SystemBC Convierte Servidores VPS en Autopistas Criminales
Jonathan Montoya 09/19/2025 Malware, Ciberataque, Del Mito al Control
4 Minutos

Cada vulnerabilidad es una puerta abierta. Quizá pienses que los mayores riesgos de ciberseguridad se concentran en tus dispositivos personales o en la red corporativa, pero los servidores en la nube también se han convertido en un objetivo muy atractivo para los atacantes. Y ahí entra en escena SystemBC, un malware que desde hace años alimenta una red masiva de proxies usados para ocultar actividades criminales.

En TecnetOne queremos contarte cómo funciona esta amenaza, por qué representa un riesgo creciente para empresas como la tuya y qué medidas puedes tomar para blindarte.

 

¿Qué es SystemBC y cómo opera?

 

SystemBC apareció por primera vez en 2019 y rápidamente se convirtió en una herramienta útil para distintos grupos de ciberdelincuentes, incluyendo bandas de ransomware. Su función principal es bastante clara: convertir servidores comprometidos en autopistas de tráfico malicioso, es decir, en nodos que permiten redirigir ataques y ocultar la comunicación con infraestructuras de comando y control (C2).

En otras palabras, si un atacante logra instalar SystemBC en un servidor, ese equipo deja de estar bajo tu control y pasa a trabajar como un “proxy” para ocultar la verdadera identidad y ubicación del criminal.

Lo preocupante es que no hablamos de un par de máquinas aisladas: investigadores de Black Lotus Labs (Lumen Technologies) han identificado que SystemBC mantiene en promedio 1,500 bots activos cada día. Esos bots no son otra cosa que servidores vulnerables repartidos por todo el mundo, con decenas de fallos de seguridad sin corregir.

 

Cybercriminal proxy services using SystemBC network

Servicios de proxy cibernéticos que utilizan la red SystemBC (Fuente: Black Lotus Labs)

 

¿Por qué atacan VPS comerciales?

 

Quizá te preguntes: ¿por qué los ciberdelincuentes se enfocan en servidores privados virtuales (VPS) y no en computadoras domésticas? La respuesta está en la estabilidad y capacidad que ofrecen los VPS.

Mientras que una red de dispositivos residenciales (como routers o PCs de hogar) puede ser más fácil de comprometer, esos equipos no garantizan un tráfico estable ni de gran volumen. En cambio, los VPS de proveedores comerciales ofrecen ancho de banda, disponibilidad casi permanente y capacidad de procesamiento, lo que los convierte en candidatos ideales para mantener campañas de ataque constantes.

De hecho, cerca del 80% de los bots de SystemBC corresponden a VPS de grandes proveedores comerciales. Algunos permanecen infectados más de un mes sin que nadie lo note, lo que demuestra lo fácil que resulta pasar desapercibido en entornos poco monitorizados.

 

El volumen de tráfico malicioso

 

Un experimento realizado por los investigadores mostró el verdadero alcance de esta red. Al observar la actividad de un solo servidor infectado, detectaron que generaba más de 16 gigabytes de tráfico de proxy en apenas 24 horas.

Para que te hagas una idea, esa cifra es diez veces superior a lo que normalmente se observa en redes de proxies residenciales. Eso significa que los atacantes que usan SystemBC tienen a su disposición una autopista de datos muy eficiente para realizar sus operaciones.

 

Conoce más: Ataque cibernético expone 45,000 servidores Jenkins

 

Los clientes de SystemBC

 

SystemBC funciona como infraestructura para múltiples servicios de ciberdelincuencia. Entre sus “clientes” más destacados se encuentran:

 

  1. REM Proxy: un servicio criminal que depende en un 80% de los bots de SystemBC y que ofrece proxies por niveles de calidad.

 

  1. VN5Socks (Shopsocks5): una red de proxies originada en Vietnam que aprovecha esta infraestructura.

 

  1. Un servicio ruso de web scraping a gran escala.

 

Pero más allá de estos clientes, los operadores de SystemBC también lo usan directamente para ataques de fuerza bruta contra sitios WordPress, con el objetivo de robar credenciales y luego vender el acceso a brokers que inyectan código malicioso.

 

Vulnerabilidades: la puerta de entrada

 

Los servidores que terminan formando parte de esta red no son elegidos al azar. Los ciberdelincuentes buscan sistemas con múltiples fallos de seguridad sin corregir, y los VPS son un blanco fácil porque muchas veces no reciben actualizaciones frecuentes.

Los investigadores encontraron que, en promedio, cada servidor comprometido tenía 20 vulnerabilidades sin parchear, incluyendo al menos una crítica. En un caso extremo, un VPS en Alabama llegó a acumular 161 fallos detectados por la plataforma de inteligencia Censys.

Este descuido convierte a los servidores en terreno fértil para SystemBC, que aprovecha scripts automatizados para infectar rápidamente y ponerlos al servicio de la red criminal.

 

VPS bot in SystemBC network with 161 unpatched vulnerabililties (1)

 

VPS bot in SystemBC network with 161 unpatched vulnerabililties (2)

Bot VPS en la red SystemBC con 161 vulnerabilidades sin parches (Fuente: Black Lotus Labs)

 

Resistencia incluso ante operaciones policiales

 

Lo más inquietante es que SystemBC ha sobrevivido a operaciones internacionales destinadas a desmantelar botnets. Por ejemplo, durante la operación Endgame —que buscaba eliminar diversos malware droppers—, la red logró mantenerse activa.

