Las autoridades policiales y judiciales de Europa y Norteamérica anunciaron el desmantelamiento de una infraestructura criminal de red privada virtual (VPN) utilizada por grupos de ransomware, operadores de fraude y actores de amenazas para ocultar la procedencia de ataques cibernéticos a nivel global.
La operación internacional, denominada Operación Saffron, logró interrumpir el servicio conocido como First VPN, una plataforma promocionada en foros clandestinos de ciberdelincuencia en ruso como una herramienta diseñada específicamente para proteger operaciones criminales frente a las fuerzas del orden.
La investigación fue liderada por Francia y los Países Bajos con apoyo de múltiples países y organismos internacionales, marcando uno de los mayores golpes recientes contra servicios de anonimización utilizados por el ecosistema del cibercrimen.
¿Qué era First VPN y por qué preocupaba a las autoridades?
First VPN operaba como un proveedor de servicios VPN enfocado en ofrecer anonimato extremo a ciberdelincuentes.
Según Europol, el servicio permitía:
- Pagos anónimos
- Infraestructura oculta
- Protección frente a investigaciones policiales
- Encubrimiento de ataques ransomware
- Ocultamiento de actividades de fraude y robo de datos
El servicio era promocionado activamente en foros de ciberdelincuencia de habla rusa como:
- Exploit[.]in
- XSS[.]is
Los operadores afirmaban que el servicio no almacenaba registros, no cooperaba con autoridades y estaba fuera del alcance de cualquier jurisdicción internacional.
Operación Saffron movilizó a más de 15 países
La operación internacional fue coordinada entre el 19 y el 20 de mayo y contó con la participación de autoridades de:
- Francia
- Países Bajos
- Estados Unidos
- Reino Unido
- Alemania
- Canadá
- España
- Suecia
- Polonia
- Portugal
- Ucrania
- Suiza
- Luxemburgo
- Estonia
- Letonia
- Lituania
- Dinamarca
- Rumanía
La investigación había comenzado en diciembre de 2021 y culminó con múltiples acciones simultáneas dirigidas contra la infraestructura del servicio.
Autoridades confiscan servidores y entrevistan al administrador
Durante la Operación Saffron, las fuerzas de seguridad realizaron:
- El registro de un domicilio en Ucrania
- La entrevista del administrador del servicio
- La desactivación de 33 servidores
- La confiscación de infraestructura crítica utilizada por la VPN criminal
Además, las autoridades tomaron control de varios dominios vinculados al servicio, incluyendo:
- 1vpns[.]com
- 1vpns[.]net
- 1vpns[.]org
- Dominios onion asociados en la red Tor
Según Eurojust, el sitio web de First VPN prometía explícitamente anonimato absoluto y ausencia de cooperación con autoridades judiciales.
El FBI revela detalles técnicos de la infraestructura VPN
El Federal Bureau of Investigation reveló que First VPN operaba desde aproximadamente 2014 y contaba con al menos 32 nodos de salida distribuidos en 27 países.
Tres de los servidores estaban ubicados en Estados Unidos.
La red VPN también poseía infraestructura en:
- Alemania
- Francia
- Reino Unido
- España
- Suecia
- Suiza
- Canadá
- Singapur
- Rusia
- Hong Kong
- Panamá
- Turquía
- Ucrania
- Países Bajos
- Bélgica
La amplia distribución geográfica permitía a los ciberdelincuentes ocultar el origen real de sus actividades y dificultar el rastreo forense.
Grupos de ransomware utilizaron First VPN para ataques
Las autoridades estadounidenses indicaron que al menos 25 grupos de ransomware utilizaron la infraestructura de First VPN para realizar:
- Reconocimiento de redes
- Intrusiones iniciales
- Movimiento lateral
- Exfiltración de datos
- Ataques de denegación de servicio
Entre los grupos vinculados al servicio figura Avaddon, conocido por múltiples campañas de extorsión y cifrado de datos a nivel internacional.
