Autoridades de múltiples países. Calcetines desmanteladosEscortuna red de proxy residencial que los ciberdelincuentes utilizaron para cometer fraude a gran escala, reclamando acceso a alrededor de 369.000 direcciones IP desde 2020, dijo el jueves el Departamento de Justicia.

Europol, que ayudó en la investigación junto con varias agencias policiales, Black Lotus Labs de Lumen y la Fundación Shadowserver, dijo que el servicio proxy malicioso enrutadores y dispositivos IoT comprometidos en 163 países. Los funcionarios dijeron que la plataforma de pago de la red proxy recibió alrededor de 5,8 millones de dólares de sus clientes.

La acción coordinada globalmente, denominada Operación Relámpago, derribó y confiscó 34 dominios y 23 servidores en siete países. Los funcionarios estadounidenses congelaron un total de 3,5 millones de dólares en criptomonedas supuestamente vinculadas a la botnet que se creó a partir de dispositivos infectados.

«El ciberdelito se nutre del anonimato», dijo en un comunicado Catherine De Bolle, directora ejecutiva de Europol. «Los servicios proxy como SocksEscort brindan a los delincuentes la cobertura digital que necesitan para lanzar ataques, distribuir contenido ilegal y evadir la detección».

Según los funcionarios, los operadores de SocksEscort ensamblaron la botnet explotando una vulnerabilidad en módems residenciales de un proveedor no identificado.

La operación de delito cibernético defraudó a estadounidenses y empresas estadounidenses por millones de dólares, dijo el Departamento de Justicia. Más de una cuarta parte de los 8.000 enrutadores infectados que SocksEscort anunció en febrero tenían su sede en Estados Unidos.

SocksEscort comenzó a operar en 2009 y su infraestructura de comando y control pasó desapercibida para la mayoría de las herramientas durante mucho tiempo, dijo a CyberScoop Ryan English, ingeniero de seguridad de la información en Black Lotus Labs.

La infraestructura de la botnet, impulsada por el malware AVRecon, fue difícil de alcanzar y mantuvo un volumen constantemente alto, cobrando un promedio de 20.000 víctimas semanales desde principios de 2024. Su impacto alcanzó su punto máximo en enero de 2025, cuando atrapó a más de 15.000 víctimas diariamente, según Investigación de Black Lotus Labs.

La compañía dijo que observó 280.000 IP únicas como víctimas de la red proxy desde principios de 2025, y más de la mitad de las víctimas de SocksEscort se encontraban en los Estados Unidos y el Reino Unido.

«Dado el gran volumen de generación de víctimas, no me sorprendería si eventualmente encontraran algo realmente importante que los hiciera ascender en la lista de redes a perseguir», dijo a CyberScoop Chris Formosa, ingeniero senior de seguridad de la información en Black Lotus Labs.

«Estaban comercializando exclusivamente para ciberdelincuentes y en ningún otro lugar», añadió. «Con una red como esta, una vez que las fuerzas del orden obtienen acceso legal a la infraestructura backend, pueden brindarles mucha inteligencia sobre otros actores de amenazas además de los operadores de botnets».

Varias agencias de Austria, Bulgaria, Eurojust, Francia, Alemania, Hungría, Países Bajos y Rumanía ayudaron en la investigación y el desmantelamiento.

Meta dijo el miércoles que deshabilitó más de 150.000 cuentas asociadas con centros de estafa en el sudeste asiático como parte de un esfuerzo coordinado en asociación con autoridades de Tailandia, Estados Unidos, Reino Unido, Canadá, Corea, Japón, Singapur, Filipinas, Australia, Nueva Zelanda e Indonesia.

El esfuerzo también condujo a 21 arrestos realizados por la Policía Real Tailandesa, dijo la compañía. La acción se basa en una iniciativa piloto en diciembre de 2025 que resultó en que Meta eliminara 59.000 cuentas, páginas y grupos de sus plataformas y seis órdenes de arresto.

