La Organización Internacional de Policía Criminal (INTERPOL) ha anunciado el éxito de una operación internacional sin precedentes contra el malware infostealer, logrando el desmantelamiento de más de 20,000 direcciones IP y dominios maliciosos vinculados a 69 variantes de malware que roban información confidencial. La operación, denominada Operación Seguro, se llevó a cabo entre enero y abril de 2025 y contó con la participación de fuerzas del orden de 26 países en Asia y Oceanía.
Este esfuerzo coordinado a gran escala se centró en identificar, rastrear y desactivar infraestructuras de red utilizadas por ciberdelincuentes para lanzar campañas de phishing, fraude en línea y estafas en redes sociales, actividades que suelen tener como punto de partida la infección mediante malware infostealer.
Un esfuerzo conjunto para combatir el malware ladrón de información
Según el comunicado oficial de INTERPOL, la Operación Seguro permitió eliminar el 79 % de las direcciones IP sospechosas que fueron identificadas durante la investigación. Además, se logró la incautación de 41 servidores que funcionaban como centros de comando y control (C2), utilizados para gestionar ataques cibernéticos a escala internacional. También se recuperaron más de 100 GB de datos relacionados con estas actividades criminales.
Uno de los aspectos más destacados de la operación fue la detención de 32 sospechosos presuntamente implicados en el desarrollo, distribución o uso de malware infostealer. De estos, 18 fueron arrestados en Vietnam, donde las autoridades también confiscaron equipos electrónicos, tarjetas SIM, documentación comercial y efectivo por valor de 11.500 dólares estadounidenses. Por otra parte, Sri Lanka reportó 12 detenciones adicionales, mientras que Nauru arrestó a 2 individuos relacionados con estos delitos cibernéticos.
Infraestructura maliciosa desmantelada en múltiples países
La operación también reveló el grado de distribución geográfica de la infraestructura maliciosa. La policía de Hong Kong, por ejemplo, identificó 117 servidores C2 alojados en 89 proveedores de servicios de internet (ISP), subrayando cómo los actores de amenazas aprovechan servicios legítimos para ocultar sus operaciones. Estos servidores eran fundamentales para el funcionamiento de campañas maliciosas y la distribución de malware en múltiples países.
Entre los países participantes en la operación se encuentran: Brunei, Camboya, Fiyi, Hong Kong (China), India, Indonesia, Japón, Kazajistán, Kiribati, Laos, Macao (China), Malasia, Maldivas, Nauru, Nepal, Papúa Nueva Guinea, Filipinas, Samoa, Singapur, Islas Salomón, Corea del Sur, Sri Lanka, Tailandia, Timor Oriental, Tonga, Vanuatu y Vietnam.
El auge del malware infostealer como herramienta del cibercrimen
El malware conocido como infostealer o ladrón de información se ha convertido en una de las herramientas más populares entre los ciberdelincuentes debido a su capacidad para extraer datos sensibles directamente de sistemas comprometidos. Estos programas maliciosos pueden robar:
-
Credenciales de inicio de sesión almacenadas en navegadores
-
Cookies de sesión
-
Datos de tarjetas de crédito
-
Contraseñas de plataformas en línea
-
Información de billeteras de criptomonedas
Una vez recolectada, esta información se vende en foros clandestinos de ciberdelincuencia en forma de “logs”, permitiendo a otros actores realizar ataques secundarios como:
-
Ransomware
-
Violaciones de datos
-
Compromiso de correos electrónicos empresariales (BEC)
-
Fraudes financieros dirigidos
Colaboración entre sector público y privado
La operación fue posible gracias a la colaboración entre agencias de seguridad pública y empresas de ciberseguridad privadas, que aportaron inteligencia crítica sobre la infraestructura maliciosa. La empresa Group-IB, con sede en Singapur, jugó un papel clave al proporcionar información sobre cuentas de usuario comprometidas mediante malware como Lumma Stealer, RisePro y MetaStealer.
Según Dmitry Volkov, CEO de Group-IB, “las credenciales comprometidas y los datos confidenciales adquiridos por los ciberdelincuentes mediante infostealers suelen ser el primer paso hacia ataques de gran escala como el ransomware y el fraude financiero”.
La compañía Trend Micro también contribuyó, identificando variantes prominentes como Vidar, Lumma Stealer y Rhadamanthys. Por su parte, Kaspersky compartió datos sobre las infraestructuras de comando y control asociadas con la distribución y gestión del malware infostealer.
Contexto y operaciones relacionadas
Este operativo llega pocas semanas después de una acción similar en la que se incautaron 2,300 dominios asociados al malware Lumma Stealer. Asimismo, en octubre de 2024, las fuerzas del orden interrumpieron la infraestructura de los infostealers RedLine y MetaStealer, desmantelando redes de distribución activas en múltiples regiones.
Estas operaciones ponen en evidencia el creciente uso del modelo malware-as-a-service (MaaS), donde los desarrolladores ofrecen sus herramientas maliciosas por suscripción a otros ciberdelincuentes, facilitando el acceso al cibercrimen para actores menos sofisticados.
Una victoria significativa contra el cibercrimen global
La Operación Seguro de INTERPOL representa una victoria significativa en la lucha contra el malware infostealer y el cibercrimen transnacional. Al eliminar miles de dominios y servidores maliciosos, incautar datos clave y arrestar a varios sospechosos, se ha dado un golpe estratégico a las redes que comercializan con información robada.
Sin embargo, esta operación también demuestra la necesidad de vigilancia constante, cooperación internacional y apoyo del sector privado para abordar amenazas cada vez más complejas y distribuidas globalmente.
Fuente: The Hacker News
