Entre bastidores de la aplicación de la ley en el ámbito de la ciberseguridad: ¿qué sabemos sobre los ciberdelincuentes capturados? ¿Qué los llevó a entrar, de dónde vienen y cuál era su función en el panorama delictivo?

Introducción: Una visión sobre la lucha dispersa contra la ciberdelincuencia

La creciente sofisticación y diversificación de la ciberdelincuencia han obligado a los organismos encargados de hacer cumplir la ley de todo el mundo a responder mediante acciones cada vez más coordinadas y publicitadas. Sin embargo, a pesar de la visibilidad de estas operaciones, hasta donde sabemos, aún no existe una visión global sobre cómo las fuerzas del orden abordan la ciberdelincuencia a nivel mundial. La información disponible públicamente está dispersa entre agencias y jurisdicciones y se informa sobre casos específicos (por ejemplo, «Operation Endgame») [1] , y formatos de denuncia, que ofrecen una visión fragmentada en lugar de una comprensión coherente de los tipos de delitos a los que se dirige, las medidas que se toman y quiénes son los infractores. Esto se traduce en visiones aisladas en lugar de en una imagen global coherente. Por lo tanto, no existe ningún resumen a disposición del público del que tengamos conocimiento que agrupe sistemáticamente información sobre las medidas de aplicación de la ley.

Para abordar esta brecha, este análisis presenta un conjunto de datos construido sistemáticamente de 418 actividades de aplicación de la ley anunciadas públicamente realizadas entre 2021 y mediados de 2025. Los datos fueron recopilados por los equipos de inteligencia de Orange Cyberdefense, que supervisan y evalúan continuamente las ciberamenazas para identificar las tendencias emergentes y la evolución de los ciberincidentes.

En nuestro conjunto de datos, cada entrada representa una acción policial verificada recopilada a partir de anuncios oficiales e informes de prensa, y luego enriquecida manualmente por el equipo del Centro de Investigación de Seguridad de Ciberdefensa de Orange mediante referencias cruzadas de cada entrada para incluir detalles contextuales y demográficos cuando estén disponibles.

Un enfoque central radica en el tipo de medidas de aplicación de la ley adoptadas, como arrestos, extradiciones, retiros de plataformas ilícitas, incautaciones o sanciones. El tipo de actividad ilícita también se documentó indicando a qué tipo de actividad se refería la medida policial, por ejemplo, el hackeo, el ataque de denegación de servicio distribuido (DDoS), el fraude a trabajadores de TI o la ciberextorsión, y luego se tradujo en el acto delictivo real de dichos ataques.

¿Qué actos delictivos se abordaron?

Este gráfico muestra los 10 principales actos delictivos abordados con mayor frecuencia por las fuerzas del orden en operaciones denunciadas públicamente.

Los datos revelan que la extorsión (incluido el ransomware) es el acto delictivo más abordado, seguido de cerca por la instalación o distribución de software malintencionado (malware) y el acceso o intrusión no autorizados (piratería). Juntas, estas tres categorías dominan el panorama e ilustran que las fuerzas del orden siguen centrándose en las operaciones de ciberextorsión y en las intrusiones técnicas que las posibilitan.

Otros actos delictivos destacados, como el acceso no autorizado con fines de espionaje (ciberespionaje), el suministro de infraestructura delictiva (mercados en la web oscura, sitios o servicios de infraestructura y alojamiento) y la adquisición engañosa de activos financieros (fraude), sugieren que las autoridades también están atacando a quienes posibilitan y facilitan la ciberdelincuencia. Si bien son menos frecuentes, delitos como el tráfico de datos e información (venta de bienes robados (datos), el uso de criptomonedas para ocultar o facilitar la delincuencia (uso indebido de criptomonedas) y la ocultación del producto del delito a través de las TIC (lavado de dinero) reflejan la creciente atención de las fuerzas del orden a las transacciones financieras y los mecanismos de lavado que sustentan las operaciones cibernéticas.

