Las agencias policiales de todo el mundo han desmantelado con éxito SocksEscort, una importante red de bots criminal compuesta por decenas de miles de enrutadores comprometidos. La operación, que involucró a varios países, cerró efectivamente una red utilizada para una amplia gama de actividades ilegales, incluido el fraude financiero, los ataques DDoS y la distribución de contenido ilegal.
La magnitud de la amenaza
SocksEscort operaba infectando enrutadores domésticos y de pequeñas empresas, convirtiéndolos en representantes involuntarios de delincuentes. Según Europol, la botnet comprometió más de 369.000 enrutadores y dispositivos de IoT en 163 países. Las víctimas no sabían que sus dispositivos estaban siendo explotados. El servicio cobraba a los delincuentes por el acceso a estas máquinas infectadas, lo que les permitía enmascarar sus direcciones IP y llevar a cabo ataques sin fácil trazabilidad.
Actividades delictivas facilitadas por SocksEscort
La botnet permitió un espectro de delitos cibernéticos:
- Fraude Financiero: Hackear cuentas bancarias y de criptomonedas.
- Fraude de desempleo: Presentar reclamos fraudulentos para obtener ganancias financieras.
- Ataques de ransomware: Implementación de malware para extorsión.
- Ataques DDoS: Interrupción de servicios a través de tráfico abrumador.
- Distribución de contenido ilegal: Alojar y distribuir material de abuso sexual infantil (CSAM).
El Departamento de Justicia (DOJ) estima que los crímenes facilitados por SocksEscort resultaron en millones de dólares en pérdidas para las víctimas estadounidenses.
Cómo operaba la botnet
El malware utilizado para impulsar SocksEscort, conocido como AVRecon, ha estado activo desde al menos enero de 2023. La empresa de ciberseguridad Black Lotus Labs, que rastreó la botnet y ayudó a las autoridades, señaló que la red alcanzó un máximo de alrededor de 280.000 enrutadores comprometidos. Más de la mitad de los dispositivos infectados estaban ubicados en Estados Unidos y el Reino Unido, lo que los hace particularmente efectivos para ataques dirigidos.
El derribo
Las autoridades tomaron el control del sitio web SocksEscort y reemplazaron su contenido con un aviso que anunciaba la operación. Los enrutadores infectados han sido desconectados del servicio, pero los expertos advierten que pueden surgir botnets similares.
La caída de SocksEscort demuestra la creciente sofisticación del ciberdelito y los desafíos para combatirlo. Los delincuentes adaptan constantemente sus métodos, lo que hace que la cooperación internacional y las medidas avanzadas de ciberseguridad sean esenciales para proteger a las personas y las empresas.
El desmantelamiento de SocksEscort representa un duro golpe para los ciberdelincuentes, pero la amenaza constante de las botnets subraya la necesidad de vigilancia y mejora de la seguridad de los enrutadores entre los usuarios.
