En un importante golpe contra el cibercrimen, el FBI en Dallas confiscó cerca de 20 Bitcoins (valorados actualmente en más de 2,3 millones de dólares) vinculados a un miembro del grupo de ransomware Chaos. La criptomoneda estaba relacionada con ataques de extorsión a empresas en Texas.
La incautación tuvo lugar el 15 de abril de 2025, cuando los investigadores lograron rastrear los fondos hasta una billetera de criptomonedas conectada a un afiliado conocido como “Hors”, quien presuntamente participó en múltiples ataques de ransomware en el norte de Texas y más allá.
Según el comunicado oficial del FBI, los 20,2891382 BTC fueron identificados como pagos de rescate recibidos por "Hors" tras infectar sistemas corporativos y exigir dinero a cambio de devolver el acceso a los archivos.
“Los fondos incautados estaban en una dirección de criptomonedas vinculada a un miembro del grupo de ransomware Chaos, apodado 'Hors', y se asociaron a ataques aquí en el Distrito Norte de Texas”, explicó el FBI en su anuncio.
La dirección implicada fue:bc1q5d8af0crjhlnepjq08muhh55899rf2ktye3sxd
Este caso marca un avance importante en el esfuerzo por frenar el uso de criptomonedas en delitos cibernéticos, demostrando que, a pesar del anonimato que muchos creen que ofrecen las criptos, las autoridades pueden seguir el rastro (y recuperar los fondos) si cuentan con la tecnología y cooperación adecuada.
El Departamento de Justicia de Estados Unidos (DOJ) presentó el pasado 24 de julio de 2025 una demanda civil para confiscar oficialmente los más de $2,4 millones en Bitcoin que el FBI incautó recientemente a un presunto operador del grupo de ransomware Chaos.
Esta demanda es parte de un proceso llamado decomiso civil, que permite al gobierno tomar posesión permanente de bienes (como criptomonedas) cuando se cree que están relacionados con actividades criminales. En este caso, se trata del dinero proveniente de ataques de ransomware, una forma de ciberextorsión que ha causado estragos a empresas de todo el país.
Podría interesarte leer: Malware Lumma Infostealer Regresa Después de la Interrupción Policial
Aunque el nombre "Chaos" puede sonar familiar, es importante entender que esta nueva operación no tiene relación con la variante de ransomware de bajo nivel del mismo nombre que circulaba desde 2021. La nueva banda de ransomware Chaos es una reinvención más sofisticada, y según los investigadores, parece ser un cambio de nombre (rebranding) del grupo BlackSuit.
Yendo más atrás en la cadena, BlackSuit es también una evolución del grupo Royal (Quantum), el cual a su vez nació de los restos de la notoria pandilla de ransomware Conti, que se disolvió en 2022 tras una filtración masiva de datos internos.
Para ponerlo en perspectiva, aquí está el árbol genealógico del grupo:
Conti – Cerró en junio de 2022 tras una filtración interna.
De Conti surgieron varias nuevas bandas, entre ellas:
Royal (también conocido como Quantum) – Lanzado en enero de 2023.
Royal fue evolucionando y, tras presiones legales, adoptó el nombre BlackSuit en junio de 2023.
Ahora, Chaos sería el siguiente paso, con herramientas y tácticas muy similares a BlackSuit.
Los investigadores de Cisco Talos afirman que Chaos es virtualmente idéntico a BlackSuit en varios aspectos técnicos: desde el cifrado que usan, hasta el diseño de la nota de rescate y las herramientas con las que atacan.
Uno de los puntos más interesantes del caso es el papel de un actor identificado como “Hors”, a quien se le atribuye la recepción de los Bitcoins incautados. Si bien el Departamento de Justicia y el FBI no han aclarado a qué subgrupo de Chaos pertenece Hors, el medio especializado BleepingComputer confirmó que los fondos confiscados están relacionados directamente con esta nueva operación de Chaos, no con la vieja versión que circulaba desde 2021.
Curiosamente, esta incautación llega justo después de otro gran golpe: las fuerzas del orden tomaron control de los sitios de extorsión de BlackSuit en la dark web. Muchos expertos creen que esa operación fue clave para descubrir la billetera de criptomonedas donde se almacenaban los fondos de los ataques, incluyendo los de Hors.
Este tipo de acciones refuerzan la idea de que el anonimato en el mundo cripto tiene límites, especialmente cuando las autoridades cuentan con tiempo, tecnología y cooperación internacional.
Conoce más sobre: Operación Jaque Mate Incauta Sitios del Ransomware BlackSuit
Más allá del impacto financiero, este caso refleja varias tendencias clave en el mundo de la ciberseguridad y la lucha contra el ransomware:
Los grupos de ransomware se están reestructurando constantemente, cambiando de nombre y táctica para evadir a las autoridades.
El uso de criptomonedas sigue siendo el método preferido de cobro, pero ya no es tan anónimo como antes.
Las fuerzas del orden están mejorando su capacidad de rastreo y confiscación, incluso en la dark web.
El uso del decomiso civil permite a las autoridades actuar más rápido para congelar activos vinculados al crimen cibernético.
El Departamento de Justicia de EE. UU. quiere quedarse definitivamente con los más de $2,4 millones en Bitcoin incautados a un miembro de la operación ransomware Chaos. Este movimiento es parte de una estrategia más amplia para cortar el financiamiento de bandas cibercriminales que han evolucionado desde Conti hasta Chaos, pasando por Royal y BlackSuit. El caso también demuestra que, aunque los criminales digitales cambien de nombre y apariencia, las autoridades están pisándoles los talones.