Operación Ramz: primera acción coordinada contra el cibercrimen en MENA

Foto del autor

CyberSecureFox Editorial Team

INTERPOL ha concluido una operación coordinada contra la ciberdelincuencia de alcance sin precedentes en la región de Oriente Medio y Norte de África (MENA). La operación Ramz, llevada a cabo de octubre de 2025 a febrero de 2026 con la participación de 13 países, se saldó con 201 detenciones, la identificación de otros 382 sospechosos, la detección de 3.867 víctimas y la incautación de 53 servidores. Además de los clásicos esquemas de phishing y fraude, la investigación destapó un esquema de trabajo forzoso en el que víctimas de trata de personas eran utilizadas como operadores de fraude financiero.

Alcance y geografía de la operación

Según el comunicado oficial de INTERPOL, la operación se centró en neutralizar infraestructuras de phishing y malware, así como en combatir el cibrofraude que causa un importante daño financiero a la región. En la operación participaron Argelia, Baréin, Egipto, Irak, Jordania, Líbano, Libia, Marruecos, Omán, Palestina, Catar, Túnez y Emiratos Árabes Unidos.

Los resultados clave por país muestran la diversidad de amenazas detectadas:

  • Argelia: se desmanteló una plataforma de «phishing as a service» (Phishing-as-a-Service, PhaaS). Se confiscaron un servidor, un ordenador, un teléfono móvil y discos duros con software y scripts de phishing. Fue detenido un sospechoso.
  • Marruecos: se incautaron ordenadores, smartphones y unidades de almacenamiento externas que contenían datos bancarios y herramientas para operaciones de phishing.
  • Omán: en una vivienda privada se localizó un servidor legítimo con información confidencial que presentaba múltiples vulnerabilidades críticas y estaba infectado con malware. El servidor fue desconectado.
  • Catar: se identificaron dispositivos comprometidos cuyos propietarios desconocían que sus sistemas se utilizaban para propagar amenazas maliciosas. Los dispositivos fueron asegurados y los propietarios, notificados.
  • Jordania: se encontró un ordenador utilizado para llevar a cabo esquemas de fraude financiero con una plataforma de trading falsa.

Cabe señalar que INTERPOL no reveló las familias concretas de malware, los indicadores de compromiso ni los detalles de las vulnerabilidades de los servidores en Omán y Catar, lo que limita la posibilidad de una evaluación técnica independiente del alcance de las amenazas.

Trata de personas al servicio del cibrofraude

El hallazgo más preocupante de la operación se produjo en Jordania. Durante un registro se localizaron 15 personas que ejecutaban directamente operaciones fraudulentas con una plataforma de inversión falsa que dejaba de funcionar tras recibir el dinero de las víctimas. Sin embargo, la investigación determinó que estos 15 operadores eran en sí mismos víctimas de trata de personas: habían sido reclutados bajo el falso pretexto de una oferta de empleo desde países asiáticos. A su llegada a Jordania se les confiscaron los pasaportes y fueron obligados a participar en el esquema fraudulento. Dos presuntos organizadores fueron detenidos.

Este caso ilustra la creciente convergencia entre la ciberdelincuencia y la delincuencia organizada «del mundo real». El modelo de cibrofraude forzoso, anteriormente documentado de forma masiva en el Sudeste Asiático (Camboya, Myanmar, Laos), se está registrando ahora también en la región MENA, lo que evidencia una expansión geográfica de esta práctica.

Papel del sector privado

En la operación participaron empresas del sector privado. Group-IB informó de que proporcionó datos de inteligencia sobre más de 5.000 cuentas comprometidas, incluidas algunas vinculadas a infraestructuras gubernamentales, así como información sobre infraestructuras de phishing activas en la región. Team Cymru también declaró haber apoyado la operación, subrayando la necesidad de coordinación entre las fuerzas de seguridad y el sector privado.

La participación de compañías especializadas en análisis de amenazas en este tipo de operaciones se está convirtiendo en una práctica habitual: las fuerzas de seguridad obtienen experiencia técnica y acceso a datos de telemetría de los que no disponen por sí mismas, mientras que las empresas ven legitimadas sus capacidades de inteligencia.

Contexto: ola de actuaciones policiales

La operación Ramz se enmarca en una serie de grandes actuaciones policiales de las últimas semanas. Entre las más destacadas:

  • Dream Market: se han presentado cargos de blanqueo de capitales contra Ove Martin Andresen (Speedstepper), presunto administrador principal del marketplace de la darknet, detenido en Alemania.
  • Crimenetwork: se ha cerrado la versión relanzada del marketplace (la versión original fue desmantelada en diciembre de 2024) y se ha detenido en Mallorca al presunto administrador, un ciudadano alemán de 35 años.
  • Kingdom Market: el administrador Alan Bill, de Bratislava, ha sido condenado a 200 meses (más de 16 años) de prisión por distribuir drogas, datos financieros robados, documentos falsos y malware.
  • Fraude con criptomonedas: Marlon Ferro (GothFerrari), de 20 años, ha sido condenado a 78 meses de prisión por participar en un esquema de ingeniería social que sustrajo más de 250 millones de dólares en criptomonedas. El esquema combinaba fraude online con robos físicos de monederos hardware.
  • Eliminación de datos gubernamentales: Sohaib Akhter ha sido declarado culpable de eliminar 96 bases de datos con información del gobierno de Estados Unidos y de robar una contraseña en texto claro del portal de la Comisión para la Igualdad de Oportunidades en el Empleo.

En conjunto, estas actuaciones demuestran un refuerzo sistemático de la presión sobre la infraestructura de la ciberdelincuencia en todos los frentes: desde marketplaces de la darknet hasta plataformas de phishing y esquemas de ingeniería social.

Recomendaciones prácticas

Los resultados de la operación Ramz ponen de relieve varias prioridades prácticas para las organizaciones de la región MENA y de fuera de ella:

  • Auditoría de la infraestructura de servidores: el caso de Omán demuestra que los servidores legítimos con vulnerabilidades críticas en redes privadas se convierten en puntos de compromiso. Realice un inventario de todos los servidores, incluidos los ubicados fuera de los centros de datos corporativos.
  • Monitorización de cuentas comprometidas: más de 5.000 cuentas comprometidas, incluidas cuentas gubernamentales, apuntan a una filtración masiva de credenciales. Implemente monitorización de filtraciones y rotación forzosa de contraseñas para las cuentas con privilegios.
  • Verificación de endpoints: la situación en Catar, donde los propietarios de los dispositivos desconocían la intrusión, subraya la necesidad de realizar escaneos periódicos en busca de malware y de actividad de red anómala.
  • Formación de empleados: las plataformas de phishing «como servicio» reducen la barrera de entrada para los atacantes, incrementando el volumen y la calidad de los ataques de phishing. Actualice los programas de concienciación incorporando los patrones regionales más recientes.

La operación Ramz es el primer precedente de una operación ciberpolicial coordinada de esta magnitud en la región MENA. Su principal valor no reside tanto en el número de detenciones como en la creación de un modelo operativo de cooperación interestatal en una región donde esta coordinación era anteriormente inexistente. Se recomienda a las organizaciones que operan en estas jurisdicciones utilizar los resultados de la operación como base para revisar sus propios modelos de amenazas, en particular, tener en cuenta el auge de las plataformas de «phishing as a service» y la expansión de los esquemas de cibrofraude forzoso más allá del Sudeste Asiático.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio