{"id":14151,"date":"2026-05-03T13:46:48","date_gmt":"2026-05-03T13:46:48","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/05\/08\/bka-revil-anfuehrer-130-angriffe-deutschland-strafverfolgung\/"},"modified":"2026-05-17T15:12:41","modified_gmt":"2026-05-17T15:12:41","slug":"bka-revil-anfuehrer-130-angriffe-deutschland-strafverfolgung","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2026\/05\/03\/bka-revil-anfuehrer-130-angriffe-deutschland-strafverfolgung\/","title":{"rendered":"BKA persigue al l\u00edder de REvil tras 130 ataques contra objetivos alemanes"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">7 Min. Tiempo de lectura<\/p>\n<p><strong>El BKA identific\u00f3 a finales de abril de 2026 al presunto l\u00edder de la grupo REvil y emiti\u00f3 una orden de detenci\u00f3n internacional. Se han documentado 130 ataques contra objetivos alemanes, con da\u00f1os por al menos 35 millones de euros solo en Alemania. Y aun as\u00ed: los obst\u00e1culos estructurales para una persecuci\u00f3n penal exitosa en casos de ransomware siguen siendo en gran medida inalterados \u2013 y esa es la verdadera noticia importante.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">Lo m\u00e1s importante en resumen<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li style=\"margin-bottom:12px;color:rgba(255,255,255,0.92);\"><strong style=\"color:#69d8ed;\">BKA identifica al l\u00edder de REvil.<\/strong> Los investigadores federales han identificado al presunto operador principal del grupo de ransomware REvil. Se ha solicitado una orden de detenci\u00f3n y se han presentado solicitudes de extradici\u00f3n a terceros pa\u00edses.<\/li>\n<li style=\"margin-bottom:12px;color:rgba(255,255,255,0.92);\"><strong style=\"color:#69d8ed;\">130 ataques contra objetivos alemanes, da\u00f1os por 35 millones de euros.<\/strong> Entre 2020 y 2024, REvil llev\u00f3 a cabo al menos 130 ataques documentados contra empresas y autoridades alemanas. Se estima que el da\u00f1o econ\u00f3mico directo en Alemania asciende a al menos 35 millones de euros.<\/li>\n<li style=\"margin-bottom:12px;color:rgba(255,255,255,0.92);\"><strong style=\"color:#69d8ed;\">La persecuci\u00f3n penal sigue siendo estructuralmente dif\u00edcil.<\/strong> La identificaci\u00f3n no implica la detenci\u00f3n. Los l\u00edderes de REvil suelen operar desde pa\u00edses sin acuerdos de extradici\u00f3n. La simbolog\u00eda utilizada en la persecuci\u00f3n penal es valiosa \u2013 pero su efecto disuasorio pr\u00e1ctico es limitado.<\/li>\n<li style=\"color:rgba(255,255,255,0.92);\"><strong style=\"color:#69d8ed;\">Para los equipos de seguridad, no cambia nada en t\u00e9rminos operativos.<\/strong> La atribuci\u00f3n no resuelve las debilidades existentes. Los grupos de ransomware son modulares: si una persona clave es identificada, los afiliados y los grupos fragmentados contin\u00faan operando.<\/li>\n<\/ul>\n<\/div>\n<p><strong>\u00bfQu\u00e9 es REvil?<\/strong> REvil (tambi\u00e9n conocido como Sodinokibi) es un grupo ruso de ransomware-as-a-service activo desde 2019. Su modelo de negocio: la tecnolog\u00eda central y la infraestructura son proporcionadas por un equipo central, mientras que los atacantes realizan los ataques y reciben una parte del rescate. REvil ha sido responsable de algunos de los casos de ransomware m\u00e1s espectaculares de los \u00faltimos a\u00f1os \u2013 entre ellos el ataque a Kaseya VSA en 2021, que afect\u00f3 a miles de proveedores de servicios gestionados en todo el mundo.<\/p>\n<p style=\"font-size:0.88em;color:#666;margin:20px 0 32px 0;border-top:1px solid #e5e5e5;border-bottom:1px solid #e5e5e5;padding:10px 0;\">Relacionado: <a href=\"https:\/\/www.securitytoday.de\/es\/2026\/05\/03\/trellix-bestaetigt-quellcode-breach-was-ein-angriff-auf\/\">SecurityToday: Breach del c\u00f3digo fuente de Trellix \u2013 lo que significa la due diligence para los proveedores de herramientas de seguridad<\/a><\/p>\n<h2 style=\"margin-top:48px;margin-bottom:20px;\">El caso del BKA en detalle<\/h2>\n<p>Seg\u00fan informaciones de la autoridad, las investigaciones del BKA llevaban m\u00e1s de dos a\u00f1os avanzando paralelamente a las investigaciones del FBI y de Europol en Estados Unidos. La identificaci\u00f3n del presunto l\u00edder se logr\u00f3 mediante una combinaci\u00f3n de an\u00e1lisis de blockchain de criptomonedas, redes de afiliados infiltrados y m\u00e9todos tradicionales de obtenci\u00f3n de informaci\u00f3n del Darknet.