Una operación internacional coordinada en la que participaron autoridades estadounidenses y chinas arrestó al menos a 276 sospechosos y cerró nueve centros de estafa utilizados para esquemas de fraude de inversiones en criptomonedas dirigidos a estadounidenses, lo que resultó en pérdidas de millones de dólares.
La represión fue dirigida por la Policía de Dubai, dependiente del Ministerio del Interior de los Emiratos Árabes Unidos (EAU), en asociación con la Oficina Federal de Investigaciones (FBI) de Estados Unidos y el Ministerio de Seguridad Pública de China. Entre los arrestados se encuentran personas de Birmania e Indonesia, que fueron detenidas por autoridades de Dubai y Tailandia.
Thet Min Nyi, de 27 años, Wiliang Awang, de 23, Andreas Chandra, de 29, Lisa Mariam, de 29, y dos cómplices fugitivos han sido acusados de fraude federal y lavado de dinero en Estados Unidos.
«Los estafadores que atacan a estadounidenses desde el extranjero no pueden operar con impunidad, sin importar en qué parte del mundo residan», dijo el Fiscal General Adjunto A. Tysen Duva de la División Penal del Departamento de Justicia (DoJ). «Los organizadores de centros de estafa y los estafadores que defraudan a los estadounidenses y a otros se enfrentarán a la justicia en los tribunales estadounidenses y en los tribunales de todo el mundo. En la sociedad contemporánea, el fraude no tiene fronteras, y las actividades policiales para combatirlo y eliminarlo también lo son».
Según la acusación, se alega que los acusados administraron, trabajaron y reclutaron a otras personas para trabajar en tres empresas diferentes llamadas Ko Thet Company, Sanduo Group y Giant Company que supuestamente operaban varios centros de estafa. Se cree que Thet Min Nyi es el gerente y reclutador de Ko Thet Company.
Las estafas implicaban engañar a los usuarios para que se deshicieran de su dinero mediante inversiones falsas en criptomonedas después de generar confianza con el tiempo, a menudo entablando relaciones amistosas o románticas, un esquema de larga duración conocido como matanza de cerdos o cebo romántico. La operación ilícita está estrechamente relacionada con la trata de personas, donde se obliga a ciudadanos extranjeros a realizar estafas en condiciones similares a las de la esclavitud después de haber sido reclutados con ofertas falsas de trabajos bien remunerados.
«Después de eso, los estafadores promovieron inversiones en criptomonedas y ayudaron a las víctimas a crear cuentas y transferir criptomonedas a plataformas de inversión que, sin que las víctimas lo supieran, eran falsas», dijo el Departamento de Justicia. «Los presuntos estafadores promocionaron sus propios éxitos y retornos en las inversiones en criptomonedas y alentaron a sus víctimas a invertir más. También alentaron a sus víctimas a pedir dinero prestado a amigos y familiares y solicitar préstamos para poder ‘invertir’ más».
Pero tan pronto como los fondos se transfirieron a las plataformas, los activos se lavaron a otras cuentas de criptomonedas, incluidas algunas pertenecientes a los estafadores.
El Departamento de Justicia dijo que el FBI ha notificado a casi 9.000 víctimas y les ha ahorrado un estimado de 562 millones de dólares hasta abril de 2026 tras el lanzamiento de una iniciativa llamada Operación Level Up, que comenzó en enero de 2024 como una forma de identificar y alertar proactivamente a las víctimas de esquemas de fraude de inversión en criptomonedas.
Dos ciudadanos chinos acusados de estafas criptográficas
La noticia de la acusación llega días después de que el Departamento de Justicia acusó a dos ciudadanos chinos, Jiang Wen Jie (también conocido como Jiang Nan) y Huang Xingshan (también conocido como Ah Zhe y Huang Xing Saan), por su papel en una importante operación de fraude de inversiones en criptomonedas y por supuestamente dirigir el complejo de estafas Shunda en Min Let Pan, Myanmar. Los acusados también han sido acusados de planear abrir un segundo centro de estafas en Camboya después de que las autoridades birmanas se apoderaran del primero en noviembre de 2025.
