Muerte de RedVDS: Microsoft desmanteló sin contemplaciones el principal «tumor» de la darkne
Miles de "buitres" anónimos se quedaron de la noche a la mañana sin su refugio digital.
La empresa Microsoft anunció sobre la neutralización de la plataforma RedVDS, que desde 2019 proporcionaba a cibercriminales acceso a máquinas virtuales remotas. Esos recursos se utilizaron para la difusión masiva de correos de phishing, el robo de credenciales y fraudes financieros, lo que finalmente causó pérdidas superiores a 40 millones de dólares solo en Estados Unidos.
RedVDS era un servicio de suscripción en el que los delincuentes, por 24 dólares al mes, obtenían acceso completo a equipos remotos con software no licenciado preinstalado, incluido Windows. A través de estas máquinas se enviaban mensajes falsos, se alojaba infraestructura fraudulenta y se vigilaba la correspondencia en buzones de correo ajenos.
En los meses de mayor actividad Microsoft registró más de 2,6 mil máquinas virtuales activas, que enviaban en promedio un millón de correos de phishing al día. A pesar de los filtros, parte de los mensajes llegaba a los destinatarios, lo que provocó la compromisión de más de 191 mil cuentas en más de 130 mil organizaciones en todo el mundo.
La plataforma se utilizó activamente en esquemas de suplantación de datos de pago, especialmente en operaciones inmobiliarias. Los estafadores interceptaban la correspondencia, la manipulaban antes de las transferencias y desviaban el dinero a sus propias cuentas. Según Microsoft, la actividad de RedVDS causó un daño significativo a más de 9 mil clientes del sector inmobiliario, especialmente en Canadá y Australia. También resultaron afectadas la logística, la salud, la construcción, la educación y otros sectores.
Entre los perjudicados estuvieron la empresa farmacéutica estadounidense H2 Pharma, que perdió más de 7,3 millones de dólares, y una asociación de vivienda de Florida, que perdió alrededor de 500 mil dólares recaudados por los residentes para reparaciones. Ambas organizaciones se unieron como codemandantes en demandas civiles presentadas por Microsoft en Estados Unidos y Reino Unido.
Microsoft, junto con Europol y las autoridades policiales alemanas, llevó a cabo una operación para bloquear los dominios desde los cuales se gestionaba RedVDS e identificar a los implicados. El servidor que alimentaba la plataforma fue incautado por la policía alemana. Aunque no se divulgan los nombres de los implicados, se sabe que el servicio operaba a través de una empresa pantalla supuestamente registrada en las Bahamas, y los pagos se aceptaban en criptomoneda.
Los delincuentes alquilaban servidores a proveedores de hosting externos en Estados Unidos, Canadá, Reino Unido, Francia y los Países Bajos, lo que les permitía atacar objetivos desde direcciones IP lo más cercanas posible a la ubicación geográfica real de las víctimas. Este enfoque ayudó a eludir los filtros de geolocalización de seguridad.
Microsoft también detectó que a través de RedVDS se distribuían adjuntos maliciosos en formato PDF y HTML, se creaban sitios de phishing que imitaban plataformas legítimas y se extraían tokens y cookies para eludir la autenticación de dos factores. Los delincuentes usaban los datos robados para localizar en la correspondencia discusiones sobre facturas y contratos, infiltrarse en esos diálogos y redirigir el dinero. Para generar mensajes verosímiles en inglés, con frecuencia recurrían a herramientas de inteligencia artificial, incluido ChatGPT.
En un mes Microsoft registró más de 7,3 mil direcciones IP vinculadas con la infraestructura de RedVDS y más de 3,7 mil dominios destinados al phishing. Esta operación fue la trigésima quinta iniciativa de Microsoft para bloquear infraestructura cibernética delictiva. Anteriormente, en 2025, la compañía desmanteló el servicio RaccoonO365, también utilizado para el robo de credenciales. Muchos participantes de aquel proyecto resultaron ser usuarios activos de RedVDS.