La organización internacional INTERPOL anunció los resultados de la Operación Ramz, una ofensiva regional contra el cibercrimen que dejó un saldo de 201 arrestos, 382 sospechosos identificados, 53 servidores incautados y al menos 3.867 víctimas detectadas en 13 países de Medio Oriente y el norte de África (MENA).

La operación se desarrolló entre octubre de 2025 y el 28 de febrero de 2026, y estuvo enfocada en desarticular infraestructura vinculada a phishing, malware y estafas informáticas. Según INTERPOL, durante el operativo se compartieron alrededor de 8.000 indicadores de inteligencia y datos técnicos entre los países participantes.

Los países involucrados fueron Argelia, Bahréin, Egipto, Irak, Jordania, Líbano, Libia, Marruecos, Omán, Palestina, Qatar, Túnez y Emiratos Árabes Unidos.

El detalle más inquietante: víctimas obligadas a participar en las estafas

Uno de los casos más llamativos ocurrió en Jordania. Allí, la policía rastreó una computadora utilizada para operar falsas plataformas de inversión y trading, un tipo de fraude extremadamente popular en los últimos años.

Durante el allanamiento se encontraron 15 personas trabajando en la operación. Sin embargo, la investigación reveló que no eran los verdaderos responsables, sino víctimas de trata de personas.

Según INTERPOL, estas personas habían sido reclutadas en Asia bajo falsas promesas laborales. Una vez llegadas al país, les confiscaron los pasaportes y fueron forzadas a participar en el esquema criminal. Finalmente, dos sospechosos señalados como organizadores de la operación fueron detenidos.

El caso vuelve a poner sobre la mesa una realidad cada vez más frecuente: parte del ecosistema global del fraude online ya no funciona únicamente mediante ciberdelincuentes “tradicionales”, sino también mediante redes de explotación humana y trabajo forzado.

Phishing-as-a-Service y malware distribuido por víctimas

La operación también dejó otros hallazgos relevantes:

• En Argelia, las autoridades desmantelaron una plataforma de phishing-as-a-service, un modelo criminal donde herramientas de phishing son ofrecidas “como servicio” a otros atacantes. Se incautaron servidores, discos duros, teléfonos y computadoras.

• En Marruecos, se decomisaron dispositivos con datos bancarios y herramientas de phishing, mientras tres personas quedaron sometidas a procesos judiciales.

• En Qatar, las autoridades detectaron dispositivos comprometidos cuyos propietarios no sabían que estaban propagando malware hacia terceros.

• En Omán, se desactivó un servidor alojado en una residencia privada que almacenaba información sensible y había sido infectado con malware.

El dato de Qatar es especialmente interesante porque muestra un fenómeno cada vez más común: usuarios normales convertidos involuntariamente en parte de infraestructura maliciosa.

Routers vulnerables, computadoras infectadas o dispositivos IoT comprometidos suelen ser reutilizados como nodos de propagación, proxies o puntos intermedios para campañas de malware y phishing.

La cooperación internacional como necesidad técnica

Más allá de los arrestos, la Operación Ramz refleja algo importante: el cibercrimen moderno ya no puede investigarse únicamente a nivel local.

La infraestructura utilizada en ataques suele distribuirse entre múltiples países, mezclando servicios legítimos, servidores comprometidos, criptomonedas, identidades robadas y víctimas repartidas por todo el mundo.

Por eso, gran parte del valor de este tipo de operaciones está en el intercambio de inteligencia técnica en tiempo real: indicadores de compromiso, dominios maliciosos, hashes de malware, infraestructura de phishing y correlación de actividad entre países.

En este caso, INTERPOL trabajó además junto a varias empresas privadas y organizaciones técnicas, entre ellas Group-IB, Kaspersky, Shadowserver Foundation, Team Cymru y TrendAI.

La colaboración público-privada se volvió prácticamente obligatoria en investigaciones de este tipo, especialmente cuando gran parte de la visibilidad técnica sobre amenazas está en manos de empresas de seguridad, proveedores cloud y organizaciones de inteligencia.

El cibercrimen ya no es solamente “hackers en una computadora”

Durante años, muchas campañas de fraude online fueron presentadas casi exclusivamente como un problema técnico.

Pero operaciones como esta muestran algo bastante más complejo: redes internacionales, explotación laboral, víctimas convertidas en atacantes involuntarios, plataformas criminales vendidas como servicio y estructuras que funcionan casi como empresas distribuidas.

El resultado es un ecosistema criminal híbrido donde se mezclan ingeniería social, infraestructura tecnológica y delitos tradicionales.

Y probablemente ese sea uno de los desafíos más difíciles para los próximos años: entender que muchos incidentes de ciberseguridad ya no pertenecen solamente al mundo de la informática. También son un problema económico, social y geopolítico.

Fuente oficial de INTERPOL:
INTERPOL – Operation Ramz