El caso publicado por TechCrunch este 21 de abril de 2026 ha puesto foco sobre una figura poco conocida fuera de los equipos de respuesta a incidentes: el negociador de ransomware. Según el Departamento de Justicia de EE. UU., Angelo Martino, exnegociador de ransomware, se declaró culpable de colaborar con operadores de BlackCat/ALPHV mientras trabajaba, teóricamente, del lado de las víctimas. La acusación sostiene que filtró a los atacantes información confidencial sobre límites de seguro y estrategias de negociación de sus clientes para maximizar el importe del rescate. TechCrunch añade que es el tercer profesional vinculado a este esquema en el último año.
La noticia es impactante, pero no debería llevar a una conclusión equivocada: que la negociación en incidentes de ransomware sea, por definición, una actividad oscura o ilegítima. En realidad, el caso Martino sugiere lo contrario. Solo puede haber “traición” donde antes había una función real, reconocida y sensible dentro del ecosistema de respuesta a incidentes. Es decir: sí, el negociador de ransomware existe; sí, cumple una función concreta; y sí, opera en una de las zonas más tensas, ambiguas y controvertidas de la ciberseguridad moderna.
Un oficio nacido de la extorsión digital profesionalizada
La aparición de esta profesión no se entiende sin la industrialización del ransomware. BlackCat/ALPHV, por ejemplo, operó bajo el modelo de ransomware-as-a-service: un núcleo desarrolla y mantiene el malware, mientras afiliados lo despliegan y comparten beneficios con los operadores. Ese nivel de especialización criminal ha obligado al sector defensivo a profesionalizar también la respuesta, incluyendo perfiles capaces de hablar con extorsionadores, evaluar pruebas, ganar tiempo y coordinar decisiones técnicas, legales y financieras bajo presión extrema.
No estamos ante un “mediador” convencional. IBM describe al negociador de ransomware como un perfil que mezcla conocimiento técnico, criterio operativo, comprensión del impacto de negocio y capacidad psicológica para gestionar conversaciones con delincuentes. Group-IB, por su parte, define la negociación como un proceso para gestionar la comunicación directa con los atacantes, verificar sus afirmaciones, exigir pruebas de descifrado o de exfiltración y comprar tiempo mientras avanzan en paralelo la investigación forense y la recuperación.
¿Qué hace exactamente un negociador de ransomware?
Su trabajo empieza cuando una organización ya está en crisis. Hay sistemas cifrados, datos potencialmente robados, operaciones detenidas y un reloj corriendo en un portal TOR o en un chat cifrado. En ese momento, el negociador actúa como punto de contacto controlado con el atacante. No solo traduce mensajes: ordena el caos. Solicita pruebas de que el grupo realmente posee las claves o la información robada, intenta retrasar plazos para que el equipo técnico evalúe copias de seguridad y alcance del incidente, y ayuda a evitar errores impulsivos que pueden encarecer el rescate o empeorar la exposición legal.
En los casos mejor gestionados, además, la negociación no es un carril aislado, sino un frente más dentro de una respuesta coordinada. Mientras una parte del equipo contiene el incidente y analiza persistencia, otra revisa pólizas de seguro, obligaciones regulatorias y posible impacto reputacional. El buen negociador no “vende” milagros: crea margen de maniobra para que la empresa decida con más información y menos pánico. Group-IB insiste en que negociar no equivale automáticamente a pagar, ni garantiza un resultado favorable.
La gran contradicción: una función necesaria que nadie quiere normalizar
Aquí aparece la gran incomodidad del oficio. Las agencias estadounidenses llevan años desaconsejando el pago de rescates. CISA, el FBI y la NSA han reiterado que pagar puede incentivar nuevos ataques y no garantiza ni la recuperación ni la no filtración de datos. OFAC, además, advierte del riesgo de sanciones para quienes faciliten pagos a actores con nexos sancionados, y señala que la cooperación con las fuerzas de seguridad es un factor mitigante importante.
Pero entre el principio y la realidad hay una fricción enorme. Sophos reportó en 2025 que el 49% de las organizaciones cuyos datos fueron cifrados pagaron para recuperarlos, aunque la proporción bajó frente al año anterior. En paralelo, Chainalysis estimó que los pagos on-chain por ransomware en 2025 cayeron alrededor de un 8% hasta 820 millones de dólares, pese a que los ataques reclamados aumentaron un 50%, lo que sugiere una paradoja: más víctimas potenciales, pero menor disposición —o menor capacidad— para pagar.
Esa tensión explica por qué el negociador existe y, al mismo tiempo, por qué su papel genera incomodidad ética. La organización afectada quiere sobrevivir. El Estado quiere desincentivar el crimen. El negociador se sitúa justo en medio, intentando reducir daño sin convertirse en facilitador del modelo criminal.
