Las fuerzas del orden a nivel internacional llevaron a cabo una operación coordinada para desmantelar la infraestructura del grupo de ransomware BlackSuit, también conocido como Royal. Esta acción representa un avance importante en la lucha contra la delincuencia cibernética.
La operación, realizada el 24 de julio de 2025, resultó en la incautación de cuatro servidores, nueve dominios y aproximadamente 1,09 millones de dólares en criptomonedas blanqueadas. Esto expone las sofisticadas redes financieras que estos grupos criminales utilizan para obtener ganancias de sus ataques.
BlackSuit se ha convertido en una amenaza considerable para la infraestructura crítica de Estados Unidos, afectando a sectores como el de salud, servicios gubernamentales, manufactura y negocios. Sus métodos de ataque combinan técnicas de infiltración en redes con sistemas de pago basados en criptomonedas para maximizar tanto su alcance como sus ganancias.
Para mantener el anonimato operativo, el grupo solía utilizar transacciones de Bitcoin a través de mercados de la web oscura para procesar los pagos de rescate. El ransomware ha ido evolucionando, incorporando capacidades mejoradas de evasión y mecanismos de pago optimizados. Las víctimas eran dirigidas a sitios web de la web oscura para comunicarse, solicitar pagos y proporcionar las direcciones de billeteras de Bitcoin.
Sofisticado sistema de blanqueo de criptomonedas
El análisis de las operaciones financieras de BlackSuit reveló un complejo esquema de blanqueo de criptomonedas. El grupo utilizaba un enfoque de varias capas para ocultar las transacciones, haciendo depósitos y retiros repetidos en diversos intercambios de criptomonedas para evitar la conexión directa entre el pago del rescate y la billetera final.
Un caso en particular, que ocurrió el 4 de abril de 2023, mostró cómo los investigadores rastrearon un pago de 49.3120227 Bitcoin ($1.445.454,86 en ese momento). Este pago fue fragmentado y movido entre múltiples cuentas y billeteras antes de que el dinero fuera extraído. La complejidad de la operación fue tal que $1.091.453 de las ganancias estuvieron en circulación por casi nueve meses antes de ser congeladas el 9 de enero de 2024.
Esta operación internacional, en la que participaron agencias de ocho países, marca una nueva estrategia contra el ransomware. El enfoque no solo es atacar la infraestructura del malware, sino también desmantelar el ecosistema financiero que permite a estos grupos criminales operar.