Security Navigator 2026 ya está aquí: descárguelo ahora

El recién lanzado Navegador de seguridad 2026 ofrece información crítica sobre las amenazas digitales actuales y documenta 139 373 incidentes y 19 053 infracciones confirmadas. Más que un simple informe, sirve como guía para navegar por un panorama digital más seguro.

¿Qué hay dentro?

  • 📈 Análisis en profundidad: estadísticas de CyberSOC, análisis de vulnerabilidades, Pentesting, CERT, Cy-X y observaciones de ransomware de la vigilancia de la Dark Net.
  • 🔮 Preparado para el futuro: equípese con predicciones de seguridad e historias sobre el terreno.
  • 🧠 Historias de profesionales de la seguridad de todo el mundo.
  • 👁️ Inmersiones en materia de seguridad: reciba información sobre las tendencias emergentes relacionadas con la IA generativa, la tecnología operativa y la criptografía poscuántica.

Manténgase un paso adelante en ciberseguridad. ¡Tu guía esencial te espera!

🔗 Obtenga su copia ahora

Si bien las ganancias financieras siguen siendo un factor central de los delitos cibernéticos [2,3,4] , las líneas entre las motivaciones se han vuelto cada vez más borrosas y, en algunos casos, han cambiado en respuesta a los acontecimientos geopolíticos, como hemos estado informando continuamente en los últimos dos años [5,6] . Las actividades inicialmente enmarcadas como motivadas financieramente pueden adquirir rápidamente dimensiones políticas o ideológicas. Estos límites inciertos ilustran cómo los motivos financieros, políticos y cognitivos coexisten cada vez más, desafiando las distinciones tradicionales entre la ciberactividad delictiva e ideológica.

¿Qué medidas tomaron las fuerzas del orden?

Los arrestos representan la mayor parte (29%) de las acciones de aplicación de la ley, lo que ilustra el enfoque continuo de las fuerzas del orden en la responsabilidad individual y el enjuiciamiento. Las detenciones (17%) y los cargos (14%) indican que se hace mucho hincapié en desbaratar las redes operativas y llevar a los infractores ante la justicia, y en conjunto representan casi un tercio de todas las actividades. Las medidas complementarias, como las sentencias (11%), las sanciones (7%) y las incautaciones (4%), muestran que la aplicación de la ley está abordando tanto a los actores delictivos como a la infraestructura económica que sustenta sus actividades. En concreto, las sanciones han registrado un aumento constante en los últimos años y reflejan un uso creciente de mecanismos de aplicación no tradicionales para incluir herramientas económicas y diplomáticas en el arsenal policial.

Acciones como las investigaciones, las notificaciones de búsqueda y las extradiciones demuestran la cooperación transfronteriza y la profundidad procesal detrás de cada esfuerzo de ejecución publicitado. Las notificaciones de búsqueda y captura representan una medida coercitiva de ejecución no coercitiva que se centra en la identificación pública y la persecución. Reducen la brecha entre la investigación y la detención al facilitar la coordinación transfronteriza y mantener la presión sobre los sospechosos. Mediante la atribución pública, también cumplen una función disuasoria, ya que demuestran la capacidad y el alcance de las fuerzas del orden incluso cuando la detención directa no es posible de inmediato.

Si combinamos los datos que muestran el tipo de actividad ilícita abordada con el tipo de acción policial, podemos ver que los arrestos predominan en casi todos los tipos de delitos, en particular la extorsión cibernética (22) y la piratería informática (19).

Los cargos y las sentencias son las siguientes respuestas más frecuentes, lo que demuestra que muchos casos avanzan en el proceso judicial. La ciberextorsión, el malware, la piratería informática y el ciberespionaje suscitan la más diversa gama de respuestas (incluidos arrestos, cargos, sentencias y sanciones).

