Por Canuto Una operación internacional desmanteló SocksEscort, una red criminal que convirtió cientos de miles de routers domésticos y de pequeñas empresas en proxies para esconder delitos, incluidos hackeos a cuentas bancarias y de criptomonedas.
***
- Europol afirmó que la red comprometió más de 369.000 routers y dispositivos IoT en 163 países.
- El DOJ dijo que el servicio facilitó delitos que costaron millones de dólares a ciudadanos estadounidenses.
- Black Lotus Labs vinculó la infraestructura al malware AVRecon y colaboró en la operación de desmantelamiento.
🚨 Desmantelan SocksEscort, una botnet que comprometió más de 369,000 routers en 163 países.
Utilizada para hackear cuentas bancarias y de criptomonedas.
Millones de dólares en pérdidas para ciudadanos estadounidenses.
Dispositivos IoT mal protegidos se convirtieron en… pic.twitter.com/2wHVjreuzf
— Diario฿itcoin (@DiarioBitcoin) March 12, 2026
Una coalición global de agencias de ley desmanteló esta semana SocksEscort, un servicio de proxies pagados que operaba sobre una botnet formada por decenas de miles de routers domésticos y de pequeñas empresas comprometidos. El caso vuelve a poner sobre la mesa un problema clave en ciberseguridad: dispositivos cotidianos, mal protegidos o desactualizados, pueden terminar convertidos en infraestructura para delitos financieros y ataques a gran escala.
Según informó el Departamento de Justicia de Estados Unidos (DOJ), la red fue usada para facilitar varios crímenes, entre ellos el hackeo de cuentas bancarias y de criptomonedas de las víctimas, así como la presentación de reclamaciones fraudulentas de seguros de desempleo. La agencia señaló que las actividades asociadas a SocksEscort costaron millones de dólares a estadounidenses.
En paralelo, Europol indicó que la operación apuntó a una infraestructura con alcance global. La agencia europea sostuvo que SocksEscort comprometió más de 369.000 routers y dispositivos IoT (Internet de las Cosas) en 163 países, y añadió que los equipos infectados “han sido desconectados del servicio”.
El golpe es relevante porque este tipo de redes permite a ciberdelincuentes ocultar su dirección IP real detrás de conexiones residenciales aparentemente legítimas. Eso dificulta la detección por parte de plataformas financieras, exchanges, bancos y sistemas antifraude, ya que el tráfico parece provenir de hogares o pequeños negocios normales.
Cómo operaba la red y por qué era peligrosa
De acuerdo con Europol, los clientes del servicio criminal pagaban licencias para abusar de los dispositivos infectados. Con ello ocultaban sus direcciones IP originales y podían participar en distintas actividades ilícitas sin exponer directamente su ubicación o infraestructura real, reseña TechCrunch.
La agencia resumió el mecanismo con una advertencia clara: al infectarse con el malware, los dueños de los módems no sabían que sus direcciones IP se estaban usando para actividades ilegítimas. En la práctica, eso convertía a miles de personas y pequeñas empresas en intermediarios involuntarios del cibercrimen.
Europol agregó que SocksEscort fue utilizado para facilitar ataques de ransomware, ofensivas de denegación de servicio distribuido o DDoS, y también la distribución de material de abuso sexual infantil o CSAM. Ese detalle amplía el alcance del caso más allá del fraude económico, y lo sitúa dentro de una categoría de amenazas con impacto severo para la seguridad pública.
Tras la operación, el contenido del sitio web oficial de SocksEscort fue reemplazado por un aviso de incautación. Ese tipo de medida suele tener un doble propósito: cortar el acceso al servicio y enviar una señal visible a clientes, operadores y otros actores del ecosistema criminal.
El rol de AVRecon y la investigación de Black Lotus Labs
La firma de ciberseguridad Black Lotus Labs, que siguió la pista de SocksEscort y colaboró con las autoridades en la operación, indicó que la botnet estaba compuesta por alrededor de 280.000 routers desde enero pasado. Según la compañía, la red era impulsada por un malware llamado AVRecon.
La diferencia entre esa cifra y la reportada por Europol sugiere que la infraestructura pudo variar con el tiempo o que distintas entidades midieron el alcance en momentos diferentes de la investigación. En cualquier caso, ambos recuentos apuntan a una red de escala extraordinaria, distribuida en múltiples regiones y orientada a servicios criminales.
