INTERPOL lidera la Operación Serengeti 2.0: Detenidos más de 1.200 ciberdelincuentes en África
Introducción
En el marco de una ofensiva internacional coordinada, INTERPOL ha anunciado la detención de más de 1.200 sospechosos en el continente africano durante la denominada “Operación Serengeti 2.0”. Esta operación, que se ha desplegado simultáneamente en 25 países africanos, constituye uno de los mayores golpes recientes contra redes criminales transfronterizas especializadas en delitos cibernéticos. El operativo ha contado con la colaboración de fuerzas policiales locales, agencias de inteligencia y expertos en ciberseguridad, y pone de manifiesto la sofisticación y el alcance de las amenazas digitales que afectan actualmente a la región.
Contexto del Incidente
África se ha convertido en los últimos años en un terreno fértil para el desarrollo de ciberamenazas, debido al rápido crecimiento de la conectividad y la digitalización en países con infraestructuras de ciberseguridad aún incipientes. Las bandas desmanteladas durante la operación estaban implicadas en una amplia gama de delitos: desde estafas de compromiso de correo electrónico empresarial (BEC), pasando por phishing y fraudes bancarios, hasta ataques de ransomware y fraude en plataformas de comercio electrónico. La operación se ha centrado especialmente en la desarticulación de redes que operan a nivel internacional, empleando infraestructura digital tanto dentro como fuera del continente africano.
Detalles Técnicos de la Operación
Durante “Serengeti 2.0” se han identificado y neutralizado varios grupos delictivos empleando TTPs (Tácticas, Técnicas y Procedimientos) recogidos en el framework MITRE ATT&CK, tales como:
– **T1566 (Phishing)**: Utilización de campañas de spear-phishing dirigidas a empleados de empresas para el robo de credenciales.
– **T1078 (Cuentas válidas)**: Abuso de accesos legítimos obtenidos a través de credenciales robadas para el movimiento lateral en redes corporativas.
– **T1486 (Cifrado de datos para impacto)**: Implantación de ransomware para cifrar datos críticos y exigir rescates económicos.
Se han detectado indicadores de compromiso (IoC) asociados a malwares conocidos como Emotet, TrickBot y variantes de ransomware como LockBit y BlackCat, con infraestructura de comando y control (C2) dispersa entre servidores comprometidos en Europa, Asia y África. Las versiones de software explotadas incluyen vulnerabilidades conocidas (CVE-2023-23397 en Microsoft Outlook y CVE-2023-27350 en PaperCut MF/NG), algunas de ellas con exploits públicos integrados en frameworks como Metasploit y Cobalt Strike.
Según fuentes policiales, cerca del 30% de los ataques detectados explotaban configuraciones erróneas de sistemas cloud y servicios de correo electrónico, mientras que un 18% aprovechaba la falta de parches en sistemas legacy. Se han incautado más de 800 dispositivos digitales, incluyendo ordenadores portátiles, móviles y servidores, que están siendo analizados por equipos forenses para identificar nuevos IoC y potenciales víctimas.
Impacto y Riesgos
El impacto de las actividades delictivas desmanteladas es significativo. INTERPOL estima que el valor económico de los fraudes y daños causados supera los 50 millones de dólares en el último año. Los ataques de BEC y ransomware han afectado a entidades financieras, empresas del sector público y privado, así como proveedores de servicios de telecomunicaciones y usuarios finales.
El riesgo es especialmente alto para organizaciones con presencia internacional y aquellas que gestionan infraestructuras críticas, dado el uso de técnicas de movimiento lateral y persistencia avanzada por parte de los atacantes. Además, la colaboración entre grupos criminales africanos y actores internacionales amplifica la dificultad de rastrear y contener la actividad maliciosa.
Medidas de Mitigación y Recomendaciones
INTERPOL y las agencias participantes han publicado una serie de recomendaciones para mitigar el riesgo de compromisos similares:
– Implementar autenticación multifactor (MFA) en todos los servicios críticos.
– Mantener actualizados sistemas y aplicaciones, priorizando el parcheo de vulnerabilidades conocidas (especialmente CVE explotadas activamente).
– Desplegar soluciones EDR (Endpoint Detection & Response) y monitorizar logs para detectar actividad anómala.
– Formar a empleados y usuarios en la identificación de intentos de phishing y técnicas de ingeniería social.
– Revisar y endurecer las políticas de acceso y privilegios, minimizando la exposición de cuentas privilegiadas.
Opinión de Expertos
Especialistas en ciberseguridad consultados destacan la importancia de la cooperación internacional en la lucha contra el cibercrimen transfronterizo. Según Javier Sánchez, CISO de una multinacional tecnológica, “la operación Serengeti 2.0 demuestra que la colaboración entre fuerzas del orden y especialistas en ciberseguridad es esencial para detener a bandas que aprovechan las asimetrías regulatorias y la falta de recursos en ciertas regiones”. Añade que el uso de IoC compartidos y el análisis de TTPs facilita la detección temprana y la atribución de ataques, aunque advierte que los ciberdelincuentes siguen adaptándose rápidamente.
Implicaciones para Empresas y Usuarios
El éxito de Serengeti 2.0 envía un mensaje claro a las organizaciones: el riesgo cibercriminal no entiende de fronteras y puede afectar a cualquier sector. Las empresas europeas con operaciones en África deben reforzar sus medidas de ciberseguridad y cumplir tanto con la legislación continental (GDPR, NIS2) como con los estándares locales. Asimismo, se recomienda a los usuarios extremar la precaución al interactuar con plataformas digitales y proteger adecuadamente sus dispositivos y cuentas.
Conclusiones
La operación Serengeti 2.0 supone un avance significativo en la lucha contra el cibercrimen organizado en África, aunque también revela la necesidad de continuar invirtiendo en capacidades técnicas, cooperación internacional y concienciación. La naturaleza dinámica del ecosistema de amenazas obliga a los responsables de ciberseguridad a adoptar un enfoque proactivo, basado en inteligencia, resiliencia y adaptación constante.
(Fuente: www.bleepingcomputer.com)