Una operación internacional logró desmantelar SocksEscort, un servicio criminal que convertía routers domésticos comprometidos en una red de proxies utilizada para ocultar actividades ilícitas en Internet. Según informó The Hacker News, la acción autorizada y coordinada entre varios países, permitió desarticular una infraestructura que había explotado cientos de miles de direcciones IP en todo el mundo.

El servicio infectaba routers de hogares y pequeñas empresas con malware para redirigir el tráfico de internet de terceros sin que las víctimas lo supieran. Los operadores de SocksEscort luego vendían ese acceso a clientes que querían ocultar su ubicación real al realizar fraudes, ataques o campañas de spam.

Las autoridades estiman que desde 2020 el servicio llegó a ofrecer acceso a unas 369.000 direcciones IP en 163 países, con cerca de 8.000 routers comprometidos activos en febrero de 2026. El catálogo comercial incluía miles de proxies residenciales (anunciados como capaces de evitar bloqueos de spam) con precios que iban desde 15 dólares mensuales por 30 proxies hasta 200 dólares por paquetes de 5.000.

Según el mapa facilitado por los investigadores, en Latinoamérica se detectaron direcciones IP comprometidas principalmente en Argentina y Brasil, con México, Chile, Ecuador y Colombia en un segundo escalón. En España también se detectó un número importante de direcciones IP comprometidas.

La infraestructura fue desmantelada en una operación coordinada bautizada “Operation Lightning”, en la que participaron autoridades de varios países europeos junto con Estados Unidos, según informó Europol. Como resultado, se incautaron 34 dominios, 23 servidores en siete países y aproximadamente 3,5 millones de dólares en criptomonedas.

Las investigaciones indican que la red estaba impulsada por un malware conocido como AVrecon, documentado previamente. Este software malicioso no solo convertía los dispositivos infectados en proxies residenciales, sino que también permitía control remoto del equipo y la descarga de otros programas maliciosos.

El malware atacaba alrededor de 1.200 modelos de dispositivos de red, incluidos routers de fabricantes como Cisco, TP-Link, NETGEAR y Zyxel. Para mantenerse activo, los atacantes instalaban un firmware modificado que ejecutaba el malware al iniciar el dispositivo y bloqueaba actualizaciones, lo que dejaba muchos routers permanentemente comprometidos sin que sus propietarios lo supieran.