El pasado lunes, el Departamento de Justicia de Estados Unidos anunció la declaración de culpabilidad de Angelo Martino, un exemployado de la firma de ciberseguridad DigitalMint que trabajaba como negociador de rescates por ransomware. Martino no solo no protegió a las empresas que le contrataron: les traicionó activamente, filtrando información confidencial de sus seguros al grupo criminal ALPHV/BlackCat para que los atacantes supieran exactamente cuánto podían exigir. El caso expone una grieta estructural en el ecosistema de respuesta a ciberataques que afecta a cualquier empresa, también en Europa, que dependa de intermediarios externos para gestionar extorsiones digitales.
Qué ha pasado exactamente
Angelo Martino, que trabajaba para DigitalMint, una empresa especializada en gestión de incidentes de ransomware y negociación de rescates, se declaró culpable de conspiración para desplegar ransomware y extorsionar a víctimas en Estados Unidos. Según informó el Departamento de Justicia, Martino participó activamente en al menos cinco incidentes distintos en los que jugó a dos bandas: de cara a sus clientes actuaba como negociador que buscaba reducir el impacto económico del ataque; en paralelo, suministraba a la banda BlackCat información precisa sobre las pólizas de seguro cibernético de esas mismas víctimas.
La información que Martino entregó a los criminales era especialmente valiosa porque permitía a BlackCat calibrar sus demandas con precisión quirúrgica. Conocer el límite máximo de cobertura de una aseguradora elimina la incertidumbre del atacante: ya no es necesario tantear ni negociar desde la ignorancia. Según recoge el medio especializado *The Register*, Martino es el tercero de tres exnegociadores de ransomware acusados de colaborar con ALPHV/BlackCat en la extorsión de empresas estadounidenses, y el último en declararse culpable, meses después que los otros dos. El anuncio público de su culpabilidad se produjo el lunes 21 de abril de 2026.
Las consecuencias económicas documentadas son significativas. Según fuentes recogidas por medios especializados, la filtración de datos de víctimas facilitó una extorsión de 1,2 millones de dólares y derivó en la incautación de 10 millones de dólares por parte de las autoridades. El Departamento de Justicia subrayó en su comunicado que «Angelo Martino abusó de la confianza depositada en él como negociador del sector privado al colaborar con criminales de ransomware», y que sus clientes «confiaron en él para responder a amenazas de ransomware y ayudar a contrarrestar y remediar» los ataques. Tanto Martino como los otros dos acusados se enfrentan a penas de hasta 20 años de prisión.
El grupo al que Martino facilitó información, conocido indistintamente como ALPHV o BlackCat, fue uno de los grupos de ransomware como servicio más activos y lucrativos entre 2021 y 2024. Operaba bajo un modelo de afiliados en el que distintos actores ejecutaban los ataques a cambio de un porcentaje del rescate, lo que hacía especialmente difícil rastrear la cadena completa de responsabilidad. La infiltración de un negociador en ese ecosistema representa una de las variantes más sofisticadas de este modelo criminal.
Por qué esto importa ahora
El caso Martino no es una anomalía aislada: es el síntoma más visible de un problema estructural que lleva años gestándose en silencio. La proliferación de ataques de ransomware durante la pandemia generó un mercado paralelo de consultoras, firmas de respuesta a incidentes y negociadores especializados que operan en una zona gris regulatoria. Estas empresas tienen acceso privilegiado a información extremadamente sensible —pólizas de seguro, capacidad financiera real de las víctimas, estrategia legal— y, hasta hace poco, apenas existían mecanismos formales de supervisión o certificación para quienes ejercían esa función.
En Europa, y particularmente en España, la situación no es muy diferente. La Directiva NIS2, que entró en vigor en octubre de 2024 y obliga a las empresas de sectores críticos a notificar incidentes y reforzar su cadena de suministro de ciberseguridad, no contempla de forma explícita los requisitos que deben cumplir los intermediarios externos contratados para gestionar rescates. Una empresa española del sector energético o sanitario que contrate a un negociador externo ante un ataque de ransomware no tiene garantías legales homogéneas sobre cómo ese intermediario maneja su información. El caso estadounidense debería servir de aviso para reguladores europeos.
Hay además una dimensión aseguradora que conviene no pasar por alto. El mercado de seguros cibernéticos ha crecido de forma acelerada en los últimos años precisamente como respuesta al aumento de ataques de ransomware. Las aseguradoras han diseñado pólizas cada vez más sofisticadas, pero la existencia de esas pólizas —y especialmente sus límites— se ha convertido en un activo de inteligencia para los atacantes. El hecho de que un negociador pudiera filtrar esa información de forma sistemática en cinco casos distintos sin ser detectado durante meses revela que el sector no había contemplado este vector de riesgo interno.