«Las estafas en línea se han vuelto significativamente más sofisticadas e industrializadas en los últimos años, con redes criminales a menudo basadas en el Sudeste Asiático en países como Camboya, Myanmar y Laos ejecutando lo que equivalen a operaciones comerciales a gran escala», Meta dicho en un comunicado. «Estas operaciones causan un daño real: alteran vidas, destruyen la confianza y están diseñadas deliberadamente para evitar la detección y la interrupción».

Al mismo tiempo, Meta dijo que es anunciando una serie de herramientas nuevas para proteger a las personas cuando se detectan señales de alerta relacionadas con estafas –

• Nuevas advertencias en Facebook cuando los usuarios reciben cuentas sospechosas.
• Alertar a los usuarios cuando reciben solicitudes sospechosas de vinculación de dispositivos de WhatsApp engañándolos para que escaneen un código QR que vincularía el dispositivo del estafador a su cuenta.
• Detección de estafas avanzada ampliada en Messenger que solicita a los usuarios que compartan mensajes de chat recientes para una revisión de estafas de IA cuando una conversación con un nuevo contacto muestra patrones de estafa comunes, como ofertas de trabajo sospechosas.

El gigante de las redes sociales dijo que eliminó más de 159 millones de anuncios fraudulentos por violar sus políticas en 2025, y que eliminó 10,9 millones de cuentas en Facebook e Instagram asociadas con centros de estafas criminales. Además, la compañía ha anunciado planes para ampliar la verificación de los anunciantes en un intento de reforzar la transparencia y limitar los esfuerzos de los malos actores para tergiversar la identidad de los anunciantes.

El desarrollo se produce cuando el gobierno del Reino Unido lanzó un nuevo Centro contra el crimen en línea para combatir el cibercrimen, incluidos aquellos impulsados ​​por el aumento de compuestos fraudulentos que operan en el sudeste asiático, África occidental, Europa del Este, India y China, reuniendo a especialistas del gobierno, la policía, agencias de inteligencia, bancos, redes móviles y grandes empresas de tecnología.

Se espera que la unidad de disrupción inicie operaciones el próximo mes. También describe planes para implementar inteligencia artificial (IA) para detectar patrones de fraude emergentes, detener más rápidamente transferencias bancarias sospechosas y utilizar «chatbots que buscan estafas» para engañar a los estafadores y recopilar inteligencia.

«Con el respaldo de más de £30 millones en fondos, el centro identificará las cuentas, sitios web y números de teléfono de los que dependen los grupos del crimen organizado y los cerrará a gran escala, bloqueando mensajes de texto fraudulentos, congelando cuentas criminales, eliminando cuentas fraudulentas de redes sociales e interrumpiendo las operaciones en origen», dijo el gobierno del Reino Unido. dicho.

Tycoon 2FA, un importante kit y plataforma de phishing que permitió a ciberdelincuentes poco capacitados eludir la autenticación multifactor y realizar ataques de adversario en el medio a gran escala, fue desmantelado el miércoles por una coalición global de empresas de seguridad y organismos encargados de hacer cumplir la ley.

Microsoft, que lideró el esfuerzo junto con Europol y autoridades de seis países y 11 empresas u organizaciones de seguridad, dijo que confiscó 330 dominios que impulsaban la infraestructura central de Tycoon 2FA, incluidos paneles de control y páginas de inicio de sesión fraudulentas.

La plataforma, que surgió en agosto de 2023, fue responsable de decenas de millones de mensajes de phishing que llegó a más de 500.000 organizaciones en todo el mundo cada mes, según Microsoft Threat Intelligence. Miles de ciberdelincuentes utilizaron Tycoon 2FA para acceder al correo electrónico y a los servicios en línea, incluidos Microsoft 365, Outlook, SharePoint, OneDrive y los servicios de Google.

