Netcrook Logo
👤 LOGICFALCON
🗓️ 14 Jan 2026   🌍 North America

Dentro de la ofensiva contra RedVDS: Cómo Microsoft y la policía paralizaron un motor global del cibercrimen

La colaboración internacional desmantela un notorio servicio de servidores virtuales que alimentaba el phishing y el fraude en todo el mundo.

Era una historia familiar para muchas víctimas: un correo sospechoso, una cuenta vulnerada y millones desapareciendo en un abrir y cerrar de ojos. Pero tras bambalinas, un pueblo fantasma digital impulsaba gran parte de este caos: un servicio conocido como RedVDS. Ahora, tras una ofensiva liderada por Microsoft y fuerzas policiales de todo el mundo, el motor que alimentaba silenciosamente ataques de phishing y compromisos de correo empresarial a nivel global finalmente está llegando a su fin.

Datos clave

  • RedVDS era un servicio de servidor virtual dedicado (VDS) que permitía a los ciberdelincuentes alquilar servidores Windows listos para usar en ataques.
  • Lanzado en 2019, impulsó campañas masivas de phishing, estafas BEC y fraudes financieros en seis países y múltiples industrias.
  • Microsoft rastreó al grupo detrás de RedVDS como Storm-2470, vinculando más de 40 millones de dólares en pérdidas por fraude reportadas en EE. UU. al servicio.
  • En su apogeo, 2.600 servidores RedVDS enviaban aproximadamente un millón de correos de phishing al día.
  • La ofensiva incluyó incautación de dominios y servidores, acciones legales y esfuerzos para desmantelar las redes de pago de RedVDS.

La columna vertebral oculta del cibercrimen

Desde su lanzamiento en 2019, RedVDS ofrecía una propuesta simple pero poderosa para los ciberdelincuentes: por solo 24 dólares al mes, cualquiera podía desplegar un servidor de escritorio remoto basado en Windows, listo para usar en estafas y ataques. Estas máquinas virtuales desechables (VM) se convirtieron en la columna vertebral de campañas masivas de phishing, esquemas de compromiso de correo empresarial (BEC) y una vertiginosa variedad de fraudes en línea.

La investigación de Microsoft reveló que RedVDS distaba mucho de ser sutil. Los operadores, apodados Storm-2470, recortaban pasos clonando una sola imagen de Windows Server 2022 miles de veces, dejando huellas evidentes en forma de nombres de sistema y certificados RDP idénticos. Esto permitió a Microsoft rastrear la actividad de RedVDS a través de continentes, vinculándola a ataques en EE. UU., Reino Unido, Canadá, Francia, Alemania y Australia. Los objetivos iban desde hospitales hasta bufetes de abogados, empresas constructoras y agentes inmobiliarios.

RedVDS no ejecutaba los ataques directamente. En su lugar, alquilaba la infraestructura a actores de amenazas que instalaban herramientas de envío masivo de correos, recolectores de direcciones, VPNs e incluso herramientas de IA para potenciar sus campañas delictivas. En solo un mes, 2.600 VM de RedVDS enviaron un millón de correos de phishing diarios, contribuyendo a más de 191.000 compromisos de cuentas de correo de Microsoft desde septiembre de 2025. Solo una farmacéutica de Alabama perdió 7,3 millones de dólares en un ataque BEC rastreado hasta servidores de RedVDS.

Cerrando una fábrica digital del crimen

La ofensiva fue tan coordinada como los delitos que buscaba combatir. Microsoft, en colaboración con fuerzas policiales internacionales, incautó dominios y servidores clave de RedVDS. Acciones legales en EE. UU. y Reino Unido buscaron desmantelar la infraestructura del servicio y desenmascarar a los operadores tras bambalinas. También se están realizando esfuerzos para interrumpir las redes de pago que permitieron a RedVDS lucrar con el caos global.

Esta operación sigue a acciones similares contra otras plataformas del cibercrimen, como RaccoonO365 y ONNX, señalando una nueva era de colaboración entre gigantes tecnológicos y autoridades en la lucha contra el delito digital.

¿El fin de una era del cibercrimen?

La caída de RedVDS marca una victoria significativa en la guerra continua contra el cibercrimen como servicio. Pero mientras las fuerzas del orden y las empresas tecnológicas celebran, la pregunta persiste: ¿cuánto tiempo pasará antes de que otra plataforma ocupe su lugar? Por ahora, el inframundo digital pierde a uno de sus jugadores clave - y miles de organizaciones pueden respirar un poco más tranquilas.

WIKICROOK

  • Servidor Virtual Dedicado (VDS): Un servidor virtual dedicado (VDS) es un servidor virtualizado con recursos dedicados, que ofrece mayor control, seguridad y rendimiento en comparación con el alojamiento compartido.
  • Protocolo de Escritorio Remoto (RDP): El Protocolo de Escritorio Remoto (RDP) permite a los usuarios acceder y controlar una computadora de forma remota. Sin la seguridad adecuada, puede ser vulnerable a ciberataques.
  • Compromiso de Correo Empresarial (BEC): El compromiso de correo empresarial (BEC) es una estafa en la que los delincuentes hackean o suplantan correos empresariales para engañar a las empresas y hacer que envíen dinero a cuentas fraudulentas.
  • Phishing: El phishing es un delito informático en el que los atacantes envían mensajes falsos para engañar a los usuarios y que revelen datos sensibles o hagan clic en enlaces maliciosos.
  • Clonación (en informática): La clonación en informática consiste en crear copias exactas de sistemas o entornos. Se utiliza para despliegue rápido, pruebas, escalado y recuperación ante desastres.
RedVDS cybercrime phishing
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news