INTERPOL el viernes anunciado la eliminación de 45.000 direcciones IP y servidores maliciosos utilizados en relación con campañas de phishing, malware y ransomware, como parte de los esfuerzos continuos de la agencia para desmantelar redes criminales, interrumpir amenazas emergentes y proteger a las víctimas de estafas.

El esfuerzo es parte de una operación internacional de aplicación de la ley que involucró a 72 países y territorios. También condujo al arresto de 94 personas, y otras 110 personas aún están bajo investigación. Durante las redadas realizadas en distintos lugares clave se incautaron un total de 212 dispositivos electrónicos y servidores.

En una operación de este tipo en Bangladesh se arrestó a 40 sospechosos y se confiscaron 134 dispositivos electrónicos relacionados con una amplia gama de delitos cibernéticos, incluidas estafas de préstamos y empleos, robo de identidad y fraude con tarjetas de crédito.

En Togo, las autoridades detuvieron a 10 sospechosos acusados ​​de dirigir una red de fraude desde una zona residencial. Si bien algunos participaron en la piratería de cuentas de redes sociales, otros llevaron a cabo esquemas de ingeniería social, incluidas estafas románticas y sextorsión.

Los estafadores, después de obtener acceso no autorizado a la cuenta de una víctima, contactaban a sus contactos en línea, haciéndose pasar por el titular de la cuenta para entablar relaciones románticas falsas y engañar a amigos y familiares. El objetivo final de la estafa era engañar a las víctimas secundarias para que realizaran transferencias de dinero.

Por último, los funcionarios encargados de hacer cumplir la ley de Macao identificaron más de 33.000 sitios web fraudulentos y de phishing relacionados con casinos falsos e infraestructura crítica, como bancos, gobiernos y servicios de pago. Estos sitios web se crearon para defraudar a las víctimas indicándoles que recargaran sus saldos o ingresaran información personal.

La represión del cibercrimen marca la tercera fase de la Operación Synergia, que tuvo lugar entre el 18 de julio de 2025 y el 31 de enero de 2026. Las dos fases anteriores tuvieron lugar en 2023 y 2024, identificando miles de servidores maliciosos y decenas de arrestos.

La CBI de la India se centra en un caso de fraude transnacional

La divulgación se produce cuando la Oficina Central de Investigaciones (CBI) de la India dijo que realizó búsquedas coordinadas en 15 ubicaciones en Delhi, Rajasthan, Uttar Pradesh y Punjab como parte de una inversión en línea organizada a gran escala y un fraude laboral a tiempo parcial que involucra principalmente a una plataforma fintech con sede en Dubai llamada Pyypl.

«Se alegó que miles de ciudadanos indios desprevenidos fueron estafados con millones de rupias a través de esquemas engañosos en línea operados por un sindicato de fraude transnacional organizado», dijo la CBI. dicho.

Se dice que la red criminal aprovechó las plataformas de redes sociales, aplicaciones móviles y servicios de mensajería cifrada para atraer a las víctimas con promesas de altos rendimientos de las inversiones en línea y oportunidades laborales a tiempo parcial.

Como destacó Proofpoint en octubre de 2024, estas estafas tienen como objetivo ganarse la confianza de las víctimas convenciéndolas de depositar pequeñas cantidades y mostrar ganancias ficticias en sitios falsos, tras lo cual se las persuade a invertir mayores sumas de dinero.

Tan pronto como se depositan los fondos, se transfieren rápidamente a través de múltiples cuentas bancarias para cubrir el rastro del dinero y luego se retiran mediante retiros en cajeros automáticos en el extranjero utilizando tarjetas de débito habilitadas para transacciones internacionales y mediante recargas de billetera en plataformas fintech extranjeras como Pyypl utilizando las redes de pago Visa y Mastercard.

Estos retiros, según el CBI, aparecieron como transacciones de punto de venta (PoS) en los sistemas bancarios que pasaron desapercibidas. Parte del dinero robado también se convirtió en criptomonedas y se consolidó en cuentas vinculadas a 15 empresas fantasma y enrutadas a través de dos entidades.

«Estas entidades convirtieron los ingresos en USDT a través de intercambios de activos virtuales con sede en India y transfirieron la criptomoneda a sus billeteras incluidas en la lista blanca», agregó el CBI.

La agencia de investigación criminal ha identificado a Ashok Kumar Sharma y otros cómplices anónimos como miembros clave del sindicato. Sharma ha sido detenido. También dijo que se han congelado varias cuentas bancarias utilizadas por las entidades y se han incautado documentos incriminatorios y pruebas digitales relacionadas con las operaciones diarias del sindicato.

Tycoon 2FA, un importante kit y plataforma de phishing que permitió a ciberdelincuentes poco capacitados eludir la autenticación multifactor y realizar ataques de adversario en el medio a gran escala, fue desmantelado el miércoles por una coalición global de empresas de seguridad y organismos encargados de hacer cumplir la ley.

