{"id":243,"date":"2026-03-13T07:35:56","date_gmt":"2026-03-13T07:35:56","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/13\/las-autoridades-interrumpen-la-botnet-proxy-socksescort-que-explota-369-000-ip-en-163-paises-cyberdefensa-mx\/"},"modified":"2026-03-13T07:35:56","modified_gmt":"2026-03-13T07:35:56","slug":"las-autoridades-interrumpen-la-botnet-proxy-socksescort-que-explota-369-000-ip-en-163-paises-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/13\/las-autoridades-interrumpen-la-botnet-proxy-socksescort-que-explota-369-000-ip-en-163-paises-cyberdefensa-mx\/","title":{"rendered":"Las autoridades interrumpen la botnet proxy SocksEscort que explota 369.000 IP en 163 pa\u00edses \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Una operaci\u00f3n policial internacional autorizada por un tribunal ha desmantelado un servicio de proxy criminal llamado CalcetinesAcompa\u00f1ante<\/strong> que esclaviz\u00f3 a miles de enrutadores residenciales en todo el mundo a una botnet para cometer fraude a gran escala.<\/p>\n

\u00abSocksEscort infect\u00f3 los enrutadores de Internet dom\u00e9sticos y de peque\u00f1as empresas con malware\u00bb, dijo el Departamento de Justicia de EE. UU. (DoJ) dicho<\/a>. \u00abEl malware permiti\u00f3 a SocksEscort dirigir el tr\u00e1fico de Internet a trav\u00e9s de los enrutadores infectados. SocksEscort vendi\u00f3 este acceso a sus clientes\u00bb.<\/p>\n

CalcetinesEscort (\u00absocksescort[.]com\u00bb) habr\u00eda ofrecido vender acceso a alrededor de 369.000 direcciones IP diferentes en 163 pa\u00edses desde el verano de 2020, y el servicio enumeraba casi 8.000 enrutadores infectados en febrero de 2026. De estos, 2.500 estaban ubicados en los EE. UU.<\/p>\n

En diciembre de 2025, el sitio web de SocksEscort afirmaba ofrecer \u00abIP residenciales est\u00e1ticas con ancho de banda ilimitado\u00bb y que pueden evitar las listas de bloqueo de spam. Anunciaba m\u00e1s de 35.900 proxies de 102 pa\u00edses, y un conjunto de 30 proxies costaba 15 d\u00f3lares al mes. Un paquete para 5.000 representantes costaba 200 d\u00f3lares al mes.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El objetivo final de servicios como SocksEscort es permitir a los clientes que pagan canalizar el tr\u00e1fico de Internet a trav\u00e9s de dispositivos comprometidos sin el conocimiento de la v\u00edctima, ofreci\u00e9ndoles una forma de mezclarse y dificultar la diferenciaci\u00f3n del tr\u00e1fico malicioso de la actividad leg\u00edtima al ocultar sus verdaderas direcciones IP y ubicaciones.<\/p>\n

Algunas de las v\u00edctimas que fueron defraudadas como parte de esquemas llevados a cabo utilizando SocksEscort incluyeron un cliente de un intercambio de criptomonedas que viv\u00eda en Nueva York y fue defraudado con $1 mill\u00f3n en criptomonedas; una empresa manufacturera en Pensilvania que fue defraudada por 700.000 d\u00f3lares; y miembros actuales y anteriores del servicio estadounidense con tarjetas MILITARY STAR que fueron defraudados por 100.000 d\u00f3lares.<\/p>\n

En un anuncio coordinado, Europol dijo que el esfuerzo, cuyo nombre en c\u00f3digo es Operaci\u00f3n Rel\u00e1mpago, involucr\u00f3 a autoridades de Austria, Bulgaria, Francia, Alemania, Hungr\u00eda, los Pa\u00edses Bajos, Rumania y los EE. UU. El ejercicio de interrupci\u00f3n result\u00f3 en la eliminaci\u00f3n de 34 dominios y 23 servidores ubicados en siete pa\u00edses. Se han congelado un total de 3,5 millones de d\u00f3lares en criptomonedas. <\/p>\n

