20 años de prisión por estafa cibernética: lo esencial del caso de Evgeny Ptitsyn
Cómo la codicia y la imprudencia acabaron con el rey de los foros de la dark web
El hacker internacional Evgeny Ptitsyn se declaró culpable en el caso de delitos cibernéticos relacionados con la actividad del grupo de extorsionadores Phobos. El cargo se refiere a la participación en una conspiración fraudulenta mediante transferencias electrónicas. La investigación considera a Ptitsyn uno de los administradores de esta infraestructura criminal, que durante varios años atacó a organizaciones en todo el mundo.
Phobos opera bajo el modelo de «extorsión como servicio» y está vinculado a la familia de malware Crysis. Los socios del grupo distribuían el software malicioso entre diversos objetivos, mientras que los creadores de la plataforma proporcionaban la infraestructura y recibían una parte de los pagos. Según el servicio ID Ransomware, Phobos representó alrededor del 11 por ciento de las notificaciones de usuarios con muestras de malware en el periodo de mayo a noviembre de 2024.
El Departamento de Justicia de EE. UU. calcula que el volumen total de pagos a los delincuentes supera los 39 millones de dólares. Más de mil organizaciones, tanto públicas como privadas, resultaron afectadas por los ataques.
Evgeny Ptitsyn, de 43 años, se encontraba en Corea del Sur. En noviembre de 2024 las autoridades del país entregaron a Ptitsyn a la parte estadounidense. La investigación considera que el hombre era responsable de la venta, distribución y el funcionamiento diario de la plataforma maliciosa.
Los documentos del caso indican que el esquema criminal operó al menos desde noviembre de 2020. Ptitsyn, junto con cómplices, vendía acceso a Phobos a otros ciberdelincuentes a través de un sitio en la darknet y promocionaba el servicio en foros clandestinos bajo los seudónimos derxan y zimmermanx.
Los socios del grupo penetraban en las redes de las víctimas; entre los objetivos hubo escuelas, hospitales y organismos gubernamentales. Para acceder, los atacantes a menudo usaban credenciales robadas. Tras el acceso, los delincuentes copiaban archivos, cifraban sistemas y exigían un rescate. A las organizaciones que se negaban a pagar se les amenazaba con la publicación de los datos robados y con el envío de información a los clientes.
Por cada ejecución del software malicioso, los socios pagaban a los administradores alrededor de 300 dólares por la clave de descifrado. Los fondos se transferían en criptomoneda. La investigación determinó que, desde diciembre de 2021 hasta abril de 2024, los pagos por las claves llegaron a un monedero único de criptomonedas controlado por Ptitsyn.
La imposición de la sentencia se fijó para el 15 de julio. La pena máxima por el cargo de conspiración para cometer fraude alcanza los 20 años de prisión.
La investigación de la actividad de Phobos continúa en el marco de la operación internacional Aether, coordinada por Europol. A comienzos de 2026 la policía polaca detuvo a un sospechoso de 47 años relacionado con el grupo. Durante el registro, los agentes incautaron ordenadores y teléfonos móviles con credenciales robadas, números de tarjetas bancarias e información sobre servidores.
En los últimos años, la operación afectó a participantes de distintos niveles de la infraestructura de Phobos —desde administradores de servidores hasta socios que se encargaban de los hackeos y del cifrado de datos. Entre los resultados figuran una gran operación en febrero de 2025 con la detención de dos sospechosos y la incautación de 27 servidores, así como el arresto de uno de los participantes del esquema en Italia en 2023. Las fuerzas del orden también advirtieron a más de 400 empresas de todo el mundo sobre ataques de extorsionadores inminentes.