Microsoft lleva a tribunales del Reino Unido el cierre de RedVDS, un host ligado a phishing masivo
Microsoft ha escalado su estrategia de disrupción contra el cibercrimen al ámbito internacional con el cierre de RedVDS por phishing masivo como objetivo central: una operación que combina acciones civiles en Reino Unido y Estados Unidos, incautación de dominios y medidas técnicas para desactivar el marketplace y el portal de clientes del servicio.
Según la compañía, se trata de su primera gran acción civil fuera de EEUU enfocada a cortar infraestructura utilizada como “cybercrime-as-a-service”, en coordinación con Europol y autoridades alemanas. Microsoft afirma que ya ha desconectado componentes de la infraestructura asociada al servicio y reemplazado los dominios incautados por un aviso de incautación.
Cierre de RedVDS por phishing masivo: qué es y por qué importa
De acuerdo con Microsoft, RedVDS operaba como una plataforma de alquiler de virtual dedicated servers y virtual desktops orientada a ofrecer máquinas desechables por importes bajos (la compañía cita planes desde 24 dólares al mes). Este tipo de entornos, por su elasticidad y rotación, pueden reducir el coste operacional de campañas delictivas y complicar la atribución y el rastreo, especialmente cuando se apoyan en múltiples proveedores y jurisdicciones.
Microsoft sostiene que el servicio fue utilizado para enviar emails de phishing, secuestro de cuentas y ejecución de estafas, con un impacto económico relevante. En sus comunicaciones, la empresa cifra en aproximadamente 40 millones de dólares las pérdidas por fraude reportadas solo en Estados Unidos vinculadas a este patrón de actividad.
Acciones legales en Reino Unido y EEUU y toma de dominios
La operación descrita por Microsoft combina palancas judiciales y medidas técnicas. Por un lado, la compañía afirma haber trabajado con fuerzas del orden para incautar dos dominios utilizados para alojar el marketplace y el portal de clientes de RedVDS, dejándolos fuera de servicio y sustituyéndolos por un aviso de incautación.
En paralelo, Microsoft ha presentado una demanda civil en el US District Court for the Southern District of Florida. Entre las acusaciones, la empresa alega que el servicio se apoyaba en copias pirateadas de Windows Server para facilitar actividad criminal. La compañía ha enmarcado la iniciativa dentro del trabajo de su Digital Crimes Unit.
Contexto oficial de la operación y postura de la compañía: Microsoft (comunicado corporativo).
Contexto de coordinación europea y marco de cooperación: Europol (sitio oficial).
Infraestructura distribuida y superficie de ataque
Microsoft asegura que RedVDS alquilaba infraestructura a, al menos, cinco compañías de hosting repartidas entre Estados Unidos, Canadá, Reino Unido, Francia y Países Bajos. En su investigación, la empresa describe un ecosistema “suelto” de actores que compraban acceso al servicio y lo usaban para atacar a organizaciones de sectores como legal, construcción, manufactura, real estate, salud y educación.
La compañía añade que se han identificado víctimas en Norteamérica y Europa, además de Australia y otras regiones con alta concentración bancaria, lo que sugiere una selección de objetivos con potencial de monetización elevado.
Impacto atribuido: 191.000 organizaciones y millones de mensajes
En sus métricas internas, Microsoft afirma que, desde septiembre de 2025, los ataques habilitados por RedVDS derivaron en compromiso o acceso fraudulento a más de 191.000 organizaciones a nivel global. En un solo mes, más de 2.600 máquinas virtuales asociadas al servicio habrían enviado una media de un millón de mensajes de phishing al día dirigidos a clientes de Microsoft.
La empresa remarca que la mayoría fue bloqueada o marcada, en el contexto de su afirmación de que frena aproximadamente 600 millones de ciberataques diarios. Aun así, el volumen convierte una tasa de éxito mínima en pérdidas tangibles cuando las campañas se industrializan.
Atribución: Storm-2470 como operador
Microsoft atribuye la operación del servicio a un actor al que rastrea como Storm-2470. No se han divulgado identidades individuales, pero la compañía sostiene que continúa colaborando con autoridades para identificar a quienes gestionaban y monetizaban el esquema. El enfoque presentado describe a RedVDS menos como una única banda y más como un facilitador: infraestructura alquilable que permitía a múltiples grupos “conectarse” y operar.
Por qué el cierre de RedVDS por phishing masivo marca tendencia
El movimiento refuerza una tendencia creciente: grandes proveedores tecnológicos combinan litigation, desmantelamiento de dominios y acciones de toma/aislamiento de infraestructura para interrumpir cadenas de suministro del fraude digital. En este caso, Microsoft subraya el componente económico: entornos virtualizados “desechables” y baratos que bajan barreras de entrada y aumentan la escalabilidad operativa del phishing.
La compañía también encuadra esta acción como continuidad de operaciones previas contra plataformas de phishing-as-a-service. Para el sector, el cierre de RedVDS por phishing masivo es relevante porque apunta a la capa de habilitación (hosting y virtualización) y no solo a la “carga” del ataque (plantillas, dominios señuelo o kits), elevando el coste de recomposición de la infraestructura criminal.
En síntesis, el cierre de RedVDS por phishing masivo consolida un enfoque de disrupción transfronteriza en el que tribunales, cooperación policial y control técnico de dominios e infraestructura se combinan para reducir la capacidad operativa de campañas de fraude a escala.
