como para imponer medidas de higiene preventiva (purgas de billeteras y compartimentación) sin desmantelar los ecosistemas centrales, lo que refuerza un refugio seguro condicional que Moscú puede reforzar o flexibilizar para gestionar el riesgo e influir en el comportamiento.

Discusión sobre la disrupción de Lumma

En otro hilo sobre la Operación Endgame, que resultó en el desmantelamiento de la infraestructura de Lumma Stealer, varios usuarios expresaron incertidumbre sobre la seguridad del modelo MaaS, alegando que la operación se dirigía abiertamente a los afiliados y clientes de Lumma, en lugar de solo a los desarrolladores y operadores del malware. Varios usuarios afirmaron que la única forma de operar es desarrollar sus propios ladrones y malware, y almacenar sus datos de forma privada, indicando que los usuarios no deberían confiar en proveedores de malware “público” como Lumma. La usuaria “Theriella” afirmó que los desarrolladores de Lumma probablemente estén seguros gracias a su presencia en Rusia, y que, aunque esto probablemente signifique que deben ceder una parte a las “estructuras” (probablemente instituciones como las fuerzas del orden), seguía siendo mejor que operar en territorio estadounidense. Otro usuario replicó que, con el tiempo, “el dinero se acabará y el tuyo te consumirá hasta los huesos”. Este debate refleja la disyuntiva del Pacto Oscuro: el MaaS como producto básico maximiza la escala, pero fomenta la exposición transfronteriza, mientras que los modelos de “crea tus propios datos, conserva tus propios datos” reducen la visibilidad y centran la protección en los vínculos nacionales, especialmente si los desarrolladores pueden “gravarse” con las estructuras locales para protegerse. La percepción de que los desarrolladores con sede en Rusia están más seguros, incluso si comparten los beneficios con las “estructuras”, refuerza la lógica del mercado gobernado, donde la proximidad a los protectores sustituye la confianza en la plataforma.

Varios usuarios también afirmaron que, a pesar de la interrupción, Lumma se volvió privada a través de canales cerrados, lo que coincidió con las observaciones de los investigadores sobre la continuidad de las infecciones y la disponibilidad de registros. Cabe destacar que, a partir de septiembre de 2025, Lumma aparentemente reanudó sus operaciones públicas con una publicación del 29 de agosto de 2025 en el Foro Ramp, donde se publicaron actualizaciones de Lumma, incluyendo un árbol de enlaces (usrlnk[.]io/lumma), así como una cuenta de Telegram (@lummaseller128) para comprar acceso al panel. Esta oscilación, de público a privado y viceversa, ilustra patrones de resiliencia comunes en ecosistemas alineados con convenios: cerrar filas bajo presión, monetizar discretamente mientras la situación es intensa y luego resurgir cuando la atención de las autoridades se desplaza. Para los defensores, esto implica que las bajas reducen temporalmente la liquidez, pero no eliminan la capacidad; para los responsables políticos, indica que un impacto duradero requiere una presión sostenida tanto sobre los operadores como sobre los incentivos nacionales que posibilitan su retorno.

Discusiones de individuos acusados

Además de analizar hilos individuales, Insikt también rastreó las actividades de los usuarios implicados en la Operación Fin de Juego y las discusiones sobre sus actividades en el foro. Observamos que varios usuarios identificados por la operación, como “Jimmbee” (Aleksandr Stepanov), “psevdo” y Chuck, siguen siendo miembros de sus respectivos foros y no han sido expulsados por los administradores. Otros usuarios, como el desarrollador de Lumma (“Shamel”), fueron expulsados del foro por solicitud propia. La presencia continua de usuarios identificados, en ausencia de expulsiones universales, indica que la gobernanza clandestina prioriza la utilidad y la reputación sobre las designaciones externas, lo que refuerza la lógica del pacto de que el capital social y la protección percibida pueden compensar la exposición pública.

Los usuarios de los foros de Exploit y XSS también compartieron sus opiniones sobre el destino de las personas identificadas y arrestadas en las campañas. En un hilo sobre el desmantelamiento de DanaBot y los arrestos durante la Operación Fin de Juego, la usuaria Theriella escribió sobre la posibilidad de que los sospechosos fueran reclutados por el gobierno estadounidense o ruso, afirmando que, en este último caso, se verían “obligados a trabajar para el gobierno en una jaula de oro con collar”. Esta narrativa de la “jaula de oro” se alinea con la dinámica del Pacto Oscuro: la coerción selectiva convierte a los criminales altamente cualificados en activos semi-negables, preservando la capacidad y reforzando la influencia del estado. El mismo hilo discutió errores de seguridad operativa que surgieron como resultado de una vulnerabilidad de fuga de memoria en el propio código de DanaBot, que filtró nombres de usuario, direcciones IP, dominios y direcciones de la infraestructura de comando y control (C2), claves privadas y más de los actores de amenazas. En un hilo XSS separado que analiza la operación 2024, los usuarios analizaron los videos de Operation Endgame publicados en el sitio web de eliminación, discutiendo qué nombres de usuario están vinculados a un individuo o teorizando sobre lo que las fuerzas del orden saben sobre varios individuos y quién es una “rata” que llevó a los arrestos.

