Tesoro de EE.UU. sanciona a First VPN por facilitar ataques ransomware contra hospitales

La OFAC sanciona al servicio VPN 1VPNS y a su administrador, el ucraniano Dmytro Rashevskyi, por vender anonimato a grupos de ransomware. La acción se coordina con Reino Unido y apunta también a un bielorruso que vendía 'cryptors' para ocultar el malware.

El Tesoro de Estados Unidos ha sancionado este lunes a First VPN Service (1VPNS) y a su administrador, el ucraniano Dmytro Rashevskyi, por facilitar de forma directa la operativa de los principales grupos de ransomware. La medida, coordinada con el Reino Unido, se extiende al bielorruso Yegeniy Vladimirovich Silayev, que vendía ‘cryptors’ para esconder el malware, y pone cifras a una práctica conocida: los servicios de anonimato se alquilan como infraestructura criminal en los foros de la dark web.

La Oficina de Control de Activos Extranjeros (OFAC) lleva meses investigando el ecosistema de habilitadores del ransomware y ha decidido golpear la tubería antes que al usuario final. Según el comunicado oficial, 1VPNS llevaba más de diez años publicitándose en foros como ‘XSS’ y ‘Exploit’ con un mensaje explícito: no colaboraban con las fuerzas del orden y no guardaban registros de actividad. Europol, que ya había irrumpido en sus servidores en mayo, confirmó que el servicio aparecía en prácticamente todas sus investigaciones recientes.

La anatomía de este tipo de servicios es sencilla pero letal. Un grupo de ransomware alquila un espacio en la infraestructura de 1VPNS, instala sus paneles de mando y control y camufla las comunicaciones con las víctimas. La OFAC ha detallado que entre los clientes figuran operadores de las variantes ‘Anubis’ y ‘Sinobi’, que han atacado hospitales, ayuntamientos y entidades financieras estadounidenses. ‘Numerosos grupos han utilizado esa infraestructura para ocultar el origen de sus ataques, desplegar malware y gestionar los datos exfiltrados’, añaden desde el Tesoro.

Publicidad

La operación: cómo 1VPNS se convirtió en el ‘hosting’ del ransomware

Le pongo en contexto: este no es un proveedor de VPN convencional que haya mirado hacia otro lado. 1VPNS era un servicio boutique diseñado exclusivamente para el cibercrimen, con paquetes que iban desde los 58 euros por un acceso básico a Sinobi hasta los 723 euros por un paquete completo para Anubis. La firma de inteligencia blockchain TRM Labs ha identificado pagos directos desde monederos asociados a grupos de ransomware hacia las cuentas de Rashevskyi, lo que deja un rastro que, como señala Ari Redbord, responsable de política global de la firma, recuerda que ‘incluso las cantidades pequeñas en blockchains públicas permiten seguir el camino después del hecho’.

El FBI ya había lanzado una alerta sobre este servicio en 2025, y Europol no se quedó atrás: en mayo detuvo al administrador de 1VPNS, aunque entonces no reveló su identidad. Ahora el Tesoro da el paso de nombrarlo y sancionarlo, lo que congela cualquier activo que Rashevskyi tenga bajo jurisdicción estadounidense y le impide hacer negocios con ciudadanos o empresas del país. Usted puede pensar que un ucraniano sancionado por Estados Unidos no es gran cosa, pero la red de inteligencia financiera es lo bastante densa como para que una designación OFAC lo borre de las pasarelas de pago internacionales que aún pudiera utilizar.

El verdadero punto débil del ransomware no está en el código, sino en las empresas que le alquilan el oxígeno a plena luz del día.

La anatomía de un habilitador: cryptors, foros y negativa a cooperar

El segundo sancionado, Yegeniy Vladimirovich Silayev, representa el otro eslabón igualmente invisible: vendía ‘cryptors’, herramientas que envuelven el malware para que los antivirus no lo detecten. La OFAC lo explica con meridiana claridad: ‘A diferencia de las herramientas de cifrado legítimas, diseñadas para proteger los datos, los cryptors se construyen expresamente para hacer el malware más sigiloso y eficaz, disfrazándolo de archivos inofensivos’. Silayev suministraba estos servicios a los mismos grupos de ransomware que utilizaban 1VPNS, creando así un ecosistema cerrado donde el atacante solo tiene que elegir entre un menú de proveedores con precios fijos.

En mi opinión, este modelo de ‘ransomware como servicio’ que tanto he analizado en El quinto elemento ha alcanzado una madurez industrial. Los actores ya no necesitan escribir ni una línea de código; compran acceso a redes comprometidas, alquilan infraestructura anónima y adquieren cryptors para empaquetar el ransomware final. La sanción de hoy no solo descabeza a un proveedor: envía un mensaje al resto de intermediarios que operan desde jurisdicciones como Ucrania o Bielorrusia, a menudo con la expectativa de que Occidente no los perseguirá por su papel de mero ‘servicio técnico’. No se equivoque: la doctrina del Tesoro ha cambiado, y ya no ve diferencia entre quien aprieta el gatillo y quien le vende la pistola.

OFAC

Dossier Moncloa: Ojos en la Sombra

En esta redacción seguimos de cerca la evolución del cibercrimen porque, aunque los titulares lleguen desde Washington, las víctimas están en todas partes. Hace apenas dos años, el CNI elevaba una alerta sobre un servicio de VPN similar con sede en Letonia que había sido utilizado contra infraestructuras críticas españolas. Fuentes del CCN-CERT consultadas entonces me confirmaron que varios hospitales del Sescam y de Osakidetza habían sido perjudicados por ransomware alojado en ese tipo de ‘hosting criminal’.

El vector de amenaza que hoy sanciona la OFAC es un ciberataque facilitado por infraestructura de comando y control anónima y por herramientas de ofuscación (cryptors). La agencia atacante, si se puede llamar así, es un conjunto de servicios privados que no pertenecen a ningún Estado pero que actúan de facto como fuerza irregular en el ciberespacio. Las agencias que defienden son el propio Tesoro estadounidense, el FBI y Europol; las que miran con atención incluyen al CNI y al CCN-CERT, que actualizan sus indicadores de amenaza cada vez que alguien desmantela una red de estas características. A juzgar por la naturaleza de la información manejada —nombres reales, direcciones de criptomoneda, fechas de pago— estimo que el nivel del material empleado para estas sanciones oscila entre ‘Confidencial‘ y ‘Secreto’, aunque la designación OFAC en sí misma es pública.

Publicidad

Conviene recordar un precedente de peso: en 2021, la OFAC sancionó por primera vez una plataforma de intercambio de criptomonedas, SUEX, por lavar dinero de ransomware. Aquella acción abrió una brecha legal que ahora se aplica sin complejos a cualquier empresa que preste servicios —aunque aparenten ser legítimos— a grupos criminales. Lo veo como una evolución lógica: el Tesoro ha pasado de perseguir al blanqueo posterior al hecho a asfixiar la infraestructura que permite el hecho mismo. Y esto, créame, va a imprimir una velocidad distinta a las investigaciones en curso que manejan Europol y el FBI.

Queda una pregunta abierta: ¿afectará esto a los proveedores que operan desde Rusia o desde países donde la cooperación judicial es prácticamente inexistente? Tengo la impresión de que el Tesoro ya tiene sobre la mesa varios nombres más, y que las sanciones de hoy son solo la pieza más visible de una campaña coordinada que veremos extenderse en los próximos meses, coincidiendo con la cumbre del G-7 prevista para septiembre.