Microsoft, que lideró el esfuerzo junto con Europol y autoridades de seis países y 11 empresas u organizaciones de seguridad, dijo que confiscó 330 dominios que impulsaban la infraestructura central de Tycoon 2FA, incluidos paneles de control y páginas de inicio de sesión fraudulentas.

La plataforma, que surgió en agosto de 2023, fue responsable de decenas de millones de mensajes de phishing que llegó a más de 500.000 organizaciones en todo el mundo cada mes, según Microsoft Threat Intelligence. Miles de ciberdelincuentes utilizaron Tycoon 2FA para acceder al correo electrónico y a los servicios en línea, incluidos Microsoft 365, Outlook, SharePoint, OneDrive y los servicios de Google.

«A mediados de 2025, Tycoon 2FA representó aproximadamente el 62% de todos los intentos de phishing que Microsoft bloqueó, incluidos más de 30 millones de correos electrónicos en un solo mes. Eso colocó a Tycoon 2FA entre las operaciones de phishing más grandes del mundo», dijo Steven Masada, asesor general adjunto de la Unidad de Delitos Digitales de Microsoft, en un publicación de blog sobre el derribo.

“A pesar de las amplias defensas, el servicio está vinculado a unas 96.000 víctimas de phishing distintas en todo el mundo desde 2023, incluidos más de 55.000 clientes de Microsoft”, añadió Masada.

El kit de phishing, que fue desarrollado y publicitado por un grupo al que Microsoft rastrea como Storm-1747, se vendió a ciberdelincuentes en Telegram y Signal por 350 dólares al mes. La plataforma proporcionó componentes centrales para el phishing en un único panel que permitió a los ciberdelincuentes configurar, rastrear y perfeccionar sus campañas.

La plataforma también proporcionó a los ciberdelincuentes plantillas prediseñadas, archivos adjuntos para señuelos de phishing comunes, configuración de dominio y alojamiento y lógica de redireccionamiento, dijo Microsoft. El volumen mensual de mensajes de phishing atribuidos a Tycoon 2FA alcanzó un máximo de más de 30 millones de mensajes en noviembre de 2025.

Las organizaciones de educación y atención médica fueron las más afectadas por los ataques de phishing habilitados por Tycoon 2FA. Más de 100 miembros de Salud-ISAC, co-demandante en el caso judicial presentadas en el Tribunal de Distrito de los Estados Unidos para el Distrito Sur de Nueva York, fueron suplantadas con éxito, dijo Masada.

Dos hospitales, seis escuelas y tres universidades de Nueva York enfrentaron intentos o compromisos exitosos a través de Tycoon 2FA, lo que resultó en incidentes que interrumpieron las operaciones, desviaron recursos y retrasaron la atención de los pacientes, añadió.

Microsoft y Health-ISAC presentaron una denuncia civil contra el presunto creador Saad Fridi y cuatro asociados anónimos, exigiendo una orden judicial de 10 millones de dólares por desarrollar, ejecutar y vender Tycoon 2FA. La orden judicial permitió a Microsoft desmantelar y tomar posesión de la infraestructura técnica de Tycoon 2FA.

Autoridades de Letonia, Lituania, Portugal, Polonia, España y el Reino Unido ayudaron en la operación junto con Cloudflare, Coinbase, Crowell & Moring, eSentire, Intel 471, Proofpoint, Resecurity, Shadowserver, SpyCloud y Trend Micro.

Selena Larson, investigadora de amenazas del personal de Proofpoint que proporcionó un declaración formal en apoyo de la orden judicialdijo que Tycoon 2FA fue responsable del mayor volumen de ataques de phishing de adversario en el medio observados por Proofpoint.

«Tycoon fue la mayor amenaza de phishing de MFA en nuestros datos y anticipamos ver una disminución significativa después de esta operación», dijo a CyberScoop.

«Muchos clientes encontrarán que su herramienta de piratería ya no funciona, e incluso si Tycoon 2FA es capaz de crear nuevos dominios e infraestructura, la marca se verá significativamente perjudicada, y los clientes comprarán un kit de phishing menos eficaz o potencialmente repensarán sus elecciones de vida y saldrán del juego», añadió Larson.

Las capacidades robustas y fáciles de usar de Tycoon 2FA contribuyeron a su popularidad, dijeron los investigadores. El código base de la plataforma se actualizaba periódicamente y los operadores generaban un gran volumen de subdominios durante breves períodos antes de abandonarlos y pasar a nuevos dominios.

Los investigadores dijeron que la rápida rotación y los cambios a infraestructura temporal complicaron los esfuerzos para detectar y bloquear nuevas campañas.

La eliminación de Tycoon 2FA se produce tras una reciente ola de medidas enérgicas contra los delitos cibernéticos, incluidas acciones contra Racoon0365 y la operación de robo de información Lumma Stealer, que infectó alrededor de 10 millones de sistemas.