La especulación sobre la atribución y la caza de “ratas” fragmentan la confianza y empujan a los actores de amenazas hacia una compartimentación más estricta, en consonancia con la transición de foros abiertos a círculos seleccionados. Otro usuario, “Asist”, comentó que la cuenta asociada con SmokeLoader (“SmokeLdr”) debería ser baneada por razones de seguridad, aunque a partir de septiembre de 2025, la cuenta permanece en el foro. La reticencia a banear marcas tradicionales subraya la importancia de la reputación y el potencial de ingresos, incluso en medio de preocupaciones de seguridad.

Las discusiones sobre las propias operaciones policiales también parecieron generar debates más existenciales en los foros sobre el análisis coste-beneficio de participar en ciberdelitos con fines financieros. En un hilo del Foro Exploit, el usuario “RichAsHell” comentó sobre la dificultad de obtener grandes beneficios mediante la actividad cibercriminal, especialmente para quienes se inician en ella, afirmando que el riesgo de décadas de prisión hace que trabajar en empresas “blancas” (no criminales) para obtener beneficios comparables sea más atractivo. Esta reevaluación refleja el aumento de los costes de transacción (depósitos, una investigación más estricta, canales cerrados) y el elevado riesgo percibido, claros efectos secundarios de la Operación Endgame y la aplicación condicional de la ley nacional. El tema fue controvertido entre los usuarios de Exploit, y algunos afirmaron que el ciberdelito era más rentable que cualquier trabajo “blanco” en los antiguos países de la CEI u otras economías con dificultades financieras, como las de África y el Sudeste Asiático, especialmente fuera de las grandes ciudades.

Las narrativas de agravios económicos ayudan a sostener el reclutamiento a pesar del mayor riesgo, pero también impulsan a los operadores a profesionalizarse y centralizar el control sobre quién participa. El usuario “Ex0rci$t” comentó que, al inicio de Exploit, el Código Penal de la Federación Rusa no preveía sanciones penales para el carding, citando la incertidumbre sobre una mayor criminalización de las actividades del foro en Rusia. Esta incertidumbre jurídica es una característica del espacio pactado: la ambigüedad preserva la flexibilidad del Estado para presionar o proteger según sea necesario, manteniendo su influencia sobre el mercado y evitando compromisos categóricos.

Cambios en las políticas transnacionales en un entorno posterior al final de la operación

Los gobiernos occidentales siguen evolucionando sus políticas contra el ransomware, adoptando principalmente una postura proactiva e implementando directrices de divulgación para que las fuerzas del orden y los gobiernos puedan medir la amenaza del ransomware. Esto transforma el entorno externo, pasando de una interrupción episódica a una medición y presión continuas, lo que aumenta el coste de las operaciones para los ecosistemas con sede en Rusia y revela dónde la protección nacional mantiene la actividad a pesar de la exposición.

Mientras esto sucede, Estados Unidos y Rusia han emprendido gestiones diplomáticas que han resultado en la liberación de varios cibercriminales rusos sentenciados (Alexandr Vinnik, Roman Seleznev y Vladislav Klyushin). Esto podría implicar que, si un cibercriminal encarcelado es lo suficientemente importante, podrían considerarlo como una opción en sus negociaciones. Klyushin y Seleznev fueron liberados en agosto de 2024 como parte de un intercambio multinacional. Klyushin había sido arrestado por su participación en un esquema de valores donde, junto con otros, piratearon redes informáticas para robar información corporativa confidencial que se utilizó para obtener 93 millones de dólares en ganancias a través del mercado de valores. Es probable que Klyushin haya sido liberado debido a los contratos de su empresa con el Kremlin y a que uno de sus coacusados es un oficial del GRU que participó en el hackeo del Comité Nacional Demócrata en 2016. Roman Seleznev, quien estuvo asociado con varios esquemas de hackeo y fraude con tarjetas de pago, probablemente fue liberado por ser hijo del miembro de la Duma rusa Valery Seleznev. Alexander Vinnik fue liberado en febrero de 2025 y se declaró culpable de blanquear miles de millones de dólares en criptomonedas. Antes de su regreso a Rusia, el Ministerio del Interior ruso inició una investigación para detener su extradición a Estados Unidos. Gracias al intercambio de prisioneros, Rusia retiró la causa penal en su contra y fue liberado a su regreso. Estos intercambios ponen de relieve cómo los actores amenazantes de alto valor funcionan como activos geopolíticos; la posibilidad de intercambio o protección reduce la disuasión para las élites y refuerza la lógica del pacto de que la proximidad al poder estatal puede compensar el riesgo legal extranjero.

Desde el comienzo de la Operación Endgame, múltiples ataques de ransomware originados en Rusia continuaron apuntando a entidades occidentales, lo que obligó a los gobiernos de muchos países a reevaluar su enfoque hacia los pagos de ransomware, las negociaciones con los operadores de ransomware, los procedimientos de reporte y la identificación de adversarios clave. A continuación, se presenta una lista de los principales cambios legislativos de los últimos años en los EE. UU. y en algunos otros países altamente atacados. En 2025, EE. UU. firmó dos órdenes presidenciales ( 1 , 2 ) para reforzar la postura de ciberseguridad que protege la infraestructura de internet y telecomunicaciones de EE. UU. La ley también permite al gobierno de EE. UU. tomar medidas más efectivas contra los ciberataques patrocinados por el estado orquestados por los gobiernos de Rusia, China, Irán y Corea del Norte, e implica el desarrollo de estándares mínimos de ciberseguridad para los contratistas de tecnología del gobierno con un enfoque principal en China. Al formalizar las autoridades y los estándares, los estados occidentales están reduciendo el espacio gris en el que operan los actores criminales tolerados por el estado, lo que dificulta que los grupos de amenazas con sede en Rusia dependan únicamente de la protección nacional mientras realizan transacciones internacionales.

