La globalización de la ciberdelincuencia se topa con colaboración internacional
Europol está de enhorabuena. Esta misma semana hemos conocido la desactivación de miles de enlaces en internet con propaganda terrorista y extremista, en una operación sin precedentes que ha contado con la participación de fuerzas de seguridad de Dinamarca, Finlandia, Alemania, Luxemburgo, Países Bajos, Portugal y Reino Unido. Referral Action Day, que es como se ha bautizado esta operación, sólo es la punta del iceberg, una semana antes, también tuvo lugar la Operación Endgame 3.0, que ha evitado el robo de millones de euros.
Tal y como informa el Ministerio del Interior, el Centro de Inteligencia contra el Terrorismo y el Crimen Organizado (CITCO) ha coordinado la participación de Policía Nacional, Guardia Civil, Mossos d'Esquadra y Ertzaintza en esta Referral Action Day, habiendo aportado el 75% de los 5.400 enlaces a contenido yihadista, 1.070 enlaces a contenido terrorista de ultraderecha y 105 enlaces a material racista o xenófobo.
El vehículo primordial para la difusión de esta propaganda eran las plataformas de videojuegos y otras asociadas al ecosistema gamer. Según detalla Interior, la radicalización de los más jóvenes se producía a través de juegos de disparos en primera persona en los que se incorporan elementos asociados a grupos terroristas o, incluso, recrean atentados conocidos por su repercusión.
Prácticamente coincidiendo en fechas, la tercera fase de la Operación Endgame conseguía tumbar más de 1.025 servidores que habían infectado a miles de víctimas en todo el mundo con tres cepas de código malicioso (malware): Rhadamanthys, VenomRAT y Elysium. Desplegada en once países, la operación ha sido posible gracias a la colaboración de la Unión Europea (UE) con Australia, Canadá y EEUU, habiéndose saldado con la detención de una persona en Grecia y la confiscación de más de 20 dominios. Previamente, ya se ejecutaron las operaciones la Operación Endgame 1.0 (mayo de 2024), que bloqueó a servidores que distribuían malware como IcedID, Smokeloader, SystemBC, Pikabot y Bumblebee; y la Operación Endgame 2.0 (abril de 2025), que desmanteló más de 300 servidores, neutralizando alrededor de 650 dominios y emitiendo múltiples órdenes de arresto.
Los ciberdelincuentes habían logrado desplegar una infraestructura de miles de ordenadores infectados sin que sus propietarios fueran siquiera conscientes de ello. Esta red contenía millones de credenciales robadas, permitiendo acceso a más de 100.000 monederos de criptomonedas con un valor potencial de millones de euros. Una de las claves del éxito de la Operación Endgame ha sido haber atacado a cada uno de los elementos que componían la red de distribución del malware, no sólo a las herramientas. Esto incluía desde los proveedores de alojamiento web a las redes de reclutamiento o los sistemas de pago.
¿Qué hace exactamente el malware involucrado en esta operación? Rhadamanthys es un infostealer, es decir, un ladrón de información, como las identidades, de cuya actividad venían alertando organizaciones como la británica The Shadowserver Foundation, que entre marzo y noviembre de 2025 notificó infecciones a más 200 equipos nacionales de nacionales de respuesta a incidentes de seguridad informática (CSIRT por sus siglas en inglés) en 175 países y a más de 10.000 propietarios de redes en todo el mundo. Sólo en ese periodo, el organismo habla de más 525.000 infecciones únicas, lo que representa más de 86,2 millones de eventos de robo de información y más de 17.600 sistemas autónomos diferentes.
Por su parte, el troyano VenomRAT fue descubierto por vez primera en junio de 2020 como una variante modificada de QuasarRAT. Este código malicioso infecta a los equipos, proporcionando acceso remoto a los mismos. Es un troyano de acceso sencillo por 150 dólares al mes, siendo distribuido como ficheros adjuntos a través del correo electrónico. En cuanto a Elysium, se trata de una red de bots (botnet) formada por cientos de miles de ordenadores en los que se almacenaban millones de credenciales robadas. Para comprobar si su equipo ha sido infectado puede visitar el portal Have I Been Pwned o la web de la policía holandesa CheckYourHack.
A pesar del éxito de la operación, en la que la colaboración público-privada ha sido esencial, no hay que cantar victoria, pues el grueso de la trama no ha sido detenido y es cuestión de tiempo que despliegue una nueva red, si bien en el caso de quienes ya han sido víctimas pueden reforzar la seguridad de sus sistemas. Entre las empresas y organismos de ciberseguridad que han colaborado con las autoridades destacan Abuse.ch, Bitdefender, Crowdstrike, Cryptolaemus, Cymru, Dutch Institute for Vulnerability Disclosure (DIVD), HaveIBeenPwned, Lumen, Proofpoint, The Shadowserver Foundation, Spamhaus y Spycloud.
En esta exitosa operación es importante destacar el esfuerzo de colaboración y el intercambio de inteligencia internacional. Esta es una de las claves cruciales para entender el éxito de las tres oleadas de la Operación Endgame. Además, no puede obviarse tampoco su componente solidario, dado que muchas de las víctimas se encontraban en países cuya ciberseguridad se encuentra aún en vías de desarrollo y los gobiernos todavía carecen de los recursos necesarios para afrontar amenazas de esta envergadura.
A esta cooperación internacional entre las fuerzas del orden también es preciso añadir la sincronización de las acciones legales gracias a la armonización jurídica internacional. Ese es el camino, dada la globalización de la ciberdelincuencia y su capacidad para extender los tentáculos de su actividad. En esta misma línea, haber avisado de forma inmediata y masivamente a las víctimas identificadas también ha jugado un papel fundamental; históricamente estas notificaciones eran demasiado tardías, demorándose en ocasiones, no ya días, sino incluso meses.
(Artículo en Público)
David Bollero
Periodista freelance
"que HA evitado el robo de millones de euros"
ResponderEliminar