Un ciudadano ucraniano ha sido extraditado desde España a Estados Unidos por su presunta participación en una serie de ataques de ransomware Nefilim dirigidos a empresas multinacionales. El individuo, identificado como Artem Aleksandrovych Stryzhak, de 35 años, fue detenido en junio de 2024 en territorio español y trasladado a EE. UU. el 30 de abril de 2025 para enfrentar cargos federales.
Esta extradición marca un paso importante en los esfuerzos internacionales por combatir el cibercrimen transfronterizo y en especial las crecientes amenazas de ransomware, que afectan a organizaciones públicas y privadas por igual.
Acusado de ataques de ransomware a empresas de alto perfil
Según el Departamento de Justicia de Estados Unidos, Stryzhak habría participado activamente en la operación del ransomware Nefilim, una cepa maliciosa conocida por atacar empresas con ingresos superiores a los 200 millones de dólares anuales. Las víctimas se ubican en países como Estados Unidos, Noruega, Francia, Suiza, Alemania y los Países Bajos.
La acusación federal indica que Stryzhak se convirtió en afiliado del grupo Nefilim en junio de 2021, recibiendo el 20% de los pagos obtenidos mediante extorsión digital. Su modus operandi incluía seleccionar cuidadosamente a las víctimas utilizando herramientas de inteligencia empresarial como ZoomInfo, una plataforma que proporciona información sobre los ingresos, el tamaño y los contactos clave de las empresas.
“En un intercambio en julio de 2021, un administrador de Nefilim instó a Stryzhak a centrarse en empresas con más de 200 millones de dólares en ingresos anuales”, señala el comunicado oficial del Departamento de Justicia.
¿Cómo operaba el ransomware Nefilim?
El ransomware Nefilim surgió en 2020 como una variante derivada del ransomware Nemty, compartiendo gran parte de su código fuente. Esta amenaza encriptaba archivos utilizando cifrado AES-128 y añadía la extensión .NEFILIM a los archivos afectados.
Tras comprometer la red de la víctima, los atacantes no solo cifraban los datos, sino que también los robaban antes de encriptarlos, una técnica conocida como doble extorsión. Las víctimas recibían una nota de rescate titulada «NEFILIM-DECRYPT.txt», que les advertía que los datos serían publicados en línea si no comenzaban negociaciones en un plazo de siete días.
Algunas víctimas conocidas
Entre las empresas afectadas por los ataques de Nefilim se encuentran organizaciones de renombre internacional como:
-
Toll Group
-
Orange
-
Whirlpool
Estos casos ejemplifican cómo las bandas de ransomware no discriminan por sector y se centran en grandes empresas con información sensible y capacidad de pago.
Evolución del ransomware Nefilim
Con el tiempo, el grupo detrás de Nefilim ha operado bajo distintos nombres como Fusion, Milihpen, Gangbang, Nemty y Karma, dificultando su rastreo por parte de las autoridades y expertos en ciberseguridad.
Este patrón de cambio de nombre es una táctica común entre grupos de ransomware para evadir la detección, dificultar las investigaciones y seguir operando bajo nuevas identidades digitales.
Acusaciones formales y posible condena
Stryzhak enfrenta cargos por conspiración para cometer fraude, extorsión y actividades relacionadas con computadoras, conforme a las leyes estadounidenses de ciberseguridad. La acusación formal fue presentada en una corte federal en Brooklyn, Nueva York, donde comparecerá ante el juez magistrado Robert M. Levy.
Si es declarado culpable, el ciudadano ucraniano podría enfrentar hasta cinco años de prisión, lo que representa un precedente importante en el procesamiento de actores cibernéticos internacionales.
Nota de rescate de NefilimFuente: BleepingComputer
Cooperación internacional contra el cibercrimen
La detención y posterior extradición de Artem Stryzhak desde España demuestra la eficacia de la cooperación internacional en la lucha contra el cibercrimen. En los últimos años, las autoridades de Europa y Estados Unidos han intensificado sus esfuerzos conjuntos para detener a los responsables de ataques de ransomware que afectan a infraestructuras críticas y sectores económicos clave.
El caso también pone de relieve la necesidad urgente de que las empresas refuercen sus medidas de ciberseguridad, incluyendo:
-
Auditorías constantes de su red.
-
Detección temprana de intrusiones.
-
Cifrado de datos internos.
-
Capacitación a empleados contra ataques de ingeniería social.
El ransomware sigue siendo una amenaza global
La extradición de Artem Stryzhak a Estados Unidos por su presunta participación en los ataques de ransomware Nefilim representa un avance significativo en la respuesta legal frente al cibercrimen organizado. Sin embargo, este caso es solo uno entre muchos, y los expertos alertan que la amenaza del ransomware sigue en aumento, con actores que continuamente evolucionan sus tácticas.
La vigilancia constante, la cooperación entre naciones y la aplicación rigurosa de la ley serán clave para frenar el crecimiento de estas bandas cibercriminales que lucran con la extorsión digital a nivel global.
Fuente: Bleeping Computer
