Las autoridades europeas han asestado un nuevo golpe a la infraestructura del cibercrimen con el desmantelamiento de First VPN, un servicio de red privada virtual utilizado durante años por delincuentes para ocultar su identidad mientras realizaban actividades como ataques de ransomware, fraudes, escaneos de redes, botnets, denegaciones de servicio y robos de datos. La operación, bautizada como Operation Saffron, ha sido coordinada por fuerzas del orden de Francia y Países Bajos, con apoyo de Europol, Eurojust y otras agencias internacionales.
Durante la intervención, las autoridades apagaron 33 servidores críticos vinculados al proveedor y se incautaron de varios dominios utilizados por la plataforma, entre ellos 1vpns[.]com, 1vpns[.]net y 1vpns[.]org, además de dominios onion asociados. El presunto administrador del servicio fue detenido en Ucrania en el marco de una actuación coordinada.
Una VPN vendida como refugio para ciberdelincuentes
First VPN se presentaba como un proveedor de anonimato diseñado para quienes querían operar lejos del alcance de las autoridades. Según la información publicada, el servicio prometía no cooperar con fuerzas policiales, no almacenar datos y evitar problemas de jurisdicción. Esa combinación lo convirtió en una herramienta atractiva para actores maliciosos que necesitaban ocultar el origen de sus conexiones.
A diferencia de una VPN convencional orientada a proteger la privacidad del usuario legítimo, First VPN estaba prácticamente promocionada en foros clandestinos rusoparlantes como Exploit[.]in y XSS[.]is, espacios conocidos por alojar mercados de compraventa de accesos no autorizados, datos personales robados, herramientas de hacking y otros servicios ilícitos.
Este detalle es importante porque sitúa a First VPN dentro de una categoría muy concreta: no era simplemente una herramienta de privacidad mal utilizada por algunos criminales, sino un servicio presuntamente integrado en el ecosistema operativo del cibercrimen.
Al menos 25 grupos de ransomware usaron la infraestructura
El FBI confirmó en una alerta que First VPN llevaba activo al menos desde 2014 y que ofrecía nodos de salida en 27 países. Según la agencia estadounidense, al menos 25 grupos de ransomware, incluido Avaddon, utilizaron su infraestructura para realizar tareas de reconocimiento de redes e intrusiones.
El uso de este tipo de servicios resulta especialmente útil para los atacantes en las primeras fases de una campaña. Antes de lanzar un ransomware, los operadores suelen escanear redes, identificar sistemas vulnerables, probar credenciales y moverse lateralmente por la infraestructura de la víctima. Si esas conexiones pasan por una VPN criminal, atribuir el origen real del ataque se vuelve mucho más difícil.
Europol señaló que los delincuentes utilizaban First VPN para ocultar tanto sus identidades como su infraestructura mientras ejecutaban campañas de ransomware, fraudes a gran escala, robos de datos y otros delitos graves. Para Edvardas Šileris, responsable del Centro Europeo de Ciberdelincuencia de Europol, los usuarios del servicio creían que esa VPN les mantenía fuera del alcance de la ley. La operación demuestra lo contrario.
Inteligencia para nuevas investigaciones
Uno de los aspectos más relevantes de Operation Saffron no es solo el apagado de la infraestructura, sino el acceso previo de los investigadores a información interna del servicio. Europol indicó que los equipos lograron acceder a la base de datos de usuarios, lo que permitió identificar conexiones VPN utilizadas por distintos ciberdelincuentes.
La inteligencia recopilada expuso a miles de usuarios vinculados al ecosistema criminal y generó nuevas pistas operativas relacionadas con ransomware, fraudes y otros delitos a escala internacional. Según Europol, se compartieron 83 paquetes de inteligencia desde el inicio de la operación, con información sobre 506 usuarios internacionales. Estos datos ya están siendo utilizados por investigadores de varias jurisdicciones para impulsar nuevas pesquisas.
Este tipo de operaciones tiene un valor estratégico porque no se limita a interrumpir un servicio concreto. También permite mapear relaciones entre actores, infraestructuras y campañas activas.
