Cómo la operación internacional contra pig butchering expone ciberfraude y trata

Foto del autor

CyberSecureFox Editorial Team

Una operación internacional con participación de Estados Unidos, China y Emiratos Árabes Unidos ha llevado a la detención de al menos 276 personas, al cierre de nueve centros de fraude con criptomonedas y a la congelación de más de 700 millones de dólares en criptoactivos, poniendo al descubierto al mismo tiempo la estrecha relación entre los esquemas de pig butchering, la trata de personas, los «scam compounds» políticamente protegidos en el Sudeste Asiático y la propagación de un nuevo troyano bancario para Android; para empresas e inversores particulares esto es una señal de que deben revisar con urgencia la protección de las transacciones en criptomonedas, de los dispositivos móviles y de los procesos de verificación de contrapartes.

Detalles técnicos y alcance de las operaciones

Desmantelamiento de la infraestructura física de los centros de estafa

La coordinación de las acciones de las fuerzas del orden estuvo encabezada por la policía de Dubái con la participación del Ministerio del Interior de los EAU, el FBI y el Ministerio de Seguridad Pública de China. Según la acusación en Estados Unidos, los implicados dirigían y trabajaban en las estructuras Ko Thet Company, Sanduo Group y Giant Company, que utilizaban varios centros de estafa para inversiones fraudulentas en criptomonedas.

  • Al menos 276 sospechosos han sido detenidos, entre ellos ciudadanos de Myanmar e Indonesia.
  • Se han cerrado nueve centros que operaban contra víctimas extranjeras, principalmente de Estados Unidos.
  • A los implicados en Estados Unidos se les ha imputado fraude y blanqueo de dinero.

En la base de los esquemas se encuentra el formato pig butchering (también conocido como romance baiting): creación prolongada de relaciones de confianza —a menudo de tipo romántico— tras lo cual se conduce gradualmente a la víctima hacia inversiones «rentables» en criptomonedas. Los delincuentes ayudan a abrir criptomonedas y a transferir fondos a plataformas de inversión falsas; en cuanto los fondos llegan a estas plataformas, se blanquean de inmediato a través de otros criptomonedas, incluidos los pertenecientes a los propios estafadores.

Un elemento crítico es el trabajo forzoso. A personas de otros países se las recluta con promesas de altos salarios y luego se las mantiene en «compounds» en condiciones cercanas a la esclavitud, con amenazas de violencia y tortura si se niegan a participar en los esquemas. Casos similares ya se han descrito en detalle anteriormente en comunicados del Departamento de Justicia de EE. UU. sobre causas relacionadas con fraude internacional en línea (sitio web oficial del Departamento de Justicia de EE. UU.).

Operation Level Up: trabajo proactivo con las víctimas

Desde enero de 2024, el FBI está llevando a cabo la iniciativa Operation Level Up, dirigida a la búsqueda proactiva de víctimas de fraudes de inversión en criptomonedas y a su notificación. A abril de 2026:

  • se han identificado y notificado unas 9 000 víctimas;
  • los daños evitados se estiman en aproximadamente 562 millones de dólares.

Desde el punto de vista defensivo, esto supone un cambio importante: las fuerzas del orden no esperan a que las víctimas presenten denuncias, sino que utilizan capacidades analíticas sobre blockchain y transacciones para identificar de forma autónoma a las víctimas y protegerlas.

Shunda, Tai Chang y captación a través de Telegram

Se ha presentado una acusación separada contra dos ciudadanos chinos vinculados a un gran «scam compound» llamado Shunda en Myanmar y a planes para abrir un segundo centro en Camboya. Uno de ellos actuaba como directivo de alto nivel, participando personalmente en el castigo físico de trabajadores víctimas de trata, y el otro era jefe de equipo de un grupo que atacaba deliberadamente a ciudadanos de EE. UU.

En el marco de la misma oleada de actuaciones:

  • se ha confiscado el canal de Telegram @pogojobhiring2023 (más de 6 500 suscriptores), utilizado para reclutar víctimas de trata de personas hacia un «scam compound» en Camboya bajo la apariencia de un empleo legal;
  • se ha descubierto y bloqueado un clúster de 503 sitios web de inversión falsos dirigidos a ciudadanos estadounidenses;
  • se han restringido más de 701 millones de dólares en criptomonedas vinculadas al blanqueo de fondos procedentes de fraudes con criptomonedas.

Escalado del approval phishing: Operation Atlantic

Paralelamente se lleva a cabo la Operation Atlantic, dirigida a esquemas de approval phishing: persuadir de forma fraudulenta a la víctima para que firme una transacción en blockchain que otorgue al atacante control total sobre el monedero Web3. Tras dicha firma, el atacante puede vaciar todos los activos sin necesidad de vulnerar el propio monedero.

