Las agencias europeas de aplicación de la ley han desmantelado la “First VPN”, una plataforma VPN ampliamente utilizada por grupos cibernéticos para ocultar ataques de ransomware, operaciones de fraude y robo de datos. Las autoridades afirman que la retirada expuso a miles de usuarios vinculados a investigaciones de ciberdelitos en todo el mundo.
La operación fue coordinada por Europol y Eurojust y se llevó a cabo entre el 19 y el 20 de mayo con el apoyo de investigadores de 27 países. Las autoridades arrestaron a un presunto administrador, incautaron 33 servidores y tomaron el control de múltiples dominios y la infraestructura asociada de Tor conectada al servicio VPN.
According to Europol , First VPN se había convertido en uno de los servicios de anonimato más frecuentemente encontrados en las grandes investigaciones de ciberdelitos. La plataforma se anunciaba abiertamente en foros de ciberdelincuencia en ruso como una herramienta diseñada para ayudar a los delincuentes a evadir la detección policial mientras ocultaban infraestructuras maliciosas.
Los investigadores dijeron que los ciberdelincuentes utilizaron la red VPN para enmascarar ataques de ransomware, campañas de robo de credenciales, operaciones de secuestro de cuentas, esquemas de fraude financiero y filtraciones de datos a gran escala. Europol afirmó que el servicio apareció en “casi todas las grandes investigaciones de ciberdelitos” apoyadas por la agencia en los últimos años.
Según se informa, las autoridades accedieron a partes de la infraestructura interna del servicio y a los datos de los usuarios durante la operación. Europol confirmó que los investigadores identificaron a miles de usuarios asociados con actividades ciberdelictivas, generando nuevas pistas de inteligencia relacionadas con investigaciones en curso de ransomware y fraude.
Las autoridades no han revelado públicamente cuánta información de los clientes se recuperó. Sin embargo, las fuerzas del orden indicaron que la infraestructura incautada podría proporcionar datos operativos valiosos capaces de vincular a actores amenazantes con ataques anteriores y redes criminales clandestinas.
La retirada pone de manifiesto el aumento de los esfuerzos internacionales dirigidos a infraestructuras cibercriminales en lugar de centrarse únicamente en grupos individuales de hackers. Las agencias de seguridad han ampliado recientemente sus operaciones contra proveedores de alojamiento a prueba de balas, foros clandestinos, plataformas de comunicación cifrada y servicios de anonimato frecuentemente utilizados por bandas de ransomware y redes organizadas de cibercrimen.
Los servicios VPN en sí no son ilegales y siguen siendo ampliamente utilizados para fines legítimos de privacidad, seguridad y acceso remoto. Sin embargo, los investigadores señalaron que First VPN se promocionaba específicamente dentro de comunidades clandestinas de ciberdelincuencia y promovía funciones diseñadas para apoyar actividades ilegales.
Funcionarios de Europol describieron la operación como un duro golpe contra la infraestructura de anonimato cibercriminal y advirtieron que continúan investigaciones adicionales relacionadas con los datos incautados.