Las eliminaciones están fuertemente vinculadas con los sitios o mercados de la Dark Web. [7,8,9] e infraestructura de malware [10, 11, 12] lo que tiene sentido dada la lógica operativa que subyace a tales acciones. Estas operaciones suelen implicar el desmantelamiento coordinado de la infraestructura en línea, como los servidores, los dominios o las plataformas de comunicación que permiten la actividad delictiva. En el caso de los mercados de la Dark Web, las eliminaciones suelen incluir la incautación de servidores, la detención de los administradores y la sustitución de las páginas de destino de los sitios web por anuncios de las fuerzas del orden público, lo que indica control y disuasión. Las sanciones parecen estar vinculadas principalmente al ciberespionaje y a las operaciones alineadas con los estados, y reflejan acciones a nivel gubernamental más que dirigidas a individuos.

¿Cuáles son las instituciones líderes en la aplicación de la ley?

El liderazgo mundial de los Estados Unidos en la aplicación de la ley cibernética se demuestra al figurar como el principal participante en casi la mitad de todas las acciones (45%).

El segundo grupo, a saber, Alemania, el Reino Unido, Rusia, Ucrania, los Países Bajos, España y Francia, representa el núcleo de la capacidad mundial de aplicación de la ley cibernética fuera de los EE. UU. La participación activa de los estados miembros de la UE en las operaciones facilitadas por Europol y Eurojust demuestra el énfasis de la Unión en un enfoque de aplicación conjunta y transfronteriza.

Cabe destacar la presencia de Rusia y Ucrania cerca de los primeros puestos de esta lista. Estos Estados suelen ser objeto de acciones policiales a nivel mundial, pero también llevan a cabo sus propios procesos nacionales y operaciones de lucha contra la ciberdelincuencia, que a menudo involucran casos políticamente delicados. Las entradas como Países internacionales y europeos reflejan el papel de los grupos de trabajo multinacionales en los que se comparte la atribución de liderazgo. Estas incluyen las eliminaciones coordinadas por Europol, las operaciones de la Interpol y las colaboraciones de Five Eyes. En algunos casos, los anuncios de las fuerzas del orden no entraban en detalles y solo describían estas acciones multinacionales emprendidas por naciones europeas o internacionales; cuando los países figuraban en la lista por sí solos, se documentaban como tales en nuestros datos.

La distribución de las autoridades nacionales participantes refleja naturalmente los mismos patrones geográficos observados en el análisis a nivel de país.

Un estudio de las 20 principales instituciones involucradas en las acciones policiales denunciadas destaca el claro dominio de las agencias estadounidenses. El Departamento de Justicia (DOJ) de los Estados Unidos y la Oficina Federal de Investigaciones (FBI) lideran por un amplio margen, seguidos por las organizaciones privadas, que aparecen como uno de los principales actores de apoyo en las iniciativas para acabar con la ciberdelincuencia. La presencia de la OFAC [13] ilustra además la integración de los instrumentos financieros y políticos en las respuestas a la ciberdelincuencia.

La fuerte representación de las organizaciones privadas entre las entidades de apoyo es particularmente destacable. En este conjunto de datos, las organizaciones privadas se encuentran entre los tres participantes más mencionados. En las 169 instituciones analizadas, se identificaron 74 entidades privadas distintas que apoyaban los esfuerzos de una forma u otra. Este es un indicador importante de la creciente escala de la colaboración público-privada, que ilustra su creciente importancia en la lucha contra la ciberdelincuencia.

Tipologías de ciberdelincuencia en general y en todos los grupos de edad

La distribución entre los actores que participan en actividades de ciberdelincuencia por grupo de edad revela una variación notable en los tipos de delitos a lo largo de la vida.

