Desmantelan botnet de 2 millones de dispositivos: impacto en proxies residenciales
Google, FBI y otras entidades 'degradaron significativamente' la red NetNut, una de las mayores proveedoras de proxies residenciales usados por ciberdelincuentes
6 de julio de 2026 · 4 min de lectura
¿Qué ha ocurrido?
El pasado 3 de julio de 2026, una operación coordinada entre Google, el FBI, Lumen Technologies y Shadowserver anunció la 'degradación significativa' de la red de proxies residenciales NetNut, que operaba con al menos 2 millones de dispositivos comprometidos, principalmente televisores inteligentes y reproductores multimedia (streaming boxes). La acción, que incluyó la incautación del dominio netnut.com (aunque netnut.io sigue activo) y la interrupción de servidores de control, representa la segunda gran ofensiva de 2026 contra este tipo de infraestructura, tras el desmantelamiento de IPIDEA en enero. Según Google Cloud, NetNut era uno de los proveedores más populares entre ciberdelincuentes: en una semana de junio de 2026, la telemetría de Google detectó 316 grupos de amenazas utilizando sus nodos, incluyendo actores de cibercrimen financiero y grupos de espionaje patrocinados por estados. La red funcionaba mediante un SDK integrado en firmware de dispositivos de streaming, lo que permitía a los atacantes enrutar su tráfico a través de IPs residenciales legítimas, dificultando su detección.
¿Por qué es importante?
Las redes de proxies residenciales son una herramienta crítica para los ciberdelincuentes, ya que enmascaran el tráfico malicioso haciéndolo parecer originado desde hogares reales. Esto permite ataques de fuerza bruta, acceso a infraestructuras corporativas, evasión de bloqueos geográficos y campañas de fraude. NetNut, en particular, ofrecía no solo proxies residenciales, sino también proxies móviles y de centro de datos, además de herramientas de scraping y conjuntos de datos. Su popularidad radicaba en su programa de reventa: muchas otras redes de proxies dependían de la infraestructura de NetNut, lo que amplifica el impacto de su degradación. El FBI y Google han señalado que la operación no solo afecta a NetNut, sino que podría tener 'efectos dominó' en todo el ecosistema, ya que los revendedores pierden su fuente principal de nodos. Sin embargo, la resiliencia del mercado quedó demostrada tras la caída de IPIDEA: muchos operadores simplemente compraron capacidad a competidores, como señaló el Google Threat Intelligence Group (GTIG).
Consecuencias y contexto
La operación contra NetNut se inscribe en una estrategia más amplia de colaboración público-privada para desarticular infraestructuras criminales. No obstante, Google advierte que el ecosistema es 'fluido y resiliente'. Tras la caída de IPIDEA, los operadores de proxies se adaptaron rápidamente, y lo mismo se espera ahora. Además, se encontraron componentes de NetNut en botnets como Badbox 2.0 y variantes de Mirai, lo que sugiere que la red no solo servía como proxy, sino como parte de infraestructuras de ataque más amplias. La incautación del dominio principal y la interrupción de servidores han reducido la capacidad operativa, pero la persistencia de netnut.io indica que los operadores intentan mantener el servicio. El FBI ha destacado que la investigación continúa y que se buscan responsables, pero la naturaleza global de estas redes dificulta su erradicación total. Para los usuarios, la lección es clara: aceptar pagos por 'compartir ancho de banda' puede estar alimentando estas redes sin saberlo, exponiendo sus dispositivos a vulnerabilidades y contribuyendo al cibercrimen.
¿Qué deben saber los lectores?
- Los proxies residenciales no son ilegales per se, pero su abuso para cibercrimen es masivo. Se promocionan como herramientas de privacidad, pero los delincuentes los explotan para ocultar sus actividades.
- Los usuarios que aceptan pagos por 'compartir ancho de banda' pueden estar alimentando estas redes sin saberlo. La recomendación oficial es rechazar estas ofertas, ya que no solo apoyan el ecosistema criminal, sino que introducen riesgos de seguridad en los hogares.
- La operación no es definitiva: Google ha señalado que continuará mapeando cómo se adaptan los proveedores y que se necesitan soluciones a largo plazo más allá de 'disrupciones ad hoc'. La cooperación entre tecnológicas y fuerzas de seguridad es clave, pero no suficiente para un problema estructural.
La lucha contra las redes de proxies residenciales es un juego del gato y el ratón. Mientras haya demanda criminal, habrá oferta. La cooperación entre tecnológicas y fuerzas de seguridad es clave, pero no suficiente.
Análisis técnico y futuro
La red NetNut se basaba en un SDK integrado en dispositivos de streaming, a menudo mediante acuerdos con fabricantes o a través de firmware modificado. Los atacantes utilizaban estos dispositivos como nodos de salida, enrutando su tráfico a través de IPs residenciales. La incautación del dominio principal y la interrupción de los servidores de control han reducido su capacidad, pero la persistencia de netnut.io sugiere que los operadores intentan mantener el servicio. Además, el mercado de proxies residenciales sigue creciendo, impulsado por la demanda de ciberdelincuentes y también de empresas legítimas que los usan para scraping o pruebas de geolocalización. Es probable que surjan nuevos proveedores o que los existentes absorban la demanda. La acción coordinada con el FBI indica un enfoque legal más agresivo, pero la naturaleza global de estas redes dificulta su erradicación total. Google ha anunciado que continuará monitoreando la adaptación del ecosistema y que escalará sus esfuerzos para atacar infraestructuras interconectadas. Sin embargo, mientras el modelo de negocio de 'compartir ancho de banda' siga siendo rentable, será difícil eliminar por completo estas redes.
Puntos clave
- NetNut operaba con al menos 2 millones de dispositivos, principalmente streaming boxes.
- La operación fue liderada por Google, FBI, Lumen y Shadowserver.
- Se incautó el dominio netnut.com, pero netnut.io sigue activo.
- El ecosistema de proxies es resiliente: tras la caída de IPIDEA, los operadores compraron capacidad a competidores.
- Se recomienda a los usuarios no aceptar pagos por compartir ancho de banda.
Preguntas frecuentes
¿Qué es una red de proxies residenciales?
Es una red de dispositivos reales (como routers, televisores) cuyas IPs se alquilan a terceros para enrutar tráfico, haciendo que parezca legítimo. Aunque tienen usos legítimos de privacidad, son ampliamente explotadas por ciberdelincuentes.
¿Cómo afecta esto a los usuarios comunes?
Si tienes un dispositivo de streaming y aceptaste pagos por compartir ancho de banda, podrías estar participando involuntariamente en una botnet. La operación reduce el riesgo, pero debes rechazar esas ofertas.
¿NetNut ha sido eliminado por completo?
No. El dominio netnut.com fue incautado, pero netnut.io sigue en línea. Google califica la acción como una 'degradación significativa', no una eliminación total.
Fuentes utilizadas
Sigue leyendo
Comentarios
Sé el primero en comentar.