Acción conjunta contra ciberdelincuentes: BKA, Europol y Microsoft desmantelan infraestructura de malware

En el centro de esta operación estaban los dos programas maliciosos más utilizados en todo el mundo, Amadey y StealC. En el proceso, los investigadores descubrieron que, aunque ambos programas maliciosos fueron desarrollados por distintos delincuentes, recurren a la misma infraestructura técnica. Amadey irrumpe en los sistemas, mientras que StealC roba contraseñas y datos sensibles: una división del trabajo clásica en el submundo digital.

Cooperación internacional

Solo en la primera quincena de mayo, estas herramientas participaron en más de 140.000 infecciones en todo el mundo. En esta muestra, Alemania fue, detrás de Estados Unidos, el país más afectado por los ataques. Para comprender el funcionamiento del malware, los investigadores utilizaron inteligencia artificial, con cuya ayuda pudieron analizar el complejo código en minutos en lugar de días.

La cooperación germano-holandesa-danesa constituyó la columna vertebral de la operación. En ella, la Bundeskriminalamt alemana desempeñó un papel importante: junto con autoridades policiales holandesas y danesas, los funcionarios alemanes actuaron en el marco de la internacional "Operation Endgame" contra la infraestructura criminal. Bajo la dirección de Europol y la BKA, se incautaron cientos de servidores, se liberaron millones de PCs infectados y se dictaron órdenes de arresto internacionales contra los cabecillas.

Recursos jurídicos contra redes globales

Los daños contables de la acción son considerables: se neutralizaron alrededor de 15.000 páginas web, más de 320 servidores y más de 140 dominios. Microsoft logró apagar más de 200 servidores de comando y control —esos sistemas centrales con los que los hackers maliciosos controlan remotamente los dispositivos infectados—. Al mismo tiempo, se cortó el control criminal sobre más de 18.000 ordenadores de víctimas identificados en todo el mundo.

En paralelo al desmantelamiento técnico, se llevaron a cabo procedimientos judiciales. En Alemania, las investigaciones se dirigen, entre otros cargos, por la sospecha de extorsión en banda y con fines comerciales, así como de extorsión en caso especialmente grave. Según informes de medios, se aplicó la ley estadounidense contra el crimen organizado, la llamada RICO (Racketeer Influenced and Corrupt Organizations Act). Esta permite a los investigadores perseguir a diversos actores como parte de una única conspiración criminal global y atacar así toda la red de una sola vez.

Voces desde las autoridades investigadoras

Mientras Microsoft investigaba la amenaza de Amadey, el Centro Europeo de Ciberdelincuencia (EC3) de Europol investigaba en paralelo el programa StealC. Esto incluye también los ataques del grupo asociado a Rusia "Secret Blizzard", que utilizó infecciones de Amadey para atacar objetivos en Ucrania. Las consecuencias de tales ataques son de gran alcance y van desde hospitales paralizados hasta espionaje respaldado por Estados.

Carsten Meywirth, jefe del departamento de Cibercrimen de la BKA, declaró: "Mit der Fortsetzung der Operation Endgame sind wir erneut gegen die technischen Infrastrukturen vorgegangen, auf die sich zahlreiche Cyberkriminelle weltweit verlassen haben." Un portavoz de la BKA añadió: "Die Maßnahmen nehmen den Tätern zentrale Werkzeuge aus der Hand, unterbrechen die virtuelle Infektionskette und schützen viele weitere potenzielle Opfer vor diesen Schadsoftware-Varianten."

Según el portavoz de la BKA, la operación ha debilitado un componente esencial del proceso de creación de valor criminal de las estructuras conectadas y con división del trabajo en el ámbito de la ciberdelincuencia. Meywirth destacó además: "Das zeigt, dass die internationalen Strafverfolgungsbehörden Cybercrime grenzüberschreitend alle rechtliche Mittel entgegensetzen, auch in enger Zusammenarbeit mit dem Privatsektor." "Operation Endgame" fue la mayor operación policial internacional contra la ciberdelincuencia hasta la fecha, en la que en mayo de 2024 se desmanteló la infraestructura de los loader de botnets más peligrosos del mundo, entre ellos también Amadey.

La acción tuvo también repercusiones inmediatas en el mercado de capitales: la acción de Microsoft, cotizada en el NASDAQ, ganó puntualmente un 1,28 por ciento, hasta los 378,73 dólares. La noticia se emitió el 24.06.2026 en el programa Deutschlandfunk, fechada en Redmond y Wiesbaden.