Las autoridades de los Países Bajos han detenido a un ciudadano neerlandés de 33 años acusado de administrar AVCheck, una de las plataformas internacionales más utilizadas para probar malware y evadir soluciones antivirus. El servicio fue clausurado en mayo de 2025 dentro de la operación internacional Endgame, centrada en desmantelar infraestructuras que sostienen el ecosistema del cibercrimen.
Arresto en Ámsterdam y vínculo con el servicio AVCheck
Según la Fiscalía de los Países Bajos (Openbaar Ministerie, OM), el arresto se produjo en el aeropuerto de Schiphol, en Ámsterdam. La identidad del sospechoso no ha sido revelada, pero las autoridades indican que abandonó el país tras el cierre de AVCheck y se ocultó en los Emiratos Árabes Unidos. Tras un periodo de seguimiento internacional, fue detenido y sus dispositivos de almacenamiento fueron incautados para un análisis forense digital exhaustivo.
La investigación lo relaciona con dos empresas que, presuntamente, se empleaban como canales formales para ofrecer acceso a la plataforma AVCheck a desarrolladores de malware y otros actores delictivos. Este tipo de estructuras corporativas actúan a menudo como “empresas pantalla”, presentando los servicios como herramientas de prueba de seguridad legítimas mientras se orientan en realidad al soporte del cibercrimen.
AVCheck: plataforma de prueba de malware y evasión de antivirus
AVCheck es descrito por los investigadores como un servicio de alcance internacional diseñado para comprobar la detección de código malicioso por parte de antivirus, EDR y otras soluciones de seguridad. El funcionamiento básico era sencillo: el usuario subía una muestra de malware y recibía información sobre si las principales soluciones de seguridad del mercado eran capaces de identificarla.
En apariencia, este modelo se asemeja a las plataformas de pentesting utilizadas por profesionales de ciberseguridad para evaluar defensas corporativas. La diferencia crítica está en la intención: en lugar de reforzar la seguridad, desarrolladores de malware utilizaban AVCheck para “pulir” su código malicioso hasta que dejara de ser detectado por mecanismos basados en firmas o en reglas de comportamiento.
Por qué los servicios de evasión de antivirus son un riesgo crítico
Las bandas de cibercrimen actuales operan con metodologías similares a las de una fábrica de software: desarrollan, prueban, depuran, versionan y reutilizan sus herramientas. Los llamados servicios anti-AV o de evasión de antivirus (AV-evasion) les permiten validar, antes de lanzar una campaña, qué grado de visibilidad tendrán frente a las defensas más extendidas.
En la práctica, los delincuentes someten su malware al mismo tipo de pruebas de calidad que las empresas aplican al software legítimo, pero con un objetivo opuesto: identificar vías para sortear la seguridad. El resultado son ataques que tienden a:
- permanecer más tiempo sin ser detectados en la red de la víctima;
- eludir controles perimetrales, como cortafuegos y sistemas de filtrado;
- dificultar la investigación forense posterior, al utilizar técnicas diseñadas específicamente para confundir las herramientas de análisis.
Distintos informes de la industria, como los de Verizon o Mandiant, apuntan a que muchas intrusiones se detectan todavía días o incluso semanas después de producirse. La existencia de servicios como AVCheck contribuye directamente a alargar ese tiempo de permanencia no detectada, aumentando el impacto potencial de cada incidente.
Operación Endgame: un golpe coordinado contra la infraestructura del cibercrimen
El cierre de AVCheck el 27 de mayo de 2025 se enmarca en la segunda fase de la operación Endgame, una campaña conjunta de las autoridades de Países Bajos, Estados Unidos, Finlandia y otros socios internacionales. Este tipo de operaciones refleja un cambio de enfoque: ya no se persigue únicamente a grupos concretos (por ejemplo, operadores de ransomware), sino también a las piezas de infraestructura que permiten escalar y profesionalizar las actividades delictivas.
Entre estos objetivos se incluyen servicios de hosting resistentes a la intervención, redes de bots, paneles de control de malware y plataformas de pruebas como AVCheck. La coordinación transfronteriza demuestra una tendencia clara: las fronteras geográficas dejan de ser un refugio eficaz para los cibercriminales, ya que los mecanismos de cooperación internacional permiten rastrear movimientos y practicar detenciones incluso cuando los sospechosos se desplazan entre jurisdicciones.
Del hacker aislado al modelo de cibercrimen como servicio
Desde una perspectiva de ciberseguridad, resulta especialmente relevante el impacto sobre la economía del cibercrimen basada en servicios (crimeware-as-a-service). En este modelo, distintos actores se especializan: unos desarrollan plataformas, otros aportan infraestructura y otros ejecutan las intrusiones. Este “outsourcing” permite que atacantes con poca experiencia accedan a herramientas avanzadas mediante suscripción o pago por uso.
Al desmantelar servicios como AVCheck se eleva de forma directa el umbral de entrada al cibercrimen. Los delincuentes se ven obligados a migrar a foros más cerrados, fragmentar sus operaciones o construir soluciones propias, lo que incrementa el coste, el tiempo y el nivel de sofisticación necesarios para mantener la misma capacidad ofensiva.
Consecuencias para los atacantes y lecciones para las organizaciones
Aunque el cierre de AVCheck y el arresto de su presunto administrador difícilmente eliminarán la práctica de probar malware antes de desplegarlo, sí es previsible que parte de estas capacidades se desplace a servicios privados y círculos más restringidos del darknet. La reducción de grandes plataformas accesibles y cómodas complica la operativa de los atacantes y encarece la preparación de campañas.
Para las organizaciones, esto no supone una reducción del riesgo inmediato. Más bien refuerza una premisa clave: cualquier ataque medianamente sofisticado debe asumirse como previamente probado frente a las defensas estándar del mercado. En ese contexto, una estrategia de protección eficaz debería contemplar al menos:
- Arquitecturas de seguridad en múltiples capas: protección de endpoints, monitorización de red, segmentación, gestión estricta de privilegios y control de accesos.
- Detección basada en comportamiento y anomalías, no solo en firmas, para identificar patrones inusuales incluso cuando el malware ha sido “ajustado” para evadir motores tradicionales.
- Ejercicios periódicos de respuesta a incidentes (incluyendo red teaming y purple teaming) para validar la capacidad real de detección, contención y recuperación.
- Actualización continua de políticas y controles con foco específico en técnicas de evasión, como el uso de binarios legítimos para actividades maliciosas o la ofuscación avanzada.
La operación contra AVCheck evidencia que la lucha contra el cibercrimen se orienta cada vez más a desactivar la infraestructura que convierte las amenazas aisladas en ataques masivos y repetibles. Para las empresas y entidades públicas, la respuesta pasa por reforzar su resiliencia: invertir en monitorización continua, capacitación del personal, auditorías periódicas de seguridad y adopción de tecnologías de detección avanzada, partiendo siempre de la hipótesis de que los atacantes ya han probado sus herramientas contra las soluciones antivirus convencionales.