Cabe destacar que algunos grupos de edad están representados por muy pocos casos, lo que limita la posible interpretación. En nuestro conjunto de datos (n = 193 delincuentes con datos de edad verificados), el grupo de edad de 35 a 44 años representa el 37%, seguido de los de 25 a 34 años (30%) y de 18 a 24 años (21%), que en conjunto representan casi el 90% de todos los delincuentes identificados. Por el contrario, los grupos de jóvenes (12 a 17 años) y mayores (55 años o más) representan menos del 5% de los casos cada uno, lo que hace que el análisis estadístico de esas categorías sea menos significativo. Especialmente en el caso de los jóvenes de 12 a 17 años o menos, cabe destacar que es probable que los delincuentes más jóvenes estén infrarrepresentados, ya que los marcos jurídicos nacionales suelen proteger a los menores de ser procesados y revelarlos públicamente, lo que limita su visibilidad en las denuncias policiales.

En consecuencia, nos centraremos principalmente en los tres rangos de edad principales (18 a 24, 25 a 34 y 35 a 44 años), donde la representación de los delincuentes es más sólida.

Entre los adultos jóvenes (de 18 a 24 años), la ciberdelincuencia parece muy diversa pero predominantemente orientada a la técnica. La piratería domina claramente este grupo (30%), seguida de la venta de bienes robados (datos) y los ataques DDoS (un 10% cada uno), actividades que a menudo se basan en habilidades técnicas y pueden tener fines exploratorios o de reputación más que para obtener beneficios económicos inmediatos. Un grupo secundario de delitos (malware, fraude, fraude en las telecomunicaciones, actividad en el mercado de la dark web y ciberextorsión (un 8% cada uno) ilustra la naturaleza experimental y multifacética de la participación de este grupo de edad en la ciberdelincuencia.

Se hace evidente un cambio entre los delincuentes de entre 25 y 34 años, donde predominan actividades como la venta de bienes robados (datos) (21%), la extorsión cibernética (14%) y el despliegue de malware (12%). Esto puede indicar que los actores de esta edad están optando por actividades con ánimo de lucro.

La tendencia se intensifica con la cohorte de 35 a 44 años, que es el grupo más grande de este conjunto de datos que muestra la mayor diversidad de tipos. Dentro de este grupo, la ciberextorsión (22%) es el delito dominante, seguido del malware (19%), el ciberespionaje (13%), la piratería informática (10%) y el blanqueo de dinero (7%). En conjunto, estas categorías representan la gran mayoría de las actividades perpetradas por este grupo de edad, lo que podría indicar que se está centrando la atención en acciones de alto impacto y significativas desde el punto de vista financiero y político.

Nacionalidad

La nacionalidad del delincuente se reveló en 365 casos. El conjunto de datos contiene delincuentes de 64 nacionalidades distintas, lo que sugiere una amplia distribución geográfica y cultural. Si bien la nacionalidad puede proporcionar información valiosa sobre el contexto geográfico y sociopolítico de los delincuentes, solo ofrece una visión parcial en un panorama digital interconectado.

Dada la naturaleza transnacional de Internet y las identidades complejas y fluidas de los actores que operan en todas las jurisdicciones, la nacionalidad por sí sola no puede describir de manera confiable el verdadero origen o la alineación de los operadores cibernéticos.

La distribución está muy sesgada hacia un pequeño número de países. Los ciudadanos rusos dominan el conjunto de datos, con 85 personas (el 23%), seguidos de los delincuentes estadounidenses (el 11%), los chinos (el 11%), los ucranianos (el 9%) y los norcoreanos (el 5%). En conjunto, estas cinco nacionalidades representan más de la mitad de todos los casos (58%). Cabe destacar que una explicación del número relativamente elevado de delincuentes estadounidenses podría explicarse por el sesgo jurisdiccional y de denuncia: las autoridades estadounidenses llevan a cabo y divulgan públicamente muchos más procesos por delitos informáticos que en la mayoría de los demás países, lo que hace que los casos estadounidenses sean más visibles en los datos abiertos.

