Una operación policial internacional desarticula un servicio de ciberdelincuencia por suscripción basado en IA, responsable de pérdidas que ascienden a los 35 millones de euros.
Microsoft aseguró el miércoles que ha desarticulado RedVDS, un servicio de suscripción de ciberdelincuencia a escala global responsable de pérdidas por fraude de millones de dólares en todo el mundo.
Por 24 dólares (21€) al mes, RedVDS impulsaba el phishing y el fraude a escala global, afectando a cientos de miles de cuentas de Microsoft desde septiembre de 2025. El esfuerzo coordinado abarca demandas civiles en Estados Unidos y el Reino Unido, así como incautaciones de servidores por parte de las fuerzas de seguridad alemanas y europeas.
Impacto en Europa y respuesta transfronteriza
Además de su demanda en el Tribunal del Distrito Sur de Florida, la Unidad de Delitos Digitales de Microsoft ha dado por primera vez un paso legal en el Reino Unido. Entre septiembre de 2025 y enero de 2026, los ciberataques facilitados por RedVDS fuera de Norteamérica afectaron a víctimas en toda Europa, con las cifras más altas en el Reino Unido, Francia, Alemania, Italia y España.
Los ataques se dirigieron principalmente a centros de educación primaria y secundaria, a la industria de bienes de consumo y a otros servicios profesionales. La operación, realizada conjuntamente con cuerpos de seguridad internacionales, incluidas autoridades alemanas y Europol, ha incautado infraestructuras clave y ha dejado fuera de servicio el mercado de RedVDS.
Solo en Estados Unidos, desde marzo de 2025, la actividad facilitada por RedVDS ha provocado pérdidas por fraude de aproximadamente 40 millones de dólares (34 millones de euros), aunque se cree que el impacto real es mayor porque algunos incidentes no se denuncian.
¿Quiénes fueron las víctimas?
H2-Pharma, una farmacéutica de Alabama, figura entre las víctimas que se han sumado a Microsoft como codemandantes; perdió fondos destinados a tratamientos contra el cáncer que salvan vidas, medicamentos de salud mental y fármacos para alergias infantiles.
"Ser víctima de una estafa nunca debería conllevar estigma", afirmó Microsoft en un comunicado. "Estos ataques los ejecutan grupos criminales organizados y profesionales que interceptan y manipulan comunicaciones legítimas entre partes de confianza", añadió.
¿Cómo funcionaba?
RedVDS operaba como parte del creciente ecosistema de la ciberdelincuencia como servicio, ofreciendo acceso a ordenadores virtuales baratos que ejecutaban software sin licencia, incluido Windows. Esto permitía a los delincuentes actuar de forma anónima cruzando fronteras, enviar correos de phishing, alojar infraestructuras de estafas y facilitar esquemas de fraude.
El servicio se combinaba con frecuencia con herramientas de IA generativa que ayudaban a identificar objetivos de alto valor y a generar conversaciones de correo electrónico realistas que imitaban correspondencia legítima.
En muchos casos, los atacantes utilizaron herramientas de IA de cambio de rostro, manipulación de vídeo y clonación de voz para hacerse pasar por personas y engañar a las víctimas.
Estafas inmobiliarias
Una de las estafas más habituales habilitadas por RedVDS fue la desviación de pagos, también conocida como compromiso del correo electrónico corporativo. Los atacantes obtenían acceso no autorizado a cuentas de correo, vigilaban las conversaciones y esperaban el momento oportuno para redirigir pagos haciéndose pasar por partes de confianza.
El servicio también se ha utilizado de forma intensiva en estafas de desviación de pagos en el sector inmobiliario, una de las modalidades de fraude digital que más crecen. Los atacantes comprometían cuentas de agentes inmobiliarios, agentes de depósito en garantía y empresas de títulos de propiedad para enviar instrucciones de pago fraudulentas destinadas a desviar fondos de cierre y depósitos en garantía.
Coordinación de las fuerzas de seguridad europeas
Las acciones legales de Microsoft se refuerzan con una estrecha colaboración con cuerpos de seguridad de todo el mundo, también en Europa. La Fiscalía de Fráncfort del Meno, Oficina Central para la Lucha contra la Criminalidad en Internet, y la Oficina Estatal de Policía Criminal de Brandeburgo están incautando un servidor crítico que daba soporte a RedVDS.
Con ello, las fuerzas de seguridad alemanas toman el control del servidor principal que RedVDS utiliza para mantener su sitio web, cerrando el espacio en línea donde los clientes podían registrarse, pagar y acceder a las herramientas de RedVDS.
El Centro Europeo de Ciberdelincuencia de Europol colabora con la Unidad de Delitos Digitales para desmantelar los numerosos servidores en Europa que los delincuentes utilizaban activamente a través de RedVDS. Esto perturba la red más amplia que sustentaba las estafas, incluso más allá del sitio web principal.
Cómo protegerse del fraude
Microsoft recomendó varias medidas para reducir el riesgo, frenar y cuestionar la urgencia en las solicitudes de pago, verificar las peticiones mediante vías de contacto adicionales con números ya conocidos, activar la autenticación multifactor, vigilar cambios sutiles en las direcciones de correo, mantener el software actualizado y denunciar la actividad sospechosa a las fuerzas de seguridad.