Esto demuestra que no estamos ante una amenaza improvisada, sino ante una infraestructura robusta y en constante evolución, diseñada para resistir la presión de las autoridades.

 

El modus operandi técnico

 

Cuando un servidor es infectado, SystemBC descarga un script en ruso que ordena ejecutar de forma simultánea todos los binarios del malware disponibles. Este enfoque permite:

 

  1. Persistencia: el malware se asegura de que, aunque un proceso sea detectado y cerrado, otros sigan corriendo.

 

  1. Volumen: maximiza la cantidad de tráfico que puede canalizarse a través del servidor.

 

  1. Evasión: al distribuir su actividad en múltiples procesos, dificulta que las defensas lo identifiquen con rapidez.

 

Además, la red cuenta con más de 80 servidores C2 que conectan a los clientes con los VPS infectados, lo que da redundancia y resiliencia.

 

¿Qué significa esto para ti?

 

La existencia de SystemBC es una alerta para cualquier empresa que use VPS o infraestructura en la nube. Si bien puede que tu compañía no sea un objetivo directo, un servidor vulnerable en tu red podría terminar:

 

  1. Siendo usado para ocultar ataques a terceros, con el riesgo de sanciones legales o pérdida de reputación.

 

  1. Convirtiéndose en un nodo de fuerza bruta contra plataformas como WordPress.

 

  1. Exponiendo tu información interna, ya que un servidor comprometido abre la puerta a movimientos laterales hacia otros sistemas de tu red.

 

En un mundo donde las cadenas de suministro digitales están cada vez más interconectadas, un error de seguridad en tus VPS puede convertirse en una brecha mucho mayor.

 

Lee más: Servidores físicos o servidores en la nube: ¿cuál es más seguro?

 

Cómo protegerte frente a amenazas como SystemBC

 

Desde TecnetOne te recomendamos aplicar una serie de medidas prácticas:

 

  1. Actualiza y parchea constantemente: nunca subestimes la importancia de tener tus servidores al día. Cada vulnerabilidad sin corregir es una invitación abierta al malware.

 

  1. Monitoriza tus VPS: instala herramientas de detección y respuesta (EDR) que puedan identificar comportamientos anómalos, como un volumen inusual de tráfico.

 

  1. Refuerza la segmentación de red: evita que un servidor comprometido pueda moverse libremente por tu infraestructura.

 

  1. Implementa auditorías de seguridad periódicas: un escaneo de vulnerabilidades puede ahorrarte dolores de cabeza y evitar que tus sistemas se conviertan en parte de redes como SystemBC.

 

  1. Capacita a tu equipo: aunque este malware se enfoca en servidores, los errores humanos (como malas configuraciones o credenciales débiles) siguen siendo el punto de entrada más común.

 

Conclusión

 

SystemBC no es nuevo, pero su capacidad de adaptación y resistencia lo convierten en una amenaza que debes tomar en serio. Al transformar servidores vulnerables en autopistas para ciberdelincuentes, este malware demuestra cómo las fallas de seguridad básicas pueden tener consecuencias globales.

La lección es clara: no basta con tener infraestructura en la nube, necesitas gestionarla con visión de ciberseguridad. En TecnetOne podemos ayudarte a auditar tus sistemas, corregir vulnerabilidades y diseñar un plan de protección que mantenga tus activos digitales a salvo.

Recuerda: en la era del cibercrimen organizado, tu mejor defensa es la prevención.

 

Prueba TecnetProtect Backup 30 Días Gratis

Tag:

Malware Ciberataque Del Mito al Control

SpamGPT: La Nueva Amenaza de Phishing Potenciado por IA

Artículo Anterior
  • No hay sugerencias porque el campo de búsqueda está vacío.

Categorías

Artículos más leídos

Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
Descubriendo los canales en Telegram de la Dark Web
Alexander Chapellin 02/26/2025 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje, Malware, Ciberataque
10 Principales Grupos y Canales de Telegram en la Dark Web
Levi Yoris 03/26/2025 Ciberseguridad, Riesgos informaticos, Malware
Principales Motores de Búsqueda de la Dark Web en 2025
Gustavo Sánchez 04/01/2024 Microsoft Office 365, Microsoft, CoPilot
Guía para Activar y Usar Copilot en Word Eficazmente

Artículos Relacionados

Ciberseguridad, phishing, Del Mito al Control
Eduardo Morales 09/19/2025

SpamGPT: La Nueva Amenaza de Phishing Potenciado por IA

Los correos electrónicos siguen siendo una de las principales vías de ataque para los

Leer más
Ciberseguridad, Malware, Ciberataque, Del Mito al Control
Adan Cuevas 09/18/2025

Nuevo Ataque FileFix Utiliza Esteganografía para Soltar Malware StealC

Una campaña reciente de ciberataques está usando ingeniería social para hacerse pasar por alertas

Leer más
Ciberseguridad, IA, Del Mito al Control
Alexander Chapellin 09/18/2025

El Uso de IA en Empresas es Invisible para Los Equipos de Seguridad

¿Sabes cuánta IA se usa de verdad en tu organización? Probablemente menos de lo que crees… o mejor

Leer más