BKA persigue al líder de REvil tras 130 ataques contra objetivos alemanes

7 Min. Tiempo de lectura

El BKA identificó a finales de abril de 2026 al presunto líder de la grupo REvil y emitió una orden de detención internacional. Se han documentado 130 ataques contra objetivos alemanes, con daños por al menos 35 millones de euros solo en Alemania. Y aun así: los obstáculos estructurales para una persecución penal exitosa en casos de ransomware siguen siendo en gran medida inalterados – y esa es la verdadera noticia importante.

¿Qué es REvil? REvil (también conocido como Sodinokibi) es un grupo ruso de ransomware-as-a-service activo desde 2019. Su modelo de negocio: la tecnología central y la infraestructura son proporcionadas por un equipo central, mientras que los atacantes realizan los ataques y reciben una parte del rescate. REvil ha sido responsable de algunos de los casos de ransomware más espectaculares de los últimos años – entre ellos el ataque a Kaseya VSA en 2021, que afectó a miles de proveedores de servicios gestionados en todo el mundo.

Relacionado: SecurityToday: Breach del código fuente de Trellix – lo que significa la due diligence para los proveedores de herramientas de seguridad

El caso del BKA en detalle

Según informaciones de la autoridad, las investigaciones del BKA llevaban más de dos años avanzando paralelamente a las investigaciones del FBI y de Europol en Estados Unidos. La identificación del presunto líder se logró mediante una combinación de análisis de blockchain de criptomonedas, redes de afiliados infiltrados y métodos tradicionales de obtención de información del Darknet.

Según el BKA, el descubrimiento operativo clave llegó a través de transacciones de criptomonedas. Aunque los rescates de REvil fueron movidos a través de Mixer y bolsas de intercambio, dejaron rastros que pudieron rastrearse durante varios años. Empresas de forense blockchain como Chainalysis apoyaron este análisis – una metodología que ahora se ha convertido en estándar en las investigaciones de ransomware.

Ahora bien: el BKA ha solicitado órdenes de detención. Las solicitudes de extradición están dirigidas a varios países. El problema es que los líderes de REvil se encuentran presumiblemente en Rusia o en países sin acuerdos de extradición sólidos con Alemania o la UE. La identificación es un éxito en las investigaciones – pero la detención y el proceso judicial son otra cuestión.

Por qué la persecución penal de los ataques de ransomware se encuentra estructuralmente ante límites

El caso del BKA ilustra un problema fundamental. Los operadores de ransomware no eligen su lugar de residencia al azar. Rusia, Bielorrusia, Irán, Corea del Norte: los países desde donde operan las grupos de ransomware más activos no tienen acuerdos de extradición con las autoridades penales occidentales o mantienen relaciones abiertamente hostiles.

Incluso cuando se logra una identificación: la atribución no constituye una medida disuasoria. REvil, tras conflictos internos en 2022 y la presión de las autoridades estadounidenses, ha “cesado” en varias ocasiones y ha continuado bajo nuevos nombres. El ecosistema del ransomware es modular. Los afiliados migran a otros grupos. La infraestructura se reconstruye. Una única detención —si es que llegara a lograrse— ralentizaría, pero no detendría, las operaciones.

El BSI describe de manera consistente en sus informes de situación que el ransomware es la forma de amenaza con el mayor potencial de daño económico para las empresas alemanas. Y, al mismo tiempo, es la forma de amenaza en la que la persecución penal resulta menos efectiva como medida disuasoria, porque los autores permanecen fuera del alcance de las autoridades.

Qué pueden aprender los equipos de seguridad del caso

Para los CISO y los equipos de seguridad de las empresas alemanas, el éxito del BKA tiene, desde un punto de vista operativo, un impacto neutro. La amenaza representada por los afiliados de REvil y por los grupos sucesores persiste. Lo que se puede deducir:

La forense de blockchain es un enfoque maduro de investigación. Quien paga rescates deja una huella; esto no es un argumento contra el pago en situaciones de emergencia, pero sí lo es a favor de documentar las transacciones. Las autoridades utilizan estos datos para posteriores investigaciones penales y para las verificaciones de sanciones.