Un trabajo de confianza extrema
Por eso el caso Martino resulta tan corrosivo para el sector. Según el DOJ, el acusado aprovechó cinco negociaciones para pasar a BlackCat información privada sobre la posición de las víctimas y cobrar por ello. No fue una mala praxis menor: fue una inversión deliberada del mandato profesional. La gravedad no reside solo en ayudar a delincuentes, sino en destruir la premisa básica de esta función, que es la confianza. Quien negocia un secuestro digital accede a datos estratégicos: cuánto puede pagar la víctima, cuánto tiempo puede resistir, qué activos son críticos, qué cobertura de seguro existe y qué margen político tiene la dirección. Convertir esa información en ventaja para el atacante rompe toda la arquitectura de la respuesta.
Además, el caso no parece aislado. Reuters informó en diciembre de 2025 de las declaraciones de culpabilidad de Ryan Goldberg y Kevin Martin por colaborar con ALPHV/BlackCat; The Verge detalló que Martin trabajaba también como negociador de ransomware y que ambos participaron en ataques y extorsiones por al menos 1,2 millones de dólares en bitcoin. Lo relevante aquí no es solo la dimensión penal, sino el mensaje para el mercado: el control de terceros, la segregación de funciones y la supervisión de proveedores de respuesta ya no son cuestiones administrativas, sino de riesgo existencial.
¿Qué habilidades exige esta profesión?
En su versión legítima, el negociador de ransomware reúne competencias que rara vez conviven en un único perfil. Necesita entender TTPs de los grupos criminales, saber interpretar notas de rescate y portales de negociación, manejar fundamentos de criptomonedas, conocer marcos regulatorios, comunicarse con directivos no técnicos y mantener la calma en conversaciones diseñadas para manipular emocionalmente a la víctima. IBM lo resume como una combinación de pericia técnica, intuición psicológica y capacidad de negociación en un entorno de alta presión.
También requiere disciplina documental. Group-IB recomienda centralizar el contacto en un único interlocutor, registrar cada interacción, validar con hechos todas las afirmaciones del atacante y realizar controles legales y de sanciones antes de contemplar cualquier pago. Traducido a lenguaje empresarial: el negociador no debería operar como “freelance heroico”, sino como una pieza embebida en un proceso formal de crisis, con trazabilidad, revisión legal y supervisión ejecutiva.
El futuro del negociador: menos regateo, más inteligencia de crisis
La evolución del ransomware puede cambiar el oficio. Cada vez más ataques combinan cifrado, robo de datos y presión reputacional, y algunos grupos se inclinan directamente por la extorsión basada en exfiltración. Eso reduce el valor de una negociación centrada solo en “bajar el precio del descifrador” y eleva la importancia de otras capacidades: verificar si realmente hubo robo, medir el impacto regulatorio, valorar si la publicación es creíble, coordinar comunicación de crisis y decidir con rapidez si la mejor jugada es no pagar y acelerar la recuperación. Chainalysis y las firmas de respuesta coinciden en que el ecosistema se está volviendo más complejo, más fragmentado y más dependiente de servicios especializados.
Por eso, probablemente, el negociador de ransomware del futuro se parecerá menos a un regateador y más a un gestor integral de crisis de extorsión digital: alguien capaz de leer al atacante, pero sobre todo de ordenar a la víctima.
El proceso de negociación
Los expertos describen un flujo de trabajo estructurado que suele desarrollarse en las primeras 48-72 horas tras el ataque:
- Evaluación inicial del incidente: Determinar el alcance del cifrado, los datos exfiltrados y la identidad probable del grupo atacante.
- Perfilado del actor de amenaza: Clasificar al grupo según su comportamiento (efímero, profesional, rebranding, etc.) para anticipar sus tácticas.
- Verificación de capacidades: Exigir pruebas de que los atacantes poseen realmente las claves de descifrado.
- Coordinación multidisciplinar: Trabajar en paralelo con equipos legales, de seguros, TI y alta dirección.
- Negociación estratégica: Buscar reducciones del monto, plazos extendidos o garantías de eliminación de datos robados.
- Debida diligencia de sanciones: Asegurar que cualquier pago no viole regulaciones internacionales.
La pregunta incómoda
El descubrimiento de esta profesión suele provocar una reacción instintiva: “¿De verdad existe gente cuya función es negociar con secuestradores digitales?”. La respuesta es sí. Y quizá la pregunta correcta no sea esa, sino otra: “¿Cómo hemos llegado a un punto en el que tantas organizaciones necesitan a alguien para hablar profesionalmente con criminales?”.
Ese es el verdadero significado del caso Martino. No solo revela la existencia de un oficio extraño. Revela hasta qué punto el ransomware ha madurado como industria y hasta qué punto la respuesta defensiva ha tenido que adaptarse a esa lógica. El negociador de ransomware no es una anomalía pintoresca de la economía digital. Es el síntoma de una normalización inquietante: la de la extorsión como escenario operativo recurrente para empresas, hospitales, despachos y administraciones.
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.