Se considera que Huang trabajó en Shunda como gerente de alto nivel y participó personalmente en el castigo físico de los trabajadores del complejo objeto de trata, mientras que Jiang sirvió como líder de equipo que supervisaba a los trabajadores que apuntaban específicamente a las víctimas estadounidenses en estos esquemas. Fueron arrestados por las autoridades tailandesas a principios de 2026 mientras se dirigían a Birmania desde Camboya.
«El complejo utilizó sitios web fraudulentos y aplicaciones móviles disfrazadas de plataformas de inversión legítimas para defraudar a las víctimas, incluidos los estadounidenses», dijo el Departamento de Justicia. «Los trabajadores dentro del complejo eran personas traficadas que fueron retenidas contra su voluntad y obligadas a defraudar a las víctimas bajo amenaza de violencia y tortura».
Además, la represión ha llevado a la incautación de un canal de Telegram (@pogojobhiring2023) con más de 6.500 seguidores utilizado para reclutar víctimas de trata de personas para un complejo de estafas en Camboya con el fin de llevar a cabo una estafa de suplantación de identidad de las fuerzas del orden y un grupo de 503 sitios web de inversiones falsos utilizados para defraudar a las víctimas estadounidenses. Las acciones, encabezadas por una fuerza de ataque del Centro de Estafas del gobierno de EE. UU., también han restringido más de 701 millones de dólares en criptomonedas supuestamente vinculadas al lavado de dinero procedente de estafas de criptomonedas.
El Tesoro sanciona a senador camboyano
Coincidiendo con estos esfuerzos, el Departamento del Tesoro de Estados Unidos sancionó a un senador camboyano detrás de una red de compuestos de estafa cibernética, y el Departamento de Estado anunció recompensas de hasta 10 millones de dólares por información que conduzca a la incautación o recuperación de ganancias relacionadas con el centro de estafa Tai Chang en Birmania.
Las sanciones están dirigidas al senador camboyano Kok An, al empresario camboyano Rithy Raksmei, a sus asociados y a sus respectivas operaciones comerciales, incluidas sociedades de cartera como K99 Group para operaciones de centros de estafa. Se supone que Kok An huyó de Tailandia, y las autoridades emitieron una orden de arresto contra él y sus hijos en julio pasado.
«La red de centros de estafa de Kok An y sus afiliados, que opera desde casinos y parques de oficinas adaptados para actividades fraudulentas, lava los fondos de las víctimas y proporciona una base para atacar a ciudadanos estadounidenses y cometer abusos contra los derechos humanos con impunidad», dijo la Oficina de Control de Activos Extranjeros (OFAC).
Kok An es el segundo senador camboyano sancionado por el Tesoro de Estados Unidos después de Ly Yong Phat, implicado en septiembre de 2024 por su presunto papel en el tráfico de personas para realizar trabajos forzados en centros de estafa en línea.
La proliferación de operaciones de fraude a escala industrial ha llevado al parlamento de Camboya a aprobar la primera ley dedicada a atacar los centros de estafa que operan en el país. La ley, que busca evitar que los centros de estafa resurjan después de los derribos, sentenciará a los condenados por estafas a entre cinco y 10 años de prisión y una multa de hasta 250.000 dólares.
Compuesto de estafa camboyano vinculado a Android MaaS
Es más, se ha descubierto un troyano bancario para Android, que probablemente opera desde múltiples ubicaciones, incluido el complejo K99 Triumph City, propiedad del grupo K99 de Camboya, que es capaz de facilitar la vigilancia en tiempo real, el robo de credenciales, la exfiltración de datos y el fraude financiero. Se dice que el troyano bancario se utiliza desde al menos 2023.
La sofisticada plataforma de malware como servicio (MaaS) comparte infraestructura y comportamiento superpuestos con actividad previamente atribuida a actores de amenazas rastreados como Vigorish Viper y Vault Viper, según un informe conjunto de Infoblox y la organización vietnamita sin fines de lucro Chong Lua Dao.
«La operación permanece activa, registrando alrededor de 35 nuevos dominios por mes, tanto dominios de algoritmo de generación de dominios registrados (RDGA) como dominios similares, que se hacen pasar por organizaciones legítimas y servicios gubernamentales para distribuir el malware», dijeron los investigadores.