Las redes de afiliados siguen siendo la verdadera infraestructura de ataque. Los líderes de REvil diseñan las herramientas y las tácticas. Los ataques son llevados a cabo por afiliados, quienes deciden de forma independiente sobre cada ataque. Una reducción de la fuerza central no implica menos ataques.

La planificación de respuesta ante incidentes sigue siendo la principal medida de protección. Estrategias de copia de seguridad, segmentación de red, cobertura EDR y copias de seguridad offline: estas son las palancas que controla un equipo de seguridad. Los éxitos en la persecución penal no son un sustituto de estas medidas.

Fuentes: Comunicado de prensa del BKA de abril de 2026, Informe de situación del BSI de 2025, Equipo conjunto de investigación de Europol sobre ransomware.

Preguntas frecuentes

¿Qué tan realista es la detención del líder identificado de REvil?

Muy baja, mientras la persona permanezca en un país sin acuerdo de extradición con Alemania o con la UE. El BKA puede solicitar órdenes de arresto y emitir notificaciones rojas de Interpol. Sin embargo, esto solo resulta prácticamente efectivo cuando la persona entra en un país que inicia un procedimiento de extradición —algo que históricamente casi nunca ocurre con los operadores de ransomware basados en Rusia. El valor simbólico de la atribución supera al impacto operativo.

¿Ha sido debilitado REvil como amenaza tras el éxito del BKA?

No desde el punto de vista operativo. Desde 2022, REvil ha “cesado” en varias ocasiones como grupo y ha seguido operando bajo nuevas denominaciones o como grupos escindidos. El modelo de afiliados implica que los ataques continúan incluso cuando el núcleo central está debilitado. Los equipos de seguridad no deberían considerar que la amenaza haya disminuido.

¿Qué implica la forense de criptomonedas para las empresas que han pagado rescate?

Las transacciones de rescate son rastreadas por las autoridades y pueden ser relevantes en las verificaciones de sanciones —sobre todo si el destinatario es posteriormente clasificado como persona o grupo sancionado. Las empresas que han pagado rescate deben documentar las transacciones y buscar asesoramiento legal sobre posibles riesgos de sanciones. El OFAC (Departamento del Tesoro de EE. UU.) ha publicado directrices explícitas sobre los pagos de ransomware a grupos sancionados.

¿En qué se diferencian los grupos sucesores de REvil de la organización original?

Los derivados y sucesores de REvil, como BlackMatter y ALPHV/BlackCat, adoptan métodos técnicos y estructuras de afiliados, pero operan de forma independiente. Las principales diferencias: distintas herramientas de cifrado, diferentes estrategias de alojamiento de la infraestructura y distintos métodos de negociación con las víctimas. El BSI y CISA publican información actualizada sobre los sucesores conocidos de REvil en sus informes periódicos de situación.

¿Qué pueden aprender concretamente los operadores de infraestructuras críticas (KRITIS) de este caso?

Tres lecciones: en primer lugar, la aplicación de la ley no protege de forma prospectiva; la propia defensa debe funcionar independientemente de si se detiene a los autores. En segundo lugar, la forense blockchain implica que los pagos de rescate son rastreables de forma permanente, lo cual tiene implicaciones legales en posteriores verificaciones de sanciones. En tercer lugar, las estructuras de afiliados significan que la desaparición de un actor clave no tiene un efecto protector inmediato. La planificación de respuesta a incidentes y las estrategias de copias de seguridad offline siguen siendo las medidas más eficaces.

Fuente imagen de cabecera: Pexels / Fatih Kopcal (px:32933039)

Sobre el autor: Benedikt Langer

Más artículos de Benedikt Langer