Las autoridades de seguridad estadounidenses y europeas anunciaron una operación generalizada contra la infraestructura cibernética que permitía a los hackers ocultar su identidad en fraudes en línea. Las autoridades informaron el jueves que habían interrumpido el funcionamiento del servicio SocksEscort, que según los investigadores se utilizaba en fraudes financieros, incluida la toma de control de cuentas de criptomonedas.
La operación afectó una red extensa de dispositivos en todo el mundo. Los investigadores también confiscaron docenas de dominios, desactivaron servidores en varios países y congelaron millones de dólares en criptomonedas asociadas a la operación.
Contenido del artículo:
La red infectó cientos de miles de dispositivos
Según el Departamento de Justicia de Estados Unidos (DOJ), la plataforma SocksEscort funcionaba como un servicio proxy que permitía a los criminales enmascarar su verdadera dirección de Internet. Esto les permitía realizar operaciones fraudulentas sin que fuera fácil rastrear su verdadera identidad.
Los investigadores indican que el servicio comprometió al menos 369.000 routers y otros dispositivos conectados a Internet en 163 países. Los dispositivos infectados fueron posteriormente utilizados como intermediarios a través de los cuales los atacantes dirigían su comunicación y ocultaban su verdadera dirección IP.
Tales infraestructuras se utilizan comúnmente en la ciberdelincuencia, por ejemplo, en ataques de phishing, fraudes bancarios o en la toma de control de cuentas en intercambios de criptomonedas.
Podría interesarle: Los ciberestafadores sobornaron a empleados de X
Los criminales pagaban de forma anónima con criptomonedas
Según Europol, el servicio funcionó desde al menos 2020 y sus operadores obtuvieron ingresos de millones de dólares. Los clientes compraban acceso a la red proxy a través de una plataforma de pago que permitía pagos anónimos en criptomonedas.
Los investigadores estiman que los operadores del servicio obtuvieron al menos cinco millones de euros de los usuarios, aproximadamente 5,7 millones de dólares. En este caso, las criptomonedas sirvieron como medio que permitía financiar la operación de manera relativamente anónima.
La redada policial confiscó dominios y criptomonedas
La investigación internacional resultó en una interrupción significativa de la infraestructura de toda la red. Las autoridades informaron que lograron confiscar 34 dominios de Internet e interrumpir el funcionamiento de aproximadamente dos docenas de servidores en siete países. Simultáneamente, congelaron aproximadamente 3,5 millones de dólares en criptomonedas asociadas a la operación.
Los investigadores también señalan que el servicio se utilizaba en una variedad de fraudes financieros. En uno de los casos citados por los fiscales estadounidenses, una víctima de Nueva York perdió aproximadamente un millón de dólares en criptomonedas.
Lea también: Revisión de Trust Wallet: Controle sus criptomonedas con confianza
El malware AVrecon ayudó a construir la infraestructura
Según The Hacker News, la infraestructura de SocksEscort se construyó sobre malware conocido como AVrecon. Este permitía a los atacantes comprometer dispositivos de Internet e incorporarlos a una extensa red proxy.
El funcionamiento de este malware ya fue descrito anteriormente por el equipo de seguridad Black Lotus Labs de Lumen Technologies, que publicó sus detalles en julio de 2023. Fue Black Lotus Labs quien proporcionó a los investigadores información técnica importante que ayudó a identificar la infraestructura.
La investigación también contó con la participación de la organización sin fines de lucro Shadowserver Foundation, que proporcionó análisis técnicos adicionales e información de inteligencia.
Ciberdelincuencia y criptomonedas
Según expertos en seguridad, el caso de SocksEscort muestra una tendencia más amplia de los últimos años. La ciberdelincuencia se vincula cada vez más frecuentemente con el ecosistema de criptomonedas, que puede servir como herramienta de financiamiento de actividades ilegales gracias a las transacciones digitales.
La directora ejecutiva de Europol, Catherine De Bolle, advirtió en este contexto que los servicios proxy de este tipo proporcionan a los criminales una «cobertura digital» que les permite lanzar ataques, difundir contenido ilegal o evadir la detección.
Sin embargo, también es cierto que la transparencia de la cadena de bloques a menudo permite a los investigadores rastrear el flujo de fondos. Incluso en este caso, fue posible identificar y congelar parte de las criptomonedas asociadas a la operación.
No se lo pierda: MadisonSix
