Una operación internacional con autorización judicial acaba de desmantelar un servicio proxy criminal que había convertido routers domésticos y de pequeñas empresas en una extensa red de acceso remoto para actividades fraudulentas. Según el Departamento de Justicia de Estados Unidos, el servicio, conocido como SocksEscort, instalaba malware en equipos de borde para encaminar tráfico a través de ellos y luego vendía ese acceso a terceros.
Los fiscales y las fuerzas de seguridad describen un esquema que no solo traficaba con direcciones IP residenciales, sino que permitía a sus clientes ocultar su origen real, confundiendo sistemas de detección y blindando estafas detrás de tráfico aparentemente legítimo. El Gobierno norteamericano explica los detalles en su comunicado oficial; puede leerse aquí: Departamento de Justicia – nota sobre SocksEscort.
Las cifras que han trascendido muestran la escala del problema: desde el verano de 2020 el servicio habría puesto a la venta acceso a cientos de miles de direcciones IP repartidas por más de un centenar de países; a principios de 2026 la plataforma enumeraba miles de routers comprometidos, con un número significativo localizados en Estados Unidos. La propia página del servicio prometía, al menos hasta finales de 2025, direcciones “residenciales estáticas con ancho de banda ilimitado” y esquemas de precios pensados para distintos volúmenes de uso.
No se trataba de un simple proxy: la infraestructura técnica detrás de SocksEscort se apoyaba en un malware conocido como AVrecon, que investigadores de la industria ya habían documentado con antelación. Esta pieza maliciosa era capaz no solo de convertir un dispositivo en proxy, sino también de abrir una shell remota y descargar ejecuciones adicionales, lo que la convertía en una puerta de entrada versátil para distintos tipos de ataques. Un resumen técnico y alertas oficiales ofrecen más contexto sobre esas capacidades y la variedad de dispositivos afectados: Alerta del FBI / IC3 y el análisis de los investigadores de Black Lotus Labs, que han seguido la evolución de AVrecon.
Los modelos atacados abarcan una amplia gama de dispositivos comerciales y domésticos: fabricantes como Cisco, D-Link, Hikvision, Mikrotik, Netgear, TP-Link y Zyxel estuvieron entre los señalados. Los atacantes habrían aprovechado fallos graves, incluidos errores que permiten la ejecución remota de código o inyecciones de comandos, para implantar el código malicioso. Además, para garantizar persistencia, en muchos casos se usó el mecanismo legítimo de actualización de firmware del equipo para grabar una imagen modificada que deshabilitaba las funciones de actualización, dejando al dispositivo permanentemente comprometido.
La consecuencia práctica para las víctimas fue doble: por un lado, sus equipos quedaban bajo el control de atacantes; por otro, esa infraestructura permitía a los delincuentes operar con gran sigilo. Europol sintetizó el impacto alertando de que las máquinas secuestradas sirvieron para facilitar desde ataques de denegación de servicio y campañas de ransomware hasta la distribución de material ilegal. La intervención coordinada, bautizada como Operación Lightning, implicó a fuerzas de seguridad de diversos países europeos y Estados Unidos; el organismo de la UE explica la operación y sus resultados aquí: Europol – comunicado sobre la interrupción de SocksEscort.
En el plano económico, los daños han sido reales y documentados. Se han identificado casos individuales de pérdidas millonarias: desde un usuario de un exchange de criptomonedas que fue despojado de alrededor de un millón de dólares, hasta una empresa manufacturera que sufrió un fraude por cientos de miles. Además, hubo víctimas entre personal militar que vieron sustraerse fondos de tarjetas específicas de servicio. Las investigaciones también han logrado congelar activos encriptados asociados con la actividad ilícita.
Los responsables de la operación señalan que el servicio fonctionaba dentro de un ecosistema diseñado para preservar el anonimato de los compradores: la compra del acceso se realizaba mediante plataformas de pago en criptomoneda, lo que según las autoridades facilitó ingresos multimillonarios para quienes operaban la infraestructura. Las autoridades consiguieron desactivar decenas de dominios y servidores ligados a la red, y congelar cantidades significativas de criptodivisas vinculadas al esquema.
Desde el punto de vista técnico, lo que hace especialmente peligroso a un servicio como SocksEscort es que vende “camuflaje” digital: al enviar tráfico a través de dispositivos residenciales reales, un atacante puede parecer local o legítimo para sistemas de seguridad y para las plataformas en línea, dificultando la trazabilidad y la atribución. Investigadores de la industria han subrayado que, en su momento, la botnet mantuvo un número sostenido de víctimas semanales que se contaban por decenas de miles y operó con múltiples nodos de mando y control para evitar su interrupción.
Para quienes usan redes domésticas o administran pequeñas infraestructuras, la lección es clara: muchos ataques comienzan aprovechando configuraciones por defecto, firmware desactualizado o servicios de gestión remota expuestos. Mantener equipos actualizados, cambiar contraseñas por defecto, desactivar la administración remota cuando no sea necesaria y aplicar las correcciones de seguridad que publiquen los fabricantes son medidas fundamentales para reducir el riesgo de intrusión. Las autoridades y los equipos de respuesta recomiendan revisar avisos públicos y aplicar parches; el aviso técnico del FBI es un buen punto de partida para administradores y usuarios preocupados por esta amenaza.
El caso SocksEscort también es una llamada de atención más amplia: a medida que millones de dispositivos IoT y routers se integran en hogares y pymes, la superficie de ataque crece y los delincuentes encuentran en esos equipos un recurso barato y abundantemente disponible. La respuesta policial internacional demuestra que la cooperación entre jurisdicciones y el trabajo conjunto entre sector público y privado siguen siendo esenciales para desactivar redes ilícitas que operan a escala global.
Si quieres profundizar en las fuentes oficiales y en el análisis técnico que han ido surgiendo, puedes consultar la nota del Departamento de Justicia mencionada arriba, el comunicado de Europol, el boletín técnico del FBI y el seguimiento de los investigadores de Black Lotus Labs sobre AVrecon: DoJ, Europol, FBI / IC3 y el informe público de los investigadores que han seguido el malware (Black Lotus Labs).
En resumen, la caída de SocksEscort es una victoria para la justicia, pero también un recordatorio de que la seguridad de internet empieza en cada dispositivo conectado. Proteger el router de casa no es solo una medida técnica: es una barrera concreta contra fraudes que pueden arruinar personas y empresas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...