Saltar al contenido

Un negociador de ransomware traicionó a sus clientes con BlackCat y pasará 70 meses en prisión

Traicionó a los clientes que debía proteger y pasó sus datos a BlackCat. El exnegociador irá a prisión.

por Alejandro Castillo Leone
Un negociador de ransomware traicionó a sus clientes con BlackCat y pasará 70 meses en prisión
Photo by GuerrillaBuzz / Unsplash

TL;DR:

  • Un tribunal federal de Florida sentenció a Angelo Martino, exnegociador de la firma de respuesta a incidentes DigitalMint, a 70 meses de prisión.
  • Filtró a la banda BlackCat las posiciones de negociación y los límites de las pólizas de seguro de cinco clientes; en conjunto pagaron 75.3 millones de dólares en rescates.
  • Las autoridades incautaron 10 millones de dólares en bienes: dos casas, criptomonedas, vehículos, un food truck y un yate de pesca.

Un tribunal federal de Florida sentenció el 9 de julio de 2026 a Angelo Martino, de 41 años, a 70 meses de prisión (casi seis años) por un esquema tan simple como devastador: contratado para defender a empresas golpeadas por ransomware, en realidad trabajaba para los atacantes. Martino filtró a los operadores de BlackCat/ALPHV las posiciones de negociación y hasta los límites de las pólizas de seguro de sus propios clientes, para que la banda supiera exactamente cuánto exigir y él se quedara con una parte. Las cinco empresas que confiaron en su firma, DigitalMint, terminaron pagando 75.3 millones de dólares en rescates. El Departamento de Justicia de Estados Unidos anunció la condena y confirmó la incautación de más de 10 millones de dólares en bienes comprados con ese dinero.

El papel de un negociador de ransomware es sentarse del lado de la víctima: cuando una empresa queda paralizada por un ataque, esta figura habla con los extorsionadores para bajar el rescate, ganar tiempo y limitar el daño. Martino invirtió por completo ese papel. Según los documentos judiciales, durante 2023 jugó en ambos lados del tablero y negoció, en la práctica, contra las mismas compañías que lo habían contratado.

Filtró los límites de las pólizas para inflar cada rescate

La pieza clave del engaño era la información de seguros. En cualquier negociación de rescate, saber cuánto cubre la póliza de la víctima equivale a conocer su tope real de pago. Martino les pasaba ese dato a los atacantes junto con la estrategia interna de sus clientes, de modo que BlackCat sabía hasta dónde podía apretar.

En uno de los casos, según su acuerdo de culpabilidad citado por CyberScoop, Martino le escribió a un afiliado de BlackCat que la aseguradora de la víctima "solo estaba aprobando montos pequeños" y le pidió seguir rechazando ofertas "hasta que averigüe el máximo que están dispuestos a pagar". Mientras tanto, en el chat de negociación que sí veían DigitalMint y la empresa víctima (del sector hotelero), actuaba como si de verdad la defendiera:

"No sabemos de dónde sacaron su cifra, pero estamos perdiendo dinero en la operación y este año todos nuestros préstamos se renuevan al doble de la tasa de interés. Podemos darles un millón de dólares ahora, y es una oferta muy seria."

Siguiendo sus propias instrucciones, el cómplice de BlackCat respondía con dureza desde el canal oculto:

"Puedes guardarte eso para las multas y demandas que se te vienen encima si te exponemos. El tiempo corre: sabemos cuánto puedes pagar. Llama a tu aseguradora. También sabemos de ellos. Deja de perder el tiempo."

Esa víctima acabó pagando cerca de 16.5 millones de dólares por un descifrador y la promesa de no publicar sus datos. En total, cinco clientes de DigitalMint pagaron rescates entre abril y septiembre de 2023 mientras Martino operaba en la sombra. El desglose, según los registros judiciales:

  • Una organización sin fines de lucro: cerca de 26.8 millones de dólares.
  • Una empresa de servicios financieros: alrededor de 25.7 millones.
  • La compañía del sector hotelero ya mencionada: casi 16.5 millones.
  • Otras dos víctimas: 6.1 millones y 213,000 dólares.

La suma da los 75.3 millones que hoy definen el caso.

⚠️
El dato que lo cambia todo: Martino entregó a los atacantes los límites de las pólizas de seguro de sus clientes. En una negociación de rescate, esa cifra revela el tope real que una víctima puede pagar. Con ella en la mano, BlackCat sabía exactamente hasta dónde presionar.

El fiscal federal Jason A. Reding Quiñones, del Distrito Sur de Florida, resumió así la traición:

"Lo contrataron para ayudar a las víctimas en un momento de crisis. En vez de eso, Martino las traicionó, entregó sus posiciones confidenciales de negociación a los delincuentes de ransomware y ayudó a exprimirlas para sacarles más dinero."
Person's hands holding a smartphone
Photo by atelierbyvineeth ... / Unsplash

El segundo frente: sus propios ataques con dos cómplices

El engaño desde adentro no fue lo único. Martino admitió que, junto con otros dos profesionales de ciberseguridad, montó su propia operación como afiliado de BlackCat. Sus socios eran Kevin Tyler Martin, otro negociador de DigitalMint, y Ryan Clifford Goldberg, entonces gerente de respuesta a incidentes en la firma Sygnia.

