Dos administradores fueron arrestados en Georgia; se incautaron 80 vehículos, 30 servidores y casi 780.000 euros en cripto
El 10 de junio de 2026, una operación coordinada entre 11 países desmanteló AudiA6, uno de los servicios de lavado de criptomonedas más utilizados por grupos de ransomware en los últimos años. La plataforma procesó más de 336 millones de euros en fondos ilícitos entre 2022 y 2025, convirtiéndose en un hub central para actores de ransomware y cibercriminales que buscaban convertir activos digitales robados en dinero limpio sin dejar rastro.
Europol y Eurojust coordinaron la operación, con participación de agencias de EE.UU., Australia, Canadá, Francia, Alemania, Islandia, Japón, Polonia, Suiza, Reino Unido y Georgia.
¿Cuál era el modelo de negocios?
AudiA6 se publicitaba en foros clandestinos como un servicio profesional de mezcla de criptomonedas que garantizaba anonimato y velocidad. Los clientes transferían cripto robada a billeteras controladas por el grupo y en aproximadamente una hora recibían fondos “limpios” a través de una cadena compleja de transacciones diseñada para ocultar el origen del dinero. Los operadores cobraban comisiones de entre 3% y 10%.
La infraestructura del servicio giraba en torno a más de 6.000 cuentas de exchange abiertas con identidades falsas o compradas (“money mules”). Las cuales servían como capas sucesivas de transacciones para hacer casi imposible rastrear el origen de los fondos. El mismo grupo también administraba Dark2Web, un foro en la dark web donde grupos criminales contrataban servicios ilegales y se conectaban entre sí. La red también tenía vínculos documentados con exchanges rusos sancionados como Bitzlato y Garantex, reforzando su rol como canal de salida para sindicatos cibercriminales de Europa del Este.
Lo que dejó la operación
El 10 de junio, las autoridades arrestaron a dos presuntos administradores de nacionalidades ucraniana y rusa en Georgia, incautaron más de 30 servidores, bajaron 25 dominios, confiscaron 80 vehículos y propiedades, y congelaron aproximadamente 778.000 dólares en criptomonedas. Los sitios de AudiA6 y Dark2Web fueron reemplazados por banners de incautación policial, y las cuentas de Telegram de la red fueron bloqueadas.
Europol también publicó 17 dominios de correo electrónico que el grupo usaba para abrir cuentas fraudulentas en exchanges de todo el mundo, para que las plataformas puedan identificar y bloquear cuentas vinculadas al esquema.
La investigación fue posible gracias al arresto en Polonia en septiembre de 2025 de un ciudadano ucraniano vinculado a AudiA6. El análisis forense de sus dispositivos permitió identificar a los responsables clave y eventualmente localizarlos en Georgia. La Policía Federal de Australia también aportó evidencia clave al vincular a AudiA6 con el lavado de parte de un rescate pagado por una empresa australiana en 2024 tras un ataque de extorsión.
Conclusión
El caso ilustra la industrialización del lavado de criptomonedas como servicio central del ecosistema criminal. Los grupos de ransomware dependen cada vez más de plataformas mixer-as-a-service, exchanges descentralizados y técnicas de chain-hopping para mover fondos ilícitos a través de múltiples blockchains en minutos. Las autoridades advierten que donde hay demanda de lavado, seguirá apareciendo oferta.