Operativo internacional desmantela red de lavado de criptomonedas por $390 millones vinculada a ransomware

La plataforma «AudiA6», un servicio de mezcla de criptomonedas, fue clausurada tras una investigación coordinada por Eurojust y Europol que abarcó 11 países. Se arrestaron a dos administradores y se incautaron servidores, vehículos y criptoactivos.

Una operación internacional coordinada por las agencias europeas Eurojust y Europol ha desmantelado «AudiA6», una plataforma de mezcla de criptomonedas utilizada para lavar fondos ilícitos. La red procesó más de 336 millones de euros (aproximadamente $390 millones) entre 2022 y 2025, vinculada principalmente a grupos de ransomware. Las autoridades arrestaron a dos administradores en Georgia y congelaron criptoactivos por valor de unos 778,000 euros ($900,000).

El operativo, que involucró a 11 países, incluyó la incautación de 25 dominios, más de 30 servidores y 80 vehículos. Los dominios de AudiA6 y su foro asociado, «Dark2Web», fueron reemplazados con pancartas de incautación tanto en la web regular como en la dark web.

¿Qué era «AudiA6» y cómo funcionaba?

AudiA6 era un servicio de «mezcla» o «tumbler» de criptomonedas ofrecido en la dark web. Su función principal era permitir a ciberdelincuentes, especialmente aquellos que operan ransomware, «limpiar» criptomonedas robadas, ocultando la trazabilidad de los fondos en la blockchain. La plataforma ofrecía completar este proceso en aproximadamente una hora y cobraba una comisión que oscilaba entre el 3% y el 10% por transacción.

Según la firma de análisis blockchain Chainalysis, las wallets asociadas a AudiA6 recibieron aproximadamente 10,333 bitcoins desde 2021, valorados en unos $389 millones al momento de las transacciones.

El rol del ransomware y el uso de cuentas falsas

La plataforma era utilizada por grupos de ransomware para convertir los rescates pagados por sus víctimas en efectivo. La Policía Federal Australiana (AFP) confirmó que AudiA6 lavó parte de un rescate pagado por una empresa australiana en 2024 tras un ataque de ransomware.

El método de lavado se basaba en un uso masivo de cuentas «mula» y registros de verificación de identidad (KYC) falsificados. Las autoridades identificaron más de 6,000 registros KYC fraudulentos vinculados a estas cuentas. Según Eurojust, las cuentas se creaban con identidades robadas o compradas y eran operadas por intermediarios de habla rusa, reclutados específicamente para mover los fondos a través de exchanges de criptomonedas.

Detalles del operativo internacional

La investigación fue dirigida y coordinada por Eurojust y Europol. Los 11 países participantes fueron Estados Unidos, Australia, Francia, Polonia, Georgia, Islandia, Canadá, Alemania, Japón, Suiza y Reino Unido. Las acciones ejecutadas incluyeron:

• Arresto de dos administradores en Georgia, de nacionalidades rusa y ucraniana.
• Incautación de infraestructura crítica: 25 dominios, más de 30 servidores y 80 vehículos.
• Congelación de activos digitales por valor de aproximadamente 778,000 euros (unos $900,000) en criptomonedas.

El ecosistema del crimen: «Dark2Web» y la consolidación del ransomware

El mismo sindicato detrás de AudiA6 operaba un foro de mercado separado llamado «Dark2Web». Según Eurojust, este foro se utilizaba para anunciar servicios ilícitos y conectar a ciberdelincuentes a nivel mundial.

El contexto actual del ransomware en 2026 refuerza la gravedad del caso. Según la firma de seguridad Emsisoft, en el primer trimestre de 2026 se registraron ataques de ransomware en 97 países. Estados Unidos concentró el 64.7% de todas las víctimas registradas.

Además, el ecosistema está experimentando una consolidación. Según Check Point Research en mayo de 2026, los 10 principales grupos de ransomware fueron responsables del 71% de las víctimas del primer trimestre de 2026.

«El ecosistema de ransomware se está consolidando nuevamente en torno a menos operadores dominantes», señaló la firma.

Conclusiones e implicaciones

La operación contra AudiA6 demuestra la capacidad de cooperación internacional para desmantelar infraestructuras críticas del cibercrimen financiero. El uso masivo de cuentas KYC falsas, con más de 6,000 registros fraudulentos, expone una vulnerabilidad significativa en los procesos de verificación de identidad de los exchanges de criptomonedas.

La tendencia a la consolidación de los grupos de ransomware sugiere que, aunque el número de actores disminuye, los que quedan son más profesionales, organizados y peligrosos. La operación AudiA6 representa un golpe a un eslabón clave en la cadena de lavado de dinero que sustenta a estas organizaciones criminales.