Además, Japón está adoptando un enfoque cibernético más ofensivo. El 16 de mayo de 2025, Japón implementó una nueva Ley de Ciberdefensa Activa que permite a las autoridades japonesas realizar operaciones cibernéticas ofensivas contra infraestructuras y adversarios hostiles, incluyendo la infiltración y neutralización de servidores hostiles antes de que se produzca cualquier actividad maliciosa, y la reducción del nivel de ataques contra Japón. Esta normalización de la acción preventiva indica que la presión externa sobre los ecosistemas con sede en Rusia incluirá la defensa activa, no solo la limpieza posterior a incidentes, lo que reducirá las ventanas operativas que el pacto busca preservar.

El 31 de mayo de 2025, Australia comenzó a aplicar nuevas normas de divulgación de pagos de ransomware en virtud del Proyecto de Ley de Ciberseguridad de 2024. Estas normas exigen que las empresas con ingresos anuales superiores a 3 millones de dólares australianos (1,92 millones de dólares estadounidenses) informen sobre cualquier pago de rescate a la Dirección Australiana de Señales (ASD) en un plazo de 72 horas. Esta legislación, si bien no ilegaliza los pagos de rescate, exige transparencia para mejorar la información del gobierno sobre la actividad de ransomware e informar sobre futuras leyes contra la ciberdelincuencia. Las empresas deben informar detalles como su Número de Identificación Comercial Australiano (ABC), el momento del ataque, si los datos fueron robados o cifrados, las vulnerabilidades explotadas, el importe y la moneda del rescate, y el impacto financiero en la empresa.
El 14 de enero de 2025, el gobierno del Reino Unido inició una consulta abierta denominada “Ransomware: propuestas para aumentar la notificación de incidentes y reducir los pagos a delincuentes”, con fecha de lanzamiento propuesta para el 8 de abril de 2025. Según la propuesta, se prohíbe a todos los organismos del sector público, incluidas las escuelas, el Servicio Nacional de Salud (NHS), los operadores de Infraestructuras Nacionales Críticas (CNI) y los ayuntamientos, realizar pagos de ransomware. Las propuestas también incluyen la notificación obligatoria de incidentes de ransomware, con el objetivo de mejorar la transparencia y las estrategias de respuesta. Anteriormente, los departamentos gubernamentales del Reino Unido tenían prohibido pagar rescates a los operadores de ransomware. Este proceso forma parte de una estrategia más amplia para combatir la ciberdelincuencia y minimizar el riesgo de pérdidas financieras y otros daños a las empresas y la infraestructura. Al momento de redactar este documento, la legislación aún no se ha implementado, pero la respuesta gubernamental publicada demuestra una firme intención de avanzar con la legislación en el futuro previsible.

La visibilidad de los pagos y las prohibiciones reducen la liquidez de los ecosistemas RaaS, aumentan el riesgo de negociación y debilitan el poder de extorsión. Esto limita el canal de monetización que la protección nacional por sí sola no puede garantizar, lo que presiona a los actores de amenazas con sede en Rusia para que se adapten o pierdan rentabilidad.

Adaptaciones operativas de los ciberdelincuentes rusos

En abril de 2025, las fuerzas del orden rusas arrestaron al director ejecutivo del Grupo Aeza, Arseniy Penzyev, y al cofundador, Yuri Bozoyan, por su presunta participación en el alojamiento del mercado de la darknet BlackSprut, una plataforma que había captado la atención pública mediante anuncios inexplicables en vallas publicitarias en Moscú. Si bien las autoridades rusas históricamente han tolerado o ignorado a muchos proveedores de alojamiento que se anuncian en foros criminales, la conexión directa de Aeza con el mercado nacional de narcóticos parece haber traspasado un umbral político que motivó la intervención. Este incidente ilustra cómo las medidas de control en Rusia pueden ocurrir de forma repentina y selectiva, sin indicar un cambio de política más amplio. Cuando la infraestructura criminal atrae atención pública o política no deseada, la tolerancia se reduce y las autoridades demuestran las consecuencias, incluso cuando las operaciones cibernéticas o de influencia adyacentes permanecen sin obstáculos.

Los arrestos de Aeza provocaron una considerable pérdida de confianza en el proveedor dentro del ecosistema cibercriminal, con múltiples quejas de usuarios sobre tiempos de inactividad y suspensiones de pagos en foros como LolzTeam (lo que resultó en el bloqueo de la cuenta de Aeza por “estafa”). Otras agencias de protección de datos rusas, como CloudBlast y VDSina, actuaron rápidamente para llenar el vacío dejado por Aeza, ofreciendo “servicios específicos para refugiados”. Además, el gobierno estadounidense anunció sanciones contra Aeza en julio de 2025, y el Reino Unido hizo lo mismo en septiembre de 2025 por su participación en diversas operaciones de ransomware. Poco después de la designación de la OFAC, Insikt Group observó las medidas de Aeza para diversificar su marca y migrar parte de su infraestructura al proveedor serbio Smart Digital Ideas DOO y a la empresa británica Hypercore Ltd., probablemente para proteger sus activos de propiedad intelectual. Al mismo tiempo, la empresa sigue dependiendo de sistemas financieros rusos como WebMoney, YooMoney y Mir para sus pagos.

