El notorio mercado de delitos cibernéticos RedVDS ya no existe después de que un ataque de Microsoft dejara fuera de línea a la comunidad de Ciberdelito como Servicio.

Aunque el nombre del sitio quizá no les suene, su impacto se ha sentido ampliamente en todo el mundo en los últimos años. Microsoft afirmó que la actividad vinculada a la infraestructura de RedVDS había comprometido a más de 191.000 organizaciones a nivel mundial desde septiembre, lo que permitió fraudes por valor de 40 millones de dólares solo en EE. UU. desde marzo de 2025.

RedVDS era un servicio de suscripción en línea que permitía a los piratas informáticos lanzar ataques utilizando computadoras virtuales, que a menudo ejecutaban versiones sin licencia de Windows.

Steven Masada, asesor general adjunto de la Unidad de Delitos Digitales de Microsoft, dijo que la comunidad en línea hacía que el fraude fuera “barato, escalable y difícil de rastrear; servicios como estos se han convertido silenciosamente en un factor impulsor del aumento actual de delitos cibernéticos, impulsando ataques que perjudican a personas, empresas y comunidades de todo el mundo», afirmó Masada.

¿Qué era RedVDS?

RedVDS inició operaciones en 2019, ofreciendo a los piratas informáticos servicios virtuales de bajo costo en un mercado a través de un servicio de suscripción, con precios tan bajos como $40 dólares en algunos casos.

«RedVDS es un servicio de infraestructura que facilitó la actividad maliciosa, pero a diferencia del malware, no realizó acciones dañinas por sí mismo; la amenaza provino de cómo los delincuentes utilizaron los servidores después del aprovisionamiento», dijo Microsoft .

Los delincuentes utilizaron herramientas disponibles a través de RedVDS para correos electrónicos de spam y phishing para enrutar el tráfico y evadir la detección o acceder a foros delictivos, y para ejecutar herramientas de scripting o automatización.

«En estos esquemas, los atacantes obtienen acceso no autorizado a cuentas de correo electrónico, monitorean silenciosamente las conversaciones en curso y esperan el momento adecuado, como un próximo pago o transferencia bancaria», explicó Masada.

«En ese momento, se hacen pasar por alguien de confianza y redirigen los fondos, a menudo moviéndolos en cuestión de segundos».

Microsoft dijo que detectó muchas herramientas legítimas utilizadas en los hosts de RedVDS por delincuentes para construir sus campañas maliciosas, incluidas VPN, la herramienta de administración remota AnyDesk y herramientas de inteligencia artificial como Chat GPT e incluso su propio Copilot.

«RedVDS se combina frecuentemente con herramientas de inteligencia artificial generativa que ayudan a identificar objetivos de alto valor más rápidamente y generan cadenas de correo electrónico con mensajes multimedia más realistas que imitan correspondencias legítimas», dijo Masada.

En cientos de casos, Microsoft observó que los atacantes intensificaron aún más su engaño al utilizar herramientas de inteligencia artificial que intercambian rostros, manipulan videos y clonan voces para suplantar la identidad de otras personas y engañar a las víctimas.

Las víctimas de RedVDS consideran emprender acciones legales

Numerosas empresas importantes de todo el mundo se han visto afectadas por RedVDS en sus siete años de existencia. Entre las víctimas se encuentra H2-Pharma, una farmacéutica estadounidense que perdió 7,3 millones de dólares.

Mientras tanto, la Asociación de Condominios Gatehouse Dock de Florida perdió $500,000 en una estafa. Ambos son demandantes en la acción civil contra RedVDS, señaló Microsoft.

El desmantelamiento es el resultado de una operación de gran alcance que incluyó acciones legales coordinadas en Estados Unidos y el Reino Unido. El gigante tecnológico afirmó haber colaborado estrechamente con agencias policiales como Europol en esta iniciativa.

Microsoft y sus socios se han apoderado de una «infraestructura maliciosa clave», incluidos dos dominios que albergan el mercado.

Cómo Microsoft resolvió el caso

RedVDS funcionaba de forma similar a otros esquemas de ciberdelincuencia como servicio. Según Microsoft, el sitio ofrecía servidores de Protocolo de Escritorio Remoto (RDP) basados ​​en Windows sin licencia, con control total del administrador y sin límites de uso.

Los hackers detrás del servicio se jactaron de que su sistema podía configurar un nuevo host en cuestión de minutos, ofreciendo escalabilidad a sus clientes.

Cabe destacar que el esquema se desveló después de que los investigadores de Microsoft encontraran una «imagen única de host de Windows clonada» que se reutilizaba en todo el servicio. Esto, explicaron los investigadores, dejaba «huellas técnicas únicas que los defensores podían aprovechar para la detección».

Microsoft señaló que RedVDS proporcionaba servidores virtuales en la nube de Windows, pero todos se generaban a partir de una única imagen de Windows Server 2022 a través de RDP, otro error que dio pistas vitales a los investigadores.

«Todas las instancias de RedVDS identificadas por Microsoft usaron el mismo nombre de computadora, WIN-BUNS25TD77J, una anomalía que se destacó porque los proveedores de nube legítimos aleatorizan los nombres de host», agregó Microsoft.

RedVDS no poseía ningún centro de datos para sus operaciones, sino que alquilaba servidores de cinco empresas de alojamiento en EE. UU., Canadá, Reino Unido, Francia y Países Bajos. Esto le permitió ofrecer servicios en diferentes regiones, lo que le permitió evadir los filtros de seguridad y facilitar la integración de los ataques con el tráfico normal del centro de datos, señaló Microsoft.

Microsoft dijo que se estaban realizando esfuerzos para identificar a las personas que administraban el sitio, pero dijo que rastrea al actor de la amenaza como Storm-2470.

¿Cómo pueden protegerse las empresas?

Microsoft señaló que la mayoría de los ataques relacionados con RedVDS implicaban ingeniería social , operaciones de phishing y vulnrabilidades de correo electrónico empresarial.

Para defenderse de los ataques de phishing y BEC, Microsoft dijo que se centraría en las puertas de enlace principales, como el correo electrónico y la autenticación, reforzando las credenciales y las identidades en la nube, e invertiría en formación de concienciación de los usuarios, como simulaciones de phishing.

«Hay medidas sencillas que pueden reducir significativamente el riesgo, como reducir la velocidad y cuestionar la urgencia, devolver la llamada a los puntos de contacto utilizando números que ya conoce, verificar las solicitudes de pago utilizando información de contacto adicional, habilitar la autenticación multifactor, estar atento a cambios sutiles en las direcciones de correo electrónico, mantener el software actualizado y denunciar actividades sospechosas a las autoridades», añadió Masada.