Robos millonarios a través del internet doméstico: la historia del auge y cierre del servicio SocksEscor
Operación internacional incauta 23 servidores y congela 3,5 millones de dólares en criptomonedas.
Una red de routers domésticos y de oficina comprometidos funcionó durante años sin ser detectada para los ciberdelincuentes. A través de esa infraestructura los atacantes ocultaban tráfico malicioso, eludían bloqueos y disfrazaban ataques. Ahora una operación internacional de las fuerzas del orden cerró uno de los mayores servicios de este tipo.
El Departamento de Justicia de EE. UU., junto con fuerzas del orden de países europeos, llevó a cabo una operación contra la red proxy SocksEscort. La infraestructura permitía a los ciberdelincuentes encaminar el tráfico a través de dispositivos de usuarios domésticos y pequeñas empresas. El servicio funcionó durante más de diez años.
Especialistas del equipo Black Lotus Labs descubrieron que, cada semana, la red tenía en promedio alrededor de 20 000 dispositivos infectados. En distintos años el servicio vendió acceso a cientos de miles de direcciones IP.
SocksEscort anunciaba direcciones IP «limpias» de grandes proveedores de internet, entre ellos Comcast, Spectrum, Verizon y Charter. Esas direcciones rara vez aparecían en listas negras, por lo que los delincuentes podían ocultar ataques, fraudes y otras operaciones.
El Departamento de Justicia de EE. UU. informa que, desde el verano de 2020, el servicio ofrecía acceso a aproximadamente 369 000 direcciones IP únicas. En febrero de 2026, en el panel de control de SocksEscort figuraban cerca de 8 000 routers infectados, de los cuales alrededor de 2 500 se encontraban en territorio de EE. UU.
La red se utilizó en varios esquemas fraudulentos. Uno de los incidentes está relacionado con el robo de criptomonedas por un valor de aproximadamente 1 millón de dólares a un usuario de Nueva York. Otro caso provocó pérdidas por 700 000 dólares a una empresa manufacturera de Pensilvania. Un esquema separado afectó a titulares de la tarjeta MILITARY STAR entre militares en servicio y retirados de EE. UU. y causó daños por aproximadamente 100 000 dólares.
En Europa la operación fue coordinada por Europol. Las fuerzas del orden de Austria, Francia y los Países Bajos incautaron servidores del servicio. Durante la operación los especialistas desactivaron e incautaron 34 dominios y 23 servidores en siete países. Las autoridades de EE. UU. también congelaron criptomonedas por un valor de 3,5 millones de dólares.
Todos los dispositivos infectados que se usaban en la red SocksEscort ya fueron desconectados de la infraestructura del servicio.
La red era mantenida por el malware AVRecon para Linux. Según Black Lotus Labs, el programa operaba al menos desde mayo de 2021. A mediados de 2023 el malware había infectado más de 70 000 enrutadores de pequeñas oficinas y redes domésticas.
Ya se intentó detener la red en 2023. Entonces los especialistas bloquearon la infraestructura de mando y control del botnet en su propia red y cortaron la conexión de los dispositivos infectados con los servidores de control. Sin embargo, la intervención fue temporal. Los operadores de SocksEscort restauraron el servicio y continuaron gestionando la red a través de 15 servidores de control.
Según Lumen, el servicio añadía nuevos nodos únicamente mediante el malware AVRecon. Desde comienzos de 2025 la empresa observó alrededor de 280 000 direcciones IP únicas de dispositivos infectados.
Más de la mitad de los enrutadores infectados se encontraba en EE. UU. y el Reino Unido. Esa distribución ayudaba a los delincuentes a ocultar con más eficacia el tráfico malicioso y a evadir los sistemas de filtrado.
Recientemente se descubrió otra red proxy llamada KadNap. El botnet ataca routers ASUS y otros dispositivos de red en el perímetro. Desde agosto de 2025 la red maliciosa infectó alrededor de 14 000 dispositivos y utiliza un mecanismo de intercambio de nodos basado en la tabla hash distribuida Kademlia.
Los especialistas recomiendan a los propietarios de routers actualizar el firmware de forma oportuna, cambiar las contraseñas de administrador predeterminadas y desactivar el acceso remoto si no se utiliza. Es preferible reemplazar los modelos antiguos para los que los fabricantes ya no publican actualizaciones.