Evaluamos que esto probablemente refleja un intento de Aeza de retener activos de propiedad intelectual, mientras equilibra las operaciones entre las estrategias de cumplimiento impuestas tanto por los gobiernos occidentales como por las fuerzas del orden nacionales rusas. Cabe destacar que Aeza también había sido vinculada a alojar cierta infraestructura para la campaña de desinformación pro-Kremlin Doppelgänger, activa en Europa desde al menos 2022, todo mientras también tenía su sede en el antiguo Centro PMC Wagner . Esto sugiere que, si bien las autoridades rusas pueden tolerar e incluso utilizar servicios de alojamiento vinculados a la ciberdelincuencia para sus propias operaciones, es posible que la asociación directa con la distribución nacional de narcóticos introdujera sensibilidad política que parece haber motivado la intervención. El enfoque de diversificación geográfica es una adaptación criminal típica dentro del ecosistema de alojamiento, en particular para las organizaciones que operan en jurisdicciones con diferentes niveles de tolerancia: migrar la infraestructura al extranjero mientras anclan la monetización en casa, preservando el acceso a la protección y los pagos nacionales, incluso a medida que aumenta la presión reputacional y regulatoria.

Por otro lado, presuntos agentes de seguridad transnacional (TAE) como Stark Industries y Zservers han demostrado cierta resiliencia para adaptarse a las medidas de control occidentales, incluidas las sanciones. Es probable que Stark Industries se haya aprovechado de la información de los medios para migrar preventivamente parte de su infraestructura a UFO Hosting, con sede en Moscú, y así garantizar la continuidad de sus operaciones. Antes de estas sanciones, Stark Industries también habría cooperado con las fuerzas del orden occidentales en la Operación Endgame. El Grupo Insikt no observó acciones similares por parte de Zservers, que también fue sancionada. Cabe destacar que su sitio web sigue activo, a pesar de que varios actores de amenazas indicaron que el servicio había “fallecido”.

Estas estrategias heterogéneas de reposicionamiento preventivo, fachadas extranjeras, diversificación de presencia y cooperación selectiva ilustran cómo las agencias de inteligencia transnacional (EAT) y organizaciones similares se desenvuelven en el complejo entorno operativo de la Federación Rusa y la Comunidad de Estados Independientes (CEI). Estos actores amenazantes siguen siendo útiles para las prioridades estatales, proporcionando un servicio clave (infraestructura) y permitiendo al Estado mantener una negación plausible a nivel global; sin embargo, estos proveedores deben evitar prestar servicios a asuntos sensibles a nivel nacional para evitar acciones coercitivas inesperadas.

El ransomware se adapta y crece a pesar de la presión externa

Las principales tendencias observadas por Insikt Group desde el inicio de la Operación Endgame se pueden dividir en dos grupos: las que continuaron evolucionando con respecto al período del informe anterior y las nuevas tendencias que cambiaron significativamente el panorama de amenazas del ransomware. Estas tendencias reflejan un mercado que busca volumen y dispersión para compensar la aplicación de la ley, a la vez que concentra la confianza y la protección donde la cobertura nacional es más sólida. Entre las principales tendencias de evolución se encuentran las siguientes:

En primer lugar, se observa un crecimiento estable en el número de nuevas variantes de ransomware. Por ejemplo, de mayo a diciembre de 2024, identificamos al menos 192 nuevas variantes de ransomware. De enero a septiembre de 2025, el número de nuevas variantes fue de 236. La mayoría de las variantes se originaron a partir de código fuente filtrado y desarrolladores de familias de ransomware existentes, como LockBit, CryLock, Xorist, Proton, GlobeImposter, Chaos, Makop, MedusaLocker, Djvu, Dharma y otras. Estimamos que esta tendencia continuará y aumentará en volumen. El lanzamiento de una nueva variante de ransomware puede, y a menudo lo hace, atraer la atención de los medios, algo que un actor o grupo de amenazas puede desear en ocasiones. A medida que los grupos de amenazas adquieren conocimientos sobre el desarrollo e implementación de sus propias variantes de ransomware a través de datos filtrados, es probable que incorporen este tipo de vector de ataque a sus estrategias de ataque. En algunos casos, Insikt Group observó que presuntamente diferentes variantes de ransomware utilizaban métodos de comunicación idénticos, lo que indica que estos actores de amenazas tienen poca credibilidad. La proliferación a través de constructores filtrados extiende la capacidad sin contar con personal suficiente ni protección, lo que genera “marcas” ruidosas que buscan atención pero carecen de credibilidad. Esta adaptación a nivel de ecosistema aumenta la carga de triaje de los defensores, mientras que deja a los equipos principales y protegidos relativamente aislados. Por mencionar algunos ejemplos:

El ransomware Root, el ransomware Foxtrot y el ransomware Pomochit utilizaron direcciones de correo electrónico idénticas (pomocit01@kanzensei[.]top y pomocit01@surakshaguardian[.]com).
Destruye ransomware y atacaEl nuevo ransomware utilizó direcciones de correo electrónico idénticas (ithelp01@securitymy[.]name y ithelp01@yousheltered[.]com).