«A mediados de 2025, Tycoon 2FA representó aproximadamente el 62% de todos los intentos de phishing que Microsoft bloqueó, incluidos más de 30 millones de correos electrónicos en un solo mes. Eso colocó a Tycoon 2FA entre las operaciones de phishing más grandes del mundo», dijo Steven Masada, asesor general adjunto de la Unidad de Delitos Digitales de Microsoft, en un publicación de blog sobre el derribo.

“A pesar de las amplias defensas, el servicio está vinculado a unas 96.000 víctimas de phishing distintas en todo el mundo desde 2023, incluidos más de 55.000 clientes de Microsoft”, añadió Masada.

El kit de phishing, que fue desarrollado y publicitado por un grupo al que Microsoft rastrea como Storm-1747, se vendió a ciberdelincuentes en Telegram y Signal por 350 dólares al mes. La plataforma proporcionó componentes centrales para el phishing en un único panel que permitió a los ciberdelincuentes configurar, rastrear y perfeccionar sus campañas.

La plataforma también proporcionó a los ciberdelincuentes plantillas prediseñadas, archivos adjuntos para señuelos de phishing comunes, configuración de dominio y alojamiento y lógica de redireccionamiento, dijo Microsoft. El volumen mensual de mensajes de phishing atribuidos a Tycoon 2FA alcanzó un máximo de más de 30 millones de mensajes en noviembre de 2025.

Las organizaciones de educación y atención médica fueron las más afectadas por los ataques de phishing habilitados por Tycoon 2FA. Más de 100 miembros de Salud-ISAC, co-demandante en el caso judicial presentadas en el Tribunal de Distrito de los Estados Unidos para el Distrito Sur de Nueva York, fueron suplantadas con éxito, dijo Masada.

Dos hospitales, seis escuelas y tres universidades de Nueva York enfrentaron intentos o compromisos exitosos a través de Tycoon 2FA, lo que resultó en incidentes que interrumpieron las operaciones, desviaron recursos y retrasaron la atención de los pacientes, añadió.

Microsoft y Health-ISAC presentaron una denuncia civil contra el presunto creador Saad Fridi y cuatro asociados anónimos, exigiendo una orden judicial de 10 millones de dólares por desarrollar, ejecutar y vender Tycoon 2FA. La orden judicial permitió a Microsoft desmantelar y tomar posesión de la infraestructura técnica de Tycoon 2FA.

Autoridades de Letonia, Lituania, Portugal, Polonia, España y el Reino Unido ayudaron en la operación junto con Cloudflare, Coinbase, Crowell & Moring, eSentire, Intel 471, Proofpoint, Resecurity, Shadowserver, SpyCloud y Trend Micro.

Selena Larson, investigadora de amenazas del personal de Proofpoint que proporcionó un declaración formal en apoyo de la orden judicialdijo que Tycoon 2FA fue responsable del mayor volumen de ataques de phishing de adversario en el medio observados por Proofpoint.

«Tycoon fue la mayor amenaza de phishing de MFA en nuestros datos y anticipamos ver una disminución significativa después de esta operación», dijo a CyberScoop.

«Muchos clientes encontrarán que su herramienta de piratería ya no funciona, e incluso si Tycoon 2FA es capaz de crear nuevos dominios e infraestructura, la marca se verá significativamente perjudicada, y los clientes comprarán un kit de phishing menos eficaz o potencialmente repensarán sus elecciones de vida y saldrán del juego», añadió Larson.

Las capacidades robustas y fáciles de usar de Tycoon 2FA contribuyeron a su popularidad, dijeron los investigadores. El código base de la plataforma se actualizaba periódicamente y los operadores generaban un gran volumen de subdominios durante breves períodos antes de abandonarlos y pasar a nuevos dominios.

Los investigadores dijeron que la rápida rotación y los cambios a infraestructura temporal complicaron los esfuerzos para detectar y bloquear nuevas campañas.

La eliminación de Tycoon 2FA se produce tras una reciente ola de medidas enérgicas contra los delitos cibernéticos, incluidas acciones contra Racoon0365 y la operación de robo de información Lumma Stealer, que infectó alrededor de 10 millones de sistemas.