Las fuerzas del orden acaban de asestar otro duro golpe a las redes de ciberdelincuentes. La operación ENDGAME, ahora en su tercera fase, ha desmantelado más de mil servidores utilizados para alojar y distribuir malware. Estas operaciones globales exponen la infraestructura que alimenta las operaciones de ransomware, pero también revelan algo más profundo: la rapidez con la que se adaptan los atacantes.
Para los equipos SOC, esto no es solo un éxito de las fuerzas del orden, sino un recordatorio de que la interrupción es temporal. Mantenerse a la vanguardia significa detectar el siguiente movimiento mientras los adversarios reconstruyen sus herramientas e infraestructura.
1. La mayor operación jamás realizada contra las redes de bots (mayo de 2024)
En mayo de 2024, Europol y una coalición de organismos policiales coordinaron lo que describieron como la mayor operación jamás realizada contra botnets. Esta primera fase de la Operación ENDGAME se centró en la infraestructura que sustenta la ciberdelincuencia moderna a gran escala.
La atención se centró en malware dropper, programas diseñados para entregar silenciosamente cargas secundarias, como ransomware o ladrones de credenciales, una vez que el sistema ha sido comprometido. Las autoridades desmantelaron redes asociadas con IcedID, SystemBC, Pikabot, Bumblebee, Trickbot y Smokeloader, todos ellos componentes importantes del ecosistema de acceso inicial utilizado por los atacantes para penetrar en las redes corporativas.
Se incautaron más de 100 servidores y alrededor de 2000 dominios en todo el mundo, lo que cortó la comunicación entre los sistemas infectados y sus operadores. Europol lo calificó como un «golpe significativo» a la economía sumergida que impulsa las campañas de ransomware.
Esta primera operación sentó las bases para una ofensiva más amplia, que se extendió desde malware individuales hasta las cadenas de suministro criminales que hay detrás de ellas.
2. Romper la cadena de ataque del ransomware en su origen (mayo de 2025)
Un año después, Europol anunció la segunda oleada de la Operación ENDGAME, describiéndola como un ataque contra la cadena de ransomware en su origen. Se desconectaron más de 300 servidores y se neutralizaron 650 dominios, lo que paralizó la infraestructura utilizada por los grupos criminales para distribuir cargadores y mantener la persistencia en los entornos de las víctimas.
Esta fase representó un cambio estratégico. En lugar de desmantelar malware específicas malware , las fuerzas del orden persiguieron a los intermediarios de acceso inicial (IAB), los especialistas que venden acceso a redes comprometidas. Al eliminar su infraestructura, la operación sofocó la primera etapa del despliegue del ransomware.
Las autoridades también incautaron 3,5 millones de euros en criptomonedas, lo que eleva el total de incautaciones de la Operación ENDGAME a más de 21 millones de euros. La investigación reveló la existencia de un mercado global de acceso por encargo, lo que demuestra lo organizada y escalable que se ha vuelto la economía del ransomware.
Pero a medida que los investigadores profundizaban en la cadena de suministro del ransomware, también descubrieron lo resistente y distribuida que se había vuelto esta infraestructura, y lo rápido que podía volver.
3. Fin del juego para la infraestructura del cibercrimen (noviembre de 2025)
La última actualización, publicada en noviembre de 2025, marca la fase más grande y extensa de la Operación ENDGAME hasta la fecha. Las autoridades desmantelaron 1025 servidores en más de 20 países, lo que paralizó de manera efectiva la infraestructura utilizada para alojar, controlar y distribuir múltiples formas de malware.
La información obtenida en las fases iniciales permitió a los investigadores trazar un mapa completo de los ecosistemas de mando y control, dejando al descubierto las conexiones entre phishing, el robo de credenciales y las operaciones de ransomware que habían comprometido decenas de miles de sistemas en todo el mundo.