En segundo lugar, se ha observado un crecimiento estable de nuevos sitios web de extorsión de ransomware. Por ejemplo, de mayo a diciembre de 2024, Insikt Group identificó 34 sitios web de extorsión, y de enero a septiembre de 2025, 60 blogs de extorsión. Un mayor número de blogs diversifica los canales de presión y dificulta las desmantelaciones, además de fragmentar la confianza; los operadores serios responden dirigiendo las negociaciones a foros seleccionados, lo que refuerza una dinámica de círculo cerrado, coherente con el pacto. No todas las variantes de ransomware operan sus propios blogs de extorsión. Insikt Group considera que es relativamente fácil crear e implementar una nueva variante, pero existe un obstáculo para que la variante tenga el éxito suficiente para obtener datos de las víctimas y lanzar un sitio web de extorsión.

En tercer lugar, el ransomware se ha centrado en los países asiáticos. En 2024, India fue el país más atacado de Asia y el séptimo a nivel mundial, con 100 víctimas registradas en sitios web de extorsión. En junio de 2025, Israel se convirtió en el cuarto país más atacado a nivel mundial. Sin embargo, es probable que Israel haya sido atacado con mayor frecuencia de lo habitual este mes debido al conflicto con Irán, que desencadenó una ola de ataques oportunistas por parte de diversos ciberdelincuentes. Los cambios geográficos reflejan el oportunismo y la gestión de riesgos políticos: los actores de amenazas buscan objetivos de alto rendimiento, evitando jurisdicciones que amenazan la protección nacional o desencadenan una respuesta desproporcionada.

En cuarto lugar, los nuevos grupos de ransomware siguen utilizando tácticas de presión para extorsionar a las víctimas, como ataques de denegación de servicio distribuido (DDoS) o llamadas telefónicas para amenazarlas con el pago de un rescate. Estos nuevos grupos de RaaS también seguirán contratando a miembros afiliados abiertamente, principalmente a través de sus blogs de extorsión, canales de Telegram o foros, en concreto, Ramp Forum. Las tácticas de escalada sustituyen la disminución de las tasas de pago; la contratación abierta persiste en la periferia del mercado, mientras que las marcas consolidadas restringen las restricciones: una doble vía que equilibra el volumen con la capacidad de supervivencia.

En quinto lugar, los operadores de variantes de ransomware basadas en códigos fuente filtrados de marcas conocidas adoptaron ampliamente otro método de presión: el pago doble del rescate a menos que la víctima lo pague en un plazo de 24, 48 o 72 horas tras un ataque de ransomware. Las sanciones basadas en el tiempo buscan acortar las oportunidades de negociación antes de que las fuerzas del orden y los reguladores puedan intervenir, reconociendo un entorno externo más hostil.

En sexto lugar, los grupos de ransomware existentes continuaron cambiando su imagen por razones de seguridad. Este cambio de imagen sirve como un restablecimiento de reputación y una cortina de humo legal, permitiendo que los núcleos protegidos se desvíen de la atención, a la vez que conservan el talento, la infraestructura y los servicios públicos alineados con el estado dentro de los límites de protección del pacto.

Cambios en las TTP del ransomware

Desde mayo de 2024, el Grupo Insikt ha observado diferentes enfoques en el modelo de negocio de los operadores de RaaS y cambios en los TTP. Los nuevos enfoques observados se describen en el Apéndice B.

Aumento de la rivalidad entre grupos de ransomware

Conflicto entre Dragon Force, RansomBay y RansomHub

En abril de 2025, Insikt Group identificó que Dragon Force Ransomware Group hizo varias declaraciones controvertidas sobre su proyecto “DragonBay” y RansomHub Ransomware Group en el foro Ramp:

El 1 de abril de 2025, se observó que el grupo de ransomware RansomHub dejó de operar. Algunos investigadores afirmaron que al menos una parte del grupo de amenazas probablemente migró a Qilin RaaS, ya que el número de víctimas casi se duplicó desde febrero de 2025. Se observó que el grupo de ransomware Qilin anunciaba una nueva versión de RaaS y contrataba a más afiliados.
Casi simultáneamente, el 2 de abril de 2025, el actor de amenazas dragonforce publicó una declaración que indica que RansomHub probablemente se unió a su infraestructura y comenzó a cooperar.

El 25 de abril de 2025, Dragonforce negó haber atacado al grupo de ransomware RansomHub en el foro Ramp. Sin embargo, el 28 de abril de 2025, el actor de amenazas “koley”, miembro del grupo, afirmó que Dragon Force era responsable del ataque contra la infraestructura de RansomHub y de la interrupción de sus operaciones. Además, declaró haber identificado a un traidor dentro de RansomHub, un individuo con el seudónimo “sarg0n” (posiblemente sarg0n, miembro de los foros de exploits y XSS), cuyo supuesto nombre es “Дмитрий Игоревич Кудинов”, con la cuenta de VK vk[.]ru/id6571635. Además, Koley afirmó que Dragon Force tiene contactos en el FSB, como RansomHub. Koley afirmó que el ataque a RansomHub fue una declaración de guerra entre los dos grupos cibercriminales.

Dragon Force: Posibles ataques a los grupos de ransomware Everest, LockBit y BlackLock (Mamona)

El 18 de marzo de 2025, el grupo de ransomware Dragon Force anunció que operaba como el
cártel del ransomware Dragon Force. 24 horas después, se observó que realizaba ataques DDoS y desfiguraciones contra sitios web de extorsión de la competencia, como BlackLock Blog y Mamona Blog. Ambos sitios web son variantes del grupo de ransomware El Dorado y están operados por el mismo actor de amenazas, “$$$”.

