Una operación internacional de inteligencia financiera ejecutada el pasado 10 de junio dejó al descubierto la arquitectura oculta que sostenía a los principales grupos de ransomware del mundo: una plataforma de lavado de criptomonedas conocida como AudiA6, que desde 2021 movió más de €336 millones en ganancias ilícitas para bandas cibercriminales de alcance global.
El golpe, coordinado por Europol junto al Servicio Secreto de EE.UU. y la División de Investigación Criminal del IRS, involucró a diez países —entre ellos Australia, Canadá, Francia, Alemania, Japón y el Reino Unido— y derivó en la detención de dos ciudadanos de nacionalidad ucraniana y rusa en Georgia: Ruslan Igorevich Tkachuk, de 37 años, y Alexander Vladimirovich Ledenev, de 25. Ambos enfrentan cargos ante el Departamento de Justicia de Estados Unidos por conspiración para el lavado de activos, delito que en ese país contempla hasta 20 años de prisión.
Más que un mezclador: una infraestructura financiera del crimen organizado digital
Lo que las autoridades describieron como “lavado a escala industrial” no era un simple servicio de mezcla de criptomonedas. AudiA6 operaba como una banca en la sombra para el ecosistema criminal: recibía fondos procedentes de ataques de ransomware, robos masivos de criptomonedas y otras operaciones delictivas, y los devolvía “limpios” en menos de una hora, mediante cadenas de transacciones diseñadas para romper el rastro en cadenas de bloques.
La plataforma cobraba comisiones de entre 3% y 10% por cada operación, y se comercializaba en foros del crimen como una solución profesional que garantizaba anonimato y velocidad. Su operación estaba, además, articulada con Dark2Web, un foro de la dark web administrado por los mismos operadores, donde actores maliciosos de distintas latitudes anunciaban servicios ilegales y se conectaban entre sí.
Lo más revelador de la investigación es el nivel de sofisticación financiera del esquema: se identificaron más de 6.000 registros KYC (Conozca a su Cliente) vinculados a cuentas mula abiertas con identidades robadas o compradas, muchas de ellas gestionadas por intermediarios de habla rusa reclutados para mover el dinero a través de exchanges de criptomonedas legítimos.
El hilo que conecta el pasado: el hackeo a LastPass
Un elemento que no pasó inadvertido entre los analistas es que, según un informe de TRM Labs de diciembre de 2025, parte de los fondos sustraídos en el hackeo a LastPass de 2022 —que comprometió las bóvedas de contraseñas de millones de usuarios— habrían transitado por AudiA6. Esto sitúa a la plataforma no como un actor periférico, sino como parte medular de la infraestructura financiera que sostiene las operaciones cibercriminales más relevantes de la última media década.
El operativo también está vinculado a más de 15 investigaciones internacionales por ataques de ransomware, lo que da cuenta de su transversalidad: no servía a un solo grupo, sino que funcionaba como proveedor de servicios financieros para múltiples bandas simultáneamente.
El detonante: una detención en Polonia nueve meses antes
El quiebre de la operación no fue inmediato. En septiembre de 2025, la Policía polaca detuvo a un ciudadano ucraniano vinculado al grupo, lo que permitió el decomiso de dispositivos electrónicos y la apertura de un análisis forense que eventualmente condujo a los dos administradores principales capturados esta semana en Georgia.
Este dato es significativo para la comunidad de inteligencia: ilustra cómo las operaciones de largo aliento, construidas sobre intercambio sostenido de información entre agencias de distintos países, siguen siendo el instrumento más efectivo para desmantelar redes cibercriminales complejas. No fue un ataque técnico aislado, sino inteligencia acumulada durante meses.
Decomiso sin precedentes
El resultado material de la operación es contundente: 25 dominios incautados, más de 30 servidores desconectados, cuentas de Telegram bloqueadas, €692.000 en criptomonedas congeladas y €86.000 adicionales confiscados. En Georgia, las autoridades locales ejecutaron el decomiso de más de 80 vehículos y múltiples propiedades vinculadas a los acusados.
Los sitios web de AudiA6 —tanto en la web convencional como en la dark web— fueron reemplazados por un banner de incautación policial, un mensaje simbólico dirigido tanto a los usuarios como a otros operadores del ecosistema criminal.
La señal para América Latina
Aunque el centro de gravedad de esta operación está en Europa del Este y EE.UU., su impacto reverbera en América Latina. La región lleva años siendo blanco de ataques de ransomware contra infraestructura crítica, organismos de gobierno y entidades financieras; en muchos de esos casos, los rescates pagados en criptomonedas muy probablemente pasaron por plataformas de lavado similares a AudiA6.
La desarticulación de este nodo financiero no elimina la amenaza, pero complica la cadena de monetización del cibercrimen. Para los atacantes, el ransomware sin una vía confiable de lavado pierde buena parte de su atractivo económico. La pregunta que los analistas ya formulan es cuántas plataformas similares siguen operando en las sombras, y cuánto tiempo tomará identificar la próxima.