Se realizaron decenas de detenciones y el análisis forense de los activos digitales incautados reveló carteras de criptomonedas, credenciales robadas y bases de código pertenecientes a malware principales malware . Europol lo calificó como «el fin del juego» para varias malware prolíficas que dependían de servicios de alojamiento resistentes y cloud para evadir la detección.
Aunque esta operación ha supuesto un importante revés para las capacidades delictivas, los expertos advierten de que las infraestructuras de ciberdelincuencia se regeneran rápidamente. Una vez que se eliminan los servidores y dominios conocidos, surgen otros nuevos, a menudo ocultos entre cloud legítimas cloud o canales cifrados. Para los defensores, eso significa que las fuerzas del orden solo pueden llegar hasta cierto punto. La detección continua debe tomar el relevo cuando cesa la interrupción.
Por qué es importante para los equipos SOC
1. Las interrupciones no eliminan las amenazas.
La operación ENDGAME demuestra que ni siquiera los ataques masivos contra infraestructuras eliminan el riesgo. Los atacantes se recuperan rápidamente, a menudo en cuestión de días. Para los equipos SOC, eso significa que los indicadores de compromiso de ayer pierden rápidamente su valor. Las defensas estáticas y basadas en firmas no pueden seguir el ritmo. El único enfoque sostenible es la detección de comportamientos que identifica las técnicas que reutilizan los adversarios, independientemente de la infraestructura desde la que operen.
2. La capa de acceso inicial sigue siendo el eslabón más débil.
Cada fase de la Operación ENDGAME se ha centrado en un nivel diferente de la cadena de suministro delictiva, pero la atención se ha prestado a los intermediarios de acceso inicial y malware dropper pone de relieve la misma verdad: las primeras etapas del compromiso son a menudo aquellas en las que las defensas son más débiles.
Estas herramientas se mezclan con el tráfico legítimo de la red y aprovechan las brechas entre cloud los puntos finales, las identidades y cloud . Para detectarlas es necesario disponer de visibilidad entre dominios, identificar patrones de autenticación inesperados, movimientos laterales o almacenamiento de datos anómalo que indiquen una brecha antes de que se implemente el ransomware.
3. Cloud híbridos y Cloud
Los servidores incautados en la Operación ENDGAME no se limitaban a proveedores de alojamiento delictivos. Muchos se encontraban en cloud legítimos, lo que demuestra cómo los atacantes aprovechan las mismas plataformas en las que confían las empresas. Esto refleja lo que los equipos SOC se enfrentan a diario: una visibilidad fragmentada en entornos híbridos y SaaS en los que no se aplican las defensas perimetrales tradicionales.
Los defensores deben ampliar la supervisión a los ámbitos en los que operan las amenazas modernas, dentro del tráfico de red, los sistemas de identidad y cloud . Esa es la única forma de detectar a los atacantes que se ocultan entre la actividad normal.
La visibilidad continua es la única disrupción real.
La operación ENDGAME demuestra que la desarticulación coordinada funciona, pero la verdadera prueba comienza tras el desmantelamiento. Los grupos criminales se reconstruyen, se adaptan y migran a nuevas infraestructuras más rápido de lo que las defensas estáticas pueden seguirles el ritmo.
Para los equipos SOC, la visibilidad continua y la detección contextual son las únicas formas de mantenerse a la vanguardia. El objetivo no es solo detectar alertas individuales, sino conectar las anomalías de identidad, la escalada de privilegios, el movimiento lateral y la exfiltración de datos en una única historia procesable que revele la intención del atacante.
Aquí es precisamente donde entra en juego la Vectra AI . Con visibilidad sin agentes en la red, la identidad y cloud, y análisis de comportamiento impulsados por IA, Vectra detecta los comportamientos de los atacantes a medida que surgen, incluso cuando la infraestructura es completamente nueva. Convierte las señales fragmentadas en un contexto claro para que los analistas puedan responder con decisión, antes de que los atacantes puedan reconstruirse.
Descubra cómo la Vectra AI detecta lo que otros pasan por alto. Inicie una demostración autoguiada y experimente la detección basada en el comportamiento en acción.