Hackers bajo protección estatal: los principales sindicatos son fichas en juegos políticos

El entorno delictivo cibernético está experimentando una profunda reestructuración, en la que confluyen la presión internacional, los intereses políticos internos y las antiguas conexiones de las estructuras criminales con los órganos estatales. Tras la amplia Operación Endgame, iniciada en mayo de 2024 y dirigida contra los operadores de programas de ransomware, la infraestructura de blanqueo de capitales y las redes de distribución de malware, los hackers por primera vez en mucho tiempo pasaron de una política de no intervención a acciones selectivas dentro de su propio subsuelo cibernético. Redadas y detenciones internacionales, incluidas las relacionadas con los servicios Cryptex y UAPS, se convirtieron en una señal del cambio de prioridades y en respuesta a la presión diplomática.

Tales acontecimientos alteraron el equilibrio habitual. Mensajes internos revelados muestran que los líderes de muchos sindicatos de ransomware mantuvieron contactos durante años con servicios de inteligencia, proporcionándoles datos, cumpliendo encargos o comprando impunidad mediante vínculos corruptos. Tras el inicio de la campaña internacional, la confianza dentro del subsuelo cayó bruscamente: los socios se quejan de fraudes, identidades falsas y detenciones selectivas, y las propias bandas endurecen la verificación de nuevos miembros y pasan a canales de comunicación cerrados y descentralizados por temor a la infiltración de agentes.

Paralelamente, distintos países endurecen la legislación contra los extorsionadores, introduciendo la obligación de declarar los pagos e incluso estudiando prohibiciones totales de su práctica. Estados Unidos, Reino Unido, Australia y Japón adoptaron medidas que permiten realizar ataques cibernéticos preventivos contra infraestructuras hostiles. No es casualidad que la liberación de algunos ciberdelincuentes se produjera en el marco de intercambios diplomáticos, lo que subraya su estatus en negociaciones geopolíticas.

Los analistas de Recorded Future señalan que las autoridades pasaron de la tolerancia pasiva a un modelo controlado de interacción con el subsuelo. Desde 2023 se observan detenciones selectivas y procesos mediáticos dirigidos no tanto a desmantelar redes criminales como a reforzar el control estatal y crear la apariencia de aplicación de la ley. Contra servicios cuya actividad causó resonancia internacional o no resultó útil para los servicios, se inician causas, mientras que operadores clave vinculados a Trickbot y Conti permanecen en libertad. Esta selectividad conforma una "política de protección", en la que los intermediarios financieros se sacrifican para demostrar actividad, y el personal de alto valor conserva la impunidad.

Como resultado, la estructura del subsuelo cambió. En los foros aumentaron los conflictos internos entre los propietarios de programas de ransomware y sus socios, se multiplicaron los casos de fraude y el robo de código fuente. Los programas de extorsión RebornVC, Babuk 2.0, FunkSec y Rabbit Hole resultaron ser falsificaciones creadas para engañar a los novatos. Para reducir los riesgos, los grupos grandes endurecieron las reglas: introdujeron depósitos de garantía, montos mínimos de rescate, prohibiciones de ataques repetidos y de ataques contra países del BRICS. El reclutamiento masivo fue sustituido por uno cerrado, en el que la reputación y la nacionalidad son decisivas.

La Operación Endgame asestó un golpe a la infraestructura de los ransomware, pero no la destruyó. Tras las detenciones, los desarrolladores de Lumma Stealer, DanaBot y otras herramientas se refugiaron en la clandestinidad, cesaron temporalmente su actividad y luego la reanudaron en canales privados. Este ciclo pendular —retirada bajo presión y posterior regreso— se convirtió en una estrategia habitual de supervivencia. Surgen nuevas versiones de programas y blogs más rápido de lo que se cierran las investigaciones, y el código a menudo replica compilaciones antiguas como LockBit y Dharma.

A nivel de infraestructura, la situación muestra la misma pauta. Tras el sonado caso Aeza, relacionado con el alojamiento de plataformas en la darknet, en el mercado surgieron "servicios refugiados" que absorbieron a los clientes. Parte de los proveedores, incluidas Stark Industries e Inferno Solutions, crean filiales en el extranjero y se registran bajo empresas pantalla, conservando los vínculos financieros.

La recesión económica en el negocio del rescate se hizo evidente: el rescate medio en 2025 se redujo casi a la mitad, y la cantidad de pagos reales continúa disminuyendo. Al mismo tiempo aumentan las fugas de datos sin cifrar, lo que confirma la transición hacia la "extorsión pura" sin bloqueo de sistemas. Para los propios delincuentes esto reduce los riesgos técnicos y simplifica las negociaciones, preservando la fuente de ingresos en un contexto de control creciente.

En general, la ciberdelincuencia no se reduce, sino que se reestructura. Los Estados mantienen un sistema de obligaciones mutuas con las comunidades criminales. Las detenciones se convierten en un instrumento de regulación, más que en un castigo. En este "ecosistema controlado" el Estado sigue siendo el principal árbitro: decide a quién proteger, a quién entregar y cuándo mostrar al mundo que la lucha contra la ciberdelincuencia continúa.