Casos

Contexto

Un jubilado italiano de 65 años, residente en Piemonte, fue contactado a través de un grupo de WhatsApp y dirigido hacia lo que se le presentaba como una plataforma de "arbitraje cripto" con base en Hong Kong. A lo largo de seis meses realizó catorce depósitos en USDT-TRC20 a una única dirección on-chain, por un total de 340.000 €. La interfaz mostraba beneficios crecientes, un gestor de cuenta dedicado e incluso un pequeño "retiro de prueba" efectivamente pagado para generar confianza. Cuando los retiros mayores empezaron a ser bloqueados tras crecientes demandas de "impuestos" y "prepagos de compliance", comprendió que había sido objeto de una operación de pig-butchering.

Nos contactó 52 días después del último depósito — tarde respecto al escenario ideal, pero antes de que la cadena de cashout se hubiera completado.

El reto

Al abrir el expediente los fondos ya habían transitado por tres saltos de wallet y habían llegado a un cluster de depósito en un exchange asiático de Tier-2. El operador de la estafa había iniciado el off-ramp hacia fiat pero no lo había concluido: una parte del saldo seguía en la plataforma. Cada semana adicional suponía una fracción mayor del saldo dispersa en cobros bancarios irrecuperables.

Nuestro enfoque

1. Rastreo on-chain con Chainalysis Reactor y TRM Labs para reconstruir el patrón completo de los 14 depósitos e identificar el cluster receptor en el exchange.
2. Correlación de los tiempos de cashout con una plantilla pig-butchering ya conocida en nuestra base de datos interna — el análisis reveló dos wallets recurrentes en más de cuarenta informes de víctimas que habíamos cruzado.
3. Consolidación de las evidencias en un único dossier multi-víctima y presentación formal ante la fiscalía italiana competente, con solicitud paralela de compliance al exchange.
4. Freeze preventivo por vía de compliance en el exchange sobre la base del dossier, antes de que existiera una orden judicial formal.
5. Acción civil paralela para obtener la orden judicial de liberación que el exchange exigía para devolver los fondos.

Resultado

187.000 € recuperados — el 55 % del capital — catorce meses después de la apertura del caso. La cantidad restante ya había sido dispersa en cobros fiat a través de múltiples relaciones bancarias menores antes del freeze, y quedó formalmente documentada como no recuperable en nuestro informe de cierre.

Lo que marcó la diferencia: el cliente llegó a tiempo como para que el análisis de clusters todavía tuviera palanca. Si nos hubiera contactado seis meses después, la cadena de cashout se habría completado y el mismo expediente habría producido un resultado de cero. El tiempo es el ingrediente más caro en el trabajo de recuperación.

---

Contexto

Un divorcio contencioso ante el Tribunale Civile di Milano. Los abogados de la esposa sospechaban que el marido había transferido activos significativos del patrimonio conyugal a criptomonedas durante los dieciocho meses previos a la presentación de la demanda, pero los extractos bancarios italianos solo mostraban movimientos familiares ordinarios. El marido, bajo juramento, negaba tener criptoactivos.

Los tribunales civiles italianos disponen de mecanismos propios limitados para descubrir patrimonios off-shore o en self-custody. Sin un enfoque forense específico, la cartera oculta habría permanecido invisible para el procedimiento.

El reto

Debíamos construir una tesis persuasiva ante un tribunal no técnico, con evidencias que soportaran el contrainterrogatorio del perito contrario. Eso significaba: (1) obtener registros admisibles de los exchanges italianos correctos, (2) establecer un vínculo defendible entre esos registros y un wallet on-chain, (3) redactar un informe que un juez civil pudiera leer, entender y adoptar.

Nuestro enfoque

1. Asunción del encargo como CTP (perito de parte) para la defensa de la esposa.
2. Redacción, a través del letrado, de solicitudes para requerir por orden judicial los registros de los tres exchanges italianos más probablemente utilizados por el marido: Young Platform, The Rock Trading y Coinbase Italy. Los registros devueltos mostraron aproximadamente 95.000 € en depósitos recientes.
3. Identificación de ocho direcciones de retiro atribuibles al marido a partir de los registros de los exchanges, y posterior agrupación en un único wallet self-custody mediante heurística de co-spend.
4. Valoración on-chain a la fecha del análisis: 4,2 BTC, 31 ETH y aproximadamente 890.000 USDT — en total, unos 520.000 €.
5. Elaboración de un informe pericial de 47 páginas con glosario integrado, cadena de custodia completa, metodología reproducible y conclusiones debidamente matizadas. Testimonio en tres audiencias, incluyendo una réplica estructurada al perito de la contraparte.

Resultado

El tribunal aceptó íntegramente nuestro análisis. La sentencia ordenó al marido transferir el 50 % de los bienes identificados — alrededor de 260.000 € a la fecha de la transferencia — al patrimonio conyugal. El posterior recurso de apelación fue desestimado.

Lo que decidió el caso: el informe estaba escrito para un juez no técnico. Glosario integrado, diagramas limpios, conclusiones correctamente matizadas. La credibilidad bajo contrainterrogatorio pesó más que cualquier detalle concreto on-chain. Una respuesta correcta que el tribunal no puede entender no es prueba — es ruido.

---

Contexto

Una pyme manufacturera de tamaño medio en Emilia-Romagna fue atacada por una variante de LockBit. Tras once días de intentos fallidos de recuperación y presión por las horas de producción perdidas, el consejero delegado autorizó el pago de un rescate de 1,8 BTC (unos 78.000 € al cambio del momento). Las operaciones se restablecieron. La fiscalía local abrió posteriormente una investigación sobre la cadena de pago, y se nos encargó como consultores técnicos en apoyo del Nucleo Speciale Tutela Economia de la Guardia di Finanza.

El reto

La infraestructura Bitcoin de LockBit emplea patrones agresivos de peel chain y mezcla sistemáticamente las partes de los afiliados a través de CoinJoin. La dirección de recepción del rescate era totalmente nueva, sin errores de OPSEC en el punto de entrada. Por sí solo, el expediente no tenía un asidero evidente.

Nuestro enfoque

1. Seguimiento de la peel chain a lo largo de 23 saltos durante cuatro semanas de análisis manual, con registro de cada división y de cada dirección tocada.
2. Identificación de una transacción Wasabi CoinJoin en la que el flujo del rescate confluía con outputs ya marcados en un caso anterior sobre un afiliado, presente en nuestro conjunto de datos interno.
3. Aplicación de análisis de intersección entre ambos flujos para aislar dos direcciones de output como candidatos plausibles a la cuota del afiliado.
4. Uno de los dos candidatos consolidó posteriormente con una dirección ya marcada en HTX — la firma que estábamos esperando.
5. Solicitud de compliance por canales MLAT, formalmente canalizada por la Guardia di Finanza, llevó a HTX a congelar 0,84 BTC a la espera de resolución judicial.

Resultado

0,84 BTC congelados en HTX (unos 36.000 € a la fecha del freeze), actualmente pendientes de liberación judicial a favor de la pyme víctima. Más allá del caso concreto, el análisis aportó tres nuevos clusters de wallets de afiliados a la inteligencia conjunta europea sobre ransomware.

Lo que decidió el caso: CoinJoin se suponía que era el final del rastro. No lo fue — porque un caso separado ya había fijado el patrón de consolidación de aquel afiliado. La investigación es acumulativa. Cada expediente alimenta al siguiente; el valor de un conjunto de datos interno se mide en meses, no en transacciones.