Deutsch
English
Español
Français
Nederlands
Português
En una operación internacional histórica, las fuerzas del orden lideradas por Europol y la Policía Nacional de los Países Bajos desmantelaron la infraestructura de las familias de malware infostealer StealC y Amadey. Anunciado el 24 de junio de 2026 como parte de la Operación Endgame, el operativo incautó más de 100 servidores y dominios criminales, recuperó más de 24 millones de credenciales robadas y congeló aproximadamente 41 millones de euros (46,5 millones de dólares) en criptoactivos. Este golpe representa uno de los más significativos contra el ecosistema de malware como servicio (MaaS) que impulsa el ransomware, el robo de identidad y las brechas en redes corporativas a nivel mundial.
¿Qué son los infostealers y por qué son importantes?
Los infostealers son malware diseñado para extraer silenciosamente datos sensibles de computadoras infectadas, como nombres de usuario, contraseñas, cookies del navegador, claves de billeteras de criptomonedas e información del sistema. Suelen ser el primer eslabón en una cadena de ataques cibernéticos, proporcionando a los delincuentes las credenciales para infiltrarse en redes corporativas, desplegar ransomware o cometer fraudes financieros. StealC y Amadey son especialmente peligrosos porque operan bajo un modelo de malware como servicio, permitiendo que incluso ciberdelincuentes de baja habilidad compren acceso y lancen ataques. El aumento de los ataques de ransomware en los últimos años está directamente vinculado a la proliferación de estos infostealers.
La operación: un golpe global coordinado
Alcance y socios
La Operación Endgame es la mayor colaboración internacional contra la infraestructura de ransomware y ciberdelincuencia. Esta fase, dirigida contra StealC y Amadey, fue liderada por la Unidad de Alta Tecnología de los Países Bajos, con el apoyo de agencias de Alemania, Dinamarca, Reino Unido, Estados Unidos, Europol, Eurojust y socios privados como Microsoft.
Lo incautado
La operación neutralizó más de 100 servidores y dominios utilizados como infraestructura de mando y control para StealC y Amadey. En estos servidores se descubrieron más de 24 millones de credenciales robadas de al menos 384.000 sistemas informáticos comprometidos, afectando a más de 1,5 millones de servicios y empresas en línea. Además, se congelaron aproximadamente 41 millones de euros en criptoactivos vinculados a la red criminal. El panorama global de la regulación de criptomonedas dificulta cada vez más el lavado de estos fondos.
StealC y Amadey: un análisis detallado
StealC: el ladrón de información MaaS
Anunciado en foros clandestinos rusos a principios de 2023 por un desarrollador conocido como Plymouth, StealC es un ladrón de información sofisticado vendido como servicio. Roba credenciales de navegadores, cookies, datos de autocompletado, billeteras de criptomonedas y tokens de mensajería. Emplea técnicas antianálisis avanzadas como cifrado RC4, empaquetado Themida y comprobaciones anti-VM. En diciembre de 2025, su versión V2 se vendía por 300 dólares al mes, con funciones mejoradas como descifrado de tokens de Steam y soporte para el navegador Perplexity Comet.
Amadey: el cargador modular
Activo desde octubre de 2018, Amadey (también conocido como Amadey Bot) es un cargador modular para Windows que sirve como mecanismo de entrega de cargas maliciosas adicionales, como StealC, ransomware, mineros de criptomonedas y troyanos de acceso remoto. Se distribuye mediante campañas de phishing, URL maliciosas y kits de explotación. En mayo de 2026, StealC y Amadey estaban vinculados a más de 140.000 computadoras infectadas en todo el mundo.
Impacto y recomendaciones para víctimas
Se espera que esta interrupción tenga un impacto significativo a corto plazo en la cadena de suministro del ciberdelito, especialmente para los operadores de ransomware que dependen de credenciales robadas. Sin embargo, los expertos advierten que el ecosistema MaaS es resiliente y podrían surgir nuevas variantes. La caída de las criptomonedas en 2025 ha reconfigurado la forma en que los delincuentes monetizan los datos robados.
Las personas que sospechen haber sido infectadas deben actuar de inmediato: cambiar contraseñas, activar la autenticación de dos factores y ejecutar un análisis antivirus completo. La policía neerlandesa habilitó el sitio politie.nl/checkjehack para verificar si las credenciales aparecen en los datos recuperados.
Preguntas frecuentes
¿Qué es un infostealer?
Es un malware que escanea en secreto la computadora de la víctima en busca de datos sensibles como credenciales, información financiera y claves de criptomonedas, y los envía a un atacante remoto.
¿Cómo infectan StealC y Amadey?
Se distribuyen mediante correos de phishing, descargas maliciosas (como software pirateado), malvertising y sitios envenenados con SEO. Amadey actúa como cargador que puede entregar StealC u otro malware.
¿Cuántas credenciales se recuperaron?
Más de 24 millones de credenciales fueron recuperadas de los servidores incautados, afectando a más de 384.000 sistemas y 1,5 millones de servicios.
¿Qué hago si creo que soy víctima?
Cambie las contraseñas de todas las cuentas utilizadas en el dispositivo infectado, active la autenticación de dos factores, ejecute un antivirus y verifique sus credenciales en politie.nl/checkjehack.
¿Sigue activa la Operación Endgame?
Sí, comenzó en 2024 y es un esfuerzo internacional continuo. Fases previas han atacado a SocGholish y otras redes de malware.
Follow Discussion