SocksEscrow El proxy malicioso se desmorona, $3.5 millones en criptomonedas congelados

La Europol y el Departamento de Justicia de Estados Unidos anunciaron el 11 de marzo los resultados de la “Operación Lightning”, logrando desmantelar el servicio malicioso de proxy “SocksEscort”. Las autoridades estadounidenses congelaron 3.5 millones de dólares en criptomonedas relacionados con el caso y confiscaron 34 dominios y 23 servidores en siete países.

Escala de la operación: resultados cuantitativos en siete países

La investigación comenzó en junio de 2025, liderada por el Grupo de Trabajo Conjunto contra el Cibercrimen de Europol (J-CAT). Se descubrió una red de bots compuesta por routers domésticos infectados, reclutados secretamente como servidores proxy para ocultar el origen de actividades delictivas en línea.

La Oficina del Fiscal Federal del Distrito Este de California informó que, hasta febrero de 2026, la aplicación SocksEscort había registrado aproximadamente 8,000 routers infectados, de los cuales unos 2,500 estaban en EE. UU. La plataforma de pago relacionada con el caso recibió en total más de 5.7 millones de dólares en criptomonedas, de las cuales las autoridades estadounidenses congelaron 3.5 millones.

La directora ejecutiva de Europol, Catherine De Bolle, afirmó: “Al desmantelar esta infraestructura, las fuerzas del orden han destruido un servicio que alimentaba el cibercrimen a nivel global.”

Usos criminales de SocksEscort: robo de cuentas de criptomonedas y explotación infantil

Las acusaciones del Departamento de Justicia de EE. UU. revelan que la red proxy SocksEscort se utilizó en diversas actividades delictivas:

• Robo de cuentas bancarias y de criptomonedas: usando proxies para ocultar el origen del acceso y realizar ataques de toma de control de cuentas.
• Solicitudes falsas de subsidios por desempleo: presentando solicitudes en nombre de otros para defraudar fondos gubernamentales.
• Ataques de ransomware: distribuyendo y desplegando malware de rescate a través de la red proxy.
• Ataques DDoS: usando routers zombis para realizar ataques de denegación de servicio distribuidos.
• Difusión de material de abuso sexual infantil (CSAM): transmitiendo contenido ilegal mediante dispositivos infectados.

El fiscal federal de EE. UU. citó varios casos específicos: un cliente de un exchange de criptomonedas en Nueva York supuestamente fue defraudado por 1 millón de dólares en activos digitales; un fabricante en Pensilvania perdió aproximadamente 700,000 dólares; y varios militares en servicio activo y retirados supuestamente fueron estafados por un total de 100,000 dólares.

Preguntas frecuentes

¿Qué es SocksEscort y cómo funciona?

SocksEscort es un servicio de proxy malicioso que, mediante la intrusión en routers domésticos y dispositivos IoT en todo el mundo, los convierte en servidores proxy y los ofrece a clientes pagos. Los clientes pueden usar estos “proxies residenciales” para ocultar la verdadera fuente de sus actividades en línea, usando en realidad direcciones IP de usuarios comunes para cometer delitos.

¿Cuánto dinero en criptomonedas se ha congelado y en qué países?

Las autoridades estadounidenses congelaron 3.5 millones de dólares en criptomonedas relacionadas con el caso, y la plataforma de pagos vinculada recibió en total más de 5.7 millones de dólares en criptomonedas. La operación se realizó en siete países, confiscando 34 dominios y 23 servidores.

¿Cómo se usa SocksEscort en fraudes con criptomonedas?

Los delincuentes usan los proxies proporcionados por SocksEscort para ocultar el origen de sus conexiones en línea, lanzando ataques de toma de control de cuentas de criptomonedas desde ubicaciones que parecen ser IPs residenciales legítimas, eludiendo mecanismos de seguridad basados en la geolocalización. En un caso, un cliente de un exchange en Nueva York fue supuestamente engañado y le robaron activos digitales por valor de 1 millón de dólares.