Por Angel Di Matteo 𝕏 @shadowargelUna operación coordinada por Europol logró desarticular parte de la infraestructura detrás de varias familias de malware especializadas en el robo de criptomonedas. La acción permitió congelar aproximadamente EUR €41 millones (unos USD $47 millones) en activos digitales vinculados a actividades criminales, además de intervenir cientos de servidores, dominios y sitios web comprometidos utilizados para distribuir software malicioso.
***
- Europol congeló cerca de USD $47 millones en criptomonedas vinculadas al cibercrimen.
- La operación desmanteló la infraestructura de los malwares StealC, Amadey y SocGholish.
- Las autoridades recuperaron 27 millones de credenciales robadas de más de 385.000 equipos.
- Microsoft utilizó inteligencia artificial para vincular dos familias de malware dentro de una misma red criminal.
- Los investigadores advierten que los infostealers siguen siendo una de las principales amenazas para los usuarios de criptomonedas.
🚨 Desmantelan red de malware que robaba criptomonedas 🚨
Europol congeló USD $47 millones en activos digitales vinculados al cibercrimen.
Se intervinieron 326 servidores y 142 dominios.
Más de 27 millones de credenciales robadas fueron recuperadas.
StealC, Amadey y… pic.twitter.com/vogyiWjFHu
— Diario฿itcoin (@DiarioBitcoin) June 25, 2026
Los ataques contra usuarios de criptomonedas han evolucionado en los últimos años desde sofisticados hackeos contra plataformas hacia campañas masivas de malware capaces de robar silenciosamente las credenciales almacenadas en computadoras personales. Estos programas, conocidos como infostealers, se han convertido en una de las herramientas favoritas de los ciberdelincuentes, permitiéndoles vaciar billeteras digitales sin necesidad de vulnerar directamente las redes blockchain.
Europol golpea la infraestructura del “cibercrimen como servicio”
Europol anunció esta semana una nueva fase de la Operación Endgame, una ofensiva internacional dirigida contra organizaciones dedicadas al denominado cybercrime-as-a-service, un modelo mediante el cual grupos criminales desarrollan y alquilan herramientas de malware a otros delincuentes.
Durante dos semanas de operativos coordinados entre varios países, las autoridades lograron identificar, rastrear y congelar más de EUR €41 millones (aproximadamente USD $47 millones) en activos digitales relacionados con actividades ilícitas, detalla Decrypt.
La operación también permitió intervenir 326 servidores, 142 dominios, limpiar cerca de 15.000 sitios web infectados y recuperar aproximadamente 27 millones de credenciales robadas provenientes de más de 385.000 sistemas comprometidos.
Tres familias de malware en el centro de la investigación
La ofensiva se concentró sobre tres conocidas familias de malware: StealC, Amadey y SocGholish, responsables de buena parte de las campañas actuales dirigidas contra usuarios de criptomonedas.
StealC, comercializado desde 2023 bajo el modelo de malware como servicio, está diseñado para extraer contraseñas, cookies del navegador, datos de billeteras digitales y otra información sensible almacenada en los equipos infectados. Investigadores de Proofpoint descubrieron incluso que su panel de administración incorporaba un complemento capaz de intentar descifrar las frases semilla (seed phrases) de billeteras MetaMask.
Por su parte, Amadey suele actuar como la puerta de entrada inicial, comprometiendo el dispositivo para posteriormente descargar otros programas maliciosos, mientras que SocGholish, vinculado al grupo ruso Evil Corp, infecta a las víctimas mediante falsas actualizaciones del navegador distribuidas desde sitios web previamente comprometidos.
La combinación de estas herramientas permite a los atacantes tomar control de equipos, vaciar billeteras de criptomonedas, secuestrar cuentas e incluso desplegar ataques de ransomware.
Microsoft recurrió a la inteligencia artificial
Microsoft, uno de los socios de la Operación Endgame, también desempeñó un papel relevante durante la investigación.
La compañía explicó que su Digital Crimes Unit utilizó herramientas de inteligencia artificial, incluido Copilot, para analizar el funcionamiento interno de los distintos programas maliciosos.
Gracias a ese análisis automatizado, los investigadores lograron demostrar que Amadey y StealC, aunque desarrollados por grupos distintos, compartían infraestructura de comando y control. Esa relación permitió presentar en Estados Unidos una demanda bajo la ley RICO, normalmente utilizada para perseguir organizaciones criminales, tratando ambas familias de malware como parte de una misma conspiración.
Como resultado, Microsoft consiguió interrumpir el funcionamiento de más de 200 servidores de comando y control, identificar más de 18.000 equipos comprometidos y comenzar el proceso para cortar el acceso de los atacantes a esos sistemas.
Los infostealers, una amenaza creciente para el ecosistema cripto
Los especialistas consideran que los infostealers representan actualmente una de las principales amenazas para quienes almacenan criptomonedas en computadoras personales.
Estos programas no necesitan vulnerar una blockchain ni comprometer un exchange. Su objetivo consiste en infiltrarse silenciosamente en los dispositivos de las víctimas para copiar archivos de billeteras, claves privadas, frases semilla y credenciales de acceso antes de enviarlas a los operadores del malware.
Las campañas suelen distribuirse mediante herramientas de inteligencia artificial falsas, fondos de pantalla para Steam, videojuegos pirateados, extensiones del navegador o supuestas actualizaciones de software.
Una fase anterior de la Operación Endgame ya había descubierto información correspondiente a más de 100.000 billeteras de criptomonedas, cuyos propietarios aún no habían sufrido el robo de sus fondos, demostrando la enorme cantidad de credenciales comprometidas que circulan en mercados clandestinos.
El desmantelamiento no elimina la amenaza
Aunque la operación representa uno de los mayores golpes recientes contra las redes de malware especializadas en criptomonedas, las autoridades reconocen que estos grupos suelen reorganizarse rápidamente.
De hecho, los investigadores señalaron que StealC lanzó una nueva versión del malware tan recientemente como este mismo mes, evidencia de la capacidad de adaptación de este tipo de organizaciones criminales.
Mientras continúan las investigaciones, Europol y sus socios están notificando a posibles víctimas mediante plataformas como Have I Been Pwned, permitiendo que los usuarios comprueben si sus credenciales ya forman parte de las bases de datos robadas.
La operación demuestra que la lucha contra el robo de criptomonedas ya no depende únicamente de reforzar la seguridad de exchanges o protocolos blockchain. Cada vez más, la batalla se libra en los propios dispositivos de los usuarios, donde un simple programa malicioso puede convertirse en la llave de acceso a toda una cartera de activos digitales.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Criptomonedas
ZachXBT carga contra MemeCore tras desplome de 75% y exige respuestas a Binance y Bybit
Bitcoin
Bitcoin podría superar al oro en 20 años, sugiere análisis
Criptomonedas
Rusia retrasa su nueva ley de criptomonedas mientras prepara restricciones a la publicidad
Criptomonedas