  • se han congelado unos 12 millones de dólares vinculados a este esquema;
  • se han identificado más de 20 000 víctimas en 30 países (incluidos Estados Unidos, Canadá y Reino Unido);
  • se han confiscado más de 120 dominios utilizados para phishing;
  • se han identificado adicionalmente unos 33 millones de dólares supuestamente relacionados con fraudes de inversión a escala mundial.

Según los analistas de TRM Labs y declaraciones del Servicio Secreto de EE. UU. (U.S. Secret Service), el approval phishing suele «empaquetarse» dentro de esquemas de inversión y románticos de pig butchering como paso final para extraer las sumas máximas posibles.

Nuevo troyano bancario para Android como servicio

En el contexto del desmantelamiento de los centros físicos de estafa, investigadores de Infoblox y de la organización vietnamita sin ánimo de lucro Chong Lua Dao han descubierto un nuevo troyano para Android, que funciona según el modelo de «software como servicio» (MaaS) y que probablemente está vinculado al compound K99 Triumph City, propiedad del grupo camboyano K99 Group.

Características clave del troyano:

  • monitorización en tiempo real de las acciones del usuario en el dispositivo;
  • robo de credenciales y datos de aplicaciones;
  • extracción de fondos utilizando los datos robados;
  • uso al menos desde 2023.

Infraestructura de la campaña:

  • registro de unos 35 dominios nuevos al mes (tanto mediante un algoritmo de generación de dominios como imitando dominios legítimos);
  • alrededor de 400 dominios señuelo específicos registrados solo en 2025;
  • suplantación de bancos, fondos de pensiones y de seguridad social, empresas de servicios públicos, autoridades fiscales, de migración, operadores de telecomunicaciones y cuerpos de seguridad;
  • ampliación de los señuelos a aerolíneas y plataformas de comercio, así como una expansión más allá del Sudeste Asiático hacia África y América Latina.

Los investigadores señalan coincidencias en la infraestructura y el comportamiento con la actividad de los grupos rastreados como Vigorish Viper y Vault Viper, lo que apunta a la formación de un ecosistema comercial completo de herramientas de fraude. El contexto metodológico adicional sobre técnicas de ingeniería social y malware puede compararse con la taxonomía de MITRE ATT&CK.

Contexto de amenazas: ciberdelito, trata de personas y protección política

La particularidad de la campaña actual de las fuerzas del orden es que atacan de forma deliberada el vínculo «ciberdelito + trata de personas + élites corruptas».

  • El Departamento del Tesoro de EE. UU., a través de la OFAC, ha impuesto sanciones contra el senador camboyano Kok An, el empresario Rithy Raksmei y sus negocios (incluido K99 Group), señalando una red de centros de estafa que operan desde casinos y complejos de oficinas y vulneran los derechos humanos. Véase información general sobre sanciones y medidas financieras en el sitio del Departamento del Tesoro de EE. UU. (U.S. Department of the Treasury).
  • Es el segundo senador camboyano sancionado por Estados Unidos por su implicación en trabajo forzoso en centros de estafa en línea: anteriormente se había señalado a Ly Yong Phat.
  • En respuesta a la escala «industrial» del fraude, el Parlamento de Camboya ha aprobado la primera ley específica contra los centros de estafa: entre 5 y 10 años de prisión y multas de hasta 250 000 dólares.

De este modo, la lucha contra el pig butchering deja de ser una operación puramente cibernética y se desplaza al terreno de las sanciones financieras, el derecho penal y la lucha contra la trata de personas. Para las empresas, esto significa que la interacción —incluso indirecta— con estructuras empresariales de este tipo puede tener consecuencias sancionatorias y jurídicas, y no solo riesgos reputacionales.

Evaluación del impacto para distintas categorías

Mayor riesgo para:

  • Plataformas de criptomonedas y brókers, que se convierten en el principal «cuello de botella» para la entrada y salida de fondos en los esquemas de pig butchering y approval phishing.
  • Bancos y empresas fintech, ya que el troyano para Android está orientado al robo de datos bancarios y financieros de clientes, incluido el mobile banking.
  • Operadores de telecomunicaciones, empresas de servicios públicos y organismos públicos, cuyos nombres de marca se suplantan de forma masiva en dominios señuelo, lo que socava la confianza en los canales de interacción con los clientes.
  • Organizaciones con personal en el Sudeste Asiático (especialmente en Camboya, Myanmar y Tailandia), ante un aumento del riesgo de vínculos no intencionados con personas o entidades sancionadas e implicación de empleados en esquemas de trabajo forzoso.
  • Inversores particulares y usuarios de servicios de citas, debido a la combinación de fraude romántico, esquemas de inversión y explotación de la funcionalidad Web3.

