Desmantelada la botnet SocksEscort que comprometía 369,000 IPs a nivel global
Publicado el
Operación contra SocksEscort
Las autoridades han llevado a cabo una operación coordinada que ha resultado en el desmantelamiento de SocksEscort, una botnet criminal que utilizaba miles de routers residenciales para perpetrar fraudes a gran escala. Esta red, activa desde 2020, se estima que comprometió 369,000 direcciones IP en 163 países.
Según el Departamento de Justicia de EE. UU., SocksEscort infectó routers de hogares y pequeñas empresas con malware, lo que permitía redirigir el tráfico de internet a través de estos dispositivos. Este servicio se ofrecía a los clientes a través de su página web, donde se anunciaban más de 8,000 routers infectados hasta febrero de 2026, incluyendo 2,500 en EE. UU.
La web de SocksEscort prometía IPs residenciales estáticas con ancho de banda ilimitado y la capacidad de eludir listas de bloqueo de spam. Los precios de los paquetes de acceso oscilaban entre 15 euros al mes por 30 proxies y 200 euros por 5,000 proxies. Esto permitía a los clientes llevar a cabo actividades delictivas sin que las víctimas lo supieran, dificultando la identificación del tráfico malicioso.
Impacto del Fraude
Los fraudes realizados con la ayuda de SocksEscort han tenido consecuencias significativas. Entre las víctimas se encuentran un cliente de una exchange de criptomonedas en Nueva York que perdió 1 millón de dólares en criptomonedas, así como una empresa manufacturera en Pensilvania que sufrió un fraude de 700,000 dólares. Además, miembros actuales y anteriores de las fuerzas armadas de EE. UU. con tarjetas MILITARY STAR fueron defraudados por 100,000 dólares.
Europol, que participó en la operación bajo el nombre de Operación Lightning, destacó la colaboración internacional que incluyó a autoridades de Austria, Bulgaria, Francia, Alemania, Hungría, Países Bajos, Rumanía y EE. UU.. Como resultado, se han cerrado 34 dominios y 23 servidores en siete países, y se han congelado 3,5 millones de dólares en criptomonedas.
Vulnerabilidades y Malware
La botnet SocksEscort se basaba en un malware conocido como AVrecon, que ha estado activo desde al menos mayo de 2021. Este malware no solo convertía dispositivos infectados en proxies residenciales, sino que también permitía el acceso remoto a servidores controlados por atacantes y la descarga de cargas útiles arbitrarias. AVrecon afecta aproximadamente a 1,200 modelos de dispositivos de marcas como Cisco, D-Link y TP-Link.
Para mantener la persistencia, los actores de la amenaza empleaban mecanismos de actualización del dispositivo para instalar un firmware modificado que contenía AVrecon, desactivando las funciones de actualización y causando infecciones permanentes. Según el FBI, la mayoría de los dispositivos infectados eran routers de pequeñas oficinas y hogares, que se vieron comprometidos a través de vulnerabilidades críticas.
Conclusiones
La desarticulación de SocksEscort representa un hito en la lucha contra las redes de fraudes en línea, destacando la necesidad de una vigilancia constante y medidas de seguridad robustas para proteger los dispositivos conectados a internet. Las autoridades continúan advirtiendo sobre los riesgos asociados a la utilización de equipos vulnerables y la importancia de aplicar actualizaciones de seguridad de manera regular.