El Departamento de Justicia de EE.UU. desveló el martes 15 de julio la acusación formal (indictment) contra tres ciudadanos rusos y dos empresas de alojamiento web que supuestamente proporcionaron infraestructura a ciberdelincuentes y hackers patrocinados por el Estado para llevar a cabo ataques que causaron al menos 62 millones de dólares en daños a empresas en más de 20 estados americanos. La acusación había sido presentada en 2024 pero permanecía sellada hasta ahora.
Lo reporta Zack Whittaker en TechCrunch el 15 de julio.
Quiénes son los acusados y qué hacían
Los tres ciudadanos rusos son Alexander Volosovik, Kirill Zatolokin y Yulia Pankova, todos residentes en San Petersburgo (Rusia). Según la acusación, son los propietarios y operadores de dos empresas de alojamiento web: Media Land y ML.Cloud.
El modelo de negocio de estas empresas es lo que en ciberseguridad se llama «bulletproof hosting» o alojamiento antibalas: infraestructura de servidores diseñada específicamente para ignorar o resistir las solicitudes de las fuerzas de seguridad, las notificaciones de abuso y las órdenes judiciales de retirada de contenido. Un proveedor de alojamiento convencional, cuando recibe una solicitud legítima de una autoridad, retira el contenido o suspende la cuenta. Un proveedor «antibalas» no lo hace, o lo hace tan despacio que el atacante ya ha terminado la operación cuando llega la respuesta.
Las empresas de Volosovik, Zatolokin y Pankova supuestamente alojaron la infraestructura de varios de los grupos de ransomware más activos de los últimos años: LockBit, BlackSuit y Play. Esos grupos usaron la infraestructura de Media Land y ML.Cloud para lanzar ataques de denegación de servicio distribuido (DDoS), campañas de phishing y ataques a infraestructura crítica americana.
El Departamento del Tesoro de EE.UU., junto al Reino Unido y Australia, ya había sancionado a Media Land y ML.Cloud en 2025, prohibiendo a ciudadanos y empresas americanas transaccionar con ellos. La acusación penal que se desvela ahora añade la dimensión criminal sobre los mismos hechos.
Por qué es poco probable que acaben en un tribunal americano
Los tres acusados residen en Rusia, y Rusia no extradita a sus ciudadanos a EE.UU. La posibilidad de que Volosovik, Zatolokin o Pankova acaben juzgados en territorio americano depende de que viajen a un país con tratado de extradición con EE.UU.
El asistente fiscal general de EE.UU., A. Tysen Duva, fue explícito sobre el propósito de la acusación: «Seguiremos desmantelando estas redes y protegiendo nuestra infraestructura crítica de los ciberdelincuentes». El desmantelamiento que menciona es más operativo que judicial: las sanciones limitan la capacidad de los acusados para hacer negocios en el sistema financiero occidental, y el hecho de que la acusación esté ahora desellada hace que viajar a cualquier país colaborador sea arriesgado.
El precedente existe: hackers de alto valor con conexiones rusas han sido arrestados cuando viajaban a países con acuerdos de extradición con EE.UU. Pero es la excepción, no la regla.
El patrón de grandes brechas de datos con largo período de no detección es constante en 2026: la aseguradora AssuranceAmerica detectó el ataque a su red el día después de que ocurriera, pero tardó tres meses en completar la investigación forense antes de notificar a los 7 millones de afectados. NYC Health + Hospitals tardó más de diez semanas en detectar que los atacantes tenían acceso a los datos de 1,8 millones de pacientes, incluyendo huellas dactilares. El caso de Media Land y ML.Cloud es diferente —es infraestructura de apoyo al ataque, no el ataque en sí— pero ilustra el mismo patrón: actores que operan durante años con relativa impunidad gracias a jurisdicciones que no cooperan con EE.UU.
Mi valoración
Las acusaciones a operadores de alojamiento «antibalas» rusos son una herramienta de presión más simbólica que operativa cuando los acusados viven en Rusia. Lo que importa de este caso no es la probabilidad de que acaben en juicio sino el efecto sobre el ecosistema: cada acusación desellada añade nombres a listas de sanciones internacionales, complica las relaciones financieras de los acusados y sirve de señal a otros operadores de infraestructura criminal sobre el nivel de vigilancia americano.
Lo que más me convence del enfoque del Departamento de Justicia es la combinación de sanciones financieras (Tesoro) y acusaciones penales (Justicia): son instrumentos distintos con efectos distintos que juntos hacen el negocio del alojamiento «antibalas» más arriesgado, aunque no lo eliminan. Lo que más me preocupa es el gap entre la escala del daño (62 millones de dólares, 20+ estados, grupos de ransomware como LockBit que han costado cientos de millones a sus víctimas) y la capacidad del sistema judicial americano de hacer responder a los responsables cuando viven en Rusia.
Preguntas frecuentes
¿Qué diferencia a un proveedor de alojamiento «antibalas» de uno convencional?
Un proveedor convencional de alojamiento web coopera con las fuerzas de seguridad: cuando recibe una solicitud de retirada de contenido ilegal o una orden judicial, actúa. Un proveedor «antibalas» elige clientes que requieren resistencia a esas solicitudes: grupos de ransomware, distribuidores de malware, operaciones de phishing. La infraestructura puede ser técnicamente similar; la diferencia es la política explícita de ignorar las solicitudes de las autoridades.
¿El ransomware LockBit todavía opera después de las operaciones de las fuerzas de seguridad en 2024?
LockBit fue objeto de una operación internacional de desmantelamiento en febrero de 2024 que afectó a su infraestructura y expuso a varios de sus operadores. Después de esa operación, el grupo intentó relanzarse con nuevos servidores y nuevos afiliados. Los analistas de seguridad informan de actividad atribuida a versiones post-desmantelamiento de LockBit, aunque a escala reducida respecto al pico de 2022-2023. El hecho de que Media Land y ML.Cloud los alojaran sugiere que el acceso a infraestructura resistente a las solicitudes de las autoridades fue un componente clave del modelo de negocio de LockBit.
¿Las sanciones al Tesoro afectan también a empresas españolas o europeas?
Las sanciones del Tesoro americano aplican a ciudadanos y empresas americanas. Las empresas europeas no están directamente obligadas por las sanciones del Tesoro, pero las sanciones pueden tener efecto indirecto: si los acusados usan el sistema bancario americano o tienen relaciones con entidades americanas, esas conexiones quedan bloqueadas. La UE tiene sus propias listas de sanciones, a las que estas personas podrían ser añadidas si el Consejo Europeo así lo decide.