«Los dominios están diseñados para falsificar a bancos, fondos de pensiones, organizaciones de seguridad social, proveedores de servicios públicos y diversas agencias de ingresos, inmigración, telecomunicaciones y aplicación de la ley. Más recientemente, el alcance de la estafa se ha ampliado, tanto geográfica como contextualmente, para incluir señuelos dirigidos a aerolíneas y plataformas de comercio electrónico, así como a países de África y América Latina».
En total, se dice que en 2025 se registraron 400 dominios señuelo dirigidos y se utilizaron para engañar e infectar a las víctimas como parte de lo que se considera una operación coordinada. La cadena de ataque es la siguiente:
- Las URL maliciosas se distribuyen a los usuarios a través de mensajes SMS o correos electrónicos que parecen provenir de funcionarios gubernamentales.
- Las víctimas visitan una página de listado de aplicaciones falsa de Google Play Store o un sitio web de servicios gubernamentales.
- Una vez instalado y ejecutado el APK, aumenta los permisos para facilitar la persistencia.
- El malware se conecta a un servidor externo y permite al operador controlar de forma remota el dispositivo de la víctima y recopilar datos.
- Los atacantes inyectan pantallas superpuestas falsas encima de las aplicaciones de banca en línea para capturar credenciales y luego usar el acceso para transferir fondos a cuentas bajo su control.
«La actividad asociada con esta infraestructura continúa adaptándose y expandiéndose, manteniendo campañas a gran escala dirigidas a países como Tailandia, Indonesia, Filipinas y Vietnam, mientras se diversifica cada vez más hacia África y América Latina», señalaron Infoblox y Chong Lua Dao.
«Con acceso a grandes grupos de mano de obra multilingüe, capacidad técnica creciente y ganancias altísimas, no sólo están adoptando, sino adaptando y comercializando malware, infraestructura y técnicas de ingeniería social en modelos de ataque versátiles y escalables. Lo que emerge es un ecosistema ágil, experimental y comercialmente impulsado, uno donde las herramientas se reutilizan, refinan y reimplementan continuamente para maximizar el alcance y las ganancias».
Operación Atlántico incauta 12 millones de dólares
Los acontecimientos se desarrollan en el contexto de la Operación Atlántico, que ha congelado con éxito aproximadamente 12 millones de dólares de una operación de delito cibernético dirigida a estafadores de criptomonedas e inversiones utilizando una técnica llamada «phishing de aprobación» para obtener acceso a criptomonederos y vaciar sus fondos.
El phishing de aprobación se refiere a una forma de fraude con criptomonedas en la que se engaña a las víctimas para que firmen una transacción blockchain que otorga al estafador un control total sobre su billetera, lo que les permite drenar todos sus activos. Según TRM Labs, estos ataques de phishing «a menudo están envueltos en estafas de inversión o fraudes románticos».
«Esta táctica se utiliza a menudo en el fraude de inversiones en línea, a menudo denominado matanza de cerdos, para incitar a las víctimas a entregar cantidades cada vez mayores a los estafadores», dijo el Servicio Secreto de Estados Unidos en un comunicado.
Se han identificado más de 20.000 víctimas en 30 países, incluidos Canadá, el Reino Unido y los EE. UU. Las autoridades también confiscaron más de 120 dominios utilizados por los actores de amenazas detrás del plan de phishing e identificaron 33 millones de dólares adicionales en fondos que se cree que están vinculados a esquemas de fraude de inversiones a nivel mundial.
A principios de abril, la Oficina de Ciberseguridad y Protección de Infraestructura Crítica (OCCIP) del Departamento del Tesoro anunció una nueva iniciativa de intercambio de información para fortalecer la ciberseguridad en toda la industria de activos digitales. Como parte del esfuerzo, las empresas de activos digitales y las organizaciones industriales de EE. UU. que cumplan con los criterios del Tesoro serán elegibles para recibir información procesable sobre ciberseguridad sin costo adicional.
«La iniciativa proporcionará información de ciberseguridad oportuna y procesable a empresas de activos digitales y organizaciones industriales elegibles de EE. UU., ayudándolas a identificar, prevenir y responder mejor a las amenazas cibernéticas dirigidas a sus clientes y redes», dijo el Departamento del Tesoro.