Black Lotus Labs sostuvo en su análisis que la botnet representaba una amenaza significativa porque se comercializaba exclusivamente para criminales. La empresa destacó además que más de la mitad de sus víctimas estaban ubicadas en Estados Unidos o Reino Unido, un factor que habría permitido a los atacantes ejecutar operaciones altamente dirigidas.
Ese punto es especialmente importante en el contexto financiero. Cuando una red de proxies residenciales concentra un gran volumen de nodos en mercados específicos, los delincuentes pueden imitar mejor patrones locales de conexión y así aumentar la probabilidad de evadir controles de verificación o alertas de fraude.
Ya en 2023, Black Lotus Labs había descrito a SocksEscort como “uno de los botnets más grandes dirigidos a routers de oficina/sala de hogar (SOHO) vistos en la historia reciente”. La referencia sugiere que la amenaza no surgió de forma repentina, sino que evolucionó durante años hasta consolidarse como una pieza madura del crimen digital.
Impacto para usuarios, empresas y el ecosistema cripto
Para los usuarios de criptomonedas, el caso ilustra un riesgo poco visible pero muy serio. Aunque una persona no sufra un robo directo en su router, ese dispositivo puede ser secuestrado para encubrir intrusiones a wallets, cuentas bancarias, accesos a exchanges o campañas de fraude que afectan a terceros.
En el entorno cripto, donde la seguridad operativa depende de autenticaciones, detección de anomalías y reputación de IP, las redes de proxies residenciales son herramientas valiosas para actores maliciosos. Les permiten simular conexiones legítimas y reducir la fricción que normalmente encontrarían si operaran desde servidores ya catalogados como sospechosos.
El anuncio del DOJ subraya precisamente ese nexo con las finanzas digitales al mencionar ataques contra cuentas bancarias y de criptomonedas. Aunque no se revelaron plataformas concretas, la mención confirma que este tipo de infraestructura no solo sirve para spam o saturación de redes, sino también para delitos con impacto patrimonial directo.
También hay una lección para pequeñas empresas. Muchos negocios siguen usando routers con configuraciones por defecto, firmware antiguo o credenciales débiles. En ese escenario, la seguridad del borde de red se vuelve una prioridad, porque un equipo comprometido puede terminar participando en actividades criminales globales sin que el dueño lo note.
Un servicio con raíces antiguas en el ecosistema criminal
El historial de SocksEscort muestra que la idea detrás del servicio no es nueva. En 2023, el periodista de ciberseguridad Brian Krebs reportó que SocksEscort nació en 2009 como un servicio en idioma ruso que vendía acceso a miles de computadoras hackeadas.
Esa trayectoria ayuda a entender por qué la operación tiene un peso simbólico además del técnico. No se trata solo de apagar nodos infectados, sino de interrumpir un modelo de negocio criminal que durante años monetizó el acceso encubierto a dispositivos de terceros.
La acción coordinada de esta semana sugiere además una mayor cooperación entre firmas privadas de ciberseguridad y organismos públicos. En casos como este, rastrear la infraestructura, identificar malware, mapear países afectados y ejecutar incautaciones requiere una coordinación compleja entre jurisdicciones distintas.
Por ahora, el desmantelamiento de SocksEscort representa una victoria concreta, pero no el final del problema. Millones de routers y dispositivos IoT continúan expuestos en todo el mundo. Mientras sigan existiendo equipos mal asegurados, el incentivo para construir nuevas botnets orientadas a fraude, ransomware y robo de cuentas seguirá vigente.
El caso deja una conclusión directa para usuarios y empresas: actualizar firmware, cambiar credenciales por defecto y revisar la seguridad de routers y módems ya no es una práctica opcional. En la economía digital, la primera línea de defensa muchas veces no está en la plataforma financiera, sino en el dispositivo que conecta al usuario con internet.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Criptomonedas
Sam Bankman-Fried acusa a Gary Gensler y Elizabeth Warren de intentar quitar poder a la CFTC
Criptomonedas
Etherscan alerta por ola de envenenamiento de direcciones en Ethereum
Criptomonedas
Lido lanza EarnUSD y entra al negocio del rendimiento con stablecoins en Ethereum
Bancos y Pagos