El armenio Karen Vardanyan se ha declarado culpable de los ataques del ransomware Ryuk contra hospitales en Estados Unidos. Extraditado desde Ucrania, acepta pagar 1,2 millones de dólares y se enfrenta a 15 años de prisión. La confesión, anunciada este jueves por el Departamento de Justicia, cierra uno de los capítulos más oscuros de la ciberextorsión sanitaria.
Vardanyan, de 34 años, admitió haber participado en la campaña que entre noviembre de 2019 y abril de 2020 lanzó Ryuk contra al menos tres organizaciones estadounidenses mientras residía en Ucrania y Rusia. Junto a otros tres acusados —los ucranianos Oleg Lyulyava y Andrii Prykhodchenko, y el también armenio Levon Avetisyan— recaudaron aproximadamente 1.160 bitcoins, valorados entonces en más de 15 millones de dólares, según los fiscales.
La cadena de extorsión que colapsó quirófanos durante la pandemia
El primer golpe llegó en diciembre de 2019 contra una empresa tecnológica de Oregón. Después vinieron una compañía de Michigan que pagó casi 1,2 millones de dólares para recuperar sus datos y, en febrero de 2020, una escuela de Texas. Ryuk paralizaba sistemas enteros con un ransomware de doble extorsión: cifraba los archivos y amenazaba con filtrarlos si no se pagaba el rescate en bitcoins.
El grupo accedía a las redes mediante campañas de phishing o aprovechando vulnerabilidades en servidores expuestos. Una vez dentro, desplegaban Ryuk de forma manual, no automática, lo que implicaba un reconocimiento previo de la la víctima y un ajuste fino del rescate. Ese tradecraft, más propio de un APT que de una banda callejera, les permitió atacar cientos de organizaciones.
No fue un hospital, sino toda una cadena sanitaria: en octubre de 2020, los atacantes de Ryuk lanzaron una oleada contra centros médicos en plena segunda ola de la pandemia. El Centro de Seguridad Cibernética de EE.UU. (CISA) y el FBI emitieron alertas conjuntas advirtiendo de que las amenazas ponían vidas en peligro. Al menos dos grandes sistemas hospitalarios, Universal Health Services y Hollywood Presbyterian, sufrieron interrupciones críticas.
En 2020, un hospital cifrado no era una anécdota de ciberseguridad: era un paciente sin quirófano y un oncólogo sin historial clínico. Un multiplicador silencioso de víctimas.
La extradición de Vardanyan desde Ucrania, ejecutada en 2025, subraya la creciente colaboración bilateral contra el cibercrimen. Kiev, que ha sido víctima de ciberataques rusos patrocinados por el Estado, está acelerando la entrega de delincuentes informáticos a Washington como parte de su acercamiento estratégico. Es una moneda de cambio que el DOJ agradece.
El acusado se declara culpable de conspiración informática y fraude/extorsión. Además de la pena de hasta 15 años de prisión y la restitución millonaria, reconoce que la condena conllevará consecuencias migratorias, y la expulsión de Estados Unidos tras cumplir su sentencia. El tribunal de Oregón aún no ha fijado la fecha del fallo.
El legado de Ryuk: una máquina de cifrar que no respetó ni a los enfermos

Ryuk ha dejado una estela de miles de víctimas en todo el mundo: desde redacciones de periódicos locales y ayuntamientos hasta servicios públicos de agua en Carolina del Norte. En 2019, el mismo grupo cifró los sistemas de varias cabeceras, y en 2020 dejó sin acceso a una planta de tratamiento. La banda mostró un desprecio absoluto por el daño colateral, usando el mismo ataque contra una escuela que contra un hospital de agudos. Según analistas de amenazas como Mandiant y CrowdStrike, detrás de Ryuk está el grupo criminal Wizard Spider, un colectivo con base en Rusia que ha desarrollado toda una suite de herramientas de ataque, incluyendo TrickBot y Conti. Si usted ha seguido esta serie de ataques, recordará que en 2020 los hospitales se convirtieron en un blanco prioritario para los grupos de ransomware.
Aunque no hay evidencia de un patrocinio estatal directo, el modus operandi de doble extorsión y la infraestructura de C2 distribuida indican un nivel de profesionalización que iguala al de muchas operaciones encubiertas de inteligencia. La línea entre el cibercrimen de élite y el espionaje de Estado se ha vuelto peligrosamente borrosa.
Dossier Moncloa: Ojos en la Sombra
El vector es claro: ransomware de doble extorsión con alto impacto sobre infraestructuras críticas sanitarias. Los atacantes —un grupo con experiencia en APT y redes de lavado de criptomonedas— desplegaron Ryuk tras una intrusión manual. Las agencias defensoras: el DOJ, el FBI y, en la sombra, el CCN-CERT español que emitió avisos sobre la variante en 2020. La extradición desde Ucrania involucra también al SBU y refleja un alineamiento de intereses entre Washington y Kiev en la lucha contra el cibercrimen.
En España, recuerdo el caos de WannaCry en 2017, cuando Telefónica y el Hospital Clínic de Barcelona vieron sus ordenadores cifrados. Aquel ataque, atribuido a Corea del Norte, fue un aviso. Más recientemente, en 2021, el SEPE sufrió una intrusión con un ransomware que colapsó sus sistemas durante semanas. Ese incidente forzó al CCN-CERT a elevar la alerta y a coordinar una respuesta con el CNI. Hoy Ryuk y sus herederos —como Conti o LockBit— son una amenaza persistente para las más de 8.000 infraestructuras críticas que identificamos en El quinto elemento. Lo advertí entonces: «el próximo 11S empezará con un clic». Ryuk demostró que el clic puede congelar un quirófano.
Aunque el caso es público, el nivel de clasificación de los detalles técnicos que manejó el FBI —direcciones de wallet, servidores C2, técnicas forenses— probablemente se mantenga en un nivel reservado o confidencial. La confesión de Vardanyan es un hito, pero la sombra de sus cómplices sigue activa. La próxima fecha clave: su sentencia, que aún no tiene calendario.

