Operación Sentinel de INTERPOL desmantela redes de BEC y extorsión digital en África: 574 detenidos y 3 millones de dólares recuperados

Introducción

El cibercrimen organizado continúa intensificando su actividad en el continente africano, con un crecimiento notable de incidentes de compromiso del correo electrónico corporativo (BEC) y extorsión digital. En respuesta a esta tendencia, una operación internacional coordinada por INTERPOL, bajo el nombre de Operación Sentinel, ha conseguido golpear duramente a estas redes. Entre el 27 de octubre y el 27 de noviembre de 2025, las fuerzas de seguridad de 19 países africanos han logrado la detención de 574 individuos y la recuperación de más de 3 millones de dólares, en una de las campañas más ambiciosas y coordinadas contra el cibercrimen en la región.

Contexto del Incidente

África se ha consolidado en los últimos años como uno de los principales vectores de proliferación de delitos cibernéticos, especialmente aquellos asociados a esquemas BEC, fraude financiero, phishing y extorsión digital. Los grupos dedicados a estos ilícitos han aprovechado la falta de infraestructuras de ciberseguridad y la escasa concienciación en muchas organizaciones y usuarios para incrementar su actividad, apuntando tanto a empresas locales como a entidades internacionales con operaciones en el continente. INTERPOL, en colaboración con las autoridades policiales nacionales y organismos de ciberseguridad, lanzó Operación Sentinel como respuesta a este auge, con el objetivo de interrumpir las cadenas de ataque y desmantelar los ecosistemas criminales.

Detalles Técnicos

La Operación Sentinel se centró en tres grandes vectores de ataque: el compromiso del correo electrónico empresarial (BEC), extorsión digital y otras variantes de fraude financiero. Según los datos de INTERPOL, el BEC sigue siendo la principal amenaza, con un crecimiento interanual superior al 25% en la región africana. Los atacantes se valieron de técnicas avanzadas de spear phishing, suplantación de identidad y manipulación de facturas legítimas para redirigir transferencias bancarias a cuentas controladas por los atacantes.

Las TTPs (Tactics, Techniques, and Procedures) identificadas durante la operación se alinean con las técnicas de MITRE ATT&CK tales como:

– Spearphishing Attachment (T1193)
– Valid Accounts (T1078)
– Email Collection (T1114)
– Exfiltration Over C2 Channel (T1041)

Además, se detectaron infraestructuras de comando y control (C2) basadas en dominios dinámicos y servidores proxy en múltiples jurisdicciones. Algunos grupos identificados emplearon frameworks de automatización de ataques como Evilginx2 para el bypass de autenticaciones multifactor (MFA), y herramientas como Metasploit y Cobalt Strike para el movimiento lateral y persistencia en entornos comprometidos.

Entre los indicadores de compromiso (IoC) recopilados se encuentran direcciones IP asociadas a servidores C2, hashes de malware utilizados para el despliegue de troyanos bancarios (principalmente variantes de AgentTesla y Lokibot) y dominios fraudulentos para la exfiltración de credenciales.

Impacto y Riesgos

La magnitud del operativo refleja la gravedad y extensión del problema: 574 detenidos, 3 millones de dólares interceptados y cientos de dispositivos incautados. Las organizaciones víctimas, especialmente pymes y entidades multinacionales con operaciones en África, han reportado pérdidas de hasta el 8% de sus ingresos anuales derivados de fraudes BEC. El riesgo para las empresas abarca desde la pérdida directa de capital hasta filtraciones de información confidencial, posibles sanciones regulatorias bajo el GDPR y la inminente aplicación de la directiva NIS2 para sectores críticos.

Las redes desarticuladas poseían la capacidad de atacar simultáneamente a múltiples objetivos en diferentes jurisdicciones, dificultando la trazabilidad y respuesta. Se observa, además, una sofisticación creciente en los modelos de fraude, que incluyen la utilización de inteligencia artificial generativa para la creación de correos phishing y deepfakes para suplantar la identidad de directivos.

Medidas de Mitigación y Recomendaciones

Las principales recomendaciones para mitigar riesgos asociados a BEC y extorsión digital pasan por:

– Implementación obligatoria de autenticación multifactor (MFA) y políticas de acceso mínimo.
– Formación continua de empleados en detección de correos fraudulentos y técnicas de ingeniería social.
– Monitorización proactiva de transacciones mediante SIEM y correlación de eventos sospechosos.
– Uso de DMARC, DKIM y SPF en la protección de dominios de correo electrónico.
– Colaboración con CERTs y organismos policiales para el intercambio de IoC y la respuesta a incidentes.
– Evaluación regular de la exposición de credenciales en foros y dark web.

Opinión de Expertos

Analistas de ciberinteligencia y responsables de seguridad consultados destacan el valor de la cooperación internacional y el intercambio de inteligencia para desarticular redes transfronterizas. Según Marta López, CISO de una multinacional del sector financiero: “La operación Sentinel confirma que el BEC no es un problema local, sino global. La coordinación entre equipos SOC, fuerzas policiales y organismos internacionales es clave para anticipar y neutralizar estas amenazas.”

Implicaciones para Empresas y Usuarios

Para las empresas que operan en África o mantienen relaciones comerciales en la región, el riesgo de convertirse en víctima de BEC y extorsión digital sigue siendo elevado. Es crucial reforzar la resiliencia cibernética y adaptar los protocolos de verificación de pagos, especialmente ante solicitudes de cambio de cuentas bancarias o transferencias internacionales. Los usuarios individuales, por su parte, deben extremar la precaución ante correos inesperados y asegurar la robustez de sus credenciales.

Conclusiones

La Operación Sentinel marca un hito en la lucha contra el cibercrimen en África, pero también pone de manifiesto la necesidad de mantener una vigilancia constante y mejorar la cooperación internacional. La sofisticación de las amenazas y la capacidad de adaptación de los actores maliciosos exigen a las empresas y equipos de seguridad una actualización continua de sus defensas y protocolos de respuesta.

(Fuente: feeds.feedburner.com)