Google Threat Intelligence Group (GTIG), en coordinación con varios socios del sector, ha ejecutado una operación a gran escala contra IPIDEA, uno de los mayores proveedores de proxies residenciales del mundo. La acción incluyó la inhabilitación de decenas de dominios de control, la interrupción del enrutamiento de tráfico a través de dispositivos comprometidos y el análisis de los SDK utilizados para construir esta red de anonimato distribuida.
Qué es una red de proxies residenciales y por qué es tan atractiva para los atacantes
Un proxy residencial es un servicio que enruta tráfico de Internet a través de la conexión de un usuario doméstico o de una pequeña empresa. Originalmente se diseñó para fines legítimos —como pruebas de servicios, verificación de anuncios o evasión de bloqueos geográficos—, pero en la práctica se ha convertido en una infraestructura muy valiosa para el cibercrimen.
Cuando un ataque se origina desde una dirección IP asociada a un hogar aparentemente normal, la detección se complica notablemente. Los mecanismos de defensa tienden a confiar más en este tipo de IP que en rangos claramente asociados a centros de datos o VPN comerciales, lo que permite a los atacantes ocultar campañas de robo de credenciales, creación de cuentas falsas y accesos no autorizados entre un gran volumen de tráfico legítimo.
IPIDEA como mercado global de dispositivos comprometidos
IPIDEA se presentaba públicamente como un “líder mundial en proxies residenciales”, declarando acceso a más de 60 millones de IP residenciales, con unos 6 millones de direcciones activas al día y cerca de 69 000 IP nuevas cada jornada. Según el análisis de Google, en la práctica operaba como un marketplace de acceso a dispositivos domésticos y corporativos comprometidos, incorporados a la red sin el conocimiento informado de sus propietarios.
En solo una semana de observación, los investigadores vincularon la infraestructura de IPIDEA con la actividad de más de 550 grupos de amenazas distintos, incluyendo actores procedentes de China, Irán, Rusia y Corea del Norte. Desde esta red se lanzaban ataques de password spraying (intentos masivos de inicio de sesión con pocas contraseñas sobre muchas cuentas), se ocultaba la infraestructura de botnets y se realizaban accesos abusivos a plataformas SaaS y redes corporativas de todo el mundo.
Arquitectura de dos niveles y miles de servidores intermediarios
El informe de GTIG describe una infraestructura de dos niveles de control. El primer nivel se encargaba de la configuración, sincronización y mantenimiento de listas de nodos proxy. Sobre él se apoyaba un segundo nivel formado por alrededor de 7400 servidores, responsables de distribuir las peticiones y canalizar el tráfico a través de los dispositivos infectados.
Los operadores también gestionaban al menos 19 marcas comerciales de servicios proxy, con apariencia de soluciones legales e independientes. Todas ellas, sin embargo, convergían en una misma infraestructura centralizada y ofrecían acceso a dispositivos infectados con el malware BadBox 2.0, lo que evidenciaba un ecosistema diseñado para fragmentar la identidad del operador y dificultar su trazabilidad.
Compromiso de Android y Windows mediante SDK maliciosos y apps VPN “gratuitas”
Google identificó al menos 600 aplicaciones Android maliciosas integrando SDK de proxy (como Packet SDK, Castar SDK, Hex SDK y Earn SDK) utilizadas para enrolar terminales en la red IPIDEA. Muchas se distribuían como supuestos servicios VPN o herramientas de optimización del dispositivo, sin informar de que el teléfono pasaba a actuar como nodo de salida para tráfico ajeno.
En el ecosistema Windows, los operadores desplegaron más de 3000 archivos maliciosos, camuflados como procesos de OneDriveSync o Windows Update. Esta técnica de masquerading reduce la sospecha tanto para el usuario como para algunas soluciones de seguridad, ya que imita procesos del propio sistema. Otras aplicaciones ofrecían “monetizar el ancho de banda no utilizado” o VPN gratuitas como Galleon VPN, Radish VPN o Aman VPN, que sí funcionaban como VPN, pero a la vez conectaban el dispositivo a la red de proxies residenciales.
Ataques de fuerza bruta, botnets DDoS y evasión de defensas
Investigaciones previas de Cisco Talos ya habían relacionado la infraestructura de IPIDEA con grandes campañas de fuerza bruta contra servicios VPN y SSH. Asimismo, direcciones y servidores asociados al servicio aparecían en la actividad de importantes botnets de denegación de servicio distribuida (DDoS), como Aisuru y Kimwolf.
De acuerdo con la empresa de seguridad Synthient, los operadores de estas botnets explotaban debilidades en servicios de proxies residenciales para redirigir órdenes de control a dispositivos IoT situados detrás de firewalls domésticos o corporativos, facilitando así la propagación de malware. Para los defensores, bloquear masivamente miles de IP residenciales supone un alto riesgo de impacto sobre usuarios legítimos, lo que convierte este modelo en una herramienta muy eficaz para la evasión.
Respuesta de Google y medidas de protección recomendadas
Como parte de la operación, GTIG y sus socios bloquearon dominios fundamentales de control y enrutamiento de IPIDEA, degradando significativamente la capacidad operativa de la red de proxies residenciales. Además, Google Play Protect detecta y bloquea ahora de forma automática, en dispositivos Android certificados y actualizados, las aplicaciones que utilizan SDK vinculados a esta infraestructura.
Google subraya la dificultad de controlar este tipo de servicios debido a estructuras de propiedad opacas, cadenas de revendedores y docenas de aplicaciones con marcas diferentes. Representantes de la empresa china IPIDEA han reconocido ante la prensa el uso de “estrategias agresivas de expansión”, incluido el marketing en foros de hacking, aunque sostienen rechazar cualquier actividad ilegal.
El caso IPIDEA ilustra cómo tecnologías legítimas, como los proxies residenciales y las VPN gratuitas, pueden convertirse en la base de una infraestructura global de cibercrimen. Usuarios y empresas deberían limitarse a instalar software desde fuentes confiables, revisar periódicamente las aplicaciones instaladas y su consumo de red, y desconfiar de servicios que ofrezcan “ganar dinero” compartiendo ancho de banda. A nivel corporativo, resulta clave monitorizar el tráfico saliente, desplegar soluciones de detección de anomalías y contemplar explícitamente las redes de proxies residenciales en los modelos de amenaza. Incrementar la visibilidad y el control sobre dispositivos y aplicaciones reduce de forma significativa la probabilidad de que terminen formando parte de estas redes opacas.
