AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Ciudadano argelino extraditado a EE. UU. por gestionar los mercados cibercriminales Market0Day y Spoxy**

admin

### 1. Introducción

En un nuevo golpe contra la ciberdelincuencia transnacional, las autoridades estadounidenses han anunciado la extradición de Abdellah Belmili, un ciudadano argelino de 26 años, acusado de operar dos mercados ilegales en la darknet: Market0Day y Spoxy. La operación, fruto de la cooperación internacional, subraya el nivel de sofisticación y globalización de los mercados de cibercrimen actuales, así como la determinación de los organismos de seguridad para perseguir a sus operadores más allá de las fronteras.

### 2. Contexto del Incidente

Market0Day y Spoxy se han consolidado en los últimos años como dos de las plataformas más relevantes para la compraventa de herramientas, servicios y datos ilícitos en el ecosistema underground. Según los informes judiciales, estos mercados han facilitado la distribución de exploits de día cero, credenciales comprometidas, proxies para eludir controles de acceso y otros recursos empleados habitualmente en campañas de intrusión y fraude.

La extradición de Belmili, ejecutada recientemente en colaboración con las autoridades argelinas, marca un hito en la persecución internacional de actividades cibercriminales. El acusado se enfrenta ahora a cargos en Estados Unidos que podrían suponer hasta 30 años de prisión, en virtud de delitos federales relacionados con fraude informático y conspiración.

### 3. Detalles Técnicos

#### CVE y vectores de ataque

Market0Day, como su nombre indica, estaba especializado en la venta de exploits para vulnerabilidades de día cero (zero-day), incluyendo CVEs críticos en sistemas operativos, aplicaciones web y plataformas SaaS. Investigadores han identificado listados de exploits para vulnerabilidades como CVE-2023-23397 (Microsoft Outlook), CVE-2023-28252 (Windows Common Log File System) y CVE-2022-30190 (Follina), entre otras. Estas vulnerabilidades han sido activamente explotadas en campañas APT y ransomware recientes.

Spoxy, por su parte, ofrecía un marketplace dedicado a la venta y alquiler de proxies y servicios de anonimato, permitiendo a actores maliciosos evadir detección y atribución durante sus campañas. El servicio era frecuentemente utilizado en operaciones de credential stuffing, scraping y ataques de fuerza bruta.

#### TTP (MITRE ATT&CK) e IoC

Las Tácticas, Técnicas y Procedimientos (TTP) asociadas a los clientes de Market0Day y Spoxy incluyen:

– **Initial Access (TA0001):** Adquisición y explotación de exploits para obtener acceso inicial a redes corporativas.
– **Defense Evasion (TA0005):** Uso de proxies y VPN para ocultar la procedencia del atacante.
– **Credential Access (TA0006):** Utilización de credenciales filtradas adquiridas en los mercados para el movimiento lateral y escalada de privilegios.

Entre los Indicadores de Compromiso (IoC) detectados por los analistas se encuentran direcciones IP de proxies proporcionados por Spoxy, hashes de exploits distribuidos en Market0Day y wallets de criptomonedas empleados en los pagos.

### 4. Impacto y Riesgos

Los mercados gestionados por Belmili han supuesto un vector de riesgo significativo para empresas y organismos públicos de todo el mundo. Según estimaciones de firmas de inteligencia de amenazas, Market0Day ha facilitado cientos de intrusiones documentadas, incluyendo ataques a infraestructuras críticas y entidades sujetas a la legislación GDPR y NIS2.

El análisis de los datos incautados revela que más de 10.000 credenciales comprometidas y decenas de exploits para vulnerabilidades sin parchear se han transaccionado a través de estas plataformas, generando beneficios que superan el millón de dólares en criptomonedas. La facilidad de acceso a herramientas avanzadas ha democratizado el cibercrimen, permitiendo a actores de bajo perfil ejecutar ataques sofisticados.

### 5. Medidas de Mitigación y Recomendaciones

Para los equipos de seguridad, la identificación temprana de la explotación de vulnerabilidades listadas en markets como Market0Day es crítica. Se recomienda:

– Implementar programas de gestión de vulnerabilidades que prioricen la aplicación de parches para CVEs críticos asociados a exploits conocidos.
– Monitorizar el uso de proxies y VPNs sospechosas, especialmente aquellas asociadas a infraestructuras relacionadas con Spoxy (IoC disponibles en fuentes OSINT).
– Integrar inteligencia de amenazas sobre mercados underground en soluciones SIEM/SOC.
– Refuerzo de la autenticación multifactor y la segmentación de red para limitar el movimiento lateral tras compromisos iniciales.

### 6. Opinión de Expertos

Expertos en ciberseguridad destacan la importancia de la cooperación internacional en la lucha contra los mercados de cibercrimen. “La extradición de Belmili demuestra que los operadores de estos marketplaces no están fuera del alcance de la ley, incluso cuando actúan desde jurisdicciones tradicionalmente consideradas seguras para los ciberdelincuentes”, señala un analista de amenazas de Group-IB.

Por su parte, responsables de equipos de respuesta a incidentes subrayan el impacto real de este tipo de plataformas en la escalada de ataques dirigidos y de ransomware, especialmente en sectores regulados bajo NIS2 y GDPR.

### 7. Implicaciones para Empresas y Usuarios

La existencia de mercados como Market0Day y Spoxy subraya la necesidad de una postura de seguridad proactiva. Las empresas deben anticipar que los exploits de día cero y proxies anónimos están al alcance de cualquier actor, incrementando la superficie de ataque y la velocidad de explotación. El cumplimiento de normativas como GDPR y NIS2 obliga a reportar brechas y a demostrar controles efectivos frente a amenazas emergentes.

Los usuarios finales, por su parte, deben ser conscientes de la importancia de la higiene digital y la protección de sus credenciales, ya que muchas filtraciones acaban rápidamente en estos mercados.

### 8. Conclusiones

La extradición de Abdellah Belmili es un recordatorio de la sofisticación y peligrosidad de los mercados de cibercrimen actuales. Si bien la operación supone un avance en la lucha contra estos ecosistemas, la demanda de exploits y servicios ilícitos sigue creciendo. Para los profesionales de ciberseguridad, la vigilancia constante, la integración de inteligencia de amenazas y la colaboración internacional son esenciales para mitigar el impacto de estos mercados y proteger los activos críticos de sus organizaciones.

(Fuente: www.securityweek.com)