Operación de FIOD contra infraestructura de hosting ligada a sanciones de la UE

Foto del autor

CyberSecureFox Editorial Team

El Servicio de Investigación de Delitos Financieros de los Países Bajos (FIOD) llevó a cabo una operación a gran escala para la incautación de más de 800 servidores y detuvo a dos sospechosos de infringir la normativa de sanciones de la UE. Según la investigación, la infraestructura de hosting confiscada se utilizaba para llevar a cabo ciberataques y campañas de desinformación contra Estados europeos. La operación afectó a centros de datos en varias ciudades de los Países Bajos y provocó fallos generalizados para los clientes de varios proveedores de hosting, algunos de los cuales denunciaron la pérdida total e irreversible de su infraestructura en cuatro países.

Cronología de la operación y de las detenciones

La operación comenzó el 18 de mayo de 2025 y abarcó centros de datos en Dronten y Schiphol-Rijk, además de registrarse instalaciones en Enschede y Almere. Fueron detenidas dos personas: un residente de Ámsterdam de 57 años, director de una empresa de hosting, y un residente de La Haya de 39 años, responsable del proveedor que suministraba la infraestructura de red a la primera compañía.

FIOD indica que los detenidos «proporcionaban indirectamente recursos económicos» a organizaciones sometidas a sanciones de la Unión Europea. La investigación se centra en una empresa de hosting fundada el 10 de febrero de 2022, dos semanas antes del inicio de la invasión a gran escala de Rusia contra Ucrania. Según la versión de los investigadores, la infraestructura de esta empresa se utilizaba para «actividades desestabilizadoras contra la UE», incluidos ciberataques y la difusión de desinformación.

Sanciones e intento de eludirlas

El 20 de mayo de 2025, el Consejo de la UE amplió las listas de sanciones, añadiendo 21 personas físicas y 6 organizaciones en respuesta a las amenazas híbridas rusas. Según FIOD, tras la inclusión de la empresa de hosting en las listas de sanciones, una parte significativa de su infraestructura se transfirió a una nueva firma neerlandesa que, según la investigación, actuaba como sociedad pantalla para eludir las sanciones. Precisamente este intento de evasión, al parecer, fue la base para la intervención activa de las fuerzas del orden.

Este caso establece un precedente importante: las autoridades europeas están dispuestas a perseguir no solo a las estructuras sancionadas de forma directa, sino también a los intermediarios que garantizan la continuidad de su actividad mediante la creación de coberturas jurídicas.

Empresas presuntamente implicadas y vínculo con las amenazas

Aunque FIOD no revela oficialmente los nombres de las empresas, el medio neerlandés de Volkskrant llevó a cabo su propia investigación y señaló que, presuntamente, se trata de las empresas Stark Industries, WorkTitans y Mirhosting. Según los periodistas, la infraestructura de estas compañías se habría utilizado para el tránsito de tráfico del grupo hacktivista prorruso NoName057(16), conocido por sus ataques DDoS contra organismos e instituciones gubernamentales europeas.

Según se indica, tras la imposición de sanciones contra Stark Industries, parte de la infraestructura y del espacio de direcciones IP pasó a la empresa neerlandesa WorkTitans, que operaba bajo la marca THE.Hosting. Mirhosting, de acuerdo con la investigación, proporcionaba alojamiento de servidores y conexión con grandes puntos de intercambio de tráfico europeos (IXP).

Es importante subrayar que la identificación de empresas concretas y la vinculación de su infraestructura con NoName057(16) se basan en una investigación periodística y no en declaraciones oficiales de FIOD. Esta atribución requiere una confirmación adicional.

Representantes de Mirhosting declararon a de Volkskrant que no apoyaban conscientemente ninguna actividad ilegal y que respondían a las quejas a medida que las recibían. WorkTitans no respondió a las solicitudes de los periodistas.

Consecuencias para los clientes

La operación de FIOD tuvo consecuencias graves para los usuarios de los servicios de hosting relacionados. A partir del 19 de mayo, los clientes de THE.Hosting, UFO.Hosting y GEO.Hosting comenzaron a informar de fallos masivos: indisponibilidad de VPS, caída de los paneles de control y de los sistemas de facturación, y ausencia de respuesta del soporte técnico.

Posteriormente, los clientes recibieron notificaciones sobre un «incidente técnico a gran escala», en las que se informaba de que la infraestructura en EE. UU., Alemania, Países Bajos y Austria se había «perdido por completo y no podía ser restaurada». Los proveedores prometieron la emisión automática de nuevos servidores en otras ubicaciones y compensaciones; sin embargo, según los usuarios, parte de los clientes nunca recibió los reemplazos y se enfrentó a la pérdida de datos y a dificultades para obtener reembolsos.

Estos datos se basan en informes de usuarios y deben valorarse con cautela; no obstante, la magnitud de las quejas apunta a la realidad del problema.

Evaluación del impacto y conclusiones para el sector

Esta operación afecta a varios niveles:

  • Aplicación de sanciones: por primera vez, en el marco del régimen de sanciones de la UE contra las amenazas híbridas rusas, se ha llevado a cabo una incautación de infraestructura de hosting de tal magnitud, acompañada de la detención de sus operadores
  • Lucha contra el «bulletproof hosting»: la operación demuestra que las jurisdicciones europeas son capaces de reaccionar con rapidez al traslado de infraestructura entre empresas pantalla
  • Daños colaterales: los clientes legítimos de los proveedores de hosting, no vinculados a actividades ilegales, sufrieron pérdidas reales, desde datos hasta recursos económicos

Recomendaciones

Para las organizaciones que utilizan servicios de proveedores de hosting poco conocidos, especialmente aquellos con precios llamativamente bajos:

  • Verifique el historial jurídico del proveedor: fecha de registro, cambios de propiedad, vínculos con estructuras sancionadas; todo ello está disponible en registros públicos y en WHOIS
  • Garantice la diversificación geográfica de las copias de seguridad: este incidente ha demostrado que una incautación puede afectar simultáneamente a la infraestructura en varios países
  • Revise los ASN y bloques de IP actuales de su proveedor: la migración del espacio de direcciones IP desde empresas sancionadas hacia nuevas entidades jurídicas es un indicador directo de riesgo
  • Incluya en los contratos con proveedores de hosting cláusulas de compensación en caso de incautación de la infraestructura por parte de las fuerzas del orden

La operación de FIOD establece un nuevo estándar de aplicación de la ley en el ámbito de la infraestructura de hosting utilizada para ciberataques: la incautación de 800 servidores, junto con el bloqueo de un intento de eludir las sanciones mediante empresas pantalla. Las organizaciones que alojan servicios críticos con pequeños proveedores deberían auditar de inmediato a sus socios de hosting en busca de posibles vínculos con estructuras sancionadas y asegurarse de contar con copias de seguridad externas actualizadas que no dependan de la infraestructura del proveedor principal.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio