Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Operación Endgame interrumpe las redes de malware de Amadey, StealC y SocGholish

Fecha de publicación 02/07/2026

A finales de junio de 2026 se anunció una nueva fase de la Operación Endgame, una iniciativa internacional dirigida a desmantelar infraestructuras utilizadas por grupos de ciberdelincuencia para distribuir malware. La actuación se centró en las redes asociadas a las familias de malware Amadey, StealC y SocGholish, ampliamente empleadas para el robo de credenciales, la distribución de otras amenazas y el acceso inicial a sistemas comprometidos. La operación fue coordinada por Europol junto con autoridades policiales y judiciales de varios países, entre ellos Alemania, Países Bajos, Dinamarca, Reino Unido, Estados Unidos y Canadá, con la colaboración de diversas empresas del sector de la ciberseguridad. El objetivo principal fue interrumpir la infraestructura técnica que permitía el funcionamiento y la propagación de estas campañas maliciosas.

Durante la operación, las autoridades ejecutaron acciones coordinadas para desmantelar la infraestructura empleada por los operadores de Amadey y StealC, lo que incluyó la intervención de cientos de servidores y dominios utilizados como centros de mando y control. Según la información facilitada por Europol, también se recuperaron aproximadamente 27 millones de credenciales robadas y se inmovilizaron activos en criptomonedas vinculados a la actividad delictiva. Los principales afectados por estas campañas fueron usuarios y organizaciones cuyas credenciales o sistemas habían sido comprometidos por el malware, así como las infraestructuras criminales utilizadas por los responsables de su operación. Las fuerzas de seguridad internacionales, en colaboración con empresas especializadas en ciberseguridad, coordinaron la identificación, incautación y desactivación de los recursos empleados para mantener activas estas amenazas.

Según los datos de Europol y el resto de cuerpos policiales implicados, el golpe a las infraestructuras de Amadey, StealC y SocGholish interviniendo sus servidores y dominios ha frenado de forma temporal la actividad de estas redes de malware. Más allá de este bloqueo, la operación logró recuperar un volumen importante de credenciales robadas y congelar fondos vinculados a las actividades ilícitas. A pesar del éxito de estas primeras acciones dentro de la Operación Endgame, las autoridades dejaron claro en sus comunicados que el despliegue internacional contra el cibercrimen sigue en marcha; la investigación continúa totalmente abierta y la cooperación entre países se mantendrá activa para localizar nuevos servidores e identificar a los responsables.

Entre los afectados figuran casi 9.000 equipos comprometidos localizados en España, de los que se obtuvieron más de 535.000 credenciales, así como 70.000 credenciales de los usuarios de 3.000 páginas webs españolas. 

INCIBE-CERT, en su labor como CERT Nacional de España para las entidades privadas, colabora activamente notificando estos casos dentro de su ámbito para que los afectados puedan desinfectar sus equipos y cambiar todas sus credenciales.