Europol congela 3,5 millones de dólares en criptomonedas mientras la ofensiva global desmantela una masiva red de bots proxy

Puntos clave:

• Europol y otras agencias de aplicación de la ley desmantelaron la red de proxy SocksEscort que se había extendido a más de 369,000 enrutadores y dispositivos IoT en todo el mundo.
• Las autoridades confiscaron 34 dominios, 23 servidores y también congelaron criptomonedas por valor de 3.5 millones de dólares relacionadas con la operación.
• El servicio malicioso vendía acceso a proxy pagado con criptomonedas, generando más de €5 millones de los clientes.

Las autoridades europeas y estadounidenses han desmantelado una gran infraestructura de ciberdelincuencia que dependía de enrutadores domésticos infectados y dispositivos IoT. Esta operación coordinada buscó una plataforma de proxy muy utilizada por numerosos delincuentes para ocultar sus huellas durante ataques en Internet.

Esto demuestra la creciente conexión entre los pagos en criptomonedas y la tecnología descentralizada y las investigaciones internacionales de ciberseguridad.

Tabla de Contenidos

• Operación internacional apunta a la red SocksEscort
• Enrutadores infectados por malware alimentaron una botnet global
  • Vulnerabilidades permitieron explotación a gran escala
• Europol coordina inteligencia y rastreo de criptomonedas

Operación internacional apunta a la red SocksEscort

Las agencias de aplicación de la ley en Europa y Estados Unidos implementaron una campaña coordinada llamada Operación Relámpago el 11 de marzo de 2026. Esta campaña se centra en desmantelar la plataforma de proxy llamada SocksEscort. Según los investigadores, explotó vulnerabilidades en enrutadores domésticos.

Las autoridades competentes identificaron que esta red ha accedido a más de 369,000 dispositivos en 163 países. Estos enrutadores y dispositivos IoT infectados han sido utilizados para proporcionar conexiones proxy anónimas a clientes que pagaban.

Durante la operación, los investigadores incautaron 34 nombres de dominio y 23 servidores ubicados en siete países. Al mismo tiempo, las autoridades estadounidenses congelaron aproximadamente 3.5 millones de dólares en criptomonedas relacionadas con el servicio.

Los oficiales también desconectaron los módems infectados de la red, cerrando efectivamente el acceso al sistema de proxy utilizado por los clientes criminales.

Leer más: Coinbase lanza futuros de criptomonedas regulados en 26 mercados europeos con apalancamiento 10x

Enrutadores infectados por malware alimentaron una botnet global

La investigación se inició en junio de 2025 por el Grupo de Tareas Conjuntas de Ciberacción (J-CAT) de Europol. Los analistas descubrieron una botnet masiva construida con dispositivos comprometidos, la mayoría de ellos enrutadores domésticos.

Vulnerabilidades permitieron explotación a gran escala

Los actores maliciosos encontraron una vulnerabilidad en una marca específica de módems, que fue detectada por los investigadores. El malware instalado en esos dispositivos los convertía silenciosamente en nodos de una red proxy global.

Una vez infectados, los enrutadores permitían a los delincuentes enrutar el tráfico de internet a través de las direcciones IP de usuarios desprevenidos. Los propietarios de los dispositivos generalmente no tenían idea de que su conexión a internet se usaba para actividades ilegales.

La red proxy facilitaba una variedad de delitos, incluyendo operaciones de ransomware, ataques de denegación de servicio distribuidos y la difusión de contenido ilegal.

Los clientes pagaban por licencias para acceder a la infraestructura de proxy. Los pagos se realizaban a través de una plataforma que permitía transacciones anónimas usando criptomonedas.

Las autoridades indican que el sistema de pago basado en ese proxy también recolectó más de €5 millones en criptomonedas, enviadas por los usuarios.

Leer más: La realidad de MiCA: los países de la UE liderarán la concesión de licencias CASP en la nueva era

Europol coordina inteligencia y rastreo de criptomonedas

El principal responsable fue Europol, que lideró la investigación. Asistieron en el intercambio de información, inspección de malware, análisis de tráfico y rastreo de criptomonedas. Durante la operación, se apoyó en un Puesto de Mando Virtual en la sede de Europol en La Haya para garantizar la fluidez en la comunicación entre los países involucrados.

Las autoridades participantes incluyeron cuerpos de policía de Austria, Francia, Países Bajos, Alemania, Hungría, Rumania y Estados Unidos, entre otros. Las agencias estadounidenses involucradas en el caso fueron el Departamento de Justicia, el FBI y la IRS Criminal Investigation.