Cuando la infraestructura se vuelve un problema: el caso de Stark Industries

El rebranding no siempre sirve para empezar de cero. El 22 de mayo de 2026, investigadores holandeses de delitos financieros llevaron a cabo varias redadas que pusieron fin a lo que en realidad era una operación de hosting bulletproof escondida bajo el nombre de Stark Industries Solutions Ltd.

Este caso resulta especialmente relevante para quienes trabajamos en hosting y dominios legítimos. Muestra hasta dónde llegan los delincuentes para ocultar su identidad y lo rápido que se desmorona esa fachada cuando hay un control adecuado.

Cómo funcionaba la estructura

Stark Industries Solutions Ltd. se constituyó el 10 de febrero de 2022, apenas dos semanas antes de la invasión rusa a Ucrania. Su objetivo declarado era ofrecer un nombre "neutral" a los revendedores para que las direcciones IP no se pudieran rastrear hasta PQ Hosting, una empresa anterior de los hermanos Neculiti.

Ivan y Iurie Neculiti, originarios de Transnistria, llevaban años en el negocio de la infraestructura cibercriminal. Ivan operaba desde al menos 2008 bajo diferentes identidades, vendiendo servidores diseñados específicamente para alojar contenido ilegal con el menor número de obstáculos posible.

La estrategia no consistía en montar hardware nuevo. Utilizaban la infraestructura ya existente de PQ Hosting, que en su mejor momento llegó a tener más de 120.000 clientes en más de 38 países. Stark Industries actuaba como capa intermedia: ocultaba la propiedad real sin cambiar los servidores físicos.

Dos ASNs que lo delataron todo

Cuando la Unión Europea sancionó a Stark Industries en mayo de 2025, los hermanos crearon una nueva empresa holandesa llamada WorkTitans B.V. bajo la marca "THE.Hosting". Nueva web, nuevo nombre, nueva imagen.

Lo que no tuvieron en cuenta fue el fingerprinting JA4T. Esta técnica permite identificar patrones de tráfico y características del hardware a través de diferentes sistemas autónomos. Al comparar las huellas de los ASNs de Stark y de WorkTitans, los investigadores confirmaron que se trataba de los mismos servidores físicos. El cambio de marca no había modificado la infraestructura real.

Qué alojaban realmente esos servidores

Los 800 servidores incautados no albergaban sitios web legítimos. La infraestructura de Stark Industries servía a grupos como NoName057(16), Sandworm, Callisto Group, FIN7 y la campaña Doppelganger, una operación de desinformación financiada por Rusia.

La investigación de CORRECTIV en 2024 reveló que los servidores en Países Bajos eran el soporte técnico de esta campaña de desinformación dirigida a audiencias europeas.

Un precedente legal importante

Los cargos bajo la Ley de Sanciones holandesa marcan un cambio: proporcionar infraestructura a entidades sancionadas ya no es una zona gris. Es un delito.

Se detuvieron dos personas: un director de 57 años y un responsable de conectividad de 39 años. Una tercera detención relacionada con Mirhosting confirma que los fiscales holandeses consideran que gestionar este tipo de infraestructura implica responsabilidad directa.

Lecciones para el sector

Este caso deja tres puntos claros para cualquier proveedor de hosting, dominios o servicios en la nube:

1. El conocimiento técnico no sustituye al cumplimiento legal. Los Neculiti gestionaban una red en decenas de países con cientos de miles de clientes. Sabían de DNS, IPs y ASNs. Ninguna de esas habilidades los protegió frente a las técnicas forenses actuales.

2. Cambiar de nombre sin mover la infraestructura no sirve de nada. Modificar la empresa, el registrador o la facturación no altera la realidad física de los servidores. Las técnicas de análisis de red pueden identificar hardware idéntico en diferentes ASNs.

3. La jurisdicción importa y se está endureciendo. Países Bajos se ha convertido en un entorno hostil para el bulletproof hosting. Quienes operan dentro de la UE deben esperar mayor escrutinio regulatorio.

Una tendencia que se consolida

La investigación que culminó en las redadas combinó análisis financiero, forense de red, inteligencia de fuentes abiertas y trabajo policial tradicional. No fue un golpe de suerte, sino el resultado de un año de seguimiento tras las sanciones europeas.

Los 800 servidores representaban cientos de millones de dólares en valor potencial para la actividad criminal. Pero sobre todo, eran la base técnica de operaciones que afectaron a millones de europeos a través de desinformación, ciberataques y fraude financiero.

Para el sector legítimo, cada caso como este reduce el espacio disponible para los operadores criminales. Y eso, al final, es una buena noticia.