Una operación internacional congela 41 millones de euros en criptomonedas robadas

Una operación policial internacional a gran escala ha asestado un golpe importante a los ciberdelincuentes que roban criptomonedas en todo el mundo. Durante la última fase de la Operación Endgame, se localizaron y congelaron activos digitales robados por valor de más de 41 millones de euros. Además, se desmanteló la infraestructura digital de tres familias de malware ampliamente utilizadas.

La operación se prolongó durante dos semanas y fue llevada a cabo por cuerpos de investigación de varios países, en colaboración, entre otros, con Europol y Microsoft. La acción se centró en las familias de malware SocGholish, Amadey y StealC, utilizadas por ciberdelincuentes para infectar ordenadores y sustraer datos sensibles.

El malware apunta a usuarios de monederos de criptomonedas

El malware es un software malicioso que se instala de forma inadvertida en un ordenador. En este caso, el objetivo principal era robar datos que permitieran a los ciberdelincuentes acceder a monederos de criptomonedas, las carteras digitales en las que se almacenan estos activos.

StealC es un infostealer, es decir, un malware diseñado específicamente para recopilar información sensible. El programa roba, entre otros datos, contraseñas, cookies del navegador e información de monederos de criptomonedas. Investigadores de la empresa de ciberseguridad Proofpoint descubrieron además que StealC intentaba obtener la frase semilla de usuarios de MetaMask. Con esta secuencia de palabras de recuperación es posible restaurar por completo un monedero, lo que permite a los delincuentes hacerse con todo su contenido.

Amadey se utiliza para infectar inicialmente los ordenadores, tras lo cual se instala malware adicional. SocGholish se propaga a través de sitios web pirateados en los que los visitantes ven un falso aviso que les pide actualizar el navegador. Quien hace clic instala el malware sin darse cuenta.

Cientos de servidores y miles de sitios web desconectados

Según Europol, la operación internacional dejó un amplio balance de resultados. Durante la actuación se:

• desactivaron 326 servidores;
• dejaron fuera de línea 142 dominios de internet;
• recuperaron casi 27 millones de credenciales robadas;
• identificaron más de 385.000 ordenadores infectados;
• limpiaron casi 15.000 sitios web infectados.

Entre los sitios web afectados había muchas páginas de pequeñas empresas que, en muchos casos, no sabían que sus webs estaban siendo utilizadas para distribuir malware.

Microsoft informó además de que Amadey y StealC fueron responsables, solo en la primera mitad de mayo, de más de 140.000 ordenadores infectados en todo el mundo.

Los infostealers son una amenaza creciente para las criptomonedas

Según expertos en ciberseguridad, los infostealers se han convertido ya en uno de los mayores riesgos para los titulares de criptomonedas. Este tipo de malware busca activamente contraseñas, claves privadas y códigos de recuperación con los que pueden robarse activos digitales.

Los ciberdelincuentes distribuyen este malware mediante métodos muy variados, como falsos programas de inteligencia artificial, fondos de Steam modificados y modificaciones ilegales para videojuegos de ordenador.

La magnitud del problema quedó también de manifiesto durante una fase anterior de la Operación Endgame. Entonces se descubrieron los datos de más de 100.000 monederos de criptomonedas cuyas credenciales ya habían sido robadas, aunque en ese momento los monederos aún no habían sido vaciados.

Microsoft también emprende acciones legales

Además de la operación policial internacional, Microsoft ha presentado en Estados Unidos una demanda civil contra los grupos que están detrás de Amadey y StealC.

Con ayuda de inteligencia artificial, incluido Microsoft Copilot, los investigadores descubrieron que ambas familias de malware utilizaban la misma infraestructura digital, aunque habían sido desarrolladas por ciberdelincuentes distintos. Esto permitió a Microsoft actuar contra ambas redes de forma conjunta al amparo de la legislación estadounidense RICO, concebida para combatir el crimen organizado.

Según Microsoft, ya se han desactivado más de 200 servidores de mando y control. A través de estos servidores, los ciberdelincuentes manejan a distancia los ordenadores infectados. Además, la compañía ha identificado más de 18.000 ordenadores de víctimas y ha adoptado medidas para cortar el control de los atacantes.

Europol advierte de que la amenaza cibernética persiste

Aunque la operación supone una victoria relevante para las fuerzas internacionales de investigación, los expertos advierten de que los ciberdelincuentes se adaptan con rapidez. Aparecen nuevas versiones de malware con regularidad y los delincuentes suelen reconstruir su infraestructura. De hecho, este mismo mes ya ha surgido una versión renovada de StealC.

Por ello, Europol aconseja a los usuarios mantenerse alerta y comprobar periódicamente si sus datos han sido sustraídos. Esto puede hacerse, entre otros medios, a través del sitio web Have I Been Pwned. Quien descubra que sus datos personales se han filtrado debería cambiar las contraseñas de inmediato y, siempre que sea posible, activar la verificación en dos pasos para proteger mejor sus cuentas y monederos de criptomonedas.