Una operación internacional liderada por el FBI y la Policía Nacional de los Países Bajos logró desmantelar una de las redes cibercriminales más longevas y sofisticadas conocidas hasta la fecha. Bajo el nombre de “Operación Moonshot”, las autoridades interrumpieron el funcionamiento de 5Socks y LuxSocks (anteriormente conocida como 911 S5), dos plataformas utilizadas para vender acceso a una vasta red de dispositivos comprometidos —principalmente routers domésticos e IoT— que funcionaban como proxies anónimos para cibercriminales de todo el mundo.
Una red encubierta durante dos décadas
La red operaba desde al menos 2004, ocultándose a plena vista en el submundo del cibercrimen. Su funcionamiento se basaba en la infección masiva de dispositivos mediante un malware conocido como “TheMoon”, que tomaba el control de routers vulnerables, sobre todo de marcas como ASUS, D-Link, Linksys y MikroTik. La mayoría de estos dispositivos eran propiedad de usuarios comunes y pequeñas empresas que, sin saberlo, terminaron siendo parte de una infraestructura cibercriminal.
Una vez comprometidos, los routers eran incorporados a una red que permitía a los clientes de 5Socks y LuxSocks enrutar su tráfico a través de ellos, ocultando su verdadera ubicación y facilitando actividades ilegales como fraudes financieros, campañas de spam, robo de credenciales, e incluso ciberataques a gran escala. A cambio de este servicio de anonimato, los operadores ofrecían suscripciones mensuales que iban desde los 10 hasta los 110 dólares.
Millonarias ganancias en la sombra
Las cifras reveladas por el Departamento de Justicia de Estados Unidos son impactantes. Se estima que los responsables de la red obtuvieron más de 46 millones de dólares a lo largo de los años, utilizando plataformas de pago como PayPal, Stripe y Coinbase para lavar el dinero. A través de una combinación de técnicas de evasión y anonimato, los operadores lograron mantenerse ocultos por casi dos décadas.
Entre los principales acusados se encuentran tres ciudadanos rusos —Alexey Timofeyev, Dmitry Stoyanov y Sergey Kolomiyets— y un ciudadano kazajo, todos ellos implicados en la creación, administración y mantenimiento de la red. Timofeyev, según la acusación, fue el fundador y principal responsable de las operaciones técnicas. Él desarrolló herramientas como “Adsys”, una aplicación que infectaba dispositivos para agregarlos a la botnet sin que los usuarios lo notaran.
El papel del malware “TheMoon”
TheMoon, el malware clave en esta operación, fue identificado por primera vez en 2014. Desde entonces, ha evolucionado significativamente para ampliar su alcance a dispositivos IoT, como cámaras de seguridad, impresoras y módems. Utilizaba múltiples vectores de infección, entre ellos ataques de fuerza bruta, explotación de vulnerabilidades conocidas y escaneo automatizado de redes.
Una vez que un dispositivo era infectado, TheMoon establecía comunicación con servidores de comando y control ubicados principalmente en Turquía. Desde allí, los operadores podían gestionar remotamente la red, añadir nuevos dispositivos comprometidos y garantizar la disponibilidad del servicio de proxy para sus clientes.
Operación Moonshot: una respuesta coordinada
El operativo para desmantelar la red implicó un esfuerzo conjunto entre agencias de Estados Unidos, Países Bajos, Alemania, Francia, Reino Unido, y varios países de Europa del Este. Se ejecutaron órdenes de registro, incautación de dominios y bloqueo de infraestructura clave. La colaboración con empresas tecnológicas y proveedores de servicios en la nube también fue esencial para rastrear la actividad maliciosa y desconectar la red.
En paralelo, el FBI emitió una alerta pública recomendando a los usuarios revisar si sus routers forman parte de la botnet. Se ha habilitado una herramienta de búsqueda para comprobar direcciones IP potencialmente comprometidas, y se insta a la población a actualizar el firmware de sus dispositivos y cambiar contraseñas por defecto.
Un mensaje claro al cibercrimen
Este golpe coordinado envía un mensaje inequívoco a los operadores de redes ilícitas: el anonimato en Internet no es garantía de impunidad. La acción también pone de relieve el riesgo que representa la falta de mantenimiento en dispositivos conectados a la red, así como la necesidad de una mayor conciencia en ciberseguridad por parte de usuarios y empresas.
“Esta operación es un ejemplo del poder de la cooperación internacional para combatir amenazas cibernéticas que cruzan fronteras y afectan a millones de personas”, declaró el Departamento de Justicia en su comunicado oficial.
Aunque los cuatro acusados aún no han sido detenidos, las autoridades confían en que la presión internacional y el cierre de su infraestructura pondrán fin a una de las redes de proxies ilegales más persistentes de la historia reciente.