Insignias, bytes y chantaje: Radiografía de la lucha contra el cibercrimen

Un análisis de 418 acciones policiales (2021-2025) revela que la extorsión (incluyendo ransomware) es el delito más perseguido, los arrestos representan el 29% de las intervenciones, y EE. UU. lidera con el 45% de las operaciones. Los ciberdelincuentes son mayoritariamente hombres de 25 a 44 años, y los rusos constituyen el 23% de los identificados. La colaboración público-privada es clave, con 74 empresas participando.

Introducción: Una mirada a la fragmentada lucha contra el cibercrimen

La creciente sofisticación y diversificación del cibercrimen ha llevado a las fuerzas del orden a coordinar acciones cada vez más publicitadas. Sin embargo, no existe una visión global consolidada. Para llenar este vacío, se construyó un conjunto de datos con 418 acciones policiales verificadas entre 2021 y mediados de 2025, recopiladas por los equipos de inteligencia de Orange Cyberdefense a partir de anuncios oficiales y reportes mediáticos, y enriquecidas manualmente con detalles contextuales y demográficos.

¿Qué actos delictivos se abordaron?

Los datos muestran que la extorsión (incluyendo ransomware) es el acto criminal más frecuentemente perseguido, seguido de cerca por la instalación o distribución de software malicioso (malware) y el acceso no autorizado o intrusión (hacking). Estos tres tipos dominan el panorama, reflejando el enfoque de las autoridades en operaciones de ciberextorsión y las intrusiones técnicas que las facilitan. Otros actos destacados incluyen el acceso no autorizado para espionaje (ciberespionaje), provisión de infraestructura criminal (mercados oscuros, sitios o infraestructura y servicios de alojamiento), y adquisición fraudulenta de activos financieros (fraude). Delitos como la trata de datos/información, el uso de criptomonedas para ocultar o facilitar delitos, y el ocultamiento de ganancias ilícitas mediante TIC (lavado de dinero) muestran una atención creciente a las transacciones financieras y mecanismos de lavado.

Aunque el beneficio económico sigue siendo un motor central, las líneas entre motivaciones se han desdibujado, a veces cambiando en respuesta a eventos geopolíticos. Actividades inicialmente financieras pueden adquirir dimensiones políticas o ideológicas, coexistiendo motivos financieros, políticos y cognitivos.

¿Qué acciones tomaron las fuerzas del orden?

Los arrestos representan la mayor proporción (29%) de las acciones, seguidos de desmantelamientos (17%) y acusaciones formales (14%). Medidas complementarias como sentencias (11%), sanciones (7%) y decomisos (4%) muestran que se aborda tanto a los actores criminales como a la infraestructura económica. Las sanciones han aumentado, reflejando el uso de herramientas económicas y diplomáticas. Las órdenes de búsqueda y captura facilitan la cooperación transfronteriza y ejercen presión sobre los sospechosos, sirviendo como elemento disuasorio.

Al combinar el tipo de actividad ilícita con la acción policial, se observa que los arrestos dominan en casi todos los tipos de delito, especialmente en ciberextorsión (22) y hacking (19). Los desmantelamientos están fuertemente vinculados a sitios o mercados de la dark web y a infraestructura de malware. Las sanciones aparecen principalmente ligadas al ciberespionaje y operaciones alineadas con Estados.

¿Quiénes son las instituciones líderes?

Estados Unidos lidera globalmente, participando en casi la mitad de todas las acciones (45%). Alemania, Reino Unido, Rusia, Ucrania, Países Bajos, España y Francia conforman el núcleo de la capacidad de enforcement fuera de EE. UU. La presencia de Rusia y Ucrania es notable, siendo tanto objetivos como ejecutores de operaciones. Las instituciones más mencionadas son el Departamento de Justicia de EE. UU. (DOJ) y el FBI, seguidas de organizaciones privadas. La OFAC (Oficina de Control de Activos Extranjeros) ilustra la integración de instrumentos financieros y políticos. Setenta y cuatro entidades privadas distintas apoyaron operaciones, señalando la importancia de la colaboración público-privada.

Tipologías de cibercrimen según grupos de edad

De los 193 infractores con datos de edad verificados, el grupo de 35 a 44 años representa el 37%, seguido del de 25 a 34 años (30%) y el de 18 a 24 años (21%). Los jóvenes adultos (18-24) se inclinan por actividades técnicas como hacking (30%), venta de datos robados y ataques DDoS (10% cada uno). En el grupo de 25 a 34 años, predominan la venta de datos robados (21%), ciberextorsión (14%) y malware (12%). En el grupo de 35 a 44 años, la ciberextorsión (22%) es dominante, seguida de malware (19%), ciberespionaje (13%), hacking (10%) y lavado de dinero (7%).

Nacionalidad de los infractores

Se reveló la nacionalidad en 365 casos, con 64 nacionalidades distintas. Los rusos dominan con 85 individuos (23%), seguidos de estadounidenses (11%), chinos (11%), ucranianos (9%) y norcoreanos (5%). Estas cinco nacionalidades suman el 58% de los casos. La alta representación estadounidense puede deberse a un sesgo de reporte. La presencia de británicos (n=17) indica que las operaciones no se limitan a estados típicamente implicados. Otras nacionalidades incluyen neerlandeses, franceses, alemanes, canadienses, australianos y singapurenses.

Conclusiones principales

Los hallazgos ofrecen una doble perspectiva: sobre los infractores y sobre las fuerzas del orden. La mayoría de los infractores son hombres de 25 a 44 años, con tipos de delito que varían según la edad: los más jóvenes se centran en hacking y DDoS, mientras que los mayores en extorsión, malware y ciberespionaje. La nacionalidad rusa es la más frecuente. Las acciones policiales (418 entre 2021 y mediados de 2025) muestran una respuesta global diversificada, con el DOJ y el FBI a la cabeza, junto con agencias europeas como Europol y la BKA alemana. La participación de Ucrania, Rusia, Australia, Singapur, Japón y Nigeria refleja un enforcement verdaderamente internacional. Setenta y cuatro empresas privadas apoyaron operaciones, evidenciando que las alianzas público-privadas son esenciales.