### Operación Internacional Contra VPN Criminal Las autoridades de Europa y América del Norte han anunciado la interrupción de **First VPN Service**, una VPN criminal utilizada para ocultar el origen de ataques de ransomware, brechas de datos, actividades de escaneo y ataques de denegación de servicio. La operación, con nombre en clave Operación Saffron, fue liderada por Francia y los Países Bajos, con el apoyo de numerosos países desde diciembre de 2021. Las naciones participantes incluyeron Luxemburgo, Rumania, Suiza, Ucrania, el Reino Unido, Canadá, Alemania, EE. UU., España, Suecia, Dinamarca, Estonia, Letonia, Lituania, Polonia y Portugal. ### First VPN: Anonimato para el Cibercrimen Según **Europol**, First VPN ofrecía servicios específicamente diseñados para uso criminal. Esto incluía pagos anónimos y una infraestructura oculta diseñada para ayudar a los clientes a ocultar sus identidades mientras realizaban ataques de ransomware, fraudes a gran escala y robo de datos. El servicio se promocionaba activamente en foros de cibercrimen de habla rusa como Exploit[.]in y XSS[.]is como una herramienta para evadir a las fuerzas del orden. ### Detalles de la Desarticulación La operación internacional tuvo lugar entre el 19 y el 20 de mayo. Las autoridades entrevistaron al administrador del servicio, realizaron un registro domiciliario en Ucrania, cerraron 33 servidores e incautaron infraestructura en todo el mundo. Los dominios confiscados incluyen: * 1vpns[.]com * 1vpns[.]net * 1vpns[.]org * Dominios onion relacionados que operan en la red Tor "El sitio web de First VPN se promocionaba enfatizando el anonimato, prometiendo a sus usuarios que no cooperaría con ninguna autoridad judicial, que no almacenaría datos y que el servicio no estaría sujeto a ninguna jurisdicción", declaró **Eurojust**. ### Datos de Usuarios Comprometidos Europol ha notificado a los usuarios de First VPN que sus identidades ahora son conocidas por las autoridades. **Bitdefender**, que ayudó en la investigación compartiendo información sobre 506 usuarios, enfatizó que la interrupción de los servicios de anonimización aumenta el costo de las operaciones para los ciberdelincuentes. Bitdefender declaró: "Aparecerán nuevos servicios de anonimización. La demanda económica no ha cambiado. Pero cada desarticulación acorta la ventana operativa del próximo servicio y eleva la barrera para los actores que dependían de soluciones llave en mano. First VPN se publicitó como un servicio en el que los criminales podían confiar para mantenerlos fuera del alcance de las fuerzas del orden. La operación demostró que esa afirmación era falsa, y cada actor que evalúa el próximo servicio de anonimización ahora sabe que existe el mismo riesgo". ### Alerta Flash del FBI La **Oficina Federal de Investigación (FBI) de EE. UU.** emitió una alerta flash coordinada, señalando que el servicio había estado activo desde aproximadamente 2014, operando 32 servidores de nodos de salida en 27 países. Tres de estos nodos de salida estaban ubicados en EE. UU.: * 2.223.66[.]103 * 5.181.234[.]59 * 92.38.148[.]58 Otros nodos de salida se encontraban en varios países, incluidos Australia, Austria, Bélgica, Canadá, Chipre, Finlandia, Francia, Alemania, Hong Kong, Italia, Letonia, Luxemburgo, Moldavia, Países Bajos, Panamá, Polonia, Rumania, Rusia, Serbia, Singapur, España, Suecia, Suiza, Turquía, Ucrania y el Reino Unido. ### Conexión con Ransomware Al menos 25 grupos de ransomware, incluido **Avaddon Ransomware**, supuestamente utilizaron la infraestructura de First VPN para reconocimiento de redes e intrusiones. Las duraciones de las suscripciones variaban de un día a un año, con precios que oscilaban entre $2 por un solo día y $483 por un año completo. Se aceptaban pagos a través de Bitcoin, Perfect Money, Webmoney, EgoPay e InterKass. ### Detalles Técnicos "First VPN Service ofrecía varios protocolos de conexión, incluyendo OpenConnect, WireGuard, Outline y VLess TCP Reality, y múltiples opciones de cifrado incluyendo OpenVPN ECC, L2TP/IPSec y PPtP", declaró el FBI. "También se ofrecía soporte técnico a los usuarios a través de un servidor Jabber autoalojado y el servicio de mensajería cifrada Telegram. Entre las opciones de protocolo VPN, First VPN Service ofrecía 'VLESS' y 'Reality', que proporcionan la capacidad de disfrazar el tráfico de Internet de la VPN como tráfico HTTPS a través de puertos que se utilizan comúnmente para conectarse a sitios web". ### Falsas Promesas de Anonimato Según instantáneas capturadas en Internet Archive, First VPN anunciaba "Anonimato, Estabilidad, Seguridad", afirmando: "No almacenamos ningún registro que nos permita a nosotros o a terceros asociar una dirección IP en un período de tiempo específico con el usuario de nuestro servicio". El servicio también declaraba: "Los únicos datos que almacenamos son el correo electrónico y el nombre de usuario, pero es imposible conectar la actividad del usuario en Internet con un usuario específico de nuestro servicio". Para mitigar la responsabilidad, First VPN declaró en su FAQ que "prohibía estrictamente" el uso de sus servidores para actividades ilícitas. "Esto facilita la recepción de quejas sobre nuestros servidores y, como resultado, serán deshabilitados", se leía en la FAQ.