El Tesoro de Estados Unidos ha sancionado este lunes a First VPN Service (1VPNS) y a su administrador, el ucraniano Dmytro Rashevskyi, por facilitar de forma directa la operativa de los principales grupos de ransomware. La medida, coordinada con el Reino Unido, se extiende al bielorruso Yegeniy Vladimirovich Silayev, que vendÃa ‘cryptors’ para esconder el malware, y pone cifras a una práctica conocida: los servicios de anonimato se alquilan como infraestructura criminal en los foros de la dark web.
La Oficina de Control de Activos Extranjeros (OFAC) lleva meses investigando el ecosistema de habilitadores del ransomware y ha decidido golpear la tuberÃa antes que al usuario final. Según el comunicado oficial, 1VPNS llevaba más de diez años publicitándose en foros como ‘XSS’ y ‘Exploit’ con un mensaje explÃcito: no colaboraban con las fuerzas del orden y no guardaban registros de actividad. Europol, que ya habÃa irrumpido en sus servidores en mayo, confirmó que el servicio aparecÃa en prácticamente todas sus investigaciones recientes.
La anatomÃa de este tipo de servicios es sencilla pero letal. Un grupo de ransomware alquila un espacio en la infraestructura de 1VPNS, instala sus paneles de mando y control y camufla las comunicaciones con las vÃctimas. La OFAC ha detallado que entre los clientes figuran operadores de las variantes ‘Anubis’ y ‘Sinobi’, que han atacado hospitales, ayuntamientos y entidades financieras estadounidenses. ‘Numerosos grupos han utilizado esa infraestructura para ocultar el origen de sus ataques, desplegar malware y gestionar los datos exfiltrados’, añaden desde el Tesoro.
La operación: cómo 1VPNS se convirtió en el ‘hosting’ del ransomware
Le pongo en contexto: este no es un proveedor de VPN convencional que haya mirado hacia otro lado. 1VPNS era un servicio boutique diseñado exclusivamente para el cibercrimen, con paquetes que iban desde los 58 euros por un acceso básico a Sinobi hasta los 723 euros por un paquete completo para Anubis. La firma de inteligencia blockchain TRM Labs ha identificado pagos directos desde monederos asociados a grupos de ransomware hacia las cuentas de Rashevskyi, lo que deja un rastro que, como señala Ari Redbord, responsable de polÃtica global de la firma, recuerda que ‘incluso las cantidades pequeñas en blockchains públicas permiten seguir el camino después del hecho’.
El FBI ya habÃa lanzado una alerta sobre este servicio en 2025, y Europol no se quedó atrás: en mayo detuvo al administrador de 1VPNS, aunque entonces no reveló su identidad. Ahora el Tesoro da el paso de nombrarlo y sancionarlo, lo que congela cualquier activo que Rashevskyi tenga bajo jurisdicción estadounidense y le impide hacer negocios con ciudadanos o empresas del paÃs. Usted puede pensar que un ucraniano sancionado por Estados Unidos no es gran cosa, pero la red de inteligencia financiera es lo bastante densa como para que una designación OFAC lo borre de las pasarelas de pago internacionales que aún pudiera utilizar.
El verdadero punto débil del ransomware no está en el código, sino en las empresas que le alquilan el oxÃgeno a plena luz del dÃa.
La anatomÃa de un habilitador: cryptors, foros y negativa a cooperar
El segundo sancionado, Yegeniy Vladimirovich Silayev, representa el otro eslabón igualmente invisible: vendÃa ‘cryptors’, herramientas que envuelven el malware para que los antivirus no lo detecten. La OFAC lo explica con meridiana claridad: ‘A diferencia de las herramientas de cifrado legÃtimas, diseñadas para proteger los datos, los cryptors se construyen expresamente para hacer el malware más sigiloso y eficaz, disfrazándolo de archivos inofensivos’. Silayev suministraba estos servicios a los mismos grupos de ransomware que utilizaban 1VPNS, creando asà un ecosistema cerrado donde el atacante solo tiene que elegir entre un menú de proveedores con precios fijos.
En mi opinión, este modelo de ‘ransomware como servicio’ que tanto he analizado en El quinto elemento ha alcanzado una madurez industrial. Los actores ya no necesitan escribir ni una lÃnea de código; compran acceso a redes comprometidas, alquilan infraestructura anónima y adquieren cryptors para empaquetar el ransomware final. La sanción de hoy no solo descabeza a un proveedor: envÃa un mensaje al resto de intermediarios que operan desde jurisdicciones como Ucrania o Bielorrusia, a menudo con la expectativa de que Occidente no los perseguirá por su papel de mero ‘servicio técnico’. No se equivoque: la doctrina del Tesoro ha cambiado, y ya no ve diferencia entre quien aprieta el gatillo y quien le vende la pistola.

Dossier Moncloa: Ojos en la Sombra
En esta redacción seguimos de cerca la evolución del cibercrimen porque, aunque los titulares lleguen desde Washington, las vÃctimas están en todas partes. Hace apenas dos años, el CNI elevaba una alerta sobre un servicio de VPN similar con sede en Letonia que habÃa sido utilizado contra infraestructuras crÃticas españolas. Fuentes del CCN-CERT consultadas entonces me confirmaron que varios hospitales del Sescam y de Osakidetza habÃan sido perjudicados por ransomware alojado en ese tipo de ‘hosting criminal’.
El vector de amenaza que hoy sanciona la OFAC es un ciberataque facilitado por infraestructura de comando y control anónima y por herramientas de ofuscación (cryptors). La agencia atacante, si se puede llamar asÃ, es un conjunto de servicios privados que no pertenecen a ningún Estado pero que actúan de facto como fuerza irregular en el ciberespacio. Las agencias que defienden son el propio Tesoro estadounidense, el FBI y Europol; las que miran con atención incluyen al CNI y al CCN-CERT, que actualizan sus indicadores de amenaza cada vez que alguien desmantela una red de estas caracterÃsticas. A juzgar por la naturaleza de la información manejada —nombres reales, direcciones de criptomoneda, fechas de pago— estimo que el nivel del material empleado para estas sanciones oscila entre ‘Confidencial‘ y ‘Secreto’, aunque la designación OFAC en sà misma es pública.
Conviene recordar un precedente de peso: en 2021, la OFAC sancionó por primera vez una plataforma de intercambio de criptomonedas, SUEX, por lavar dinero de ransomware. Aquella acción abrió una brecha legal que ahora se aplica sin complejos a cualquier empresa que preste servicios —aunque aparenten ser legÃtimos— a grupos criminales. Lo veo como una evolución lógica: el Tesoro ha pasado de perseguir al blanqueo posterior al hecho a asfixiar la infraestructura que permite el hecho mismo. Y esto, créame, va a imprimir una velocidad distinta a las investigaciones en curso que manejan Europol y el FBI.
Queda una pregunta abierta: ¿afectará esto a los proveedores que operan desde Rusia o desde paÃses donde la cooperación judicial es prácticamente inexistente? Tengo la impresión de que el Tesoro ya tiene sobre la mesa varios nombres más, y que las sanciones de hoy son solo la pieza más visible de una campaña coordinada que veremos extenderse en los próximos meses, coincidiendo con la cumbre del G-7 prevista para septiembre.

