La sofisticación del crimen cibernético no depende únicamente del talento técnico de quienes diseñan malware. También prospera gracias a un ecosistema de servicios clandestinos que ofrecen facilidades a medida para maximizar las probabilidades de éxito de cada ataque. Uno de los engranajes más relevantes de esta maquinaria era AVCheck, una plataforma de “Counter Antivirus” (CAV) que permitía a los desarrolladores de software malicioso comprobar si sus programas serían detectados por los antivirus comerciales antes de ser distribuidos. Hoy, esa herramienta ha sido clausurada tras un ambicioso operativo internacional.

La web de AVCheck, cuyo dominio oficial era avcheck.net, luce ahora una imagen de incautación con los escudos del Departamento de Justicia de Estados Unidos, el FBI, el Servicio Secreto estadounidense y la Policía Nacional de Países Bajos (Politie). La fotografía de la toma de control no es sólo un aviso legal: también es un mensaje directo a miles de criminales que se apoyaban en este servicio para garantizar la eficacia de sus campañas.

Según un comunicado difundido por la Policía holandesa, AVCheck era uno de los principales referentes globales en servicios CAV, un término que define a las plataformas que permiten subir un archivo y recibir un informe detallado sobre su detección por parte de decenas de motores antivirus. En la práctica, su función era idéntica a la de los antivirus legítimos, pero orientada a todo lo contrario: asegurar que el malware no fuera detectado.

Ad

El corazón del ecosistema del malware

En el día a día de un atacante, AVCheck era una pieza esencial. Cuando un grupo criminal desarrollaba un nuevo troyano bancario, un ransomware o un backdoor, el proceso no terminaba con su compilación. Antes de lanzarlo a miles de víctimas, se subía el archivo a un servicio CAV como AVCheck para determinar si las firmas de seguridad más utilizadas en el mercado lo reconocerían como una amenaza. Si el informe indicaba que algún motor lo identificaba, los ciberdelincuentes volvían al proceso de ofuscación, aplicando técnicas de cifrado o “packing” que modificaban la apariencia del código sin alterar su funcionalidad.

Precisamente, las autoridades que coordinaron este operativo han identificado que los administradores de AVCheck mantenían una estrecha relación con dos servicios de criptografía: Cryptor.biz, que ha sido igualmente incautado, y Crypt.guru, que actualmente está fuera de línea. Ambos ofrecían soluciones de “crypting” que permitían a los delincuentes empaquetar y cifrar sus ejecutables para dificultar su detección.

El ciclo se repetía: primero se cifraba el malware, luego se comprobaba en AVCheck si era indetectable y, si pasaba el filtro, se desplegaba la campaña.

Vinculación con la Operación Endgame

Este golpe se enmarca en la llamada Operación Endgame, un amplio dispositivo internacional orientado a desmantelar infraestructuras que sirven de soporte al cibercrimen profesionalizado. Además de los dominios incautados, la investigación acumuló abundante información sobre la identidad de los responsables de AVCheck y de miles de usuarios que pagaban por el servicio.

Según el comunicado oficial, los investigadores llevaron a cabo intervenciones adicionales, como la creación de páginas de inicio falsas para detectar a quienes intentaran acceder tras la incautación y advertirles de su implicación en actividades delictivas. La colaboración con el colectivo de antivirus de Project Melissa, un consorcio que reúne a empresas de seguridad informática, ha permitido identificar patrones de uso y correlacionar muestras de malware previamente indetectables con campañas reales.

¿Qué hacía diferente a AVCheck?

Aunque existen numerosos servicios CAV en foros clandestinos, AVCheck había ganado notoriedad por su fiabilidad y la amplitud de sus análisis. A diferencia de plataformas más rudimentarias, ofrecía compatibilidad con decenas de motores antivirus comerciales y una interfaz que permitía informes detallados sobre tasas de detección. Para los atacantes, representaba una ventaja competitiva: la certeza de que su malware era invisible antes de arriesgarse a lanzarlo.

Además, su modelo de negocio estaba profesionalizado. Los usuarios pagaban tarifas mensuales o por cada muestra enviada, y la plataforma garantizaba confidencialidad. A diferencia de servicios legítimos como VirusTotal, que comparten las muestras con la industria de la ciberseguridad, AVCheck prometía no divulgar ni compartir los archivos con terceros.

MLuz Domínguez
MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre