INTERPOL desmantela más de 20.000 infraestructuras vinculadas a malware de robo de información

Introducción

En una operación de alcance internacional, INTERPOL ha anunciado la desarticulación de más de 20.000 direcciones IP y dominios maliciosos asociados a 69 variantes distintas de malware orientado al robo de información. Bajo la denominación de “Operation Secure”, la acción conjunta se ejecutó entre enero y abril de 2025, involucrando a cuerpos de seguridad de 26 países. El objetivo: identificar y neutralizar infraestructuras activas empleadas por cibercriminales para distribuir, alojar y monetizar información sustraída a empresas y particulares de todo el mundo. Este movimiento supone un golpe significativo a la economía subterránea del cibercrimen, especialmente en lo relativo al mercado de infostealers.

Contexto del Incidente

La proliferación de malware de robo de información (infostealers) representa una de las amenazas más activas y lucrativas del panorama actual. Estos programas maliciosos, distribuidos principalmente mediante campañas de phishing, malspam, canales de mensajería y foros clandestinos, están diseñados para exfiltrar credenciales, cookies, información bancaria y datos sensibles de terminales comprometidos. Grupos de ciberdelincuentes, operando bajo un modelo de negocio de Malware-as-a-Service (MaaS), han facilitado la expansión global de estas amenazas, permitiendo incluso a actores con limitada capacidad técnica acceder a herramientas avanzadas.

La operación liderada por INTERPOL se focalizó en infraestructuras empleadas para la distribución y control de estas amenazas, así como en servidores de comando y control (C2) y los puntos de almacenamiento de la información robada. La coordinación internacional ha sido clave para mapear redes físicas, identificar responsables y ejecutar la desactivación de recursos críticos.

Detalles Técnicos

Según fuentes de INTERPOL, las más de 20.000 infraestructuras eliminadas estaban relacionadas con 69 familias de infostealers, entre las que se encuentran variantes ampliamente conocidas como RedLine, Raccoon, Vidar, Azorult y FormBook, además de otras menos documentadas pero igualmente activas. La acción ha permitido la detección y desmontaje de servidores C2, paneles de administración web, proxys de anonimización y dominios de entrega de payloads.

De acuerdo con los TTPs (Tactics, Techniques and Procedures) catalogados por el framework MITRE ATT&CK, los vectores de ataque predominantes se corresponden con:

– T1566: Phishing (vía correo electrónico, mensajería instantánea y redes sociales)
– T1059: Execution mediante scripting (PowerShell, Python, JavaScript)
– T1071: Application Layer Protocol (uso de HTTP/S para exfiltración)
– T1005: Data from Local System (robo de credenciales, wallets, cookies, etc.)
– T1027: Obfuscated Files or Information (técnicas de ofuscación y empaquetado de malware)

Las variantes desmanteladas hacían uso de exploits conocidos y se valían de frameworks como Metasploit y Cobalt Strike para el movimiento lateral y persistencia en redes corporativas. Se han identificado indicadores de compromiso (IoC) que incluyen hashes de archivos, direcciones IP, dominios y rutas de exfiltración, actualmente compartidos con CERTs y operadores SOC a nivel internacional.

Impacto y Riesgos

El impacto de la operación es significativo: se estima que, solo en el primer trimestre de 2025, las familias desarticuladas han sido responsables de la exfiltración de millones de credenciales y datos personales, así como de pérdidas económicas que podrían superar los 200 millones de euros a escala global. El desmantelamiento de estas infraestructuras supone una interrupción relevante en la cadena de suministro del cibercrimen, aunque los expertos advierten que los operadores buscarán rápidamente restablecer sus capacidades mediante nuevas infraestructuras y técnicas de evasión.

Entre los riesgos principales destacan la posibilidad de ataques de relleno de credenciales (credential stuffing), fraude financiero, secuestro de cuentas corporativas, compromiso de activos críticos y daños reputacionales, especialmente en sectores regulados por normativas como GDPR y NIS2.

Medidas de Mitigación y Recomendaciones

INTERPOL y los organismos asociados recomiendan a los responsables de ciberseguridad las siguientes acciones:

– Actualización inmediata de listas de bloqueo en firewalls, IDS/IPS y EDR con los IoC compartidos.
– Refuerzo de políticas de autenticación multifactor (MFA) y rotación de contraseñas.
– Realización de auditorías forenses para detectar actividad anómala o indicios de exfiltración.
– Formación continua para empleados sobre spear phishing y campañas de ingeniería social.
– Monitorización proactiva de infraestructuras cloud y endpoints para identificar conexiones a dominios/IPS sospechosos.

Opinión de Expertos

Expertos del sector consultados por INTERPOL destacan la importancia de la cooperación internacional y el intercambio de inteligencia. “Las infraestructuras de infostealers son extremadamente resilientes gracias a la rápida proliferación de nuevos dominios y técnicas de evasión. El trabajo coordinado entre agencias y el sector privado es esencial para combatir esta amenaza”, señala Ana López, analista senior de amenazas en una firma europea de ciberseguridad.

Implicaciones para Empresas y Usuarios

Para las empresas, la operación pone de manifiesto la necesidad de adoptar un enfoque Zero Trust y mantener una defensa en profundidad. Los usuarios finales, por su parte, deben ser conscientes del riesgo que supone la reutilización de contraseñas y la importancia de la higiene digital. El cumplimiento normativo bajo GDPR y NIS2 obliga a notificar incidentes de seguridad y establecer controles técnicos y organizativos sólidos.

Conclusiones

Operation Secure representa un avance significativo en la lucha contra el cibercrimen asociado a infostealers, pero también evidencia la constante adaptación de los actores maliciosos. La colaboración internacional, el intercambio de inteligencia y la actualización continua de defensas técnicas y procesos de respuesta serán determinantes para mitigar futuras oleadas de amenazas.

(Fuente: feeds.feedburner.com)