Getty Images/iStockphoto

Noticias

Microsoft y Europol desmantelaron la infraestructura de RedVDS

La operación conjunta internacional logró derribar al mercado de escritorios virtuales que facilitó el robo de 40 millones de dólares mediante sofisticados ataques de BEC y fraude impulsado por IA.

Melisa Osores
por
Publicado: 15 ene 2026

En una acción legal coordinada entre los Estados Unidos y el Reino Unido, la Unidad de Delitos Digitales (DCU) de Microsoft, junto con Europol y autoridades alemanas, dio a conocer la interrupción de RedVDS. El servicio de suscripción, identificado como Storm-2470, funcionaba como una pieza clave en el ecosistema de "crimen como servicio" (CaaS), proporcionando a los atacantes la infraestructura necesaria para operar de forma anónima, escalable y a un costo bajo.

Steven Masada, asesor general adjunto de la Unidad de Delitos Digitales de Microsoft, anunció la acción como “un paso fundamental hacia el desmantelamiento de las redes que sustentan el fraude impulsado por IA, como las estafas inmobiliarias".

RedVDS operaba, desde 2019, bajo la fachada de una entidad regida por la ley de las Bahamas. Por una cuota mensual de 24 dólares, los ciberdelincuentes obtenían acceso a servidores virtuales (VDS) con sistemas operativos Windows sin licencia y control total de administrador. Los pagos se realizaban exclusivamente en criptomonedas –como bitcoin, monero y tether– para garantizar el anonimato de sus clientes.

La investigación reveló que la infraestructura permitió a diversos grupos de amenazas, como Storm-0259 y Storm-1575, lanzar campañas masivas de phishing y compromiso de correo electrónico empresarial (BEC) sin dejar rastro.

El impacto financiero de RedVDS fue masivo. Desde marzo de 2025, se reportaron pérdidas por más de 40 millones de dólares solo en Estados Unidos. La farmacéutica H2 Pharma, por ejemplo, perdió más de 7,3 millones de dólares de fondos destinados a tratamientos críticos para el cáncer y medicamentos pediátricos. A nivel global, entre septiembre y diciembre de 2025, los ataques habilitados por RedVDS comprometieron más de 191 mil cuentas en 130 mil organizaciones de todo el mundo.

Para Microsoft, esta acción civil subraya la necesidad de una defensa colectiva. El fabricante comentó que servicios como RedVDS permiten a los criminales registrar miles de dominios homógrafos (dominios que parecen legítimos con cambios sutiles de caracteres) para interceptar transferencias bancarias en el momento preciso.

Por eso, la DCU recomendó implementar una autenticación multifactor (MFA) robusta, verificar rigurosamente cualquier cambio en las instrucciones de pago a través de canales secundarios, y capacitar continuamente al personal para que pueda detectar correos electrónicos de suplantación de identidad, que cada vez son más sofisticados.

"Esta acción contra RedVDS (…) subraya una estrategia sostenida para ir más allá de los cierres individuales y desmantelar los servicios en los que confían los criminales para operar y escalar", concluyó el informe de Microsoft.

La huella "WIN-BUNS25TD77J"

La DCU de Microsoft explicó que RedVDS utilizaba una única imagen clonada de Windows para aprovisionar miles de servidores. Esto generó una huella técnica única, el nombre de host WIN-BUNS25TD77J, que permitió a los defensores identificar y rastrear la actividad maliciosa en sus redes.

Entre las herramientas detectadas en los servidores de RedVDS se incluían:

  1. Para el envío masivo: Herramientas como SuperMailer y UltraMailer, usadas para distribuir millones de correos de phishing diarios.
  2. Para la recolección de datos: Software como Sky Email Extractor para recolectar direcciones de víctimas potenciales.
  3. Para la evasión: Uso intensivo de VPN (NordVPN, ExpressVPN) y navegadores privados para ocultar el origen de los ataques.
  4. IA generativa: Los atacantes emplearon herramientas de IA para superar barreras lingüísticas, realizar clonación de voz y manipular videos (face-swapping) para suplantar identidades de forma hiperrealista.

Investigue más sobre Gestión de la seguridad