La traición como vector de ataque: el riesgo del intermediario de confianza
Desde el punto de vista técnico y estratégico, lo que Martino hizo tiene un nombre preciso en el ámbito de la ciberseguridad: ataque de insider con acceso privilegiado. La diferencia con un empleado descontento que filtra datos internos es que Martino operaba como proveedor externo, lo que significa que sus acciones eran más difíciles de auditar y que la empresa víctima no tenía visibilidad directa sobre qué información compartía con terceros.
Este tipo de amenaza es especialmente difícil de detectar porque el negociador tiene un incentivo aparentemente alineado con el cliente: reducir el rescate. Si el acuerdo final es más bajo que la demanda inicial, el cliente percibe el trabajo como exitoso, aunque en paralelo el negociador haya garantizado al atacante que el acuerdo nunca caería por debajo de cierto umbral. Es un esquema de doble comisión en el que la víctima paga dos veces sin saberlo: una vez el rescate, y otra vez en forma de información que encarece el siguiente ataque.
La pregunta que deberían hacerse ahora las empresas que han contratado servicios similares es directa: ¿qué información entregaron a su negociador y qué controles existían sobre el uso de esa información? Los contratos habituales con firmas de respuesta a incidentes incluyen cláusulas de confidencialidad, pero raramente contemplan auditorías del comportamiento del proveedor durante la negociación ni mecanismos de trazabilidad sobre qué datos se compartieron con el atacante y en qué momento. Eso es exactamente lo que este caso obliga a revisar.
Un ecosistema criminal que supo explotar la confianza institucional
BlackCat/ALPHV fue desmantelado operacionalmente por el FBI en diciembre de 2023, cuando las autoridades se apoderaron de su infraestructura y ofrecieron una herramienta de descifrado a las víctimas. Sin embargo, el grupo consiguió relanzar parcialmente sus operaciones antes de desaparecer definitivamente en 2024, en lo que muchos analistas interpretaron como una salida de emergencia tras el golpe policial. El caso Martino, cuya actividad se sitúa en 2023 según los documentos judiciales, se enmarca precisamente en el periodo de mayor actividad del grupo.
Lo que el juicio a Martino y sus dos coacusados revela es que BlackCat no dependía únicamente de vulnerabilidades técnicas para maximizar sus ingresos: también cultivaba fuentes humanas dentro del ecosistema legítimo de respuesta a incidentes. Eso eleva considerablemente la sofisticación del grupo respecto a otras bandas de ransomware que operan de forma más oportunista. No es solo que supieran explotar fallos en el software; es que supieron explotar fallos en la confianza institucional.
Para el sector de la ciberseguridad corporativa, esto tiene implicaciones que van más allá de BlackCat. Otros grupos activos en 2025 y 2026, como LockBit —cuya infraestructura fue también golpeada por las autoridades pero que ha demostrado una notable capacidad de resurgir— podrían haber adoptado tácticas similares. La corrupción de intermediarios de confianza es, en términos de retorno sobre la inversión criminal, mucho más eficiente que desarrollar nuevo malware.
Qué cabe esperar
El proceso judicial de Martino continúa con la fase de sentencia pendiente, en la que se determinará la pena concreta dentro del máximo de 20 años previsto. Los otros dos exnegociadores implicados en el mismo esquema ya se declararon culpables con anterioridad y también aguardan sentencia. El Departamento de Justicia ha dejado claro que considera estos casos prioritarios dentro de su estrategia de persecución del ransomware, que incluye no solo a los atacantes directos sino a toda la cadena de facilitadores.
En el plano regulatorio, es previsible que el caso acelere el debate sobre la certificación y supervisión de los negociadores de ransomware en Estados Unidos, donde varias propuestas legislativas llevan años circulando sin concretarse. En Europa, la Agencia de Ciberseguridad de la Unión Europea (ENISA) y los reguladores nacionales deberán evaluar si la cadena de proveedores de respuesta a incidentes necesita requisitos específicos dentro del marco NIS2. Las empresas que operan en sectores críticos harían bien en revisar ya sus contratos con intermediarios externos, exigir cláusulas de auditoría y limitar el acceso de esos proveedores a información de pólizas de seguro antes de que una futura investigación revele que el problema no era exclusivo de BlackCat ni de Estados Unidos.
