La policía de los Países Bajos, junto con el Centro Nacional de Ciberseguridad (NCSC), anunciaron la desarticulación de una de las mayores botnets de los últimos años: la red contaba con al menos 17 millones de dispositivos infectados, incluidos ordenadores, tabletas, smartphones y equipos IoT. La infraestructura de mando y control se alojaba en más de 200 servidores en los Países Bajos. Los propietarios de cualquier dispositivo conectado a Internet deberían comprobar que el firmware y las contraseñas estén actualizados: la magnitud de la infección indica que los dispositivos comprometidos pueden encontrarse en cualquier país del mundo.
Detalles de la operación
Según la declaración oficial del NCSC, las fuerzas del orden incautaron parte de los servidores de un proveedor de hosting que facilitaba la infraestructura para la botnet. Posteriormente, el propio proveedor desconectó el resto de la red, tras confirmar que se utilizaba con fines delictivos.
La declaración oficial del NCSC no menciona el nombre de la botnet. Sin embargo, según datos del medio NL Times, presumiblemente se trata del servicio Asocks, una plataforma que ofrece proxies residenciales. Cabe subrayar que esta atribución se basa en una investigación periodística y no en una confirmación oficial de las autoridades neerlandesas.
Proxies residenciales como herramienta de ciberdelincuencia
La botnet desmantelada funcionaba con un modelo cada vez más extendido: los dispositivos de los usuarios, una vez infectados, se convertían en nodos de una red de proxy a través de los cuales los atacantes enroutaban tráfico malicioso. Tal y como señalan los investigadores de Sekoia, los proxies residenciales en sí mismos tienen usos legítimos —desde la protección de la privacidad hasta el acceso a recursos restringidos geográficamente—. Sin embargo, la parte sumergida de este ecosistema se basa en la venta de acceso a dispositivos comprometidos de usuarios corrientes.
El mecanismo de infección descrito por el NCSC es típico de este tipo de operaciones: los atacantes obtienen acceso al dispositivo, instalan malware para su control remoto y, a continuación, el dispositivo pasa a formar parte de la red y se utiliza para actividades delictivas, desde ataques DDoS hasta la ocultación del origen del tráfico malicioso. El propietario del dispositivo, por regla general, no sospecha que ha sido comprometido.
El NCSC también ha publicado un material de análisis experto sobre el impacto de los proxies residenciales en la seguridad digital en los Países Bajos, lo que evidencia un enfoque sistémico de las autoridades ante este problema.
Alcance y evaluación del impacto
La cifra de 17 millones de dispositivos infectados sitúa esta botnet al nivel de las mayores redes conocidas. A modo de comparación: la botnet Emotet controlaba en su punto álgido alrededor de 1,6 millones de dispositivos, y 911 S5, desmantelada en 2024, tenía del orden de 19 millones. La amplia variedad de tipos de dispositivos afectados —desde smartphones hasta equipos IoT— indica el uso de múltiples vectores de infección.
Preocupa especialmente la inclusión de dispositivos IoT en el perímetro de la botnet. Enrutadores, cámaras de vigilancia y otros equipos de red suelen funcionar con contraseñas de fábrica y firmware desactualizado, lo que los convierte en objetivos ideales para infecciones masivas. Además, los propietarios de estos dispositivos rara vez los revisan en busca de signos de compromiso.
Recomendaciones de protección
El NCSC ha publicado un conjunto concreto de medidas para reducir el riesgo de que los dispositivos pasen a formar parte de botnets:
- Actualización de los sistemas operativos: mantenga versiones actualizadas del sistema operativo en todos los dispositivos, incluidos los móviles
- Control de los dispositivos perimetrales: garantice la visibilidad y el monitoreo de enrutadores, puntos de acceso y otros equipos de red
- Cambio de contraseñas predeterminadas: sustituya las credenciales de fábrica en todos los dispositivos, especialmente en el equipamiento IoT
- Contraseñas robustas y autenticación de dos factores: utilice contraseñas complejas y únicas y active 2FA siempre que sea posible
- Instalación de aplicaciones desde fuentes confiables: descargue software únicamente desde tiendas y repositorios oficiales
- Protección de la red Wi-Fi: utilice cifrado WPA2 o WPA3 para las redes inalámbricas
La eliminación de una botnet de 17 millones de dispositivos es un resultado significativo, pero al mismo tiempo revela la magnitud del problema: millones de dispositivos en todo el mundo siguen siendo vulnerables a ser incorporados en redes similares. La acción prioritaria para organizaciones y usuarios domésticos es auditar todos los dispositivos conectados a la red, actualizar el firmware de enrutadores y equipos IoT y asegurarse de que ningún dispositivo funcione con credenciales de fábrica.
