La ciberseguridad nos vuelve a dar una buena noticia: La policía nacional de los países bajos acaba de dar un gran golpe al cibercrimen: confiscaron la infraestructura detrás de las operaciones de malware de robo de datos RedLine y Meta en lo que llamaron la “Operación Magnus”. Y como aviso directo a los ciberdelincuentes, advirtieron que ahora toda esa información está en manos de las autoridades.
El anuncio de la Operación Magnus se hizo en un sitio web especial, donde las autoridades compartieron detalles sobre la interrupción de las actividades de estos malwares. Además, mencionaron que están en marcha acciones legales basadas en los datos que lograron incautar.
En un comunicado breve, publicaron: “El 28 de octubre de 2024, la Policía Nacional de los Países Bajos, en estrecha colaboración con el FBI y otros socios internacionales de la Operación Magnus, logró desmantelar el funcionamiento de los ladrones de información RedLine y Meta”.
¿Qué es el Malware RedLine?
RedLine y Meta son tipos de malware conocidos como "ladrones de información". Básicamente, estos programas maliciosos se infiltran en los dispositivos infectados y roban todo tipo de datos guardados en el navegador: desde contraseñas y cookies de autenticación hasta historial de navegación, documentos importantes, claves SSH y hasta billeteras de criptomonedas.
Los ciberdelincuentes detrás de estos malwares suelen vender los datos robados o usarlos para lanzar ataques más grandes, lo que puede llevar a violaciones masivas de seguridad, robos de datos, ataques de ransomware e incluso ciberespionaje.
Según la policía holandesa (Politie), lograron desmantelar esta operación con ayuda de varios socios internacionales, entre ellos el FBI, el NCIS, el Departamento de Justicia de EE. UU., Eurojust, la NCA, y las fuerzas policiales de Portugal y Bélgica.
Las agencias incluso publicaron un video anunciando la "actualización final" para los usuarios de RedLine y Meta, advirtiendo que ahora tienen en su poder credenciales de cuentas, direcciones IP, marcas de tiempo, detalles de registro, y más. Un mensaje claro: los ciberdelincuentes ya no están fuera del radar de las autoridades.
Esto deja bastante claro que los investigadores ya tienen pruebas suficientes para rastrear a los ciberdelincuentes que usaron este malware, así que es muy probable que pronto haya arrestos y procesamientos.
Además, las autoridades confirmaron que lograron acceso a todo el “cerebro” de la operación: el código fuente, servidores de licencias, servicios REST-API, paneles de control, archivos de robo y hasta bots de Telegram de RedLine y Meta.
En el video explican que ambos malwares usaban la misma infraestructura, lo que sugiere que los mismos creadores o administradores estaban detrás de los dos. Según el investigador de malware g0njxa, tanto RedLine como Meta se vendían a través de bots en Telegram… que, ahora, ya no existen.
El subdirector Paul Foster, jefe de la Unidad Nacional de Delitos Cibernéticos de la NCA, comentó:: “Estos servicios están respaldados por un ecosistema criminal con una mezcla de herramientas, infraestructura, servicios financieros, mercados y foros”. Y añadió que “una colaboración internacional como esta es clave para identificar y desmontar los distintos elementos de ese ecosistema, y así complicarles la vida a los ciberdelincuentes”.
La NCA, que sigue apoyando la Operación Magnus, anunció que analizarán todos los datos recabados en esta operación para buscar nuevas formas de reducir esta amenaza.
Te podrá interesar leer: Ataques Cibernéticos en México Aumentan 78% en el Último Trimestre
La Policía Holandesa Advierte a los Hackers: "No son anónimos"
La policía en los Países Bajos tiene una táctica bien conocida para asustar a los ciberdelincuentes: después de una operación, suelen contactar directamente a los involucrados para recordarles que están siendo vigilados y que sus acciones tienen consecuencias.
Ya lo hicieron antes con la famosa botnet Emotet, cuando se infiltraron en foros de hackers y dejaron mensajes para advertirles que estaban en la mira. También, cuando desmantelaron el foro de piratería RaidForums en 2022, enviaron correos electrónicos y hasta hicieron visitas personales a algunos usuarios menores de edad para advertirles que su actividad era ilegal y que podrían enfrentar problemas serios si seguían en ese camino.
En la Operación Magnus, están aplicando las mismas tácticas: han creado cuentas en foros de hackers y están enviando mensajes directos a los ciberdelincuentes implicados, avisándoles de que ya no tienen anonimato y que la policía tiene control sobre la infraestructura de RedLine y Meta.
En uno de estos foros, XSS, se puede leer un mensaje en ruso que dice: "Este es un aviso oficial de las autoridades. A principios de este año, tomamos el control de la infraestructura de los ladrones de información RedLine y Meta, junto con los datos de sus clientes". También advierten que están colaborando con otras agencias de seguridad a nivel internacional, que ya están notificando a los involucrados y preparando acciones legales.
Parece que la policía holandesa no solo está cerrando redes de cibercrimen, sino que también está dejando en claro que los ciberdelincuentes están mucho menos seguros de lo que creen.
Conclusión
El desmantelamiento de la infraestructura de RedLine es una gran victoria en la lucha contra el cibercrimen, pero no significa que la batalla haya terminado. Los infostealers como RedLine siguen siendo una amenaza constante, así que es crucial que todos mantengamos la guardia y adoptemos buenos hábitos de ciberseguridad.