El uso de servicios VPN criminales permite a los operadores ransomware ocultar direcciones IP reales y encubrir actividades maliciosas durante ataques contra empresas y gobiernos.
First VPN ofrecía herramientas avanzadas de anonimización
Según el FBI, el servicio proporcionaba múltiples protocolos y tecnologías diseñadas para evadir detección y análisis de tráfico.
Entre las tecnologías soportadas destacaban:
- OpenConnect
- WireGuard
- Outline
- VLESS TCP Reality
- OpenVPN ECC
- L2TP/IPSec
- PPTP
Uno de los elementos más preocupantes era el uso de protocolos como VLESS y Reality, capaces de disfrazar tráfico VPN como tráfico HTTPS legítimo.
Esta técnica dificultaba considerablemente la detección por parte de sistemas de monitoreo y herramientas de inspección de tráfico corporativo.
El servicio también ofrecía soporte técnico cifrado
First VPN operaba prácticamente como una empresa comercial clandestina.
Los usuarios recibían soporte técnico mediante:
- Servidores Jabber autoalojados
- Canales cifrados de Telegram
Además, el servicio aceptaba pagos a través de:
- Bitcoin
- Perfect Money
- WebMoney
- EgoPay
- InterKassa
Los precios variaban entre 2 dólares por un día de acceso y 483 dólares por suscripciones anuales completas.
Bitdefender advierte sobre el impacto en el ecosistema criminal
Bitdefender colaboró activamente con la investigación internacional y aportó información relacionada con 506 usuarios vinculados al servicio.
La compañía destacó que la eliminación de plataformas de anonimización incrementa los costes operativos para el ecosistema criminal.
Según Bitdefender:
“Cada retirada acorta la ventana operativa del siguiente servicio y eleva la barrera para los actores que dependían de soluciones llave en mano”.
La operación también envía un fuerte mensaje a usuarios de servicios clandestinos que confían en promesas de anonimato absoluto.
Usuarios del servicio fueron advertidos por las autoridades
Europol confirmó que los usuarios identificados de First VPN fueron notificados oficialmente sobre el cierre del servicio y advertidos de que sus identidades ya son conocidas por las autoridades.
Este tipo de acciones busca generar un efecto disuasorio dentro de comunidades de ciberdelincuencia que dependen de servicios de anonimización para operar.
First VPN afirmaba no almacenar registros
Capturas históricas recuperadas desde Internet Archive muestran que First VPN utilizaba eslóganes como:
- “Anonimato”
- “Estabilidad”
- “Seguridad”
El servicio aseguraba que no almacenaba registros capaces de asociar direcciones IP con usuarios específicos.
Sin embargo, las autoridades demostraron que incluso plataformas que prometen privacidad absoluta pueden terminar comprometidas o infiltradas durante investigaciones internacionales.
Curiosamente, First VPN también incluía cláusulas en sus preguntas frecuentes donde afirmaba prohibir estrictamente actividades ilegales para intentar reducir responsabilidad legal.
Los servicios de anonimización criminal siguen creciendo
Aunque el cierre de First VPN representa un importante golpe para el ecosistema del cibercrimen, los expertos advierten que nuevos servicios similares continuarán apareciendo debido a la alta demanda existente entre actores maliciosos.
Los grupos ransomware y organizaciones criminales modernas dependen cada vez más de:
- VPN clandestinas
- Infraestructura bulletproof hosting
- Redes Tor
- Proxies residenciales
- Plataformas de anonimización avanzada
La Operación Saffron demuestra que las fuerzas internacionales están intensificando esfuerzos coordinados para atacar no solo a los grupos ransomware directamente, sino también a toda la infraestructura tecnológica que hace posible sus operaciones globales.
El desmantelamiento de First VPN confirma además una tendencia creciente: las agencias internacionales están enfocándose en destruir el ecosistema de soporte del cibercrimen, debilitando gradualmente la capacidad operativa de actores de amenazas avanzadas y organizaciones de ransomware a escala mundial.
Fuente: The Hacker News