\"\"<\/a><\/div>\n

\u00abEstos dispositivos, principalmente enrutadores residenciales, fueron explotados para facilitar diversas actividades delictivas, incluido ransomware, ataques DDoS y la distribuci\u00f3n de material de abuso sexual infantil (CSAM)\u00bb, Europol dicho<\/a>. \u00abLos dispositivos comprometidos fueron infectados a trav\u00e9s de una vulnerabilidad en los m\u00f3dems residenciales de una marca espec\u00edfica\u00bb.<\/p>\n

\u00abPara acceder al servicio de proxy, los clientes ten\u00edan que utilizar una plataforma de pago que permit\u00eda comprar el servicio de forma an\u00f3nima utilizando criptomonedas. Se estima que esta plataforma de pago recibi\u00f3 m\u00e1s de 5 millones de euros de los clientes del servicio de proxy\u00bb.<\/p>\n

SocksEscort funcionaba con un malware conocido como AVrecon, cuyos detalles fueron documentados p\u00fablicamente por Lumen Black Lotus Labs en julio de 2023. Sin embargo, se estima que est\u00e1 activo desde al menos mayo de 2021. Se estima que el servicio proxy ha victimizado a 280.000 direcciones IP distintas a partir de principios de 2025.<\/p>\n

Adem\u00e1s de convertir un dispositivo infectado en un proxy residencial de SocksEscort, AVrecon est\u00e1 equipado para establecer un shell remoto para un servidor controlado por un atacante y actuar como un cargador descargando y ejecutando cargas \u00fatiles arbitrarias. El malware se dirige a aproximadamente 1200 modelos de dispositivos fabricados por Cisco, D-Link, Hikvision, Mikrotik, Netgear, TP-Link y Zyxel.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abLa gran mayor\u00eda de los dispositivos observados infectados con el malware AVrecon son enrutadores de peque\u00f1as oficinas\/oficinas dom\u00e9sticas (SOHO) infectados mediante vulnerabilidades cr\u00edticas como la ejecuci\u00f3n remota de c\u00f3digo (RCE) y la inyecci\u00f3n de comandos\u00bb, dijo la Oficina Federal de Investigaciones de EE. UU. dicho<\/a> en una alerta. \u00abEl malware AVrecon est\u00e1 escrito en lenguaje C y se dirige principalmente a dispositivos MIPS y ARM\u00bb.<\/p>\n

Para lograr persistencia, se ha observado que los actores de amenazas utilizan el mecanismo de actualizaci\u00f3n incorporado del dispositivo para mostrar una imagen de firmware personalizada que contiene una copia de AVrecon, que est\u00e1 codificada para ejecutarla al iniciar el dispositivo. El firmware modificado tambi\u00e9n desactiva las funciones de actualizaci\u00f3n y actualizaci\u00f3n del dispositivo, lo que provoca que los dispositivos queden infectados permanentemente.<\/p>\n

\u00abEsta botnet representaba una amenaza significativa, ya que se comercializaba exclusivamente para delincuentes y estaba compuesta \u00fanicamente por dispositivos perif\u00e9ricos comprometidos\u00bb, dijo el equipo de Black Lotus Labs. dicho<\/a>. \u00abDurante los \u00faltimos a\u00f1os, SocksEscort mantuvo un tama\u00f1o promedio de aproximadamente 20.000 v\u00edctimas distintas por semana, con comunicaciones enrutadas a trav\u00e9s de un promedio de 15 nodos de comando y control (C2)\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Una operaci\u00f3n policial internacional autorizada por un tribunal ha desmantelado un servicio de proxy criminal llamado CalcetinesAcompa\u00f1ante que esclaviz\u00f3 a miles de enrutadores residenciales en todo el mundo a una botnet para cometer fraude a gran escala. \u00abSocksEscort infect\u00f3 los enrutadores de Internet dom\u00e9sticos y de peque\u00f1as empresas con malware\u00bb, dijo el Departamento de Justicia […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[438,173,24,851,850,95,381,88,822],"class_list":["post-243","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-autoridades","tag-botnet","tag-cyberdefensa-mx","tag-explota","tag-interrumpen","tag-las","tag-paises","tag-proxy","tag-socksescort"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/243","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=243"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/243\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=243"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=243"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=243"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}