Europol, Microsoft y una coalición de socios internacionales han descabezado esta semana las infraestructuras de las familias de malware Amadey y StealC, dos de los servicios de acceso inicial más activos del ecosistema del cibercrimen. La acción, la fase más reciente de la Operación Endgame, ha tumbado 326 servidores y 142 dominios, ha recuperado 27 millones de credenciales robadas de más de 385.000 sistemas y ha identificado más de 41 millones de euros en criptomonedas vinculadas a actividades criminales. Le adelanto que la lectura confidencial de este golpe va más allá de las cifras: el verdadero impacto se mide en la fricción que introduce en un mercado de malware‑as‑a‑service que surte tanto a bandas de ransomware como a grupos de espionaje de Estado.
Anatomía técnica: cómo funcionaban Amadey y StealC
Amadey es un botnet de malware que los actores de amenazas utilizan para conseguir un punto de apoyo inicial en los dispositivos de las víctimas y, desde ahí, desplegar cargas adicionales, a menudo ransomware o troyanos de acceso remoto. Se vende en régimen de malware‑as‑a‑service: los afiliados pagan por acceder a los constructores, los paneles de gestión, el soporte y la infraestructura de mando y control. StealC, por su parte, se especializa en el robo de credenciales, monederos de criptomonedas y cualquier otra información sensible que luego se vende en foros clandestinos o se utiliza como palanca en ataques de doble extorsión.
Ambos se distribuyen a través de vectores muy pulidos: campañas de ClickFix con vídeos falsos en TikTok, sitios web comprometidos que muestran falsas actualizaciones del navegador —el viejo truco de SocGholish— y señuelos de FileFix. Microsoft, en la demanda civil que presentó en Estados Unidos, detalló que solo en las dos primeras semanas de mayo de 2026 se habían vinculado 140.000 dispositivos infectados a estas dos familias.
Tras el robo de credenciales, los datos pasaban a manos de intermediarios de acceso inicial —los IABs— que a su vez vendían el acceso a otras bandas. El ciclo, afilado como una cadena de montaje, permitía que un mismo sistema infectado por Amadey acabara cifrado por un operador de ransomware en cuestión de horas. Lo he escrito en más de una ocasión: el cibercrimen es un mercado, no una conspiración.
Operación Endgame: una larga sombra contra el cibercrimen
La Operación Endgame no es nueva. En fases anteriores ya había desarticulado infraestructuras de DanaBot, Bumblebee, Rhadamanthys, VenomRAT, Elysium y SmokeLoader. Esta vez, la coordinación ha sido aún más amplia, con agencias policiales de Canadá, Dinamarca, Alemania, Países Bajos, Reino Unido y Estados Unidos, bajo el paraguas de Europol y Eurojust, y con el apoyo de una constelación de empresas privadas: Microsoft, ESET, Proofpoint, IBM X‑Force, Bitsight, Infoblox, Orange Cyberdefense, Shadowserver, Have I Been Pwned o Spamhaus, entre otras.
ESET confirmó que su contribución permitió identificar y tumbar medio centenar de dominios y casi doscientos servidores de mando y control. Bitsight ayudó a mapear la infraestructura de mando y control, y Proofpoint e IBM X‑Force aportaron inteligencia y análisis de las muestras. La colaboración público‑privada en esta operación es el manual de cómo se combate el cibercrimen en 2026: sin la intervención de los grandes actores tecnológicos, las fuerzas de seguridad seguirían persiguiendo sombras.
Sin embargo, y aquí viene la parte incómoda, la operación no ha ido acompañada de detenciones. El ecosistema de venta de malware es resiliente: basta con que los administradores de Amadey y StealC migren a nuevos dominios y alquilen nuevos servidores para reanudar la actividad en semanas. Solo en la primera mitad de 2025, más del 50% de las campañas reactivaron su infraestructura en menos de un mes tras un desmantelamiento similar.
El cibercrimen es un mercado, no una conspiración. Y los mercados se adaptan más rápido que los sumarios judiciales.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza que ha quedado interrumpido es un ciberataque de doble capa: infección inicial mediante malware‑as‑a‑service y posterior exfiltración de credenciales para su reventa o para habilitar ataques de ransomware. Las agencias atacantes son grupos cibercriminales —aún sin atribución nominal— que operan Amadey y StealC, aunque Amadey ha sido utilizado por bandas de ransomware y por grupos de espionaje patrocinados por Estados. La defensa corre a cargo de Europol, el FBI, la NCA británica y el resto de fuerzas señaladas, con el respaldo técnico de Microsoft. Entre los terceros que observan de cerca, sitúo al CNI y al CCN‑CERT: el número de credenciales robadas con origen en España no se ha detallado, pero dada la dimensión de la operación —385.000 sistemas comprometidos— es razonable asumir que miles de ellas pertenecen a empresas y ciudadanos españoles.
El material incautado permite estimar un nivel de clasificación Confidencial para los informes técnicos de Microsoft y de Europol que detallan las órdenes judiciales, los dominios bloqueados y las técnicas de sinkholing. No estamos ante un documento Top Secret, pero sí ante inteligencia operativa que, en manos de los delincuentes, aceleraría la reconstrucción de la red.
Un precedente que me viene a la cabeza es el desmantelamiento de la botnet Avalanche en 2016. Aquella operación, también liderada por Europol, tumbó una infraestructura que movía un millón de cuentas bancarias robadas. Sin detenciones, los arquitectos de la botnet reaparecieron meses después con nuevas variantes. La lección es la misma: los dominios caen; los actores, si no van a prisión, se reagrupan.
Lo veo como un golpe necesario, pero insuficiente mientras la atribución personal siga ausente. Los investigadores tienen ahora 27 millones de credenciales para empezar a tirar del hilo y, si la cooperación judicial con terceros países funciona, podrían llegar a los nombres que están detrás de los alias. El próximo hito será, precisamente, la publicación del informe anual de Europol sobre cibercrimen, previsto para el último trimestre de 2026, donde deberían cuantificarse los efectos reales de esta fase de Endgame.
Por cierto, si usted ha seguido de cerca la evolución del malware como servicio, habrá notado que el modelo de afiliados copia, casi punto por punto, el esquema de franquicias comerciales. Lo advertí en El quinto elemento hace más de una década: el próximo 11S empezará con un clic, y quien lo perpetre no necesitará un ejército, solo un portátil y acceso a un panel de gestión. Amadey y StealC son la enésima prueba de que aquella predicción sigue vigente.