Más tarde, el 5 de abril de 2025, el sitio web de extorsión llamado “Everest Ransom Team”, utilizado por el grupo de ransomware Everest, dejó de estar disponible tras haber sido aparentemente hackeado y desfigurado el fin de semana anterior. Las listas de víctimas en el sitio web fueron reemplazadas por el mensaje “No delinquir. EL CRIMEN ES MALO. Besos y abrazos desde Praga”. No está claro si el incidente es legítimo ni quién podría estar detrás (el mismo mensaje fue publicado por un usuario desconocido en el panel de afiliados del administrador de LockBit, disponible en LockBit Leaked Chats), ya que las operaciones de disrupción policial, que se han expandido en los últimos años, suelen reemplazar los sitios web que atacan con una página de presentación que anuncia la operación e identifica a las agencias involucradas. La desfiguración del blog de Everest no pretende provenir de una agencia policial, y no se han identificado afiliados que se quejen de haber sido estafados al salir en foros de la dark web. Al momento de escribir este artículo, el blog de extorsión continúa operando. Sin embargo, es posible que los grupos de ransomware LockBit y Everest fueran el objetivo de Dragon Force.

Impacto en los pagos, estrategias objetivo y rentabilidad

Desde el comienzo de la Operación Endgame y muchas otras operaciones policiales exitosas en todo el mundo, Insikt Group ha analizado informes y estadísticas relacionados con las ganancias y pérdidas financieras de los operadores de ransomware e identificó que han estado recibiendo menos pagos de rescate desde 2024, y esta tendencia continúa en la primera mitad de 2025. Además, la explotación de vulnerabilidades, los ataques de phishing y los ataques a través de correos electrónicos maliciosos son los principales vectores de ataque para infectar a las víctimas con ransomware.

El análisis de los informes relacionados con los pagos de rescate indica que los pagos promedio de ransomware en el primer semestre de 2025 disminuyeron ligeramente:

Sophos publicó el informe “El Estado del Ransomware” el 30 de junio de 2025, que indica que el 32 % de los ataques de ransomware se debieron a la explotación de vulnerabilidades; las tasas de descifrado de datos disminuyeron al 50 % en 2025 (70 % en 2024). Las demandas de rescate promedio (medianas) disminuyeron un 34 %, hasta los 1 324 439 USD, frente a los 2 millones de USD de 2024. Los pagos de rescate promedio (medianos) se redujeron un 50 % en 2025 (1 millón de USD) en comparación con 2024 (2 millones de USD).
Coveware publicó un informe el 1 de mayo de 2025 que indica que el pago promedio de rescate en el primer trimestre de 2025 fue de $552,777 (-0.2% en comparación con el cuarto trimestre de 2024). El pago promedio de rescate en el primer trimestre de 2025 fue de $200,000 (+80% en comparación con el cuarto trimestre de 2024).
Chainalysis informó el 5 de febrero de 2025 que, en 2024, los operadores de ransomware obtuvieron aproximadamente 813,55 millones de dólares en pagos de rescate, lo que indica una disminución del 35 % con respecto a 2023, cuando se registraron 1250 millones de dólares en pagos de rescate. Además, los sitios web de filtración de datos registraron más víctimas en 2024 que en cualquier año anterior; sin embargo, estos sitios web de extorsión de datos a menudo publican información ya pública o republican desde otras fuentes para engañar y estafar a las víctimas, a las fuerzas del orden y a los investigadores de ciberseguridad. Otra razón importante para ello fue probablemente el colapso de dos importantes grupos de ransomware en 2024: LockBit 3.0 (“Operación Cronos”, febrero de 2024) y ALPHV (que realizó una estafa de salida en enero de 2024). Los grupos de ransomware emergentes no pueden alcanzar la misma escala de operaciones y cuota de mercado que las variantes mencionadas.

Perspectiva

Es improbable que el ecosistema cibercriminal ruso se contraiga; continuará reconfigurándose. Consideramos con alta confianza que la aplicación selectiva de la ley rusa seguirá destruyendo nodos de monetización e infraestructura prescindibles, a la vez que aísla los círculos de operadores de alta utilidad, manteniendo un refugio seguro condicional que se adapta, en lugar de ceder, a la presión occidental. Durante los próximos seis a doce meses, es probable que las autoridades rusas prioricen las acciones contra facilitadores de baja utilidad (como intermediarios de cobro y servicios de alojamiento políticamente sensibles vinculados a la óptica nacional), evitando al mismo tiempo acciones decisivas contra operadores percibidos como de inteligencia o valor geopolítico. Se esperan más casos similares a los de Cryptex/UAPS y una continua ambigüedad en torno a figuras de élite mencionadas en las acciones occidentales.

La fricción en la retirada de efectivo aumentará a medida que las incautaciones, las sanciones y los casos episódicos de Rusia perturben las vías de confianza, lo que impulsará la diversificación mediante mezcladores, corredores OTC y jurisdicciones favorables. El resultado son mayores costos de transacción y retrasos, no un colapso de los ingresos. Paralelamente, la erosión de la confianza en los foros seguirá impulsando el reclutamiento y las negociaciones desde los mercados abiertos hacia círculos semicerrados que requieren depósitos, verificaciones KYC con poca experiencia y un control cultural. Los anuncios de RaaS abierto persistirán en los márgenes para impulsar el volumen, mientras que las marcas creíbles reforzarán sus controles para proteger la continuidad.