<\/p>\n<p>Seg\u00fan el BKA, el descubrimiento operativo clave lleg\u00f3 a trav\u00e9s de transacciones de criptomonedas. Aunque los rescates de REvil fueron movidos a trav\u00e9s de Mixer y bolsas de intercambio, dejaron rastros que pudieron rastrearse durante varios a\u00f1os. Empresas de forense blockchain como Chainalysis apoyaron este an\u00e1lisis \u2013 una metodolog\u00eda que ahora se ha convertido en est\u00e1ndar en las investigaciones de ransomware.<\/p>\n<p>Ahora bien: el BKA ha solicitado \u00f3rdenes de detenci\u00f3n. Las solicitudes de extradici\u00f3n est\u00e1n dirigidas a varios pa\u00edses. El problema es que los l\u00edderes de REvil se encuentran presumiblemente en Rusia o en pa\u00edses sin acuerdos de extradici\u00f3n s\u00f3lidos con Alemania o la UE. La identificaci\u00f3n es un \u00e9xito en las investigaciones \u2013 pero la detenci\u00f3n y el proceso judicial son otra cuesti\u00f3n.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:20px;\">Por qu\u00e9 la persecuci\u00f3n penal de los ataques de ransomware se encuentra estructuralmente ante l\u00edmites<\/h2>\n<p>El caso del BKA ilustra un problema fundamental. Los operadores de ransomware no eligen su lugar de residencia al azar. Rusia, Bielorrusia, Ir\u00e1n, Corea del Norte: los pa\u00edses desde donde operan las grupos de ransomware m\u00e1s activos no tienen acuerdos de extradici\u00f3n con las autoridades penales occidentales o mantienen relaciones abiertamente hostiles.<\/p>\n<p>Incluso cuando se logra una identificaci\u00f3n: la atribuci\u00f3n no constituye una medida disuasoria. REvil, tras conflictos internos en 2022 y la presi\u00f3n de las autoridades estadounidenses, ha \u201ccesado\u201d en varias ocasiones y ha continuado bajo nuevos nombres. El ecosistema del ransomware es modular. Los afiliados migran a otros grupos. La infraestructura se reconstruye. Una \u00fanica detenci\u00f3n \u2014si es que llegara a lograrse\u2014 ralentizar\u00eda, pero no detendr\u00eda, las operaciones.<\/p>\n<p>El BSI describe de manera consistente en sus informes de situaci\u00f3n que el ransomware es la forma de amenaza con el mayor potencial de da\u00f1o econ\u00f3mico para las empresas alemanas. Y, al mismo tiempo, es la forma de amenaza en la que la persecuci\u00f3n penal resulta menos efectiva como medida disuasoria, porque los autores permanecen fuera del alcance de las autoridades.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:20px;\">Qu\u00e9 pueden aprender los equipos de seguridad del caso<\/h2>\n<p>Para los CISO y los equipos de seguridad de las empresas alemanas, el \u00e9xito del BKA tiene, desde un punto de vista operativo, un impacto neutro. La amenaza representada por los afiliados de REvil y por los grupos sucesores persiste. Lo que se puede deducir:<\/p>\n<p><strong>La forense de blockchain es un enfoque maduro de investigaci\u00f3n.<\/strong> Quien paga rescates deja una huella; esto no es un argumento contra el pago en situaciones de emergencia, pero s\u00ed lo es a favor de documentar las transacciones. Las autoridades utilizan estos datos para posteriores investigaciones penales y para las verificaciones de sanciones.<\/p>\n<p><strong>Las redes de afiliados siguen siendo la verdadera infraestructura de ataque.<\/strong> Los l\u00edderes de REvil dise\u00f1an las herramientas y las t\u00e1cticas. Los ataques son llevados a cabo por afiliados, quienes deciden de forma independiente sobre cada ataque. Una reducci\u00f3n de la fuerza central no implica menos ataques.<\/p>\n<p><strong>La planificaci\u00f3n de respuesta ante incidentes sigue siendo la principal medida de protecci\u00f3n.<\/strong> Estrategias de copia de seguridad, segmentaci\u00f3n de red, cobertura EDR y copias de seguridad offline: estas son las palancas que controla un equipo de seguridad. Los \u00e9xitos en la persecuci\u00f3n penal no son un sustituto de estas medidas.<\/p>\n<p style=\"font-size:0.85em;color:#555;margin-bottom:20px;\"><em>Fuentes: Comunicado de prensa del BKA de abril de 2026, Informe de situaci\u00f3n del BSI de 2025, Equipo conjunto de investigaci\u00f3n de Europol sobre ransomware.<\/em><\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Preguntas frecuentes<\/h2>\n<h3>\u00bfQu\u00e9 tan realista es la detenci\u00f3n del l\u00edder identificado de REvil?<\/h3>\n<p>Muy baja, mientras la persona permanezca en un pa\u00eds sin acuerdo de extradici\u00f3n con Alemania o con la UE. El BKA puede solicitar \u00f3rdenes de arresto y emitir notificaciones rojas de Interpol. Sin embargo, esto solo resulta pr\u00e1cticamente efectivo cuando la persona entra en un pa\u00eds que inicia un procedimiento de extradici\u00f3n \u2014algo que hist\u00f3ricamente casi nunca ocurre con los operadores de ransomware basados en Rusia. El valor simb\u00f3lico de la atribuci\u00f3n supera al impacto operativo.