Microsoft anunció el desmantelamiento de RedVDS, un gran servicio de alquiler de servidores virtuales que funcionaba de facto como infraestructura cibercriminal “como servicio”. Según la compañía, solo en Estados Unidos los ataques lanzados desde esta plataforma generaron pérdidas superiores a 40 millones de dólares. La operación se llevó a cabo mediante acciones judiciales en EE. UU. y Reino Unido, coordinadas con Europol y las autoridades alemanas, que lograron incautar la infraestructura y bloquear el acceso al marketplace y al portal de clientes.
RedVDS como infraestructura cibercriminal y alojamiento bulletproof
RedVDS se presentaba como un servicio comercial de VPS (servidores privados virtuales), pero funcionaba en la práctica como una forma de alojamiento bulletproof: una infraestructura diseñada para tolerar o ignorar el uso malicioso de sus recursos. Por unos 24 dólares al mes, los clientes obtenían máquinas virtuales Windows con privilegios de administrador y sin restricciones de uso, lo que las hacía ideales para campañas de phishing, fraude y robo de credenciales.
El servicio operaba al menos desde 2019 y utilizaba los dominios redvds[.]com, redvds[.]pro y vdspanel[.]space. Microsoft atribuye la administración de la infraestructura al grupo Storm-2470, identificado como desarrollador y operador de RedVDS. Entre sus clientes se encontraban múltiples agrupaciones de amenaza, como Storm-0259, Storm-2227, Storm-1575 y Storm-1747, especializadas en campañas de fraude y compromiso de cuentas.
Daños económicos: ataques BEC, fraude inmobiliario y víctimas corporativas
Al litigio iniciado por Microsoft se unieron víctimas directas de ataques asociados a RedVDS. La farmacéutica H2-Pharma, con sede en Alabama, perdió 7,3 millones de dólares en un ataque de BEC (Business Email Compromise), donde se manipula la comunicación corporativa para desviar pagos. La asociación Gatehouse Dock en Florida sufrió un fraude de transferencia bancaria cercano a los 500 000 dólares, también facilitado por servidores de RedVDS.
Otro vector relevante fue el fraude en operaciones inmobiliarias. La infraestructura de RedVDS se utilizó para interceptar y redirigir pagos de compraventa de inmuebles, alterando los datos bancarios en correos entre bancos, agentes y clientes. Este tipo de ataque afectó a más de 9 000 clientes en Canadá y Australia, evidenciando la capacidad de estas plataformas para escalar el impacto del cibercrimen en sectores críticos.
Phishing masivo y compromiso de organizaciones a escala global
De acuerdo con Microsoft, los operadores de RedVDS controlaban más de 2 600 máquinas virtuales desde las que se enviaban, en promedio, alrededor de 1 millón de correos de phishing diarios dirigidos a usuarios de servicios Microsoft. Solo en los cuatro meses previos a la intervención, estas campañas facilitaron la comprometida de casi 200 000 cuentas de la compañía.
Desde septiembre de 2025, los ataques lanzados a través de RedVDS habrían contribuido al compromiso o acceso fraudulento a más de 191 000 organizaciones en todo el mundo. Estas cifras, según Microsoft, representan solo una fracción del impacto real, ya que muchas intrusiones no se detectan o no se atribuyen directamente a la misma infraestructura.
Huellas técnicas de RedVDS y ventaja geográfica para evadir defensas
La Digital Crimes Unit de Microsoft identificó una característica técnica clave: todas las máquinas virtuales de RedVDS se desplegaban a partir de una única imagen clonada de Windows Server 2022. Como resultado, todos los servidores compartían el mismo nombre de equipo, WIN-BUNS25TD77J, un indicador de compromiso muy valioso para correlacionar campañas aparentemente aisladas con una misma infraestructura subyacente.
RedVDS no disponía de hardware propio, sino que alquilaba recursos a proveedores de hosting de EE. UU., Reino Unido, Francia, Canadá, Países Bajos y Alemania. Esto permitía ofrecer a los atacantes direcciones IP cercanas geográficamente a sus víctimas, ayudándoles a eludir bloqueos por país y algunos sistemas de detección basados en geolocalización, y aumentando la credibilidad de los accesos y correos maliciosos.
IA generativa, deepfakes y criptomonedas como habilitadores del cibercrimen
En los servidores arrendados, los clientes de RedVDS desplegaban herramientas de envío masivo de correos, recolectores de direcciones de email, sistemas de anonimización, bots para automatizar ataques y software de acceso remoto. Esto se utilizaba en campañas de phishing, robo de credenciales, secuestro de cuentas, ataques BEC y múltiples formas de fraude financiero.
Microsoft señala que muchos operadores combinaban esta infraestructura con IA generativa, utilizando modelos similares a ChatGPT para redactar correos de phishing altamente convincentes y mensajes que imitaban con precisión la comunicación empresarial legítima. Otros actores empleaban deepfakes de vídeo, suplantación de rostro y clonación de voz para hacerse pasar por directivos, socios comerciales o entidades financieras, reforzando la ingeniería social. El pago de los servicios en criptomonedas completaba un modelo similar al del alojamiento bulletproof clásico: alta resiliencia, anonimato y mínima supervisión sobre el uso de los recursos.
La caída de RedVDS ilustra cómo una infraestructura relativamente barata puede amplificar el cibercrimen a escala global y poner en riesgo a organizaciones de cualquier tamaño. Para mitigar este tipo de amenazas, resulta crítico reforzar la seguridad del correo electrónico, implantar autenticación multifactor, establecer procedimientos de verificación de pagos por canales independientes, formar de manera continua al personal frente a ataques BEC y phishing, y desplegar soluciones de monitorización de accesos anómalos y detección de comportamiento sospechoso. Mantenerse al día de las alertas de autoridades y fabricantes de seguridad, junto con una estrategia proactiva de detección y respuesta a incidentes, es esencial para reducir la probabilidad de convertirse en la próxima víctima de infraestructuras cibercriminales similares a RedVDS.