Los tres consiguieron una cuenta de afiliado de BlackCat y, a cambio de usar el malware y el portal de extorsión, le pagaban a los administradores de la banda una comisión del 20% de cada rescate. Con ese acceso atacaron directamente a cinco empresas estadounidenses entre abril y noviembre de 2023, de sectores como la salud, la educación, los servicios financieros y los despachos de abogados.

El botín fue mucho menor que en la trama de los seguros. Solo una de esas cinco empresas, una compañía de dispositivos médicos, terminó pagando: alrededor de 1.2 millones de dólares en Bitcoin, que los tres se repartieron y lavaron. Las otras cuatro no soltaron dinero. Martin y Goldberg se declararon culpables en diciembre y fueron sentenciados a cuatro años de prisión cada uno en mayo de 2026. Martino es el tercero y último del trío en ser condenado.

10 millones en bienes incautados y una firma que dice no haber sabido nada

El dinero dejó rastro. Las autoridades incautaron unos 10 millones de dólares en bienes ligados a Martino, entre ellos una casa frente a la bahía valuada en cerca de 1.68 millones, una segunda vivienda, criptomonedas, varios vehículos, un food truck y un yate de pesca de lujo de casi nueve metros, todo pagado con las ganancias del esquema. Se declaró culpable en abril de un cargo de conspiración para obstruir el comercio mediante extorsión, delito que llegaba a acarrear hasta 20 años de cárcel. La audiencia para fijar la restitución que deberá pagar quedó programada para el 17 de septiembre de 2026.

En un memorando de sentencia, los fiscales fueron directos: describieron a Martino como un "agente doble que trabajaba para maximizar el daño a sus clientes y las ganancias de los ciberdelincuentes que le pagaban una parte del rescate". No fue un delito de oportunidad ni una debilidad pasajera, agregaron, sino "un abuso sostenido de una relación de confianza casi fiduciaria, impulsado por un único propósito: la codicia".

DigitalMint insiste en que no supo nada. Un vocero de la empresa dijo a CyberScoop que la conducta de Martino y sus cómplices:

"se ocultó deliberadamente a DigitalMint y violó de forma clara los valores, los estándares éticos y la ley de la compañía."

La firma explicó que aplicaba controles estándar de la industria, incluidas verificaciones de antecedentes, pero que Martino escondió su conducta usando canales de comunicación no autorizados a los que, según los documentos del gobierno, solo tenían acceso él y los negociadores y afiliados de BlackCat. Sostiene que lo despidió de inmediato cuando el Departamento de Justicia le avisó, en abril de 2025, que lo estaba investigando.

Lo que el caso deja para cualquier empresa que contrata ayuda

El caso Martino es extremo, pero apunta a un problema estructural. La ola de extorsión digital hizo nacer todo un subsector de seguros y de servicios de respuesta a incidentes en Estados Unidos, con negociadores contratados justamente para bajar el monto de los rescates, como recuerda TechCrunch. El punto débil aparece cuando una sola persona controla a la vez la negociación y el acceso a los datos financieros y de pago del cliente.

Para Daniel Tobok, director ejecutivo de la firma de respuesta a incidentes Cypfer y veterano negociador de rescates, el problema es de diseño. En declaraciones a Dark Reading defendió separar funciones:

"Soy un firme creyente de que debe haber separación entre la persona que hace las negociaciones y el proceso de pago. Cuando hay una separación clara, con distintas personas negociando, definiendo la estrategia y poniendo una cifra, nadie tiene algo que monetizar o de lo cual beneficiarse."

Morey Haber, asesor jefe de seguridad de BeyondTrust, planteó una idea aún más incómoda, según el mismo medio: la confianza, incluso en quienes nos protegen, no debería ser absoluta.

El mensaje sirve por igual para las empresas de habla hispana. En México, España y América Latina cada vez más compañías contratan ayuda externa para responder a ataques de ransomware, y la lección es la misma: revisar a quién se le da acceso, separar a quién negocia de quién paga y exigir supervisión sobre esas conversaciones.

Preguntas rápidas sobre el caso BlackCat

¿Qué es BlackCat o ALPHV?

BlackCat, también llamado ALPHV, fue una operación de ransomware como servicio (RaaS): sus creadores alquilaban el malware a hackers afiliados a cambio de un porcentaje de cada rescate. Las autoridades la desmantelaron en diciembre de 2023, y un afiliado suyo estuvo detrás del ataque a Change Healthcare en 2024.

¿Qué pasó con los otros dos implicados?

Kevin Tyler Martin, también de DigitalMint, y Ryan Clifford Goldberg, exgerente de respuesta a incidentes en Sygnia, se declararon culpables en diciembre de 2025. Cada uno fue sentenciado a cuatro años de prisión en mayo de 2026 por desplegar ransomware BlackCat contra empresas de Estados Unidos.

La condena a Martino cierra el trío, pero el costo real es de confianza. Toda la industria de respuesta a incidentes se sostiene en la idea de que quien defiende a la víctima está de su lado. Este caso muestra qué pasa cuando esa idea es falsa, y por qué la mejor protección no es solo procesar al culpable después, sino separar funciones y vigilar el proceso antes de que alguien vuelva a jugar en ambos lados.

Fuentes: 1, 2, 3

Alejandro Castillo Leone imagen de perfil
por Alejandro Castillo Leone

Soy un amante del arte y la cultura. Desde el 2021 dirijo una web dedicada a la historia de mi país y he emprendido la misión de vivir para la cultura, alimentándome principalmente del ámbito Hispanoamericano.

Leer más de Tecnología y Ciencia