<\/p>\n<h3>\u00bfHa sido debilitado REvil como amenaza tras el \u00e9xito del BKA?<\/h3>\n<p>No desde el punto de vista operativo. Desde 2022, REvil ha \u201ccesado\u201d en varias ocasiones como grupo y ha seguido operando bajo nuevas denominaciones o como grupos escindidos. El modelo de afiliados implica que los ataques contin\u00faan incluso cuando el n\u00facleo central est\u00e1 debilitado. Los equipos de seguridad no deber\u00edan considerar que la amenaza haya disminuido.<\/p>\n<h3>\u00bfQu\u00e9 implica la forense de criptomonedas para las empresas que han pagado rescate?<\/h3>\n<p>Las transacciones de rescate son rastreadas por las autoridades y pueden ser relevantes en las verificaciones de sanciones \u2014sobre todo si el destinatario es posteriormente clasificado como persona o grupo sancionado. Las empresas que han pagado rescate deben documentar las transacciones y buscar asesoramiento legal sobre posibles riesgos de sanciones. El OFAC (Departamento del Tesoro de EE. UU.) ha publicado directrices expl\u00edcitas sobre los pagos de ransomware a grupos sancionados.<\/p>\n<h3>\u00bfEn qu\u00e9 se diferencian los grupos sucesores de REvil de la organizaci\u00f3n original?<\/h3>\n<p>Los derivados y sucesores de REvil, como BlackMatter y ALPHV\/BlackCat, adoptan m\u00e9todos t\u00e9cnicos y estructuras de afiliados, pero operan de forma independiente. Las principales diferencias: distintas herramientas de cifrado, diferentes estrategias de alojamiento de la infraestructura y distintos m\u00e9todos de negociaci\u00f3n con las v\u00edctimas. El BSI y CISA publican informaci\u00f3n actualizada sobre los sucesores conocidos de REvil en sus informes peri\u00f3dicos de situaci\u00f3n.<\/p>\n<h3>\u00bfQu\u00e9 pueden aprender concretamente los operadores de infraestructuras cr\u00edticas (KRITIS) de este caso?<\/h3>\n<p>Tres lecciones: en primer lugar, la aplicaci\u00f3n de la ley no protege de forma prospectiva; la propia defensa debe funcionar independientemente de si se detiene a los autores. En segundo lugar, la forense blockchain implica que los pagos de rescate son rastreables de forma permanente, lo cual tiene implicaciones legales en posteriores verificaciones de sanciones. En tercer lugar, las estructuras de afiliados significan que la desaparici\u00f3n de un actor clave no tiene un efecto protector inmediato. La planificaci\u00f3n de respuesta a incidentes y las estrategias de copias de seguridad offline siguen siendo las medidas m\u00e1s eficaces.<\/p>\n<p style=\"text-align:right;font-style:italic;color:#666;font-size:0.85em;\"><em>Fuente imagen de cabecera: Pexels \/ Fatih Kopcal (px:32933039)<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"7 Min. Tiempo de lectura El BKA identific\u00f3 a finales de abril de 2026 al presunto l\u00edder de la grupo REvil y emiti\u00f3 una orden de detenci\u00f3n internacional. Se han documentado 130 ataques contra objetivos alemanes, con da\u00f1os por al menos 35 millones de euros solo en Alemania. Y aun as\u00ed: los obst\u00e1culos estructurales para [&hellip;]","protected":false},"author":50,"featured_media":13970,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"Objetivos ataques REvil","_yoast_wpseo_title":"BKA persigue al l\u00edder de REvil tras 130 ataques contra objetivos alemanes","_yoast_wpseo_metadesc":"BKA identifica al l\u00edder de REvil: 130 ataques a objetivos alemanes, 35 millones de euros en da\u00f1os.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/05\/bka-revil-anfuehrer-130-angriffe-deutschland-strafverfolgung-ransomware-2026-cover-hero-1.jpg","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/05\/bka-revil-anfuehrer-130-angriffe-deutschland-strafverfolgung-ransomware-2026-cover-hero-1.jpg","_yoast_wpseo_twitter-image-id":0,"footnotes":""},"categories":[3],"tags":[],"class_list":["post-14151","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-aktuelles"],"wpml_language":"es","wpml_translation_of":13960,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/14151","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=14151"}],"version-history":[{"count":1,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/14151\/revisions"}],"predecessor-version":[{"id":14311,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/14151\/revisions\/14311"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/13970"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=14151"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=14151"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=14151"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}