La rotación de modelos de negocio persistirá. Prevemos un crecimiento continuo de las ofertas basadas exclusivamente en la extorsión de datos, complementos de triple extorsión como DDoS y presión de llamadas, y esquemas de afiliación de tipo inversión. La privatización temporal —que se aquieta bajo presión y luego resurge cuando la atención se desvía— seguirá siendo un patrón común de resiliencia, como se observa en los ecosistemas de robo de información de materias primas. El efecto neto: ciclos de exposición pública más cortos y ventanas de monetización privada más largas.

La seguridad operacional (OPSEC) se intensificará, pero seguirá siendo desigual. Los actores de amenazas seguirán migrando de plataformas centralizadas y acumulando cadenas de herramientas (Tails, máquinas virtuales [VM] y volúmenes ocultos). Sin embargo, las brechas de usabilidad y las configuraciones incorrectas seguirán creando fisuras que los defensores pueden explotar, especialmente durante la incorporación de afiliados, los cambios de pago y las transiciones de comunicaciones. Al mismo tiempo, las filtraciones de desarrolladores y los cambios de marca rápidos seguirán generando numerosas variantes de baja credibilidad y nuevos blogs, lo que aumentará el volumen general y reducirá la calidad de la señal; un núcleo más pequeño de actores de amenazas protegidos mantendrá un impacto desproporcionado en medio del ruido.

La geografía y la selección de objetivos seguirán estando políticamente limitadas. Las excepciones explícitas para la CEI y los BRICS, así como las fluctuaciones oportunistas vinculadas a las crisis regionales, se mantendrán, lo que refleja la gestión de riesgos dentro del pacto. Los actores amenazantes buscarán oportunidades de alto rendimiento, evitando las consecuencias en jurisdicciones que pongan en peligro la cobertura nacional. La presión política occidental se intensificará a medida que se amplíen las divulgaciones y prohibiciones de pagos, se normalicen las autoridades ofensivas y se aceleren los desmantelamientos multinacionales. La disuasión para los operadores de élite seguirá siendo limitada mientras los swaps, las medidas nacionales laxas y la protección política diluyan el riesgo personal percibido.

Para los defensores y los responsables políticos, la implicación es clara: el impacto duradero proviene de la presión sobre los incentivos de la protección, tanto como sobre los propios delincuentes. Priorizar los puntos críticos en la obtención de fondos y la infraestructura; instrumentar la medición continua para detectar oscilaciones entre las operaciones públicas y privadas; centrarse en las fisuras en los ciclos de incorporación y negociación de afiliados; y alinear las sanciones y las acciones policiales con las herramientas diplomáticas que aumentan el costo interno de la protección. En un mercado gestionado, el pacto se ajusta a las perturbaciones; solo reestructurando el cálculo que sustenta la protección se puede escalar y persistir la disrupción.

Posible fecha de operación	Evento relacionado con la actividad operativa o la aplicación de la ley	Directamente asociado con la Operación Endgame
15 de julio de 2024	Las autoridades rusas arrestan al actor de Trickbot “Azot” (también conocido como “Angelo”).	Sí
16 de septiembre de 2024	Las autoridades rusas detienen a “Bio” del Grupo Conti por un período de tiempo desconocido	No
2 de octubre de 2024	Las autoridades rusas realizan redadas y arrestan a 100 personas asociadas con Cryptex y UAPS	Sí
Noviembre de 2024	Arresto de “Wazawaka”	No
Enero de 2025	El gobierno ruso confisca 10 millones de dólares en Bitcoin (BTC) a un exmiembro del Comité de Investigación (SKR) como parte de un caso de soborno vinculado a los líderes del Foro Infraud.	No
Marzo de 2025	Detención de miembros asociados al troyano bancario Mamont	No
4 de abril de 2025	Detienen al director general del Grupo Aeza	No
Junio de 2025	Cuatro actores de la amenaza REvil son declarados culpables y condenados a tiempo cumplido por tráfico de datos de tarjetas de pago; las autoridades rusas también incautan algo de dinero y propiedades.	No

(Fuente: Recorded Future)

Apéndice B: Lista de nuevas TTP de ransomware adoptadas después de la Operación Endgame

