Europol desmantela el servicio proxy malicioso SocksEscort
- Seguridad
La plataforma era utilizada para ocultar actividades delictivas, como ransomware o DDoS, mediante dispositivos domésticos comprometidos. La acción permitió incautar dominios, servidores y 3,5 millones de dólares en criptomonedas, además de desconectar cientos de miles de routers infectados.
Europol y agencias policiales de Austria, Francia, Países Bajos y Estados Unidos, con el apoyo de Eurojust, han ejecutado la Operación Lightning, una ofensiva internacional destinada a desmantelar el servicio proxy malicioso SocksEscort, responsable de comprometer más de 369.000 routers y dispositivos IoT en 163 países. La plataforma ofrecía a sus clientes más de 35.000 proxies para ocultar su identidad y facilitar actividades delictivas como ransomware, DDoS o distribución de material de abuso sexual infantil.
Durante el día de la operación, las autoridades tomaron el control de 34 dominios, incautaron 23 servidores en siete países y Estados Unidos congeló 3,5 millones de dólares en criptomonedas vinculadas al servicio. Los routers infectados fueron desconectados de la red criminal, y los países afectados recibirán alertas para continuar con las investigaciones.
Una infraestructura diseñada para el anonimato criminal
La investigación, iniciada en junio de 2025 por el Joint Cyberaction Task Force (J-CAT) de Europol, reveló que los operadores de SocksEscort explotaban una vulnerabilidad en routers residenciales de una marca concreta para crear un botnet global. Los clientes pagaban por acceder a estas direcciones IP comprometidas, utilizando criptomonedas para mantener el anonimato.
“La ciberdelincuencia prospera gracias al anonimato. Servicios proxy como ‘SocksEscort’ proporcionan a los delincuentes la cobertura digital que necesitan para lanzar ataques, distribuir contenido ilegal y eludir la detección”. señala Catherine De Bolle, directora ejecutiva de Europol, subrayando que la operación ha desmantelado una infraestructura que permitía delitos a escala mundial .
El comisario europeo de Asuntos de Interior, Magnus Brunner, destacó la importancia de la cooperación transatlántica: “Cuando las autoridades policiales europeas actúan conjuntamente con socios al otro lado del Atlántico, podemos desmantelar eficazmente las redes criminales y proteger mejor a nuestros ciudadanos”.
Un negocio criminal millonario
El servicio funcionaba mediante un modelo de suscripción, en el que los clientes adquirían licencias para usar las IP de los routers infectados, sin que sus propietarios fueran conscientes de ello. Se estima que la plataforma de pagos recibió más de 5 millones de euros procedentes de estas actividades.
Los dispositivos comprometidos se utilizaban para lanzar ataques de ransomware, ejecutar campañas de DDoS, distribuir contenido ilegal, incluido material de abuso sexual infantil, y ocultar la identidad de los atacantes en operaciones de fraude y ciberataques.
Europol recomienda a usuarios y fabricantes actualizar regularmente el firmware de sus dispositivos para evitar que vulnerabilidades similares sean explotadas.
