Desmantelado ‘AudiA6’, el mayor lavadero cripto de confianza para bandas de ransomware
- Seguridad
La plataforma, que operaba a escala industrial mediante miles de cuentas fraudulentas, había sido utilizada por grupos de ransomware para lavar más de 336 millones de euros entre 2022 y 2025. Europol vincula este servicio criminal con más de 15 investigaciones globales sobre ciberataques y robos masivos de criptoactivos.
Una investigación conjunta liderada por el Servicio Secreto de EE.?UU., el IRS-CI y la Policía polaca, con apoyo de Europol y Eurojust, ha permitido desmantelar ‘AudiA6’, uno de los servicios de lavado de criptomonedas más utilizados por redes de ransomware y ciberdelincuencia. Los responsables de ‘AudiA6’ también administraban el foro criminal ‘Dark2Web’, un mercado clandestino donde se anunciaban servicios ilícitos y se conectaba a actores de cibercrimen de todo el mundo.
Durante la jornada operativa del 10 de junio, las autoridades arrestaron a dos administradores de nacionalidad ucraniana y rusa, registraron tres propiedades, incautaron más de 30 servidores y bloquearon 25 dominios vinculados al servicio. Además, se confiscaron más de 80 vehículos, múltiples propiedades y se congelaron 692.000 euros en criptomonedas, junto con otros 86.000 euros adicionales.
Un servicio profesionalizado para “limpiar” criptomonedas robadas
Según los investigadores, la plataforma se había convertido en un centro neurálgico para criminales que buscaban ocultar el rastro del dinero robado, llegando a blanquear más de 336 millones de euros en solo tres años.
La investigación reveló un servicio de mezcla de criptomonedas a escala industrial, basado en miles de cuentas fraudulentas creadas con identidades robadas o compradas. Los clientes enviaban criptomonedas robadas y recibían fondos “limpios” en aproximadamente una hora, tras pasar por una compleja cadena de transacciones diseñada para ocultar su origen. El servicio cobraba comisiones de entre el 3% y el 10%.
Europol identificó más de 6.000 registros KYC vinculados a cuentas mula utilizadas para mover los fondos, muchas de ellas gestionadas por intermediarios de habla rusa. Para registrar estas cuentas, los operadores empleaban tanto proveedores de correo comerciales como dominios propios, ahora publicados para ayudar a los exchanges a bloquearlas
Europol alerta del auge del lavado cripto como servicio
El caso confirma una tendencia destacada en el informe IOCTA 2026: la profesionalización del lavado de criptomonedas como servicio esencial para la economía del cibercrimen.
Los grupos de ransomware recurren cada vez más a técnicas como el chain-hopping, los exchanges descentralizados y los mixer-as-a-service para mover fondos ilícitos entre múltiples blockchains en cuestión de minutos.
Europol y el J-CAT apoyaron la operación con análisis de flujos financieros, trazado de infraestructuras y coordinación internacional durante los arrestos y las incautaciones simultáneas.