Cambios TTP	Grupo de ransomware
Modelo de extorsión de datos	Hunters International: Hunters International fue uno de los primeros grupos de RaaS en anunciar públicamente su cambio a un modelo de extorsión de datos. El 14 de agosto de 2024, en su sitio web de extorsión, Hunters International declaró que el número de pagos de rescate disminuyó significativamente, y la razón principal no fue un programa de afiliados específico ni la calidad del ransomware. La principal razón fue la publicidad. Según los actores de amenazas, la única variante posible es recibir un rescate para atacar infraestructura crítica; sin embargo, si las autoridades no autorizan el pago del rescate, no hay posibilidad de obtener ganancias. Hunters International Group decidió exfiltrar datos y no implementar ransomware. Tras ese anuncio, Hunters International dejó de mostrar notas de rescate y de renombrar los archivos cifrados.Anubis RaaS: El grupo de ransomware Anubis utilizó una táctica diferente para atraer afiliados. A finales de febrero de 2025, el grupo de amenazas estrenó un modelo de afiliados con dos modalidades. El 23 de febrero de 2025, el actor de amenazas “superSonic” anunció el programa de afiliados de Anubis RaaS en el foro Ramp e introdujo dos modelos: ransomware y exfiltración de datos. El modelo de negocio de exfiltración de datos permite a los usuarios enviar datos exfiltrados de empresas a Anubis, quien luego realiza el proceso de extorsión a través de su blog de extorsión.Además de Hunters International y Anubis, también se observó que BianLian Ransomware Group pasó de operaciones de ransomware a operaciones de extorsión de datos.
Opción de llamar a un abogado	Los grupos de ransomware continuaron reforzando sus técnicas de triple extorsión, además de los ataques DDoS y los servicios de llamadas telefónicas, contra víctimas ya comprometidas. Por ejemplo, el 4 de mayo de 2025, el actor de amenazas Haise, miembro de Ramp Forum y de Qilin Ransomware Group, anunció que el programa de afiliados Qilin RaaS ofrecía a sus miembros un servicio automatizado de “llamada a un abogado”. Según el actor de amenazas, el servicio incluye las siguientes opciones y beneficios:Una “evaluación” legal de los datos comprometidosUna clasificación jurídica de las violaciones en función de las jurisdicciones específicasUna evaluación legal de posibles demandas, sus costos y daños a la reputación.Capacidad de llevar a cabo negociaciones para las víctimas directamente con un abogado.Una consulta legal sobre cómo causar el máximo daño a las víctimas si se niegan a cooperarAdemás, el 5 de mayo de 2025, el grupo de ransomware implementó funciones adicionales, como un almacenamiento para compartir archivos con hasta 1 TB de capacidad de datos, una herramienta de spam, su propio grupo de “periodistas” que, en cooperación con abogados, pueden ayudar a crear textos para publicar en el blog de extorsión, así como ayudar con las negociaciones del ransomware.
Programa de afiliados de inversión	El 21 de junio de 2025, el actor de amenazas “Nova”, en el foro Ramp, buscaba miembros afiliados para el nuevo “Programa de Afiliados de Inversión de Nova Access”. Según el actor, este programa se utilizaría para invertir en la red comprometida. “El valor de mercado se determinará según el monto del rescate de la víctima, dependiendo de la región y el tipo de objetivo, y quienes proporcionen víctimas más grandes obtendrán una inversión más exitosa”, declaró el actor. El equipo de Nova RaaS iba a incorporar a los inversores a través de Session Messenger, donde podrían recibir una insignia de confianza. La descripción del programa también indicaba: “Esta insignia les otorgará acceso al servidor de chat privado de Nova para mayor privacidad y un mayor porcentaje del valor del rescate. Les daremos acceso completo a la negociación del chat y podrán ver el chat con las víctimas”.El 29 de julio de 2025, los operadores del ransomware detuvieron el Programa de Afiliados de Nova Investment. Afirmaron que, en su lugar, implementarían otro programa que sería útil para otros miembros que no pueden realizar depósitos. El nuevo programa debería permitir a los nuevos miembros usar los recursos y servicios de Nova Ransomware Group de forma gratuita si proporcionan un acceso de alto rendimiento con sede en EE. UU. o la UE.
Modelo de hacker a sueldo	En julio de 2025, el Grupo Insikt observó las actividades del blog D4rk 4rmy, un blog de extorsión de la dark web, probablemente operado por el grupo de ransomware D4rk 4rmy (también conocido como “D4rk4rmy”). El sitio web de extorsión contiene la frase china “共产主义勒索软件党”, que se traduce al español como “Partido Comunista del Ransomware”. El grupo de amenazas ofrece un servicio de hackers a sueldo. Afirmó ser un grupo consolidado y buscar socios con experiencia para cooperar. Solo acepta actores de amenazas que hablen chino, ruso e inglés “que dominen estos idiomas” (probablemente uno de ellos).
Dragon Force: Cartel y Premium RaaS	El 24 de abril de 2025, “dragonforce”, miembro del Foro Ramp y representante de Dragon Force Ransomware Group, anunció el lanzamiento de RansomBay, un proyecto dirigido a países de “Nivel 1” con ingresos de hasta 150 millones de dólares. Además, el 15 de septiembre de 2025, Dragon Force Ransomware Group anunció una alianza con Qilin y LockBit (LockBit 5.0 RaaS se lanzó el 3 de septiembre de 2025 con una funcionalidad actualizada). Al momento de redactar este informe, Insikt Group no puede evaluar si los grupos de amenazas combinaron completamente sus equipos, esfuerzos y recursos o si la declaración se realizó para intimidar o engañar a otros rivales de Dragon Force.

(Fuente: Datos futuros registrados)

Apéndice C: Lista de entidades objetivo de la Operación Endgame

Número de temporada	Actor/Variante de amenaza	Acciones relevantes
Temporada 1	IcedID	Convulsiones y derribos
Temporada 1	SistemaBC (“Psevdo”)	Convulsiones
Temporada 1	Peso	Arrestos
Temporada 1 y Temporada 2	Cargador de humo (“caballo verde”)	ConvulsiónIdentificación de clientes
Temporada 1	Cargador BumbeleBee	Convulsiones
Temporada 1 y Temporada 2	Trickbot	Vídeo publicado
Temporada 1	Ladrón	Convulsión
Temporada 2	Qakbot	Lanzamiento de vídeoAcusación Convulsión
Temporada 2	DanaBot	Acusación Convulsión
Temporada 1 y Temporada 2	Emotet (“Extraño”)	Lanzamiento de vídeo
Temporada 1	Cryptex	ConvulsiónLanzamiento de vídeoArrestos e incautaciones en Rusia
Temporada 1	Oro	Lanzamiento de vídeo
Temporada 2	AVCheck	Convulsión
Temporada 1 y Temporada 2	Grupo de ransomware Conti	Lista de los más buscados de la UE

(Fuente: operation-endgame[.]com )