Autoridades de Estados Unidos y Europa, en coordinación con el sector privado, han desarticulado SocksEscort, uno de los botnets de proxies residenciales más persistentes de la última década. Su infraestructura se apoyaba en miles de routers y dispositivos de red con Linux comprometidos mediante el malware AVRecon, explotando conexiones domésticas y de pequeñas empresas como tapadera para actividades delictivas en línea.
Operación internacional contra el botnet de proxies SocksEscort
El equipo de investigación Black Lotus Labs de Lumen prestó apoyo técnico al Departamento de Justicia de EE. UU. (DOJ), documentando que la red de SocksEscort mantenía de media unos 20 000 dispositivos infectados activos cada semana. Aunque el servicio fue descrito públicamente por investigadores solo en 2023, los indicios apuntan a una actividad continuada durante más de diez años, lo que evidencia la capacidad de adaptación de sus operadores.
En el ámbito europeo, la coordinación corrió a cargo de Europol, con participación directa de fuerzas de seguridad de Austria, Francia y Países Bajos. La operación concluyó con la incautación de 34 dominios y 23 servidores en siete países, así como el bloqueo en Estados Unidos de aproximadamente 3,5 millones de dólares en criptomonedas vinculadas a SocksEscort. Este impacto combinado sobre la infraestructura técnica y financiera es clave para desarticular un ecosistema criminal de este tipo.
Cómo funcionaba SocksEscort: servicio comercial de proxies residenciales
SocksEscort se presentaba como un servicio comercial de proxy, ofreciendo a sus clientes acceso a direcciones IP de usuarios residenciales y pequeñas empresas. Un atractivo esencial era el suministro de IP “limpias” pertenecientes a grandes proveedores de Internet de EE. UU. —como Comcast, Spectrum, Verizon o Charter—, cuyos rangos suelen gozar de buena reputación y rara vez aparecen en listas negras masivas o sistemas antifraude automatizados.
Según estimaciones del DOJ, desde el verano de 2020 el servicio habría vendido acceso a unos 369 000 IP únicos. En febrero de 2026, su aplicación cliente mostraba alrededor de 8000 routers comprometidos disponibles para alquiler, de los cuales aproximadamente 2500 se encontraban en Estados Unidos. Esta infraestructura distribuida proporcionaba un alto nivel de anonimato a ciberdelincuentes y complicaba los bloqueos tradicionales basados en rangos de IP o reputación.
Proxies residenciales y evasión de sistemas antifraude
El valor de los proxies residenciales radica en que el tráfico parece provenir de un usuario doméstico legítimo. Las conexiones salientes desde estos routers Linux comprometidos se perciben como actividad normal por bancos, casas de cambio de criptomonedas y grandes plataformas en línea, reduciendo las alertas de sus sistemas antifraude y detección de bots.
Este tipo de infraestructura se utiliza para fraude financiero, robo de cuentas, creación masiva de perfiles falsos, evasión de bloqueos geográficos y lavado de fondos digitales. SocksEscort se ajusta a un patrón observado en numerosos incidentes: combinación de credenciales robadas, ingeniería social y tráfico enmascarado detrás de IP residenciales con buena reputación.
AVRecon: malware para routers Linux en el corazón del botnet
El núcleo técnico de SocksEscort era AVRecon, una familia de malware dirigida a routers y dispositivos de red basados en Linux. De acuerdo con los análisis de Lumen, AVRecon se emplea activamente al menos desde mayo de 2021 y para mediados de 2023 ya había infectado más de 70 000 routers. Desde inicios de 2025 se han registrado más de 280 000 direcciones IP comprometidas asociadas al botnet.
Los investigadores destacan que la expansión de la red se produjo exclusivamente a través de AVRecon, sin solaparse con otros botnets conocidos. Esta especialización indica que los operadores de SocksEscort controlaban de forma cerrada su infraestructura, sin alquilarla a otros grupos. Más de la mitad de los routers comprometidos se localizaron en Estados Unidos y Reino Unido, países con alta penetración de banda ancha residencial, lo que refuerza el atractivo de estas conexiones como proxy.
Impacto económico y casos de fraude vinculados a SocksEscort
El DOJ ha vinculado la infraestructura de SocksEscort a varios incidentes de alto impacto económico. Entre ellos, el robo de criptomonedas por valor de alrededor de 1 millón de dólares a un residente de Nueva York y una estafa dirigida contra una empresa manufacturera de Pensilvania con un perjuicio cercano a los 700 000 dólares. En otro caso, se habrían sustraído cerca de 100 000 dólares a militares en activo y veteranos de EE. UU. mediante el abuso de tarjetas MILITARY STAR.
Estos ejemplos ilustran cómo los botnets de proxies residenciales permiten a los atacantes eludir controles de geolocalización y sistemas antifraude, ocultando la verdadera procedencia de las operaciones ilícitas. Con frecuencia, las víctimas ignoran que su propio router doméstico u oficina ha sido parte de la cadena de ataque, ya que el dispositivo continúa funcionando con aparente normalidad.
Lecciones de ciberseguridad para routers domésticos y de pequeña empresa
Antes de la operación actual, Lumen ya había intentado limitar el alcance de AVRecon anulando el enrutamiento hacia el servidor de mando y control dentro de su red troncal, rompiendo temporalmente la comunicación entre los bots y los operadores. Sin embargo, los responsables de SocksEscort consiguieron restablecer la infraestructura, lo que demuestra que las medidas puramente de red son insuficientes sin un desmantelamiento coordinado de dominios, servidores, flujos financieros y herramientas de propagación.
El caso SocksEscort pone de relieve la alta exposición de routers domésticos y de pequeñas oficinas. Firmwares desactualizados, contraseñas por defecto, servicios de administración remota habilitados y ausencia de segmentación de red convierten estos equipos en objetivos ideales para campañas de infección masiva. Dado que el consumo de ancho de banda adicional suele ser moderado, los propietarios rara vez perciben síntomas claros de compromiso.
Para reducir la probabilidad de que un router pase a formar parte de un botnet de proxies residenciales, se recomienda: actualizar con regularidad el firmware, cambiar credenciales de fábrica, desactivar funciones de acceso remoto innecesarias, utilizar contraseñas largas y únicas, activar actualizaciones de seguridad automáticas cuando estén disponibles y supervisar de forma básica el tráfico de red. Empresas y usuarios pueden además recurrir a su proveedor de Internet o a especialistas en ciberseguridad si detectan anomalías.
El desmantelamiento de SocksEscort y AVRecon es un recordatorio de que la seguridad ya no se limita a ordenadores y móviles: cada dispositivo conectado puede convertirse en un recurso para la ciberdelincuencia. Revisar hoy la configuración del router, exigir mejores prácticas de seguridad a los proveedores y mantenerse informado sobre amenazas emergentes son pasos esenciales para proteger tanto la privacidad personal como la resiliencia del ecosistema digital en su conjunto.