Los delincuentes de nacionalidad británica (n = 17) también representan una proporción notable de contribuyentes. La participación de las naciones occidentales demuestra dos cosas: los esfuerzos continuos y la transparencia que ofrecen y, al mismo tiempo, que las operaciones cibernéticas y los delitos relacionados no se limitan a los estados que suelen estar implicados en actividades ciberdelictivas. Una explicación podría ser que, como se señala en un artículo reciente, podríamos estar viendo una tendencia hacia la adopción de amenazas más autóctonas con sede en Europa, el Reino Unido y Norteamérica y, por lo tanto, de habla inglesa [14] .

Además de los cinco principales, los delincuentes representan a muchas otras nacionalidades: holandeses, franceses, alemanes, canadienses, australianos, singapurenses y más. Sin embargo, debemos tener en cuenta que una representación numérica más baja no corresponde necesariamente a niveles más bajos de actividad, sino que puede reflejar diferencias en la detección, la exposición o la atribución.

Conclusiones clave

En conjunto, los hallazgos ofrecen una doble perspectiva sobre la lucha contra la ciberdelincuencia que examina tanto a los delincuentes como a los actores encargados de hacer cumplir la ley que trabajan para combatirlos.

Por el lado del infractor, los datos destacan las asimetrías persistentes. La abrumadora mayoría de los delincuentes identificados son hombres, lo que refleja las tendencias ampliamente observadas en la investigación de la ciberdelincuencia. Los datos sobre edades indican que los delitos cibernéticos se concentran en adultos de entre 20 y 40 años, con comparativamente pocos casos que involucran a personas jóvenes o mayores. Los tipos de delitos varían según estos rangos de edad: los delincuentes más jóvenes solían participar en actividades técnicas y exploratorias, como la piratería informática y los ataques DDoS, mientras que los grupos de más edad participaban con mayor frecuencia en operaciones complejas o con fines de lucro, como la extorsión cibernética, el robo de datos y el despliegue de malware.

Los datos de nacionalidad muestran una fuerte concentración en unos pocos grupos, y los ciudadanos rusos por sí solos representan casi una cuarta parte de los casos. Si bien la nacionalidad no puede describir completamente los orígenes de la ciberdelincuencia en un espacio digital interconectado, proporciona información útil sobre los contextos sociopolíticos y regionales en los que operan los delincuentes. Los tipos de delitos que se persiguen con más frecuencia, como los delitos financieros motivados por la ciberdelincuencia, la extorsión y el ransomware, y el acceso no autorizado, sugieren que la mayoría de las actividades ciberdelictivas siguen teniendo una motivación principalmente financiera.

El análisis de 418 acciones policiales denunciadas públicamente (2021 a mediados de 2025) muestra una respuesta policial global cada vez más activa y diversificada. El Departamento de Justicia y el FBI de los Estados Unidos son los más visibles, junto con las principales agencias europeas, como Europol, la BKA de Alemania y las autoridades de los Países Bajos y Francia. La participación de Ucrania, Rusia, Australia, Singapur, Japón y Nigeria ilustra cómo la aplicación de la ley se ha vuelto verdaderamente internacional. Las organizaciones privadas también desempeñan un papel fundamental: setenta y cuatro empresas privadas apoyaron las operaciones de alguna manera, lo que demuestra que las asociaciones entre los sectores público y privado son ahora esenciales para las iniciativas de disrupción en curso.

Este es solo un extracto de la cobertura sobre temas actuales de ciberseguridad. Para leer la historia completa y artículos detallados sobre el uso y abuso de la IA generativa, la criptografía poscuántica, la gestión de vulnerabilidades y la ciberextorsión, así como las estadísticas y predicciones de seguridad del CyberSOC, ¡no te pierdas el Security Navigator 2026! Dirígete al página de descarga y consigue una copia.

Nota: Este artículo fue escrito y contribuido de manera experta por Diana Selck-Paulsson, investigadora sénior de seguridad de Orange Cyberdefense.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.