Una operación policial internacional liderada por Francia y los Países Bajos desmanteló First VPN , un servicio de anonimización cibernética utilizado por ciberdelincuentes, estafadores y ladrones de datos en todas las principales investigaciones de ciberdelincuencia que Europol ha apoyado en los últimos años. Bitdefender colaboró en la investigación a través de Europol, contribuyendo a generar información que permitió identificar a cientos de personas vinculadas a la ciberdelincuencia. Este es el primer desmantelamiento de una VPN en la historia del programa de colaboración policial de Bitdefender, lo que amplía una estrategia de prevención del delito basada en la investigación.
¿Cuál fue la primera VPN?
Los ciberdelincuentes que utilizan ransomware necesitan tres cosas para operar a gran escala: una infraestructura de mando que puedan ocultar, flujos de pago de rescate que puedan disimular y barreras de atribución que impidan la labor de los investigadores. First VPN ofrecía las tres. El servicio se promocionaba en foros de ciberdelincuencia en ruso como una herramienta para «mantenerse fuera del alcance de las fuerzas del orden», ofreciendo pagos anónimos, infraestructura oculta y funciones diseñadas específicamente para uso delictivo.
La operación desmanteló 33 servidores, confiscó los dominios principales del servicio ( 1vpns.com , 1vpns.net , 1vpns.org ) y los sitios .onion asociados, y condujo al arresto del administrador del servicio en Ucrania. Investigadores franceses y neerlandeses accedieron al servicio, obtuvieron su base de datos de usuarios e identificaron conexiones VPN utilizadas por ciberdelincuentes para ocultar ataques de ransomware, fraudes a gran escala y robo de datos. Europol difundió internacionalmente 83 informes de inteligencia. Se compartió información vinculada a 506 usuarios entre las jurisdicciones participantes. Veintiuna investigaciones apoyadas por Europol avanzaron gracias a la información obtenida.
La operación involucró a 18 países: Canadá, Dinamarca, Estonia, Francia, Alemania, Letonia, Lituania, Luxemburgo, Países Bajos, Polonia, Portugal, Rumania, España, Suecia, Suiza, Ucrania, Reino Unido y Estados Unidos. Eurojust organizó 16 reuniones de coordinación. En noviembre de 2023 se creó un Equipo Conjunto de Investigación (un marco jurídico de Eurojust que permite a los países compartir pruebas y coordinar procesos judiciales transfronterizos), lo que facilitó a las autoridades francesas y neerlandesas la coordinación de la estrategia judicial entre sus jurisdicciones. La investigación se inició en diciembre de 2021. Las jornadas de actuación tuvieron lugar del 19 al 20 de mayo de 2026. El anuncio se realizó el 21 de mayo de 2026.
Por qué es importante la infraestructura de anonimización
Edvardas Šileris, jefe del Centro Europeo de Ciberdelincuencia de Europol, lo expresó claramente: “ Durante años, los ciberdelincuentes vieron este servicio VPN como una puerta de entrada al anonimato. Creían que los mantendría fuera del alcance de las fuerzas del orden. Esta operación demuestra que estaban equivocados. Al desconectarlo, se elimina una capa de protección fundamental de la que dependían los delincuentes para operar, comunicarse y eludir a las autoridades ” .
Los servicios de anonimización para ciberdelincuentes son el pilar fundamental de la economía del ransomware. Un grupo de ransomware puede desarrollar malware personalizado, reclutar afiliados y planificar operaciones, pero sin una forma de ocultar la infraestructura de mando y control y los flujos de pago, la operación se desmorona en cuestión de semanas ante la presión de la investigación. First VPN solucionó este problema para sus clientes. Europol afirma que el servicio ha estado presente en prácticamente todas las investigaciones importantes sobre ciberdelincuencia apoyadas por Europol en los últimos años.
El servicio apareció en las investigaciones porque funcionaba. Los ciberdelincuentes lo usaban para ocultar los movimientos laterales durante las intrusiones, para disimular el origen de las campañas de phishing y para enrutar el tráfico de negociación de rescates a través de infraestructuras que los investigadores no podían rastrear hasta ubicaciones físicas.
La interrupción de los servicios de anonimización eleva el costo operativo en todo el ecosistema. Todos los grupos de ransomware que dependían de First VPN ahora deben encontrar una alternativa, evaluar si ofrece protecciones equivalentes y reconstruir la seguridad operativa en torno al nuevo servicio. Algunos lo lograrán. Muchos cometerán errores durante la transición, lo que generará oportunidades de investigación que no existían cuando First VPN estaba operativo. El desmantelamiento no elimina la categoría de servicios de anonimización, pero acorta el período de operación del siguiente y eleva la barrera de entrada para los actores que dependían de soluciones integrales.
Cómo encaja esto en el trabajo del equipo Draco
El programa de colaboración de Bitdefender con las fuerzas del orden, el Equipo Draco, es una unidad virtual compuesta por investigadores de Bitdefender Labs. El equipo se fundó en 2015 y su trabajo se basa en la misma prevención fundamentada en la investigación que aplicamos a la defensa de endpoints: predecir qué ataques se avecinan, comprender la infraestructura de la que dependen e interrumpirla antes de que se lance la siguiente oleada.
La operación First VPN takedown es la primera interrupción en la categoría de VPN para el equipo Draco, pero se enmarca en una trayectoria de una década. Apoyamos el desmantelamiento del mercado de la dark web Hansa en 2017. Desarrollamos descifradores para GandCrab (2018, ayudando a más de 500 000 víctimas), LockerGoga (2022) y MegaCortex (2023). Contribuimos con inteligencia de investigación a la operación Sodinokibi/REvil en 2021, al caso del mercado PIILOPUOTI en 2023 y a la Operación Endgame en 2024, el mayor desmantelamiento de botnets hasta la fecha. Cada operación se centró en una capa diferente de la economía del cibercrimen: mercados donde se venden herramientas, campañas de ransomware que dependen de esas herramientas, botnets que proporcionan infraestructura a los atacantes y, ahora, los servicios de anonimización que lo conectan todo.
Nuestro principio rector sigue siendo el mismo: la investigación lleva a la predicción, la predicción lleva a la prevención, y la prevención funciona mejor cuando se produce antes de la explotación que después.
¿Qué sucede después?
Se analizará la infraestructura incautada. Los 506 usuarios cuya información se compartió internacionalmente representan una parte de la base de clientes del servicio, y las investigaciones en curso determinarán cuáles de esas conexiones están vinculadas a operaciones delictivas activas. Algunas se rastrearán hasta grupos conocidos de ransomware. Otras revelarán operaciones fraudulentas, campañas de robo de datos o infraestructura de ciberdelincuencia como servicio cuya existencia desconocíamos.
Aparecerán nuevos servicios de anonimización. La demanda económica no ha cambiado. Pero cada desmantelamiento reduce el tiempo de operación del siguiente servicio y aumenta las dificultades para quienes dependían de soluciones integrales. First VPN se anunciaba como un servicio en el que los delincuentes podían confiar para mantenerse fuera del alcance de las fuerzas del orden. La operación demostró que esa afirmación era falsa, y ahora todos los que evalúan el próximo servicio de anonimización saben que existe el mismo riesgo.
Continuaremos apoyando las operaciones policiales a través de Europol. La metodología de nuestras contribuciones de inteligencia se mantiene confidencial, pero el resultado es público: infraestructura desmantelada, usuarios expuestos, investigaciones avanzadas. Puede consultar las novedades sobre la colaboración de Bitdefender con las fuerzas del orden en la página «Derrotar el cibercrimen» .