En caso de inacción, las consecuencias incluyen:

  • pérdidas financieras directas para clientes y empresas (congelación de cuentas, robo de activos de monederos Web3 y de banca móvil);
  • consecuencias jurídicas por posibles violaciones de los regímenes de sanciones de la OFAC y de los requisitos de lucha contra el blanqueo de capitales;
  • pérdida de confianza en los canales digitales (especialmente si la marca de la organización ha sido suplantada en dominios o aplicaciones del troyano);
  • aumento de la presión regulatoria en materia de due diligence sobre socios y cadenas de suministros.

Recomendaciones prácticas

Para plataformas cripto, brókers y empresas fintech

  • Reforzar el análisis de transacciones en blockchain teniendo en cuenta los patrones de pig butchering y approval phishing: cadenas de transferencias a monederos recién creados, transferencias masivas a direcciones que figuran en investigaciones, importes anómalos tras un periodo prolongado de comportamiento «pasivo» de los clientes.
  • Integrar datos de las fuerzas del orden (operaciones Level Up y Atlantic) y de analistas como TRM Labs en los sistemas de monitorización de transacciones y de cribado de sanciones.
  • Aplicar un control estricto sobre los smart contract approvals: advertir al usuario cuando conceda un «permiso ilimitado de gasto» a un contrato desconocido y, en la medida de lo posible, someter dichas operaciones a una verificación adicional.
  • Vigilar por separado a los clientes de grupos de riesgo (actividad en servicios de citas, cambios bruscos en el perfil de inversión, captación masiva de créditos para inversiones en criptomonedas) e implantar intervenciones suaves: avisos, llamadas del equipo de seguridad.

Para departamentos corporativos de ciberseguridad y SOC

  • Filtrado de dominios señuelo: bloquear dominios nuevos y poco conocidos que imiten a bancos, organismos públicos, fondos sociales, aerolíneas y grandes marketplaces, especialmente para empleados con acceso a sistemas financieros.
  • Seguridad móvil: prohibir la instalación de aplicaciones fuera de las tiendas oficiales, implantar control de integridad de los dispositivos y monitorizar permisos sospechosos de las aplicaciones (acceso a SMS, notificaciones, servicios de accesibilidad).
  • Actualizar los escenarios de formación del personal, incluyendo:
    • signos de pig butchering (conversaciones prolongadas, traslado a mensajerías, ofertas de inversión «exclusivas»);
    • riesgos asociados a cualquier firma de transacciones Web3 y el mecanismo de approval phishing;
    • peligro de instalar «aplicaciones del banco/de organismos públicos» a través de enlaces recibidos por mensajes.
  • Utilizar recomendaciones externas de reguladores (por ejemplo, recomendaciones de CISA y descripciones de tácticas en MITRE ATT&CK) al configurar reglas de correlación y detecciones.

Para inversores particulares y usuarios

  • No transferir nunca grandes sumas en criptomonedas siguiendo el consejo de conocidos en línea o «asesores» a los que no haya visto en persona ni haya verificado por medios independientes.
  • Tratar cada firma de transacción en Web3 como un poder notarial irrevocable: leer el contenido del permiso, utilizar monederos hardware y separar los monederos de inversión de los de operaciones cotidianas.
  • No instalar aplicaciones para operaciones financieras a través de enlaces de mensajería o SMS, incluso si parecen mensajes del banco o de organismos públicos; busque siempre la aplicación directamente en la tienda oficial.
  • Ante cualquier sospecha de fraude, ponerse en contacto lo antes posible con el banco/la bolsa y las fuerzas del orden: cuanto antes comience la investigación, mayor será la probabilidad de congelar los activos antes de que se blanqueen (véanse contactos generales y aclaraciones en el sitio web del Departamento de Justicia de EE. UU. y en los portales nacionales de las fuerzas del orden).

La ola actual de operaciones —desde Level Up y Atlantic hasta las sanciones de la OFAC y las nuevas leyes de Camboya— demuestra que los Estados han empezado a atacar no a «estafadores románticos» aislados, sino a toda la infraestructura del pig butchering: compounds, redes de blanqueo, políticos protectores y desarrolladores de servicios maliciosos; para no convertirse en el siguiente eslabón de esta cadena, las organizaciones deben integrar ya las señales de las fuerzas del orden, endurecer el control sobre las transacciones Web3 y los dispositivos móviles, y actualizar la formación de los empleados teniendo en cuenta las nuevas técnicas de presión social y de approval phishing.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

cybersecurefox.com

© 2026 INFO

PRIVACY POLICY terms of service